A norma ISO/IEC 27001 constitui uma excelente plataforma para a organização dar resposta aos requisitos de privacidade do GDPR. Constitui a plataforma necessária mas não suficiente.
O objetivo da segurança da informação é dotar a organização de um sistema capaz de garantir a confidencialidade, integridade e disponibilidade dos ativos críticos de informação da organização e prevenir incidentes que ponham em risco a reputação da organização e a sua capacidade de resposta aos clientes, acionistas, colaboradores e outras partes interessadas.
A implementação do sistema de gestão de segurança da informação (SGSI) protege as organizações com controlos humanos, funcionais e técnicos que reduzem os riscos a que os ativos estão expostos.
Constituem controlos ISO/IEC 27001 significativos para o GDPR:
- Metodologia de avaliação dos riscos e garantia do seu tratamento
- Controlo 8 Gestão de ativos, que implica a gestão dos ativos críticos para a organização e a classificação da informação face a sua exposição ao risco de quebra de confidencialidade, integridade e disponibilidade
- Controlo 14 Desenvolvimento de SW com a garantia da Privacy by Design
- Controlo 15 Gestão dos Fornecedores que implica a contratualização das relações entre responsáveis pelo controlo e processamento dos dados pessoais
- Controlo 16 Incidentes de Segurança da informação, para gestão das notificações de brechas
- Controlo 17 Gestão da continuidade do negócio em caso de cenário de crise com resultante quebra de reputação
- Controlo 18 Compliance e 18.1.4 Proteção dos Dados Pessoais, para garantia de conformidade à legislação aplicável
A certificação do sistema de gestão de segurança da informação segundo a norma ISO/IEC 27001 por uma entidade certificadora acreditada é reconhecida internacionalmente e comprova que está implementada uma metodologia de gestão do risco, incluindo o risco do incumprimento dos requisitos do GDPR.
A segurança da informação é muito adequada para endereçar a privacidade, mas, não basta uma organização estar certificada segunda a norma ISO/IEC 27001 para estar conforme aos requisitos de privacidade do GDPR.
Constituem requisitos específicos do GDPR os seguintes:
- Obrigação de avaliação do impacto das operações de tratamento suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, como tratamento automatizado, incluindo a definição de perfis e grande escala de categorias especiais de dados
- Obrigação de consulta prévia à autoridade de controlo quando a avaliação de impacto sobre a proteção de dados indicar que o tratamento resultaria num elevado risco na ausência das medidas tomadas pelo responsável pelo tratamento para atenuar o risco
- Obrigação da nomeação do DPO nas condições previstas no Regulamento
- Cumprir os direitos dos titulares dos dados pessoais como o direito de transparência e de ser informado; de acesso; de retificação, de bloqueio e apagamento; de objeção; de portabilidade; limitação das decisões automatizadas; e de apresentar reclamações à autoridade local.
- Respeitar os princípios do tratamento dos dados pessoais como: licitude, lealdade e transparência; limitação das finalidades; minimização dos dados; dados exatos e atualizados; limitação da conservação; integridade e confidencialidade; responsabilização do responsável pelo tratamento e processamento
- Verificação das condições aplicáveis ao consentimento
- Verificação dos requisitos de tratamento de categorias especiais de dados pessoais
Para garantir a conformidade ao GDPR deve a organização:
|
PLAN |
DO | CHECK | ACT |
|
definir e aprovar o projeto de conformidade GDPR e seus objetivos |
implementar os controlos do plano de tratamento dos riscos |
acompanhar os alertas das entidades relevantes como a CNPD |
comunicar ações de resposta a incidentes de segurança e privacidade |
|
identificar o ciclo de vida dos dados pessoais |
nomear o DPO e comunicar à autoridade de controlo | verificar a atualidade dos processos e código de conduta |
atualizar os processos e código de conduta |
|
avaliar os riscos da segurança e privacidade |
assegurar os direitos dos titulares dos dados pessoais | auditar o sistema de segurança e privacidade |
adotar soluções tecnológicas que reforcem a segurança e privacidade |
|
decidir qual o plano de tratamento dos riscos, responsáveis e recursos |
atualizar os processos e código de conduta | medir o nível de risco após implementação do plano de tratamento |
manter o cumprimento dos direitos dos titulares dos dados pessoais |
| identificar a necessidade de nomear o DPO | formar os colaboradores sobre o comportamento seguro | avaliar o desempenho face aos objetivos |
atuar no sentido da melhoria e desempenhos crescentes |
Consulte a QualiWork para obter mais informação!
Sónia Vieira
Diretora
Outubro 2017
SERVIÇOS QUALIWORK
A QualiWork é uma empresa de consultoria e formação, sendo, desde 2004, certificada pela NP EN ISO 9001. Efetuou a transição do seu Sistema de Gestão da Qualidade para a ISO 9001:2015 em Abril 2016 no âmbito de:
- Prestação de serviços de Consultoria, Formação e Auditoria no âmbito de normas de referência nacionais e internacionais a Entidades Públicas e Privadas (Qualidade, ISO 20000 IT Service Management, Segurança da Informação, Cadeia de Responsabilidade Florestal FSC ® e PEFC ®, Ambiente, Investigação, Desenvolvimento e Inovação IDI, Segurança no Trabalho, Segurança Alimentar, Gestão da Formação DGERT, entre outros)
- Consultoria em mapeamento de processos
É, desde Abril 2009, uma Entidade Formadora certificada pela DGERT, o que permite aos seus clientes usufruir de diversas vantagens, sendo a mais notória o facto das formações frequentadas serem isentas de IVA e os certificados emitidos aos formandos estarem enquadrado nesta certificação.
Para informação mais detalhada sobre estes serviços deverá entrar em contacto com:
sonia.vieira@qualiwork.pt 917842136 – pedro.santana@qualiwork.pt 917843174
Bibliografia/Referências:
- Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016
- https://www.cnpd.pt/bin/rgpd/10_Medidas_para_preparar_RGPD_CNPD.pdf
O presente documento constitui um resumo e interpretação livre por parte da QualiWork não dispensando nem substituindo a leitura da legislação aplicável.
