Duas regulamentações que abordam importantes aspetos sobre proteção e segurança de dados são o Regulamento Geral de Proteção de Dados (RGPD) e a norma ISO/IEC 27001. Estas possuem grande impacto sobre a confiabilidade de empresas e negócios. As duas normas possuem objetivos em comum, entretanto também possuem certas diferenças. Muitas vezes podem surgir dúvidas relativamente ao âmbito de aplicação das normas, porém o que pode ser esclarecido de imediato é que a ISO27001 pode ajudar a tornar uma organização a alcançar a conformidade com o RGPD.
I. Definição e Âmbito da ISO 27001
A ISO/IEC 27001 é uma norma internacional que fornece uma abordagem sistemática para gerir a segurança da informação numa organização. O escopo da ISO 27001 abrange o estabelecimento, implementação, manutenção e melhoria contínua de um Sistema de Gestão de Segurança da Informação (SGSI). Um SGSI é uma estrutura de políticas, processos e procedimentos que gere sistematicamente as informações sensíveis da organização. Dessa forma, garante a confidencialidade, integridade e disponibilidade dessas informações.
I.I. Princípios-chave da ISO 27001
- Sistema de Gestão de Segurança da Informação (SGSI)
A ISO27001 enfatiza o estabelecimento e a manutenção de um SGSI adaptado ao contexto da organização. Desse modo, envolve definir papéis e responsabilidades, realizar avaliações de risco e implementar controles para gerir efetivamente os riscos de segurança da informação.
- Avaliação e Tratamento de Riscos
A norma exige que as organizações identifiquem e avaliem os riscos de segurança da informação. Com base nessa avaliação, as organizações devem desenvolver e implementar um plano de tratamento de riscos com controles técnicos e organizativos para lidar e mitigar os riscos identificados.
- Gestão de Ativos
As organizações devem identificar e gerir ativos de informação de forma eficaz. Dessa maneira, envolve classificar ativos, determinar o seu valor e implementar controles para protegê-los contra acesso ou divulgação não autorizados.
- Controles de Acesso
A ISO27001 destaca a importância da implementação de controles de acesso para garantir que apenas indivíduos autorizados tenham acesso a informações específicas. Medidas de controlo de acesso incluem autenticação de utilizador, autorização e revisões periódicas de acesso.
- Criptografia e Segurança de Rede
A norma também destaca a importância de utilizar medidas criptográficas para proteger informações sensíveis durante armazenamento, transmissão e processamento. Controlos de segurança de rede também são cruciais para proteger informações contra acesso não autorizado e garantir, assim, a operação segura dos sistemas de informação.
II. Definição e Âmbito do RGPD
O Regulamento Geral de Proteção de Dados (RGPD) é um amplo arcabouço legal promulgado pela União Europeia para harmonizar as leis de proteção de dados entre os estados-membros e proporcionar aos indivíduos maior controle sobre os seus dados pessoais. Além disso, aplica-se a qualquer organização que processe dados pessoais de indivíduos residentes na UE, independentemente da localização da organização. O amplo escopo da regulamentação inclui o processamento de dados pessoais por empresas, autoridades públicas e outras entidades.
II.I. Princípios-chave do RGPD
- Processamento Lícito, Justo e Transparente
O RGPD exige que os dados pessoais sejam processados de maneira legal, justa e transparente. Desse modo, as organizações devem ter uma base legal para o processamento de dados pessoais, e os indivíduos devem ser informados sobre as atividades de processamento de maneira clara e transparente.
- Limitação de Finalidade e Minimização de Dados
A coleta de dados pessoais deve ocorrer exclusivamente para fins específicos, explícitos e legítimos. As organizações são obrigadas a minimizar os dados que coletam e processam apenas o necessário para o propósito pretendido.
- Precisão dos Dados e Limitações de Armazenamento
As organizações devem garantir a precisão dos dados pessoais que processam e tomar medidas para corrigir imprecisões prontamente. Além disso, a organização deve manter os dados numa forma que permita a identificação de indivíduos apenas pelo tempo necessário para os fins pretendidos.
- Integridade e Confidencialidade
O RGPD enfatiza a necessidade de processar dados pessoais com integridade e confidencialidade. As organizações devem implementar medidas de segurança apropriadas para proteger contra processamento não autorizado ou ilegal e perda, destruição ou dano acidental.
- Responsabilidade e Proteção de Dados by Design e by Default
As organizações são responsáveis pelas suas atividades de processamento de dados e devem ser capazes de demonstrar conformidade com os princípios do RGPD. Assim, a organização deve incorporar a proteção de dados aos seus processos, e as configurações padrão devem priorizar a privacidade.
III. Semelhanças e Diferenças Entre RGPD e ISO 27001
Tanto o RGPD quanto a ISO27001 têm um foco fundamental na proteção de dados e privacidade. Enquanto o RGPD é principalmente um arcabouço legal projetado para proteger os direitos e a privacidade dos indivíduos em relação aos seus dados pessoais, a ISO 27001 aborda a proteção de dados a partir de uma perspetiva de segurança da informação. Ambas as regulamentações reconhecem a importância de proteger informações sensíveis e enfatizam a necessidade de as organizações estabelecerem medidas que garantam a confidencialidade, integridade e disponibilidade dos dados. Ao abordar a proteção de dados de forma abrangente, tanto o RGPD quanto a ISO27001, contribuem para construir uma base sólida para o manuseio seguro e ético da informação dentro das organizações.
No que se refere às diferenças, o RGPD é um regulamento legal específico para dados pessoais, aplicando-se a uma ampla gama de organizações, independentemente do tamanho ou da indústria, contanto que processem dados pessoais sujeitos à jurisdição do RGPD. A ISO27001, por outro lado, possui um escopo mais amplo, abrangendo o estabelecimento e gestão de um Sistema de Gestão de Segurança da Informação (SGSI). A ISO 27001 concentra-se em proteger todos os tipos de informações, não apenas dados pessoais, e é aplicável a organizações que buscam proteger os seus ativos de informação de forma abrangente.
Além disso, a ISO27001 não tem cumprimento obrigatório, ao contrário do RGPD. Entretanto, adotar as medidas da ISO27001 ajuda as organizações a estarem em conformidade com o regulamento de proteção de dados europeu, pois estabelece medidas técnicas e organizativas que ajudam a assegurar a proteção de dados. Sem dúvidas que a incorporação de tais ações nas organizações aumenta a confiabilidade dos negócios.
IV. Conclusão
A interseção entre o RGPD e a ISO 27001 destaca a importância de adotar uma abordagem holística para a proteção de dados e segurança da informação. Enquanto o RGPD fornece uma base legal para proteger dados pessoais e garantir os direitos individuais à privacidade, a ISO27001 oferece uma estrutura abrangente para organizações gerenciarem e protegerem todo o tipo de informações. Combinar essas abordagens permite que as organizações criem um quadro de compliance robusto e integrado que não apenas atenda aos requisitos legais, mas também esteja alinhado com as melhores práticas internacionais em segurança da informação.