O Artigo 42º do Regulamento sobre Proteção de Dados (RGPD) preconiza que os Estados Membros, as Autoridades de Controlo, o Comité e a Comissão encorajarão o estabelecimento de mecanismos de certificação de proteção de dados, bem como selos e marcas de proteção de dados, para efeitos de comprovação da conformidade das operações de tratamento de Responsáveis pelo tratamento e Subcontratantes com o RGPD e que deverão ser tidas em conta as necessidades específicas das micro, pequenas e médias empresas, com o objetivo de demonstrar o cumprimento do RGPD nas operações de processamento de dados pessoais por parte de controladores e processadores (Responsáveis pelo Tratamento e Subcontratantes).
Tanto o Autoridade de Controlo nacional (CNPD) quanto Autoridade Europeia para a Proteção de Dados (AEPD) ainda não explicaram os detalhes sobre a aplicação deste artigo, nem existe qualquer indicação.
Então quais são as ações de padronização para cumprir o artigo 42º do Regulamento da UE 679/2016 (RGPD)?
Ninguém sabe o que vai acontecer, mas o melhor é estar preparado para poder demonstrar o compromisso com o RGPD.
Um sistema de gestão de conformidade ao RGPD poderá ser suportado pela implementação da norma ISO/IEC 27001 – Sistema de Gestão de Segurança da Informação (SGSI), que não sendo um requisito do RGPD tem, no entanto, sido referenciado por vários especialistas como a melhor abordagem ao RGPD, pois oferece a garantia de continuidade e consolidação de um Sistema de Gestão de Segurança da Informação (SGSI). Para apoiar a implantação do SGSI pode ser utilizado o padrão ISO/IEC 27002, que fornece um guia completo de controles a serem estabelecidos. Este processo pode ser utilizado em qualquer tipo de organização, pública ou privada, de pequeno ou grande porte, com ou sem fins lucrativos e não apenas em empresas de tecnologia.
Também de forma a operacionalizar um conjunto de princípios fundamentais para a gestão da privacidade, que o RGPD preconiza, as normas ISO/IEC DIS 27552 e ISO/IEC 29151 funcionam como uma extensão certificável com requisitos adicionais para o ISO/IEC 27001, devendo ser utilizadas no Sistema de Gestão para a Proteção de Dados (SGPD), funcionando neste sistema de conformidade ao RGPD como uma lista de verificação de um conjunto de controles de privacidade e segurança para processamento de Dados pessoais.
Para alguns dos controles já fornecidos pela ISO / IEC 27002, a norma ISO / IEC 29151 “Tecnologia da Informação – Técnicas de Segurança – Código de Práticas para Proteção de Informações Pessoais Identificáveis” ou “Tecnologia da Informação – Técnicas de Segurança – Código de Práticas para a Proteção de Informações Pessoais” especifica mais instruções para implementação em Proteção de Dados pessoais.
Especificamente, as diretrizes baseadas na ISO / IEC 27002 levam em conta os requisitos para o processamento de dados pessoais que podem ser aplicáveis no contexto do ambiente de risco de informações de uma organização.
A ISO / IEC 29151 define objetivos de controle e diretrizes para a implementação de controles para atender aos requisitos identificados por uma avaliação de risco e avaliação de impacto relacionada à proteção de “informações pessoais identificáveis” (PII). Aplica-se a todos os tipos e tamanhos de organizações que atuam com responsabilidades de controlador e / ou processador de dados pessoais (PII conforme definido na norma ISO / IEC 29100 que fornece uma estrutura para a proteção de informações pessoais identificáveis), incluindo empresas públicas e privadas. entidades e organizações sem fins lucrativos que lidam com dados pessoais.
Mas não termina aqui, também deverá ser utilizado a norma ISO / IEC 27552, que expande os controles do ISO / IEC 27001 para sistemas que sejam dedicados à proteção de dados pessoais. No entanto, deve salientar-se que determinados requisitos do RGPD não são diretamente abrangidos por esta norma (como o direito de ser informado, o direito de apagamento e o direito à portabilidade de dados).
Para uma abordagem definitiva à conformidade ao RGPD, todas estas normas poderão ser usadas pelas organizações como uma extensão da sua Declaração de Aplicabilidade e poderá levar a certificações de sistemas de gestão para conformidade ao RGPD com base nas verificações fornecidas pela ISO / IEC 27001, ISO/IEC 27002, ISO/IEC 27552 e ISO / IEC 29151.
Na expectativa de indicações das Autoridades de Controlo e dos Supervisores, já temos material para preparar a certificação do nosso Sistema de Gestão para Proteção de Dados (SGPD).
Deve salientar-se que a adoção da certificação – que não é obrigatória – não reduz a responsabilidade do responsável pelo tratamento ou do subcontratante (Controller ou Processor) pelo cumprimento do RGPD e não prejudica as obrigações e poderes das autoridades de supervisão. No entanto a implementação de um Sistema de Gestão para Proteção de Dados (SGPD) que siga as diretrizes de normas e padrões, pode apoiar significativamente o controlador e / ou o processador no cumprimento do novo paradigma criado pelo RGPD, ou seja, a responsabilidade dos envolvidos na cadeia de tratamento de dados pessoais, com ênfase especial na avaliação de impacto na privacidade by design e by default, e serão considerados como atos de diligência pelas partes interessadas para a adoção voluntária de um sistema de análise e verificação dos princípios, leis e regulamentos aplicáveis à Proteção de Dados pessoais.