ISO/IEC 27001:2022 Alterações chave

ISO/IEC 27001:2022  Alterações-chave

A proteção das operações diárias orientadas pela informação, dados pessoais e propriedade intelectual contra ameaças é imprescindível para empresas de todas as dimensões. Os ataques cibernéticos, a adaptação a riscos de segurança da informação em constante mudança exige uma abordagem à construção da resiliência das empresas.

A nova versão da ISO/IEC 27001:2022 é uma das principais referências internacionais em segurança da informação  foi publicada em Outubro de 2022.

As ameaças digitais com características cada vez mais ofensivas estão continuamente em desenvolvimento e o foco da norma é a gestão do risco e a orientação do processo na gestão da segurança da informação. A  nova versão ISO/IEC 27001 define os requisitos para estabelecer, implementar, manter e sustentar um sistema de gestão da segurança da informação (SGSI) para as empresas, independentemente da sua estrutura, tamanho ou segmento. 

Refletindo a evolução tecnológica e a abrangência dos temas associados à segurança, o título da norma alterou: ISO/IEC 27001:2022 – Segurança da informação, cibersegurança e proteção da privacidade – Sistemas de gestão da segurança da informação – Requisitos.

Outra mudança interessante é a adaptação à chamada “Estrutura Harmonizada”,  que é a estrutura básica e o modelo para o desenvolvimento de novas e futuras revisões das normas do sistema de gestão ISO. Uma das mudanças significativas desta alteração é o novo requisito 6.3, que exige que as alterações ao SGSI sejam implementadas de uma forma planeada. Esta exigência é comum a outros sistemas de gestão e expressa a expectativa de que um processo de mudança relacionado com o SGSI.

Além de clarificação e pequenas modificações em alguns requisitos, esta nova versão da ISO apresenta outas importantes mudanças, nomeadamente no número e classificação dos controlos de segurança (Anexo A).

No Anexo A, podemos observar dois novos aspectos: temas e atributos. Os temas referem-se à forma de categorização dos controlos de segurança e é possível encontrar quatro temas: controlos para pessoas, físicos, tecnológicos e organizacionais. Os atributos dos controlos referem-se a uma classificação baseada em outras perspectivas ou abordagens, de modo que os atributos podem ser usados para filtrar, classificar ou apresentar diferentes controlos, permitindo visões e perspectivas diferentes sobre os mesmos. São considerados cinco atributoso:

  • Tipo de controlo é um atributo para a visão dos controlos na perspectiva de quando e como uma medida altera o risco relacionado com a ocorrência de um incidente de segurança da informação (preventivo, detetivo ou corretivo).
  • Propriedades de segurança da informação é um atributo para a visualização dos controlos na perspectiva de que objetivo de proteção a medida se destina a apoiar (confidencialidade, integridade e disponibilidade).
  • Conceitos de cibersegurança analisa os controlos da perspectiva de como eles mapeiam para o quadro de cibersegurança (identificar, proteger, detectar, responder e recuperar).
  • Capacidade Operacional considera os controlos na perspectiva das suas capacidades operacionais de segurança da informação e apoia uma visão prática dos utilizadores das medidas (capacidades de segurança sob a perspectiva de profissionais, como governança ou segurança física).
  • Domínios de Segurança é um atributo que permite que os controlos sejam vistos da perspectiva de quatro domínios de segurança da informação (governança e ecossistema, proteção, defesa e resiliência).

Outra mudança significativa é a redução do número de controlos de segurança de 114 para 93.  Os controlos que constam no Anexo A são extraídos diretamente da ISO/IEC 27002:2022 de março/2022. É possível identificar 8 controlos para pessoas, 14 controlos físicos, 34 controlos tecnológicos e 37 controlos organizacionais. Pode-se ainda observar que o conceito “objetivos do controlo” foi eliminado.

A nova estruturação dos controlos:

  • Controlos novos: 11
  • Controlos alterados: 58
  • Controlos fundidos: 24

Novos controlos:

  • A.5.7 Threat intelligence
  • A.5.23 Information security for use of cloud services
  • A.5.30 ICT readiness for business continuity
  • A.7.4 Physical security monitoring
  • A.8.9 Configuration management
  • A.8.10 Information deletion
  • A.8.11 Data masking
  • A.8.12 Data leakage prevention
  • A.8.16 Monitoring activities
  • A.8.23 Web filtering
  • A.8.28 Secure coding

De notar que estes controlos de segurança não são obrigatórios – a norma ISO 27001 permite excluir um controlo se (i) não identificou riscos relacionados e (ii) não existem requisitos legais/regulamentares/contratuais para implementar determinado controlo.

Considerando que certificados na versão 2013 expiram a 31/10/2025,  é fundamental lembrar etapas importantes para a transição:

  • Criar um plano de formação para aquisição de conhecimento em torno da norma
  • Rever matriz do risco associada aos novos controlos e plano de tratamento do risco
  • Verificar Plano de Tratamento do Risco (PTR) atualizado
  • Rever SOA á luz da nova estrutura do Anexo A
  • Confirmar a implementação e efetividade dos controlos novos ou alterados
  • Rever politicas e procedimentos na medida do necessário
  • Implementar as alterações identificadas
  • Verificar a gestão de alterações

Carlos Silva

Especialista para sistemas de gestão de segurança da informação (SGSI) 
Senior Lead Implementer  &  Auditor ISO 27001

Selo Digital – Cibersegurança

Fonte: Disponível em <https://selosmaturidadedigital.incm.pt/SMD/>

Existem quatro Selos de Maturidade Digital e um Selo Global que refletem a certificação em três níveis distintos: Bronze, Prata e Ouro. Cada selo apresenta a dimensão da certificação e o respetivo nível alcançado pela organização.

Fonte: Disponível em <https://selosmaturidadedigital.incm.pt/SMD/>

O Selo digital da Cibersegurança sela o compromisso de todas as organizações com a adoção de um guião para o processo de transição digital, num mundo e tempo marcados pela cada vez maior dependência das tecnologias de informação e comunicação (TIC).

certificado Selo Digital Cibersegurança tem por objetivo testemunhar o compromisso da organização certificada com a cibersegurança e um referencial na cultura da organização.

A transformação digital é uma realidade inevitável e o certificado Selo Digital Cibersegurança pode ser adquirido por organizações de todas as dimensões, sejam do setor privado ou setor público, representando uma oportunidade para as organizações se tornarem mais competitivas no mercado e mais eficazes.

É uma iniciativa desenvolvida em parceria com o Instituto Português de Acreditação e o Instituto Português da Qualidade, as entidades certificadoras e a Imprensa Nacional Casa da Moeda.

O certificado Selo Digital Cibersegurança compreende três níveis de garantia – Bronze, Prata e Ouro, que permitem à organização selecionar o nível de garantia mais adequado às suas necessidades de cibersegurança e às necessidades do contexto em que se inserem.

A Controgal Consulting é especializada na implementação da norma “Maturidade Digital – Selo Digital – Cibersegurança” e presta serviços de consultoria a fim de garantir que os seus clientes estão em conformidade com as medidas e as boas práticas exigidas pela norma.

 

RGPD: como informar as pessoas e garantir a transparência?

O RGPD requer informações completas e precisas. Os métodos de fornecimento e apresentação dessas informações devem ser adaptadas ao contexto dos titulares, dados pessoais objeto de tratamento e às finalidades do tratamento.

A transparência permite aos interessados:

  • saber o motivo da coleta dos diversos dados que lhes dizem respeito;
  • entender o tratamento que será feito de seus dados;
  • assegurar o controle de seus dados, facilitando o exercício de seus direitos.

Para os Responsáveis pelo Tratamento (controladores de dados/data controller), contribui para o tratamento justo dos dados pessoais e permite que uma relação de confiança seja estabelecida com os titulares dos dados.

Quando devo informar?

Informar os titulares envolvidos:

  • no caso de coleta direta de dados:  quando os dados são coletados diretamente de pessoas, (exemplo: através de formulários, compras online, assinatura de contrato), ou quando são coletados por meio de dispositivos ou tecnologias de observação da atividade das pessoas (exemplos : vigilância por vídeo, análise de navegação na Internet, geolocalização e análise / rastreamento de wi –  fi  para medição de audiência, etc.);
  • no caso de recolha indireta de dados pessoais:  quando os dados não são coletados diretamente de indivíduos (exemplos: dados coletados de parceiros de negócios,  corretores de dados , fontes acessíveis ao público ou outras pessoas).

Em que momento devo informar?

  • no caso de coleta direta: no momento da coleta de dados;
  • no caso de coleta indireta: logo que possível (especialmente durante o primeiro contato com a pessoa) e, no máximo, no prazo de um mês;
  • no caso de uma modificação substancial ou evento especial (exemplos: novo propósito, novos destinatários, mudança nos métodos de exercício de direitos, violação de dados)

A informação regular contribui para o objetivo de transparência, em particular para o tratamento de dados pessoais em grande escala ou no tratamento de dados da categoria dados especiais. Pode ser fornecido, em particular, quando o Responsável pelo Tratamento comunica com os titulares dos dados.

Que informações devo prestar?

De uma forma concisa, transparente, compreensível, facilmente acessível, em termos claros e simples devem ser fornecidas as seguintes informações:

  • Identidade e detalhes de contato da Organização (como Responsável pelo tratamento);
  • Finalidades  (para que serão utilizados os dados coletados);
  • Fundamento de licitude  para o tratamento de dados (o consentimento,  o cumprimento de uma obrigação jurídica, a execução de um contrato, interesses legítimos, etc.);
  • Categoria de dados coletados;
  • Fontes dos dados;
  • Carácter obrigatório ou opcional da recolha de dados e consequências para a pessoa em caso de não fornecimento de dados;
  • Destinatários ou categorias de destinatários dos dados  (quem necessita aceder ou recebê-los para os fins definidos, incluindo subcontratantes);
  • Período de retenção de dados  (ou critérios para determiná-lo);
  • Direitos dos titulares dos dados;
  • Detalhes  de contato para questões de proteção de dados pessoais da organização (o Encarregado de Proteção de Dados, se nomeado, ou de um ponto de contato);
  • A existência de uma transferência de dados para um país fora da União Europeia e as respectivas garantias associadas à transferência e a possibilidade de acesso aos documentos que autorizam essa transferência (exemplo: as cláusulas contratuais padrão da Comissão Europeia);
  • Direito de reclamar junto da CNPD.

Como saber mais?

Guidelines on Transparency under Regulation 2016/679 (wp260rev.01)

RGPD: O interesse legítimo num relance

Qual é a base dos ‘interesses legítimos’?

Os interesses legítimos é uma base legal para o tratamento de dados, contudo a Organização não pode presumir que sempre será a mais apropriada face aos seus interesses e aos interesses das pessoas.

O Artigo 6 (1) (f) do RGPD fornece um fundamento de licitude para o tratamento de dados pessoais quando:

“O tratamento é necessário para os fins dos interesses legítimos perseguidos pelo responsável pelo tratamento (data controller) ou por um terceiro, exceto quando tais interesses forem anulados pelos interesses ou direitos e liberdades fundamentais do titular dos dados que requeiram proteção de dados pessoais, em particular quando os dados sujeito é uma criança. ”

Questões a considerar

  • É provável que seja mais apropriado quando se usa os dados das pessoas da maneira que elas razoavelmente esperariam e que tenham um impacto mínimo na privacidade, ou quando houver uma justificação para o tratamento de dados pessoais com esse fundamento de licitude.
  • Quando a Organização opta por fundamentar o tratamento nos interesses legítimos, estará assumindo responsabilidade extra por considerar e proteger os direitos e interesses das pessoas (titulares de dados pessoais).
  • As entidades da administração pública só podem optar pelo fundamento “interesses legítimos” se o tratamento for feito por um motivo legítimo que não o desempenho das suas atividades como autoridade pública.
  • Existem três elementos na base:
    • identificar um interesse legítimo;
    • mostrar que o processamento é necessário para alcançá-lo; e
    • equilibrar o interesse legítimo com os interesses, direitos e liberdades das pessoas.
  • Os interesses legítimos podem ser próprios ou de terceiros. Podem incluir interesses comerciais, interesses individuais ou benefícios sociais mais amplos.
  • O tratamento de dados deve ser necessário e devidamente justificado porque se a Organização puder alcançar razoavelmente o mesmo resultado de outra forma menos invasiva, os interesses legítimos não se aplicarão.
  • Devem ser equilibrados os interesses da Organização com os da pessoa. 
  • Como boa prática de conformidade ao RGPD, a Organização deve manter informação documentada da avaliação de interesses legítimos (LIA) para ajudar a demonstrar a conformidade e justificar a decisão.

Avaliação do interesse legítimo (LIA)

Um LIA é um tipo de avaliação de risco que tem como base o contexto e as circunstâncias específicas da atividade de tratamento de dados pessoais com a base legal do interesse legítimo. Esta avaliação ajudar a garantir a atividade de tratamento está em conformidade com  as obrigações preconizadas nos artigos 5 (2) e 24 do RGPD. A avaliação deverá abranger 3 vetores:

  1. Teste de objetivo
  2. Teste de necessidade
  3. Teste de equilíbrio

Se o resultado da avalição LIA identificar riscos significativos, considerar a realização de um DPIA (Avaliação de Risco sobre a Privacidade) para avaliar e mitigar o risco.

Para saber mais:

Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC 

 

RGPD e os cookies

O que são cookies?

Os cookies são pequenos arquivos de texto que um website armazena, através do navegador (browser),  nos dispositivos de acesso (computador,  dispositivo móvel, mobile e tablet) quando vez que um utilizador visita um site. 

Que tipos de cookies existem?

Existem dois grupos cookies :

– Cookies permanentes – são cookies que ficam armazenados ao nível do browser nos dispositivos de acesso  e que são utilizados quando se faz uma nova visita a um website. São utilizados, geralmente, para direcionar a navegação aos interesses do utilizador, permitindo prestar um serviço mais personalizado.

– Cookies de sessão – são cookies temporários que permanecem no arquivo de cookies do browser até sair do website. A informação obtida por estes cookies serve para analisar padrões de tráfego na web, permitindo identificar problemas e fornecer uma melhor experiencia de navegação.

Para que finalidades são utilizados?
Os cookies podem ser utilizados para reter apenas informação relacionada com elementos funcionais do site mas também as preferências do visitante.

– Cookies estritamente necessários – Permitem que se navegue no website e se utilize as suas aplicações, bem como aceder a áreas seguras do website. Sem estes cookies, alguns dos serviços não podem ser prestados.

– Cookies analíticos – São utilizados anonimamente para efeitos de criação e análise de estatísticas, no sentido de melhorar o funcionamento do website.

– Cookies de funcionalidade – Guardam as preferências do utilizador relativamente à utilização do site, para que não seja necessário voltar a configurar o site cada vez que o utilizador o visita.

– Cookies de terceiros – Medem o sucesso de aplicações e a eficácia da publicidade de terceiros. Podem também ser utilizados no sentido de personalizar um widget com dados do utilizador.

– Cookies de publicidade – Direcionam a publicidade em função dos interesses de cada utilizador, por forma a direcionar as campanhas publicitárias tendo em conta os gostos dos utilizadores, sendo que, além disso, limitam a quantidade de vezes que vê o anúncio, ajudando a medir a eficácia da publicidade e o sucesso da organização do website.

Como é que um utilizador pode gerir os cookies?

Todos os browsers permitem ao utilizador aceitar, recusar ou apagar cookies, nomeadamente através da seleção das definições apropriadas no respetivo navegador. Pode configurar os cookies no menu “opções” ou “preferências” do seu browser.

Note-se, no entanto, que, ao desativar cookies, pode impedir que alguns serviços da web funcionem corretamente, afetando, parcial ou totalmente, a navegação no website.

Cookies e a responsabilidade

As organizações que detêm os websites são responsáveis por todos os cookies que permitem que sejam colocados nos dispositivos de acesso e têm, por isso, a obrigação de assegurar que são cumpridas todas as exigências legais, designadamente a informação aos utilizadores e a
obtenção do seu consentimento quando tal se impõe, como é o caso de cookies que não sejam estritamente necessários, nos termos do artigo 5.º da Lei 41/2004, de 18 de agosto, na sua última redação.

RGPD e a transparência da informação

Um dos requisitos mais importantes do RGPD está na definição do que constitui um consentimento adequado ao cookie. O utilizador precisa optar por aceitar ou recusar os vários tipos de cookies, exceto os cookies  estritamente necessários. Esse consentimento deve ser de fácil procedimento para o utilizador, além de permitir a possibilidade de mudar de ideia a qualquer momento.

Não é necessário a obtenção do consentimento do utilizador, se estes cookies forem estritamente necessários para a prestação de um serviço de comunicação online expressamente solicitado pelo utilizador, mas na verdade, um simples botão “ok” para aceitar cookies não é suficiente. É preciso ter um aviso em conformidade com o RGPD solicitando o consentimento para definir cookies.

Além disso, o utilizador tem o direito de ser “esquecido”. A partir de um pedido do utilizador , todos os seus dados pessoais devem ser excluídos corretamente.

O consentimento do utilizador deve ser materializado por um ato claro e positivo como, por exemplo, um clique no botão “Aceitar todos”. A ausência de uma manifestação clara de vontade de aceitar o armazenamento de cookies deve ser entendido como um recusa.

RGPD e o Tratamento de dados pessoais em contexto laboral

Os departamentos de RH, vendas, jurídico, financeiro, TI e Marketing são alguns dos departamentos cujas as práticas são mais afetadas pelo RGPD, pois lidam com a maior parte dos dados pessoais pelos quais a organização é responsável pelo tratamento (data controller).

Destaco neste artigo o departamento RH, quer pela quantidade de tratamentos de dados pessoais sob sua responsabilidade, quer pela quantidade de elementos técnicos e processos organizativos que tem que implementar, através do seu Sistema Geral de Proteção de Dados (SGPD), de modo a estar em conformidade com as disposições com o RGPD e em linha com o Código de Trabalho e a Lei nº 58/2019 de 8 de agosto.

No contexto laboral o tratamento dos dados pessoais tem um impacto substancial uma vez que qualquer empresa que tenha trabalhadores a seu cargo, seja uma pequena ou média empresa, seja uma empresa vocacionada para o recrutamento ou trabalho temporário ou mesmo os grandes grupos empresariais, estão obrigados a estar em conformidade com as exigências do RGPD.

É uma área onde se colocam muitos desafios operacionais às organizações e alguns deles, são de grande complexidade técnica para a conformidade ao RGPD. São muitos os cenários que se colocam a um departamento RH no tema do tratamento de dados pessoais no contexto laboral. Alguns exemplos:

  • a seleção e o recrutamento de trabalhadores
  • a utilização de recursos de informação e comunicação na empresa (computador, telemovel, email, internet,…)
  • a utilização de recursos de comunicação fora da empresa
  • o controlo de tempos de trabalho
  • a biometria de assiduidade
  • a monitorização da atividade de trabalhadores nas redes sociais
  • a utilização de meios de vigilância à distância (utilização de veículos automóveis e a geolocalização, videovigilancia)
  • os testes de álcool e psicotrópicos
  • Processos disciplinares
  • a partilha e a divulgação de dados a terceiros
  • a subcontratação para processamento salarial
  • a transferência internacional de dados (exportação de dados extra-EEE)
  • a pandemia COVID-19
  • o teletrabalho
  • tempos de retenção e conservação dos dados pessoais em contexto laboral adequados às obrigações legais de conservação

Um dos desafios é a conformidade ao RGDP da aplicação informática de gestão RH.  Alguns dos módulos funcionais devem estar adequados , entre outros, o módulo referente às Atividades e Serviços de Segurança e Saúde no Trabalho, onde terá que haver uma separação lógica entre os dados referentes á saúde e os restantes dados pessoais,  a aplicação do exercício do direito ao esquecimento, o modulo de controlo de assiduidade, formação profissional,

São  muito relevantes o artigo 88.º e o considerando 43 do RGPD, o artigo 28.º da Lei 58/2019, sendo de relevar que o Consentimento do trabalhador não é fundamento legitimo para tratamento de alguns dos seus dados.  O Consentimento é uma excepção e só pode existir se não houver consequências negativas para o titular dos dados.

A entidade patronal como responsável pelo tratamento dos dados pessoais, terá que recorrer ao fundamento do interesse legítimo com frequência, à obrigação contratual e ao cumprimento de obrigações jurídicas para justificar a licitude do tratamento de dados dos trabalhadores. No entanto, e no caso  do interesse legítimo, a entidade patronal terá que assegurar que o tratamento é estritamente necessário, proporcional, devendo coletar somente os dados que são tratados para atingir a finalidade do tratamento.

Tenho como referência as recomendações do GT29, transcrevo algumas das orientações e ideias do documento “Opinion 2/2017 on data processing at work” de 8.06.2017:

  • Todos os tratamentos de dados devem ser comunicados aos trabalhadores
  • Sempre que possível, os trabalhadores ou os seus representantes devem ser envolvidos na elaboração das políticas de tratamento de dados pessoais
  • No caso de dispositivos propriedade dos trabalhadores não é permitida a monitorização permanente das comunicações (BYOD)
  • Aplicar o princípio da proporcionalidade que exige que seja sempre escolhida pelo empregador a forma menos intrusiva de tratar os dados
  • O empregador não pode aceder a dados de saúde recolhidos por dispositivos oferecidos ou disponibilizados aos trabalhadores
  • Não se deve recorrer à utilização de tecnologias de reconhecimento facial para análise de ambiente de trabalho (não respeita o princípio da proporcionalidade)
  • A utilização de tecnologia GPS em veículos deverá permitir a sua desativação se o veículo puder ser utilizado para fins privados

Também para estar em conformidade com o RGPD é fundamental implementar várias medidas que cumpram os princípios da segurança e proteção de dados “by default & by design”: minimização de dados, pseudoanonimização, transparência e melhoria contínua de sistema e recursos de segurança da informação, por isso não será demais lembrar algumas medidas a tomar em termos de sistemas de informação:

  • Fornecer pastas de rede e ser obrigatório uma política que limita o armazenamento de documentos em computadores portáteis, postos de trabalho, tablets e dispositivos móveis
  • Todos os dados importantes nos computadores portáteis, de secretária, tablets e dispositivos móveis, em redes de comunicação, nos smartphones ou em armazenamentos externos devem estar encriptados
  • Realizar DPIA (Avaliação de Impacto sobre a Privacidade) nos tratamento com recurso à biometria ou à CCTV
  • Documentos a ter em conta (artigo 13.º do RGPD): Direito à informação através do contrato de trababalho ou adenda e sempre que aplicável, acordo de confidencialidade
  • Estabelecer, com os Subcontratantes,  Acordos de Tratamento de Dados com as clausula-tipo do artigo 28.º
  • Se aplicável, estabelecer com os outros responsáveis pelo tratamento,  Acordos de Tratamento de Dados na conformidade com os artigos 4.º e 26.º do RGPD
  • Documentar as transferências internacionais de dados

E por último, uma questão: no seu departamento RH estão disponíveis trituradores de papel e há uma política aplicável à trituração de documentos que contenham dados pessoais dos candidatos e dos colaboradores?

Como saber mais:

Contacte a Controlgal Consulting: Promovemos ações de formação planeadas de acordo com  as características e as necessidades de cada Organização.  Através do serviço de auditoria, as Organizações poderão verificar a sua conformidade com a legislação de proteção de dados e identificar eventuais situações de não conformidade.

EDPB_Guidelines

ISO/IEC 27701:2019 e o RGPD

ISO / IEC 27701: 2019 – Privacy Information Management System (PIMS),  fornece uma estrutura para integrar a privacidade às práticas organizacionais

Como temos referenciado em alguns artigos, a norma ISO / IEC 27552 seria lançada em agosto de 2019, um padrão para a implementação e certificação de um Sistema de Gestão de Privacidade / Privacy Information Management System (PIMS), juntamente com a ISO / IEC 27001.

A ISO decidiu algumas mudanças em relação a esta norma (ISO / IEC 27552), que desapareceu para se tornar ISO/IEC 27701 – Técnicas de segurança – Extensão para ISO/IEC 27001 e ISO/IEC 27002 para gestão de informações de privacidade – Requisitos e diretrizes.

Para todas as empresas já certificadas na norma ISO/IEC 27001, é uma grande oportunidade para estender o âmbito do sistema gestão da segurança da informação ao tratamento de dados pessoais e demonstrar o compromisso e diligência às partes interessadas e, por que não, pode implicar uma vantagem competitiva.

Nos últimos anos, o domínio da privacidade tornou-se cada vez mais regulamentado. A governança de privacidade continua sendo um empreendimento complexo em vista da atenção regulatória, da legislação em evolução global e da maturidade social. Qualquer auditoria ISO/IEC 27701:2019 exige que a organização declare as leis e regulamentos aplicáveis nos critérios para a auditoria de conformidade, o que significa que o padrão pode ser mapeado para a maioria dos requisitos do RGPD.

A ISO/IEC 27701 pode garantir a conformidade com o RGPD?

As normas ISO/IEC 27001 e ISO/IEC 27701 não cobrem todos os aspectos do RGPD.

A norma ISO 27701 pode posicionar bem qualquer organização para conformidade futura com o RGPD. Enquanto que o ISO é um sistema de gestão, o RGPD é  uma estrutura legal, contudo a ISO 27701 ajuda a criar um caminho para a conformidade com o preconizado no RGPD, criando um padrão para a proteção de dados e privacidade.

O que é ISO/IEC 27001 e ISO/IEC 27701?

A proteção das informações em toda a organização comprovadamente exige um esforço multidisciplinar e especialização multifuncional. A  ISO/IEC 27001 é uma estrutura de segurança da informação de longa data usada para construir um Sistema de Gestão de Segurança da Informação (SGSI) dentro de uma organização.

A ISO/IEC 27701 foi criada como um componente adicional  para complementar a ISO/IEC 27001, que introduziu mais controlos específicos de privacidade. Com a ISO 27701, as organizações podem criar um Sistema de Gestão de Informações de Privacidade (PIMS) e tornar-se certificadas em certas práticas de privacidade. A ISO 27701 foi criada em grande parte para fornecer orientação sobre o cumprimento dos regulamentos de privacidade introduzidos em todo o mundo, como o RGPD (Regulamento Geral sobre a  Proteção de Dados) e o CCPA (Ato de Privacidade do Consumidor da Califórnia).

A ISO 27701 não é um padrão independenteEm vez disso, o padrão original do sistema de gestão de segurança da informação ISO 27001 (SGSI) serve como base, e as organizações podem adicionar outros padrões ISO.

Como implementar a norma ISO/IEC 27701?

Contacte-nos porque as soluções da Controlgal Consulting permitem às organizações melhorar continuamente os seus sistemas de gestão.

Como saber mais?

https://www.apcergroup.com/pt/certificacao/pesquisa-de-normas/1571/iso-iec-27701

https://www.iso.org/standard/71670.html

Prestamos serviços de contabilidade e processamento de salários. Também somos obrigados a implementar o RGPD?

A resposta é sim.

então também é obrigado a implementar o RGPD.  E como subcontratante (processador de dados) a sua responsabilidade é amplamente aumentada com o novo Regulamento Geral Proteção de Dados. Pela primeira vez, os processadores de dados têm responsabilidades significativas por direito próprio. Sob o RGPD, os processadores de dados estão sujeitos a contraordenações e outras penalidades muito gravosas.

Sempre que existam dados pessoais envolvidos em qualquer tratamento/processamento, existe uma obrigatoriedade de implementação de um sistema de conformidade ao RGPD porque neste caso, a empresa irá processar dados pessoais referente ao processamento de salários, cuja a responsabilidade do tratamento é da empresa que contrata esse serviço. Neste sentido, o regulamento menciona expressamente os seguintes sujeitos jurídicos:

  • Responsável pelo tratamento– pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro.
  • Subcontratante– uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes.

O responsável pelo tratamento dos dados da empresa que contrata os serviços de processamento de contabilidade e salários terá que o fazer através de um contrato escrito e só deverá recorrer apenas a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o tratamento satisfaça os requisitos do regulamento e assegure a defesa dos direitos do titular dos dados.

O processador (neste caso quem processa os salários) deve-se submeter a auditorias e inspeções, fornecer ao controlador todas as informações necessárias e informar imediatamente ao controlador, se ele for solicitado, a fazer algo que viole o RGPD ou outra lei de proteção de dados.

Estes contratos de subcontratação têm que ser obrigatoriamente escritos e há um conjunto de cláusulas obrigatórias a constar no mesmo a partir de 25.05.2018.

Em caso de incidente ou violação de dados, a responsabilidade é solidária e subsidiária entre o responsável pelo tratamento e o subcontratante.

Fale connosco e saiba como podemos ajudar.

Ajudamos a cumprir as horas de formação profissional obrigatória

Somos uma entidade certificada pela DGERT (Direção Geral do Emprego e das Relações de Trabalho) para conceber e organizar ações de formação de qualificação inicial e contínua nos seguintes domínios:

  • (Cod.345) Ciências sociais, comércio e direito » Ciências empresariais » Gestão e Administração
  • (Cod.347) Ciências sociais, comércio e direito » Ciências empresariais » Enquadramento na Organização/ empresa
  • (Cod.482) Ciências matemática e informática » Informática » Informática na ótica do utilizador

A formação que ministramos aos colaboradores é válida em qualquer inspecção da ACT para as 35 horas obrigatórias indicada no Código do trabalho. É devidamente registada e emitidos os respectivos certificados de frequência de formação profissional.

A formação de colaboradores para conformidade ao RGPD ajuda a cumprir as 35 horas de formação profissional obrigatória

As ações de formação de qualificação no domínio das medidas técnicas e organizativas em “Segurança da Informação” e “Proteção de Dados” , tem-se revelado como um dos pilares na garantia da sustentabilidade e continuidade dos negócios.

A Controlgal Consulting como entidade certificada pela DGERT concebe e organiza ações de formação  nos domínios do RGDP, Proteção de Dados e Segurança da Informação, com o objetivo  de melhoria dos níveis de segurança atuais de uma forma eficiente e eficaz, através da definição de programas adequados para minimizar os riscos de segurança.

RGPD: como preparar a certificação do nosso sistema de Proteção de Dados?

O Artigo 42º do Regulamento sobre Proteção de Dados (RGPD) preconiza que os Estados Membros, as Autoridades de Controlo, o Comité e a Comissão encorajarão o estabelecimento de mecanismos de certificação de proteção de dados, bem como selos e marcas de proteção de dados, para efeitos de comprovação da conformidade das operações de tratamento de Responsáveis pelo tratamento e Subcontratantes com o RGPD e que deverão ser tidas em conta as necessidades específicas das micro, pequenas e médias empresas, com o objetivo de demonstrar o cumprimento do RGPD nas operações de processamento de dados pessoais por parte de controladores e processadores (Responsáveis pelo Tratamento e Subcontratantes).

Tanto o Autoridade de Controlo nacional (CNPD) quanto Autoridade Europeia para a Proteção de Dados (AEPD) ainda não explicaram os detalhes sobre a aplicação deste artigo, nem existe qualquer indicação.

Então quais são as ações de padronização para cumprir o artigo 42º do Regulamento da UE 679/2016 (RGPD)?

Ninguém sabe o que vai acontecer, mas o melhor é estar preparado para poder demonstrar o compromisso com o RGPD.

Um sistema de gestão de conformidade ao RGPD poderá ser suportado pela implementação da norma ISO/IEC 27001 – Sistema de Gestão de Segurança da Informação (SGSI), que não sendo um requisito do RGPD tem, no entanto, sido referenciado por vários especialistas como a melhor abordagem ao RGPD, pois oferece a garantia de continuidade e consolidação de um Sistema de Gestão de Segurança da Informação (SGSI). Para apoiar a implantação do SGSI pode ser utilizado o padrão ISO/IEC 27002, que fornece um guia completo de controles a serem estabelecidos. Este processo pode ser utilizado em qualquer tipo de organização, pública ou privada, de pequeno ou grande porte, com ou sem fins lucrativos e não apenas em empresas de tecnologia.

Também de forma a operacionalizar um conjunto de princípios fundamentais para a gestão da privacidade, que o RGPD preconiza, as normas ISO/IEC DIS 27552 e ISO/IEC 29151 funcionam como uma extensão certificável com requisitos adicionais para o ISO/IEC 27001, devendo ser utilizadas no Sistema de Gestão para a Proteção de Dados (SGPD),  funcionando neste sistema de conformidade ao RGPD como uma lista de verificação de um conjunto de controles de privacidade e segurança para processamento de Dados pessoais.

Para alguns dos controles já fornecidos pela ISO / IEC 27002, a norma ISO / IEC 29151 “Tecnologia da Informação – Técnicas de Segurança – Código de Práticas para Proteção de Informações Pessoais Identificáveis” ou “Tecnologia da Informação – Técnicas de Segurança – Código de Práticas para a Proteção de Informações Pessoais” especifica mais instruções para implementação em Proteção de Dados pessoais.

Especificamente, as diretrizes baseadas na ISO / IEC 27002 levam em conta os requisitos para o processamento de dados pessoais que podem ser aplicáveis ​​no contexto do ambiente de risco de informações de uma organização.

A ISO / IEC 29151 define objetivos de controle e diretrizes para a implementação de controles para atender aos requisitos identificados por uma avaliação de risco e avaliação de impacto relacionada à proteção de “informações pessoais identificáveis” (PII). Aplica-se a todos os tipos e tamanhos de organizações que atuam com responsabilidades de controlador e / ou processador de dados pessoais (PII conforme definido na norma ISO / IEC 29100 que fornece uma estrutura para a proteção de informações pessoais identificáveis), incluindo empresas públicas e privadas. entidades e organizações sem fins lucrativos que lidam com dados pessoais.

Mas não termina aqui, também deverá ser utilizado a norma ISO / IEC 27552, que expande os controles do ISO / IEC 27001 para sistemas que sejam dedicados à proteção de dados pessoais. No entanto, deve salientar-se que determinados requisitos do RGPD não são diretamente abrangidos por esta norma (como o direito de ser informado, o direito de apagamento e o direito à portabilidade de dados).

Para uma abordagem definitiva à conformidade ao RGPD, todas estas normas poderão ser usadas pelas organizações como uma extensão da sua Declaração de Aplicabilidade e poderá levar a certificações de sistemas de gestão para conformidade ao RGPD com base nas verificações fornecidas pela ISO / IEC 27001, ISO/IEC 27002, ISO/IEC 27552 e ISO / IEC 29151.

Na expectativa de indicações das Autoridades de Controlo e dos Supervisores, já temos material para preparar a certificação do nosso Sistema de Gestão para Proteção de Dados (SGPD).

Deve salientar-se que a adoção da certificação – que não é obrigatória – não reduz a responsabilidade do responsável pelo tratamento ou do subcontratante (Controller ou Processor) pelo cumprimento do RGPD e não prejudica as obrigações e poderes das autoridades de supervisão. No entanto a implementação de um Sistema de Gestão para Proteção de Dados (SGPD) que siga as diretrizes de normas e padrões, pode apoiar significativamente o controlador e / ou o processador no cumprimento do novo paradigma criado pelo RGPD, ou seja, a responsabilidade dos envolvidos na cadeia de tratamento de dados pessoais,  com ênfase especial na avaliação de impacto na  privacidade by design e by default, e serão considerados como atos de diligência pelas partes interessadas para a adoção voluntária de um sistema de análise e verificação dos princípios, leis e regulamentos aplicáveis à Proteção de Dados pessoais.

1 2 3