A ISO/IEC 27552 é transformada em ISO/IEC 27701

ISO / IEC 27701: 2019, novo padrão para certificar a gestão da privacidade

Como temos referenciado em alguns artigos, a norma ISO / IEC 27552 seria lançada em agosto de 2019, um padrão para a implementação e certificação de um Sistema de Gestão de Privacidade, juntamente com a ISO / IEC 27001.

A ISO decidiu algumas mudanças em relação a esta norma, que desapareceu para se tornar ISO / IEC 27701 – Técnicas de segurança – Extensão para ISO / IEC 27001 e ISO / IEC 27002 para gestão de informações de privacidade – Requisitos e diretrizes.

Para todas as empresas já certificadas na ISO / IEC 27001, é uma grande oportunidade para estender o âmbito de seu sistema de gestão ao processamento de dados pessoais e demonstrar seu compromisso e diligência às partes interessadas e, por que não, pode implicar uma vantagem competitivo em comparação com outros que não podem provar isso.

Ajudamos a cumprir as 35 horas de formação profissional obrigatória

Somos uma entidade certificada pela DGERT (Direção Geral do Emprego e das Relações de Trabalho) para conceber e organizar ações de formação de qualificação inicial e contínua nos seguintes domínios:

  • (Cod.345) Ciências sociais, comércio e direito » Ciências empresariais » Gestão e Administração
  • (Cod.347) Ciências sociais, comércio e direito » Ciências empresariais » Enquadramento na Organização/ empresa
  • (Cod.482) Ciências matemática e informática » Informática » Informática na ótica do utilizador

 

A formação que ministramos aos colaboradores é válida em qualquer inspecção da ACT para as 35 horas obrigatórias indicada no Código do trabalho. É devidamente registada e emitidos os respectivos certificados de frequência de formação profissional.

A formação de colaboradores para conformidade ao RGPD ajuda a cumprir as 35 horas de formação profissional obrigatória

As ações de formação de qualificação no domínio das medidas técnicas e organizativas em “Segurança da Informação” e “Proteção de Dados” , tem-se revelado como um dos pilares na garantia da sustentabilidade e continuidade dos negócios.

A Controlgal Consulting como entidade certificada pela DGERT concebe e organiza ações de formação  nos domínios do RGDP, Proteção de Dados e Segurança da Informação, com o objetivo  de melhoria dos níveis de segurança atuais de uma forma eficiente e eficaz, através da definição de programas adequados para minimizar os riscos de segurança.

RGPD: como preparar a certificação do nosso sistema de Proteção de Dados?

O Artigo 42º do Regulamento sobre Proteção de Dados (RGPD) preconiza que os Estados Membros, as Autoridades de Controlo, o Comité e a Comissão encorajarão o estabelecimento de mecanismos de certificação de proteção de dados, bem como selos e marcas de proteção de dados, para efeitos de comprovação da conformidade das operações de tratamento de Responsáveis pelo tratamento e Subcontratantes com o RGPD e que deverão ser tidas em conta as necessidades específicas das micro, pequenas e médias empresas, com o objetivo de demonstrar o cumprimento do RGPD nas operações de processamento de dados pessoais por parte de controladores e processadores (Responsáveis pelo Tratamento e Subcontratantes).

Tanto o Autoridade de Controlo nacional (CNPD) quanto Autoridade Europeia para a Proteção de Dados (AEPD) ainda não explicaram os detalhes sobre a aplicação deste artigo, nem existe qualquer indicação.

Então quais são as ações de padronização para cumprir o artigo 42º do Regulamento da UE 679/2016 (RGPD)?

Ninguém sabe o que vai acontecer, mas o melhor é estar preparado para poder demonstrar o compromisso com o RGPD.

Um sistema de gestão de conformidade ao RGPD poderá ser suportado pela implementação da norma ISO/IEC 27001 – Sistema de Gestão de Segurança da Informação (SGSI), que não sendo um requisito do RGPD tem, no entanto, sido referenciado por vários especialistas como a melhor abordagem ao RGPD, pois oferece a garantia de continuidade e consolidação de um Sistema de Gestão de Segurança da Informação (SGSI). Para apoiar a implantação do SGSI pode ser utilizado o padrão ISO/IEC 27002, que fornece um guia completo de controles a serem estabelecidos. Este processo pode ser utilizado em qualquer tipo de organização, pública ou privada, de pequeno ou grande porte, com ou sem fins lucrativos e não apenas em empresas de tecnologia.

Também de forma a operacionalizar um conjunto de princípios fundamentais para a gestão da privacidade, que o RGPD preconiza, as normas ISO/IEC DIS 27552 e ISO/IEC 29151 funcionam como uma extensão certificável com requisitos adicionais para o ISO/IEC 27001, devendo ser utilizadas no Sistema de Gestão para a Proteção de Dados (SGPD),  funcionando neste sistema de conformidade ao RGPD como uma lista de verificação de um conjunto de controles de privacidade e segurança para processamento de Dados pessoais.

Para alguns dos controles já fornecidos pela ISO / IEC 27002, a norma ISO / IEC 29151 “Tecnologia da Informação – Técnicas de Segurança – Código de Práticas para Proteção de Informações Pessoais Identificáveis” ou “Tecnologia da Informação – Técnicas de Segurança – Código de Práticas para a Proteção de Informações Pessoais” especifica mais instruções para implementação em Proteção de Dados pessoais.

Especificamente, as diretrizes baseadas na ISO / IEC 27002 levam em conta os requisitos para o processamento de dados pessoais que podem ser aplicáveis ​​no contexto do ambiente de risco de informações de uma organização.

A ISO / IEC 29151 define objetivos de controle e diretrizes para a implementação de controles para atender aos requisitos identificados por uma avaliação de risco e avaliação de impacto relacionada à proteção de “informações pessoais identificáveis” (PII). Aplica-se a todos os tipos e tamanhos de organizações que atuam com responsabilidades de controlador e / ou processador de dados pessoais (PII conforme definido na norma ISO / IEC 29100 que fornece uma estrutura para a proteção de informações pessoais identificáveis), incluindo empresas públicas e privadas. entidades e organizações sem fins lucrativos que lidam com dados pessoais.

Mas não termina aqui, também deverá ser utilizado a norma ISO / IEC 27552, que expande os controles do ISO / IEC 27001 para sistemas que sejam dedicados à proteção de dados pessoais. No entanto, deve salientar-se que determinados requisitos do RGPD não são diretamente abrangidos por esta norma (como o direito de ser informado, o direito de apagamento e o direito à portabilidade de dados).

Para uma abordagem definitiva à conformidade ao RGPD, todas estas normas poderão ser usadas pelas organizações como uma extensão da sua Declaração de Aplicabilidade e poderá levar a certificações de sistemas de gestão para conformidade ao RGPD com base nas verificações fornecidas pela ISO / IEC 27001, ISO/IEC 27002, ISO/IEC 27552 e ISO / IEC 29151.

Na expectativa de indicações das Autoridades de Controlo e dos Supervisores, já temos material para preparar a certificação do nosso Sistema de Gestão para Proteção de Dados (SGPD).

Deve salientar-se que a adoção da certificação – que não é obrigatória – não reduz a responsabilidade do responsável pelo tratamento ou do subcontratante (Controller ou Processor) pelo cumprimento do RGPD e não prejudica as obrigações e poderes das autoridades de supervisão. No entanto a implementação de um Sistema de Gestão para Proteção de Dados (SGPD) que siga as diretrizes de normas e padrões, pode apoiar significativamente o controlador e / ou o processador no cumprimento do novo paradigma criado pelo RGPD, ou seja, a responsabilidade dos envolvidos na cadeia de tratamento de dados pessoais,  com ênfase especial na avaliação de impacto na  privacidade by design e by default, e serão considerados como atos de diligência pelas partes interessadas para a adoção voluntária de um sistema de análise e verificação dos princípios, leis e regulamentos aplicáveis à Proteção de Dados pessoais.

RGPD e COBIT: implementando conformidade ao RGPD e os princípios do COBIT5

Para as empresas já com uma estrutura de governança sólida, a batalha de conformidade já está meia ganha. Para aqueles sem uma estrutura formal, o RGPD pode-se tornar um grande impulsionador para adotar uma governança TI.

Os frameworks de governança, e numa linguagem comum, são estruturas de boas práticas projetadas para serem adaptáveis para um ambiente específico em que operam e geralmente suportam o teste do tempo, isto é, são aplicáveis independentemente do ambiente externo em mudança e das mudanças em tecnologias, podendo assim ajudar a responder a requisitos regulamentares e de conformidade, fornecendo métodos repetitivos.

Estes frameworks de governança estão focados em fornecer valor, garantindo a entrega de benefícios, otimizando riscos e recursos.

Embora existam inúmeras estruturas no mercado aplicáveis na implementação de um processo de conformidade ao RGPD, destaca-se uma ferramenta apropriada e útil: COBIT.

Esta estrutura simplesmente conhecida como COBIT tem as suas origens baseadas na confidencialidade, integridade, disponibilidade e garantia de informação que corresponde exatamente com o requisito referido no considerando 49 do RGPD: “(…) disponibilidade, a autenticidade, a integridade e a confidencialidade dos dados pessoais (…)”

A mais recente versão COBIT 5 concentra-se nos princípios de governança e gestão TI e é sem dúvida uma ferramenta fundamental na adoção de boas práticas para a realização de benefícios, otimização de riscos e otimização de recursos, bem como, fornecer uma estrutura para governar e gerir o programa de implementação de conformidade ao RGPD.

Há que pensar RGPD como uma oportunidade. Embora manter a conformidade seja oneroso, é claramente a abordagem correta, porque a razão pela qual as empresas existem é para criar valor para as partes interessadas, e bem aplicado, o RGPD será um importante contributo para aumentar valor.

Prestamos serviços de contabilidade e processamento de salários. Também somos obrigados a implementar o RGPD?

A resposta é sim.

então também é obrigado a implementar o RGPD.  E como subcontratante (processador de dados) a sua responsabilidade é amplamente aumentada com o novo Regulamento Geral Proteção de Dados. Pela primeira vez, os processadores de dados têm responsabilidades significativas por direito próprio. Sob o RGPD, os processadores de dados estão sujeitos a contraordenações e outras penalidades muito gravosas.

Sempre que existam dados pessoais envolvidos em qualquer tratamento/processamento, existe uma obrigatoriedade de implementação de um sistema de conformidade ao RGPD porque neste caso, a empresa irá processar dados pessoais referente ao processamento de salários, cuja a responsabilidade do tratamento é da empresa que contrata esse serviço. Neste sentido, o regulamento menciona expressamente os seguintes sujeitos jurídicos:

  • Responsável pelo tratamento– pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro.
  • Subcontratante– uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes.

O responsável pelo tratamento dos dados da empresa que contrata os serviços de processamento de contabilidade e salários terá que o fazer através de um contrato escrito e só deverá recorrer apenas a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o tratamento satisfaça os requisitos do regulamento e assegure a defesa dos direitos do titular dos dados.

O processador (neste caso quem processa os salários) deve-se submeter a auditorias e inspeções, fornecer ao controlador todas as informações necessárias e informar imediatamente ao controlador, se ele for solicitado, a fazer algo que viole o RGPD ou outra lei de proteção de dados.

Estes contratos de subcontratação têm que ser obrigatoriamente escritos e há um conjunto de cláusulas obrigatórias a constar no mesmo a partir de 25.05.2018.

Em caso de incidente ou violação de dados, a responsabilidade é solidária e subsidiária entre o responsável pelo tratamento e o subcontratante.

Fale connosco e saiba como podemos ajudar.