Reduza a implementação do RGPD com a ISO 27001

Reduza a implementação do RGPD com a implementação da ISO 9001.

Os últimos dados disponibilizados pela ISO (International Standard Organization), referentes ao ano de 2017, refere que a Europa está na segunda posição mundial no que respeita ao número de empresas que asseguraram a certificação ISO 27001, norma reconhecida internacionalmente para garantir as melhores práticas para a segurança da informação.

Segundo a Strongstep, spinoff da Faculdade de Engenharia da Universidade do Porto, Portugal ocupa a 22.ª posição entre 49 países europeus na implementação de medidas contra ciberataques.

A Strongstep nota ainda que a preocupação das pequenas, médias e grandes empresas nacionais se acentuou a partir da entrada em vigor do Regulamento Geral da Proteção de Dados.

 

RGPD e ISO 27001

Como pode então o RGPD estar relacionado com a ISO 27001?

 

Ambos os documentos possuem um conjunto de requisitos comuns, o que facilita a implementação do RGPD ou por sua vez a ISO/IEC 27001.

Salientamos assim as áreas principais que estão em concordância nos dois documentos:

 

Conformidade legal

É uma parte integrante da norma ISO / IEC 27001 a exigência do cumprimento das exigências legais, regulamentares e contratuais.

 

 
Notificações e Cooperação com as autoridades de controlo

A norma ISO / IEC 27001 exige um processo de gestão de incidentes, para que os eventos de segurança da informação sejam documentados e relatados através dos canais de gestão adequadas o mais rápido possível, e exige que “os contactos adequados com as autoridades competentes sejam mantidos.” Já o RGPD no seu art.º 33.º contempla a notificação de uma violação de dados pessoais à autoridade de controlo (CNPD) no prazo de 72 horas, após deteção da violação, e requer que as organizações cooperem com as autoridades, na óptica de um sistema auto-regulado.

Relacionamento com fornecedores

Se a norma ISO / IEC 27001 exige a proteção dos ativos da empresa acessíveis por parte dos fornecedores e monitoriza-los relativamente aos requisitos de segurança da informação. Já o RGPD, que também se aplica aos prestadores de serviços subcontratados (que processam dados pessoais em nome de terceiros) exige que devem ser definidos controles e restrições através de acordos formais.

 

 
Registo de atividades de tratamento

Ambos os referenciais exigem que sejam documentados aspetos fundamentais do processamento da informação em função da complexidade dos processos, no caso da norma, ou identificando os dados pessoais recolhidos, os fins para os quais recolhidos e o seu processamento, por exemplo, no caso RGPD.

Gestão de ativos

Segundo a norma deve ser efetuado um levantamento e identificação dos ativos da organização e definidas responsabilidades – quem detém os ativos e qual é de uso aceitável dos mesmos. Em termos do regulamento, este exige que se identifiquem os dados pessoais recolhidos, como são obtidos, onde são armazenados, por quanto tempo são mantidos e quem a eles tem acesso, art.º 5.º do RGPD.

 

 
Classificação de dados

É um requisito da norma ISO / IEC 27001 que a informação seja classificada em termos da sua importância, e dado um nível adequado de proteção de acordo com esta. Neste contexto, os dados pessoais devem ser tratados de uma forma que garante a segurança apropriada, tal como o regulamento exige, nos termos dos arts. 9.º e 30.º do diploma legal.

Proteção dos Dados desde a concepção

A segurança da informação, segundo a norma ISO / IEC 27001, deve ser concebida e implementada como parte integrante de todo o ciclo de vida de desenvolvimento de sistemas de informação. Já o regulamento requer que sejam integradas salvaguardas desde a fase mais precoce do desenvolvimento (proteção de dados desde a conceção e por pré-definição).

 

 
Avaliação de risco

As multas previstas em caso de incumprimento do RGPD (até 20 milhões de euros ou até 4% do volume de negócios mundial anual total da empresa-mãe) pode ter um impacto financeiro muito alto sobre o seu negócio. ISO / IEC 27001 requer uma avaliação de risco na qual se deve considerar o aumento do risco relacionado com as informações pessoais e as suas implicações financeiras.

Em suma, as organizações certificadas na ISO/IEC 27001 representam um acréscimo de segurança relativamente aos responsáveis pelo tratamento de dados pessoais que partilham dados.

A segurança da informação é muito adequada para a privacidade, mas, não basta uma organização estar certificada segundo a norma ISO/IEC 27001 para estar conforme os requisitos da privacidade do RGPD.

 

Estamos prontos para o ajudar na implementação do seu RGPD ou na sua certificação ISO 27001.