
A ACPD como pioneira no mercado brasileiro, deu um passo importante para certificações fundamentadas na norma ABNT NBR ISO/IEC 27701:2019.
É com grande satisfação que anunciamos que a ACPD Brasil, a fim de melhor atender ao mercado de Privacidade e Proteção de Dados Pessoais, no Brasil, e adotar as melhores práticas internacionais, solicitou junto à Divisão de Desenvolvimento de Acreditação (DIDAC), subdivisão da Coordenação Geral de Acreditação (CGCRE), do INMETRO, o desenvolvimento de um programa de acreditação, para que os organismos possam se acreditar em novo escopo, a fim de que estas organizações possam realizar auditorias de conformidade de 3ª parte e, caso os seus clientes estejam conformes, emitir um certificado com base na norma ABNT NBR ISO/IEC 27701:2019.
O desenvolvimento do programa de acreditação consiste em oito etapas, a saber:
- Solicitação;
- Análise de Pertinência;
- Análise de Nova Modalidade;
- Definição do Escopo;
- Projeto Piloto;
- Validação;
- Divulgação; e
- Finalização.
Atualmente, o programa está em sua quarta fase, ou seja, a fase de definição de escopo. Cabe ressaltar que não há no Brasil nenhuma empresa acreditada junto à CGCRE, do INMETRO, que esteja apta a emitir certificado de conformidade na norma 27701:2019, com reconhecimento de outros órgãos internacionais, como por exemplo o International Acreditation Forum (IAF).

O mercado internacional está enfrentando grandes desafios para avaliar as adequações das organizações às exigências legislativas a que estão submetidas, como por exemplo a Lei Geral de Proteção de Dados (LGPD), o General Data Protection Regulation (GDPR), o California Consumer Privacy Act (CCPA), e inúmeros outros.
O que você precisa saber sobre as certificações disponíveis no mercado?
Na teoria, existem dois tipos de certificação, com base na norma ABNT NBR ISO/IEC 27701, disponíveis no mercado internacional:
- Certificados emitidos por organismos de avaliação (certificadoras) que são acreditadas por organismos de acreditação (INMETRO no Brasil; ANSI National Accreditation Board – ANAB nos EUA etc).
- Certificados emitidos por organismos de avaliação (certificadoras) que não estão acreditadas por organismo de acreditação.
Para melhor explicar essas possibilidades, citamos dois casos:
- Nos EUA, em 15 de abril do ano passado, a empresa Schellman & Company anunciou que tornou-se o primeiro organismo de avaliação (certificadora), no mundo, a receber acreditação para emitir certificados na norma ISO/IEC 27701:2019. A acreditação foi concedida pela ANAB;
- No Brasil, podemos citar a ABNT, que recentemente anunciou certificações na norma NBR ISO/IEC 27701:2019, sem estar acreditada à CGCRE, neste escopo. Neste caso, a chancela do certificado, é diretamente proporcional à reputação da certificadora, no mercado.
Mas, a final, o que é acreditação?
Podemos definir a acreditação como avaliação independente dos órgãos de avaliação da conformidade em relação aos padrões reconhecidos para garantir sua imparcialidade e competência. O principal objetivo de uma acreditação é o de garantir que os organismos de avaliação da conformidade estejam sujeitos à supervisão de um órgão competente.
Os organismos de acreditação passam por avaliações de pares, e caso estejam conformes, assinam acordos, Fórum Internacional de Acreditação (IAF), que melhoram a aceitação de produtos e serviços através das fronteiras nacionais, criando assim uma estrutura para apoiar o comércio internacional através da remoção de barreiras técnicas.
Sobre a qualidade das adequações, no Brasil
No que se refere às adequações, a falta de consenso é indiscutível, já que ainda existem profissionais que continuam oferecendo soluções incompletas para as organizações, e seguem fechando negócios. O grande impacto das soluções incompletas é que quando determinada organização desejar avaliar a qualidade da sua adequação e almejar um certificado de conformidade com base na norma NBR 27701:2019, entenderá que ao contrário do que imaginava, o que antes era uma sensação de segurança, provavelmente tornar-se-á um pesadelo, já que este processo acarretará revisitar e refazer inúmeros processos, além de se dar conta de inúmeros outros que não foram iniciados. Ressaltamos, que o primeiro passo em direção ao compliance com a LGPD, é a capacitação.
Cabe aqui subdividir os tipos de adequação que estão sendo oferecidos no mercado brasileiro:
Soluções incompletas:
- Apenas solução jurídica com base no texto da lei;
- Apenas solução de TI com base no texto da lei;
- Solução jurídica e de TI com base no texto da lei; e
- Solução multidisciplinar com base no texto da lei.
Solução completa:
Solução multidisciplinar com base no texto da lei e em normas técnicas que estão fundamentadas nas melhores práticas internacionais, sejam elas técnicas, administrativas, jurídicas ou tecnológicas.
Por que apenas a adequação Jurídica e de TI não resolvem?
Um excelente exemplo que podemos citar é o que envolve o Superior Tribunal de Justiça (STJ). É indiscutível a sua excelência jurídica e a competência de seus colaboradores de TI, contudo recentemente enfrentou um verdadeiro pesadelo com a criptografia de seus dados, após a instalação de um ransomware. Seguramente, houve falha de processo. Geralmente, a capacitação contínua de colaboradores resolve. Desconsiderar as normas técnicas não. Convém que as organizações as tenham “embaixo do braço”, para que seus dias sejam mais seguros com relação à privacidade e proteção de dados. A adequação é um processo multidisciplinar que envolve inúmeras áreas.
Quer adequar a sua organização para não ter surpresas desagradáveis no futuro? Conte com as capacitações da ACPD Brasil! Temos modalidades online (síncrona ou assíncrona) e in company. Entre contato!
Referências Bibliográficas
ABNT. ABNT Certificadora lança novo procedimento para avaliação em atendimento à LGPD. Disponível em: http://www.abnt.org.br/noticias/7164-abnt-certificadora-lanca-novo-procedimento-para-avaliacao-em-atendimento-a-lgpd. Acesso em: 12 jan. 2021.
ANAB. ANSI National Accreditation Board. Disponível em: https://anab.ansi.org. Acesso em: 12 jan. 2021.
BRASIL. Lei no 13.709, de 14 de agosto de 2018. Brasília, DF: Presidência da República, [2018]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/ 2018/lei/L13709.htm. Acesso em: 12 jan. 2021.
CCPA. California Consumer Privacy Act. Disponível em: https://oag.ca.gov/privacy/ccpa. Acesso em: 12 jan. 2021.
CGCRE. Coordenação Geral de Acreditação. Disponível em: https://www4.inmetro.gov.br/acreditacao/cgcre. Acesso em: 12 jan. 2021.
GDPR. General Data Protection Regulation. Disponível em: https://gdpr-info.eu. Acesso em: 12 jan. 2021.
IAF. International Accreditation Forum. Disponível em: https://www.iaf.nu. Acesso em: 12 jan. 2021.
Schellman & Company. Schellman & Company Now Accredited to Perform ISO 27701 Assessments. Disponível em: https://hub.schellman.com/blog/schellman-company-now-accredited-to-perform-iso-27701-assessments. Acesso em: 12 jan. 2021.