+55 (21) 2505-9393
+55 (21) 99731-6528
contato@acpdbrasil.com

A ACPD deu importante passo para as certificações na NBR ISO/IEC 27701

Conformidade, Proteção e Privacidade de Dados

Acreditacao

A ACPD como pioneira no mercado brasileiro, deu um passo importante para certificações fundamentadas na norma ABNT NBR ISO/IEC 27701:2019.

É com grande satisfação que anunciamos que a ACPD Brasil, a fim de melhor atender ao mercado de Privacidade e Proteção de Dados Pessoais, no Brasil, e adotar as melhores práticas internacionais, solicitou junto à Divisão de Desenvolvimento de Acreditação (DIDAC), subdivisão da Coordenação Geral de Acreditação (CGCRE), do INMETRO, o desenvolvimento de um programa de acreditação, para que os organismos possam se acreditar em novo escopo, a fim de que estas organizações possam realizar auditorias de conformidade de 3ª parte e, caso os seus clientes estejam conformes, emitir um certificado com base na norma ABNT NBR ISO/IEC 27701:2019.

O desenvolvimento do programa de acreditação consiste em oito etapas, a saber:

  1. Solicitação;
  2. Análise de Pertinência;
  3. Análise de Nova Modalidade;
  4. Definição do Escopo;
  5. Projeto Piloto;
  6. Validação;
  7. Divulgação; e
  8. Finalização.

Atualmente, o programa está em sua quarta fase, ou seja, a fase de definição de escopo. Cabe ressaltar que não há no Brasil nenhuma empresa acreditada junto à CGCRE, do INMETRO, que esteja apta a emitir certificado de conformidade na norma 27701:2019, com reconhecimento de outros órgãos internacionais, como por exemplo o International Acreditation Forum (IAF).

O mercado internacional está enfrentando grandes desafios para avaliar as adequações das organizações às exigências legislativas a que estão submetidas, como por exemplo a Lei Geral de Proteção de Dados (LGPD), o General Data Protection Regulation (GDPR), o California Consumer Privacy Act (CCPA), e inúmeros outros.

O que você precisa saber sobre as certificações disponíveis no mercado?

Na teoria, existem dois tipos de certificação, com base na norma ABNT NBR ISO/IEC 27701, disponíveis no mercado internacional:

  • Certificados emitidos por organismos de avaliação (certificadoras) que são acreditadas por organismos de acreditação (INMETRO no Brasil; ANSI National Accreditation Board – ANAB nos EUA etc).
  • Certificados emitidos por organismos de avaliação (certificadoras) que não estão acreditadas por organismo de acreditação.

Para melhor explicar essas possibilidades, citamos dois casos:

  1. Nos EUA, em 15 de abril do ano passado, a empresa Schellman & Company anunciou que tornou-se o primeiro organismo de avaliação (certificadora), no mundo, a receber acreditação para emitir certificados na norma ISO/IEC 27701:2019. A acreditação foi concedida pela ANAB;
  2. No Brasil, podemos citar a ABNT, que recentemente anunciou certificações na norma NBR ISO/IEC 27701:2019, sem estar acreditada à CGCRE, neste escopo. Neste caso, a chancela do certificado, é diretamente proporcional à reputação da certificadora, no mercado.

Mas, a final, o que é acreditação?

Podemos definir a acreditação como avaliação independente dos órgãos de avaliação da conformidade em relação aos padrões reconhecidos para garantir sua imparcialidade e competência. O principal objetivo de uma acreditação é o de garantir que os organismos de avaliação da conformidade estejam sujeitos à supervisão de um órgão competente.

Os organismos de acreditação passam por avaliações de pares, e caso estejam conformes, assinam acordos, Fórum Internacional de Acreditação (IAF), que melhoram a aceitação de produtos e serviços através das fronteiras nacionais, criando assim uma estrutura para apoiar o comércio internacional através da remoção de barreiras técnicas.

Sobre a qualidade das adequações, no Brasil

No que se refere às adequações, a falta de consenso é indiscutível, já que ainda existem profissionais que continuam oferecendo soluções incompletas para as organizações, e seguem fechando negócios. O grande impacto das soluções incompletas é que quando determinada organização desejar avaliar a qualidade da sua adequação e almejar um certificado de conformidade com base na norma NBR 27701:2019, entenderá que ao contrário do que imaginava, o que antes era uma sensação de segurança, provavelmente tornar-se-á um pesadelo, já que este processo acarretará revisitar e refazer inúmeros processos, além de se dar conta de inúmeros outros que não foram iniciados. Ressaltamos, que o primeiro passo em direção ao compliance com a LGPD, é a capacitação.

Cabe aqui subdividir os tipos de adequação que estão sendo oferecidos no mercado brasileiro:

Soluções incompletas:

  • Apenas solução jurídica com base no texto da lei;
  • Apenas solução de TI com base no texto da lei;
  • Solução jurídica e de TI com base no texto da lei; e
  • Solução multidisciplinar com base no texto da lei.

Solução completa:

Solução multidisciplinar com base no texto da lei e em normas técnicas que estão fundamentadas nas melhores práticas internacionais, sejam elas técnicas, administrativas, jurídicas ou tecnológicas.

Por que apenas a adequação Jurídica e de TI não resolvem?

Um excelente exemplo que podemos citar é o que envolve o Superior Tribunal de Justiça (STJ). É indiscutível a sua excelência jurídica e a competência de seus colaboradores de TI, contudo recentemente enfrentou um verdadeiro pesadelo com a criptografia de seus dados, após a instalação de um ransomware. Seguramente, houve falha de processo. Geralmente, a capacitação contínua de colaboradores resolve. Desconsiderar as normas técnicas não. Convém que as organizações as tenham “embaixo do braço”, para que seus dias sejam mais seguros com relação à privacidade e proteção de dados. A adequação é um processo multidisciplinar que envolve inúmeras áreas.

Quer adequar a sua organização para não ter surpresas desagradáveis no futuro? Conte com as capacitações da ACPD Brasil! Temos modalidades online (síncrona ou assíncrona) e in company. Entre contato!

Referências Bibliográficas

ABNT. ABNT Certificadora lança novo procedimento para avaliação em atendimento à LGPD. Disponível em: http://www.abnt.org.br/noticias/7164-abnt-certificadora-lanca-novo-procedimento-para-avaliacao-em-atendimento-a-lgpd. Acesso em: 12 jan. 2021.

ANAB. ANSI National Accreditation Board. Disponível em: https://anab.ansi.org. Acesso em: 12 jan. 2021.

BRASIL. Lei no 13.709, de 14 de agosto de 2018. Brasília, DF: Presidência da República, [2018]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/ 2018/lei/L13709.htm. Acesso em: 12 jan. 2021.

CCPA. California Consumer Privacy Act. Disponível em: https://oag.ca.gov/privacy/ccpa. Acesso em: 12 jan. 2021.

CGCRE. Coordenação Geral de Acreditação. Disponível em: https://www4.inmetro.gov.br/acreditacao/cgcre. Acesso em: 12 jan. 2021.

GDPR. General Data Protection Regulation. Disponível em: https://gdpr-info.eu. Acesso em: 12 jan. 2021.

IAF. International Accreditation Forum. Disponível em: https://www.iaf.nu. Acesso em: 12 jan. 2021.

Schellman & Company. Schellman & Company Now Accredited to Perform ISO 27701 Assessments. Disponível em: https://hub.schellman.com/blog/schellman-company-now-accredited-to-perform-iso-27701-assessments. Acesso em: 12 jan. 2021.

 

Deixe um comentário

O seu endereço de e-mail não será publicado.