O Regulamento europeu de proteção de dados, conhecido como General Data Protection Regulation (GDPR) foi um marco para a conformidade e compliance global da privacidade. Outras nações vêm seguindo os passos do bloco europeu, dentre eles o próprio Brasil, com a Lei Geral de Proteção de Dados (LGPD), que entrou em vigor, em 18 de setembro deste ano.
A Azure, da Microsoft, obteve em janeiro deste ano seu certificado de conformidade na Norma ISO/IEC 27701, e se tornou o primeiro grande provedor de serviços de armazenamento em nuvem a alcançar tal certificação.
A Norma ISO/IEC 27701 é uma extensão da ISO/IEC 27001 e 27002 para Gestão da Privacidade da Informação, trazendo Requisitos e Diretrizes, respectivamente para estas normas.
Ao obter tal certificação, a Azure demonstra publicamente que provê o tratamento adequado para o gerenciamento e controles operacionais que podem ajudar as organizações em seus processos, além de estar em compliance com os arcabouços jurídicos na área de proteção e privacidade de dados pessoais.
A Microsoft também foi o primeiro grande provedor de nuvem dos EUA a alcançar a conformidade com as cláusulas do Modelo da UE, além de estender voluntariamente os principais direitos de privacidade de dados incluídos no GDPR.
A certificadora Schellman & Company LLC emitiu o certificado de registro para a ISO / IEC 27701: 2019 que cobre os requisitos, controles e diretrizes para implementar um sistema de gerenciamento de segurança de informações de privacidade como uma extensão das ISO/IEC 27001 e 27002:2013 para gerenciamento de privacidade relevante para o sistema de gerenciamento de segurança da informação que oferece suporte ao Microsoft Azure, Dynamics e outros serviços online implantados no Azure Public, na nuvem Government e na Germany Cloud, incluindo seu desenvolvimento, operações e infraestruturas e sua segurança, privacidade associada.
A norma internacional ISO/IEC 27701:2019, também tem sua versão brasileira, que foi publicada em novembro do ano passado, auxilia as organizações a conciliar os requisitos regulatórios de privacidade. Esta norma descreve um conjunto abrangente de controles operacionais que pode ser mapeado para vários regulamentos, incluindo o GDPR. Depois de mapeados, os controles operacionais são implementados por profissionais especialistas em privacidade e auditados por auditores internos ou de externos, resultando em uma certificação ou declaração de conformidade, que serve de evidência abrangente de conformidade.
Desafios de conformidade:
O fato de as organizações passarem por auditorias, aqui no Brasil, em relação à norma ABNT NBR ISO/IEC 27701:2019, será eficaz para estabelecer práticas de privacidade responsáveis por todo o mercado, independentemente do tamanho das organizações. A norma ABNT NBR ISO/IEC 27701 aborda os três principais desmistifica o seguinte:
- Muitos requisitos regulamentares para manipular: a conciliação de vários requisitos regulamentares por meio do uso de um conjunto de controles operacionais universais permite uma implementação consistente e eficiente;
- A auditoria de conformidade é cara: auditores, tanto internos quanto externos, podem avaliar a conformidade usando um conjunto de controle universal dentro de um único ciclo de auditoria. Soma-se a isto, o fato de que tais auditorias podem evitar gastos muito maiores sejam estes com multas aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) e/ou com ações movidas por titulares lesados, ou que se sintam lesados, na justiça comum;
- Minha organização seguiu a lei, e é suficiente: A promessa de conformidade sem evidência é potencialmente arriscada, e a tendência é que transações comerciais que envolvam a transferência de dados pessoais sejam obrigadas a ter equivalências de privacidade e proteção de tais dados, que podem ser garantidas por uma certificação de conformidade.
Referências Bibliográficas:
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27701:2019 Versão Corrigida:2020 – Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes. Disponível em: https://www.abntcatalogo.com.br/norma.aspx?ID=437612. Acesso em: 28 set. 2020.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 27701:2019 – Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines. Disponível em: https://www.iso.org/standard/71670.html. Acesso em: 28 set. 2020.
MICROSOFT. PIMS (Sistema de Gerenciamento de Informações de Privacidade) do ISO/IEC 27701. https://docs.microsoft.com/pt-br/microsoft-365/compliance/offering-iso-27701?view=o365-worldwide. Acesso em: 28 set. 2020.
MICROSOFT AZURE. Azure is now certified for the ISO/IEC 27701 privacy standard. Disponível em: https://azure.microsoft.com/pt-br/blog/azure-is-now-certified-for-the-iso-iec-27701-privacy-standard. Acesso em: 28 set. 2020.
2 Responses
[…] certificadora Schellman & Company LLC emitiu o certificado de conformidade na norma ISO/IEC 27701:2019 que cobre os requisitos, controles e diretrizes para a implementação […]
[…] certificadora Schellman & Company LLC emitiu o certificado de conformidade na norma ISO/IEC 27701:2019 que cobre os requisitos, controles e diretrizes para a implementação […]