Por que andam falando da norma NBR ISO/IEC 29151?

Por que andam falando da NBR ISO/IEC 29151? A privacidade vem assumindo papel relevante em nossas vidas hiperconectadas, junto com ela os nossos dados pessoais assumem um papel relevante no tema. A norma ABNT NBR ISO/IEC 29151 – Código de prática para proteção de dados pessoais, publicada em novembro do ano passado, fornece boas práticas para a proteção de tais dados. Nessa publicação, eu convido você para se aprofundar um pouco mais sobre ela. Vamos lá?

Os dados pessoais têm causado manchetes por reações às violações de privacidade e consequente vazamento de dados que vem fazendo parte do cotidiano do brasileiro, como por exemplo, o recente vazamento de dados pessoais de mais de 220 milhões de brasileiros, em fevereiro deste ano. Ou os dados de 16 milhões de brasileiros que vazaram a partir dos sistemas do Ministério da Saúde, que teve origem no Hospital Israelita Albert Einstein. Notícias como esta, infelizmente, não nos causam mais espanto. Contudo, não deixam de causar desconforto, ansiedade e uma série de outras reações indesejáveis.

Não é novidade que estamos vivendo inúmeras violações de privacidade, não só no Brasil, mas no mundo. O que tem motivado os países a considerar possíveis reformas nas políticas e regulamentações. Um dos exemplos mais conhecidos é o Regulamento Geral de Proteção de Dados, da União Europeia, que entrou em vigor em maio de 2018, com implicações globais. E, a nossa Lei nº 13.709/2018, a famosa Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em setembro do ano passado.

A necessidade de proteger os dados pessoais está crescendo com urgência, principalmente com a transformação digital de setores como saúde e serviços financeiros. Mais e mais organizações estão tratando dados pessoais, e todas elas lidam com quantidades cada vez maiores de dados.

Com base no que foi apresentado, os três principais organismos internacionais de normalização do mundo, ISO, IEC, e ITU através de sinergia consolidaram a norma técnica ISO/IEC 29151, publicada em agosto de 2017. Recentemente, ela foi adota pelo Sistema de Conformidade Brasileiro, como a ABNT NBR ISO/IEC 29151:2020, ou simplesmente NBR ISO/IEC 29151. Ela fornece um rico ponto de referência para as organizações públicas ou privadas, já que ela se propõe a elevar a proteção de dados pessoais. A NBR ISO/IEC 29151 estabelece os objetivos dos controles de proteção de dados, especifica os controles necessários e fornece diretrizes para sua implementação. Ela também aponta como controles podem atender aos requisitos identificados pelas avaliações de risco e impacto das organizações relevantes para a proteção de dados pessoais.

A norma baseia-se na NBR ISO/IEC 27002 – Código de prática para controles de segurança da informação), com diretrizes adicionais específicas para proteção de dados pessoais. Os exemplos incluem estruturas de governança propostas para empresas que têm colaboradores que lidam com dados pessoais, combinadas com sugestões de colaboração eficiente com equipes jurídicas para interpretar leis e regulamentos relevantes.

Além disso, o seu Anexo A fornece um conjunto estendido de controles para proteção de dados pessoais, incluindo objetivos de controle relevantes para “consentimento e escolha” e o “acesso e participação dos titulares de dados pessoais”, ou seja, as pessoas naturais que podem ser identificadas através desses dados. Ela analisa a “legitimidade do objetivo”, a fim de fornecer orientações sobre se a guarda de dados pessoais é apropriada ou não, e incentiva a busca de “limitação de coleta” e “minimização de dados”, bem como a “abertura e transparência” da política organizacional com respeito a tais dados pessoais.

Outro fato relevante é que a NBR 29151 traz em sua seção 2 – Referências normativas, ou seja, documentos que constituem requisitos para ela, duas normas de extrema relevância:

• ABNT NBR ISO/IEC 29100:2020, Tecnologia da informação – Técnicas de segurança – Estrutura de Privacidade;
• ABNT NBR ISO/IEC 27002:2013, Tecnologia da informação – Técnicas de segurança – Código de prática para controles de segurança da informação.

A NBR 29151 aplica-se a todos os tipos e tamanhos de organizações que atuam como controladores de DP (conforme estabelecido na NBR ISO/IEC 29100), incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos que tratam DP.

O Governo Digital, em publicação realizada em novembro de 2019, intitulada Normativos e Frameworks de Proteção de Dados Pessoais aponta a norma internacional como “ABNT NBR” ISO/IEC 29151:2017. Information technology – Security techniques – Code of practice for personally identifiable information protection, que ainda não havia sido adotada aqui no Brasil, como uma referência. Contudo, cabe chamar atenção para o ato falho da utilização das siglas ABNT e NBR antes do nome da referida norma. Pois, na data da publicação mencionada, a edição brasileira ainda não tinha sido publicada. Ou seja, as siglas ABNT e NBR só deveriam ser incorporadas ao título original, após a sua publicação em terras tupiniquins, o que só ocorreu em 26.11.2020.

Na semana que vem, será a vez de falarmos sobre a ABNT NBR ISO/IEC 29134 – Tecnologia da Informação – Técnicas de Segurança – Avaliação de Impacto de Privacidade – Diretrizes, não perca!

Gostou da matéria?

? Não se esqueça de:

• ? Curtir
• ? Comentar
• ? Salvar
• ? Compartilhar com os amigos

REFERÊNCIA BIBLIOGRÁFICAS

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 29100: Tecnologia da informação — Técnicas de segurança — Estrutura de Privacidade. Rio de Janeiro: ABNT, 2020.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 29151: Tecnologia da informação — Técnicas de segurança — Código de prática para proteção de dados pessoais. Rio de Janeiro: ABNT, 2020.

BRASIL. Lei n^o 13.709, de 14 de agosto de 2018. Brasília, DF: Presidência da República, [2018]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/ 2018/lei/L13709.htm. Acesso em: 27 abr. 2021.

ISO. ISO/IEC 29151:2017: Information technology — Security techniques — Code of practice for personally identifiable information protection. Disponível em: https://www.iso.org/standard/62726.html. Acesso em: 27 abr. 2021.