+55 (21) 2505-9393
+55 (21) 99731-6528
contato@acpdbrasil.com

Privacidade: NBR 27001 vs NBR 27701

Conformidade, Proteção e Privacidade de Dados

Privacidade: NBR 27001 vs NBR 27701

Privacidade: NBR 27001 vs NBR 27701. Ao contrário do que muitos imaginam, a norma NBR 27001 não é concorrente da norma NBR 27701. Pelo contrário, trata-se de normas complementares. E, neste artigo vamos discorrer um pouco mais sobre essas duas normas, NBR 27001 e NBR 27701, tão importantes para a adequação à Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709 e privacidade, conceito básico nesta temática. Convém que organizações que não têm a intenção de renunciar as boas práticas, em detrimento de soluções mais simples, menos eficazes e mais baratas tenham esse conceito bem sedimentado em suas análises críticas, processos e decisões.

Para falarmos sobre a origem da NBR ISO/IEC 27001, devemos voltar ao tempo, mais precisamente em 15 fev. de 1998, quando o British Standards Institution (BSI), organização inglesa de padronização, através do draft 97/600130 DC elaborado pelo seu comitê IST/33, publicou em 14 páginas, a British Standard (BS) 7799-2:1998Information Security Management SystemSpecification for information security management systems, que serviu como referência para as boas práticas, para o gerenciamento da segurança da informação.

Um pouco mais de um ano após a publicação da BS 7799-2:1998, em 15 mai. 1999, ela foi revogada pela norma BS 7799-2:1999, com o mesmo título da norma anterior. Em nova revisão, em 5 set. 2002, a BS 7799-2:2002 chegou em sua terceira versão, mantendo o seu título. Finalmente, em 18 out. 2005, a BS 7799-2:2005 foi publicada como duas normas com títulos distintos, mas com o mesmo conteúdo e título: (BS 7799-2:2005 e BS ISO/IEC 27001:2005)Information technology – Security techniques – Information security management systems. Requirements. Vamos voltar nossas atenções para esta última, a BS ISO/IEC 27001:2005.

O QUE É BS ISO/IEC 27001?

BS ISO / IEC 27001 foi a versão primeira versão da norma internacional para um sistema de gestão de segurança da informação (SGSI) publicada pela ISO. É importante observar que a versão desta norma, para o Reino Unido foi a BS 7799-2:2005, mas continha exatamente o mesmo conteúdo, conforme já expusemos.

CURIOSIDADES SOBRE AS OUTRAS PARTES DA NORMA BS 7799 (partes 1 e 3)

Não adentraremos aos detalhes, mas a norma NBR ISO/IEC 27002:2013 – Diretrizes, foi uma evolução de duas normas que tiveram algumas versões, a saber: BS 7799-1, que teve a sua primeira versão em 1995, e que posteriormente foi transformada na ISO/IEC 17799, que teve sua primeira versão em 2000. Em 17 mar. 2006 foi publicada a terceira parte da BS 7799, que ficou conhecida como: BS 7799-3:2006 – Information security management systems – Guidelines for information security risk management.

O mercado entendeu que identificar, avaliar, tratar e gerenciar os riscos de segurança da informação são processos-chave, caso as empresas desejem manter suas informações seguras e protegidas. Embora esses processos já estivessem especificados na BS ISO/IEC 27001:2005, orientações adicionais foram necessárias sobre como gerenciar esses riscos, bem como colocá-los em um contexto, com outros riscos de negócios. Cabe uma observação, a versão mais atual desta terceira parte da BS 7799 foi publica em 2017, e esteve vigente até julho do ano seguinte, quando deu lugar à norma ISO/IEC 27005:2018 – Information technology — Security techniques — Information security risk management.

Série histórica normas BS 7799 e ISO 2700X.
Série histórica normas BS 7799 e ISO 2700X.

A ATUAL VERSÃO DA ISO/IEC 27001:2013

A BS ISO/IEC 27001:2005 estabelecia em sua referência normativa (necessárias para alcançar a conformidade com esta norma), a ISO/IEC 17799:2005. Em 2013, a NBR ISO/IEC 27001, chegou em sua versão atual, e foi adotada no Brasil com o título de ABNT NBR ISO/IEC 27001:2013 – Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação – Requisitos.

O escopo da NBR ISO/IEC 27001:2013 informa que esta Norma especifica os requisitos para estabelecer, imple­mentar, manter e melhorar continuamente um SGSI dentro do contexto de uma orga­nização. E, informa que ela também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação voltados para as necessidades de uma organização.

Cabe ressaltar que os requisitos definidos nesta Norma são genéricos e são pretendidos para serem apli­cáveis a todas as organizações, independentemente do tipo, tamanho ou natureza. A exclusão de quaisquer dos requisitos especificados nas Seções 4 a 10 não é aceitável, quando a or­ganização busca a conformidade com esta Norma.

Entretanto, a única menção nesta norma sobre Proteção e Privacidade de informações de identificação pessoal encontra-se no Controle A.18.1.4 (pg. 28), que está hierarquicamente sob o controle A.18.1 Conformidade com requisitos legais e contratuais, descrito a seguir:

“A privacidade e proteção das informações de identificação pessoal devem ser asseguradas conforme requerido por legislação e regulamentação pertinente, quando aplicável“.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27001: Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos. Rio de Janeiro: ABNT, 2013.

É indiscutível que o texto deste controle é muito genérico, não trazendo à tona elementos mais claros para a sua adoção. Cabe destacar que em 2013, o conceito de privacidade e os arcabouços jurídicos-regulatórios que estabeleciam exigências a serem cumpridas em determinada sociedade, não estavam tão em evidência assim. Apontando o holofote apenas para a proteção de dados, e deixando a privacidade, digamos, de lado. Fato é que, no contexto atual da sociedade mundial, não existe privacidade de dados pessoais sem proteção de dados pessoais, mas não cabe aqui discorrer sobre isso nesta matéria.

A EVOLUÇÃO DO CONCEITO DA PRIVACIDADE

Com o passar dos anos, principalmente o conceito de privacidade, mas o de proteção de dados também, evoluíram significativamente. De maneira mais abrangente, a primeira citação de privacidade foi realizada como motivação da exposição da vida privada, sem consentimento, quando em 15 dez. de 1890, dois jovens advogados, Samuel Warren e Louis Brandeis, publicaram na Harvard Law Review, um artigo jurídico intitulado: “The Right to Privacy”.

WARREN, Samuel & BRANDEIS, Louis. The Right to Privacy, Harv. L. Rev. 193 (1890).

Warren e Brandeis descreveram originalmente o direito à privacidade (“The Right to Privacy”) como um direito comum já existente que incorporava proteções para a “personalidade inviolável” de cada indivíduo. Vamos entender um pouco melhor os argumentos destes autores.

A lei comum dos EUA garante, para cada indivíduo, o direito de determinar, normalmente, em que medida seus pensamentos, sentimentos e emoções podem ser divulgados a outras pessoas, fixando os limites da publicidade que pode ser dado a eles. Para Warren e Brandeis, o direito à privacidade significava que cada indivíduo tinha o direito de escolher compartilhar ou não com os outros, informações sobre sua “vida privada, hábitos, atos e relações”.

Os autores do referido artigo argumentaram que era necessário o sistema legal norte-americano reconhecer o direito à privacidade, porque, quando a informação sobre a vida privada de um indivíduo é disponibilizada para os outros, tende a influenciar e até mesmo ferir o próprio cerne da personalidade de um indivíduo – “sua avaliação de si mesmo”.  

O conceito original de Warren e Brandeis do direito à privacidade, portanto, incorporou um insight psicológico, que naquele tempo era relativamente inexplorado, ou seja, que:

“a personalidade de um indivíduo, especialmente a sua autoimagem, pode ser afetada e, às vezes, distorcida ou ferida, quando a informação sobre a vida privada desse indivíduo é tornada disponível para outras pessoas”.

WARREN, Samuel & BRANDEIS, Louis. The Right to Privacy, Harv. L. Rev. 193 (1890).

Em termos mais simples, para os referidos autores, o direito à privacidade era o direito de cada indivíduo de proteger a sua integridade psicológica exercendo controle sobre as informações que refletiu e afetou a personalidade daquele indivíduo.

No conceito moderno e atual, podemos entender privacidade como direito fundamental, essencial para a autonomia e a proteção da dignidade humana, servindo como o fundamento sobre o qual muitos outros direitos humanos são construídos.

Explorando mais esse conceito moderno, percebemos que a privacidade permite às pessoas naturais, com o auxílio das autoridades de uma determinada sociedade, a criarem barreiras e fazerem a gestão dos limites que as protegem de interferências injustificadas em suas vidas, e permitem a elas negociarem quem são e como querem interagir com o mundo ao seu redor. A privacidade nos ajuda a estabelecermos as referidas barreiras para limitarmos quem tem acesso aos nossos lugares, objetos, bem como às nossas comunicações e informações.

As regras que protegem a privacidade nos dão a capacidade de fazermos valer os nossos direitos em face de desequilíbrios de poderes significativos. É inegável que a privacidade é essencial para quem somos como seres humanos, e é um elemento fundamental para nos dar o controle sobre quem sabe o que sobre nós.

Visto todo o exposto, pensar em estar compliant com a nossa Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, sem privacidade é utópico, concorda?

Não nos prolongaremos mais sobre privacidade neste artigo, já que o conteúdo é extenso. Contudo, voltaremos com artigo dedicado a ela, já que é tão relevante.

A NBR ISO/IEC 27701:2019

O Draft International Standard (DIS) ISO/IEC 27552Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines foi capitaneado pelo comitê técnico da ISO/IEC JTC 1/SC 27 – Information security, cybersecurity and privacy protection, e deu origem à norma ABNT NBR ISO/IEC 27701:2019 – Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes, que teve sua primeira edição, no Brasil, em 25 nov. 2019. Cabe destacar que houve, em 11.02.2020, publicação de uma errata para a inclusão de itens na Tabela C.2.

Por que essa norma é tão importante?

Porque ela especifica os requisitos e fornece as diretrizes para o estabelecimento, implementação, manutenção e melhoria contínua de um Sistema de Gestão de Privacidade da Informação (SGPI) na forma de uma extensão das normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, para a gestão da privacidade dentro do contexto da organização. Em outras palavras, a NBR 27701 estende o conceito de privacidade para as normas NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002, ou seja, especifica os requisitos relacionados ao SGPI e fornece as diretrizes para os Controladores de Dados Pessoais (DP) e Operadores de DP que têm responsabilidade e responsabilização com o tratamento de DP.

Ao contrário do que muitos também acreditam, esta norma é aplicável a todos os tipos e tamanhos de organizações, incluindo as companhias públicas e privadas, entidades governamentais e organizações sem fins lucrativos, que são controladoras de DP e/ou que são operadoras de DP.

Sobre a referência normativa da NBR 27701, os documentos a seguir são citados no texto de tal forma que seus conteúdos, totais ou parciais, constituem requisitos para esta norma, a saber:

  • ISO/IEC 27000:2018, Information technology – Security techniques – Information security management systems – Overview and vocabulary
  • ABNT NBR ISO/IEC 27001:2013, Tecnologia da informação – Técnicas de segurança – Sistemas de gestão da segurança da informação – Requisitos
  • ABNT NBR ISO/IEC 27002:2013, Tecnologia da informação – Técnicas de segurança – Código de prática para controles de segurança da informação

A NBR ISO/IEC 27701:2019 está baseada na NBR ISO/IEC 27001:2013 e na NBR ISO/IEC 27002:2013, e:

estende os seus requisitos e diretrizes para considerar, em complementação à segurança da informação, a proteção da privacidade dos titulares de DP, que podem ser potencialmente afetados pelo tratamento de DP.

Isto significa que, na prática, onde o termo “segurança da informação” for usado na ABNT NBR ISO/IEC 27001 ou na ABNT NBR ISO/IEC 27002, o termo “segurança da informação e privacidade” se aplica.

Com tudo o que foi exposto, pensar em capacitação, mapeamento de risco, adequação e auditoria somente com o capacete da NBR 27001, não resolverá o seu problema, nem o da sociedade. Mesmo que mais devagar, convém que pensemos em tudo isso, com o capacete da NBR 27701.

O tema privacidade e proteção de dados, junto com a LGPD, não diz respeito apenas às organizações, e sim às pessoas, ou seja, os titulares de DP. Então, quando pensamos em qualquer serviço, como capacitação, mapeamento de riscos, adequação, auditoria de conformidade, que seja negligenciado por pessoas, essas pessoas estão colocando em risco, justamente, a privacidade e proteção de dados pessoais de outras pessoas, e de si mesmo. Sendo assim, a mudança cultural começa por cada um de nós.

Por último e não menos importante, cabe ressaltar que as normas técnicas não concorrem com a Lei, e elas não têm a pretensão de tomar o lugar dela. Isto é, normas técnicas e leis são complementares. Contudo, imaginar que algum profissional, independente da área, ache que suas próprias soluções, muitas vezes empíricas, estão acima de uma evolução de proteção e privacidade de dados, de mais de 25 anos, pelo menos, quando a gente pensa nos conceitos caminhando juntos, na linha do tempo, isso tudo chama bastante a nossa atenção.

Gostou da matéria?


🚨 Não se esqueça de:

  • 👍 Curtir
  • 💬 Comentar
  • 💾 Salvar
  • 🔁 Compartilhar com os amigos

REFERÊNCIA BIBLIOGRÁFICAS

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27001: Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos. Rio de Janeiro: ABNT, 2013.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27002: Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação. Rio de Janeiro: ABNT, 2013.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27701: Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes. Rio de Janeiro: ABNT, 2019.

BRASIL. Lei no 13.709, de 14 de agosto de 2018. Brasília, DF: Presidência da República, [2018]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/ 2018/lei/L13709.htm. Acesso em: 1 abr. 2021.

HARVARD LAW REVIEW. The Right to Privacy. Disponível em: https://groups.csail.mit.edu/mac/classes/6.805/articles/privacy/Privacy_brand_warr2.html. Acesso em: 1 abr. 2021.

ISO. ISO/IEC 27005:2018 – Information technology — Security techniques — Information security risk management. Disponível em: https://www.iso.org/standard/75281.html. Acesso em: 2 abr. 2021.

McCREARY, Lew; HARVARD BUSINES REVIEW. What is Privacy? Disponível em: https://hbr.org/2008/10/what-was-privacy. Acesso em: 1 abr. 2021.

WARREN, Samuel & BRANDEIS, Louis. The Right to Privacy, Harv. L. Rev. 193 (1890).

 

One Response

  1. […] compartilhei aqui, mas cabe lembrar que, de maneira a chamar mais atenção, a primeira citação de privacidade foi […]

Deixe um comentário

O seu endereço de e-mail não será publicado.