Neste artigo vou trazer informações sobre a norma ISSO 27701, recentemente emitida para gerenciamento de informações de privacidade. Esta é uma extensão da ISO 27001 - o padrão ouro para segurança da informação. E, para mim, as últimas novidades me trouxeram lembranças de meados de 2008, quando entrei em contato com os padrões de segurança da informação.

Os controles ISO 27001, por design, impactam positivamente todos os aspectos das operações - funções de front e back-office - e todos os funcionários. O desenvolvimento de políticas, processos e pessoal é responsável pela maior parte do esforço de certificação, mas também é necessário realizar investimentos em tecnologia impulsionados principalmente por requisitos de políticas e processos. Isso fornece uma boa lição sobre o poder da aplicação intencional da tríade pessoas-processo-tecnologia.

A extensão ISO 27701

A transformação organizacional que testemunhei como resultado da certificação ISO 27001 é o que me deixa animado com a nova extensão da ISO 27701. Em suma, a ISO 27701 fornece uma estrutura para lidar com informações pessoais dentro de uma organização. Ele faz isso estendendo o Sistema de Gerenciamento de Segurança da Informação (ISMS) exigido pela ISO 27001 por meio do desenvolvimento de um Sistema de Gerenciamento de Informação de Privacidade (PIMS). O PIMS coloca em camadas controles e requisitos específicos de privacidade de dados no topo da estrutura de segurança da informação exigida pela ISO 27001. Em outras palavras, ele alavanca suas políticas existentes de segurança da informação e estrutura de procedimentos.

Considerando a grande sobreposição entre segurança da informação e privacidade de dados, a extensão da ISO 27701 da ISO 27001 parece uma abordagem inteligente para gerenciamento e conformidade de privacidade de dados. O novo padrão também apoia a ideia de que as organizações não devem agir sozinhas ou recorrer a métodos ad hoc ao elaborar suas políticas e procedimentos de privacidade de dados.

Olhe para os especialistas - e os regulamentos e leis existentes

Há muitas orientações excelentes sobre privacidade de dados, e muitas delas são gratuitas. Regulamentações e leis como a Lei Geral de Proteção de Dados (LGPD) do Brasil, o Regulamento Geral de Proteção de Dados (GDPR) da Europa e o Ato de Privacidade do Consumidor da Califórnia (CCPA) não surgiram do nada. Em vez disso, baseiam-se nas melhores práticas, padrões e controles existentes. Consequentemente, quanto mais você alinhar as políticas da sua organização com esses padrões públicos e melhores práticas, melhor posicionado você estará quando novas leis, regulamentos e regras de privacidade de dados forem promulgados.

Há muito tempo defendo que a forma mais eficaz de gerenciar os riscos à privacidade de dados é aproveitar a experiência de quem já fez. Portanto, faça uso das melhores práticas endossadas por grupos como a International Association of Privacy Professionals, o National Institute of Standards and Technology, a ARMA International e a Association for Intelligent Information Management. Leia sobre os padrões ISO relevantes, como ISO 27001 e ISO 27701. Encontre especialistas com a experiência que você ainda não tem. E aplique a tecnologia mais apropriada para lidar com seus desafios de privacidade de dados.