A ISO 27701, uma extensão ISO 27001, é uma norma internacional focada em gestão de privacidade de dados. Seu principal objetivo é definir os requisitos adicionais à norma de segurança, de modo que o tratamento das informações considere a questão da privacidade das mesmas.  

Por se tratar de uma norma generalista, é aplicável a organizações de diferentes portes e segmentos de mercado, sendo estas do setor público ou privado. Graças a isso, as empresas podem utilizá-la como base para se adequarem à Lei Geral de Proteção de Dados (LGPD), e as demais leis deste tipo que foram criadas ao redor do mundo nos últimos anos. 

Neste artigo destacaremos o que é a ISO 27701, suas vantagens e para quem é indicada. Além disso, destacaremos o passo a passo para sua implantação. Acompanhe a seguir. 

Qual a diferença entre a ISO 27001 e a ISO 27701?

A ISO 27001 é a norma que estabelece os controles necessários para uma adequada gestão de segurança da informação. Por meio dessa norma, torna-se possível implantar os princípios de segurança da informação de maneira eficiente e eficaz. 

Já a ISO 27701 endereça especificamente a questão das informações relacionadas a privacidade, trazendo para isso controles adicionais a ISO 27001. Ou seja, a implantação da 27701 depende da implantação 27001.  

Como a ISO 27701 apoia a Lei Geral de Proteção de Dados?

Antes de prosseguirmos com este artigo é necessário entendermos o conceito básico da Lei Geral de Proteção de Dados (LGPD).  

A LGPD está em vigor no Brasil desde agosto de 2020, tendo como objetivo garantir a transparência e a segurança no tratamento de dados pessoais por parte das empresas. Baseia-se na General Data Protection Regulation (ou Regulamento Geral sobre a Proteção dos Dados), uma lei europeia que define as regras sobre a coleta e o compartilhamento de informações pessoais, respeitando os princípios da privacidade e da liberdade. 

Entretanto, a LGPD, assim como as leis de privacidade específicas de cada país, determina o que deve ser feito, mas não como deve ser feito. E neste momento chegamos a ISO 27701. Esta norma pode, e deve, ser utilizada como um direcionador para implantar os controles necessários para uma adequada gestão de privacidade, dando assim um maior respaldo legal à empresa que a implanta. 

Quais as vantagens da ISO 27701?

A ISO 27701 é capaz de proporcionar diversos benefícios para as empresas. Entre os principais estão: 

• mostrar aos funcionários, fornecedores e clientes que a empresa se preocupa com seus dados, melhorando assim a imagem da empresa perante o mercado; 
• otimizar os processos internos referentes à proteção dos dados pessoais, reduzindo o risco de vazamento de dados; 
• conscientizar os funcionários sobre a importância da segurança e da privacidade das suas informações; 
• proporcionar transparência nos controles direcionados à gestão da privacidade, pois todos saberão como os dados são tratados; 
• facilitar o fechamento de acordos com parceiros que se preocupam com o tema da privacidade; 
• E, finalmente, direcionar a adequação à Lei Geral de Proteção de Dados e às outras leis relacionadas à privacidade. 

Para quem a ISO 27701 é indicada?

A ISO 27701 é recomendada para as empresas que realizam o armazenamento e/ou tratamento de informações pessoais em larga escala, ou para fornecedores de empresas que os fazem. 

É cada vez mais comum a inclusão de cláusulas relacionadas à privacidade em minutas contratuais, e uma certificação como a ISO 27701 traz a tranquilidade do cumprimento de tais cláusulas para ambas as partes. 

Como implementar a ISO 27701?

Primeiramente, a empresa deve adequar-se aos controles definidos na ISO 27001, que, como mencionado anteriormente, é a norma base para essa. Depois de tal adequação, os próximos passos são: 

• Avaliar os processos corporativos, identificando aqueles que tratam informações pessoais; 
• Adequar os processos corporativos à norma; 
• Implantar os demais controles especificados na norma; 
• Promover treinamentos regulares para todos os colaboradores, garantindo que os mesmos seguirão as novas práticas de gestão de segurança da informação; 
• Contratar uma instituição avaliadora para verificar se a sua organização adota os processos da ISO 27701 de forma adequada. 

Como a Future pode te ajudar?

Sabemos que a execução dos passos citados acima não é algo simples, dependendo de conhecimento específico e da disponibilidade de recursos (humanos e financeiros). 

Com ampla experiência em processos de avaliação e adequação à LGPD, a Future destaca-se no mercado brasileiro como uma das principais alternativas para apoiar empresas de todos os portes e segmentos em sua jornada de adequação à ISO 27001. Conte conosco. 

Ficou com alguma dúvida sobre a ISO 27701? Entre já em contato conosco! Nós, da Future, estamos disponíveis para ajudá-lo a esclarecer os seus questionamentos. Será um grande prazer auxiliá-lo!