*Ana Amelia Menna Barreto
A Lei Geral de Proteção de Dados 13.709/18 apresenta comandos mandatórios, principiológicos e conceituais – de adoção de requisitos de segurança da informação para atendimento as regras e padrões técnicos de boas práticas de governança -, além sugerir a implementação de programa de governança em privacidade.
O texto legal se refere ao termo ‘segurança’ por 23 oportunidades. Conceitua segurança como sendo a ‘utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão’. Art. 6º, VII
Normalização
Normalização é o processo de formulação e aplicação de regras para a solução ou prevenção de problemas. A norma é o ‘documento estabelecido por consenso e aprovado por um organismo reconhecido, que fornece regras, diretrizes ou características mínimas para atividades ou para seus resultados, visando à obtenção de um grau ótimo de ordenação em um dado contexto’.
As normas ISO
A ISO é uma organização internacional não governamental e independente, criada em 1946. Reúne 165 organismos de normalização de vários países, que compõem 795 comitês e subcomitês técnicos. Atualmente existem 23.884 normas internacionais sobre tecnologia e fabricação.
Suas normas estabelecem padrões e especificações técnicas seguras e melhores práticas de gestão e atributos desejáveis em produtos e serviços, como segurança, qualidade, confiabilidade, intercambialidade, eficiência.
Existem em normas técnicas, normas de classificações e normas de procedimento.
Por exemplo, a norma 31.66-1 é um padrão que define códigos para nomes de país. Na internet – os domínios de topo de código de país utilizados (ccTLD), identificados por duas letras – utilizam os códigos estabelecidos na norma.
A vasta série de normas ISO são classificadas por ‘famílias’: ISO 9.000 de qualidade, ISO 14000 de gestão ambiental e a família ISO 27000 de gestão de segurança da informação, etc.
A governança da segurança da informação pertence à família das normas ISO 27k.
27000: Termos e definições dos SGSI
27001: Requisitos para um sistema de gestão de segurança da informação
27002: Código de práticas para controles de segurança da informação
27003: Conjunto de instruções para a implementação do SGSI.
27004: Definição de métricas para a GSI
27005: Gestão de risco de SI
27006/27007/27008: Guias para auditorias de controle de SI
27013: Guia para implementação da 27000 em conjunto com a 20000
27014: Técnicas para governança da SI
27031: Guia de conceitos e princípios da SI
27701: Governança da Privacidade – Gestão da privacidade, requisitos e orientações para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gerenciamento de Informações de Privacidade. Seu Anexo G traz o mapeamento para a LGPD.
Tecnologia da Informação – Proteção de dados pessoais em sistemas de informação
29100: Tecnologia da Informação -Técnicas de segurança – Estrutura de privacidade.
Escopo: Termos e definições – Elementos básicos da estrutura de privacidade – Visão geral da estrutura de privacidade – Atores e papéis – Interações – Reconhecendo DP – Requisitos de salvaguarda de privacidade – Políticas de privacidade – Controles de privacidade – Os princípios de privacidade.
29134: TI – Técnicas de Segurança – Diretrizes para avaliação do impacto da privacidade – Código de práticas para proteção de dados pessoais.
29151: Tecnologia da informação – Técnicas de segurança – Código de prática para proteção de informações de identificação pessoal.
Objetivos dos controles de proteção de dados, controles necessários e diretrizes para a implementação. Anexo A: apresenta conjunto de controles para proteção de dados pessoais.
29184: Tecnologia da informação – Avisos de privacidade on-line e consentimento.
Escopo: Especifica os controles que formatam o conteúdo e a estrutura dos avisos de privacidade on-line, bem como o processo de solicitação de consentimento para coletar e tratar dados pessoais (DP) de titulares de DP.
Publicada em 25/06/2021 https://www.iso.org/news/ref2525.html
Aplicadas a ANPD encontramos outras séries de normas ISO
Cloud computing: 27017 + 27018
Cibersegurança: 27010 + 27032
Resposta de incidentes: 27035
Segurança em rede: 27033-1 (+ 2, 3, 4, 5, 6)
Segurança em aplicações: 27034-1 (+ 2, 3, 4, 5, 6)
Relacionamento com fornecedores: 27036
Investigação incidentes de segurança: 27043
Evidências digitais: 27037 + 27038 + 27041 + 27042
Sistema de Gestão de Compliance: 19600
Aplicação das normas ISO no processo de adequação à LGPD
O ecossistema da proteção de proteção de dados navega em microssistemas legais, conceituais, técnicos e de gestão.
As normas ISO especificam requisitos e fornecem controles, políticas e diretrizes seguras para o estabelecimento, implantação e melhoria contínua de sistemas de gestão de segurança da informação e de privacidade e no processo de avaliação de riscos.
Esse roteiro abrangente de normas oferece grande apoio para uma jornada segura para atender aos ditames da LGPD no processo de adequação das empresas.
*Advogada, Mestre em Direito, Professora em Direito Digital e Proteção de Dados
