É estratégico que toda organização que tenha uma infraestrutura de TI adote um Sistema de Gestão de Segurança da Informação (SGSI), cujas diretrizes estão explicitadas na ISO 27001. A norma, que sempre esteve em destaque quando o assunto é privacidade e proteção de dados, ganhou ainda mais relevância diante da chegada da Lei Geral de Proteção de Dados (LGPD). Quer saber onde está a relação entre a norma e a lei? Então não deixe de ler este post.
ISO 27001: o que é
Trata-se de uma norma que descreve o padrão de gestão que um sistema de segurança da informação deve ter, incluindo ações relacionadas a métodos, processos, pessoas, soluções, softwares, ferramentas e equipamentos. Nela, é possível encontrar informações sobre como planejar, implementar e revisar as iniciativas de proteção de dados. Faz parte da família da norma ISO 27000, que é totalmente dedicada à segurança da informação.
ISO 27001 e LGPD: qual é a relação entre elas?
O objetivo da ISO 27001 é proteger a integridade, a disponibilidade e a confidencialidade das informações de uma organização. A LGPD, por sua vez, foi criada para assegurar a privacidade dos cidadãos brasileiros por meio de regras para coleta, armazenamento e tratamento de dados sensíveis e pessoais, exigindo, entre outras coisas, que os detentores das informações se protejam contra possíveis vazamentos das informações dessas pessoas ou acessos indevidos a tais informações. Nesse contexto, ter a certificação da ISO 27001 é uma boa prática da LGPD, porém ter essa chancela não é garantia de que a organização está em compliance com a Lei, tendo em vista que a lista de exigências é bastante extensa.
Qual deve ser a principal preocupação das empresas?
Em se tratando da LGPD, sem dúvida, a maior preocupação das organizações deve ser com relação aos dados sensíveis e pessoais dos cidadãos, ou seja, informações particulares que permitam a terceiros identificar a quem elas pertencem. Nesse caso, pode ser detalhes sobre sua saúde, vida sexual, convicção religiosa, opinião política, origem racial, étnica ou filiação a sindicato ou a organização de caráter religioso, filosófico ou político, além de dados genéticos ou biométricos, entre tantos outros. Com relação a esse quesito, aliás, vale a pena uma investigação mais detalhada para entender quais são os principais direitos que a LGPD garante às pessoas.
Penalidades da LGPD: multa pode chegar a R$ 50 milhões
Caberá à Autoridade Nacional de Proteção de Dados (ANPD) fiscalizar o cumprimento da LGPD por parte das empresas. A multa, por infração, é equivalente a 2% do faturamento da empresa, limitando-se a R$ 50 milhões, além de algumas penalidades operacionais. Por isso, é fundamental que a seriedade da Lei, com direitos e deveres, seja assimilada por profissionais de todos os níveis hierárquicos, sem nunca esquecer de envolver o jurídico da sua empresa nessas conversas.
Com as sanções finalmente em vigor, é imprescindível que as organizações acelerem o passo para aderir às boas práticas da LGPD. Nossa expectativa é de que, em muito pouco tempo, a ANPD funcione como o Procon da privacidade e proteção de dados. Nós não queremos correr o risco de desrespeitar os direitos dos cidadãos brasileiros. E você?
Os especialistas da Etek NovaRed estão totalmente alinhados à LGPD e à ISO 27001. Conte com a gente para auxiliar o seu negócio a navegar com mais tranquilidade por esse novo momento. Vamos agendar uma reunião?