Muito já se ouviu falar na ISO/IEC 27001:2013, padrão internacional para sistema de gestão da segurança da informação, e agora, com a Lei Geral de Proteção de Dados Pessoais – lei federal 13.709/18 (LGPD), tornou-se recorrente a indagação sobre a adequação daqueles que são certificados pela ISO 27001:2013. Isso porque, afinal, possuir a certificação ISO/IEC 27001:2013 significa estar automaticamente Compliance com a LGPD?

A norma ISO/IEC 27001:2013 teve sua origem em novembro de 2005 da adaptação do padrão BS 7799 Parte 2 (British Standards) pela ISO (Internacional Organization for Standardization) e pelo IEC (International Electrotechical Commision), e foi integralizada nacionalmente pela ABNT - Associação Brasileira de Normas Técnicas que traduziu a norma em 2006, dando assim efetividade e impacto a esse padrão dentro do território brasileiro.

Tal norma trata especificamente dos requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação (SGSI) dentro de uma empresa, buscando garantir a confidencialidade, integridade e disponibilidade de um sistema de segurança.

Já a Lei Geral de Proteção de Dados – lei federal 13.709/18 sancionada em agosto de 2018, dispõe sobre a proteção de dados pessoais no Brasil, tratando acerca da coleta e tratamento de dados pessoais, e possui sua vigência prevista para agosto de 2020.

Para início da análise comparativa, é importante esclarecer que a LGPD busca regular a forma adequada de tratamento dos dados pessoais, levando em consideração a transparência nas relações, principalmente com o titular dos dados, criando a obrigação para àqueles que tratam os dados pessoais de garantir os direitos dos titulares desses dados.  

A segurança da informação, por sua vez, é parte essencial da LGPD posto que a proteção dos dados e da privacidade somente será possível com o sistema de gestão de segurança da informação adequado.

E apesar da ISO/IEC 27001:2013 cobrir diversos aspectos indispensáveis ao processo de adequação com a LGPD, como gestão de incidente de segurança, assim como padrões mínimos de segurança para assegurar a proteção dos dados pessoais, não garante o cumprimento total da Lei, visto que há exigências que extrapolam a gestão da segurança da informação.

Outro ponto a se destacar é que possuir a certificação é entendido pela LGPD como boa prática, ou seja, existiu boa fé na tentativa de prevenção ao incidente de dados, e quando comprovada perante a Autoridade Nacional de Proteção de Dados, pode resultar em atenuação de multa. E não obstante o impacto positivo, somente as boas práticas também não garantem a efetiva implementação da LGPD.

Finalmente, a certificação ISO/IEC 27001:2013 não é suficiente para a adequação com a LGPD posto que conforme se verifica do parâmetro A.18.1.1, a implementação da norma deverá acontecer em consonância com os requisitos legislativos estatutário, regulamentares e contratuais pertinentes. Contudo, considerando que a LGPD ainda não está em pleno vigor, não tem sido contemplada como requisito obrigatório para certificação. Assim, a partir de agosto de 2020, as empresas certificadas hoje poderão ser sinalizadas da necessidade de implementação de novos requisitos.

A natureza complementar dessas normas se destaca também pela análise de seus princípios norteadores. A LGPD é regida por 10 (dez) princípios, sendo abarcado pela norma ISO/IEC 27001:2013 somente 2 (dois) deles, a segurança e a prevenção, o que demonstra a sua indispensabilidade, assim como sua incompletude para assegurar a adequação completa com legislação de proteção de dados.

Diante dessa análise, possível concluir que estar em conformidade com a norma ISO/IEC 27001:2013 não necessariamente implicará em conformidade com a legislação de proteção de dados, entretanto, se tornará um bom indicador de que o processo de adequação está na metade do caminho.   

Para uma visão mais ampla acerca da implementação da LGPD, seguem alguns pontos que a ISO/IEC 27001:2013 determina como obrigatório em sintonia com a LGPD:

  • Identificação e atribuição de responsabilidades pela proteção de ativos (A.8.1);
  • Classificação da Informação (A.8.2.1);
  • Controle de acesso para limitação de acesso à informação da informação por pessoas não autorizadas (A.9.1);
  • Segurança da informação de forma específica (A.14);
  • Controle de fornecedores para que atendam aos requisitos mínimos de segurança de informação da empresa (A.15.1); e
  • Gestão de incidente de segurança da informação (A.16.1); dentro outros aspectos que tratem especificamente sobre SGSI.

E para comparação, seguem alguns pontos que a ISO/IEC 27001:2013 não contempla em seu escopo:

  • a atribuição de papéis dentro do tratamento de dados e diferenciação de responsabilidades (“controlador/”operador”);
  • a diferenciação de definição e tratamento de dados pessoais e dados pessoais sensíveis;
  • a necessidade de mapeamento de banco de dados com sua classificação por origem, base legal e finalidade;
  • a necessidade da eliminação de dados após tratamento (art. 16, LGPD);
  • a necessidade de garantia dos direitos dos titulares (art.18, LGPD);
  • comunicação transparente para o titular de dados sobre a finalidade do uso de seus dados; dentre outros aspectos que tratem especificamente sobre Proteção de Dados Pessoais.

Diante do exposto, verifica-se que ambas as normas possuem preceitos convergentes, sem que, contudo, uma abranja a outra em sua totalidade, o que evidencia a natureza complementar de ambas. Desta forma, conclui-se que apesar da ISO/IEC 27001:2013 configurar como boa prática perante a aplicação da LGPD, por si só não configura como suficiente para implementação do disposto na legislação.

Nesse cenário, reconhecendo tal lacuna, fora desenvolvida a ISO/IEC 27701:2019, publicada em agosto de 2019, como uma extensão da ISO/IEC 27001:2013, em busca da complementação da norma sob os aspectos da privacidade e proteção de dados, inspirado no GDPR (General Data Protection Regulation).

Por enquanto, a norma ISO/IEC 27701:2019 ainda não foi integralizada ao âmbito nacional, sem prazo para sua tradução e internalização pela ABNT, o que permite as empresas, por hora, a incorporação da norma de forma independente como boa prática. 

Ressalta-se, contudo, que apesar dessa extensão tratar de privacidade e proteção de dados, fora desenvolvida influenciada no GDPR, e apesar da LGPD também ter sido inspirada no GDPR não se trata de uma cópia exata, e por isso, poderá não abarcar com precisão todos os requisitos necessários ao atendimento da legislação nacional.

Portanto, considerando o momento atual de adaptação para a entrada em vigor da LGPD, recomendam-se as empresas com a certificação da ISO/IEC 27001:2013 a análise e adaptação com a norma ISO/IEC 27701:2019 em conjunto com o disposto na LGPD para que se confira um caráter completo de implementação do modelo de negócio fundado na privacidade e proteção de dados pessoais almejado pela LGPD.

_______________

t*Vitor Morais de Andrade é sócio advogado do escritório LTSA Advogados

x

x

x

t*Stella He Jin Kim é advogada associada do escritório LTSA Advogados

-