Com a transformação digital, houve uma explosão no compartilhamento de dados entre pessoas, entre empresas e entre pessoas e empresas. Uma vez que a internet não tem uma central, é um ambiente construído por membros. Portanto, coube aos países criarem mecanismos para organizar a troca de dados, como a ISO 27000 e LGPD, que evitam que empresas utilizem informações de forma indevida.
As duas regulamentações ajudam a garantir um padrão para o tratamento de dados. Isso porque, elas fornecem ferramentas para que os envolvidos na transação ou no tratamento de informações possam ter uma linha a seguir, eliminando possíveis riscos para o negócio.
Neste post, vamos entender em mais detalhes qual é a relação entre ISO 27000 e LGPD para segurança dos dados. Confira!
O que é a LGPD?
A Lei Geral de Proteção de Dados Pessoais (LGPD), regida pela Lei 13.709/2018, entrou em vigor em setembro de 2020 e se caracteriza como uma regulamentação que exige maior rigor na forma como as empresas e os órgãos governamentais tratam os dados de pessoas físicas. O principal foco da lei é dar protagonismo ao titular dos dados, garantindo todo o controle a ele.
Para isso, as empresas devem deixar claro os motivos pelos quais estão recolhendo os dados. O titular, mesmo concedendo o acesso a informações pessoais, tem o controle para modificá-lo ou removê-lo a qualquer momento. As informações pessoais são aquelas que podem identificar o seu titular. Entre elas, podemos destacar:
- nome;
- endereço;
- número de documentos;
- endereço IP;
- cookies;
- data de nascimento.
Além disso, a LGPD também trata dos dados sensíveis, aqueles que trazem informações que, mais do que identificar o titular, acabam revelando escolhas pessoais, características físicas, opiniões, sexualidade, quadro de saúde etc. Quando colocadas em risco, essas informações podem levar o seu portador a sofrer preconceitos ou ser segregado em processos, sem nem sequer saber o motivo.
As empresas precisam se preparar e disponibilizar todas as ferramentas de proteção e controle desses dados, além de criarem parâmetros seguros para a coleta. É necessário deixar claro quais informações estão sendo coletadas, a finalidade e por quanto tempo.
Internamente, a empresa deve contar com um profissional ou equipe responsável por garantir a aplicação das normas e atuar como figura intermediária entre o titular e a empresa.
Entenda o ponto fundamental da LGPD
O principal objetivo da LGPD é evitar o conjunto de perigos que podem levar ao uso indevido de dados, divulgações não autorizadas e manipulações fraudulentas para o titular. A lei garante que as empresas adotem as medidas possíveis para controlar as ameaças, minimizando os riscos.
A força dessa lei está no empoderamento que o titular ganha em relação aos seus dados pessoais, além da responsabilidade que o agente responsável por coletar e organizar os dados passa a ter, principalmente por conta das sanções que poderão ser aplicadas caso as medidas não sejam aplicadas.
Quais são as sanções para empresas que não cumprirem a lei?
Os danos que uma empresa pode ter ao descumprir as especificações da LGPD podem ser de reputação, com a empresa perdendo credibilidade no mercado para clientes e parceiros. Também podem ocorrer impactos legais, com a companhia precisando responder a vários processos, o que aumenta os gastos jurídicos e compromete o seu orçamento.
As empresas que não cumprirem as especificações, de segurança, como não obter o consentimento do titular ou facilitar o vazamento de dados, podem sofrer desde uma simples advertência até uma multa de 2% de seu faturamento, limitada a R$50 milhões.
Como a família de normas ISO 27000 se relaciona com a LGPD?
A família de normas ISO 27000 trata de forma direta sobre as ameaças aos dados, com foco no controle de vulnerabilidade dos riscos, ou seja, visa a segurança das informações. Estamos falando de um conjunto de práticas em forma de recomendações que permitem às empresas a criação de um padrão de segurança.
Portanto, a determinação abrange desde os conceitos básicos e o processo de gestão até a implementação de controle de segurança em casos bem específicos, como o ambiente em nuvem. Sem falar que existem complementos para aspectos mais técnicos, relacionados à segurança da informação, como os parâmetros apresentados na ISO 29100.
Um dos temas mais desenvolvidos na LGPD é a segurança das informações. No artigo 46, a lei deixa bem claro quais são os seus principais requisitos, definindo que os agentes de tratamento deverão adotar todas as medidas de segurança, técnicas e administrativas necessárias para a proteção de dados pessoais, de modo a impedir acessos não autorizados, situações acidentais ou alterações inadequadas.
Por ser um padrão internacional de segurança, a ISO 27000 se torna a base das principais legislações de proteção de dados, pois estamos falando de uma ferramenta de controle. Quando a empresa utiliza a ISO 27001 como base, ela passa a contar com um sistema de melhorias contínuas, que garante fortes medidas técnicas e administrativas.
Dessa forma, a empresa estabelece a avaliação dos riscos de segurança e proteção. Isso cria as condições necessárias para que sejam adotadas as medidas de controle, monitoramento e avaliação do desempenho de processos relacionados à proteção de dados.
Como aumentar a proteção de dados da empresa?
Apenas adequar os seus processos às exigências da LGPD não é o suficiente para cumpri-la. É importante que o negócio também implemente cuidados específicos na gestão e sistemas utilizados no cotidiano das suas operações. Veja as melhores dicas para aumentar a proteção dos dados que circulam na sua rede.
- crie uma política de segurança personalizada para as atividades da empresa;
- estabeleça controles de acessos para os colaboradores;
- faça a manutenção dos registros de cada atividade executada;
- treine e conscientize a sua equipe para preservar a segurança da informação;
- bloqueie os sistemas de saída;
- elabore planos de contingência;
- realize backups periodicamente;
- comunique as autoridades nacionais ao perceber irregularidades.
Qual a importância de aderir à ISO 27000?
Ao adquirir a certificação ISO 27000, você traz uma série de vantagens para a sua empresa. A primeira delas é o retorno sobre o investimento, uma vez que o esforço e dinheiro empregado nesse processo refletem no aumento da eficiência dos seus sistemas e processos, elevando a produtividade e proporcionando o alcance de melhores resultados.
O fato de utilizar uma regulamentação que protege as informações e evita a ocorrência de erros e infrações que possam gerar multas faz com que a organização diminua os seus custos, logo pode salvar o seu dinheiro para efetuar investimentos que acelerem o seu crescimento.
Tudo isso contribui para que a empresa tenha confiabilidade e transmita credibilidade para o seu público-alvo, construindo uma imagem forte e respeitada no mercado. Desse modo, a adequação ao ISO 27000 é um diferencial competitivo, capaz de tornar a sua marca uma referência entre os concorrentes.
Como conseguir a ISO 27000?
Para obter a certificação ISO 27000 é necessário dividir a norma em etapas, sendo que uma garante o bom funcionamento da outra. Acompanhe quais são os requisitos indispensáveis para alinhar os seus processos à norma.
Estude o contexto da empresa
Em primeiro lugar, é preciso estudar como a empresa lida com as questões que envolvem segurança da informação, se ela conta com Sistema de Gestão de Segurança da Informação (SGSI), como a liderança trabalha essa política e quais são as suas funções e responsabilidades.
Essas informações ajudam a organização a entender qual é a sua realidade e de onde deve partir para eliminar brechas e corrigir falhas que coloquem a segurança dos dados em perigo.
Avalie os riscos
Nesta etapa, comece montando um planejamento que auxilie na identificação de riscos e oportunidades. A partir dele, você pode criar objetivos para melhorar a segurança da informação.
Outro ponto importante é que a equipe de suporte cheque quais são os seus recursos, bem como competências e comunicação utilizados no cenário atual e que apresentam riscos para as suas atividades.
Implemente controles operacionais
Após identificar quais são os riscos para a segurança digital do seu negócio, é hora de implementar os controles operacionais, que nada mais são do que métodos e ferramentas que blindam a sua rede, eliminando as potenciais ameaças.
Faça análise de eficácia
Aqui, a companhia analisa o desempenho da segurança empregada nas suas atividades. Para tanto, deve-se monitorar e avaliar os processos por meio de uma auditoria interna, que considere todos os detalhes do negócio. Assim, será possível descobrir falhas que abram portas para invasões e corrigi-las com antecedência.
Aplique melhorias
Com base nos riscos identificados na fase anterior, a empresa precisa pensar e aplicar ações corretivas. A melhoria deve acontecer de maneira contínua, o que quer dizer que mesmo após receber a certificação, você deve seguir avaliando os seus resultados de segurança para manter-se atualizado e livre de riscos.
As organizações certificadas estão muito mais preparadas para se adequarem à LGPD, reduzindo os riscos de infração à legislação, pois já terão os parâmetros necessários para proteger os titulares dos dados e a própria empresa de sanções.
O ideal é que a companhia conte com um parceiro especializado, com know-how e uma equipe qualificada para implementar as medidas de segurança necessárias.
Como vimos neste post, a LGPD é uma legislação que garante a proteção de dados pessoais e combate o uso indevido por empresas e órgãos governamentais. Para que a empresa garanta essa proteção, é necessário o acompanhamento de um padrão, e a Norma ISO 27000 traz os parâmetros que a empresa precisa para atender às necessidades da nova legislação.
Achou este post interessante? Compartilhe-o nas suas redes sociais e mostre para os seus amigos a importância das regulamentações ISO 27000 e LGPD!
Thiago Cabral
Bacharel em administração e pós-graduado em Gestão e Governança de TI pela FIAP. Com cerca de 10 anos de experiência no mercado de segurança da informação, ajudou a fundar a empresa Athena Security, onde atua como Sócio-Diretor responsável pelas estratégias de Marketing e pela qualidade de atendimento ao cliente. Acredita que a chave para o sucesso é a especialização, atendimento consultivo e visão inovadora.
