Com base na norma britânica BS 7799-2, a ISO 27001, publicada em 2005, é uma norma de referência internacional para implementação e manutenção de um Sistema de Gestão de Segurança da Informação (SGSI). Composta por 11 (onze) seções, quem desejar essa certificação deverá obrigatoriamente seguir uma série de indicações previstas na norma.
A certificação tem como objetivo garantir a integridade, confidencialidade, disponibilidade e autenticidade das informações tratadas pela empresa/instituição.
Com a chegada da Lei Geral de Proteção de Dados Pessoais (“LGPD” – Lei nº 13.709/18), a certificação ganhou mais notoriedade, levando a inevitáveis comparações entre as duas. Mas será que a certificação ISO 27001 substitui uma adequação à LGPD?
Basta uma rápida leitura da ISO 27001 para perceber que suas práticas se assemelham muito aos objetivos da lei de proteção de dados pessoais brasileira.
Se observarmos o item 4.2.1, no índice E, da norma ISO, por exemplo, há uma série de observâncias que se assemelham muito às recomendações de uma matriz de risco utilizada em alguns projetos de adequação à LGPD:
4.2.1 Estabelecer o SGSI.
A organização deve:
(…)
e) Analisar e avaliar os riscos.
1) Avaliar os impactos para o negócio da organização que podem resultar de falhas de segurança, levando em consideração as consequências de uma perda de confidencialidade, integridade ou disponibilidade dos ativos.
2) Avaliar a probabilidade real da ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes, e impactos associados a estes ativos e os controles atualmente implementados.
3) Estimar os níveis de riscos.
4) Determinar se os riscos são aceitáveis ou se requerem tratamento utilizando os critérios para aceitação de riscos estabelecidos em 4.2.1c)2).
Já no item F, desse mesmo tópico, podemos observar ainda mais semelhanças entre os objetivos da norma e da certificação:
f) Identificar e avaliar as opções para o tratamento de riscos.
Possíveis ações incluem:
1) aplicar os controles apropriados;
2) aceitar os riscos consciente e objetivamente, desde que satisfaçam claramente às políticas da
organização e aos critérios de aceitação de riscos (ver 4.2.1c)2));
3) evitar riscos; e
4) transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores.
Apesar da certificação ISO 27001 ter muitos outros fatores de semelhança aos propósitos da LGPD e de claramente facilitar a implementação de projetos de Governança em Privacidade, é importante observar que ela abarca e mitiga apenas parte dos problemas que a maioria das empresas que trata dados pessoais têm.
Inclusive, por essa razão, em 2019 a ISO 27001 passou por uma reformulação, se tornando um complemento de sua versão anterior, justamente para atender à crescente demanda das políticas de proteção de dados pessoais, muito inspiradas na GDPR – General Data Protection Regulation (a legislação de proteção de dados pessoais da União Europeia).
No entanto, é importante ressaltar que uma empresa certificada pela ISO 27001 não estará necessariamente em perfeita conformidade com a LGPD, isso porque a certificação garante uma observância quanto aos processos de segurança da informação, o que claramente coopera na adequação à lei, mas não é suficiente para dispensar outros requisitos de segurança no que se refere ao tratamento de dados pessoais.
É claro que uma boa gestão de segurança da informação irá evitar o vazamento de dados por meios digitais, mas não podemos esquecer que a LGPD não trata apenas desse tipo de ocorrência. A Lei é muito mais abrangente em como proteger e utilizar os dados pessoais de seus titulares.
Desse modo, a certificação da empresa não garantirá uma sólida base legal para utilização dos dados e tampouco estipulará uma política de descarte desses mesmos dados, por exemplo. Existem ainda questões que são verificadas por meio de mapeamento dos processos, como os dados disponíveis em meio físico, que exigem tanta proteção quanto os dispostos em meios digitais.
Em resumo, a obtenção de uma certificação ISO 27001 é um complemento importante e um importante indício da preocupação organizacional com a proteção de dados pessoais, mas não é possível dizer que essas duas atividades (certificação e adequação à lei) sejam excludentes entre si.
Sobre a autora:
JULIANA MACIEL – Advogada associada da Moreno Moro Advogados. Graduada em Direito pela Pontifícia Universidade Católica do Paraná (PUCPR). Especialista em Direito e Processo Tributário pelo Centro de Estudos Renato Saraiva (CERS). Graduanda em Tecnologia em Análise e Desenvolvimento de Sistemas no Centro Universitário Internacional (Uninter). Possui formação em proteção de dados pessoais/LGPD pelo Centro de Estudos Renato Saraiva (CERS) e em gestão de segurança da informação baseada na norma ISO 27001.
juliana.maciel@morenomoro.com.br