A ISO 27701 é uma extensão da ISO 27001 e da ISO 27002, projetada para fornecer diretrizes específicas para a gestão da privacidade da informação. Ela estabelece os requisitos e controles necessários para implementar e manter um Sistema de Gestão da Informação sobre Privacidade (SGIP), ajudando as organizações a cumprir regulamentações de proteção de dados, como o Regulamento Geral de Proteção de Dados (RGPD) da União Europeia.
Objetivo principal
O objetivo da ISO 27701 é permitir que as organizações gerenciem com eficácia os riscos relacionados à privacidade e demonstrem conformidade com leis e regulamentos de proteção de dados, ao integrar a gestão de privacidade em um sistema baseado na ISO 27001.
Principais características
Extensão do SGSI (Sistema de Gestão de Segurança da Informação):
- A norma complementa a ISO 27001 ao incluir requisitos específicos para a proteção de dados pessoais (informações de identificação pessoal – PII).
Definição de papéis e responsabilidades:
- Fornece orientações tanto para Controladores de Dados quanto para Processadores de Dados, alinhando-se às exigências legais como o RGPD.
Implementação de controles de privacidade
- Controles adicionais voltados para a coleta, processamento, armazenamento, compartilhamento e descarte de dados pessoais.
Conformidade com legislações globais:
- A norma é estruturada para ajudar empresas a cumprir regulamentações de proteção de dados de diferentes jurisdições, como RGPD, CCPA (Lei de Privacidade da Califórnia), entre outras.
Benefícios da ISO 27701
Conformidade com regulamentações: Facilita a adaptação às exigências legais de privacidade e proteção de dados.
Reforço da confiança: Demonstra compromisso com a proteção de dados pessoais para clientes, parceiros e autoridades regulatórias.
Abordagem integrada: Permite que a gestão da privacidade seja integrada ao sistema de segurança da informação existente, otimizando processos e recursos.
Redução de riscos: Ajuda a identificar e mitigar riscos relacionados à privacidade de dados.
Transparência organizacional: Promove políticas claras e práticas transparentes em relação ao uso de dados pessoais.
Para quem é destinada
A ISO 27701 é aplicável a qualquer organização que processe dados pessoais, independentemente do porte ou setor, incluindo:
Relação com outras normas
ISO 27001: A ISO 27701 é implementada como uma extensão do SGSI, utilizando sua estrutura de gestão de segurança da informação.
ISO 27002: A norma utiliza os controles de boas práticas de segurança da informação da ISO 27002, ampliando-os com aspectos de privacidade.
A adoção da ISO 27701 é uma solução estratégica para organizações que desejam demonstrar conformidade com regulamentações de privacidade, melhorar sua gestão de dados pessoais e proteger a privacidade de seus clientes e stakeholders de forma eficaz e integrada.
Leia os nossos artigos sobre certificações e saiba um pouco mais.