Você sabe a diferença entre as normas ISO e a LGPD (Lei Geral de Proteção de Dados Pessoais)?

Além de contextualizar bem essa questão e abordar o processo de certificação, este post traz algumas dicas de como a Compliance Total pode ajudar a sua empresa adequar-se à LGPD.

Entenda a diferença entre a LGPD e a ISO

As normas ISO têm caráter de atendimento voluntário, ficando a critério de cada empresa adequar-se ou não a seus requisitos. 

Já a LGPD é uma Lei Federal, portanto, atendê-la é obrigação de toda e qualquer instituição.

A família ISO 27.000 possui algumas normas, como você pode ver na figura abaixo, cujo propósito é representar, de uma forma simplista e didática, a inter-relação dos temas abordados em cada uma delas e na LGPD.. 

Observe que cada documento tem conteúdo específico, restando apenas zonas de intersecção e interfaces entre os assuntos. 

ISO 27.000: normas e especificações

As primeiras normas dessa família são a ISO 27.001 e a ISO 27.002, com escopos bem abrangentes, cobrindo não apenas os dados pessoais, mas sim uma gama bastante diversificada de informações, tais como:

• Informações estratégicas.
• Segredo industrial.
• Características técnicas dos produtos.
• Dados mercadológicos e de marketing.
• Números financeiros (rentabilidade, lucro, capacidade de investimento).
• Planos de inovação e lançamento de novos produtos.
• Comunicação interna.
• Entre outras. 

Essas duas normas representam padrões internacionais de referência para a Gestão da Segurança da Informação. A ISO 27.001 contém mais de 100 controles e pode ser usada para a certificação das empresas, enquanto a ISO 27.002 traz orientações sobre como implementar cada requisito desse sistema e, assim sendo, não pode ser utilizada para certificação.

A ISO 27.701 é uma extensão da ISO 27.001, ou seja, continua tratando de Gestão da Segurança da Informação, porém, com particularidades relativas aos dados pessoais.

A sua versão em português foi lançada recentemente (dez./2019) na ABNT, sendo muito bem recebida pelos especialistas,  pois coloca o Brasil na vanguarda do tratamento da privacidade no âmbito da segurança da informação, ou seja, ao lado dos poucos países que já fizeram o mesmo. 

Por ser uma norma internacional, ela é genérica, embora alguns artigos registrem forte influência da GDPR (legislação relativa ao tratamento de dados pessoais aplicável na Comunidade Europeia) em alguns tópicos. Nesse sentido, essa parte da norma deveria ser adaptada a cada legislação regional.

Para simplificar, as três normas podem ser assim resumidas:

• ISO 27.001: define os requisitos de segurança da informação.
• ISO 27.002: orienta como aplicá-los.
• ISO 27.701: amplia os requisitos da 27.001 para a privacidade de dados.

LGPD

A Lei Geral de Proteção de Dados Pessoais (Lei 13.709 de 2018) estabelece regras para o tratamento dos dados pessoais e um sistema de gestão para assegurar a efetividade das práticas e processos correlacionados, denominado de Programa de Governança em Privacidade. A Lei abrange também os direitos dos Titulares dos Dados, responsabilidades de quem os processa, as formas de fiscalização, fixação de multas para descumprimento e como devem ser feitos os reparos em caso de incidentes. 

A lei é aplicável para todas as atividades realizadas ou pessoas que estão no Brasil e também para coletas operadas em outros países, desde que relacionadas a bens ou serviços ofertados a brasileiros.

Portanto, mesmo havendo assuntos comuns, nota-se claramente a diferença entre os escopos da família ISO 27.000 (foco na Segurança da Informação) e o da LGPD (foco na gestão e tratamento de dados pessoais).

Cuidado para não ser enganado!

Como os escopos e requisitos são diferentes, porém abordando o mesmo assunto, há o perigo constante de se confundirem as matérias. 

É evidente que para uma empresa adequar-se à LGPD, se ela cumprir os requisitos da ISO 27.701, terá algumas vantagens e facilidades em relação a quem não os cumpre. Mas, é completamente falso afirmar que atender na íntegra a ISO 27.7001 implica em atender automaticamente a LGPD.

Infelizmente, o mercado está repleto de informações que contribuem para esse mau entendimento, como artigos e propostas com títulos mais ou menos assim: “ISO 27.701 - Chegou a certificação da LGPD”; “Implemente a ISO 27.701 para atender à LGPD”.

Como funciona o processo de certificação? 

Um auditor independente (profissional de uma empresa denominada de ”Certificadora”), contratado por uma empresa interessada (cliente a ser certificado), supostamente, possui experiência e conhecimento necessários para avaliar se as práticas e documentos do cliente atendem à norma em questão. 

A auditoria é repetida regularmente (em geral, em períodos de 1 ano) e, assim sendo, o cliente obriga-se a manter-se alinhado aos requisitos da norma. O certificado atesta o pleno atendimento aos requisitos e o cliente pode demonstrar a sua condição ao mercado e à sociedade.

Com esse formato, é dispensável que cada interessado naquela empresa certificada precise também visitá-la e/ou avaliá-la, sob o aspecto abrangido pela norma em referência (interessados podem ser clientes finais, autoridades, órgãos públicos, etc.). 

Além disso, concorrências e editais também podem solicitar certificações. O que facilita a escolha das empresas qualificadas para determinado escopo.

Dessa maneira, a certificação é um processo benéfico e deve ser incentivada. Entretanto, há alguns perigos a serem observados.

Não se pode banalizar o tema, nem o deixar à mercê de pseudoespecialistas que visam única e exclusivamente o interesse comercial. 

As certificações das normas ISO com relação ao tema Segurança da Informação são muito bem-vindas, mas nem de longe, significaria atendimento à LGPD. 

Resumindo: um certificado relativo à ISO 27.001 ou ISO 27.701 é um atestado de atendimento único e exclusivo à ISO, não de atendimento à LGPD.

Soluções da Compliance Total

As soluções da Compliance Total entregam ao cliente a melhor relação custo-benefício para o pleno atendimento da LGPD e não objetiva a certificação, embora, para quem a deseja, representará passos largos no caminho para a sua obtenção. 

As nossas soluções incluem:

Mentoring CT® LGPD

Um especialista da Compliance Total ministra 6 sessões virtuais (de 4 a 5h por sessão) com os participantes, a fim de orientá-los na implementação do Programa de Governança em Privacidade. 

Os participantes recebem material teórico antes das sessões para estudo prévio; recebem as instruções de como colocar em prática os conceitos e processos que permitirão o atendimento integral da LGPD. Assim, além de dar cumprimento aos requisitos da LGPD, o participante conclui a sua formação e qualificação, pois o Mentoring CT® LGPD entrega também o know how de todos os processos implementados.

Um outro diferencial dessa metodologia é o fornecimento dos Packs: 

• São um conjunto de materiais e ferramentas para cada organização usar diretamente ou customizá-los, conforme suas necessidades.
• São procedimentos, políticas, formulários, peças de comunicação e treinamento, atas de reunião, relatórios de incidentes, descrição de processos e controles, entre outros.
• Com os Packs, o participante do Mentoring CT® LGPD não precisará investir tempo em planejar, pesquisar, criar, desenvolver aquilo que especialistas já fizeram com alto grau de qualidade e servem de referência para todos. Assim, em vez de “sair do zero” para chegar no “100”, a empresa sai de “90”!

Após cada sessão, o participante usará a LGPD Station®, que detalha o passo a passo de cada tarefa necessária para a implementação do Programa. Essa plataforma digital e inovadora também orienta o usuário a seguir o caminho mais fácil, traz dicas práticas, disponibiliza tudo para download, etc. Assim, entre uma sessão e outra, o participante do Mentoring CT® LGPD tem todas as condições de implementar os processos de forma fácil e ágil, economizando tempo e recurso.

A LGPD Station® é uma plataforma interativa que conduz o usuário para a plena implementação do Programa de Governança em Privacidade. Ela também dispõe de módulos que garantem a gestão e a continuidade do programa após a sua implementação. Saiba mais.

Adicionalmente, é disponibilizado o Moodle da Compliance Total, em que os participantes do Mentoring CT® LGPD podem interagir entre eles por meio de chats, fazer uploads, downloads e até tirar dúvidas diretas com o especialista da Compliance Total.

Ao final do Mentoring CT® LGPD, são fornecidos vídeos com as sessões gravadas (cerca de 16h de gravação), para que o participante possa relembrar e/ou utilizá-los internamente com outras pessoas da sua equipe.

Obs.: os participantes do Mentoring CT® LGPD terão uso gratuito da LGPD Station® e do Moodle por 12 meses. Depois desse período, se desejar, o cliente pode continuar usando a plataforma, usufruindo de um desconto especial, em relação aos preços de tabela.

LGPD Station® 

O Mentoring CT® LGPD é um processo completo e representa a melhor solução no custo-benefício. Entretanto, se o cliente desejar, pode optar por adquirir apenas a plataforma digital. 

Nesse caso, o cliente deixaria de participar das sessões presenciais do Mentoring CT® LGPD (interação com o especialista da Compliance Total em tempo real), porém, juntamente com a plataforma, ele receberá os Packs e oferecemos, em cortesia, os vídeos do Mentoring CT® LGPD e o Moodle da Compliance Total (gratuito por um período de 12 meses).

A LGPD Station® permite ao cliente a capacitação dos seus profissionais, o uso de todos os materiais desenvolvidos pela Compliance Total e o pleno atendimento aos requisitos da LGPD, podendo impor ao processo de implementação a velocidade desejada, de acordo com as suas necessidades. 

Canais da Contato Seguro

Em ambas as soluções anteriores, o cliente tem as seguintes opções de aquisição, com descontos atrativos:

• Canal de acesso exclusivo da LGPD (para receber apenas as solicitações e comunicação dos titulares de dados pessoais).
• Canal de denúncias tradicional, 0800 ou WEB (Canal de Ética).
• Canal completo integrado (Canal de Ética + Canal LGPD).
• Nenhum (por óbvio, nesse caso, caberá ao cliente implementar o seu canal de acesso, visto este ser um requisito obrigatório da LGPD).

Consultoria tradicional

A Compliance Total também oferece consultoria tradicional, a fim de atender às necessidades de cada cliente. 

A proposta é sob demanda, para os especialistas da Compliance Total executarem ou implementarem processos e/ou partes específicas do Programa de Governança em Privacidade, como por exemplo:

• Definição do processo e aplicação prática para a identificação de riscos relativos ao tratamento de dados pessoais, estabelecimento de medidas mitigadoras e definição de planos de ação.
• Elaboração de políticas, procedimentos e instruções de trabalho visando o correto tratamento dos dados pessoais, com foco em todos os atores desse processo.
• Desenvolvimento de processos para elaboração do “data mapping”, inventários e outros levantamentos internos necessários para o atendimento da LGPD.
• Elaboração e realização de controles internos, a fim de assegurar a conformidade dos processos existentes de tratamento de dados pessoais.
• Elaboração de plano de comunicação, incluindo o desenvolvimento de todas as peças e materiais pertinentes.
• Desenvolvimento de materiais e aplicação de treinamentos presenciais, virtuais e/ou criação de treinamentos em EAD.
• Elaboração e implementação dos processos de monitoramento do Programa de Governança em Privacidade, abrangendo definição de indicadores, metas e sistemas de medição.
• Elaboração de sistemas de gestão dos documentos e registros do Programa de Governança em Privacidade.
• Implementação da gestão dos Operadores (terceiros) sob a ótica do Programa de Governança em Privacidade.
• Coaching, onde especialistas da Compliance Total oferecem apoio técnico ou operacional “on demand”, conforme necessidade de cada empresa.
• Entre outros.

Para mais informações sobre produtos e serviços da Compliance Total, fale com um dos nossos especialistas: https://bit.ly/3z1NyWE