Antes de estabelecermos a relação entre ISO/IEC 27001 e RGPD, temos de lhe perguntar: está a ser fácil obedecer às diretrizes do novo Regulamento Geral de Proteção de Dados, RGPD, ou nem por isso? Efetivamente, para continuar a estabelecer um relacionamento com os seus clientes, a sua empresa passou a assumir ela própria, desde 2018, a responsabilidade de interpretar e cumprir com a legislação. Se não o fizer, corre o risco de pagar coimas bastante elevadas.
Porém, mais do que nomear um responsável pela informação no seu negócio, substituir sistemas informáticos ou redesenhar processos, que tal implementar a norma internacional ISO 27001 que tantos pontos em comum tem como o novo regulamento de proteção de dados?
ISO 27001: o que é e para que serve?
A ISO 27001 é uma norma internacional que estipula os requisitos para implementar e manter na sua empresa, um Sistema de Gestão de Segurança da Informação. Decerto, se resolver obter esta certificação, não só demonstra ao seu público uma preocupação com a confidencialidade e integridade dos dados, como também consegue uma gestão eficaz a nível da proteção de toda a informação. Tudo graças à implementação de metodologias e pontos de controlo de segurança, incluindo monitorização contínua das infraestruturas que suportam os seus sistemas de informação. Além disso, a ISO 27001 integra facilmente com qualquer outra norma ISO, nomeadamente com a ISO 9001 – Sistema de Gestão da Qualidade.
RGPD: o que é e para que serve?
O RGPD ou Regulamento Geral de Proteção de Dados é um regulamento que entrou em vigor em 2018 para substituir a antiga diretiva e lei de proteção de dados. Portanto, com o RGPD as empresas deixam de pedir um simples parecer à Comissão Nacional de Proteção de Dados (CNPD) para autorizar a recolha, tratamento e armazenamento de dados, para começarem a assumir a responsabilidade de interpretar e cumprir a lei.
E qual o impacto do RGPD nas empresas?
Por outras palavras, as empresas têm agora de provar que estão a cumprir com o novo Regulamento Geral de Proteção de Dados e de provar que fazem a gestão das suas bases de dados. Em caso de incumprimento, e nos casos mais graves, as coimas podem ir até 20 milhões de euros ou 4% do volume de negócios anual. Em resumo, para cumprir com o novo RGPD, todas as empresas – incluindo a sua! – devem tomar conhecimento da recente legislação, efetuar um diagnóstico interno, identificar e resolver lacunas e criar um processo de gestão de informação contínuo.
ISO 27001 e RGPD: quais as vantagens que as empresas certificadas têm na implementação do Regulamento Geral de Proteção de Dados?
Todas as vantagens! Em primeiro lugar, o Regulamento Geral de Proteção de Dados se não for cumprido na íntegra pode causar danos financeiros elevados a uma empresa, porque as coimas não são pequenas! Por isso, não há como arriscar ou adiar o cumprimento do regulamento, mas sendo um processo relativamente moroso, as empresas certificadas com a ISO 27001 estão um passo (ou dois ou três) à frente da concorrência porque já investiram na segurança da informação, ou seja, já implementaram uma norma internacionalmente reconhecida pelas suas excelentes práticas para gerir riscos relacionados com a segurança da informação.
Assim, e em suma, as empresas certificadas segundo a ISO 27001 têm vantagens na implementação do RGPD, principalmente porque a ISO 27001 e o RGPD possuem um conjunto de requisitos em comum. E vamos conhecê-los de seguida!
ISO/IEC 27001 e RGPD: quais os requisitos em comum?
-
Classificação de dados
Tanto a ISO 27001 como o RGPD implicam a classificação de dados de acordo com o nível de importância, sendo que quanto mais importantes forem, mais protegidos devem ser.
-
Cooperação com as autoridades
Quer o RGPD, quer a ISO 27001 cooperam com as autoridades competentes nesta matéria de proteção da informação, comprometendo-se a notificar eventuais violações.
-
Gestão de Ativos
A ISO 27001 e o RGPD gerem os ativos da empresa e definem responsabilidades, ou seja, ambos os documentos identificam os dados recolhidos, a sua origem, acesso e local de armazenamento.
-
Proteção de dados logo no início do processo
Assim como o RGPD, a ISO 27001 também define processos de segurança da informação logo desde a conceção do processo de proteção de dados, na sua fase mais embrionária.
-
Registo de Atividades
A documentação de aspetos fundamentais do processo de gestão da informação é exigida na ISO 27001 e no RGPD, demonstrando o seu comprometimento com a segurança e privacidade dos dados recolhidos. Contudo, os requisitos em comum entre a ISO 27001 e o RGPD não se esgotam nestes pontos! Ambos investem também no consentimento explicito do cliente e na formação e sensibilização dos colaboradores, por exemplo, entre outros procedimentos que garantem a segurança da informação. Um direito de todos os cidadãos!
Em conclusão, não perca a oportunidade de demonstrar o seu comprometimento com a segurança da informação e privacidade e ao mesmo tempo assumir um papel mais competitivo no mercado em que atua. E aproveite para responder ao RGPD com maior rapidez e facilidade!
Gostou do nosso artigo? Volte ao início da página e indique-nos o seu grau de satisfação. Obrigado!