Área Clientes
 
User
 
Password
 
Formação e-Learning
 
 
User
 
Password
Notícias

ISO/IEC 27001 e o novo RGPD

22 de Março

 

Com a entrada em vigor do novo Regulamento Geral de Proteção de Dados [EU 2016/679], muitas organizações se questionam: Como implementar o regulamento? Como posso preparar a minha organização? 


Já conhece a norma ISO/IEC 27001?

Trata-se de uma norma relativa aos Sistemas de Gestão (tal como a norma ISO 9001 no caso da Qualidade), mas dedicada à Segurança da Informação. É uma norma reconhecida internacionalmente, que define o quadro de melhores práticas para gerir os riscos relacionados com a segurança da informação, incluindo os relacionados a informações pessoais e privacidade. Uma entidade que implemente esta norma pode certificar-se, evidenciando desta forma o seu compromisso com a segurança da informação, com o cumprimento da legislação, com a proteção da informação, incluindo dados pessoais.

 

 

Qual é a relação entre a ISO / IEC 27001 e o RGPD?

Ambos os documentos possuem um conjunto de requisitos comuns, o que facilita a implementação conjunta. De entre estes salientamos:

 

·         Avaliação de risco

As multas previstas em caso de incumprimento do RGPD (até 20 milhões de euros ou até 4% do volume de negócios mundial anual total da empresa-mãe) pode ter um impacto financeiro muito alto sobre o seu negócio. ISO / IEC 27001 requer uma avaliação de risco na qual se deve considerar o aumento do risco relacionado com as informações pessoais e as suas implicações financeiras.

 

·         Conformidade Legal

É uma parte integrante da norma ISO / IEC 27001 a exigência do cumprimento das exigências legais, regulamentares e contratuais.

 

·         Classificação de dados

É requisito da norma ISO / IEC 27001 que a informação seja classificada em termos da sua importância, e dado um nível adequado de proteção de acordo com esta. Neste contexto, os dados pessoais devem ser tratados de uma forma que garante a segurança apropriada, tal como o regulamento exige.

 

·         Notificações e Cooperação com as autoridades

A norma ISO / IEC 27001 exige um processo de gestão de incidentes, para que os eventos de segurança da informação sejam documentados e relatados através dos canais de gestão adequadas o mais rápido possível, e exige que "os contactos adequados com as autoridades competentes sejam mantidos." Já o RGPD requer quer sejam alertadas as autoridades de supervisão no prazo de 72 horas, e requer que as organizações cooperem com as autoridades.

 

·         Gestão de ativos

Segundo a norma deve ser efetuado um levantamento e identificação dos ativos da organização e definidas responsabilidades - quem detém os ativos e qual é de uso aceitável dos mesmos. Em termos do regulamento, este exige que se identifiquem os dados pessoais recolhidos, como são obtidos, onde são armazenados, por quanto tempo são mantidos e quem a eles tem acesso.

 

·         Proteção integrada

A segurança da informação, segundo a norma ISO / IEC 27001, deve ser concebida e implementada como parte integrante de todo o ciclo de vida de desenvolvimento de sistemas de informação. Já o regulamento requer que sejam integradas salvaguardas desde a fase mais precoce do desenvolvimento (proteção de dados desde a conceção e por predefinição)

 

·         Relacionamento com Fornecedores

Se a norma ISO / IEC 27001 exige a proteção dos ativos da empresa acessíveis por parte dos fornecedores e monitoriza-los relativamente aos requisitos de segurança da informação. Já o RGPD, que também se aplica aos prestadores de serviços subcontratados (que processam dados pessoais em nome de terceiros) exige que devem ser definidos controles e restrições através de acordos formais.

 

·         Documentação

Ambos os referenciais exigem que sejam documentados aspetos fundamentais do processamento da informação em função da complexidade dos processos, no caso da norma, ou identificando os dados pessoais recolhidos, os fins para os quais recolhidos e o seu processamento, por exemplo, no caso RGPD.

 

Os pontos comuns entre ambos os documentos não se esgotam nos acima referidos. A formação e sensibilização, por exemplo, são requisitos fundamentais em ambos os casos, e a norma apenas por si só não considera todos os requisitos específicos do regulamento, como por exemplo o consentimento explícito, o direito ao esquecimento ou a nomeação do DPO [Data Protection Officer]. No entanto a norma ISO / IEC 27001 é um excelente referencial, internacionalmente reconhecido, como demonstração do comprometimento com a segurança da informação e privacidade.

 

Fonte: Intedya Internacional

Solicita mais informação

A Servícios Normativos Portugal, S.L. - Sucursal, com sede na Av. Visconde de Valmor 66, 4º andar - 1050-242 Lisboa, Portugal, com o número único de matrícula na Conservatória do Registo Comercial de Lisboa e de pessoa coletiva 980376521 (doravante designada por INTEDYA PORTUGAL), procede à recolha e tratamento de dados pessoais dos seus clientes.

De acordo com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, informamos que os dados pessoais, que nos transmite através deste formulário, serão utilizados pela Intedya Portugal de forma a dar-mos resposta ao seu pedido de informações.

Os dados pessoais marcados com (*) são imprescindíveis para tratar e responder ao seu pedido de informações, sendo os restantes campos de preenchimento opcional. A Intedya Portugal unicamente comunicará os seus dados aos escritórios pertencentes à sua rede dentro da Intedya - International Dynamics Advisors, para que o seu pedido de informação possa ser respondido. Nem a Intedya Portugal, nem nenhum outro escritório da rede utilizará os seus dados com finalidades distintas às indicadas e autorizadas pelos titulares dos mesmos. Informamos que a qualquer momento poderá: retirar o consentimento para o tratamento dos dados pessoais; proceder ou solicitar a correção de qualquer dado pessoal que o Titular dos dados pessoais tenha fornecido; opor-se a que os mesmos sejam utilizados para efeitos de marketing e/ou publicitários; solicitar a eliminação de todos os dados pessoais que tenha fornecido pelo presente meio, e que não sejam necessários para o cumprimento de quaisquer obrigações legais pela entidade responsável pela recolha dos mesmos; ser informado pela Intedya Portugal se esta, eventualmente, tiver intenção de proceder ao tratamento dos dados pessoais para outros fins que não os que, pelo presente é dado consentimento.

Para quaisquer informações, assim como para o exercício dos direitos que lhe são legalmente conferidos, o Cliente deve contactar a Intedya Portugal solicitando por escrito para a morada abaixo indicada ou por email para geral@intedya.pt.

Morada para anulação do consentimento: 
Intedya Portugal
Servícios Normativos Portugal, S.L. - Sucursal
Av. Eng. Arantes e Oliveira 3, R/C, escrt 23
1900-221 Lisboa

Para obter mais informações sobre o uso dos dados pessoais, assim como sobre o cumprimento dos princípios, requisitos e direitos reconhecidos pelo Regime Geral de Proteção de Dados, a Intedya Portugal disponibiliza a sua Política de Privacidade.

Soluções Relacionadas

 


Entidade formadora acreditada por DGERTAliança com a PrevensystemMembros da Green Industry PlatformAderidos ao Pacto do LuxemburgoMembros da European Association for International EducationMembros da AENORMembros da Associação Espanhola da QualidadeCÂMARA DE COMÉRCIOMembros de Associação de Consultores e Formadores em Segurança AlimentarMEMBROS DA AMERICAN SOCIETY FOR QUALITYMEMBROS DO PACTO MUNDIAL DAS NAÇÕES UNIDAS

Esta página web utiliza cookies para obter dados estatísticos da navegação dos seus usuários. Se continuar a navegar , consideramos que aceita a sua utilização. Mais informação X Fechar