A gestão da privacidade da informação

Normalmente, a privacidade de informações se refere a dados pessoais armazenados em sistemas de computador ou na nuvem. A necessidade de manter a privacidade das informações é aplicável às informações pessoais coletadas, como registros médicos, dados financeiros, registros criminais, registros políticos, informações relacionadas a negócios ou dados do site. A privacidade das informações também é conhecida como privacidade de dados. Dessa forma, deve-se estabelecer, implementar, manter e realizar a melhoria contínua de um Sistema de Gestão de Privacidade da Informação (SGPI).

privacidade2Hayrton Rodrigues do Prado Filho –

A privacidade das informações é considerada um aspecto importante do compartilhamento de informações, pois, com o avanço da era digital, as vulnerabilidades de informações pessoais ou dados pessoais (DP) aumentaram. Ela pode ser aplicada de várias maneiras, incluindo criptografia, autenticação e mascaramento de dados – cada uma tentando garantir que as informações estejam disponíveis apenas para pessoas com acesso autorizado.

Essas medidas de proteção são voltadas para impedir a mineração de dados e o uso não autorizado de informações pessoais, que são ilegais em muitas partes do mundo. A privacidade das informações está relacionada a diferentes tipos de dados, incluindo: a da internet (privacidade online) em que todos os dados pessoais compartilhados estão sujeitos a problemas de privacidade. A maioria dos sites publica uma política de privacidade que detalha o uso pretendido pelo site de dados coletados online e/ou offline coletados.

Também, as informações financeiras são particularmente sensíveis, pois podem ser facilmente usadas para cometer fraudes online e/ou offline. A privacidade médica em que todos os registros médicos estão sujeitos a leis rigorosas que tratam dos privilégios de acesso do usuário. Por lei, os sistemas de segurança e autenticação geralmente são necessários para indivíduos que processam e armazenam registros médicos.

A NBR ISO/IEC 27701 de 11/2019 – Técnicas de segurança — Extensão da NBR ISO/IEC 27001 e NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes especifica os requisitos e fornece as diretrizes para o estabelecimento, implementação, manutenção e melhoria contínua de um Sistema de Gestão de Privacidade da Informação (SGPI) na forma de uma extensão das NBR ISO/IEC 27001 e NBR ISO/IEC 27002 para a gestão da privacidade dentro do contexto da organização. Este documento especifica os requisitos relacionados ao SGPI e fornece as diretrizes para os controladores de dados pessoais e operadores de DP que têm responsabilidade e responsabilização com o tratamento de DP. Este documento é aplicável a todos os tipos e tamanhos de organizações, incluindo as companhias públicas e privadas, entidades governamentais e organizações sem fins lucrativos, que são controladoras de DP e/ou que são operadoras de DP.

Quase todas as organizações tratam de dados pessoais (DP). Além disso, a quantidade e os tipos de DP tratados estão aumentando, assim como o número de situações em que uma organização precisa cooperar com outras organizações em relação ao tratamento de DP. A proteção da privacidade no contexto do tratamento de DP é uma necessidade da sociedade, bem como um tópico de legislação e/ou regulamentação dedicada em todo o mundo.

O Sistema de Gestão de Segurança da Informação (SGSI), definido na NBR ISO/IEC 27001, é projetado para permitir a adição de requisitos específicos setoriais, sem a necessidade de desenvolver um novo Sistema de Gestão. As Normas de Sistemas de Gestão ISO, incluindo as específicas por setor, são projetadas para poderem ser implementadas separadamente ou como um Sistema de Gestão combinado.

Os requisitos e diretrizes para a proteção de DP variam de acordo com o contexto da organização, em particular onde existe legislação e/ou regulamentação nacional. A NBR ISO/IEC 27001 requer que este contexto seja compreendido e levado em consideração. Este documento inclui o mapeamento para: a estrutura de privacidade e os princípios estabelecidos na ISO/IEC 29100; a NBR ISO/IEC 27018; a ISO/IEC 29151; e o Regulamento Geral de Proteção de Dados da UE. No entanto, estes podem precisar ser interpretados para levar em consideração a legislação e/ou a regulamentação local.

Este documento pode ser usado por controladores de DP (incluindo aqueles que são controladores conjunto de DP) e operadores de DP (incluindo aqueles que usam operadores de DP subcontratados e aqueles que tratam DP ao atuar como subcontratados de operadores de DP). Uma organização que cumpra os requisitos deste documento irá gerar evidências documentais de como lida com o tratamento de DP. Estas evidências podem ser usadas para facilitar acordos com parceiros de negócios nos quais o tratamento de DP é mutuamente relevante. Estas evidências também podem ajudar no relacionamento com outras partes interessadas. O uso deste documento em conjunto com a NBR ISO/IEC 27001 pode, se desejado, fornecer verificação independente destas evidências. Este documento foi desenvolvido inicialmente como ISO/IEC 27552.

Este documento aplica a estrutura desenvolvida pela ISO para melhorar o alinhamento entre as suas Normas de Sistemas de Gestão. Este documento permite que uma organização alinhe ou integre seu SGPI aos requisitos de outras normas de sistemas de gestão. Este é um documento específico do setor relacionado às NBR ISO/IEC 27001:2013 e NBR ISO/IEC 27002:2013. Este documento tem foco nos requisitos específicos de um SGPI. O compliance com este documento está baseado na aderência a estes requisitos e aos requisitos da NBR ISO/IEC 27001:2013.

Este documento amplia os requisitos da NBR ISO/IEC 27001:2013, levando em consideração a proteção da privacidade dos titulares de DP que possam ser potencialmente afetados pelo tratamento de DP, em complemento à segurança da informação. Para um melhor entendimento, diretrizes para implementação e outras informações relacionadas aos requisitos estão incluídas.

A Seção 5 apresenta os requisitos específicos de um SGPI e outras informações relacionadas aos requisitos de segurança da informação da NBR ISO/IEC 27001, apropriados para uma organização que atue como um controlador de DP ou como um operador de DP. Como complementação, a Seção 5 contém uma subseção para cada uma das seções da NBR ISO/IEC 27001:2013 que contém requisitos, mesmo no caso onde não existem requisitos específicos de SGPI ou outras informações.

A Seção 6 apresenta as diretrizes específicas de um SGPI e outras informações relacionadas aos controles de segurança da informação contidos na NBR ISO/IEC 27002 e diretrizes específicas de um SGPI para uma organização que esteja atuando como um controlador de DP ou como um operador de DP. Como complemento, a Seção 6 contém uma subseção para cada uma das seções que apresentam os objetivos ou os controles da NBR ISO/IEC 27002:2013, mesmo nos casos onde não existam diretrizes específicas de um SGPI ou outra informação.

A Seção 7 apresenta as diretrizes adicionais da ABNT NBR ISO/IEC 27002 para os controladores de DP, e a Seção 8 fornece as diretrizes adicionais contidas na NBR ISO/IEC 27002 para os operadores de DP. O Anexo A apresenta os controles e objetivos de controles específicos de um SGPI para uma organização que atue como um controlador de DP (independentemente se ela usa ou não um operador de DP, e se está atuando ou não em conjunto com outro controlador de DP).

O Anexo B apresenta os controles e objetivos de controles específicos para uma organização que atue como um operador de DP (independentemente se ela subcontrata ou não o tratamento de DP para um outro operador de DP, e incluindo aqueles tratamentos de DP como subcontratados para os operadores de DP). O Anexo C apresenta um mapeamento com a ISO/IEC 29100. O Anexo D apresenta um mapeamento dos controles deste documento com o Regulamento da União Europeia sobre a Proteção de Dados. O Anexo E apresenta um mapeamento com a NBR ISO/IEC 27018 e com a ISO/IEC 29151. O Anexo F explica como as NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 são estendidas à proteção da privacidade, quando do tratamento de DP. A tabela abaixo apresenta a posição dos requisitos específicos de um SGPI neste documento, em relação à NBR ISO/IEC 27001.

privacidade3

Dependendo do papel da organização (ver 5.2.1), cliente pode ser entendido como: a) uma organização que tenha um contrato com um controlador de DP (por exemplo, o cliente do controlador de DP). Isto pode ser o caso de uma organização que seja um controlador conjunto de DP. Uma pessoa individual em uma relação comercial com uma organização é referenciada como titular de DP neste documento. Assim, um controlador de DP que tenha um contrato com um operador de DP (por exemplo, o cliente do operador de DP); ou um operador de DP que tenha um contrato com um subcontratado para realizar o tratamento de DP (por exemplo, o cliente do suboperador de DP subcontratado).

Onde cliente é mencionado na Seção 6, as provisões relacionadas podem ser aplicáveis nos contextos descritos. Onde cliente é mencionado na Seção 7 e no Anexo A, as provisões relacionadas são aplicáveis no contexto em que uma organização que tenha um contrato com um controlador de DP (por exemplo, o cliente do controlador de DP). Onde o cliente é mencionado na Seção 8 e no Anexo B, as provisões relacionadas são aplicáveis nos contextos descritos.

Os requisitos da NBR ISO/IEC 27001:2013 mencionando segurança da informação devem ser estendidos para a proteção de privacidade, caso esta seja potencialmente afetada pelo tratamento de DP. Na prática, onde segurança da informação é usado na NBR ISO/IEC 27001:2013, considerar segurança da informação e privacidade (ver Anexo F). Um requisito adicional à NBR ISO/IEC 27001:2013, 4.1, é: a organização deve determinar o seu papel como um controlador de DP (incluindo a condição de controlador conjunto de DP) e/ou como um operador de DP.

A organização deve determinar os fatores externos e internos que são pertinentes para o seu contexto e que afetam a sua capacidade de alcançar os resultados pretendidos do seu SGPI. Por exemplo, isto pode incluir: a legislação de privacidade, se aplicável; a legislação de privacidade aplicável; as decisões judiciais aplicáveis; o contexto organizacional, governança, políticas e procedimentos aplicáveis; as decisões administrativas aplicáveis; os requisitos contratuais aplicáveis.

Onde a organização atua em ambos os papéis (por exemplo, como um controlador de DP e como um operador de DP), papéis separados devem ser determinados, cada qual estando sujeito a um conjunto separado de controles. O papel da organização pode ser diferente para cada situação do tratamento de DP, uma vez que isto depende de quem determina os propósitos e meios de tratamento. Um requisito adicional à NBR ISO/IEC 27001:2013, 4.2, é a organização deve incluir entre as suas partes interessadas (ver ABNT NBR ISO/IEC 27001:2013, 4.2), aquelas partes que têm interesses ou responsabilidades associados ao tratamento de DP, incluindo os titulares de DP.

Outras partes interessadas podem incluir clientes (ver 4.4), autoridades supervisoras, outros controladores de DP, operadores de DP e seus subcontratados. Os requisitos pertinentes para o tratamento de DP podem ser determinados por requisitos legais e regulatórios, por obrigações contratuais e por objetivos autodeterminados pela própria organização. Os princípios de privacidade definidos na ISO/IEC 29100 fornecem diretrizes relativas ao tratamento de DP.

Como um elemento para demonstrar compliance com as obrigações da organização, algumas partes interessadas podem ter a expectativa de que a organização esteja em conformidade com normas específicas, como o Sistema de Gestão especificado neste documento, e/ou qualquer conjunto relevante de especificações. Estas partes podem solicitar uma auditoria de conformidade com estas normas, de forma independente. Um requisito adicional à ABNT NBR ISO/IEC 27001:2013, 4.3, é ao determinar o escopo do SGPI, a organização deve incluir o tratamento de DP.

A determinação do escopo do SGPI pode requerer uma revisão do escopo do sistema de gestão da segurança da informação, por causa da interpretação estendida de segurança da informação, de acordo com 5.1. Um requisito adicional à ABNT NBR ISO/IEC 27001:2013, 4.4, é a organização deve estabelecer, implementar, manter e melhorar continuamente um SGPI de acordo com os requisitos da NBR ISO/IEC 27001:2013, Seções 4 a 10, estendidos pelos requisitos da Seção 5.

Os procedimentos para registro e cancelamento de usuários, que administrem ou operem sistemas e serviços que tratam DP, devem considerar a situação onde o controle de acesso do usuário para aqueles usuários esteja comprometido, como a corrupção ou o comprometimento de senhas ou outros registros de dados de usuários (por exemplo, como um resultado de uma divulgação inadvertida). Convém que a organização não reemita aos usuários qualquer login expirado ou desativado dos sistemas e serviços que tratam DP.

No caso em que a organização fornece o tratamento de DP como um serviço, o cliente pode ser responsável por alguns ou todos os aspectos do gerenciamento do ID do usuário. Convém que estes casos sejam incluídos na informação documentada. Algumas jurisdições impõem requisitos específicos em relação à frequência de verificação de credenciais de autenticação não usadas, relativas aos sistemas que tratam DP.

Convém que as organizações que operam nestas jurisdições considerem o compliance com estes requisitos. Para os usuários que tenham sido autorizados a acessar o sistema de informação e os DP neles contidos, esses perfis compreendem um conjunto de dados sobre aquele usuário, incluindo o ID de usuário, necessário para implementar os controles técnicos identificados que fornecem acesso autorizado. A implementação dos ID individuais de acesso do usuário permite que sistemas configurados identifiquem adequadamente quem acessou DP e quais acréscimos, exclusões ou mudanças eles fizeram.

Da mesma forma que a organização é protegida, os usuários são também protegidos, uma vez que eles podem identificar o que foi tratado e o que não foi tratado. No caso em que a organização fornece tratamento de DP como um serviço, o cliente pode ser responsável por alguns ou todos os aspectos de gerenciamento de acesso.

Onde apropriado, convém que a organização forneça aos clientes os meios para realizar o gerenciamento de acesso, como fornecer direitos administrativos para gerenciar ou encerrar o acesso. Convém que estes casos sejam incluídos na informação documentada.

Quanto às cópias de segurança das informações, convém que a organização tenha uma política que considere os requisitos para cópia de segurança, recuperação e restauração de DP (que pode ser parte de uma política de cópias de segurança das informações globais), bem como quaisquer requisitos adicionais (por exemplo, requisitos legais e/ou contratuais) para a eliminação de DP contido nas informações mantidas para os requisitos de cópias de segurança. As responsabilidades específicas de DP nesta questão podem depender do cliente.

Convém que a organização assegure que o cliente tenha sido informado dos limites do serviço em relação à cópia de segurança. Onde a organização explicitamente fornece serviços de cópias de segurança e recuperação para os clientes, convém que a organização forneça a eles informações claras sobre as suas capacidades quanto à cópia de segurança e recuperação de DP. Algumas jurisdições impõem requisitos específicos relacionados à frequência de cópias de segurança de DP, à periodicidade de análises críticas e de testes de cópias de segurança, ou quanto aos procedimentos para recuperação de DP.

Convém que as organizações que operam nestas jurisdições demonstrem compliance com estes requisitos. Podem ocorrer situações onde o DP precisa ser recuperado, talvez devido ao mau funcionamento do sistema, a um ataque ou a um desastre. Quando o DP é restaurado (normalmente de uma cópia de segurança), os processos necessários precisam estar implementados para assegurar que o DP seja restaurado em uma condição onde a integridade do DP possa ser assegurada, e/ou onde a imprecisão e/ou informação incompleta de DP sejam identificadas e os processos implementados para resolvê-los (o que pode envolver o titular de DP).

Convém que a organização tenha um procedimento e um registro do trabalho de restauração do DP. Como um mínimo, convém que o registro do trabalho de restauração do DP contenha: o nome da pessoa responsável pela restauração; uma descrição do DP restaurado. Algumas jurisdições determinam o conteúdo dos logs dos esforços de restauração dos DP. Convém que as organizações sejam capazes de documentar o compliance com quaisquer requisitos específicos aplicados àquela jurisdição, para a restauração do conteúdo dos logs. Convém que as conclusões de tais deliberações sejam incluídas em uma informação documentada.

O uso de subcontratados para armazenar réplicas ou cópias de segurança das informações de DP tratados está coberto neste documento pelos controles aplicados ao tratamento de DP subcontratado. Onde ocorre a transferência de mídias físicas relativas a cópias de segurança em restauração, isto também é coberto neste documento pelos controles. Na segurança da informação nos acordos com fornecedores, convém que a organização especifique nos acordos com fornecedores se o DP é tratado e as medidas mínimas técnicas e organizacionais que o fornecedor precisa atender para que a organização cumpra com as suas as obrigações de proteção de DP e segurança da informação.

Convém que acordos com fornecedores estabeleçam claramente as responsabilidades entre a organização, seus parceiros, seus fornecedores e seus terceiros aplicáveis (clientes, fornecedores, etc.), levando em conta o tipo de DP tratado. Convém que os acordos entre a organização e seus fornecedores forneçam um mecanismo para assegurar que a organização apoie e gerencie o compliance com todas as legislações e/ou regulamentações aplicáveis. Convém que os acordos busquem uma auditoria de compliance independente, que seja aceita pelo cliente.

Para tais propósitos de auditoria, o compliance com normas de privacidade e segurança, aplicáveis e pertinentes, a exemplo da NBR ISO/IEC 27001 ou este documento, pode ser considerado. Para a contratação de um subcontratado para tratar DP, no controle convém que a organização somente contrate um subcontratado para tratar DP com base no contrato do cliente. Onde a organização subcontrata parte ou todo o tratamento daqueles DP para outra organização, uma autorização escrita do cliente é requerida, antes de os DP serem tratados pelo subcontratado. Isto pode ser feito na forma de cláusulas apropriadas no contrato do cliente, ou pode ser um acordo pontual específico.

Convém que a organização tenha um contrato por escrito com quaisquer subcontratados que ela utilize para o tratamento de DP, atuando em seu nome, e convém assegurar que seus contratos com subcontratados contemplem a implementação de controles apropriados conforme descrito no Anexo B. Convém que o contrato entre a organização e qualquer subcontratado que esteja tratando DP em seu nome, requeira que o subcontratado implemente controles apropriados como especificado no Anexo B, considerando o processo de avaliação de riscos de segurança da informação e o escopo do tratamento de DP desempenhado pelo operador de DP.

Por padrão, convém que todos os controles especificados no Anexo B, sejam assumidos como pertinentes. Caso a organização decida não requerer ao subcontratado implementar os controles do Anexo B, convém justificar esta exclusão. Um contrato pode definir as responsabilidades de cada parte diferentemente, porém, para ser consistente com este documento, convém que todos os controles sejam considerados e incluídos na informação documentada.



Categorias:Normalização, Qualidade

Tags:, , , , , , ,

1 resposta

Trackbacks

  1. A gestão da privacidade da informação – Jerusa Bohrer

Deixe uma resposta

%d blogueiros gostam disto: