El tema LGPD (Ley General de Protección de Datos Personales) es cada vez más común en nuestra vida diaria. Con la misma frecuencia, han surgido dudas sobre ISO/IEC 27001. En este texto vamos a hablar brevemente sobre los dos temas y cómo interactúan. ¡Buena lectura!
LGPD
La Ley 13.709 (Ley General de Protección de Datos Personales - LGPD) fue publicada el 14 de agosto de 2018 y entró en vigencia 24 meses después, a excepción de los artículos del apartado "Sanciones Administrativas", que entra en vigencia el 1 de agosto de 2021. Prevé el tratamiento de datos personales, incluso en medios digitales, por una persona física o una persona jurídica de derecho público o privado, con el objetivo de proteger los derechos fundamentales de libertad y privacidad y el libre desarrollo de la personalidad natural de la persona.
La LGPD contiene medidas que afectan directamente las actividades de las organizaciones, de todos los sectores de la economía, estableciendo los derechos del titular de los datos personales, estandarizando las definiciones relacionadas con el tratamiento de los datos personales y su ciclo de vida, definiendo los roles de los agentes relacionados. al procesamiento de datos, declarando la obligación de informar al regulador (Autoridad Nacional de Protección de Datos) y al interesado, en caso de violación de datos, y la necesidad de formular reglas de buenas prácticas y gobernanza de seguridad y protección de datos; así como fuertes multas por incumplimiento de las normas previstas en la Ley.
ISO/IEC 27001
La última revisión de ISO/IEC 27001 se publicó en octubre de 2013 y especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI) en el contexto de la organización. También incluye requisitos para la evaluación y tratamiento de riesgos de seguridad de la información adaptados a las necesidades de la organización. Los requisitos establecidos en ISO/IEC 27001 son genéricos y están destinados a ser aplicables a todas las organizaciones, independientemente de su tipo, tamaño o naturaleza.
El SGSI preserva la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos y brinda confianza a las partes interesadas en que los riesgos se gestionan adecuadamente.
LGPD x ISO/IEC 27001
La gestión de riesgos de ISO/IEC 27001 prevé controles operativos para mitigarlos. De acuerdo con la LGPD, destaco los requisitos del apartado A.18 - Cumplimiento a continuación:
A.18.1.1 - Identificación de la legislación aplicable y los requisitos contractuales: Todos los requisitos legales legales, reglamentarios y contractuales relevantes, y el enfoque de la organización en el cumplimiento de estos requisitos, deben identificarse, documentarse y actualizarse explícitamente para cada sistema. información de la organización.
A.18.1.4 - Protección y privacidad de la información de identificación personal: La privacidad y protección de la información de identificación personal debe garantizarse según lo requieran las leyes y regulaciones pertinentes, cuando corresponda.
De esta forma, una buena implementación de ISO/IEC 27001 cumplirá con los requisitos de la LGPD.
¿Aún tienes dudas o necesitas ayuda?
¡En E2S Consultoria podemos ayudarlo!
¡Entre en contacto!
contato@e2sconsultoria.com.br