GDPR e a ISO 27001

As empresas colocam questões como

Se a minha empresa implementar a ISO 27001 obtêm a conformidade com o GDPR?

A resposta seria: Sim, sem dúvida!

Antes de mais o que é o GDPR? É o novo regulamento de proteção de dados da EU que já está em vigor e cujo período de transição acaba em Maio de 2018.

Então a ISO 27001 abrange todos os requisitos da GDPR?

Cuidado, não é direto.

A ISO 27001 abrange a grande maioria dos controlos previstos nos requisitos do GPDR, no entanto alguns procedimentos têm que ser especificados, p.e., o procedimento para a situação de perda ou divulgação indevida de dados pessoais tem que ser especificado e com uma janela temporal de 72 horas.

A ISO 27001 como norma de sistema de gestão de segurança da informação tem que assegurar que todos os requisitos, de cliente ou regulamentares, são incluídos e os riscos associados tratados. Por isso as particularidades do GDPR são incluídas e os riscos de perda de dados pessoais tratados.

Para empresas subcontratadas por entidades públicas ou empresas privadas (Bancos, hospitais, etc ) que processem/tratem dados pessoais a certificação ISO 27001 ajudaria a manter e a responder à necessidade de controlos de segurança desses dados?

Sim! O novo regulamento GDPR atribui maiores responsabilidade aos subcontratados que processam ou tratam dados, em nome de uma empresa cliente, por exemplo uma empresa de alojamento (datacenter) de um organismo público ou uma empresa de suporte técnico aplicacional (Help-desk) de um hospital.

A implementação de um sistema de gestão de segurança da informação numa destas empresas assegura que todos os controlos para mitigar os riscos relevantes associados à confidencialidade, integridade e disponibilidade são implementados e mantidos a funcionar.

A certificação do sistema de gestão de segurança da informação pela ISO 27001, constitui a melhor declaração de capacidade para assegurar a conformidade com a GDPRque uma empresa pode fornecer aos seus clientes.