Iris Saraiva Russowsky*
Sempre que falamos em privacidade e proteção de dados pessoais o que vem à cabeça é a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/18 ) e algumas normativas específicas da ANPD (Agência Nacional de Proteção de Dados). Contudo, o que fazer quando precisamos de uma orientação mais específica em relação a alguma questão que não está expressamente prevista na lei e nem foi objeto de regulamentação pela ANPD? Nesses casos, é importante ter conhecimento da existência de outras normativas que auxiliam os profissionais na tomada de decisão: as normas ISO.
As normas ISOs (International Organization for Standardization – Organização Internacional de Normatização) têm como objetivo a padronização internacional através de normas técnicas em diversos campos, procedimentos e processos.
A título de exemplo, no art. 9º da Lei Geral de Proteção de Dados, há a determinação das organizações trazerem avisos de privacidade que exponham aos titulares como e porque seus dados pessoais são tratados. Mas como concretizar essa determinação? Como esse aviso deve ser feito se a ANPD não trouxe, até o presente momento, nenhuma orientação nesse sentido? Para esse assunto, é possível consultar a ISO 29134, que traz algumas diretrizes.
Normas ISO 27000 e 29100
Para aqueles que trabalham no campo da privacidade e proteção de dados, as famílias ISO 27000 e 29100 são de essencial conhecimento. O grupo de ISO 27000 tem enfoque na segurança da informação e medidas a serem adotadas pelas organizações para manter as informações seguras. Já o grupo ISO 29100* traz uma série de normas direcionadas à privacidade.
Cada uma delas possui orientações específicas em relação a uma temática, mas todas convergem para o macro tema: proteção da privacidade dos titulares de dados pessoais.
ISO 29100
Cinco normas da ISO da família 29100 devem ser levadas em conta pelo gestor de privacidade ou consultor de privacidade dentro de uma empresa para implementar ou manter um programa de privacidade: ISO 29100, ISO 29101, ISO 29134, ISO 29184, ISO 29190.
A ISO 29100 tem como objetivo orientar no tratamento de dados pessoais, trazendo os aspectos organizacionais, técnicos e processuais em uma estrutura abrangente de privacidade. É nela que conseguimos identificar os requisitos mínimos de salvaguarda, referenciando os princípios conhecidos de privacidade.**
ISO 29101
A ISO 29101 traz a estrutura e arquitetura da privacidade, fornecendo orientações para o planejamento, projeto e construção de arquiteturas de sistemas de Tecnologia da Informação e Comunicação, controlando acesso, tratamento e transferência de dados pessoais, abarcando tecnologias de melhorias, constituindo referências técnicas para os desenvolvedores de sistemas no tocante à matéria.
Basicamente, para o desenvolvimento de novos produtos e serviços, respeitando à privacidade e cumprindo com o já conhecido privacy by design***, essa norma é de conhecimento obrigatório.
ISO 29190
A ISO 29190 traz em seu texto um modelo de avaliação da capacidade de privacidade, ou seja, se concentra na avaliação das atividades que as organizações devem realizar para demonstrar conformidade com as normas, trazendo um conjunto de métricas a serem analisadas para identificar o nível de maturidade da organização.
ISO 29151
A ISO 29151 traz um código de práticas para a proteção de dados pessoais, estabelecendo objetivos de controle e diretrizes, baseadas na segurança da informação com enfoque na privacidade. Dentre as especificações da norma, tem-se os controles de acesso ao sistema e a criptografia, os quais são mecanismos que poderão ser usados para proteção da privacidade dentro de uma empresa.
ISO 29134
A ISO 29134 traz as diretrizes para a avaliação de impacto de privacidade (AIP), que serve de base para a elaboração do conhecido Relatório de Impacto a Proteção de Dados e Privacidade, esclarecendo sobre o conteúdo, estrutura e diretrizes do relatório. Essa norma direciona o gestor de privacidade na construção do documento, gerando então o accountability (prestação de contas) da empresa em relação aos dados pessoais.
A ISO 29134 traz recomendações para elaboração dos avisos de privacidade e consentimento, indicando como os avisos devem ser colocados para o titular dos dados pessoais, inclusive as formas de coletar esse aceite, sendo de grande valia na construção desses documentos.
Importância das normas ISO
A utilização das normas ISO no dia a dia prático daqueles que trabalham com proteção de dados pessoais e privacidade torna-se um instrumento de grande valia, principalmente quando estamos buscando a aplicação prática da legislação de proteção de dados em lacunas ainda não regulamentadas, já que, no Brasil, a Autoridade Nacional de Proteção de Dados, recém-formada, segue tímida na proposição das melhores práticas que norteiam a matéria.
Com as ISOs, conseguimos ter maior segurança e confiabilidade nos ajustes a serem realizados dentro das empresas. Por isso, quando a legislação não apresentar as alternativas viáveis, as ISOs poderão ser capazes de dar-nos a resposta adequada.
Leia outro artigo da autora: A era das fraudes na internet: como evitá-las?
Referências:
*O texto foi escrito inspirado na Oficina de Privacidade Ministrada pelo Prof. Matheus Passos. Oficina de Privacidade: Família isso 29100.
**ABNT NBR ISSO/IEC 29100:2020, Introdução.
***Privacy by design: é uma máxima que deve ser adotada por todos que de alguma forma tratam dados pessoais, trazendo a ideia de privacidade e a proteção de dados pessoais em todos os projetos desenvolvidos por uma organização, desde a sua concepção. A privacidade deve ser englobada nos projetos desde o seu início.
Iris Saraiva Russowsky – Doutora em Direito pela UFRGS. Advogada. Sócia fundadora da AD2L – Compliance e Proteção de Dados. Professora na Estácio e Ambra University-USA. Graduanda em Segurança da Informação pela Uniritter.
