Notícias

A importância da integração entre a LGPD e a ISO 27018 (proteção de dados pessoais em nuvem pública)

Fonte: https://www.migalhas.com.br

01/03/2024

É crucial adotar medidas de segurança para preservar a privacidade e proteger dados pessoais. A LGPD busca regulamentar a coleta e uso dessas informações, enquanto normas como a ISO/IEC 27018 oferecem diretrizes específicas para ambientes de nuvem, fortalecendo a segurança.

Considerando a necessidade de preservação da privacidade e da proteção dos dados pessoais dos titulares, e diante de uma sociedade na qual nossas informações passaram a ter preço, e não valor, é fundamental adotar medidas de segurança, quer seja em ambiente profissional ou particular, a fim de evitar exposições desnecessárias.

Com relação ao tema privacidade e proteção de dados pessoas, a boa e "velha" Lei Geral de Proteção de Dados Pessoais - LGPD (lei 13.709/18) tem como objetivo proteger a privacidade dos cidadãos, regulamentando a coleta, armazenamento, processamento e compartilhamento de informações pessoais por organizações públicas e privadas. Todavia, além da legislação vigente e aplicável, é válido agregar padrões e frameworks que cooperem para ambientes mais seguros.

Um exemplo, é a ISO/IEC 27018, intitulada "Código de Prática para a Proteção de Informações de Identificação Pessoal - PII, em Serviços de Nuvem que Oferecem Serviços para o Consumidor", que expande as diretrizes da ISO 27001 para ambientes de computação em nuvem, trazendo controles específicos para proteger a privacidade dos indivíduos cujas informações pessoais são processadas em serviços em nuvem.

A crescente adoção de serviços em nuvem trouxe consigo desafios significativos em relação à privacidade e, para enfrentar essas preocupações, a ISO 27018 foi desenvolvida, apresentando um conjunto de controles para atender aos requisitos de proteção de dados pessoais aplicáveis aos operadores de dados pessoais em nuvem pública.

Dispõe a LGPD, em seu artigo 5º, inciso VII: "operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador". Diante da definição trazida, é fundamental compreender o papel do operador e quais os limites existentes no contrato firmado.

Ao utilizar serviços em nuvem, além de conhecer os conceitos da LGPD, é fundamental compreender as opções de serviços existentes:

Entender qual o tipo de serviço que será prestado facilitará na hora da elaboração do contrato e na escolha das medias de segurança que serão adotadas.

Abaixo, alguns pontos estabelecidos pela ISO 27018:

Convém que os DP a serem tratados sob um contrato não sejam tratados para qualquer finalidade independente das instruções do cliente que utiliza serviços em nuvem.

Convém que o DP tratado sob um contrato não seja utilizada pelo operador de DP em nuvem pública para fins de marketing e publicidade sem o consentimento expresso. Convém que este consentimento não seja uma condição de recebimento do serviço.

Convém que o contrato entre o operador de DP em nuvem pública e o cliente que utiliza serviços em nuvem requeira que o operador de DP em nuvem pública notifique o cliente que utiliza serviços em nuvem, de acordo com qualquer procedimento e períodos acordados no contrato, de qualquer solicitação legalmente vinculativa para divulgação de DP por uma autoridade competente para cumprimento da lei, a menos que esta divulgação seja proibida.

Convém que o uso de subcontratados pelo operador de DP em nuvem pública para tratar DP seja divulgado aos clientes pertinentes que utilizam serviços em nuvem antes da sua utilização.

A leitura da norma demonstra a real importância de um contrato objetivo e completo, bem como do cumprimento da finalidade estabelecida. Ainda, temas como descarte de informações, notificação sobre incidentes e acordo de confidencialidade são mencionados na referida norma e exigem atenção.

Outro ponto apontado pela ISO 27018, refere-se à imprescindibilidade de conscientizar os colaboradores para que os controles da referida norma sejam cumpridos: "Implementar medidas para conscientizar os funcionários da organização das possíveis consequências ao operador de DP em nuvem pública, consequências disciplinares ao membro da equipe e danos ao titular de DP na violação das regras e procedimentos de privacidade ou de segurança, especialmente aqueles que tratam da manipulação de DP".

Logo, fica clara a importância de conhecer os termos, além da necessidade de ter um contrato claro e com cláusulas bem definidas, a fim de resguardar a elação com o provedor de serviços em nuvem bem como preservar a privacidade dos titulares de dados pessoais.

A LGPD e a ISO 27018 compartilham objetivos comuns relacionados à preservação da privacidade e segurança, como por exemplo:

Ambas enfatizam a importância da transparência nas práticas de tratamento de dados pessoais, garantindo que os titulares dos dados tenham conhecimento sobre como suas informações serão utilizadas. Além disso, ambas destacam a necessidade de obtenção de consentimento adequado;
As duas incentivam a implementação de medidas técnicas e organizacionais para garantir a segurança dos dados pessoais. A ISO 27018 fornece controles específicos adaptados a ambientes de nuvem, enquanto a LGPD destaca a necessidade de boas práticas de segurança;
Tanto a LGPD quanto a ISO 27018 reconhecem e fortalecem os direitos dos titulares de dados, incluindo o direito de acesso, correção e exclusão de informações pessoais.
Logo, o trabalho baseado em ambas pode trazer bons resultados, considerando:

A cooperação para o atendimento aos requisitos legais sobre o tema;
A melhoria contínua das práticas de governança de dados e gestão;
O fortalecimento da transparência e da relação de confiança com os titulares de dados pessoais e os parceiros de negócios.
A combinação entre a LGPD e a ISO/IEC 27018 cria uma aliança robusta na proteção da privacidade e da proteção de dados pessoais em ambientes digitais. É válido dizer que as normas de padronização não são leis, todavia, cooperam muito na aplicação de boas práticas e na manutenção de ambientes mais seguros.

A conformidade conjunta não apenas atende aos requisitos legais, mas também reforça a importância e a necessidade da segurança e da ética no tratamento de dados pessoais. Seguindo padrões internacionais e nacionais, as organizações podem construir confiança, respeitando os direitos dos titulares dos dados e promovendo boas práticas de privacidade e proteção de dados pessoais transparentes e seguras.

Leia na ÍNTEGRA