Os dois lados da moeda: regulamentos de privacidade incluem requisitos de segurança cibernética

Os dois lados da moeda: regulamentos de privacidade incluem requisitos de segurança cibernética

Texto por: Maurício Rotta

Uma organização pode implementar práticas de segurança cibernética sem privacidade, mas não pode implementar práticas de privacidade sem segurança cibernética! Este é um conceito importante a ter em mente ao considerar qualquer uma das legislações, regulamentos e estruturas da indústria mais recentes, incluindo a Lei Geral de Proteção de Dados (LGPD), o Regulamento Geral de Proteção de Dados da União Europeia (EU GDPR) e o California Consumer Privacy Act (CCPA).

Esses requisitos podem ser considerados “os dois lados da moeda” no que diz respeito à natureza interconectada da privacidade e segurança cibernética, onde há uma expectativa clara de que, além de um programa formal de privacidade, também exista um programa de segurança cibernética:

  1. A determinação de “práticas seguras” é deixada para a organização definir. Na maioria dos casos, isso significa alinhamento com a ISO 27001/27002, como a estrutura usada para definir o que é “certo” da perspectiva da segurança cibernética.
  2. A determinação de “práticas de privacidade” também é deixada para a organização definir. Assim como nas estruturas de segurança cibernética, existem inúmeras estruturas de privacidade que uma organização pode escolher, a exemplo da ISO 27701.
  3. A seleção de estruturas de segurança e privacidade a serem adotadas por uma organização, é uma decisão de negócios, e não é ditada pela tecnologia. Essas estruturas destinam-se a apoiar as operações gerais de negócios da organização e os objetivos estratégicos. A seleção de estruturas é principalmente uma decisão de negócios.
  4. Essas expectativas de privacidade e segurança cibernética se aplicam não apenas aos operadores e controladores de dados, mas também às cadeias de fornecedores. As “práticas seguras” internas de uma organização não fazem sentido se houver provedores de serviços terceirizados não gerenciados que tenham acesso irrestrito a dados confidenciais ou aos sistemas / aplicativos / serviços que armazenam, transmitem e processam dados pessoais.

A metodologia da GEP Soluções em Compliance é aplicáveis tanto ​​para operadores, quanto para controladores, pois empregamos as principais práticas do setor – baseando-se, principalmente, nas ISO 27001, 27002, 27701 e 31000 – para garantir conformidade com as normas de privacidade e segurança, por meio de procedimentos que orientam as organizações na preparação, implantação e manutenção de um Sistema de Gestão de Proteção da Informação – SGPI.

Pronto para implementar os princípios de privacidade e segurança cibernética para atender às necessidades de conformidade com a LGPD? Nós estamos!

Escrito por

GEP | Soluções em Compliance

Sistema integrado de Governança


• Segurança e Gestão da Informação ( LGPD)
• Governança Corporativa
• Conformidade e Integridade Empresarial