ISO/IEC 27002 x LGPD - Abrangência da iso em referência da nova lei geral de proteção de dados

Abstract

Cada vez mais as empresas têm em suas mãos dados pessoais que permitem a identificação particular de cada indivíduo. Foi criada no Brasil a Lei Geral de Proteção de Dados (LGPD), LEI Nº 13.709, de 14 de agosto de 2018. Os capítulos desse estudo tratam de apresentar comparativos entre o que se pede nos artigos da LGPD com os conceitos e controles contidos nas normas da ISO/IEC 27002, sendo que a Lei Geral de Proteção de Dados é obrigatória em território brasileiro enquanto a ISO apresenta normas de boas práticas de segurança da informação. Assim sendo, este trabalho busca detalhar o que a ISO aborda dentro da LGPD e quais partes da lei a ISO não aborda, em referência aos conceitos de tratamento de dados pessoais. Para tanto, utilizando a metodologia de pesquisa no formato qualitativo, colocou-se os artigos da LGPD lado a lado com os controles contidos na ISO 27002, fundamentando a teoria e dividindo os artigos da lei em tópicos principais para uma abordagem completa dentro dos controles necessários para alcançar a abrangência total, citados ao longo do estudo, sendo totalmente descritivo. O objetivo é mostrar para as empresas que já têm o certificado da ISO 27001 os pontos que ainda faltam para estarem em conformidade total com a LGPD, sendo principalmente a falta de inclusão do Titular no ciclo do tratamento de dados, sendo necessário pedir permissão, informar e dar o controle total de anonimização, edição e exclusão dos dados pessoais e dados pessoais sensíveis para ele. Desta forma, foi elaborada uma tabela de comparação de artigos práticos da Lei Geral de Proteção de Dados com as seções referentes da ISO/IEC 27002, definindo critério de abrangência total, parcial ou de nenhuma abrangência. Analisados 17 artigos da LGPD, observou-se que a ISO 27002 abrange totalmente 8 deles (47%), enquanto outros 8 (47%) não encontram quaisquer correspondências e apenas 1 (6%) está contemplado parcialmente.

More and more companies have in their hands personal data that allow the private identification of each individual. The General Data Protection Law (LGPD) was created in Brazil, LAW No. 13.709, of August 14, 2018. The chapters of this study try to present comparisons between what is requested in the articles of the LGPD with the concepts and controls contained in the ISO / IEC 27002 standards, with the General Data Protection Law being mandatory in Brazilian territory while ISO presents standards of good information security practices. Therefore, this work seeks to research what the ISO addresses within the LGPD and which parts of the law the ISO does not address, in reference to the concepts of personal data processing. For this, using the research methodology in a qualitative format, the LGPD articles are placed side by side with the controls contained in ISO 27002, supporting the theory and dividing the articles of law into main ones for a complete approach within the controls configured for reach the full coverage, mentioned throughout the study, being fully descriptive. The objective is to show companies that already have the ISO 27001 certificate the points that are still missing to be in full compliance with the LGPD, mainly the lack of inclusion of the Holder in the data processing cycle, requiring permission to inform, inform and give full control of anonymizing, editing and deleting personal data and personal data to him. In this way, a comparison table of practical articles of the General Data Protection Law with the main ones referring to ISO / IEC 27002 was created, defining the criterion of total, partial or no coverage. After 17 LGPD articles were analyzed, it was observed that ISO 27002 fully covers 8 of them (47%), while another 8 (47%) did not mention any correspondence and only 1 (6%) is partially covered.