Lorem ipsum dolor sit amet, consectetur adipiscing elit. Mauris tempus leo in nulla bibendum dapibus. Donec ut vestibulum diam. Nullam non efficitur mi. Donec vestibulum cursus convallis. Nam scelerisque quam neque, feugiat dictum turpis maximus ut. Donec iaculis est non ultrices facilisis. Aliquam diam turpis, sodales ut consectetur a, tempus nec nis!. Sed ullamcorper accumsan orci eu rhoncus. Aenean ultrices ut massa vel vestibulum.
Morbi vel commodo ex. Aliquam vehicula, nulla id rhoncus tristique, arcu magna faucibus purus, hendrerit interdum elit erat eu neque. Nulla volutpat mi eget placerat mollis. Praesent pulvinar lectus nec rhoncus maximus. Curabitur eu risus in urna tristique rutrum. Quisque dapibus ac tortor at finibus. In commodo tempor massa, at eleifend ante fringilla a. In eu erat gravida, gravida nisl at, volutpat mi. Praesent quis rhoncus elit, sit amet commodo lectus. Duis elementum massa at elit efficitur, vitae dapibus neque consectetur. Orci varius natoque penatibus et magnis dis parturient montes, nascetur ridiculus mus.
Fusce in ligula eu ex efficitur eleifend. Integer lobortis, est eu porttitor aliquet, justo velit condimentum nunc, vitae luctus massa lorem non tellus. Maecenas blandit tortor at sem congue imperdiet. Aenean vel dictum ipsum. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut fringilla lacinia condimentum. Pellentesque lobortis dictum urna at sollicitudin. Suspendisse lorem erat, condimentum ut vulputate quis, porta imperdiet neque. Praesent malesuada est ac nunc blandit, quis condimentum dui sodales. Proin eleifend metus a sem accumsan blandit.
A GDPR (General Data Protection Regulation) publicada sob Regulation (EU) 2016/679 ou Regulamento Geral sobre a Proteção de Dados (RGPD) e a Lei Geral de Proteção de Dados Pessoais (LGPD) publicada pelo Governo Federal Brasileiro sob o número 13.709, de 14 de agosto de 2018, a GDPR dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Este site é gerenciado pela RD2Buzz que assume a obrigação de proteger a privacidade do relator.
As informações recebidas são protegidas contra o uso e divulgação não autorizados em virtude de disposições específicas da lei.
A violação desta lei pode resultar em responsabilidade criminal e/ou civil.
Poderemos coletar as suas informações pessoais quando visita este site. Geralmente, pode visitar este site sem se identificar a não ser que opte por fornecer as informações.
Segurança da informação
O regulamento e a legislação aqui formados, disciplinam a proteção de dados pessoais sob os seguintes fundamentos:
I – o respeito à privacidade;
II – a autodeterminação informativa;
III – a liberdade de expressão, de informação, de comunicação e de opinião;
IV – a inviolabilidade da intimidade, da honra e da imagem;
Dados da visita ao site
As informações que registamos quando acessa o nosso site incluem:
• seu endereço lP ou servidor
• a data e hora da sua visita ao site
• as páginas ou arquivos que acedeu
• o tempo necessário para transmitir-lhe as informações • o endereço da internet anterior a partir do qual foi encaminhado ao nosso site As informações que coletamos são analisadas para mostrar links quebrados no nosso site, gargalos e outros problemas. Usamos essas informações para manter o site com modo de uso eficiente.
Também podemos coletar informações sobre o dispositivo de Tl que você usa. Essas informações podem ser usadas para identificá-lo e ajudar-nos a desempenhar nossas funções e atividades.
Cookies
Utilizamos cookies para manter contato com um usuário por meio de uma sessão no site. Os cookies nos permitem reconhecer a sequência de conexões dos navegadores à medida que acedem o nosso site.
Usamos dois tipos de cookies – cookies de sessão e cookies persistentes.
Cookies de sessão
Os arquivos são usados apenas durante a sessão de um navegador da Web em nosso site.
Todos os cookies serão removidos imediatamente após terminar a sessão de internet ou desligar o computador. A nossa cópia das duas informações será excluída automaticamente 20 minutos após ter usado o nosso sistema pela última vez.
As informações são usadas apenas para ajudá-lo a usar os nossos sistemas de sites com mais eficiência e não para rastrear os seus movimentos pela internet ou para gravar as suas informações pessoais.
Cookies persistentes
Estes arquivos permanecem numa das subpastas do seu navegador até que as exclua manualmente ou o seu navegador as exclua com base no período de duração contido no arquivo do cookie persistente (geralmente após o término da sessão atual).
Nenhuma informação pessoal é armazenada nos cookies utilizados pelo nosso site. Nenhuma tentativa será feita para identificar usuários anônimos ou as suas atividades de navegação, a menos que sejamos legalmente obrigados a fazê-lo.
Outras informações
Se, a qualquer momento, você acreditar que não aderimos aos princípios mencionados nesta declaração de privacidade, entre em contato conosco através do nosso e-mail. Eventuais dúvidas podem ser encaminhadas para info@rd2buzz.com
Brasil
O encarregado pelo tratamento de dados pessoais possui a função de atuar como canal de comunicação entre a instituição, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Encarregado
Paulo Bitar
Rua João Antônio de Oliveira, 1228 Torre 3 Apto 143, Mooca, São Paulo, SP, Brasil. (Para o site de Portugal teremos outro endereço)
Telefone
+55(11)-3042-8990
E-mail:
bitar@rd2buzz.com
Previsão legal
LGPD, art. 5º, VIII
Atribuições
Artigo 41, §2º, da LGPD
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Consulte a LGPD: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
EUROPA
Art. 37 GDPRDesignation of the data protection officer
Consulte: https://gdpr-info.eu/art-37-gdpr/
O Direito à Privacidade é um direito constitucional e essencial para a vida em sociedade, que garante a segurança da vida particular e privada de qualquer indivíduo, assegurado por lei, e ele é responsável por manter em particular todos os acontecimentos da vida de uma pessoa que não caibam no aspecto público.
Com as recentes mudanças, e a facilidade de compartilhamento de conteúdo, seja em formato visual ou textual, este direito se encontra cada vez mais em discussão pela sociedade civil.
Se faz necessário que o direito acompanhe as novas tecnologias que surgiram na última década, e se atualizem para regulamentar a realidade em que vivemos hoje.
Cabe a todos nós da RD2Buzz e a você que está lendo este item, garantir a melhor forma de conduta em se resguardar e nunca expor nada que a prejudicar terceiros.
Aqui, divulgamos quais informações coletamos e como as utilizamos (“Termo de uso” e “Aviso de Privacidade”) para que haja mais clareza do compromisso da RD2Buzz com a segurança, confidencialidade e integridade dos seus dados pessoais (“dados”).
*Essa versão foi atualizada pela última vez em 12 de junho de 2023 e a RD2Buzz poderá atualizá-la a qualquer momento, por isso convidamos a consultar periodicamente esta seção. As condições seguem a Lei n°13.709, de 14 de agosto de 2018, conhecida como a Lei Geral de Proteção de Dados Pessoais (LGPD).
Ao utilizar os serviços da RD2Buzz, você confirma que leu, compreendeu e aceita os termos e políticas aplicáveis e fica a eles vinculado.
É importante reforçar que nossos componentes são disponibilizados em forma de APIS, com a devida documentação para serem integrados/utilizados pelos nossos Clientes e, mesmo que nenhum dado seja enviado para nós, é importante orientarmos:
Definições importantes:
Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
Usuários (ou usuário, quando individualmente considerado): todas as pessoas naturais que utilizarem os serviços, sendo titulares dos dados ou não.
Terceiro: pessoa ou entidade que não participa diretamente em um contrato, em um ato jurídico ou em um negócio, ou que, para além das partes envolvidas, pode ter interesse em um processo jurídico.
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Agentes de tratamento: o controlador e o operador.
Autoridade Nacional de Proteção de Dados (ANPD): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
Tratamento: toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entes privados.
Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.
Códigos maliciosos: qualquer programa de computador, ou parte de um programa, construído com a intenção de provocar danos, obter informações não autorizadas ou interromper o funcionamento de sistemas e/ou redes de computadores.
Cookies: são arquivos armazenados nos computadores ou dispositivos móveis dos usuários ao acessar uma página web que guarda e recupera informações relacionadas à sua navegação.
Confidencialidade: garantia de que a informação é acessível somente por pessoas autorizadas. Integridade: garantia da exatidão e íntegra da informação e dos métodos de seu processamento.
Segurança da informação: conjunto de práticas e métodos voltados para a preservação da confidencialidade, integridade e disponibilidade da informação.
Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Violação de dados pessoais: violação de segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizado a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
Legislações:
Lei nº 13.709, de 14 de agosto de 2018: Lei Geral de Proteção de Dados Pessoais (LGPD);
Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet): estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil.
A Lei de Portabilidade e Responsabilidade do Seguro de Saúde de 1996 (HIPAA) e as regulamentações emitidas sob HIPAA são um conjunto de leis de saúde dos EUA que estabelecem requisitos para o uso, divulgação e proteção de informações de integridade individualmente identificáveis. O escopo do HIPAA foi estendido com a promulgação da Lei de Tecnologia da Informação em Saúde para Saúde Econômica e Clínica (HITECH) em 2009.
O HIPAA se aplica a entidades cobertas (especificamente, prestadores de cuidados de saúde, planos de saúde e clareiras de saúde) que criam, recebem, mantêm, transmitem ou acessam as informações de saúde protegidas dos pacientes (PHI). O HIPAA aplica-se ainda mais aos associados comerciais de entidades cobertas que executam determinadas funções ou atividades envolvendo a PHI como parte da prestação de serviços à entidade coberta ou em nome da entidade coberta.
Quando uma entidade coberta envolve os serviços de um provedor de serviços de nuvem, o provedor de serviços de nuvem seria um associado comercial no HIPAA. Além disso, quando uma empresa associada subcontrata com um provedor de serviços de nuvem para criar, receber, manter ou transmitir PHI, o provedor de serviços de nuvem também se torna um associado comercial.
As regulamentações HIPAA exigem que entidades cobertas (definidas pelas Regras) entrem em acordos com os associados empresariais para garantir que a PHI esteja adequadamente protegida. Esse contrato é chamado de Contrato de Associação Comercial. Entre outras coisas, um Contrato de Business Associate estabelece os usos e divulgações permitidos e necessários da PHI pelo associado comercial, com base na relação entre as partes e as atividades ou serviços que estão sendo executados pelo associado comercial. Para dar suporte à conformidade de nossos clientes com a HIPAA ao utilizar produtos e serviços empresariais de provedores de nuvem, os quais entrarão em Contratos de Associação Comercial com sua entidade coberta e clientes associados a negócios.
O que é a Hitrust?
O Common Security Framework (CSF) da The Health Information Trust Alliance (HITRUST), em suas próprias palavras, “é uma estrutura certificável que oferece às organizações uma abordagem abrangente, flexível e eficiente para conformidade com regulamentações e gerenciamento de risco. Desenvolvida em colaboração com profissionais da área de saúde e de segurança da informação, a HITRUST CSF racionaliza regulamentos e normas de saúde em uma estrutura de segurança abrangente.”
A HITRUST CSF unifica controles de segurança de leis federais (como HIPAA e HITECH), leis estaduais (como Standards for the Protection of Personal Information of Residents of the Commonwealth, de Massachusetts) e estruturas não governamentais (como o PCI Security Standards Council) em uma única estrutura, personalizada de acordo com as necessidades da área de saúde.
Consulte: https://www.hhs.gov/hipaa/index.html
Do que trata a Lei Geral de Proteção de Dados Pessoais – LGPD?
A Lei Geral de Proteção de Dados – LGPD (Lei n. 13.709, de 2018), dispõe sobre o tratamento de dados pessoais das pessoas naturais, definindo as hipóteses em que tais dados podem legitimamente ser utilizados por terceiros e estabelecendo mecanismos para proteger os titulares dos dados contra usos inadequados.
A LGPD é aplicável aos dados de pessoas naturais e deve ser cumprida por pessoa natural e entidades públicas ou privadas, independentemente do país de sua sede ou de onde os dados estejam localizados, que realizem qualquer operação de tratamento de dados pessoais, tais como a coleta, armazenamento e compartilhamento de dados com terceiros, desde que esse tratamento (i) seja realizado no território nacional, (ii) tenha por objeto a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional, ou, ainda, (iii) quando os dados pessoais tiverem sido coletados em território nacional.
Como a legislação de proteção de dados pessoais pode ajudar o Brasil?
A LGPD tem por objetivo proteger os direitos fundamentais relacionados à esfera informacional do cidadão. Assim, a Lei introduz uma série de novos direitos que asseguram maior transparência quanto ao tratamento dos dados e conferem protagonismo ao titular quanto ao seu uso.
A aprovação da LGPD e a criação da Autoridade Nacional de Proteção de Dados – ANPD representam também importantes passos para colocar o Brasil no mesmo patamar de muitos outros países que já aprovaram leis e estruturas institucionais dessa natureza.
A constituição de um ambiente jurídico voltado à proteção de dados pessoais corresponde também ao alinhamento com diretrizes da Organização para a Cooperação e Desenvolvimento Econômico – OCDE, que há décadas vem desempenhando um relevante papel na promoção do respeito à privacidade como um valor fundamental e como um pressuposto para o livre fluxo de dados.
Por fim, do ponto de vista dos agentes de tratamento de dados, sejam empresas ou o próprio poder público, a LGPD traz a oportunidade de aperfeiçoamento das políticas de governança de dados, com adoção de regras de boas práticas e incorporação de medidas técnicas e administrativas que mitiguem os riscos e aumentem a confiança dos titulares dos dados na organização.
Quando a LGPD entrou em vigor?
A lei entrou em vigor de maneira escalonada:
· Em 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B, que tratam da constituição da Autoridade Nacional de Proteção de Dados – ANPD e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade – CNPDPP.
· Em 18 de setembro de 2020, quanto aos demais artigos da lei, com exceção dos dispositivos que tratam da aplicação de sanções administrativas;
· Em 1º de agosto de 2021, quanto aos arts. 52. 53 e 54, que tratam das sanções administrativas.
Com a LGPD, como fica o Cadastro Positivo?
Por se tratar de uma lei geral, seguem em vigor e aplicáveis as regras do Código de Defesa do Consumidor (Lei nº 8.078/90) para o tratamento dos dados negativos e da Lei do Cadastro Positivo (Lei nº 12.414/2011) para o tratamento dos dados positivos.
No Artigo 7º, Inciso X, da LGPD, o legislador cita expressamente que o tratamento dos dados pessoais pode ser realizado para a “proteção do crédito”. No mesmo inciso, reconhece os dispositivos existentes na legislação pertinente, incluindo assim as leis que tratam especificamente de crédito.
O que é tratamento de dados pessoais, de acordo com a LGPD?
Segundo a LGPD, tratamento de dados pessoais é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
O que são dados pessoais?
A LGPD adota um conceito aberto de dado pessoal, definido como a informação relacionada a uma pessoa natural identificada ou identificável.
Assim, além das informações básicas relativas ao nome, número de inscrição no Registro Geral (RG) ou no Cadastro Nacional de Pessoas Físicas (CPF) e endereço residencial, são também considerados dados pessoais outros dados que permitam a identificação de um indivíduo, tais como a orientação sexual, a filiação político-partidária, o histórico médico e também aqueles referentes aos aspectos biométricos do indivíduo.
Segundo a LGPD, poderão ser igualmente considerados como dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.
A LGPD adota um conceito aberto de dado pessoal, definido como a informação relacionada a uma pessoa natural identificada ou identificável.
Assim, além das informações básicas relativas ao nome, número de inscrição no Registro Geral (RG) ou no Cadastro Nacional de Pessoas Físicas (CPF) e endereço residencial, são também considerados dados pessoais outros dados que permitam a identificação de um indivíduo, tais como a orientação sexual, a filiação político-partidária, o histórico médico e também aqueles referentes aos aspectos biométricos do indivíduo.
Segundo a LGPD, poderão ser igualmente considerados como dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.
O que são dados pessoais sensíveis?
Os dados pessoais sensíveis são aqueles aos quais a LGPD conferiu uma proteção ainda maior, por estarem diretamente relacionados aos aspectos mais íntimos da personalidade de um indivíduo.
Assim, são dados pessoais sensíveis aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a um indivíduo.
Sobre os dados considerados sensíveis, como fica a questão de dados biométricos?
A LGPD classifica os dados biométricos como dados pessoais sensíveis, prevendo ainda mais rigor nos critérios aplicáveis ao seu tratamento. Nesses casos o tratamento poderá ser realizado sem o consentimento do titular quando se tratar de hipóteses que abrangem o cumprimento de obrigação legal ou regulatória e a prevenção à fraude e à segurança do titular, dentre outras.
Quais dados são protegidos pela LGPD?
A LGPD garante proteção a todos os dados cujos titulares são pessoas naturais, estejam eles em formato físico ou digital. Assim, a LGPD não alcança os dados titularizados por pessoas jurídicas – os quais não são considerados dados pessoais para os efeitos da Lei.
Em que hipóteses pode ser realizado o tratamento de dados pessoais?
Com a entrada em vigor da LGPD, o tratamento de dados pessoais pode ser realizado quando se verificar a ocorrência de qualquer uma das hipóteses previstas em seu artigo 7º ou, no caso de dados pessoais sensíveis, de uma das hipóteses previstas no artigo 11. Existem dez bases legais distintas para o tratamento de dados pessoais e oito bases legais que legitimam o tratamento de dados pessoais sensíveis.
Vale notar que a LGPD é aplicável também aos dados cujo acesso é público e àqueles tornados manifestamente públicos pelos titulares, resguardando-se a observância dos princípios gerais e dos direitos dos titulares previstos na Lei.
Quais são as bases legais para o tratamento de dados pessoais?
O tratamento de dados pessoais (não sensíveis) poderá ser realizado em qualquer uma das seguintes hipóteses, previstas no art. 7º da LGPD:
· Mediante o fornecimento de consentimento pelo titular;
· Para o cumprimento de obrigação legal ou regulatória pelo controlador;
· Para a execução de políticas públicas, pela administração pública;
· Para a realização de estudos por órgão de pesquisa;
· Para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
· Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
· Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
· Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
· Para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
· Para a proteção do crédito.
Quais são os direitos dos cidadãos com a entrada em vigor da LGPD?
A LGPD prevê uma ampla gama de direitos dos titulares de dados, dentre os quais podem ser destacados os seguintes:
· acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva;
· confirmação da existência de tratamento;
· acesso aos dados;
· correção de dados incompletos, inexatos ou desatualizados;
· anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
· portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
· eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD;
· informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
· informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
· revogação do consentimento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado;
· peticionamento em relação aos seus dados contra o controlador, perante a autoridade nacional e perante os organismos de defesa do consumidor;
· oposição a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na LGPD;
· solicitação de revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade; e
· fornecimento, mediante solicitação, de informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.
O que as empresas e o governo precisam fazer para se adequar?
A LGPD estabelece uma série de medidas que devem ser adotadas pelos agentes de tratamento, que incluem a identificação das bases legais que justificam as atividades de tratamento de dados; a adoção de processos e políticas internas que assegurem o cumprimento das normas de proteção de dados pessoais; e o estabelecimento de um canal de contato com os titulares de dados pessoais.
A Lei determina que os controladores de dados devem indicar um Encarregado para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD. Em determinadas circunstâncias, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados, a ANPD poderá estabelecer hipóteses de dispensa da necessidade de sua indicação.
Ainda não temos nada de acordo com o que a LGPD pede. O que fazer?
É importante lembrar que dados pessoais permeiam toda a organização, então, o sucesso desse trabalho vai depender do esforço e envolvimento de todos. Os primeiros passos devem ter a direção da empresa envolvida e consciente da necessidade de entrar em conformidade, para assim ter um patrocinador forte, para então, formar um time multidisciplinar que envolva várias áreas, como compliance, tecnologia, segurança e governança, jurídico e recursos humanos.
Qual o perfil desejado para o Encarregado (DPO)?
A designação do Encarregado deve ocorrer baseada nas qualidades profissionais do indicado, particularmente em seu conhecimento jurídico-regulatório, em tecnologia e segurança da informação, liderança organizacional, conscientizador/educador, e ainda, com conhecimento em governança. Quanto mais complexas forem as atividades de tratamento de dados realizadas pela organização, maior deverá ser o nível de conhecimento técnico do Encarregado pelo Tratamento de Dados Pessoais (DPO).
Qual é o trabalho do Encarregado (DPO) na prática?
O Encarregado terá papel fundamental nas decisões estratégicas das organizações e deverá ter autonomia sobre as atividades que envolvam qualquer tipo de tratamento de dados, além de ter contato direto com a direção da empresa, tomando decisões que a deixe de acordo com a lei.
Como a LGPD trata no Artigo 41, o DPO/Encarregado deverá ter as seguintes atribuições:
· aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
· receber comunicações da autoridade nacional e adotar providências;
· orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
· executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Além dessas atribuições, a ANPD, Autoridade Nacional de Proteção de Dados, poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado.
Qual o envolvimento da área de TI no projeto de adequação?
A participação da área de TI é muito importante no processo de ficar em conformidade, pois ela está envolvida desde apoiar a disponibilidade dos sistemas que sustentam as demandas de privacidade até assegurar que as ferramentas, processos e boas práticas da segurança da informação estejam a postos e em conformidade.
Essa área tem uma participação ampla e abrangente já que a Lei deixa claro que as empresas devem adotar medidas técnicas e administrativas para assegurar a proteção dos seus dados pessoais. Porém, o envolvimento de todas as áreas é fundamental, principalmente do jurídico, compliance e negócio.
O quanto a tecnologia é importante para a implementação da LGPD?
O processo para entrar em conformidade com a LGPD deve passar por pessoas, áreas, processos, sistemas, parceiros jurídicos e de tecnologia. Por conta de todas estas variáveis envolvidas, entendemos que a tecnologia faz sim diferença e é importante, pois, dependendo do tamanho e nível de complexidade de uma organização, gerenciar todas essas entidades de acordo com os requisitos da lei sem uma ferramenta de gestão que consiga agregar, registrar e controlar todas essas demandas pode se tornar um projeto extremamente difícil.
Segundo o Art. 49 da Lei, os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.
O que é e como fazer o Mapeamento de Dados (Data Mapping)?
O Data Mapping consiste em levantar, através da estrutura da organização, recursos próprios ou com uma empresa especializada, todos os itens associados aos dados pessoais. Com essas informações é criado um inventário, que pode ser, basicamente, de quatro tipos:
· Tabelas ativas ou banco de dados inteiros, aplicações que retém dados ou arquivos físicos não eletrônicos;
· Fornecedores de sistemas com os quais se divide dados pessoais, como um CRM na nuvem;
· Processos ou atividades que, de alguma forma, manipulam informações pessoais;
· Empresas parceiras também manipulam dados pessoais sob nossa responsabilidade.
Após definir o que será inventariado, o próximo passo é fazer o mapeamento através de um processo iterativo e incremental. Ou seja, é interessante começar a mapear o que é conhecido, pois, desde um primeiro momento, já é possível obter consciência dos gaps e eventuais riscos envolvidos.
O termo de consentimento pode ser escrito ou digital? Em caso do digital, tem alguma regra para seguir?
O termo de consentimento pode ser adquirido tanto físico, quanto digital, porém precisa ser, como consta no Art. 8, “por escrito ou por outro meio que demonstre a manifestação de vontade do titular”. Assim como a GDPR, a Lei Geral de Proteção de Dados traz a preocupação em limitar a retenção dos dados apenas àquilo estritamente necessário para seu tratamento.
Na Lei não há um prazo fixo para a retenção dos dados tratados, mas estabelece, em seu Art. 16, que os “dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades”. Observa-se, dessa forma, que o prazo de retenção de dados na LGPD está condicionado à finalidade declarada pelo responsável pelo tratamento, e que, uma vez utilizados, devem ser excluídos de seus servidores.
O que é a Autoridade Nacional de Proteção de Dados Pessoais – ANPD?
A ANPD é o órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por implementar e fiscalizar o cumprimento da LGPD no Brasil.
Consulte: https://www.gov.br/anpd/pt-br
Qual é o papel da Autoridade Nacional de Proteção de Dados – ANPD?
A missão institucional da ANPD é assegurar a mais ampla e correta observância da LGPD no Brasil e, nessa medida, garantir a devida proteção aos direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade dos indivíduos.
O art. 55-J da LGPD estabelece as principais competências da ANPD, dentre as quais s destacam as seguintes:
· elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
· fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
· promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
· estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
· promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
· editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;
· ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;
· editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclararem startups ou empresas de inovação, possam adequar-se à Lei;
· deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação da LGPD, as suas competências e os casos omissos;
· articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e
· Implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei.
Quando a ANPD foi criada?
A ANPD foi criada pela Medida Provisória n. 869, de 27 de dezembro de 2018, posteriormente convertida na Lei n. 13.853, de 14 de agosto de 2019.
Por sua vez, o Decreto 10.474, de 26 de agosto de 2020, aprovou a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da ANPD, com entrada em vigor na data de publicação da nomeação do Diretor-Presidente da ANPD no Diário Oficial da União.
Qual é a estrutura da ANPD?
Nos termos do art. 55-C da LGPD e do art. 3º do Decreto 10.474/20, a ANPD possui a seguinte composição:
· Conselho Diretor, órgão máximo de direção, formado por cinco Diretores, incluído o Diretor-Presidente;
· Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, órgão consultivo formado por 23 representantes de órgãos públicos, da sociedade civil, da comunidade científica, do setor produtivo e empresarial e do setor laboral.
· Órgãos de assistência direta e imediata ao Conselho Diretor:
a) Secretaria-Geral;
b) Coordenação-Geral de Administração; e
c) Coordenação-Geral de Relações Institucionais e Internacionais;
· Órgãos seccionais:
a) Corregedoria;
b) Ouvidoria; e
c) Assessoria Jurídica; e
· Órgãos específicos singulares:
a) Coordenação-Geral de Normatização;
b) Coordenação-Geral de Fiscalização; e
c) Coordenação-Geral de Tecnologia e Pesquisa.
Consulte: https://www.gov.br/anpd/pt-br/acesso-a-informacao/institucional/estrutura-organizacional-1
A ANPD é uma autoridade independente?
Apesar de ser um órgão da administração pública federal direta, a ANPD possui algumas características institucionais que lhe conferem maior independência, tais como a autonomia técnica e decisória e o mandato fixo dos Diretores.
A LGPD prevê também que a natureza jurídica da ANPD é transitória e poderá ser transformada pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República. Tal avaliação deverá ocorrer em até 2 (dois) anos da data da entrada em vigor da estrutura regimental da ANPD.
A ANPD pode aplicar sanções pelo descumprimento da lei?
Cabe lembrar, em primeiro lugar, que os dispositivos da LGPD que tratam de sanções administrativas somente entrarão em vigor em 1o de agosto de 2021. Após essa data, a ANPD poderá aplicar, após procedimento administrativo que possibilite a ampla defesa, as seguintes sanções administrativas:
· advertência, com indicação de prazo para adoção de medidas corretivas;
· multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
· multa diária, observado o limite total a que se refere o inciso II;
· publicização da infração após devidamente apurada e confirmada a sua ocorrência;
· bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
· eliminação dos dados pessoais a que se refere a infração;
· suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
· suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; e
· proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
A ANPD se articula com outras entidades e órgãos públicos no exercício das suas competências?
Sim. A ANPD deve se articular com outras entidades e órgãos públicos a fim de garantir o cumprimento de sua missão institucional, atuando como órgão central de interpretação da LGPD e do estabelecimento de normas e diretrizes para a sua implementação.
A LGPD determina, por exemplo, que a ANPD e os órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental devem coordenar suas atividades, nas correspondentes esferas de atuação, com vistas a assegurar o cumprimento de suas atribuições com a maior eficiência e promover o adequado funcionamento dos setores regulados. Da mesma forma, a LGPD determina que a ANPD deve comunicar às autoridades competentes as infrações penais das quais tiver conhecimento.
É importante observar que a aplicação das sanções previstas na LGPD compete exclusivamente à ANPD, e suas competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública.
Qual é o perfil dos Diretores da ANPD? Como eles são escolhidos?
A LGPD determina que o Conselho Diretor da ANPD será composto de 5 (cinco) diretores, incluído o Diretor-Presidente. Os membros são escolhidos pelo Presidente da República e por ele nomeados, após aprovação pelo Senado Federal, e devem ser escolhidos dentre brasileiros que tenham reputação ilibada, nível superior de educação e elevado conceito no campo de especialidade dos cargos para os quais serão nomeados.
O mandato dos membros do Conselho Diretor será de 4 (quatro) anos. Para assegurar que tais mandatos sejam não coincidentes (ou seja, que se encerrem em anos distintos), os mandatos dos primeiros membros do Conselho Diretor nomeados serão de 2 (dois), de 3 (três), de 4 (quatro), de 5 (cinco) e de 6 (seis) anos, conforme estabelecido no ato de nomeação.
Para que serve o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade – CNPDPP?
O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade é entidade de natureza consultiva que viabiliza a participação dos diferentes segmentos sociais na conformação do ambiente regulatório de proteção de dados pessoais. Suas principais atribuições são:
· propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD;
· elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade;
· sugerir ações a serem realizadas pela ANPD;
· elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; e
· disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população.
A participação no Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será considerada prestação de serviço público relevante, não remunerada.
Como serão escolhidos os membros do CNPDPP?
O CNPDPP é composto por vinte e três representantes, titulares e suplentes, dos seguintes órgãos e entidades:
· 5 (cinco) do Poder Executivo federal;
· 1 (um) do Senado Federal;
· 1 (um) da Câmara dos Deputados;
· 1 (um) do Conselho Nacional de Justiça;
· 1 (um) do Conselho Nacional do Ministério Público;
· 1 (um) do Comitê Gestor da Internet no Brasil;
· 3 (três) de entidades da sociedade civil com atuação relacionada a proteção de dados pessoais;
· 3 (três) de instituições científicas, tecnológicas e de inovação;
· 3 (três) de confederações sindicais representativas das categorias econômicas do setor produtivo;
· 2 (dois) de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais; e
· 2 (dois) de entidades representativas do setor laboral.
Os membros do CNPDPP e respectivos suplentes serão designados pelo Presidente da República.
As indicações dos membros representantes dos órgãos do Poder Executivo, do Poder Legislativo, do Conselho Nacional de Justiça, do Conselho Nacional do Ministério Público e do Comitê Gestor da Internet no Brasil devem ser submetidas pelos titulares dos órgãos ao Ministro de Estado Chefe da Casa Civil da Presidência da República.
As demais indicações poderão ser livremente apresentadas ao Conselho Diretor da ANPD pelas entidades representativas dos diferentes segmentos, no prazo de trinta dias, contado da data de publicação do edital de convocação no Diário Oficial da União. Após o recebimento das indicações, o Conselho Diretor formará lista tríplice de titulares e suplentes para cada vaga, que será encaminhada ao Ministro de Estado Chefe da Casa Civil da Presidência da República para nomeação pelo Presidente da República.
Como ocorrerá a participação da sociedade nos trabalhos da ANPD?
Nos termos da LGPD, cabe à ANPD ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento. Ademais, os regulamentos e as normas editados pela ANPD devem ser precedidos de consulta e audiência públicas, bem como de análises de impacto regulatório.
Por fim, cabe recordar que o CNPDPP é a forma de participação institucionalizada dos diferentes grupos sociais na ANPD.
As pessoas físicas e jurídicas, públicas ou privadas, que realizam atividades de tratamento de dados pessoais terão de transferir para a ANPD seus bancos de dados?
Não será exigido que pessoas físicas ou jurídicas que realizam tratamento de dados transfiram para a ANPD seus bancos de dados. Cabe à ANPD fiscalizar e aplicar sanções quando o tratamento de dados ocorrer em desconformidade com a legislação de proteção de dados, mediante processo administrativo, com contraditório e ampla defesa.
What is the GDPR?
The General Data Protection Regulation is a European Union law that was implemented May 25, 2018, and requires organizations to safeguard personal data and uphold the privacy rights of anyone in EU territory. The regulation includes seven principles of data protection that must be implemented and eight privacy rights that must be facilitated. It also empowers member state-level data protection authorities to enforce the GDPR with sanctions and fines. The GDPR replaced the 1995 Data Protection Directive, which created a country-by-country patchwork of data protection laws. The GDPR, passed in European Parliament by overwhelming majority, unifies the EU under a single data protection regime.
Read our summary of the GDPR for an overview of the law. ( https://gdpr.eu/what-is-gdpr/ )
Who must comply with the GDPR?
Any organization that processes the personal data of people in the EU must comply with the GDPR. “Processing” is a broad term that covers just about anything you can do with data: collection, storage, transmission, analysis, etc. “Personal data” is any information that relates to a person, such as names, email addresses, IP addresses, eye color, political affiliation, and so on. Even if an organization is not connected to the EU itself, if it processes the personal data of people in the EU (via tracking on its website, for instance), it must comply. The GDPR is also not limited to for-profit companies.
Find more information about who must comply with the GDPR: https://gdpr.eu/companies-outside-of-europe/
What are the GDPR fines?
The GDPR allows the data protection authorities in each country to issue sanctions and fines to organizations it finds in violation. The maximum penalty is €20 million or 4% of global revenue, whichever is higher. Data protection authorities can also issue sanctions, such as bans on data processing or public reprimands.
Read more about how GDPR fines are assessed: https://gdpr.eu/fines/
How do I comply with the GDPR?
Organizations can comply with the GDPR by implementing technical and operational safeguards to protect personal data they control. The first step is to conduct a GDPR assessment to determine what personal data they control, where it is located, and how it is secured. They must also adhere to the privacy principles outlined in the GDPR, such as obtaining consent and ensuring data portability. You may also be required to appoint a Data Protection Officer and update your privacy notice ( https://gdpr.eu/privacy-notice/ ), among other organizational measures.
Review our GDPR checklist to learn more about the steps to compliance: https://gdpr.eu/checklist/
What is a Data Protection Officer?
A Data Protection Officer (DPO) is an employee within your organization who is responsible for understanding the GDPR and ensuring your organization’s compliance. The DPO is the main point of contact for the data protection authority. Typically, the DPO has knowledge of both information technology and law.
Learn more about the Data Protection Officer role here: https://gdpr.eu/data-protection-officer/
Does the GDPR require encryption?
The GDPR requires organizations to implement “appropriate technical and organizational measures” to secure personal data and provides a short list of options for doing so, including encryption. In many cases, encryption is the most feasible method of securing personal data. For instance, if you regularly send emails within your organization that contain personal information, it may be more efficient to use an encrypted email service than to anonymize the information each time.
ISO 27001 x ISO 27701
É importante inicialmente já deixar clara a diferença entre as normas ISO 27001 e ISO 27701.
A norma ISO 27001 – Sistema de Gestão de Segurança da Informação – é uma norma para implementação de um sistema de gestão com foco em segurança da informação, enquanto a norma ISO 27701 – Sistema de Gestão de Segurança Privada – é uma extensão da norma 27001, e tem como objetivo adicionar novos controles no sistema de gestão para garantir a total privacidade especificamente dos dados pessoais.
Dito isso, é fundamental ressaltar que é necessário implementar a ISO 27001 para que possa ser possível estender seu escopo e atender também a ISO 27701. Claro que é possível (e recomendável) implementar ambas em paralelo, porém não é possível implementar somente a ISO 27701 sem implementar a ISO 27001, pois os principais controles relacionados a formação de um sistema de gestão seguro estão na ISO 27001.
Termos importantes
Alguns termos da ISO 27701 possuem um mapeamento direto com termos da LGPD, o que mostra a íntima relação entre a lei e a norma de extensão. São eles:
PII – Personally Identifiable Information – (LGPD: Dado Pessoal): Dados que possam permitir a identificação do Titular dos Dados.
PII Controller (LGPD: Controlador de Dados): é a parte interessada que determina os objetivos e meios pelos quais os dados pessoais serão tratados;
PII Processor (LGPD: Processador de Dados): é a parte interessada que trata/processa os dados pessoais para o Controlador de Dados, seguindo suas instruções;
PII Principal (LGPD: Titular dos Dados): pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
Quem deve implementar a ISO 27701?
Toda organização, de qualquer tamanho e natureza (pública ou privada), que é responsável por processamento de dados pessoais (PII Processor) ou por controlar e fazer uso de dados pessoais (PII Controller), terão benefícios na adoção das melhores práticas definidas na ISO 27701. A gestão com base em riscos de segurança e privacidade busca ajudar as organizações a evitar possíveis vazamentos de dados, acessos indevidos e demais incidentes que podem acarretar em sérios problemas para a empresa.
O que é ISO 27701?
A norma ISO 27701 foi publicada no dia 05 de agosto de 2019 com o objetivo de ser uma adequação lógica para a LGPD e a GDPR. Ela veio como uma norma de extensão da ISO 27001 para tratar essa lacuna na ISO 27001, e pode ser adquirida no link acima por aproximadamente U$190,00.
Conforme comentado anteriormente, a ISO 27701 estende a norma ISO 27001 para incluir também os controles referente à privacidade dos dados. Isso significa que, além dos controles previstos pelo Sistema de Gestão de Segurança da Informação (SGSI), como a garantia da integridade, confidencialidade e disponibilidade dos dados, para atender a norma ISO 27701, esse sistema de gestão deve ser expandido para um “Privacy Information Management System” (PIMS), que é um sistema de gestão preocupado também com a gestão da privacidade dos dados pessoais. Esse sistema de gestão busca ajudar as empresas a gerenciar os riscos de privacidade relacionados aos dados pessoais, seja ela na relação com o controlador ou com o processador dos dados.
É importante ressaltar que ao certificar a ISO 27001 + ISO 27701, a empresa NÃO pode dizer que está automaticamente aderente à LGPD. No entanto, essa certificação demonstra que a empresa possui um sistema de gestão robusto e preocupado com a privacidade dos dados pessoais, seguindo as melhores práticas do mercado para gestão de segurança da informação e privacidade de dados. A LGPD não é, até o momento, oficialmente certificável, visto que ela ainda não está vigente e mecanismos de certificação ainda estão sendo discutidos.
Quais as principais vantagens da ISO 27701?
Os principais benefícios obtidos ao estabelecer um PIMS aderente à ISO 27701 são:
Mostra para seus clientes, fornecedores e funcionários que a empresa tem a preocupação com os dados e informações deles, gerando aumento da confiança;
Atende as principais exigências da LGPD e GDPR;
Deixa claro para todos os envolvidos quais são os papéis e responsabilidades de cada um;
Aumenta a competência e a consciência dos colaboradores em relação a segurança e privacidade dos dados;
Melhora os processos internos, diminuindo os riscos de vazamentos de dados;
Traz transparência nos controles estabelecidos para gestão da privacidade. Todos sabem como os dados são tratados e o que está sendo feito com eles;
Facilita acordos com parceiros de negócio, através do aumento da segurança e confiança;
Integra facilmente com o Sistema de Gestão da Segurança da Informação que é exigido pela ISO 27001.
Implementando a norma
Para implementar a ISO 27701, é necessário que a ISO 27001 seja implementada também. Para isso, é aceitável que a empresa já tenha certificado ou esteja em processo de certificação da ISO 27001.
Também é normal que a empresa não tenha a ISO 27001. Nesse caso, é importante ressaltar que ela terá que fazer a implementação da ISO 27001 e da ISO 27701 em conjunto. Essa estratégia é recomendável e faz com que a implementação seja feita com menos esforço e dificuldades.