Migalhas de Peso

A importância da integração entre a LGPD e a ISO 27018 (proteção de dados pessoais em nuvem pública)

É crucial adotar medidas de segurança para preservar a privacidade e proteger dados pessoais. A LGPD busca regulamentar a coleta e uso dessas informações, enquanto normas como a ISO/IEC 27018 oferecem diretrizes específicas para ambientes de nuvem, fortalecendo a segurança.

28/2/2024

Considerando a necessidade de preservação da privacidade e da proteção dos dados pessoais dos titulares, e diante de uma sociedade na qual nossas informações passaram a ter preço, e não valor, é fundamental adotar medidas de segurança, quer seja em ambiente profissional ou particular, a fim de evitar exposições desnecessárias.

Com relação ao tema privacidade e proteção de dados pessoas, a boa e “velha” Lei Geral de Proteção de Dados Pessoais - LGPD (lei 13.709/18) tem como objetivo proteger a privacidade dos cidadãos, regulamentando a coleta, armazenamento, processamento e compartilhamento de informações pessoais por organizações públicas e privadas. Todavia, além da legislação vigente e aplicável, é válido agregar padrões e frameworks que cooperem para ambientes mais seguros.

Um exemplo, é a ISO/IEC 27018, intitulada "Código de Prática para a Proteção de Informações de Identificação Pessoal - PII, em Serviços de Nuvem que Oferecem Serviços para o Consumidor", que expande as diretrizes da ISO 27001 para ambientes de computação em nuvem, trazendo controles específicos para proteger a privacidade dos indivíduos cujas informações pessoais são processadas em serviços em nuvem.

A crescente adoção de serviços em nuvem trouxe consigo desafios significativos em relação à privacidade e, para enfrentar essas preocupações, a ISO 27018 foi desenvolvida, apresentando um conjunto de controles para atender aos requisitos de proteção de dados pessoais aplicáveis aos operadores de dados pessoais em nuvem pública.

Dispõe a LGPD, em seu artigo 5º, inciso VII: “operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”. Diante da definição trazida, é fundamental compreender o papel do operador e quais os limites existentes no contrato firmado.

Ao utilizar serviços em nuvem, além de conhecer os conceitos da LGPD, é fundamental compreender as opções de serviços existentes:

Entender qual o tipo de serviço que será prestado facilitará na hora da elaboração do contrato e na escolha das medias de segurança que serão adotadas.

Abaixo, alguns pontos estabelecidos pela ISO 27018:

Convém que os DP a serem tratados sob um contrato não sejam tratados para qualquer finalidade independente das instruções do cliente que utiliza serviços em nuvem.

Convém que o DP tratado sob um contrato não seja utilizada pelo operador de DP em nuvem pública para fins de marketing e publicidade sem o consentimento expresso. Convém que este consentimento não seja uma condição de recebimento do serviço.

Convém que o contrato entre o operador de DP em nuvem pública e o cliente que utiliza serviços em nuvem requeira que o operador de DP em nuvem pública notifique o cliente que utiliza serviços em nuvem, de acordo com qualquer procedimento e períodos acordados no contrato, de qualquer solicitação legalmente vinculativa para divulgação de DP por uma autoridade competente para cumprimento da lei, a menos que esta divulgação seja proibida.

Convém que o uso de subcontratados pelo operador de DP em nuvem pública para tratar DP seja divulgado aos clientes pertinentes que utilizam serviços em nuvem antes da sua utilização.

A leitura da norma demonstra a real importância de um contrato objetivo e completo, bem como do cumprimento da finalidade estabelecida. Ainda, temas como descarte de informações, notificação sobre incidentes e acordo de confidencialidade são mencionados na referida norma e exigem atenção.

Outro ponto apontado pela ISO 27018, refere-se à imprescindibilidade de conscientizar os colaboradores para que os controles da referida norma sejam cumpridos: “Implementar medidas para conscientizar os funcionários da organização das possíveis consequências ao operador de DP em nuvem pública, consequências disciplinares ao membro da equipe e danos ao titular de DP na violação das regras e procedimentos de privacidade ou de segurança, especialmente aqueles que tratam da manipulação de DP”.

Logo, fica clara a importância de conhecer os termos, além da necessidade de ter um contrato claro e com cláusulas bem definidas, a fim de resguardar a elação com o provedor de serviços em nuvem bem como preservar a privacidade dos titulares de dados pessoais.

A LGPD e a ISO 27018 compartilham objetivos comuns relacionados à preservação da privacidade e segurança, como por exemplo:

Logo, o trabalho baseado em ambas pode trazer bons resultados, considerando:

A combinação entre a LGPD e a ISO/IEC 27018 cria uma aliança robusta na proteção da privacidade e da proteção de dados pessoais em ambientes digitais. É válido dizer que as normas de padronização não são leis, todavia, cooperam muito na aplicação de boas práticas e na manutenção de ambientes mais seguros.

A conformidade conjunta não apenas atende aos requisitos legais, mas também reforça a importância e a necessidade da segurança e da ética no tratamento de dados pessoais. Seguindo padrões internacionais e nacionais, as organizações podem construir confiança, respeitando os direitos dos titulares dos dados e promovendo boas práticas de privacidade e proteção de dados pessoais transparentes e seguras.

Mariana Sbaite Gonçalves
Advogada especialista em privacidade e proteção de dados, CIPM/IAPP, CDPO/IAPP, DPO/EXIN, Coautora dos livros "LGPD e Cartórios" e "Mulheres na Tecnologia" e mestranda em Science in Legal Studies.

Veja mais no portal
cadastre-se, comente, saiba mais

Leia mais

Migalhas de Peso

Vigência integral da LGPD

4/8/2021
Migalhas de Peso

Instituições financeiras: Breves comentários sobre a resolução 4.893/21 - Política de segurança cibernética

15/4/2021

Artigos Mais Lidos

Coisa julgada, obiter dictum e boa-fé: Um diálogo indispensável

23/12/2024

Macunaíma, ministro do Brasil

23/12/2024

Inteligência artificial e direitos autorais: O que diz o PL 2.338/23 aprovado pelo Senado?

23/12/2024

"Se não têm pão, que comam brioche!"

23/12/2024

(Não) incidência de PIS/Cofins sobre reembolso de despesas

23/12/2024