Sistema de Gestão de Informação de Privacidade (SGIP)
ISO/IEC27701A ISO/IEC 27701:2019 é uma extensão de privacidade da ISO/IEC 27001 e 27002. Define requisitos e orientações para implementar um Sistema de Gestão de Informação de Privacidade (SGIP), permitindo gerir dados pessoais de forma estruturada, controlada e conforme a legislação.
Não é uma norma autónoma: exige ISO/IEC 27001 implementada (ou em implementação), porque assenta no SGSI existente e tem como estrutura e conteúdo essencial:
- Extensão à ISO 27001
- Acrescenta requisitos específicos de privacidade aos capítulos da 27001:
- Controlos adicionais (Anexos)
- Exemplos de temas cobertos:
- Inventário e classificação de dados pessoais.
- Finalidades e bases legais do tratamento.
- Direitos dos titulares (acesso, retificação, apagamento, portabilidade).
- Consentimento e gestão de preferências.
- Retenção e eliminação de dados.
- Subcontratação e transferências internacionais.
- Privacy by design e by default.
- Gestão de incidentes de privacidade (data breaches).
- Relação com autoridades de controlo.
Principais vantagens da implementação incluem
- Conformidade estruturada com o RGPD
- Complemento natural da ISO 27001
- Redução de risco legal e financeiro
- Melhor preparação para incidentes de dados pessoais.
- Clarificação de papéis e responsabilidades
- Confiança de clientes e parceiros
- Integração com outros sistemas de gestão
- Escalabilidade e maturidade operacional
