+55 (21) 2505-9393
+55 (21) 99731-6528
contato@acpdbrasil.com

Guia Definitivo: Diferenças entre Normas Técnicas, Frameworks, Leis e Regulamentações

Conformidade, Proteção e Privacidade de Dados

   Boas Práticas Instrumentos Normativos    junho 25, 2024  |  0

Esses termos são usados de forma intercambiável no mundo da conformidade e compliance e frequentemente causam confusão. Neste artigo, você aprenderá mais sobre as diferenças entre normas técnicas, frameworks, leis e regulamentações.

Navegar pelo complexo cenário de normas técnicas, frameworks, leis e regulamentações é fundamental para as organizações que buscam conformidade, eficiência e excelência. Cada termo carrega implicações distintas e desempenha papel crucial na formação de políticas, procedimentos e práticas em diversos setores. As normas técnicas garantem que os produtos e serviços que você usa diariamente sejam seguros, confiáveis e de alta qualidade. Eles também orientam as organizações na adoção de práticas sustentáveis e éticas.

“[…] documento, estabelecido por consenso e aprovado por um organismo reconhecido que fornece para um uso comum e repetitivo regras, diretrizes ou características para atividades, ou seus resultados, visando a obtenção de um grau ótimo de ordenação em um dado contexto.” 

– ABNT NBR ISO/IEC Guia 2

Esses elementos servem como a espinha dorsal da excelência operacional, garantindo que as organizações não apenas prosperem, mas o façam dentro dos limites das expectativas legais e éticas. As normas técnicas, muitas vezes elaboradas por órgãos reconhecidos, fornecem diretrizes para qualidade e desempenho. Os frameworks oferecem abordagens estruturadas para realizar atividades de maneira eficaz. As leis, promulgadas por corpos legislativos, exigem padrões legais mínimos, enquanto as regulamentações, normalmente formuladas por agências governamentais, detalham a aplicação dessas leis. Juntos, esses componentes moldam o campo de atuação das indústrias, guiando-as em direção ao sucesso e à sustentabilidade.

A interação entre esses elementos garante que as organizações operem em condições de igualdade, promovendo equidade, segurança e inovação. Ao aderir às diretrizes estabelecidas, as organizações podem melhorar sua reputação, simplificar operações e mitigar riscos. No entanto, a complexidade e a natureza em constante mudança dessas diretrizes representam um desafio significativo, exigindo uma abordagem proativa e informada para navegar com sucesso.

Os frameworks oferecem abordagens estruturadas e melhores práticas para enfrentar desafios específicos, promovendo consistência e escalabilidade. As leis, aplicadas pelos corpos governantes, estabelecem obrigações legais e consequências, garantindo responsabilidade e proteção de direitos. As regulamentações traduzem as leis em requisitos acionáveis, detalhando medidas específicas de conformidade e padrões de conduta. Compreender as nuances entre esses termos é essencial para que as organizações naveguem efetivamente no cenário regulatório e mantenham práticas éticas enquanto perseguem seus objetivos.

Contudo, é importante compartilhar que, ao contrário do que um leigo possa interpretar, as normas técnicas não concorrem com as leis. As leis, em linhas gerais, explicitam as suas exigências, mas não compartilham através de quais meios estas exigências serão atendidas. Neste ponto, é aonde o uso das normas é imprescindível, no como fazer.

Norma Técnica vs. Framework

As normas técnicas fornecem diretrizes ou requisitos específicos para implementar um processo geralmente aceito como o melhor método. Quando utilizadas conforme prescrito, as normas técnicas podem ajudar a garantir a qualidade e a eficiência do processo em questão. Exemplos de normas técnicas incluem, mas não se limitam a:

  • Normas da International Organization for Standardization (ISO);
  • Normas da Associação Brasileira de Normas Técnicas (ABNT);
  • Payment Card Industry Data Security Standard (PCI DSS);
  • Health Insurance Portability and Accountability Act (HIPAA) de 1996.

Por outro lado, os frameworks são gerais e baseados em princípios que permitem flexibilidade no design e na implementação do processo. Exemplos de frameworks incluem, mas não se limitam a:

  • National Institute of Standards and Technology (NIST);
  • Health Information Trust Alliance (HITRUST);
  • Control Objectives for Information and Related Technologies (COBIT).

Enquanto as normas técnicas são rígidas, os frameworks são gerais, utilizados como um campo de prática, e permitem experimentação.

Regulamentações vs. Leis Estatutárias

As leis são regras estabelecidas pelo governo de um país, estado, cidade ou município. Elas são promulgadas por um corpo legislativo e assinadas por uma autoridade superior. Todos devem segui-las para estar em conformidade legal. Exemplos de leis estatutárias incluem, mas não se limitam a:

  • Health Insurance Portability and Accountability Act de 1996 (HIPAA);
  • Children’s Online Privacy Protection Act (COPPA);
  • Fair and Accurate Credit Transactions Act (FACTA)—incluindo a regra dos “Red Flags”;
  • Family Education Rights and Privacy Act (FERPA);
  • Federal Information Security Management Act (FISMA);
  • Personal Information Protection and Electronic Documents Act do Canadá (PIPEDA);
  • Reino Unido: The Data Protection Act (DPA);
  • Lei Geral de Proteção de Dados (LGPD), Lei n.º 13.709/2018.

As regulamentações são instruções detalhadas sobre como as leis são aplicadas ou executadas. Exemplos de regulamentações incluem, mas não se limitam a:

  • Regulamento Geral sobre a Proteção de Dados da União Europeia (EU GDPR);
  • Defense Federal Acquisition Regulation Supplement (DFARS);
  • Federal Acquisition Regulation (FAR);
  • Federal Risk and Authorization Management Program (FedRAMP).

Obrigações Contratuais

Este é um termo que não ouvimos com frequência, mas é o que devemos usar ao nos referirmos a SOC 1, SOC 2 e PCI.

Os contratos legais entre partes privadas exigem obrigações contratuais. Isso pode incluir um adendo de privacidade, um contrato de fornecedor com requisitos específicos ou obrigações mais amplas de associações industriais. Alguns exemplos de obrigações contratuais incluem:

  • Service Organization Control (SOC)
  • Generally Accepted Privacy Principles (GAPP)
  • Center for Internet Security (CIS) e Critical Security Controls (CSC)
  • Cloud Security Alliance (CSA) e Cloud Controls Matrix (CCM)

Diferenças Principais entre Normas Técncias, Frameworks, Leis e Regulamentações

Compreender as diferenças entre esses quatro elementos é crucial para uma governança eficaz. As normas técnicas são diretrizes voluntárias focadas na qualidade e eficiência, desenvolvidas por grupos da indústria ou organismos internacionais, como a ISO/ ABNT. Eles não são obrigatórios legalmente, mas podem se tornar quando referenciados por leis e/ou regulamentações.

Por outro lado, os frameworks fornecem uma abordagem estruturada para alcançar um objetivo específico ou gerenciar processos. Eles oferecem flexibilidade, permitindo que as organizações adaptem o framework às suas necessidades únicas enquanto buscam um resultado específico.

As leis são estatutos aprovados por corpos legislativos ao nível nacional, estadual ou municipal. Elas estabelecem as obrigações legais que indivíduos e organizações devem seguir. A não conformidade com as leis pode levar a penalidades legais.

As regulamentações, diretivas detalhadas emitidas por agências governamentais, interpretam e aplicam as leis. Elas são obrigatórias legalmente e especificam os requisitos necessários para cumprir a lei.

Compreender as distinções entre normas técnicas, frameworks, leis e regulamentações é essencial para navegar pelas complexidades da conformidade e governança. Aqui estão diferenças-chave entre eles:

Propósito:

    • Normas Técnicas: São diretrizes ou especificações estabelecidas por organismos ou organizações reconhecidas para garantir consistência, interoperabilidade e qualidade em produtos, serviços ou processos. Eles fornecem práticas recomendadas voluntárias para as organizações seguirem;
    • Frameworks: São abordagens estruturadas ou metodologias usadas para organizar, gerenciar e melhorar aspectos específicos das operações de uma organização, como segurança cibernética, gestão de riscos ou gestão de projetos. Eles oferecem uma estrutura flexível para a implementação de melhores práticas;
    • Leis: São regras ou estatutos legalmente obrigatórios promulgados por governos ao nível local, regional ou nacional. Eles estabelecem requisitos e proibições obrigatórios que devem ser seguidos por indivíduos, organizações ou governos em uma jurisdição;
    • Regulamentações: São regras ou diretivas específicas emitidas por agências, ou autoridades reguladoras para implementar e fazer cumprir as leis. Elas fornecem requisitos detalhados, procedimentos e padrões para conformidade dentro de indústrias ou setores específicos.

    Voluntário vs. Obrigatório:

    • Normas Técnicas: A conformidade com as normas técnicas é tipicamente voluntária, a menos que seja exigida por obrigações contratuais, práticas da indústria ou requisitos regulamentares;
    • Frameworks: fornecem diretrizes voluntárias e melhores práticas para as organizações adotarem com base em suas necessidades e objetivos específicos;
    • Leis: A conformidade com as leis é obrigatória e aplicada por autoridades legais, com penalidades para a não conformidade;
    • Regulamentações: A conformidade com as regulamentações também é obrigatória e aplicada por agências reguladoras, com consequências específicas para violações.

    Escopo e Aplicabilidade:

    • Normas Técnicas: Podem cobrir uma ampla gama de tópicos, indústrias ou setores e podem ser aplicados globalmente ou especificamente a certas regiões ou jurisdições;
    • Frameworks: Muitas vezes são adaptados a domínios específicos, como cibersegurança (por exemplo, NIST Cybersecurity Framework) ou governança de TI (por exemplo, COBIT);
    • Leis: São promulgadas por governos para regulamentar vários aspectos da sociedade, incluindo comércio, tributação, emprego, meio ambiente e segurança pública;
    • Regulamentações: Fornecem requisitos e padrões detalhados dentro de indústrias ou setores específicos, como saúde (por exemplo, HIPAA) ou dados pessoais (por exemplo, GDPR).

    Flexibilidade:

    • Normas Técnicas: Oferecem pouca flexibilidade na implementação e interpretação, principalmente quando um certificado de conformidade é almejado. Contudo, quando um certificado não é almejado, o grau de liberdade é significativamente maior;
    • Frameworks: Proporcionam uma abordagem estruturada para enfrentar desafios ou objetivos específicos, oferecendo flexibilidade na forma como são aplicados e personalizados;
    • Leis: São tipicamente prescritivas e menos flexíveis, com requisitos e exigências específicos que devem ser seguidos;
    • Regulamentações: Fornecem orientações e requisitos detalhados para conformidade, com flexibilidade limitada na interpretação ou implementação.

    Desenvolvimento e Governança:

    • Normas Técnicas: As normas técnicas são elaboradas por organismos reconhecidos, consórcios industriais ou organizações profissionais por meio de processos baseados no consenso;
    • Frameworks: Os frameworks podem ser desenvolvidos por grupos da indústria, agências governamentais ou organizações privadas para atender a necessidades ou desafios específicos;
    • Leis: As leis são promulgadas por corpos legislativos, como parlamentos ou congressos, e estão sujeitas a processos democráticos e escrutínio legal;
    • Regulamentações: As regulamentações são emitidas por agências reguladoras ou autoridades autorizadas por lei para implementar e aplicar requisitos estatutários específicos.

    Conformidade:

    • Normas Técnicas: A conformidade com as normas técnicas é tipicamente voluntária e pode ser exigida por meio de acordos contratuais, certificações da indústria ou expectativas de mercado;
    • Frameworks: A conformidade com os frameworks é voluntária e pode ser usada como referência para avaliar a maturidade e o desempenho organizacional;
    • Leis: A conformidade com as leis é obrigatória e é aplicada por autoridades legais por meio de inspeções, auditorias, penalidades e ações legais;
    • Regulamentações: A conformidade com as regulamentações é obrigatória e é aplicada por agências reguladoras por meio de inspeções, auditorias, penalidades e sanções para casos de não conformidade.

    A importância da conformidade contínua e da atualização constante não pode ser subestimada.

    Em um ambiente regulatório complexo e dinâmico, permanecer em conformidade com normas técnicas, frameworks, e em compliance com leis e regulamentações é essencial para mitigar riscos, proteger a reputação da organização e sustentar operações eficientes e éticas.

    Manter-se informado sobre as mudanças regulatórias e as melhores práticas são cruciais para adaptar os processos de conformidade às novas exigências e oportunidades. Isso não só ajuda a evitar penalidades legais e financeiras, mas também transforma a conformidade em uma vantagem competitiva.

    Adotar uma abordagem proativa e educativa não apenas fortalece a posição da organização no mercado, mas também promove uma cultura de responsabilidade e excelência operacional. Em resumo, a conformidade contínua não é apenas uma obrigação legal, mas um caminho para o crescimento sustentável e a resiliência organizacional.

    A chave para o sucesso reside em compreender esses requisitos, implementar processos estruturados de conformidade e manter-se vigilante em relação a mudanças e atualizações. Ao adotar uma abordagem pró-ativa e informada, as empresas podem transformar a conformidade e o compliance em uma vantagem estratégica, promovendo inovação, melhorando a reputação e alcançando crescimento sustentável. A jornada da conformidade é contínua, exigindo diligência, adaptabilidade e um compromisso com a excelência.

    Quer aprender mais sobre normas técnicas? Vamos conversar!

     

    Deixe um comentário

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

    Próximos Eventos

    BUSCAR POR MÊS
    BUSCAR POR CATEGORIA

    © 2024 ACPD Brasil. Desenvolvido por: Support Brasil.

    Open chat
    Powered by Joinchat
    Olá 👋
    Como podemos te ajudar?