No cenário mercadológico atual, empresas que possuem certificados emitidos pela ISO (The International Organization for Standardization) são referência em seu campo de atuação e conseqüentemente destacam-se no mercado, como aconteceu no Brasil com a ISO 9001 que certifica a qualidade das companhias.
Nesse sentido, a ISO editou a norma mundial 27.001 para a certificação de sistemas de gestão para segurança da informação, com enfoque especial para a questão da segurança das informações corporativas, tornando-a requisito essencial para o sucesso de estratégias de negócio.
Referida norma é reconhecida mundialmente, sendo que, no Brasil, foi publicada pela Associação Brasileira de Normas Técnicas (ABNT) e mais, a primeira empresa no mundo que obteve seus Sistemas de Gestão de Segurança da Informação certificados foi uma empresa genuinamente nacional, o que trouxe para um futuro muito próximo a concorrência no mercado brasileiro por empresas que possuem este nível de excelência.
A norma 27.001 prevê a consideração de requisitos legais e regulamentares, bem como obrigações de segurança contratuais. É nesse ponto que surge a necessidade da “declaração de aplicabilidade”, documento que formalizará os objetivos e controles aplicáveis e pertinentes à cada companhia que pretenda obter a certificação de seus Sistemas de Gestão de Segurança da Informação.
A peculiaridade do assunto é que tal documento deve ser desenvolvido por advogados, visto que é intrinsecamente ligado à questões jurídicas. Isto porque o artigo 4º da Lei 8.906/94, reputa nulos os atos privativos do advogado, definindo, em seu artigo 1º, II, como atividades privativas, as relacionadas à consultoria e assessoria jurídica, sendo exatamente este o escopo da declaração de aplicabilidade, quanto à seção 15 da Norma ABNT ISO/IEC 17799:2005.
É nesse cenário que os riscos legais surgem, pois as companhias buscam a certificação como um diferencial. Porém deixando de observar o requisito de formalidade essencial da Lei 8.906/94, o que pode trazer implicações legais que impeçam a efetividade da certificação dos Sistemas de Gestão de Segurança da Informação, tão respeitado no mercado mundial.