Blog

ISO 27701 — Gestão da privacidade e conformidade com a LGPD

A LGPD (Lei Geral de Proteção de Dados) está em vigor desde 2020, e a ANPD já aplica sanções. Mas a lei diz o que fazer — proteger dados pessoais, garantir direitos dos titulares, comunicar incidentes — sem detalhar como estruturar isso na prática. É aí que entra a ISO 27701.

O que é a ISO 27701

A ISO/IEC 27701 é uma extensão da ISO 27001 e da ISO 27002 voltada especificamente para a gestão da privacidade da informação. Publicada em 2019, ela define os requisitos para implementar um Sistema de Gestão da Privacidade da Informação (SGPI).

Na prática, a ISO 27701 pega o SGSI da ISO 27001 e adiciona uma camada dedicada à proteção de dados pessoais. Ela não substitui a 27001 — complementa. Para implementar a 27701, a organização precisa ter (ou implementar simultaneamente) a ISO 27001.

A norma é aplicável tanto a controladores quanto a operadores de dados pessoais, e seus requisitos se alinham diretamente com a LGPD brasileira, o GDPR europeu e outras legislações de privacidade.

Por que implementar a ISO 27701

  • Demonstrar conformidade com a LGPD — a norma fornece um framework estruturado para atender aos requisitos da lei. Em caso de incidente, demonstrar que a organização segue uma norma internacional reconhecida é um atenuante relevante;
  • Estruturar o programa de privacidade — a LGPD exige várias ações (inventário de dados, base legal, direitos dos titulares, relatório de impacto), mas não diz como organizar isso. A ISO 27701 dá a estrutura;
  • Confiança de clientes e parceiros — organizações que tratam dados pessoais de terceiros (operadores) ganham credibilidade ao demonstrar conformidade certificável;
  • Integração com segurança da informação — como a 27701 é uma extensão da 27001, os controles de segurança e privacidade ficam integrados num único sistema de gestão;
  • Redução de riscos — incidentes de privacidade podem gerar multas de até 2% do faturamento (teto de R$ 50 milhões por infração), além de dano reputacional.

O que a norma cobre

A ISO 27701 adiciona requisitos específicos em três frentes:

Requisitos adicionais ao SGSI

A norma estende as cláusulas 4 a 10 da ISO 27001 com considerações de privacidade. Por exemplo:

  • Na análise de contexto (cláusula 4), a organização deve identificar seu papel como controlador e/ou operador de dados;
  • Na análise de riscos (cláusula 6), os riscos à privacidade dos titulares devem ser considerados além dos riscos à segurança da informação;
  • Na conscientização (cláusula 7), o treinamento deve incluir aspectos de privacidade e proteção de dados.

Controles para controladores de dados

Requisitos específicos para quem decide o que fazer com os dados pessoais:

  • Identificar e documentar a base legal para cada tratamento;
  • Implementar mecanismos para atender aos direitos dos titulares (acesso, correção, exclusão, portabilidade);
  • Realizar avaliações de impacto à proteção de dados (RIPD/DPIA) quando necessário;
  • Obter e gerenciar consentimento (quando for a base legal aplicável);
  • Definir prazos de retenção e procedimentos de descarte.

Controles para operadores de dados

Requisitos para quem trata dados pessoais em nome de terceiros:

  • Tratar dados apenas conforme as instruções do controlador;
  • Garantir confidencialidade e segurança;
  • Notificar o controlador sobre incidentes;
  • Devolver ou destruir dados pessoais ao final do contrato;
  • Permitir auditorias pelo controlador.

Como implementar na prática

Se a organização já tem a ISO 27001 implementada, a extensão para a 27701 é incremental. Se não tem, o ideal é implementar as duas juntas.

  1. Mapeie os dados pessoais — identifique quais dados pessoais a organização trata, de quem, para que finalidade, com que base legal, onde estão armazenados e com quem são compartilhados. Esse inventário é a base de tudo;

  2. Defina papéis — a organização é controladora, operadora, ou ambas? Isso determina quais controles da norma se aplicam;

  3. Nomeie o DPO — o encarregado de proteção de dados (DPO) deve ser designado e suas informações publicadas;

  4. Avalie riscos de privacidade — além dos riscos de segurança da informação (ISO 27001), avalie os riscos específicos à privacidade dos titulares;

  5. Implemente os controles — políticas de privacidade, procedimentos para atender direitos dos titulares, gestão de consentimento, cláusulas contratuais com operadores, prazos de retenção;

  6. Crie o canal de atendimento ao titular — o titular precisa ter um meio fácil de exercer seus direitos. O canal deve ter processos e prazos definidos;

  7. Prepare o relatório de impacto (RIPD) — obrigatório para tratamentos de alto risco. A norma orienta quando e como elaborar;

  8. Estabeleça a gestão de incidentes de privacidade — procedimentos de identificação, contenção e comunicação à ANPD e aos titulares afetados;

  9. Audite e certifique — a auditoria interna deve cobrir tanto os controles de segurança quanto os de privacidade. A certificação é feita junto com a ISO 27001.

Relação com a LGPD

A ISO 27701 não garante automaticamente conformidade com a LGPD — são instrumentos diferentes. Mas existe uma correspondência direta entre os controles da norma e os requisitos da lei:

LGPDISO 27701
Base legal para tratamentoControle A.7.2.2
Direitos dos titularesControles A.7.3.1 a A.7.3.10
Relatório de impacto (RIPD)Controle A.7.2.5
Comunicação de incidentesControle A.7.2.8
Encarregado (DPO)Controle A.7.2.1
Transferência internacionalControle A.7.5

Implementar a norma não substitui a análise jurídica, mas dá a estrutura operacional para que os requisitos legais sejam atendidos de forma consistente.

Próximos passos

A ISO 27701 depende da ISO 27001 como base. Se a sua organização já tem o SGSI implementado, a extensão para privacidade é o próximo passo natural — especialmente se você trata dados pessoais sensíveis ou atua como operador para terceiros.

O SIG Virtual integra o SGPI (Sistema de Gestão da Privacidade da Informação) ao SGSI, com módulos para inventário de dados, gap analysis, canal de atendimento ao titular, registro de incidentes e relatório de impacto. Tudo num único ambiente.

Faça o teste gratuito e veja como organizar privacidade e segurança da informação juntas. Confira nossos planos e preços ou entre em contato.

Quer ver o SIG Virtual funcionando?

Teste grátis e veja se faz sentido pra sua empresa.

Testar Grátis