O que é a ISO/IEC 27701?
A ISO/IEC 27701 é a norma internacional que define como uma empresa deve gerir a privacidade dos dados pessoais que trata, através de um sistema de gestão de privacidade da informação (PIMS). Ela organiza políticas, papéis e controles para proteger dado pessoal e comprovar esse cuidado a clientes e reguladores. Desde a edição de 2025, tornou-se uma norma autônoma: pode ser certificada sozinha, sem exigir a certificação de segurança da informação ISO 27001 antes.
Como a ISO/IEC 27701 funciona
A ISO/IEC 27701 toma a lógica de um sistema de gestão (planejar, fazer, verificar, agir) e a aplica especificamente à privacidade. Ela distingue quem decide sobre o dado (o controlador) de quem apenas o processa a mando de outro (o operador), e define obrigações para cada papel. É a ponte entre 'nós levamos privacidade a sério' e uma certificação que um terceiro auditou.
Mapeie o dado pessoal
O ponto de partida é saber quais dados pessoais a empresa coleta, por que, onde ficam e por quanto tempo. Sem esse mapa, não há gestão de privacidade, só intenção.
Defina o seu papel
A norma trata de forma diferente o controlador (quem decide o uso do dado) e o operador (quem processa a mando de um cliente). Saber qual você é define quais controles se aplicam.
Implemente os controles de privacidade
Sobre a base de segurança da informação, a norma acrescenta controles específicos de privacidade: consentimento, direitos do titular, minimização e transparência sobre o uso do dado.
Certifique com um terceiro
Uma entidade independente audita o sistema em busca de evidência de que ele funciona. Desde 2025, essa certificação pode ser obtida de forma autônoma, sem a ISO 27001 como pré-requisito.
Fonte: ISO/IEC 27701:2025 (iso.org) e ISO/IEC 27001:2022.
Por que a privacidade precisa do seu próprio sistema
- Proteger o dado não é o mesmo que respeitar a privacidade. A segurança impede o vazamento; a privacidade decide se aquele dado deveria sequer estar ali, e por quanto tempo. São coisas distintas.
- As leis se multiplicaram. Já são mais de 140 países com lei de proteção de dados (IAPP, 2025), da LGPD no Brasil ao GDPR na Europa, e cada uma pede prova de que a empresa gere o dado com cuidado.
- O cliente corporativo virou fiscal. Empresas exigem de seus fornecedores garantia de privacidade antes de compartilhar dados, e uma certificação reconhecida encurta essa conversa de venda.
- A edição de 2025 baixou a barreira de entrada. Como agora a norma é autônoma, uma empresa pode certificar a gestão de privacidade sem antes montar todo o sistema de segurança da informação, o que abre a porta para mais organizações.
O que a norma organiza, na prática
- Papéis: controlador e operador A norma separa quem decide o uso do dado de quem só o processa a mando de outro. Cada papel tem obrigações próprias, e muitas empresas são as duas coisas ao mesmo tempo.
- Direitos do titular Acesso, correção, exclusão e portabilidade do dado. A norma organiza como a empresa atende a esses pedidos de forma consistente, e não caso a caso.
- Ciclo de vida do dado Da coleta ao descarte: minimização (coletar só o necessário), finalidade clara e retenção com prazo. O dado que não deveria existir é o que mais cria risco.
- Base autônoma desde 2025 A nova edição é um sistema de gestão completo por si só, alinhado à estrutura da ISO 27001:2022, e não mais um apêndice que exige o ISMS antes.
O que está em jogo para o negócio
A ISO/IEC 27701 deixou de ser um item para grandes corporações e virou um diferencial competitivo acessível. A edição publicada em 14 de outubro de 2025 tornou a norma autônoma: antes, para certificar a gestão de privacidade, a empresa precisava ter e manter também a certificação de segurança da informação ISO 27001; agora, pode certificar a privacidade de forma independente, o que reduz o custo e o tempo de entrada. Isso importa porque a régua da privacidade só sobe: já são mais de 140 países com lei de proteção de dados (IAPP, 2025), e o cliente corporativo passou a exigir prova de cuidado antes de compartilhar dados. A norma não garante, sozinha, a conformidade com uma lei específica como a LGPD ou o GDPR, mas oferece a estrutura que sustenta essa conformidade e a torna auditável. E a alternativa custa caro: uma violação de dados pessoais ainda custa, em média, $ 4,44 milhões no mundo (IBM, 2025), fora o dano à confiança.
Como uma empresa adota a ISO/IEC 27701
Adotar a ISO/IEC 27701 é transformar uma intenção de privacidade em um sistema comprovável. O caminho é mais curto desde que a norma virou autônoma:
- Inventarie o dado pessoal primeiroAntes de qualquer controle, mapeie que dado pessoal a empresa trata, para quê e por quanto tempo. É a base sobre a qual tudo mais se apoia.
- Defina controlador e operadorDetermine, para cada fluxo de dado, se a empresa decide o uso ou apenas processa a mando de um cliente. Esse enquadramento define quais obrigações se aplicam.
- Reúna as leis que você precisa atenderLGPD, GDPR ou outra: a norma é a estrutura, mas as exigências concretas vêm das leis dos mercados em que você opera. Mapeie-as para não certificar no vazio.
- Implemente e documenteConsentimento, direitos do titular, minimização e retenção com prazo precisam existir na prática e deixar evidência. A prova é o que o auditor procura.
- Certifique quando fizer sentidoA certificação por um terceiro é o que transforma a boa gestão em um argumento de venda reconhecido. Desde 2025, pode ser obtida sem a ISO 27001 como pré-requisito.
Na prática
Se um cliente perguntasse hoje quais dados pessoais dele a sua empresa guarda, por que, e por quanto tempo, você teria uma resposta pronta? Quando a resposta é 'preciso levantar', a privacidade ainda é intenção, não um sistema.
Como a Zamak apoia a jornada da ISO/IEC 27701
A Zamak Technologies apoia a jornada rumo à ISO/IEC 27701 ao lado da sua equipe: ajuda a inventariar o dado pessoal, a definir os papéis de controlador e operador, a implementar os controles de privacidade e a manter a evidência pronta para a auditoria, usando uma plataforma de conformidade como um dos roteiros. Um esclarecimento honesto de defensabilidade: a certificação é da empresa auditada e das ferramentas empregadas; a Zamak apoia a jornada, não emite o certificado. Um bom ponto de partida é o autodiagnóstico de conformidade, dentro da Governança e Conformidade do Método Zamak.