Pular para o conteúdo
Governança e Conformidade

O que é a ISO/IEC 27701?

A ISO/IEC 27701 é a norma internacional que define como uma empresa deve gerir a privacidade dos dados pessoais que trata, através de um sistema de gestão de privacidade da informação (PIMS). Ela organiza políticas, papéis e controles para proteger dado pessoal e comprovar esse cuidado a clientes e reguladores. Desde a edição de 2025, tornou-se uma norma autônoma: pode ser certificada sozinha, sem exigir a certificação de segurança da informação ISO 27001 antes.

Zamak TechnologiesAtualizado em 11 de julho de 2026

Como a ISO/IEC 27701 funciona

A ISO/IEC 27701 toma a lógica de um sistema de gestão (planejar, fazer, verificar, agir) e a aplica especificamente à privacidade. Ela distingue quem decide sobre o dado (o controlador) de quem apenas o processa a mando de outro (o operador), e define obrigações para cada papel. É a ponte entre 'nós levamos privacidade a sério' e uma certificação que um terceiro auditou.

1

Mapeie o dado pessoal

O ponto de partida é saber quais dados pessoais a empresa coleta, por que, onde ficam e por quanto tempo. Sem esse mapa, não há gestão de privacidade, só intenção.

2

Defina o seu papel

A norma trata de forma diferente o controlador (quem decide o uso do dado) e o operador (quem processa a mando de um cliente). Saber qual você é define quais controles se aplicam.

3

Implemente os controles de privacidade

Sobre a base de segurança da informação, a norma acrescenta controles específicos de privacidade: consentimento, direitos do titular, minimização e transparência sobre o uso do dado.

4

Certifique com um terceiro

Uma entidade independente audita o sistema em busca de evidência de que ele funciona. Desde 2025, essa certificação pode ser obtida de forma autônoma, sem a ISO 27001 como pré-requisito.

Fonte: ISO/IEC 27701:2025 (iso.org) e ISO/IEC 27001:2022.

Por que a privacidade precisa do seu próprio sistema

  • Proteger o dado não é o mesmo que respeitar a privacidade. A segurança impede o vazamento; a privacidade decide se aquele dado deveria sequer estar ali, e por quanto tempo. São coisas distintas.
  • As leis se multiplicaram. Já são mais de 140 países com lei de proteção de dados (IAPP, 2025), da LGPD no Brasil ao GDPR na Europa, e cada uma pede prova de que a empresa gere o dado com cuidado.
  • O cliente corporativo virou fiscal. Empresas exigem de seus fornecedores garantia de privacidade antes de compartilhar dados, e uma certificação reconhecida encurta essa conversa de venda.
  • A edição de 2025 baixou a barreira de entrada. Como agora a norma é autônoma, uma empresa pode certificar a gestão de privacidade sem antes montar todo o sistema de segurança da informação, o que abre a porta para mais organizações.

O que a norma organiza, na prática

  • Papéis: controlador e operador A norma separa quem decide o uso do dado de quem só o processa a mando de outro. Cada papel tem obrigações próprias, e muitas empresas são as duas coisas ao mesmo tempo.
  • Direitos do titular Acesso, correção, exclusão e portabilidade do dado. A norma organiza como a empresa atende a esses pedidos de forma consistente, e não caso a caso.
  • Ciclo de vida do dado Da coleta ao descarte: minimização (coletar só o necessário), finalidade clara e retenção com prazo. O dado que não deveria existir é o que mais cria risco.
  • Base autônoma desde 2025 A nova edição é um sistema de gestão completo por si só, alinhado à estrutura da ISO 27001:2022, e não mais um apêndice que exige o ISMS antes.

O que está em jogo para o negócio

14/10/2025
data em que foi publicada a nova edição autônoma da ISO/IEC 27701
140+
países já têm lei de proteção de dados que a norma ajuda a atender (IAPP, 2025)
$ 4,44 mi
custo médio global de uma violação de dados, IBM 2025

A ISO/IEC 27701 deixou de ser um item para grandes corporações e virou um diferencial competitivo acessível. A edição publicada em 14 de outubro de 2025 tornou a norma autônoma: antes, para certificar a gestão de privacidade, a empresa precisava ter e manter também a certificação de segurança da informação ISO 27001; agora, pode certificar a privacidade de forma independente, o que reduz o custo e o tempo de entrada. Isso importa porque a régua da privacidade só sobe: já são mais de 140 países com lei de proteção de dados (IAPP, 2025), e o cliente corporativo passou a exigir prova de cuidado antes de compartilhar dados. A norma não garante, sozinha, a conformidade com uma lei específica como a LGPD ou o GDPR, mas oferece a estrutura que sustenta essa conformidade e a torna auditável. E a alternativa custa caro: uma violação de dados pessoais ainda custa, em média, $ 4,44 milhões no mundo (IBM, 2025), fora o dano à confiança.

Como uma empresa adota a ISO/IEC 27701

Adotar a ISO/IEC 27701 é transformar uma intenção de privacidade em um sistema comprovável. O caminho é mais curto desde que a norma virou autônoma:

  1. Inventarie o dado pessoal primeiroAntes de qualquer controle, mapeie que dado pessoal a empresa trata, para quê e por quanto tempo. É a base sobre a qual tudo mais se apoia.
  2. Defina controlador e operadorDetermine, para cada fluxo de dado, se a empresa decide o uso ou apenas processa a mando de um cliente. Esse enquadramento define quais obrigações se aplicam.
  3. Reúna as leis que você precisa atenderLGPD, GDPR ou outra: a norma é a estrutura, mas as exigências concretas vêm das leis dos mercados em que você opera. Mapeie-as para não certificar no vazio.
  4. Implemente e documenteConsentimento, direitos do titular, minimização e retenção com prazo precisam existir na prática e deixar evidência. A prova é o que o auditor procura.
  5. Certifique quando fizer sentidoA certificação por um terceiro é o que transforma a boa gestão em um argumento de venda reconhecido. Desde 2025, pode ser obtida sem a ISO 27001 como pré-requisito.

Na prática

Se um cliente perguntasse hoje quais dados pessoais dele a sua empresa guarda, por que, e por quanto tempo, você teria uma resposta pronta? Quando a resposta é 'preciso levantar', a privacidade ainda é intenção, não um sistema.

Como a Zamak apoia a jornada da ISO/IEC 27701

A Zamak Technologies apoia a jornada rumo à ISO/IEC 27701 ao lado da sua equipe: ajuda a inventariar o dado pessoal, a definir os papéis de controlador e operador, a implementar os controles de privacidade e a manter a evidência pronta para a auditoria, usando uma plataforma de conformidade como um dos roteiros. Um esclarecimento honesto de defensabilidade: a certificação é da empresa auditada e das ferramentas empregadas; a Zamak apoia a jornada, não emite o certificado. Um bom ponto de partida é o autodiagnóstico de conformidade, dentro da Governança e Conformidade do Método Zamak.

Perguntas frequentes sobre a ISO/IEC 27701

Qual a diferença entre a ISO 27701 e a ISO 27001?
A ISO 27001 gere a segurança da informação: proteger o dado contra acesso e perda. A ISO 27701 gere a privacidade: como o dado pessoal é coletado, usado e descartado, e como os direitos das pessoas são respeitados. A privacidade se apoia na segurança, mas trata de uma pergunta diferente.
A ISO 27701 substitui a ISO 27001?
Não substitui, mas desde a edição de 2025 não a exige mais como pré-requisito. Antes, era um apêndice que só se certificava sobre um sistema ISO 27001 existente; agora é uma norma autônoma, que pode ser certificada sozinha. As duas continuam se complementando.
A ISO 27701 garante conformidade com a LGPD ou o GDPR?
Não garante, sozinha. Ela oferece a estrutura de gestão que sustenta a conformidade e a torna auditável, e mapeia para princípios do GDPR, mas as exigências específicas de cada lei ainda precisam ser atendidas. É um forte apoio, não um carimbo automático.
O que é um PIMS?
PIMS é o sistema de gestão de privacidade da informação: o conjunto de políticas, papéis, processos e controles que a empresa mantém para gerir dado pessoal de forma consistente e comprovável. A ISO 27701 é a norma que define como esse sistema deve ser.
O que mudou na edição de 2025?
A mudança principal é que a norma virou autônoma: não é mais uma extensão da ISO 27001 e pode ser certificada de forma independente, sem exigir o sistema de segurança da informação antes. A estrutura também foi alinhada às normas de gestão mais recentes.
Empresa que não é gigante precisa da ISO 27701?
Precisar, no sentido legal, depende do contrato e do mercado. Mas com a norma agora autônoma, a certificação ficou acessível a organizações menores que querem provar cuidado com dados a clientes e parceiros, sem antes montar todo um sistema de segurança da informação.

Termos relacionados

Continue explorando

Ver o índice completo →
Rede e Acesso
Conceitos e Fundamentos
Deep webZero TrustDefesa em profundidadeSuperfície de ataqueEndpointMenor privilégio
Segurança no Uso de IA
Shadow AIGovernança de IAInjeção de promptOWASP LLM Top 10Deepfake
Vulnerabilidades e Testes de Segurança
Gestão de vulnerabilidadesTeste de invasão (pentest)Varredura de vulnerabilidadesAtaque de força brutaSQL injectionCross-site scripting (XSS)SAST e DAST