Auditoria ISO 27701 — Sistema de Gestao de Privacidade da Informacao
Extensao da ISO 27001 para gestao de dados pessoais e conformidade com regulacoes de privacidade.
A ISO 27701:2019 nao e uma norma autonoma — e uma extensao da ISO 27001 que adiciona controles especificos para a gestao de dados pessoais, tanto para controladores quanto para processadores de dados. Isso significa que adotar a ISO 27701 sem ter a ISO 27001 resolvida e estruturalmente inviavel. O que a maioria das organizacoes subestima e a complexidade do mapeamento de fluxos de dados: nao basta listar os bancos de dados — e preciso documentar cada tratamento, sua base legal, as transferencias internacionais, os periodos de retencao e os mecanismos de exercicio de direitos do titular. O achado mais comum em auditorias de privacidade e a ausencia de Avaliacoes de Impacto na Protecao de Dados (DPIA) para tratamentos de alto risco, um requisito explicito tanto do GDPR (Art. 35) quanto da norma ISO. Organizacoes que completam este diagnostico antes de uma inspecao regulatoria reduzem significativamente sua exposicao a sancoes.
Entregaveis
Mapeamento de fluxos de dados pessoais
Inventario de tratamentos, bases legais e transferencias internacionais.
Gap analysis de privacidade
Avaliacao contra ISO 27701 e regulacoes aplicaveis.
Plano de adequacao
Roadmap para fechar lacunas regulatorias e tecnicas.
Fluxo de Intervenção
Mapeamento de dados
Identificacao de fluxos de dados pessoais e tratamentos.
Avaliacao de controles
Revisao de controles tecnico-organizacionais de privacidade.
Relatorio e plano de acao
Achados, lacunas regulatorias e roteiro de adequacao.
Consultas Técnicas
Nao. A ISO 27701 fornece um framework de gestao auditavel que facilita o cumprimento do GDPR, LGPD e outras regulacoes de protecao de dados, mas nao as substitui legalmente. O que faz e estruturar a evidencia de conformidade de maneira sistematica: se um regulador solicitar demonstrar como sua organizacao protege dados pessoais, um sistema ISO 27701 em operacao apresenta registros de tratamento, DPIA documentadas, politicas de retencao e evidencia de controles tecnicos em um formato coerente e auditavel. Essa rastreabilidade e a diferenca entre responder a um regulador com documentos ad hoc ou com um sistema de gestao verificavel.
Sim. A ISO 27701 e uma extensao da ISO 27001 — nao pode existir sem ela. A norma adiciona controles de privacidade sobre a base do sistema de gestao de seguranca da informacao ja estabelecido. Se sua organizacao nao tem a ISO 27001 em operacao, o diagnostico avaliara ambas as normas em paralelo e proporá um roadmap integrado cobrindo seguranca e privacidade simultaneamente, otimizando o esforco de adocao.
Fernando Arrieta oferece servicos de avaliacao, diagnostico e orientacao metodologica para sistemas de gestao. Estas atividades sao independentes do processo de certificacao, que e realizado exclusivamente por organismos de certificacao acreditados.