Comparação entre ISO 27701 (SGPI) e o GDPR. Natureza, escopo, direitos do titular, transferências internacionais e estratégia de cumprimento para organizações na América Latina.
A ISO 27701 e o GDPR compartilham o objetivo de proteger a privacidade das pessoas, mas com enfoques radicalmente distintos. A ISO 27701 é uma extensão da ISO 27001 que estabelece um sistema de gestão de informação de privacidade (SGPI) certificável; o GDPR é uma regulação com força de lei.
| Aspecto | ISO 27701:2019 | GDPR (Reg. UE 2016/679) |
|---|---|---|
| Natureza | Extensão certificável da ISO 27001. Não pode ser implementada isoladamente: requer um SGSI conforme a ISO 27001 como base. Adiciona controles e guias específicos para o tratamento de dados pessoais (PII) para controladores e processadores. | Regulação da União Europeia com efeito direto nos 27 estados membros e alcance extraterritorial. Aplica-se a qualquer organização que processe dados pessoais de residentes da UE, independentemente de onde a organização esteja estabelecida. |
| Direitos do titular | Requer que a organização estabeleça procedimentos para gerenciar os direitos dos titulares de dados, mas não define os direitos específicos. Referencia as obrigações aplicáveis segundo a jurisdição e a legislação local. | Define 8 direitos específicos e exigíveis: acesso, retificação, apagamento (direito ao esquecimento), limitação do tratamento, portabilidade, oposição, não ser objeto de decisões automatizadas e retirar o consentimento. Prazo de resposta de 30 dias. |
| Transferências internacionais | Requer que a organização identifique e documente as transferências de PII entre jurisdições e aplique os controles apropriados, mas não prescreve mecanismos legais específicos para a transferência. | Proíbe transferências a países sem nível adequado de proteção salvo que se apliquem salvaguardas específicas: cláusulas contratuais padrão (SCC), normas corporativas vinculantes (BCR), decisões de adequação ou consentimento explícito do titular. |
| Notificação de violações | Requer procedimentos de gestão de incidentes de privacidade e avaliação de impacto, mas não prescreve prazos específicos de notificação. A organização define os procedimentos conforme as obrigações legais de sua jurisdição. | Obrigação de notificar violações de dados pessoais à autoridade de proteção de dados dentro de 72 horas da detecção. Se a violação representar alto risco para os direitos das pessoas, os titulares afetados também devem ser notificados. |
| Sanções | Não existem sanções legais diretas. A consequência do descumprimento é a perda ou não obtenção da certificação. No entanto, a certificação ISO 27701 pode ser utilizada como evidência de diligência devida perante reguladores. | Multas de até 20 milhões de euros ou 4% do faturamento global anual (o que for maior). As autoridades de proteção de dados de cada estado membro têm poder sancionador independente. |
A ISO 27701 e o GDPR se complementam diretamente. A norma ISO fornece o sistema de gestão e os controles operacionais para proteger dados pessoais; o GDPR estabelece os direitos, obrigações e sanções legais. A certificação ISO 27701 é uma das formas mais sólidas de demonstrar diligência devida perante reguladores.
Não. A ISO 27701 é uma extensão da ISO 27001 e requer um SGSI implementado como pré-requisito. Os controles de privacidade da ISO 27701 são construídos sobre os controles de segurança da ISO 27001.
Não de forma automática, mas é uma evidência substancial de diligência devida. A ISO 27701 inclui um mapeamento específico ao GDPR em seu Anexo D. As autoridades reconhecem que a certificação demonstra esforço sistemático de cumprimento.
Sim. A ISO 27701 é agnóstica quanto à jurisdição e se alinha com múltiplas leis de proteção de dados: LGPD (Brasil), Lei 25.326 (Argentina), LFPDPPP (México) e outras normativas regionais.
Com um SGSI ISO 27001 maduro, a extensão à ISO 27701 requer entre 3 e 6 meses adicionais. O trabalho principal consiste em identificar os fluxos de dados pessoais e implementar os controles específicos de privacidade.
Diagnostico em 72 horas operacionais. Metodologia ISO. Sem vinculacao com certificadores.
Solicitar diagnostico