Guia

Como implementar ISO 27701 na sua organização

Guia de implementação de um sistema de gestão de privacidade conforme ISO/IEC 27701:2019. Extensão da ISO 27001 para dados pessoais, papéis de controlador/processador de PII e mapeamento regulatório.

ISO 27701 estende ISO 27001 e ISO 27002 para cobrir a gestão de informações de privacidade. É o padrão de referência para demonstrar cumprimento com regulações de proteção de dados como GDPR, a Lei de Proteção de Dados Pessoais da Argentina e a LGPD do Brasil.

Passo a passo

Verificar pré-requisitos: SGSI ISO 27001 operacional

ISO 27701 não funciona como norma independente. Requer um SGSI conforme ISO 27001 já implementado ou em implementação simultânea. Verifique que os controles base do Anexo A estejam operacionais antes de estendê-los.

Dica do auditor: Se ainda não tem ISO 27001, pode implementar ambas as normas em paralelo. Mas não tente certificar ISO 27701 sem a base de 27001 já auditada.

Definir o papel da organização: controlador ou processador de PII

ISO 27701 diferencia entre controlador de PII (quem decide a finalidade do tratamento) e processador (quem trata dados por conta do controlador). Este papel determina quais controles do Anexo A e B se aplicam à sua organização.

Realizar o inventário de tratamentos de dados pessoais

Mapeie todos os fluxos de dados pessoais: que dados são coletados, com que base legal, onde são armazenados, quem acessa, para quem são transferidos e por quanto tempo são retidos. Este registro é a base da avaliação de impacto em privacidade (PIA).

Dica do auditor: Use um formato tabular com colunas: categoria de dados, base legal, sistema, responsável, transferência internacional (sim/não), retenção. Os auditores esperam este nível de granularidade.

Implementar controles específicos de privacidade

Além dos controles da ISO 27001, implemente os controles estendidos dos Anexos A e B da ISO 27701: consentimento, direito de acesso, portabilidade, anonimização, notificação de brechas e privacy by design em novos sistemas.

Mapear controles a regulações aplicáveis

ISO 27701 inclui no Anexo D um mapeamento para o GDPR. Realize um mapeamento equivalente à normativa da sua jurisdição (Lei 25.326 na Argentina, LGPD no Brasil) para demonstrar como cada controle satisfaz os requisitos legais locais.

Dica do auditor: Este mapeamento regulatório é um diferenciador em auditorias: demonstra que o sistema não é genérico, mas adaptado à realidade legal da organização.

Pontos-chave

ISO 27701 não é independente: requer ISO 27001 como base. Planeje a implementação conjunta ou sequencial.
O inventário de tratamentos de dados é o artefato mais crítico: sem ele, os controles de privacidade carecem de contexto.
O mapeamento a regulações locais transforma um cumprimento genérico em uma demonstração concreta perante reguladores.

Perguntas frequentes

Não de forma independente. ISO 27701 é uma extensão da ISO 27001. Pode implementar ambas simultaneamente, mas a certificação de 27701 requer que 27001 esteja certificada ou em processo.

Não. ISO 27701 é um marco de gestão que facilita o cumprimento, mas não o substitui. A conformidade com a norma não equivale automaticamente a cumprimento legal; você precisa do mapeamento regulatório específico.

Tipicamente entre 3 e 6 meses adicionais, dependendo da complexidade dos tratamentos de dados e da maturidade dos processos de privacidade existentes.

Comparativo

ISO 27001 vs ISO 42001: diferenças-chave entre segurança da informação e gestão de IA

Ver Comparativo

Disponivel agora

Pronto para agir sobre esses achados?

Precisa de uma avaliacao nesta area?

Solicitar diagnostico→Ver pesquisas→

Loading content…

Pontos-chave

ISO 27701 não é independente: requer ISO 27001 como base. Planeje a implementação conjunta ou sequencial.

O inventário de tratamentos de dados é o artefato mais crítico: sem ele, os controles de privacidade carecem de contexto.

O mapeamento a regulações locais transforma um cumprimento genérico em uma demonstração concreta perante reguladores.

Perguntas frequentes

Não de forma independente. ISO 27701 é uma extensão da ISO 27001. Pode implementar ambas simultaneamente, mas a certificação de 27701 requer que 27001 esteja certificada ou em processo.

Tipicamente entre 3 e 6 meses adicionais, dependendo da complexidade dos tratamentos de dados e da maturidade dos processos de privacidade existentes.

Como implementar ISO 27701 na sua organização

Passo a passo

Verificar pré-requisitos: SGSI ISO 27001 operacional

Definir o papel da organização: controlador ou processador de PII

Realizar o inventário de tratamentos de dados pessoais

Implementar controles específicos de privacidade

Mapear controles a regulações aplicáveis

Pontos-chave

Perguntas frequentes

Conteudo relacionado

ISO 27001 vs ISO 42001: diferenças-chave entre segurança da informação e gestão de IA

ISO 9001 vs ISO 27001: gestão de qualidade vs segurança da informação

ISO 27001

SGSI

Shadow AI: uso de inteligência artificial sem governança formal

Violação de dados pessoais: avaliação de exposição e controles de privacidade

Pronto para agir sobre esses achados?

Como implementar ISO 27701 na sua organização

Passo a passo

Verificar pré-requisitos: SGSI ISO 27001 operacional

Definir o papel da organização: controlador ou processador de PII

Realizar o inventário de tratamentos de dados pessoais

Implementar controles específicos de privacidade

Mapear controles a regulações aplicáveis

Pontos-chave

Perguntas frequentes

Conteudo relacionado

ISO 27001 vs ISO 42001: diferenças-chave entre segurança da informação e gestão de IA

ISO 9001 vs ISO 27001: gestão de qualidade vs segurança da informação

ISO 27001

SGSI

Shadow AI: uso de inteligência artificial sem governança formal

Violação de dados pessoais: avaliação de exposição e controles de privacidade

Pronto para agir sobre esses achados?