ISO 27701: como a certificação complementa a conformidade LGPD
A ISO/IEC 27701 é o padrão internacional para gestão da privacidade da informação. No Brasil, a norma foi adotada como ABNT NBR ISO/IEC 27701 e é frequentemente citada como a certificação mais robusta que uma organização pode obter para demonstrar maturidade em proteção de dados — tanto perante a ANPD quanto perante clientes, parceiros e reguladores internacionais.
Este guia explica o que a norma realmente contém, como ela se relaciona com a LGPD, o que envolve a certificação no Brasil e, principalmente, quando o investimento faz sentido.
O que é a ISO/IEC 27701
Nome completo: ISO/IEC 27701:2019 — "Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and Guidelines"
Versão brasileira: ABNT NBR ISO/IEC 27701:2019 — "Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes"
A norma estabelece requisitos e diretrizes para a implementação, manutenção e melhoria contínua de um Sistema de Gestão de Privacidade da Informação (SGPI) — em inglês, Privacy Information Management System (PIMS). Aplica-se a qualquer tipo e tamanho de organização, pública ou privada, que atue como controladora ou operadora de dados pessoais.
Atenção — versão 2025: Em outubro de 2025, a ISO publicou a ISO/IEC 27701:2025, uma revisão significativa que transforma a norma em padrão independente/standalone — eliminando a exigência de que a organização possua previamente a ISO 27001. A versão 2019 permanece válida até outubro de 2028 (prazo de transição de 3 anos). Organizações certificadas na versão 2019 podem migrar para a 2025 ao longo desse período. Este guia aborda principalmente a versão 2019, vigente para a maioria das organizações, com indicações sobre o que muda em 2025.
A relação com a ISO 27001 (versão 2019)
Na versão 2019, a ISO 27701 é uma extensão da ISO/IEC 27001 — não uma norma independente. Isso significa que:
- A organização precisa ter a ISO 27001 implementada (ou implementar simultaneamente) para buscar a certificação ISO 27701:2019
- Os requisitos do SGPI se constroem sobre os controles do SGSI (Sistema de Gestão de Segurança da Informação) da ISO 27001
- Organizações com ISO 27001 já implementada têm custo e esforço menores para adicionar a 27701, pois a estrutura de gestão, documentação e auditorias já existe
Por que a ISO 27001 é pré-requisito (versão 2019)? Privacidade da informação pressupõe segurança da informação. A ISO 27701 assume que a organização já implementou controles básicos de segurança (controle de acesso, criptografia, gestão de incidentes, continuidade de negócios) e acrescenta os controles específicos de privacidade sobre essa base.
O que muda na versão 2025: A ISO 27701:2025 adota a estrutura HLS (High-Level Structure) que permite implementação autônoma, sem exigir ISO 27001. Isso amplia o alcance da norma para organizações menores ou que não precisam de uma certificação completa de segurança da informação.
Estrutura da norma
A ISO 27701:2019 está organizada em seções e anexos complementares:
Seções principais
| Seção | Conteúdo |
|---|---|
| Seção 5 | Requisitos do SGPI — aplicáveis a controladores e operadores (extensão dos requisitos da ISO 27001) |
| Seção 6 | Diretrizes gerais do SGPI e controles de segurança relacionados à ISO 27002 |
| Seção 7 | Diretrizes adicionais específicas para controladores de dados pessoais |
| Seção 8 | Diretrizes adicionais específicas para operadores de dados pessoais |
Anexos
| Anexo | Conteúdo |
|---|---|
| Anexo A | Controles específicos para controladores (completa o Anexo A da ISO 27001) |
| Anexo B | Controles específicos para operadores |
| Anexo C | Mapeamento dos controles com princípios internacionais de privacidade |
| Anexo D | Mapeamento com o GDPR — correlação entre os controles da norma e os artigos do GDPR europeu |
| Anexo E | Relação com ISO 27018 (computação em nuvem) e ISO 29151 |
| Anexo F | Como implementar a 27701 em conjunto com 27001 e 27002 |
A versão brasileira (ABNT NBR ISO/IEC 27701:2019) inclui adicionalmente um Anexo de mapeamento com a LGPD, produzido pela ABNT na adaptação nacional da norma — facilitando a identificação de quais controles da norma atendem cada dispositivo da lei brasileira.
O que a norma adiciona: controles para controladores e operadores
Para controladores (Seção 7 + Anexo A) — 31 controles adicionais
Os controles específicos para quem determina a finalidade e os meios do tratamento incluem:
- Base legal e finalidade: documentação da hipótese legal de cada tratamento e da finalidade específica
- Consentimento: processos para obtenção, gestão e revogação do consentimento
- Avaliação de impacto (RIPD/DPIA): requisito de avaliação antes de tratamentos de alto risco
- Minimização de dados: garantir que apenas os dados necessários sejam coletados
- Direitos dos titulares: processos para atendimento a requisições de acesso, correção, eliminação e portabilidade
- Transferência internacional: salvaguardas para dados enviados a países terceiros
- Retenção e eliminação: critérios documentados de ciclo de vida dos dados
Para operadores (Seção 8 + Anexo B) — 18 controles adicionais
Os controles específicos para quem trata dados em nome de terceiros incluem:
- Restrição de finalidade: tratar os dados apenas conforme as instruções do controlador
- Cumprimento de instruções: documentação de como as instruções do controlador são seguidas
- Sub-contratação: aprovação e gestão de suboperadores
- Notificação de incidentes: processo para comunicar ao controlador qualquer incidente de segurança
- Retorno ou eliminação dos dados: ao fim do contrato, devolução ou eliminação conforme determinado pelo controlador
ISO 27701 e LGPD: qual é a relação?
A ANPD não publicou um crosswalk oficial entre os artigos da LGPD e os controles da ISO 27701 — diferentemente do NIST Privacy Framework, para o qual existe um mapeamento com a LGPD publicado pelo NIST em 28/01/2021.
O que existe é:
- O Anexo de mapeamento com a LGPD da versão ABNT, que correlaciona controles da norma com dispositivos da LGPD
- O Anexo D (GDPR) que serve como guia indireto, dada a forte influência do GDPR sobre a LGPD
- Matrizes cruzadas produzidas pelo mercado e academia que correlacionam ISO 27701 × LGPD
A posição da ANPD: A autoridade referencia "padrões normativos internacionais" como evidência de boas práticas no contexto do Art. 52, §1°, VIII e IX da LGPD — e a Resolução CD/ANPD nº 4/2023 reconhece explicitamente a implementação de política de boas práticas e governança como circunstância atenuante de 20% nas sanções. A certificação ISO 27701 é amplamente reconhecida pelo mercado jurídico como evidência material desse critério.
A Agenda Regulatória da ANPD 2025-2026 inclui a discussão sobre mecanismos de certificação de privacidade (Art. 50, §3° da LGPD), o que poderá resultar em reconhecimento formal de programas de certificação — incluindo potencialmente a ISO 27701 — como referências de conformidade.
Certificação ISO 27701 no Brasil
Quem pode certificar
No Brasil, organizações certificadoras como BSI Group, DNV, TÜV SÜD, Bureau Veritas, ABNT Certifica e QMS Brasil oferecem certificação ISO 27701. Os certificados são emitidos com base na reputação internacional dos organismos e no esquema de acreditação de seus países de origem — atualmente, o CGCRE/INMETRO não possui programa de acreditação específico para ISO 27701 no Brasil.
Processo de certificação (versão 2019)
- GAP Analysis: avaliação do estado atual do SGPI em relação aos requisitos da norma
- Implementação: adequação dos controles de privacidade às seções 5, 6, 7 ou 8 (conforme o papel da organização)
- Auditoria de fase 1 (Análise documental): o organismo certificador avalia a documentação do SGPI
- Auditoria de fase 2 (In loco): verificação da implementação efetiva dos controles
- Certificação: emissão do certificado com validade de 3 anos, com auditorias de manutenção anuais
- Renovação: nova auditoria completa ao fim dos 3 anos
Prazo típico de implementação
Para organizações que já possuem ISO 27001:
- 6 a 12 meses de implementação complementar (dependendo da maturidade atual em privacidade)
- Mais o tempo da auditoria de certificação (fases 1 e 2)
Para organizações sem ISO 27001 buscando implementar ambas:
- 12 a 24 meses, dependendo do porte e complexidade
Organizações brasileiras certificadas
Exemplos documentados publicamente:
| Organização | Setor | Certificador |
|---|---|---|
| 2º Cartório Oficial de Registro de Imóveis de Ribeirão Preto | Serviços notariais | ABNT (primeira certificação no Brasil) |
| Fundação ELOS | ONG | BSI |
| SERPRO | Tecnologia / Governo Federal | — |
| eBox Digital | Arquivo digital | — |
O número de organizações certificadas no Brasil ainda é relativamente reduzido, concentrado em tecnologia, serviços financeiros, saúde e processamento de dados. A ISO não disponibiliza lista individualizada dos certificados por país (apenas totais no ISO Survey anual).
Benefícios concretos da certificação
Perante a ANPD
A certificação ISO 27701 constitui evidência material de adoção de boas práticas — um dos critérios atenuantes previstos no Art. 52, §1°, incisos VIII e IX da LGPD e quantificados na Resolução CD/ANPD nº 4/2023 (redução de 20% na multa simples). Em um processo administrativo sancionador, apresentar a certificação é um argumento concreto de governança proativa.
Perante clientes internacionais
O Anexo D da norma mapeia diretamente os controles para o GDPR europeu — uma organização brasileira certificada ISO 27701 demonstra, de forma auditada e verificável, que seus processos de privacidade são compatíveis com os requisitos europeus. Isso facilita contratos com empresas sujeitas ao GDPR e pode substituir ou reduzir auditorias de due diligence realizadas pelos clientes.
Em processos de M&A e due diligence
Investidores e adquirentes buscam evidências de maturidade em privacidade como parte da avaliação de passivo regulatório. Um certificado ISO 27701 ativo reduz a percepção de risco e agiliza o processo de due diligence.
Como diferencial competitivo
Em licitações públicas, contratos corporativos com grandes empresas e processos de qualificação de fornecedores, a certificação ISO 27701 é um diferencial crescente — especialmente em setores regulados como saúde, financeiro e educação.
Implementar vs. certificar: qual a diferença
| Implementar a norma | Obter a certificação | |
|---|---|---|
| O que é | Adotar requisitos e controles da ISO 27701 internamente | Submeter o SGPI a auditoria de terceira parte independente |
| Custo | Menor — apenas esforço interno e consultoria | Maior — inclui taxas do organismo certificador e auditorias anuais |
| Resultado | Melhoria interna documentada, sem credencial externa | Certificado reconhecido por clientes e reguladores |
| Quando usar | Quando o objetivo é melhorar a governança interna e reduzir riscos | Quando há exigência contratual de clientes ou objetivo de diferenciação comercial |
| Validade | Contínua (o SGPI permanece implementado) | 3 anos com auditorias anuais de manutenção |
Recomendação: Para organizações sem exigência contratual de certificação, implementar a norma como referência de boas práticas gera valor imediato — a certificação pode vir em etapa posterior, quando houver demanda comercial que justifique o investimento.
Quando a certificação vale a pena
A certificação ISO 27701 é recomendada quando a organização:
| Cenário | Relevância |
|---|---|
| Já possui ISO 27001 implementada | Alta — o custo incremental é menor |
| Processa grandes volumes de dados pessoais ou dados sensíveis | Alta — a norma demonstra proporcionalidade das medidas |
| Atua como operadora para clientes internacionais | Alta — o Anexo D facilita demonstração de compatibilidade com GDPR |
| Tem clientes que exigem evidências de conformidade em due diligence | Alta — o certificado substitui auditorias repetitivas |
| Busca diferencial em licitações ou contratos com empresas reguladas | Média — crescente exigência em setores de saúde e financeiro |
| É uma PME sem obrigações contratuais internacionais | Baixa — o esforço pode não ser proporcional |
| Não possui ISO 27001 e não planeja obtê-la (versão 2019) | Baixa — implementar a 27001 primeiro pode não fazer sentido para todos |
Para PMEs: A implementação da ISO 27701 sem a certificação formal é uma alternativa válida. Use a norma como referência metodológica para estruturar seu Programa de Governança em Privacidade (PGP), conforme o Art. 50 da LGPD, e considere a certificação quando o crescimento ou novas relações comerciais o exigirem.
Checklist de avaliação para a ISO 27701
Pré-requisitos (versão 2019)
- ISO 27001 implementada ou sendo implementada simultaneamente?
- Escopo do SGPI definido (controlador, operador ou ambos)?
- Gap analysis realizado em relação aos requisitos da Seção 5 (comuns) e 7 ou 8 (específicos)?
Implementação
- Política de privacidade interna documentada e aprovada pela direção?
- ROPA (Registro de Atividades de Tratamento) mapeado e atualizado — Art. 37 LGPD?
- Processo de avaliação de impacto (RIPD) implementado para tratamentos de alto risco — Art. 38 LGPD?
- Controles de minimização de dados e limitação de finalidade documentados?
- Processo de atendimento a titulares operacional com SLA documentado — Art. 18 LGPD?
- DPAs com todos os operadores e suboperadores formalizados?
- Transferências internacionais identificadas com salvaguardas (Res. CD/ANPD nº 19/2024)?
- Processo de gestão de incidentes integrado ao plano de resposta a incidentes da ISO 27001?
- Treinamentos de privacidade realizados com evidência de participação?
Decisão de certificação
- Há demanda de clientes internacionais ou contratos que exijam certificação?
- A ISO 27001 está implementada e certificada?
- O orçamento disponível cobre as taxas de certificação + auditorias anuais por 3 anos?
- A direção endossa o projeto de certificação?
Conclusão
A ISO 27701 é o padrão internacional mais completo para gestão de privacidade da informação — e a versão 2025, ao se tornar standalone, amplia significativamente seu alcance. Para organizações com ISO 27001, a 27701 é um complemento natural que transforma o sistema de gestão de segurança em um sistema integrado de segurança e privacidade.
Para a conformidade com a LGPD, a norma não é obrigatória — mas é uma das evidências mais robustas de accountability que uma organização pode apresentar à ANPD ou a qualquer stakeholder externo. A decisão de implementar (sem certificar) ou certificar depende do perfil de clientes, do porte da organização e das exigências contratuais.
O caminho realista para a maioria das organizações: implementar a norma como guia para o Programa de Governança em Privacidade e certificar quando houver demanda comercial que justifique o investimento contínuo em auditorias.
O Confidata oferece um módulo de conformidade baseado nos controles da ISO 27701, com mapeamento automático das atividades de tratamento para os requisitos da norma, gestão do RIPD integrada e evidências de conformidade organizadas por domínio de controle.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.