A ISO/IEC 27701:2025 representa uma mudança significativa no cenário de gestão de privacidade da informação. Publicada em outubro de 2025, esta nova versão transformou o que antes era apenas uma extensão da ISO 27001 em uma norma totalmente independente, abrindo novas possibilidades para organizações que desejam certificar seus sistemas de gestão de privacidade.

🎬Assita à aula do Prof. François Martinot

 

A gestão da privacidade da informação deixou de ser apenas uma exigência regulatória para se tornar um pilar estratégico da governança corporativa. Com leis como o GDPR na Europa e a LGPD no Brasil moldando a agenda das organizações ao redor do mundo, a nova edição da ISO/IEC 27701:2025 surge em um momento decisivo — quando organizações de todos os portes são convidadas a demonstrar responsabilidade e transparência no tratamento de dados pessoais.

A origem: do SGSI ao SGPI

A história da ISO/IEC 27701 começa a partir da consolidação da ISO/IEC 27001:2013, norma que estabeleceu as bases do Sistema de Gestão da Segurança da Informação (SGSI). Publicada em um momento de expansão dos ambientes digitais e da interconectividade corporativa, a ISO/IEC 27001 trouxe uma estrutura sólida para identificar, avaliar e tratar riscos relacionados à confidencialidade, integridade e disponibilidade das informações.

No entanto, o avanço tecnológico e a crescente coleta de dados pessoais colocaram novos desafios. A segurança da informação, embora essencial, não era suficiente para endereçar as implicações éticas e jurídicas do tratamento de informações pessoais. Foi nesse cenário que surgiu a necessidade de uma norma complementar focada especificamente na privacidade.

Em 2019, a ISO/IEC 27701 foi publicada como extensão da ISO/IEC 27001 e da ISO/IEC 27002, estabelecendo requisitos e orientações para criar um Sistema de Gestão da Privacidade da Informação (SGPI). Seu objetivo era integrar controles de privacidade ao SGSI existente, ampliando a capacidade das organizações de proteger dados pessoais.

O descompasso que exigiu mudança

Em 2022, a ISO promoveu uma das atualizações mais significativas da história da família 27000, revisando profundamente as normas ISO/IEC 27001 e ISO/IEC 27002. Os 114 controles anteriores, distribuídos em 14 domínios, foram reorganizados em 93 controles agrupados em quatro categorias: organizacionais, de pessoas, físicos e tecnológicos.

Essa mudança criou um descompasso técnico imediato com a ISO/IEC 27701:2019. A norma de privacidade ainda fazia referência aos controles do Anexo A de 2013, que deixaram de existir na nova versão. A incompatibilidade entre os controles de segurança e as diretrizes de privacidade impediu que as duas normas funcionassem de forma integrada.

Era preciso mais do que uma simples atualização de referências — era necessário reconstruir o elo entre segurança e privacidade, considerando o avanço tecnológico, a maturidade regulatória e o novo papel da gestão de dados pessoais no cenário corporativo global.

O nascimento de uma norma independente

A publicação da ISO/IEC 27701:2025 representa um marco histórico. Mais do que uma atualização técnica, ela simboliza a maturidade da governança de dados pessoais e a consolidação da privacidade como disciplina autônoma.

O ponto central da mudança é o reposicionamento da 27701: ela deixa de ser uma extensão da ISO/IEC 27001 e passa a ser reconhecida como uma norma independente, capaz de estabelecer, implementar, manter e melhorar um SGPI por conta própria. Agora, uma organização pode buscar certificação na ISO/IEC 27701 sem precisar de uma certificação prévia na ISO/IEC 27001.

A consolidação das legislações globais de proteção de dados, o avanço da inteligência artificial, o uso massivo de dados em análises preditivas e a crescente demanda por transparência e prestação de contas (accountability) exigiram essa evolução. A nova versão conserva a compatibilidade com a ISO/IEC 27001:2022, mas agora pode operar de forma modular — seja integrada a um SGSI existente, seja implementada de forma independente.

Isso amplia significativamente o alcance da norma, permitindo que pequenas e médias empresas, startups e organizações que não possuem um sistema de segurança da informação formal possam adotar boas práticas de privacidade sob um modelo reconhecido internacionalmente.

A nova estrutura baseada na High-Level Structure

A ISO/IEC 27701:2025 foi totalmente redesenhada para refletir a lógica de um sistema de gestão completo. Enquanto a versão de 2019 apresentava apenas extensões às cláusulas da ISO/IEC 27001, a nova edição adota integralmente a High-Level Structure (HLS) — a estrutura padronizada pela ISO que define a mesma organização de cláusulas, terminologia e requisitos para todas as normas de sistemas de gestão.

Isso significa que a ISO/IEC 27701:2025 segue o mesmo esqueleto de qualquer sistema de gestão moderno, com cláusulas de 4 a 10 estruturando o ciclo PDCA (Planejar–Executar–Verificar–Agir). Essa reorganização facilita a integração com outras normas como ISO 9001 (qualidade), ISO 22301 (continuidade de negócios) e ISO/IEC 42001 (gestão de IA). 

O Anexo A redesenhado

O novo Anexo A consolida o que antes estava dividido em três partes distintas, agora organizado em três seções claras:

A.1 – Controladores de DP: 31 controles em 4 categorias, cobrindo condições para coleta e processamento, obrigações para titulares de dados, Privacy by Design e Privacy by Default, além de compartilhamento e transferências.

A.2 – Operadores de DP: 18 controles que abrangem acordos com clientes, finalidades de tratamento, obrigações para titulares e controles de transferência.

A.3 – Controles de segurança comuns: 29 controles aplicáveis tanto a controladores quanto a operadores, fornecendo orientações complementares para aplicar os controles da ISO/IEC 27001:2022 no contexto de privacidade.

O Anexo B, agora normativo, fornece diretrizes práticas de aplicação para cada grupo de controles, seguindo a mesma estrutura do Anexo A.

A nova versão também mantém anexos informativos valiosos: mapeamento com os princípios de privacidade da ISO/IEC 29100, correspondência com os artigos da GDPR, correlação com a ISO/IEC 27018 (proteção de DP na nuvem), e uma tabela de equivalência entre as versões 2019 e 2025 — útil para auditorias de transição.

Gestão de riscos de privacidade como requisito formal

Uma mudança significativa é a exigência de uma avaliação de riscos de privacidade separada da avaliação de segurança da informação. A norma agora estrutura um processo próprio de identificação, análise e tratamento de riscos à privacidade.

As organizações devem avaliar riscos aos direitos e liberdades dos titulares, riscos operacionais, financeiros e reputacionais à organização, além de integrar a gestão de riscos de privacidade e segurança da informação em uma abordagem unificada.

A norma reconhece que incidentes de privacidade podem minar a confiança dos stakeholders tanto quanto violações de segurança, exigindo avaliação de riscos modernos como perfilamento por IA, transferências internacionais, dados biométricos e ambientes de IoT.

Nova norma de certificação: ISO/IEC 27706:2025

A atualização foi acompanhada pela publicação da ISO/IEC 27706:2025, que define critérios de competência, acreditação e auditoria para os organismos certificadores. Essa norma estabelece as regras para garantir que as auditorias de terceira parte em privacidade tenham validade técnica, consistência metodológica e credibilidade internacional.

Ela substitui o documento técnico ISO/IEC TS 27006-2:2021, consolidando um padrão único para auditorias e certificações em privacidade e promovendo reconhecimento mútuo de certificações no cenário internacional. 

Links Úteis

Formações acreditadas internacionalmente

A TIexames oferece treinamentos com reconhecimento internacional para profissionais que desejam implementar ou auditar Sistemas de Gestão de Privacidade da Informação conforme a ISO/IEC 27701:2025. Conheça nossa formação de Auditor Líder em SGPI.