SobreNormasBlog ✦ IAOrçamento →
Início  /  Blog  /  ISO 27701 e LGPD

ISO 27701 — Como a Certificação de Privacidade Apoia a Conformidade com a LGPD

A ISO/IEC 27701 é uma extensão da ISO 27001 que estabelece um Sistema de Gestão de Informações de Privacidade (PIMS). Para organizações brasileiras, esta certificação oferece um caminho estruturado para demonstrar conformidade com a LGPD, mapeando os requisitos legais brasileiros a controles internacionais auditáveis.

ISO 27701 LGPD Privacidade

 ·  7 min de leitura

O Que É a ISO 27701

A ISO/IEC 27701:2019 — Extensão da ISO/IEC 27001 e ISO/IEC 27002 para Gestão de Informações de Privacidade — não é uma norma autônoma. Ela funciona como uma extensão do SGSI existente, adicionando requisitos e controles específicos para a proteção de dados pessoais. Isso significa que a certificação ISO 27701 pressupõe uma certificação ISO 27001 válida como pré-requisito.

A norma define requisitos tanto para controladores de dados pessoais (PII controllers) quanto para operadores de dados pessoais (PII processors), utilizando a terminologia da ISO em vez dos termos específicos de cada legislação. Essa abordagem neutra em relação à jurisdição é precisamente o que torna a ISO 27701 valiosa como ferramenta de compliance multi-regulatória.

Mapeamento ISO 27701 e LGPD

A LGPD (Lei 13.709/2018) estabelece um conjunto abrangente de direitos dos titulares, obrigações dos agentes de tratamento e princípios para o processamento de dados pessoais no Brasil. A ISO 27701 não foi desenvolvida especificamente para a LGPD, mas seu Anexo D fornece um mapeamento detalhado com o GDPR europeu, e a similaridade estrutural entre a LGPD e o GDPR permite uma transposição bastante direta. Os principais pontos de mapeamento incluem:

Requisito da LGPD Controle ISO 27701
Base legal para tratamento (Art. 7) A.7.2.2 — Identificação de base legal
Consentimento (Art. 8) A.7.2.3 — Determinar quando e como obter consentimento
Direitos dos titulares (Arts. 17-22) A.7.3 — Obrigações para titulares de dados
Transferência internacional (Art. 33) A.7.5 — Compartilhamento, transferência e divulgação
Relatório de Impacto (Art. 38) A.7.2.5 — Avaliação de impacto de privacidade
Segurança dos dados (Art. 46) Controles ISO 27001 + extensões 27701
Encarregado / DPO (Art. 41) A.7.2.8 — Registros de contato do DPO

PIMS: O Sistema de Gestão de Informações de Privacidade

O PIMS (Privacy Information Management System) definido pela ISO 27701 estende o SGSI com processos específicos para privacidade. Na prática, isso significa adicionar ao SGSI existente:

  • Inventário de dados pessoais: Identificação e documentação de todas as atividades de tratamento de dados pessoais, incluindo categorias de dados, finalidades, bases legais e períodos de retenção.
  • Avaliação de impacto de privacidade: Processo sistemático para avaliar o impacto de novas atividades de tratamento sobre os direitos e liberdades dos titulares de dados.
  • Gestão de direitos dos titulares: Processos documentados para receber, verificar e responder a solicitações de titulares dentro dos prazos legais estabelecidos pela LGPD.
  • Gestão de incidentes de privacidade: Extensão do processo de gestão de incidentes do SGSI para incluir procedimentos de notificação à ANPD e aos titulares afetados, conforme exigido pela LGPD.
  • Gestão de terceiros: Controles adicionais para garantir que operadores de dados pessoais processem dados apenas conforme as instruções documentadas do controlador.

Benefícios Específicos para o Contexto Brasileiro

Para organizações brasileiras, a certificação ISO 27701 oferece benefícios que vão além da conformidade técnica com a LGPD:

  • Evidência objetiva para a ANPD: Em caso de fiscalização ou incidente, a certificação demonstra que a organização implementou controles reconhecidos internacionalmente para proteção de dados pessoais.
  • Facilitação de transferências internacionais: A LGPD permite transferências internacionais para países com nível adequado de proteção ou mediante garantias apropriadas. A ISO 27701, como norma reconhecida globalmente, pode servir como evidência de garantias apropriadas.
  • Diferenciação competitiva: No mercado brasileiro, onde a maturidade em privacidade ainda está em evolução, a certificação ISO 27701 posiciona a organização como referência em proteção de dados.
  • Atenuação de sanções: A LGPD prevê que a adoção de boas práticas e governança pode ser considerada como circunstância atenuante na aplicação de sanções pela ANPD.

A ANPD tem sinalizado que a adoção de certificações e selos de proteção de dados, conforme previsto no Art. 42 da LGPD, será regulamentada nos próximos anos. Organizações que já possuem a ISO 27701 estarão bem posicionadas quando esse mecanismo for implementado.

Roteiro de Implementação

Pré-requisito: Certifique-se de que sua organização possui uma certificação ISO 27001 válida. A ISO 27701 não pode ser implementada de forma independente.

Etapa 1: Realize um inventário completo de atividades de tratamento de dados pessoais, mapeando fluxos de dados, bases legais e períodos de retenção.

Etapa 2: Conduza uma análise de lacunas comparando seus controles atuais com os requisitos da ISO 27701, considerando seu papel como controlador, operador ou ambos.

Etapa 3: Implemente os controles adicionais identificados na análise de lacunas, com foco nos processos de gestão de direitos dos titulares e notificação de incidentes.

Etapa 4: Atualize a documentação do SGSI para incluir os elementos do PIMS, incluindo política de privacidade, procedimentos operacionais e registros de tratamento.

Etapa 5: Realize uma auditoria interna integrada (SGSI + PIMS) e uma análise crítica pela direção antes de solicitar a auditoria de certificação.

Como a BALTUM Pode Ajudar

A BALTUM oferece serviços especializados em implementação e certificação ISO 27701, com foco específico no mapeamento com a LGPD. Nossos consultores possuem experiência tanto em normas ISO quanto na legislação brasileira de proteção de dados, proporcionando uma abordagem integrada que endereça tanto os requisitos técnicos da norma quanto as exigências regulatórias da LGPD e da ANPD.