Por que esta norma é um marco?
A nova edição da ISO/IEC 27701:2025 marca uma viragem histórica na forma como as organizações gerem a privacidade. Deixa de ser uma extensão da ISO/IEC 27001 e passa a ser uma norma independente, com estrutura própria e alinhada à última versão do Anexo SL, edição de 2024. Esta mudança permite maior flexibilidade, autonomia e maturidade ao Sistema de Gestão de Informação Privada (PIMS), tornando-o acessível a qualquer organização que trate dados pessoais — mesmo sem que possua certificação prévia em segurança da informação.
Principais mudanças estruturais
1. Norma independente e certificável por si só
- Antes: A ISO/IEC 27701:2019 era uma extensão da ISO/IEC 27001, exigindo certificação prévia em segurança da informação, ou, que a mesma fosse realizada em paralelo de modo a obter ambas as certificações.
- Agora: A ISO/IEC 27701:2025 é uma norma autónoma, permitindo certificação direta em privacidade, sem dependência da 27001, focando-se não só nos controlos de privacidade mas também apenas nos controlos de segurança da informação.
Impacto: Organizações focadas exclusivamente em privacidade (como clínicas, plataformas digitais ou startups de dados) podem certificar-se sem implementar um SGSI completo.
2. Alinhamento com o novo Anexo SL (2024)
- A estrutura da norma segue o modelo de alto nível do Anexo SL revisto em 2024, comum às normas ISO de sistemas de gestão.
- Isso inclui cláusulas padronizadas como contexto da organização, liderança, planeamento, suporte, operação, avaliação de desempenho e melhoria contínua.
Benefício: Facilita a integração com outras normas como, por exemplo:
- ISO 9001 (qualidade)
- ISO/IEC 42001 (inteligência artificial)
- ISO/IEC 27001 (segurança da informação)
3. Reforço da governança e responsabilidade
- A nova versão exige maior envolvimento da liderança na definição de políticas de privacidade.
- Introduz requisitos mais claros para avaliação de riscos, gestão de fornecedores e monitorização de conformidade.
Exemplo: Uma empresa que terceiriza o processamento de dados deve demonstrar que avalia e controla os riscos associados aos seus operadores.
4. Nova norma de acreditação: ISO/IEC 27706:2025
- Substitui a ISO/IEC 27006-2 como referência para organismos de certificação.
- Define critérios específicos para auditar e certificar um PIMS, incluindo competências dos auditores e âmbito da auditoria.
Resultado: Maior rigor e consistência nos processos de certificação, com foco exclusivo na privacidade.
Comparativo detalhado: ISO/IEC 27701:2019 vs 2025
| Elemento | Edição 2019 | Edição 2025 |
| Tipo de norma | Extensão da ISO/IEC 27001 | Norma independente |
| Certificação | Requer ISO/IEC 27001 | Pode ser certificada isoladamente |
| Base estrutural | Anexo SL anterior, à data 2019 | Anexo SL 2024 |
| Âmbito | Complemento à segurança da informação | Sistema de Gestão de Privacidade (PIMS) |
| Norma de acreditação do Organismo Cerfificador | ISO/IEC 27006-2 | ISO/IEC 27706:2025 |
| Integração com outras normas | Limitada, devido a ser uma extensão da ISO/IEC 27001 | Totalmente compatível com os vários MSS certificáveis (Type A), como, ISO 9001, 42001, etc. |
| Governança | Menos exigente | Reforço da liderança e responsabilidade |
| Flexibilidade | Apenas com SGSI | Abertura a qualquer organização |
Aplicabilidade global e conformidade legal
A ISO/IEC 27701:2025 foi desenhada para suportar a conformidade com legislações de proteção de dados pessoais em diversas jurisdições:
| Legislação | País/Região | Como a norma ajuda |
| RGPD | União Europeia | Controlos para direitos dos titulares, consentimento, transferência internacional de dados |
| Lei 58/2019 | Portugal | Apoio à implementação prática do RGPD nacional |
| UK GDPR | Reino Unido | Alinhamento com o GDPR britânico |
| LPD | Suíça | Conformidade com a nova Lei Federal de Proteção de Dados |
| LGPD | Brasil | Controlos para operadores e controladores conforme a ANPD |
| CCPA / CPRA | EUA | Transparência, direitos dos consumidores e segurança |
| PIPEDA | Canadá | Responsabilidade, consentimento e segurança da informação |
Transição da edição 2019 para 2025
Organizações certificadas na versão anterior têm, por norma, 3 anos para realizar a transição para a edição de 2025, ou seja, até outubro de 2028 para realizar a transição para a nova edição. É importante referir que à data deste artigo ainda não foi publicada pela ISO/CASCO ou pelo IAF informação sobre a data oficial para a transição pelo que, a data apresentada representa o ciclo normal de transição para as normas de sistema de gestão certificáveis (Type A). Existem muitas abordagens possíveis para realizar o processo de transição com sucesso. Apresenta-se abaixo uma abordagem comum:
Etapas da transição
- Análise de lacunas entre os requisitos da 2019 e da 2025.
- Revisão documental com base na nova estrutura HS do Anexo SL.
- Formação especializada para equipas técnicas e de gestão sobre as vantagens e novos requisitos da edição 2025.
- Apresentação da abordagem de transição proposta, plano e partes envolvidas. Consciencializar e destacar a importância e papel das várias partes interessadas no processo de transição.
- Estabelecer e implementar o programa de transição para a nova edição 2025 tendo por base as lacunas identificadas, os resultados da revisão documental, e outros inputs relevantes.
- Operacionalizar, monitorizar e avaliar os requisitos e controlos implementados tendo por base os objetivos da norma e da organização, e assegurar registos de operação e eficácia do sistema (sugere-se 3 meses, suficientes para demonstrar a operação do novo PIMS).
- Auditoria interna para validar conformidade e identificar oportunidades de melhoria.
- Revisão e aprovação pela gestão de topo do novo Sistema de Gestão de Informação Privada (PIMS) 2025, análise de resultados e benefícios. Aprovação para avançar para a auditoria de transição da certificação.
- Auditoria de certificação realizada por Equipa Auditora com profissionais Certificados ISO/IEC 27701:2025 Lead Auditor, aprovação para a transição da certificação da organização pelo Organismo Certificador, acreditado nos requisitos da nova ISO/IEC 27706:2025, e emissão de certificado ISO/IEC 27701:2025.
Caso de uso: Uma empresa de software com certificação ISO/IEC 27701:2019 pode realizar a transição em 6 meses (dependendo da extensão do âmbito da certificação da organização), com apoio de formação e consultoria, reduzindo custos e mantendo a sua certificação ativa.
Formação e certificação profissional
Para apoiar a transição e adoção da nova norma, a Behaviour disponibiliza cursos e certificações de pessoas especializadas:
| Curso | Objetivo | Público-alvo |
| Transition | Migrar da edição 2019 para 2025 | Organizações já certificadas que desejem realizar com sucesso a auditoria de transição, e profissionais detentores de certificações de pessoas ISO/IEC 27701:2019 que desejem realizar a transição da sua certificação para a nova Edição 2025. |
| Foundation | Compreender os requisitos da norma | Profissionais de privacidade, TI, compliance, e demais especialistas, que necessitem de adquirir os conhecimentos fundamentais |
| Lead Implementer | Implementar um sistema de gestão de informação privada (PIMS) conforme a nova norma | Consultores, gestores de projeto, cujo objetivo seja implementar, ou liderar a implementação de um PIMS baseado na nova edição da ISO/IEC 27701:2025 ou suportar o processo de transição para esta nova edição. |
| Lead Auditor | Auditar sistemas de gestão de informação privada (PMIS) | Auditores internos e externos, que pretendam adquirir ou atualizar as suas competências na condução de auditorias de primeira, segunda ou terceira partes, como membros de uma equipa auditora, ou com o objetivo de liderar /coordenar auditorias de um PIMS, seja como suporte a uma nova implementação, ou para uma organização em processo de transição. |
Conclusão: A privacidade como vantagem competitiva
A ISO/IEC 27701:2025 não é apenas uma norma — é uma ferramenta estratégica para organizações que querem liderar com responsabilidade, transparência e conformidade. Seja para realizar a transição ou iniciar a certificação, esta é a hora de agir.
Formação Behaviour recomendada
- ISO 27701:2025 Transition
- RGPD ISO 27701:2025 Foundation
- ISO 27701:2025 Lead Implementer
- ISO 27701:2025 Lead Auditor
Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.