Privacidade & Conformidade • Artigo
ISO/IEC 27701:2025: porque esta norma é um marco?
⏱️ Leitura estimada: 10 minutos
A edição 2025 torna a 27701 independente, alinhada com o Anexo SL 2024 e focada num PIMS autónomo e certificável.
Por que esta norma é um marco?
A nova edição da ISO/IEC 27701:2025 marca uma viragem histórica na forma como as organizações gerem a privacidade.
Deixa de ser uma extensão da ISO/IEC 27001 e passa a ser uma norma independente, com estrutura própria e alinhada à última versão do Anexo SL, edição de 2024.
Esta mudança permite maior flexibilidade, autonomia e maturidade ao Sistema de Gestão de Informação Privada (PIMS), tornando-o acessível a qualquer organização que trate dados pessoais — mesmo sem que possua certificação prévia em segurança da informação.
Principais mudanças estruturais
1. Norma independente e certificável por si só
- Antes: A ISO/IEC 27701:2019 era uma extensão da ISO/IEC 27001, exigindo certificação prévia em segurança da informação, ou, que a mesma fosse realizada em paralelo de modo a obter ambas as certificações.
- Agora: A ISO/IEC 27701:2025 é uma norma autónoma, permitindo certificação direta em privacidade, sem dependência da 27001, focando-se não só nos controlos de privacidade mas também apenas nos controlos de segurança da informação.
Impacto: Organizações focadas exclusivamente em privacidade (como clínicas, plataformas digitais ou startups de dados) podem certificar-se sem implementar um SGSI completo.
2. Alinhamento com o novo Anexo SL (2024)
- A estrutura da norma segue o modelo de alto nível do Anexo SL revisto em 2024, comum às normas ISO de sistemas de gestão.
- Isso inclui cláusulas padronizadas como contexto da organização, liderança, planeamento, suporte, operação, avaliação de desempenho e melhoria contínua.
Benefício: Facilita a integração com outras normas como, por exemplo:
- ISO 9001 (qualidade)
- ISO/IEC 42001 (inteligência artificial)
- ISO/IEC 27001 (segurança da informação)
3. Reforço da governança e responsabilidade
- A nova versão exige maior envolvimento da liderança na definição de políticas de privacidade.
- Introduz requisitos mais claros para avaliação de riscos, gestão de fornecedores e monitorização de conformidade.
Exemplo: Uma empresa que terceiriza o processamento de dados deve demonstrar que avalia e controla os riscos associados aos seus operadores.
4. Nova norma de acreditação: ISO/IEC 27706:2025
- Substitui a ISO/IEC 27006-2 como referência para organismos de certificação.
- Define critérios específicos para auditar e certificar um PIMS, incluindo competências dos auditores e âmbito da auditoria.
Resultado: Maior rigor e consistência nos processos de certificação, com foco exclusivo na privacidade.
Comparativo detalhado: ISO/IEC 27701:2019 vs 2025
| Elemento | Edição 2019 | Edição 2025 |
| Tipo de norma | Extensão da ISO/IEC 27001 | Norma independente |
| Certificação | Requer ISO/IEC 27001 | Pode ser certificada isoladamente |
| Base estrutural | Anexo SL anterior, à data 2019 | Anexo SL 2024 |
| Âmbito | Complemento à segurança da informação | Sistema de Gestão de Privacidade (PIMS) |
| Norma de acreditação do Organismo Cerfificador | ISO/IEC 27006-2 | ISO/IEC 27706:2025 |
| Integração com outras normas | Limitada, devido a ser uma extensão da ISO/IEC 27001 | Totalmente compatível com os vários MSS certificáveis (Type A), como, ISO 9001, 42001, etc. |
| Governança | Menos exigente | Reforço da liderança e responsabilidade |
| Flexibilidade | Apenas com SGSI | Abertura a qualquer organização |
Aplicabilidade global e conformidade legal
A ISO/IEC 27701:2025 foi desenhada para suportar a conformidade com legislações de proteção de dados pessoais em diversas jurisdições:
| Legislação | País/Região | Como a norma ajuda |
| RGPD | União Europeia | Controlos para direitos dos titulares, consentimento, transferência internacional de dados |
| Lei 58/2019 | Portugal | Apoio à implementação prática do RGPD nacional |
| UK GDPR | Reino Unido | Alinhamento com o GDPR britânico |
| LPD | Suíça | Conformidade com a nova Lei Federal de Proteção de Dados |
| LGPD | Brasil | Controlos para operadores e controladores conforme a ANPD |
| CCPA / CPRA | EUA | Transparência, direitos dos consumidores e segurança |
| PIPEDA | Canadá | Responsabilidade, consentimento e segurança da informação |
Transição da edição 2019 para 2025
Organizações certificadas na versão anterior têm, por norma, 3 anos para realizar a transição para a edição de 2025, ou seja, até outubro de 2028 para realizar a transição para a nova edição. É importante referir que à data deste artigo ainda não foi publicada pela ISO/CASCO ou pelo IAF informação sobre a data oficial para a transição pelo que, a data apresentada representa o ciclo normal de transição para as normas de sistema de gestão certificáveis (Type A). Existem muitas abordagens possíveis para realizar o processo de transição com sucesso. Apresenta-se abaixo uma abordagem comum:
Etapas da transição
- Análise de lacunas entre os requisitos da 2019 e da 2025.
- Revisão documental com base na nova estrutura HS do Anexo SL.
- Formação especializada para equipas técnicas e de gestão sobre as vantagens e novos requisitos da edição 2025.
- Apresentação da abordagem de transição proposta, plano e partes envolvidas. Consciencializar e destacar a importância e papel das várias partes interessadas no processo de transição.
- Estabelecer e implementar o programa de transição para a nova edição 2025 tendo por base as lacunas identificadas, os resultados da revisão documental, e outros inputs relevantes.
- Operacionalizar, monitorizar e avaliar os requisitos e controlos implementados tendo por base os objetivos da norma e da organização, e assegurar registos de operação e eficácia do sistema (sugere-se 3 meses, suficientes para demonstrar a operação do novo PIMS).
- Auditoria interna para validar conformidade e identificar oportunidades de melhoria.
- Revisão e aprovação pela gestão de topo do novo Sistema de Gestão de Informação Privada (PIMS) 2025, análise de resultados e benefícios. Aprovação para avançar para a auditoria de transição da certificação.
- Auditoria de certificação realizada por Equipa Auditora com profissionais Certificados ISO/IEC 27701:2025 Lead Auditor, aprovação para a transição da certificação da organização pelo Organismo Certificador, acreditado nos requisitos da nova ISO/IEC 27706:2025, e emissão de certificado ISO/IEC 27701:2025.
Caso de uso: Uma empresa de software com certificação ISO/IEC 27701:2019 pode realizar a transição em 6 meses (dependendo da extensão do âmbito da certificação da organização), com apoio de formação e consultoria, reduzindo custos e mantendo a sua certificação ativa.
Formação e certificação profissional
Para apoiar a transição e adoção da nova norma, a Behaviour disponibiliza cursos e certificações de pessoas especializadas:
| Curso | Objetivo | Público-alvo |
| Transition | Migrar da edição 2019 para 2025 | Organizações já certificadas que desejem realizar com sucesso a auditoria de transição, e profissionais detentores de certificações de pessoas ISO/IEC 27701:2019 que desejem realizar a transição da sua certificação para a nova Edição 2025. |
| Foundation | Compreender os requisitos da norma | Profissionais de privacidade, TI, compliance, e demais especialistas, que necessitem de adquirir os conhecimentos fundamentais |
| Lead Implementer | Implementar um sistema de gestão de informação privada (PIMS) conforme a nova norma | Consultores, gestores de projeto, cujo objetivo seja implementar, ou liderar a implementação de um PIMS baseado na nova edição da ISO/IEC 27701:2025 ou suportar o processo de transição para esta nova edição. |
| Lead Auditor | Auditar sistemas de gestão de informação privada (PMIS) | Auditores internos e externos, que pretendam adquirir ou atualizar as suas competências na condução de auditorias de primeira, segunda ou terceira partes, como membros de uma equipa auditora, ou com o objetivo de liderar /coordenar auditorias de um PIMS, seja como suporte a uma nova implementação, ou para uma organização em processo de transição. |
Conclusão: A privacidade como vantagem competitiva
A ISO/IEC 27701:2025 não é apenas uma norma — é uma ferramenta estratégica para organizações que querem liderar com responsabilidade, transparência e conformidade. Seja para realizar a transição ou iniciar a certificação, esta é a hora de agir.
Formação Behaviour recomendada
Tem uma dúvida de formação relacionada com este tema?
Se procura perceber em que curso, área ou percurso Behaviour este conteúdo pode ser trabalhado, consulte a página Formação por Necessidades.
Autor: Behaviour
Publicado em: 24 outubro de 2025
Não é autorizada a cópia ou reprodução deste artigo.