A mudança mais significativa na nova versão da ISO/IEC 27701, é a independência da norma de segurança da informação ISO/IEC 27001, em vigor para implementar um PIMS (Privacy Information Management System). Com a versão de 2025, há uma redefinição do posicionamento da ISO 27701, que deixa de ser uma extensão da segurança da informação, para se tornar padrão autônomo de privacidade.
Assim, a nomenclatura passa a ser: Segurança da informação, cibersegurança e proteção da privacidade — Sistemas de gestão de informações de privacidade — Requisitos e orientações.
O que é a ISO 27701:2025?
A ISO/IEC 27701 é uma norma internacional que estabelece requisitos para a implementação, manutenção e melhoria contínua de um Sistema de Gestão de Informações de Privacidade (PIMS). É aplicável a controladores e operadores de dados pessoais (PII) e ajuda organizações a demonstrar conformidade, gestão de risco e compromisso com proteção de privacidade.
Principais mudanças na ISO/IEC 27701:2025
A ISO 27701:2025 deixa de ter a obrigatoriedade em ter como base a ISO/IEC 27001 para sua certificação, ou seja, pode ser usada como padrão independente. Isso amplia o leque de organizações que podem adotá-la.
Além disso, a versão 2025 foi redesenhada para manter coerência com atualizações das normas de segurança da informação, como a ISO/IEC 27002:2022, considerando abordagens modernas de risco, controles e tecnologia.
Esta nova edição torna mais explícito e robusto o tratamento de risco de privacidade, com exigências mais claras para identificação, avaliação, tratamento e monitoramento desses riscos. Há uma atenção específica para novos vetores de risco, como inteligência artificial (IA), processamento automatizado, ecossistemas digitais e fluxos de dados complexos entre jurisdições. Também apresenta controles e orientações para cenários contemporâneos, como privacidade em ambientes de nuvem e interações entre controladores e operadores.
A versão 2025 expande e esclarece orientações para ambos os papéis de controlador e operador, diferenciando responsabilidades e controles aplicáveis em cada contexto. O “Anexo A” contêm melhores práticas de implementação específicas para cada tipo de papel.
E agora as diretrizes de implementação para controles de privacidade são mais detalhadas do que na versão anterior, o que ajuda no entendimento e adoção pelas organizações.
Estrutura da norma 27001:2025
A ISO/IEC 27701:2025 traz uma evolução significativa em sua estrutura, refletindo o amadurecimento global na gestão da privacidade e proteção de dados pessoais.
A estrutura segue a High-Level Structure (HLS) comum aos padrões ISO de gestão, como ISO 9001 e ISO/IEC 27001, garantindo compatibilidade e integração entre sistemas de gestão. A atualização na norma proporciona um modelo unificado e escalável, que combina governança, liderança, planejamento, operação, avaliação de desempenho e melhoria contínua, além de trazer anexos específicos com controles e orientações direcionadas a controladores e operadores de dados pessoais.
Confira a nova estrutura:
- Escopo;
- Referências normativas;
- Termos definições e abreviações;
- Contexto da organização;
- Liderança;
- Planejamento;
- Suporte;
- Operação;
- Avaliação de desempenho;
- Melhoria.
Anexo A: Objetivos e controles de referência do PIMS para controladores e operadores de PII.
Anexo B: Orientações de implementação para controladores e operadores de PII.
Anexo C: Mapeamento para ISO/IEC 29100.
Anexo D: Mapeamento do Regulamento Geral de Proteção de Dados.
Anexo E: Mapeamento para ISO/IEC 27018 e ISO/IEC 29151.
Anexo F: Correspondência com ISO/IEC 27701:2019.
Quando for publicada a versão brasileira da norma ABNT NBR ISO/IEC 27701:2025 espera-se que ela mantenha a boa prática já adotada anteriormente, incluindo um anexo referencial que estabeleça o mapeamento entre os requisitos da norma e os dispositivos da Lei Geral de Proteção de Dados Pessoais (LGPD).
Esse anexo é fundamental para apoiar as organizações brasileiras na demonstração de conformidade regulatória, tornando a implementação do PIMS mais clara, contextualizada e aderente à realidade jurídica nacional.
O que muda para quem vai implementar ou migrar?
Para as organizações que já possuem um Sistema de Gestão de Privacidade (PIMS) implementado conforme a ISO/IEC 27701:2019, a transição para a nova ISO/IEC 27701:2025 tende a ser tranquila e sem grandes rupturas. O Anexo F da nova versão apresenta uma tabela de correspondência com a edição anterior, demonstrando que os fundamentos, princípios e controles da norma foram mantidos, ainda que reorganizados e aprimorados.
As principais mudanças concentram-se na estrutura do padrão, que agora é autônoma, ou seja, não depende mais da ISO/IEC 27001 para ser implementada, e na maior clareza dos requisitos de gestão de privacidade, agora incorporados diretamente nas cláusulas principais. Assim, quem está iniciando a implementação do PIMS poderá fazê-lo de forma mais direta, sem a necessidade de uma certificação prévia em segurança da informação, embora a integração entre as normas continue sendo altamente recomendada.
Já para quem vai migrar da versão 2019 para a 2025, a expectativa é que o processo siga o mesmo modelo observado em transições anteriores de normas ISO, como a passagem da ISO/IEC 27001:2013 para a 27001:2022 ou da ISO 9001:2008 para a 9001:2015. Nesses casos, os organismos de acreditação e as certificadoras normalmente publicam um período de transição oficial, que costuma variar entre 12 e 36 meses.
Durante esse prazo, as empresas certificadas na versão antiga continuam reconhecidas, desde que mantenham a conformidade e planejem a adequação gradual. Após o período definido, as auditorias de manutenção passam a ser realizadas exclusivamente com base na nova versão.
Portanto, a recomendação para as organizações é aguardar as diretrizes oficiais das certificadoras, mas já iniciar um diagnóstico preliminar (gap analysis) para identificar ajustes necessários na documentação, estrutura e controles de privacidade. Assim, quando o período de transição for formalmente estabelecido, a migração poderá ocorrer de forma segura, ordenada e sem impacto nas certificações vigentes.
Por que a ISO/IEC 27701 é importante?
O uso e a circulação de dados pessoais se tornaram parte essencial das operações empresariais e protegê-los virou requisito estratégico e legal. Assim, a ISO/IEC 27701 estabelece parâmetros concretos para transformar a privacidade em um processo mensurável, auditável e contínuo. Confira alguns benefícios:
- Fornece uma estrutura reconhecida internacionalmente para gerenciar riscos relacionados a informações de identificação pessoal (PII) e aprimorar as práticas de privacidade.
- Fortalece a privacidade e proteção de dados, trazendo facilidade na conformidade com regulamentações como LGPD e GDPR.
- Alinha-se com os sistemas ISO/IEC 27001:2022.
- Fortalece a reputação da marca.
- A intenção é que o padrão ajude organizações a demonstrar conformidade de forma mais harmonizada com diferentes jurisdições.
Se a sua organização já é certificada na ISO/IEC 27701:2019 ou está planejando iniciar a implementação do sistema de gestão de privacidade, este é o momento ideal para se preparar para a nova versão. A atualização para a ISO/IEC 27701:2025 representa uma oportunidade de fortalecer a governança de dados, integrar a privacidade à estratégia corporativa e alinhar-se de forma ainda mais clara à LGPD e às principais legislações internacionais.
Entre em contato conosco para agendarmos uma conversa e entender como a sua empresa pode planejar a migração ou iniciar a implementação do PIMS de acordo com a nova norma, garantindo uma transição estruturada, eficiente e em total conformidade com as exigências atuais de proteção de dados.
