Em 2025 ocorreu uma importante mudança na ISO/IEC 27701, fazendo com que a norma deixe de ser um padrão de extensão. Isso corresponde a uma mudança muito relevante, tanto no quesito conceitual quanto prático. Assim, a partir de agora, podemos dizer que a norma passa a ser um padrão de gestão de privacidade autônomo.
Sabemos que essa mudança pode ser um pouco confusa, por isso decidimos redigir esse conteúdo para explicar o que isso tudo significa. Vamos falar o que muda, como isso pode ser relevante no seu trabalho e quais os impactos dessa alteração.
Então, se você trabalha com sistemas de gestão da segurança da informação, esse texto será muito útil para você. Assim, para compreendermos corretamente a mudança, vejamos a diferença entre uma norma de sistemas de gestão e uma norma de extensão:
- norma de sistemas de gestão: padrão concebido para ajudar empresas a estabelecer, implementar, manter e melhorar um sistema de gestão, tornando-o certificável;
- norma de extensão: documento que fornece diretrizes, requisitos ou informações de apoio para aplicar ou complementar uma norma de sistema de gestão existente. Só é certificável caso haja a norma a qual está ligada.
Ao entender essa diferença, fica relativamente mais fácil entender o que mudou. Vejamos o que muda na prática e quais mudanças a nova ISO/IEC 27701 pode gerar. Vamos ao primeiro ponto:
Mudança na ISO/IEC 27701 – o que acontece quando a norma deixa de ser um padrão de extensão
Antes, a norma funcionava apenas como um apoio a um sistema de gestão já existente e implementado. Aqui, o sistema em jogo é o SGSI (sistema de gestão da segurança da informação), que tem como referência e requisitos a ISO 27001. Dessa forma, a 27701 tinha como objetivo expandir o SGSI, complementá-lo e, assim, tratar especificamente a privacidade da informação – na figura dos PII, dados pessoalmente identificáveis (em inglês, Personally Identifiable Information).
Assim sendo, em termos de certificação, a ISO/IEC 27701 era vista apenas como extensão da ISO/IEC 27001 — ou seja, o foco era “segurança da informação + privacidade” integradas, e não apenas privacidade isolada. Ou seja, na prática, isso implicava que para serem certificadas em conformidade a ISO/IEC 27701, as empresas precisavam obrigatoriamente ter o certificado ISO 27001. Algo que, talvez, pudesse ofuscar um pouco a importância da 27701.
Entretanto, nem todos os contextos exigem tal integração, o que, portanto, poderia gerar engessamento e ainda mais dificuldades para as organizações. Assim, com a recente publicação da nova versão da ISO/IEC 27701, a norma deixa de ser um documento de extensão e pode ser implementada e certificada isoladamente. Trazendo mais liberdade e foco para as empresas que decidirem implantá-la.
Verdadeiros impactos da mudança na ISO/IEC 27701
No geral, essa mudança traz alterações significativas para o mercado, para as empresas e profissionais. Vejamos algumas delas:
- Mais autonomia: agora, a norma passa a poder ser aplicada como um sistema de gestão de privacidade independente. Então, você não precisa ter pré-implementado ou certificado um SGSI conforme ISO 27001 para poder aplicar a ISO/IEC 27701. O que abre grandes portas para muitas empresas;
- Maior flexibilidade: a 27701 segue sendo compatível e integrável com a ISO/IEC 27001 e ganha ainda mais integração com outras normas de sistema de gestão. Porém, agora, não depende mais de nenhuma norma como condição obrigatória;
- Foco específico em privacidade: a mudança reforça que privacidade (gestão de dados pessoais, PII) é tratada como tema relevante por si só e não apenas como uma “extensão” de segurança da informação. Isso significa mais clareza nos requisitos de privacidade, papéis de controlador e operador, riscos de privacidade etc. Algo que corresponde a um avanço para toda a área e mais segurança para todos;
- Maior amplitude e aplicabilidade: a norma revisada traz também estruturas alinhadas com as atualizações da ISO/IEC 27001:2022 e ISO/IEC 27002:2022. Da mesma forma, ela trata temas emergentes como as I.A.s e os ecossistemas digitais. Tudo isso, é claro, no contexto de privacidade;
- Certificação e escopo facilitados: ao deixar de depender formalmente da 27001, organizações que querem focar apenas em privacidade podem adotar a ISO/IEC 27701 (sem obrigatoriamente passar pela ISO 27001). Isso amplia bastante o leque de adoção e certificação;
- Novas frentes de trabalho: agora, consultores, gestores, profissionais da área e até mesmo certificadoras têm mais possibilidades de implementação, facilitando o acesso à privacidade e aumentando as oportunidades de trabalho no mercado;
- Novos requisitos, novas competências: vale ressaltar, também, que a ISO/IEC 27701 passa agora a ser uma norma completa de sistemas de gestão. Dessa forma, profissionais que fizeram cursos nesta norma também precisarão de uma nova formação para adquirir novas competências e atestar capacidade técnica em privacidade de dados.
ISO/IEC 27701: saindo na frente na proteção da privacidade
A partir de sua nova versão, a nova ISO/IEC 27701 deixa de ser uma extensão para se tornar a protagonista, uma norma que caminha com as próprias pernas, pronta para encarar os desafios da privacidade moderna. Esta importante mudança simboliza a maturidade do tema no cenário global, sinalizando claramente que a privacidade deixou de ser apenas uma “ala” da segurança da informação. Agora, ela passa a ocupar o palco principal da governança corporativa!
Dessa forma, podemos dizer que a revisão da ISO/IEC 27701 representa um avanço significativo na forma como as organizações podem estruturar seus sistemas de gestão da privacidade. A norma ganha autonomia, atualiza-se frente às novas versões da família 27000 e amplia seu potencial de aplicabilidade em diferentes contextos. O que é ótimo em todos os sentidos!
Essa transformação da ISO/IEC 27701 abre, por fim, uma nova frente para empresas, consultores e profissionais que desejam se destacar no campo da privacidade e da conformidade. Então, adotar a nova versão é uma forma de fortalecer a governança de dados pessoais e, ao mesmo tempo, preparar-se para um cenário em que a confiança e a transparência se tornaram muito mais do que obrigações, tornando-se diferenciais competitivos. Portanto, caros leitores, em outras palavras, quem compreender essa mudança antes dos demais, sairá na frente!
