A ISO/IEC 27701 foi atualizada
- Estrutura harmonizada (HS)
- Controles revisados para Controladores e Operadores
- Requisitos reorganizados nas cláusulas 4–10
- Maior foco em riscos emergentes
- IA e transferências internacionais
Transição obrigatória para manutenção da certificação acreditada.
A transição é obrigatória.
Certificados ISO/IEC 27701:2019 deixarão de ser válidos em 31/10/2027.
Relação com a ISO/IEC 27001
Todos os clientes PIMS da QMS possuem ISO/IEC 27001
Espera-se a manutenção da integração PIMS + ISMS
O Gap Analysis deve evidenciar essa integração
O que sua organização deve fazer?
Estudar a norma
Capacitar equipes (Cupom: VIDEO10 – 10% OFF em todos os cursos em 2026)
Qualificar auditores internos
Realizar Gap Analysis
Novo certificado
Auditoria de transição
Auditoria interna e análise crítica
Implementar mudanças
Avaliação das mudanças da ISO/IEC 27701:2025
Antes da auditoria de transição, a organização deve avaliar e documentar, no mínimo:
Revisão do escopo e abrangência do SGPI
Confirmar quais processos, atividades, sistemas, áreas, terceiros e tratamentos de DP estão incluídos no sistema de gestão da privacidade.
Definição clara do papel da organização
Identificar, para cada tratamento de DP, se a organização atua como Controladora, Operadora ou em ambos os papéis.
Identificação dos titulares de DP e partes interessadas
Revisar os titulares de dados pessoais envolvidos no escopo e as partes interessadas pertinentes ao SGPI, incluindo clientes, autoridades, operadores, sub operadores e controladores conjuntos.
Revisão da avaliação de riscos de privacidade
Atualizar a análise de riscos considerando impactos para a organização e para os titulares de DP.
Atualização da SoA do SGPI
Revisar a Declaração de Aplicabilidade conforme os novos controles da ISO/IEC 27701:2025, justificando inclusões, exclusões e status de implementação.
Revisão dos controles aplicáveis
Avaliar controles para Controladores, Operadores e controles de segurança da informação que suportam o tratamento de DP.
Integração entre SGPI e SGSI
Demonstrar como o SGPI continua utilizando o Sistema de Gestão de Segurança da Informação ISO/IEC 27001 como base para os controles de segurança.
Avaliação de IA, decisões automatizadas e transferências internacionais
Identificar tratamentos com uso de IA, automação, profiling, decisões automatizadas ou transferências internacionais de DP, quando aplicável.
Auditoria interna e análise crítica
Realizar auditoria interna na ISO/IEC 27701:2025 e análise crítica pela direção antes da auditoria de transição.
Timeline da transição
31/10/2025
Publicação da ISO/IEC 27701:2025
Outubro/2025
31/10/2026
Novas certificações e recerts apenas na versão 2025
Outubro/2026
30/09/2027
Prazo limite para auditorias
Setembro/2027
31/10/2027
Prazo final da transição
Outubro/2027
Quando a transição pode ser realizada?
Tempo adicional de auditoria
- Recertificação: mínimo 0,5 auditor-dia
- Supervisão ou especial: mínimo 1,0 auditor-dia
Proposta específica poderá ser solicitada à QMS
Supervisão
Recertificação
Auditoria especial
O que será avaliado?
- Gap Analysis
- Atualização do PIMS
- Integração PIMS e ISMS
- IA e transferências internacionais
- Auditoria interna
- Análise crítica
- Evidências de implementação e eficácia
Emissão do Novo Certificado
- Novo certificado ISO/IEC 27701:2025
- Mesmo em supervisões
- Sem aguardar recertificação
- Mantém o ciclo vigente
Fale com a QMS
Planejamento da transição
Tempo adicional de auditoria
Treinamentos
Auditorias especiais
