ISO 27701: Certificação Internacional de Privacidade

Publicações13 de novembro de 2025
Em 14 de outubro de 2025, foi publicada a segunda edição da ISO/IEC 27701, a norma internacional que estabelece os requisitos para implementar, manter e melhorar um Sistema de Gestão da Privacidade da Informação (SGPI).

Privacidade com um selo de aprovação internacional

Em 14 de outubro de 2025, foi publicada a segunda edição da ISO/IEC 27701, uma norma internacional que estabelece os requisitos para implementar, manter e melhorar um Sistema de Gestão da Privacidade da Informação (SGPI). Esta norma, concebida para responsáveis pelo tratamento e subcontratantes de dados pessoais, é aplicável a organizações de qualquer dimensão ou sector. O seu objetivo continua a ser o mesmo: proporcionar um quadro sólido para garantir a proteção das informações pessoais, mas a nova versão introduz alterações substanciais.


Até agora, muitas empresas concentraram os seus esforços no cumprimento do Regulamento Geral de Proteção de Dados (RGPD) e de outros regulamentos locais ou sectoriais. No entanto, a certificação ISO/IEC 27701 traz valor acrescentado para além da mera conformidade legal. Não se trata apenas de garantir a conformidade regulamentar, mas também de demonstrar, com um selo reconhecido internacionalmente, que a organização gere a privacidade de forma sistemática, mensurável e auditável. Esta abordagem reforça a confiança dos clientes, parceiros e autoridades e traduz-se em vantagens competitivas tangíveis.


Para além da conformidade: o valor estratégico da ISO/IEC 27701

A conformidade com o RGPD é obrigatória, mas nem sempre é suficiente para criar confiança num mercado globalizado e altamente digitalizado. A certificação ISO/IEC 27701 permite que as organizações demonstrem responsabilidade proactiva através de provas verificáveis: políticas, registos, análises de risco, métricas e planos de melhoria contínua. Isto reduz a exposição a sanções e torna mais fácil a defesa contra inspecções ou queixas, através da existência de um sistema sólido que demonstra a devida diligência.


Além disso, a certificação actua como um diferenciador competitivo. Cada vez mais clientes e parceiros estão a exigir garantias adicionais em processos de aquisição, concursos ou auditorias a fornecedores. A existência de um IPMS certificado agiliza estes processos, encurta os ciclos de negócio e melhora a posição negocial, especialmente em sectores onde a privacidade é crítica, como o financeiro, a saúde ou a tecnologia.


Um aspeto fundamental da norma é a gestão abrangente da privacidade em ambientes complexos, como cadeias de fornecimento globais e serviços em nuvem. A ISO/IEC 27701:2025 estabelece controlos específicos para a relação com processadores e subprocessadores, exigindo contratos claros, mecanismos de supervisão e transparência em toda a cadeia. Exige também um registo atualizado de subprocessadores e autorizações prévias, o que é particularmente relevante em ambientes SaaS ou multi-tenant, onde a segregação de dados é crítica.


Reforça também a gestão das transferências internacionais, impondo a documentação das localizações, a aplicação de salvaguardas legais e a realização de avaliações de risco. Isto é acompanhado de controlos para a devolução ou eliminação segura dos dados no final do serviço, com provas verificáveis.


Esta abordagem reduz as fricções contratuais e proporciona coerência nos requisitos, o que é essencial em ecossistemas digitais interligados. Na prática, demonstra que a organização não só gere a sua própria privacidade, como também supervisiona a dos seus fornecedores, minimizando os riscos regulamentares e de reputação.


Por fim, a estrutura da norma, baseada na Estrutura de Alto Nível (HLS) comum a todas as normas ISO, obriga à integração da privacidade no ciclo de melhoria contínua e facilita a sua integração com outros sistemas de gestão da organização. Desta forma, a privacidade deixa de ser um projeto pontual e passa a ser um processo vivo, alinhado com a estratégia empresarial.


Principais novidades e diferenças da edição de 2025

A segunda edição da ISO/IEC 27701 não é uma simples atualização, mas uma transformação profunda. A versão de 2019 pretendia ser uma extensão da ISO/IEC 27001 e baseava-se nos requisitos definidos na ISO/IEC 27001, o que significava incorporar controlos de segurança que nem sempre estavam diretamente relacionados com a privacidade. Em contrapartida, a edição de 2025 torna a norma numa norma autónoma, eliminando a obrigação de ter um SGSI certificado para poder certificar o SGPI. Isto abre a porta para que as organizações sem um sistema de gestão de segurança anterior se qualifiquem para a certificação.


A nova estrutura, alinhada com a HLS, introduz as suas próprias cláusulas (4 a 10) que reforçam a governação, a liderança e a medição do desempenho. Esta alteração coloca a privacidade ao mesmo nível que outros sistemas de gestão, como a qualidade ou a segurança da informação, e facilita a integração com os mesmos.


A norma elimina a necessidade de implementar os controlos de segurança específicos do SGSI que constavam da edição anterior, limitando na versão atual a necessidade de implementar apenas um subconjunto limitado destes controlos e com requisitos alinhados com a proteção da privacidade. O atual Anexo A é composto por :

  • 31 controlos específicos para os responsáveis pelo tratamento,
  • 18 para os responsáveis pelo tratamento e
  • 29 controlos de segurança

Esta reorganização simplifica a aplicação, reduz a complexidade e concentra os esforços em garantir a privacidade e a gestão adequada das informações pessoais.


As orientações para os responsáveis pelo tratamento e os subcontratantes são alargadas e clarificadas, com especial atenção para aspectos críticos como a gestão dos subcontratantes, a cooperação no exercício de direitos, a devolução e a eliminação de dados e a rastreabilidade contratual. Além disso, a norma incorpora recomendações específicas para lidar com novos riscos e ambientes tecnológicos, incluindo serviços em nuvem, modelos SaaS, transferências internacionais e cenários envolvendo inteligência artificial. Tudo isto responde à necessidade de gerir a privacidade em contextos cada vez mais complexos e dinâmicos.


Por fim, a edição 2025 alinha-se com as versões mais recentes das normas ISO/IEC 27001 e 27002 (2022), eliminando redundâncias e adaptando as orientações do SGPI à nova estrutura de controlos de segurança. Isso permite uma integração mais eficiente com os sistemas de gerenciamento de segurança da informação, quando existentes, e garante consistência com estruturas regulatórias globais, como GDPR, CCPA ou LGPD.


Cronogramas de transição

As organizações certificadas pela ISO/IEC 27701:2019 terão até três anos para se adaptarem à versão 2025. As regras oficiais, a serem definidas pela ISO (International Organization for Standardization) e pelo IAF (International Accreditation Forum), ainda não foram publicadas, embora se espere que o prazo seja semelhante ao de outras normas ISO recentes.


Iniciar uma análise de lacunas entre os requisitos da versão 2019 e os da nova versão o mais cedo possível, bem como elaborar um plano de transição, são aspetos fundamentais para evitar a concentração de esforços no final do período e garantir uma migração ordenada.


Conclusão

A ISO/IEC 27701:2025 representa um passo decisivo na maturidade da gestão da privacidade. Para as empresas que já estão em conformidade com o RGPD, esta certificação não só aumenta a confiança e a reputação, como também fornece um quadro estruturado para a melhoria contínua, reduz os riscos e facilita a integração com outros sistemas de gestão. Num ambiente em que a privacidade se tornou um fator estratégico e um elemento diferenciador, ter uma certificação RGPD é um investimento em segurança jurídica e uma vantagem competitiva nos processos de contratação e de concurso.


Nota informativa elaborada pela Área de Proteção de Dados da ECIJA Madrid.


Una vista panorámica en blanco y negro de montañas cubiertas de niebla y neblina.

Sócios relacionados

ATUALIDADE #ECIJA