Como este tema funciona na sua empresa
ISO 27701 raramente é crítico para PMEs (clientes pequenos não exigem). Necessário só se há pressão de cliente multinacional. Custo elevado (R$50-100k) com ROI baixo se base de clientes é pequena.
ISO 27701 relevante se há exposição a clientes multinacionais (Europa, EUA) ou risco regulatório significativo. Custo moderado (R$100-300k). ROI positivo se certificação abre novo mercado com clientes exigentes.
ISO 27701 é standard para empresas oferecendo serviços de processamento de dados (cloud, SaaS). Custo alto (R$300k-1M+), mas ROI positivo. Implementação integrada com ISO 27001 reduz custo incremental.
ISO 27701 (Privacy Information Management System) é extensão da ISO 27001 que adiciona controles específicos de privacidade, permitindo demonstrar conformidade com LGPD, GDPR e outras leis de proteção de dados pessoais[1].
ISO 27701 vs ISO 27001: qual é a relação?
ISO 27001 cobre segurança geral de informações (confidencialidade, integridade, disponibilidade). ISO 27701 estende ISO 27001 especificamente para privacidade: direitos do titular (acesso, exclusão, portabilidade), consentimento, transferências internacionais, anonimização. Não é possível ter 27701 sem 27001 — é extensão, não substituto.
Para uma organização: começar com ISO 27001 (segurança base), depois estender para 27701 (privacidade específica) quando necessário. Essa abordagem integrada reduz custo incremental e garante coberência entre segurança e privacidade.
Controles de privacidade em ISO 27701
ISO 27701 adiciona controles como: (1) Política de Privacidade clara (publicada, acessível); (2) Direitos do Titular (processo para acesso, exclusão, portabilidade); (3) Consentimento Documentado (quando foi coletado? em qual contexto?); (4) AIPD (Análise de Impacto de Privacidade antes de novo processamento); (5) Transferências Internacionais (contratos adequados se enviando dados para fora); (6) Anonimização (técnicas para anonimizar dados quando apropriado); (7) DPA com Processadores (contrato específico se terceiros processam dados); (8) Incidentes de Privacidade (notificação a regulador e titular se vazamento).
Estes controles complementam ISO 27001 (que tem backup, criptografia, controle de acesso) com requisitos de privacidade específicos.
Alinhamento com LGPD: o que ISO 27701 cobre e não cobre
ISO 27701 alinha bem com LGPD pois foi concebido para atender leis internacionais de privacidade. Cobre: direitos do titular, consentimento, base legal, DPA, incidentes. Não cobre completamente: obrigações ANPD brasileiras específicas (ex: notificação à Autoridade em prazo específico), definição de dados sensíveis de LGPD, cálculo de multa em LGPD. Usar ISO 27701 como base, preencher gaps específicos de LGPD com documentação adicional.
Implementar ISO 27701 reduz gap de conformidade LGPD de 100% para ~20-30% (apenas requisitos LGPD-específicos permanecem).
Processo de certificação: fases e timeline
Processo típico: (1) Gap Analysis (2-4 semanas) — avaliar diferença entre estado atual e ISO 27701; (2) Planejamento (2-4 semanas) — roadmap, budget, team; (3) Implementação (6-12 meses) — estruturar controles de privacidade, documentação, integração com ISO 27001; (4) Auditoria Interna (4-8 semanas); (5) Auditoria Externa (2-3 meses); (6) Manutenção (anual). Timeline total: 12-18 meses para empresa com ISO 27001 já implantado, 18-24 meses se começando do zero.
Custo: Implementação (R$50-300k dependendo de tamanho), Auditoria (R$20-100k), Manutenção anual (R$10-30k). Empresas com ISO 27001 já certificado gastam ~30-50% do custo inicial para estender a 27701.
Quando ISO 27701 é verdadeiramente necessário?
Três cenários justificam certificação: (1) Clientes exigem — empresa oferece serviço cloud, SaaS, ou processamento de dados, clientes pedem certificação 27701; (2) Risco regulatório alto — negócio processa dados de múltiplas jurisdições (EU, EUA, Brasil) com requisitos de privacidade rigorosos; (3) Posicionamento de mercado — diferencial competitivo claro para atração de clientes conscientes de privacidade. Se nenhum desses, 27001 + conformidade LGPD focada pode ser suficiente.
Sinais de que sua empresa deve considerar ISO 27701
Se você reconhece dois ou mais cenários abaixo, ISO 27701 está na agenda.
- Clientes (especialmente multinacionais) começam a exigir ISO 27701 ou equivalente de fornecedores.
- Empresa processa dados de múltiplas jurisdições (EU, EUA, Brasil) com requisitos diferentes.
- Negócio principal é processamento de dados (cloud, SaaS, consultoria de dados).
- ISO 27001 já está certificado e próximo passo natural é privacidade.
- Diferencial competitivo de privacidade é importante para posicionamento de mercado.
Caminhos para implementar ISO 27701
Ambos caminhos requerem expertise em privacidade; diferença está no envolvimento externo.
Equipe interna conduz implementação com suporte tático de especialista em privacidade.
- Perfil necessário: DPO (Data Protection Officer) ou responsável de privacidade; consultoria como sparring
- Tempo estimado: 12-18 meses se ISO 27001 existe; 6-12 meses adicionais se começando junto
- Faz sentido quando: equipe já tem experiência em ISO 27001
- Risco principal: gaps de privacidade não serem identificados; expertise insuficiente
Consultoria especializada em privacidade conduz implementação e certificação.
- Tipo de fornecedor: Consultores de ISO 27701, especialistas em privacidade multi-jurisdição
- Vantagem: expertise profunda em privacidade, conhecimento LGPD + GDPR, metodologia pronta
- Faz sentido quando: empresa quer conformidade robusta rapidamente ou expertise interna é baixa
- Resultado típico: certificação em 12-18 meses, integração com 27001 sem duplicação
Precisa de orientação sobre ISO 27701?
Se expansão para certificação de privacidade é prioridade, o oHub conecta você a especialistas em ISO 27701 e conformidade. Em menos de 3 minutos, descreva seu contexto e receba propostas sem compromisso.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Qual é a diferença entre ISO 27001 e ISO 27701?
ISO 27001 cobre segurança geral de informações. ISO 27701 estende 27001 especificamente para privacidade: direitos do titular, consentimento, transferências internacionais, anonimização. 27701 não substitui 27001 — é extensão.
Quando devo buscar certificação ISO 27701?
Quando: (1) clientes exigem; (2) risco regulatório é alto; (3) privacidade é diferencial competitivo. Se nenhuma dessas, conformidade LGPD focada pode ser suficiente.
Qual é o custo de implementar ISO 27701?
Implementação (R$50-300k), Auditoria (R$20-100k), Manutenção anual (R$10-30k). Empresas com ISO 27001 já certificado gastam ~30-50% do custo inicial para estender a 27701.
Como ISO 27701 alinha com LGPD?
ISO 27701 cobre maioria dos requisitos técnicos e processuais de LGPD. Gaps restantes são obrigações ANPD-específicas (Brasil). Implementar 27701 reduz gap de conformidade LGPD para ~20-30%.
Qual é o tempo para obter certificação ISO 27701?
12-18 meses se ISO 27001 já existe. 18-24 meses se começando do zero. Pode ser acelerado para 12-15 meses com consultoria full-service.