Conversa típica de sala de reunião:
- "A gente já tem ISO 27001. LGPD está coberta, certo?"
- "Ah, então não precisamos fazer mais nada de proteção de dados?"
Resposta correta nos dois casos: não.
ISO 27001 e LGPD se sobrepõem em parte significativa - mas cada uma cobre coisas que a outra não cobre. Empresa que faz só uma das duas tem risco coberto por metade.
Vou explicar a sobreposição, as divergências e como tratar as duas juntas sem dobrar trabalho.
O que cada uma é
ISO 27001 é uma norma internacional de gestão de segurança da informação. Foco: proteger informação - de qualquer tipo - contra acesso não autorizado, alteração indevida, perda ou destruição. É voluntária. Empresa adota porque quer (cliente exige, mercado valoriza, gestão decide).
LGPD é a Lei Geral de Proteção de Dados Pessoais brasileira. Foco: regular como organizações tratam dados pessoais de pessoas físicas. É obrigatória pra qualquer empresa que processa dado pessoal no Brasil.
Já dá pra ver a primeira diferença: ISO 27001 cobre informação em geral (incluindo dado pessoal); LGPD cobre dado pessoal (que é só uma fatia da informação que sua empresa trata).
Onde se sobrepõem
A sobreposição é grande - estimativa comum é que aproximadamente 60-70% dos controles da ISO 27001 contribuem direta ou indiretamente pra conformidade LGPD. Especificamente:
- Controle de acesso: ISO 27001 exige; LGPD pede pra dado pessoal. Mesmo controle, escopo se sobrepõe.
- Criptografia: ISO 27001 indica como melhor prática; LGPD pede pra dados sensíveis e em situações de risco.
- Backup e continuidade: ISO 27001 detalha; LGPD exige preservação adequada de dados.
- Gestão de incidentes: ISO 27001 estrutura processo; LGPD exige notificação à ANPD em casos de incidente com dado pessoal.
- Treinamento de pessoal: ISO 27001 exige; LGPD pede conscientização de quem trata dado.
- Análise de risco: ISO 27001 é estruturada em risco; LGPD pede RIPD (Relatório de Impacto à Proteção de Dados Pessoais).
Pra empresa que já tem ISO 27001 maduro, isso significa que boa parte da estrutura de LGPD já existe. Não precisa ser construída do zero.
Onde uma não cobre a outra
Esta é a parte que confunde - e gera risco real.
O que LGPD pede que ISO 27001 não cobre
- Bases legais para tratamento: a ISO 27001 não pergunta "por que você está tratando esse dado?". A LGPD obriga a justificar cada operação com uma das 10 bases legais previstas. ISO certificada não te isenta dessa análise.
- Direitos do titular: acesso, correção, portabilidade, exclusão, oposição. ISO 27001 não trata esses direitos especificamente.
- Comunicação aos titulares: política de privacidade pública, transparência sobre operações, canal de atendimento ao titular. ISO 27001 trata pouco disso.
- Encarregado (DPO): figura específica da LGPD; ISO 27001 não exige.
- Compartilhamento e transferência internacional: ISO 27001 não detalha; LGPD tem regime próprio.
- Notificação à ANPD: incidentes envolvendo dado pessoal exigem comunicação específica à autoridade.
O que ISO 27001 pede que LGPD não exige
- Análise de risco abrangente: ISO 27001 cobre toda informação - financeira, propriedade intelectual, comercial, operacional. LGPD só dado pessoal.
- Continuidade de negócio: ISO 27001 estrutura plano de continuidade detalhado; LGPD não.
- Gestão de fornecedores em escopo amplo: ISO 27001 cobre todos os fornecedores que tocam informação; LGPD foca nos que tratam dado pessoal.
- Auditoria interna formal: ISO 27001 exige ciclo auditável; LGPD pede registro de evidências mas não no mesmo formato.
A consequência prática: empresa com ISO 27001 sólida ainda precisa fazer mapeamento LGPD específico (RIPD), montar canal do titular, designar encarregado, escrever política de privacidade aderente, ter plano de notificação à ANPD.
Tabela de cobertura
| Controle | ISO 27001 | LGPD |
|---|---|---|
| Controle de acesso técnico | Detalhado | Requerido |
| Criptografia | Recomendado | Requerido p/ sensíveis |
| Gestão de incidentes | Estruturada | + notificação ANPD |
| Análise de risco | Toda informação | RIPD - dado pessoal |
| Bases legais p/ tratar dado | Não cobre | Obrigatório |
| Direitos do titular | Não cobre | Obrigatório |
| Encarregado (DPO) | Não exige | Obrigatório |
| Política de privacidade pública | Não cobre | Obrigatório |
| Continuidade de negócio | Estruturada | Não detalha |
| Auditoria interna formal | Obrigatório p/ certificar | Não no mesmo formato |
Como tratar as duas juntas sem dobrar trabalho
O segredo é tratar como sistema integrado, não como dois projetos paralelos.
Pontos práticos:
- Inventário de ativos único que classifica informação por tipo (incluindo dado pessoal) e nível de criticidade.
- Análise de risco unificada que cumpre tanto ISO 27001 quanto serve de base pro RIPD.
- Política de segurança da informação que inclui capítulo específico de proteção de dados pessoais.
- Procedimento de incidente único com fluxos diferentes pra incidente que envolve dado pessoal (notificação ANPD) e que não envolve.
- Treinamento integrado que cobre as duas em mesmo módulo.
- Encarregado (DPO) acumulando função de líder de segurança da informação em empresas onde escopo permite.
Empresa que constrói desde o início integrado economiza ~40% do esforço comparado a tratar separado.
Quando faz sentido fazer só uma
Só LGPD: empresa pequena, sem clientes que exigem ISO 27001, com tratamento de dados não-sensíveis. Cumprir LGPD bem é o mínimo legal. ISO 27001 vira opcional.
Só ISO 27001: ninguém. ISO 27001 sem LGPD é tecnicamente possível, mas se a empresa trata dado pessoal de pessoas no Brasil (faz, por definição), ela está em não-conformidade legal independente do certificado.
A regra prática: LGPD é obrigatório pra todas. ISO 27001 vira obrigatório quando há exigência contratual ou setorial.
O ganho oculto de fazer junto
Empresa que trata as duas juntas, com IA mediando o ciclo, ganha algo que nenhuma sozinha entrega: visão unificada de risco de informação.
Quando o sistema tem mapeamento de ativos integrado, controle de acesso vinculado, registro de incidente único e auditoria contínua, qualquer pergunta de "estamos cobertos?" tem resposta em segundos - independente de ser pro auditor ISO ou pra ANPD.
Sua empresa cobre ISO 27001 e LGPD juntas?
Diagnóstico unificado em 5 minutos: identifica gaps de ISO 27001 e LGPD ao mesmo tempo, mostrando onde os controles se cobrem e onde precisam de ação separada.
Diagnóstico unificado Conhecer o facilita.ops