Conversa típica que tenho com diretor de tecnologia ou compliance officer hoje:
"A gente tem ISO 27001. A gente tem LGPD em ordem. Achei que estava coberto. Aí o cliente B2B europeu pediu ISO 27701 e eu nem sabia o que era."
É comum. ISO 27701 ainda é norma relativamente nova (publicada em 2019) e poucos times conhecem. Mas está virando rapidamente exigência em B2B internacional - especialmente pra fornecedores de empresas europeias que precisam demonstrar conformidade GDPR de forma auditável.
Vou explicar o que é, por que faz sentido, e como ela conecta o que você já tem.
O que ISO 27701 realmente é
ISO 27701 é uma extensão da ISO 27001. Não é norma independente - você só pode certificar se já tiver ISO 27001 funcionando. Ela adiciona, em cima do SGSI existente, controles específicos pra tratamento de dados pessoais.
O nome técnico é PIMS: Privacy Information Management System. Sistema de Gestão de Privacidade da Informação.
O ponto-chave: ela cobre os dois papéis previstos em legislações de proteção de dados:
- Controlador (quem decide finalidade do tratamento)
- Operador (quem processa em nome do controlador)
Cada um tem seus próprios controles obrigatórios - e ISO 27701 detalha os dois separadamente.
Como conecta com ISO 27001 e LGPD
Vou usar uma comparação visual:
| Aspecto | ISO 27001 | ISO 27701 | LGPD |
|---|---|---|---|
| Escopo | Toda informação | Informação pessoal | Dado pessoal de pessoa física no Brasil |
| Origem | Internacional | Internacional | Lei brasileira |
| Auditável por organismo certificador | Sim | Sim | Não (lei, não certificação) |
| Reconhecimento global | Alto | Crescente | Brasil |
| Cobre bases legais | Não | Sim | Sim |
| Cobre direitos do titular | Não | Sim | Sim |
| Cobre transferência internacional | Parcial | Sim | Sim |
Síntese: ISO 27001 + 27701 cobre, com folga, todas as exigências da LGPD - e é certificável internacionalmente. Pra empresa que vende pra fora ou tem cliente que exige selo, é o caminho mais robusto.
Por que B2B internacional está exigindo
3 movimentos simultâneos:
1. GDPR exige due diligence em fornecedor
Empresa europeia que processa dado pessoal em fornecedor não-europeu (incluindo brasileiros) precisa demonstrar que o fornecedor tem controles adequados. ISO 27701 vira atalho técnico aceito pelo regulador.
2. Cadeia de SaaS
SaaS que processa dado em nome de cliente final precisa provar conformidade na cadeia inteira. Sem 27701, cada cliente exige auditoria customizada - caro e demorado. Com 27701, demonstra-se com um único certificado.
3. Setor regulado em alta
Saúde, financeiro, educação - todos com regulamentações nacionais somando-se a LGPD. ISO 27701 estrutura o sistema único que atende várias regulações ao mesmo tempo.
O que muda na prática se você já tem ISO 27001
Reforço importante: 27701 NÃO é começar do zero. Se você tem 27001 madura, está com ~70% do trabalho pronto. O que precisa adicionar:
- Inventário de tratamentos de dados pessoais (categorias de dado, finalidade, base legal)
- Cláusulas contratuais específicas para operadores e sub-operadores
- Procedimentos de direitos do titular (acesso, correção, exclusão, portabilidade)
- DPIA (Data Protection Impact Assessment) para tratamentos de alto risco
- Plano de notificação em caso de incidente envolvendo dado pessoal
- Encarregado (DPO) formalmente designado e capacitado
Boa parte disso, na sua organização, provavelmente já existe em algum nível por causa da LGPD. ISO 27701 estrutura, formaliza e torna auditável.
Tempo e custo de implementação
Pra empresa com ISO 27001 madura (1+ ano de operação): tipicamente 6-9 meses até primeira certificação 27701. Custo total (consultoria + auditoria) entre R$ 80-200k para PME.
Pra empresa sem ISO 27001: precisa construir o SGSI primeiro. Caminho mais longo: 18-24 meses até 27001+27701.
Quando vale
Vale claramente em 4 cenários:
- Você vende pra Europa, EUA ou Ásia. Cliente vai exigir ou perguntar.
- Você é SaaS ou MSP. Cadeia de processamento de dados é seu produto.
- Você está em setor regulado por múltiplas leis. Saúde, financeiro, educação - 27701 unifica.
- Você quer profissionalizar privacidade pra além da LGPD. 27701 é o framework mais robusto disponível.
Não vale ainda em:
- Empresa puramente B2C local sem cliente internacional
- Empresa sem 27001 que não tem outro driver pra investir tempo
- Operação muito pequena onde LGPD básica já é suficiente
Pra esse último grupo, foco em LGPD bem feita primeiro - ISO 27701 vem como evolução natural quando o negócio crescer.
Próximo passo da sua segurança: privacidade auditável
Diagnóstico em 5 minutos: avalia gap entre sua ISO 27001 atual e a 27701 - com cobertura LGPD bonus.
Diagnóstico ISO 27701 Solução ISO 27701
Quer aplicar isso na sua organização?
Em 5 minutos, faça um diagnóstico de prontidão e descubra onde sua operação ganha em organização, compliance e gestão.
Diagnóstico de prontidão Falar com a gente