Escritório, reuniões e documentos de profissionais, clientes ou equipes voltados para assuntos jurídicos, fiscais, auditoria ou contabilidade.

Norma

ISO/ ISO 27701:2025 – Principais mudanças e orientações

A ISO/IEC 27701 foi revisada para permitir que seus requisitos sejam implementados como um sistema independente de gestão de informações de privacidade.

Ajudaremos você a se adaptar às mudanças da ISO/IEC 27701 com confiança.

A nova versão da ISO/IEC 27701, publicada em outubro de 2025, já está disponível para aquisição.

A norma ISO/IEC 27701:2025 para Sistemas de Gestão de Informações de Privacidade (SGIP) fornece uma estrutura abrangente e escalável para a gestão de Informações Pessoalmente Identificáveis (PIIs), em conformidade com regulamentações globais.

Diferentemente de sua antecessora, esta nova edição é uma norma independente, cuja aplicação não depende mais da implementação da ISO/IEC 27001 ou da ISO/IEC 27002.

Essa mudança facilita a adoção de um sistema de gestão de privacidade preparado para o futuro, independente do estágio em que sua organização se encontra em sua jornada de privacidade.

Inscreva-se para atualizações

Status da ISO 27701

Qual é o status e o cronograma das mudanças da ISO/IEC 27701?

Obtenha a norma

Compre a norma ISO/IEC 27701:2025

A revisão desta norma está concluída e a BS EN ISO/IEC 27701:2025 foi publicada.

Acesse a loja

Comece o treinamento

Treinamentos em ISO/IEC 27701:2025

Nossos treinamentos em ISO/IEC 27701:2025 ajudam você a compreender, implementar e auditar seu sistema de gestão de privacidade.

Saiba mais

Transição

Transição para a ISO/IEC 27701:2025

Nossa equipe está monitorando de perto as atualizações do IAF e aguarda com expectativa para apoiar você na transição.

Inscreva-se para atualizações

Por que a nova norma ISO/IEC 27701:2025 é importante para sua organização?

Seja você um usuário atual da ISO/IEC 27701 ou esteja apenas começando, implementar a norma atualizada ajudará a otimizar sua gestão de privacidade.

Ela ajuda você a estabelecer um SGIP sem precisar da ISO/IEC 27001 como pré-requisito.
Ela se alinha a outras normas de sistemas de gestão para uma integração mais fácil e consistente.
Sua estrutura completa baseada em cláusulas permite uma compreensão mais fácil dos requisitos do sistema de privacidade.
Ela fortalece o tratamento de riscos de privacidade por meio de orientações mais claras de avaliação.
Ela distingue controles para controladores e operadores de PII (Informações Pessoalmente Identificáveis), proporcionando maior precisão na privacidade.
Ela ajuda você a alcançar uma implementação flexível de controles de privacidade com a orientação informativa do Anexo B.

Apoio

Apoiando você nas mudanças da ISO/IEC 27701:2025

Ofereceremos orientações, treinamentos e suporte adicionais para ajudá-lo a implementar a ISO/IEC 27701:2025 com confiança.

Inscreva-se para atualizações

Mudanças e orientações

Quais são as mudanças na ISO/IEC 27701?

A norma publicada apresenta tanto refinamentos quanto novas prioridades. Algumas atualizações são editoriais; outras introduzem novos conceitos.

A ISO/IEC 27701 tornou-se agora um Sistema de Gestão de Informações de Privacidade (SGIP) totalmente autônomo, não exigindo mais a certificação ISO/IEC 27001 como pré-requisito para implementação ou auditoria, reduzindo assim custos e complexidade.

A norma agora também segue a estrutura de alto nível harmonizada da ISO (cláusulas 4 a 10), alinhando-se com outras normas de sistemas de gestão como a ISO 9001 e a ISO/IEC 42001. Isso facilita a integração em ambientes com múltiplas normas e simplifica a implementação para organizações de todos os tamanhos.
Na cláusula 4 atualizada, as organizações devem agora definir seu contexto de forma mais holística, incluindo como processam dados pessoais e os ambientes legais em que operam. A cláusula também reconhece explicitamente as diferenças globais nas leis de privacidade e exige que as organizações alinhem os controles com os regulamentos aplicáveis.

Ela também exige a identificação de fatores internos e externos, como tecnologia, cultura e operações, que influenciam os riscos e resultados de privacidade.
A cláusula 5 revisada enfatiza mais fortemente o papel da liderança na incorporação da privacidade à cultura e governança da organização.

Espera-se agora que a liderança assegure que a privacidade esteja integrada em todas as funções empresariais, não apenas em TI ou compliance. Isso apoia uma adoção mais ampla e relevância para equipes jurídicas, de RH, marketing e operações.
A cláusula 6 foi revisada para que as atividades de planejamento abordem explicitamente os riscos de privacidade no contexto legal, regulatório e operacional da organização.
A cláusula 7 da ISO/IEC 27701:2025 fornece uma abordagem robusta e independente para a gestão da privacidade, incluindo requisitos mais amplos para alocação de recursos, competência em funções de apoio à privacidade e conscientização sobre privacidade em todos os níveis da organização.
A cláusula 8 introduz uma abordagem mais simplificada e autônoma para o controle operacional dentro do SGIP. Ela define como as organizações devem planejar, implementar e controlar os processos relacionados à privacidade ao longo do ciclo de vida das PIIs, e faz referência aos controles detalhados nos Anexos A e B, que foram reestruturados na edição de 2025. A estrutura geral simplifica a implementação operacional e garante que os controles de privacidade sejam aplicados de forma consistente nas atividades diárias da organização.
A cláusula 9 da ISO/IEC 27701:2025 introduz uma abordagem estruturada e independente para avaliar a eficácia de um Sistema de Gestão de Informações de Privacidade (SGIP). As mudanças refletem a transição da norma de uma extensão da ISO/IEC 27001 para uma estrutura totalmente autônoma.
A cláusula 10 revisada introduz uma abordagem mais proativa e integrada para melhoria contínua dentro de um Sistema de Gestão de Informações de Privacidade (SGIP). Ela se baseia diretamente na Cláusula 9 ao exigir que as organizações utilizem dados de desempenho para impulsionar melhorias. Isso garante que a melhoria contínua seja baseada em evidências e estrategicamente alinhada.
O Anexo A lista os objetivos e controles do SGIP para controladores e operadores de PII, reestruturados para se alinharem à ISO/IEC 27002:2022. Inclui 34 controles para controladores, 21 controles para operadores e 31 controles compartilhados.

O Anexo B explica como implementar e evidenciar cada controle do Anexo A em diferentes contextos.

Outros anexos fornecem mapeamentos para auxiliar na integração e transição:

Anexo C: Estrutura de privacidade ISO/IEC 29100

Anexo D: Regulamento Geral de Proteção de Dados da UE (GDPR)

Anexo E: ISO/IEC 27018 (nuvem pública) e ISO/IEC 29151 (proteção de PII)

Anexo F: Correspondência com a ISO/IEC 27701:2019 para fins de migração.
Visite nossa seção de Perguntas Frequentes, que explica o que a revisão significa para sua certificação ISO/IEC 27701:2019 atual e como se preparar para a transição.

Visite as Perguntas Frequentes

Insights e mídias

Orientações para compreender privacidade e digital trust

Ver Insights e Mídia

Documento Técnico

Evolução do digital trust

Leia o documento técnico

Documento Técnico

A IA pode ser uma força do bem no setor de saúde

Leia o documento técnico

Documento Técnico

Livreto de segurança cibernética

Leia o documento técnico

Fale conosco

Seus parceiros confiáveis em gestão de informações de privacidade

Dúvidas sobre a revisão da ISO/IEC 27701:2025 ou precisa de suporte com seu sistema de gestão de privacidade? Nossa equipe está aqui para ajudá-lo em uma transição tranquila e eficaz.

Entre em contato