Flávia Lubieska N. Kischelewski

Publicada em outubro de 2025, a ISO/IEC 27701:2025 é um reforço estratégico às empresas que pretendem demonstrar o cumprimento à Lei nº 13.1709/2018 (Lei Geral de Proteção de Dados Pessoaisou LGPD). A nova norma ISO é autônoma em relação à anterior ISO/IEC 27001:2019, que exigia a certificação prévia em segurança da informação, criando barreiras de entrada para muitas empresas e organizações, que acabavam implementando previamente um Sistema de Gestão de Informações de Privacidade (PIMS).

A versão 2025 é um padrão stand-alone, que permite a certificação a empresas e organizações que utilizam outros frameworks, como o do NIST (National Institute of Standards and Technology) ou CIS Controls (Center for Internet Security Controls). 

Com essa certificação, a proteção da privacidade passa a ser melhor auditável, com critérios mais robustos. Esta isso/2025 foi concebida levando em conta o Regulamento Geral de Proteção de Dados da UE, que é a legislação que inspirou a LGPD, o que facilita sua aplicação no Brasil.

A norma introduz requisitos explícitos para a gestão de riscos de privacidade, detalha responsabilidades de controladores e operadores, abrange tecnologias emergentes como inteligência artificial, serviços em nuvem e transferências internacionais, espelhando obrigações cruciais da LGPD. Embora não seja uma norma jurídica, é um facilitador na demonstração de seu cumprimento, fornecendo uma estrutura auditável para traduzir princípios legais em controles operacionais práticos e na accountability.

A advogada Flávia Lubieska N. Kischelewski destaca que, apesar do custo de certificação, a obtenção é recomendável para empresas com elevado volume de tratamento de dados ou que desenvolvam atividades de risco na cadeia de tratamento de dados pessoais. Evidenciar que o tratamento é realizado de forma segura e responsável é certamente um diferencial competitivo e um respeito ao titular de dados.