Organizações que tratam dados pessoais precisam estruturar sua atuação considerando as obrigações legais previstas na Lei Geral de Proteção de Dados (LGPD) e os referenciais internacionais que apoiam a governança da segurança da informação e da privacidade. ISO 27001 e ISO 27701 aparecem com frequência em projetos de conformidade, mas é preciso entender o papel de cada uma para evitar tanto o subdimensionamento quanto o superdimensionamento dos projetos de conformidade.
A LGPD é a lei brasileira que estabelece obrigações jurídicas de privacidade; a ISO 27001 é a norma internacional que define como estruturar um Sistema de Gestão de Segurança da Informação (SGSI); e a ISO/IEC 27701:2025, é uma norma autônoma que define um Sistema de Gestão da Privacidade da Informação (SGPI), com mapeamento direto para os artigos da LGPD. Entenda mais sobre elas no decorrer deste artigo!
A certificação ISO 27001 garante a conformidade com a LGPD?
Não. E este é o primeiro mito que precisa ser desfeito. A ISO 27001 fortalece de maneira significativa a postura de segurança que a LGPD exige, mas não cobre 100% dos requisitos da lei. A norma trata de segurança da informação em sentido amplo (confidencialidade, integridade e disponibilidade de qualquer ativo informacional), enquanto a LGPD trata especificamente de privacidade e proteção de dados pessoais.
Em termos práticos, a ISO 27001 ajuda a organização a estruturar controles técnicos e administrativos alinhados aos arts. 46, 48, 39 e 42 da LGPD (segurança, incidentes e relação controlador-operador), mas deixa de fora aspectos centrais da lei, como bases legais de tratamento (arts. 7º e 11), direitos dos titulares (art. 18), Relatório de Impacto à Proteção de Dados Pessoais (RIPD, art. 38), gestão de consentimento, política de privacidade pública, governança de transferências internacionais e o papel do Encarregado (art. 41).
A norma que amplia essa estrutura para a gestão da privacidade é a ISO/IEC 27701:2025. Diferente da versão anterior, que era estruturada como extensão da ISO 27001, a 27701:2025 é uma norma autônoma que define um Sistema de Gestão da Privacidade da Informação (SGPI; em inglês, PIMS — Privacy Information Management System).
A ISO 27001 deixou de ser pré-requisito formal, e o SGPI pode ser implementado de forma independente ou, de maneira mais comum, integrado ao SGSI já existente, aproveitando os controles de segurança compartilhados.
Outro ponto que torna a versão 2025 especialmente relevante para o mercado brasileiro é que a adoção pela ABNT trouxe um anexo nacional com o mapeamento direto entre a estrutura da norma e os artigos da LGPD (Tabela N/A.1). Soma-se a isso o tradicional Anexo D, que mapeia os controles para o GDPR. Em outras palavras, é hoje uma das referências internacionais mais objetivas para traduzir requisitos da LGPD em uma estrutura técnica certificável.
Por isso, o caminho técnico mais coerente para uma adequação consistente à LGPD passa pela tríade ISO 27001 + ISO 27701 + LGPD: a primeira estabelece a base de segurança da informação, a segunda adiciona a camada de privacidade com mapeamento direto à lei brasileira, enquanto a terceira define as obrigações legais aplicáveis no país.
- Confira o artigo: Nova ISO/IEC 27701: o que muda com a versão 2025?
A ISO 27001 substitui a LGPD?
Não. A ISO 27001 contribui para a adequação à LGPD, mas não a substitui e entender essa diferença evita uma armadilha frequente. A LGPD é uma lei federal e toda organização que coleta, armazena ou trata dados de pessoas físicas no Brasil está obrigada a cumpri-la, independentemente de porte, setor ou certificação. O descumprimento sujeita a empresa a multas por infração, além de sanções como suspensão do tratamento de dados e publicização do incidente, o que pode ser mais danoso do que a multa em si.
Já a ISO 27001 é voluntária. Nenhuma lei obriga uma empresa a obtê-la. É uma norma internacional que estabelece como implementar, operar e melhorar um Sistema de Gestão de Segurança da Informação e ainda que dê suporte importante a alguns dos controles exigidos pela LGPD, ela foi concebida para proteger informação em geral, não dados pessoais especificamente.
Em outras palavras:
- A LGPD diz o que precisa ser protegido e por quê;
- A ISO 27001 oferece o método para proteger a informação em termos de segurança;
- E a ISO 27701 traduz esse método para a linguagem da privacidade, conectando os controles técnicos aos princípios e direitos previstos na lei.
Por exemplo, imagine uma contabilidade que processa folha de pagamento para terceiros e lida diariamente com CPF, dados bancários, endereço e informações de saúde dos colaboradores dos seus clientes. Se a empresa tem ISO 27001 implementada, com controles de acesso por função, gestão de incidentes documentada e auditorias anuais, ela consegue demonstrar à ANPD que adota medidas de segurança adequadas (art. 46) e que tem processo formal de resposta a incidentes (art. 48). Mas, se não revisou suas bases legais, não tem política de retenção e exclusão de dados, não atende às solicitações de titulares no prazo do art. 19 ou nunca realizou RIPD para tratamentos de alto risco, ela continua em desconformidade, ainda que esteja certificada.
Agora imagine um laboratório de análises clínicas que usa um software de gestão com dados de pacientes. Ele obtém a ISO 27001, configura controles de acesso e documenta processos, mas nunca revisou o termo de consentimento que os pacientes assinam, não tem política de exclusão de dados e o site coleta cookies sem aviso. Esses pontos descumprem a LGPD independentemente da certificação, porque consentimento, transparência e direitos do titular estão fora do escopo da ISO 27001. E é exatamente aí que a ISO 27701 atua.
- Confira o artigo:Quais são as multas e consequências do vazamento de dados?
Que requisitos da LGPD a ISO 27001 cobre?
A ISO 27001 cobre principalmente os requisitos da LGPD que tratam de segurança técnica e operacional, exatamente os mais difíceis de implementar sem uma estrutura formal, porque envolvem processos, pessoas e tecnologia simultaneamente. São seis pontos de convergência direta:
1. Classificação da informação
A norma exige que a empresa identifique e classifique todos os seus ativos de informação conforme o grau de sensibilidade (público, interno, confidencial e restrito). Uma empresa que não sabe quais dados pessoais possui, onde estão armazenados e quem tem acesso a eles não consegue protegê-los nem cumprir o art. 37 da LGPD, que exige o registro das operações de tratamento de dados pessoais. Vale notar, porém, que o registro formal exigido pelo art. 37 (com finalidades, bases legais, titulares e fluxos de transferência) vai além do que a ISO 27001 demanda, é a ISO/IEC 27701:2025 (ABNT NBR ISO/IEC 27701:2026) que detalha esse inventário específico de dados pessoais.
2. Controle de acesso
A ISO 27001 determina que o acesso à informação deve ser concedido pelo princípio do menor privilégio, o que apoia diretamente o cumprimento do art. 46 da LGPD (medidas técnicas e administrativas para proteger os dados pessoais contra acessos não autorizados). De forma complementar, reforça o princípio da necessidade (art. 6º, III), ao restringir quem pode tratar cada conjunto de dados ao estritamente necessário para a finalidade declarada.
3. Segurança física e lógica
A norma exige controles sobre o ambiente físico onde os dados são processados (controle de entrada, monitoramento, rastreamento de acesso), além dos controles sobre sistemas e redes. A LGPD, em seu art. 46, determina que as empresas adotem medidas técnicas e administrativas aptas a proteger dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Os controles do Anexo A da ISO 27001 atendem diretamente a essa exigência.
4. Criptografia e proteção em trânsito
A ISO 27001 exige políticas de uso de criptografia para proteger a confidencialidade dos dados, tanto em repouso quanto em trânsito. Isso é especialmente relevante para empresas que trafegam dados pessoais entre sistemas, com fornecedores ou em nuvem, contextos em que o risco de interceptação é alto e a LGPD exige proteção ativa (art. 46). A própria ANPD, no Guia de Segurança da Informação para Agentes de Tratamento de Pequeno Porte, recomenda o uso de criptografia e pseudonimização como medidas adequadas.
5. Gestão de incidentes e notificação
A norma define responsabilidades claras para identificação, resposta e registro de incidentes de segurança. A LGPD, em seu art. 48, obriga as empresas a comunicarem à ANPD e aos titulares afetados qualquer incidente que possa gerar risco ou dano relevante, em até 3 (três) dias úteis a contar da ciência do ocorrido, conforme a Resolução CD/ANPD nº 15/2024. Agentes de tratamento de pequeno porte têm o dobro desse prazo. Sem o processo formal exigido pela ISO 27001, cumprir esse prazo na prática é improvável.
6. Gestão de fornecedores e terceiros
A ISO 27001 exige que requisitos de segurança sejam documentados e acordados com fornecedores que acessam ou processam informações da empresa. Isso mapeia diretamente para a relação entre controlador e operador de dados na LGPD, em que o controlador é responsável por garantir que os operadores com quem trabalha adotem práticas adequadas de proteção de dados.
O que a ISO 27001 não cobre da LGPD e onde entra a ISO 27701?
A lista de pontos de convergência acima é importante, mas insuficiente. Há aspectos centrais da LGPD que ficam fora do escopo da ISO 27001 e exigem outra abordagem, tipicamente coberta pela ISO 27701:
- A ISO 27001 não examina porque um dado pessoal está sendo tratado, apenas como ele está protegido. A ISO 27701 introduz controles específicos para definir, registrar e justificar a base legal de cada operação.
- A ISO 27001 também não trata dos processos relacionados aos direitos dos titulares, como confirmação, acesso, correção, anonimização, portabilidade, eliminação, revogação de consentimento e oposição. A ISO 27701 define controles dedicados para atender essas demandas dentro dos prazos legais.
- A gestão de consentimento também fica fora desse escopo. Coleta de consentimento livre, informado e inequívoco, com possibilidade de revogação, além da gestão de cookies, formulários e termos de uso, exige controles específicos ligados à privacidade.
- O Relatório de Impacto à Proteção de Dados Pessoais (RIPD), recomendado pela ANPD para tratamentos de alto risco, também integra essa camada. A ISO 27701 prevê controles específicos para sua execução e revisão periódica.
- O mesmo vale para princípios como privacy by design e by default, que incorporam a proteção de dados desde a concepção de produtos e processos. A 27701 organiza esse requisito como parte do ciclo de desenvolvimento.
- A designação do Encarregado pelo Tratamento de Dados, suas atribuições e a manutenção de um canal público de contato também fazem parte desse conjunto de exigências. A ISO 27001 não exige esse papel; a 27701 sim.
- Transferências internacionais de dados, com exigências como cláusulas-padrão, garantias adequadas e decisões de adequação, também exigem governança específica.
- A transparência com os titulares, incluindo política de privacidade e comunicação clara sobre finalidades, formas e duração do tratamento, completa esse conjunto de obrigações.
Por isso, dizer que “a ISO 27001 cobre a LGPD” é uma simplificação que, na prática, deixa pontos críticos fora do escopo. O caminho mais consistente é tratar a 27001 como base de segurança, a 27701 como camada de privacidade e a LGPD como o conjunto de obrigações legais a serem demonstradas.
Quais os benefícios da adequação conjunta entre LGPD, ISO 27001 e ISO 27701?
- Empresas que combinam ISO 27001, ISO 27701 e adequação à LGPD possuem processos documentados, controles ativos e histórico rastreável tanto em segurança quanto em privacidade. Isso não elimina o risco de sanção, mas reduz significativamente a exposição porque demonstra que a organização não opera por negligência. Confira alguns dos principais benefícios:
- O risco financeiro fica menor porque prevenção estruturada custa menos do que resposta a incidente. Bale para o custo operacional de contenção, para o risco de multa aplicada pela ANPD e para a exposição pública do caso.
- A certificação ISO 27001 abre portas comerciais: em contratos com grandes organizações e processos de licitação pública, ela já funciona como requisito de entrada em muitos editais e due diligences, mesmo sem obrigatoriedade legal.
- A adequação conjunta muda a cultura interna. As normas exigem envolvimento da alta gestão e treinamentos periódicos, o que tira a proteção de dados da responsabilidade exclusiva do time de TI e a distribui por toda a organização.
- A ISO/IEC 27701:2025 é hoje a referência internacional mais próxima de uma certificação formal em conformidade com a LGPD e o GDPR. Apesar de não exigir mais a ISO 27001 como pré-requisito, organizações que já possuem o SGSI maduro encontram um caminho mais curto e econômico para implementar o SGPI, porque muitos controles de segurança são reaproveitados na avaliação integrada de riscos de privacidade e de segurança. É uma evolução natural para quem já está certificado em segurança e trata volume relevante de dados pessoais.
Como se adequar à LGPD, obter a certificação ISO 27001 e avançar para a ISO/IEC 27701:2025?
A adequação à LGPD e a obtenção da certificação ISO 27001 são processos que exigem expertise técnica e visão jurídica integradas. A Dédalo atua nesses dois caminhos com consultoria especializada e metodologia própria.
Para empresas que buscam a certificação ISO 27001, a Dédalo conduz todo o processo de implementação do SGSI, desde o planejamento até o acompanhamento da auditoria de certificação, sem cobrança de horas excedentes e com consultores certificados como Implementadores e Auditores Líderes da norma. Esse trabalho também facilita a posterior implementação da ISO/IEC 27701:2025, norma de Sistema de Gestão da Privacidade da Informação que, embora não dependa mais da 27001, se beneficia da integração com um SGSI já maduro.
Para quem precisa estruturar a conformidade com a LGPD, a consultoria cobre desde o mapeamento de dados e revisão de processos até a implementação de medidas técnicas, administrativas e jurídicas exigidas pela lei, com monitoramento contínuo para manter a conformidade ao longo do tempo. Entre em contato para saber mais!
