Linkedin Facebook-square Instagram
Contactos
Ilustração sobre ISO 27701 e PIMS, mostrando como estender o ISMS para a privacidade e proteção de dados pessoais

ISO 27701: Estender o ISMS para a Privacidade

Porquê estender o ISMS para a Privacidade?

A maioria das organizações já percebeu que segurança da informação e privacidade não são mundos separados.

No entanto, ainda é frequente ver empresas com um ISMS relativamente maduro e, ao mesmo tempo, com práticas de privacidade dispersas, pouco documentadas e difíceis de demonstrar perante clientes, parceiros, auditores e autoridades.

É precisamente aqui que a ISO/IEC 27701 ganha relevância: a norma define requisitos e orientação para um Privacy Information Management System (PIMS) e foi concebida para ajudar organizações que tratam dados pessoais a estruturar a governação da privacidade de forma sistemática, com responsabilização, gestão de risco e melhoria contínua.

A edição atual é a ISO/IEC 27701:2025, e a própria ISO refere que ela se alinha com sistemas já baseados na ISO/IEC 27001, apoiando também a demonstração de conformidade com regulamentos de privacidade como o GDPR.

Há ainda um ponto importante que muitas equipas desconhecem

Durante anos, a ISO/IEC 27701:2019 foi entendida como uma extensão da ISO/IEC 27001 e da ISO/IEC 27002 para a gestão da privacidade. Entretanto, a ISO retirou essa edição e publicou a ISO/IEC 27701:2025 como uma norma de sistema de gestão independente.

Na prática, isto não elimina a forte ligação entre segurança e privacidade; pelo contrário, reforça a ideia de que a privacidade deve ser gerida com a mesma disciplina, estrutura e evidência que a segurança.

Ou seja, continua a fazer todo o sentido falar em “estender o ISMS para a privacidade”, porque é assim que muitas organizações conseguem implementar um PIMS com eficiência, reaproveitando governação, processos, metodologia de risco, auditorias internas, gestão documental e mecanismos de melhoria já existentes.

Mas o que significa, na prática

Estender um ISMS para a privacidade? Significa deixar de olhar apenas para a proteção da informação enquanto ativo corporativo e passar também a olhar para o impacto do tratamento sobre as pessoas.

Um ISMS clássico está fortemente orientado para confidencialidade, integridade e disponibilidade.

Um PIMS, sem abandonar essa base, acrescenta perguntas essenciais: que dados pessoais estamos a tratar, com que finalidade, com que base e durante quanto tempo?

Quem decide os meios e finalidades do tratamento e quem processa dados por conta de quem?

Como asseguramos transparência, minimização, retenção adequada, controlo de acessos, resposta a direitos e seleção correta de fornecedores?

A lógica deixa de ser apenas “proteger dados” e passa a ser “governar o tratamento de dados pessoais de forma demonstrável e consistente”. A Comissão Europeia recorda que o GDPR assenta em princípios como licitude, transparência, limitação das finalidades, minimização e retenção, enquanto a ISO posiciona a 27701 como o sistema de gestão apropriado para operacionalizar esta disciplina.

É por isso que a ISO 27701 não deve ser tratada como um anexo jurídico ao ISMS

Nem como uma simples coleção de políticas de privacidade.

O valor da norma está em integrar a privacidade na arquitetura de gestão já existente.

Quando uma organização já trabalha com contexto organizacional, partes interessadas, liderança, objetivos, avaliação de risco, competências, operação, controlo documental, auditoria interna e revisão pela gestão, ela já possui metade da disciplina necessária para um PIMS robusto.

O passo seguinte é adaptar essa estrutura ao universo dos dados pessoais: redefinir escopo, clarificar papéis de controller e processor, mapear atividades de tratamento, alinhar políticas, rever controlos, reforçar gestão de terceiros, documentar evidências e introduzir métricas que permitam provar não apenas que a organização “tem boas intenções”, mas que consegue demonstrar conformidade de forma contínua.

Um dos maiores erros em projetos de privacidade

É assumir que o tema pertence apenas ao DPO ou ao departamento jurídico.

A privacidade é transversal.

A gestão de topo tem de definir direção, recursos, prioridades e apetite ao risco.

O CISO ou responsável de segurança contribui com arquitetura de controlo, gestão de risco, incidentes, acessos, registos, monitorização e segurança de fornecedores.

O DPO, quando exista e quando aplicável, funciona muitas vezes como interlocutor central em matéria de privacidade, ajudando a interpretar requisitos, a acompanhar o programa e a garantir coerência.

A equipa de IT operacionaliza controlos técnicos; compras e procurement avaliam fornecedores; RH trata dados laborais; marketing e vendas lidam com consentimentos, preferências, transparência e campanhas; e os owners de processo conhecem a finalidade real dos tratamentos.

Esta distribuição de responsabilidades é coerente com a distinção entre controller e processor explicada pela Comissão Europeia e com a necessidade de accountability documentada no quadro do GDPR.

Ao passar de um ISMS para um PIMS

As organizações precisam de rever os seus controlos sob uma nova lente.

Em segurança, um controlo pode parecer adequado porque restringe acessos ou cifra informação.

Em privacidade, isso é necessário, mas não suficiente.

Também importa garantir que os dados recolhidos são adequados ao objetivo, que existe base apropriada para o tratamento, que a informação prestada aos titulares é coerente com o que realmente acontece, que os períodos de conservação são definidos e aplicados, que os sistemas permitem responder a pedidos de acesso, apagamento ou retificação quando aplicável, e que novas iniciativas incorporam privacidade desde a conceção.

A Comissão Europeia é clara ao referir que a proteção de dados “by design and by default” deve ser considerada desde as fases iniciais dos tratamentos.

Um PIMS maduro transforma esse princípio em processo, critério de projeto e evidência auditável.

Em termos operacionais

Vale a pena pensar nos controlos ISO 27701 ao longo do ciclo de vida dos dados pessoais.

Na recolha

A organização precisa de saber exatamente que dados entram, de onde vêm, com que finalidade e em que sistemas ficam registados.

Na utilização

Deve assegurar regras de acesso, segregação de funções, qualidade dos dados, formação dos utilizadores e coerência entre prática operacional e informação comunicada.

Na partilha

Deve controlar transferências internas, terceiros, subcontratantes e bases contratuais.

Na retenção

Deve aplicar calendários claros e mecanismos de eliminação ou anonimização.

Na resposta ao titular

Deve saber localizar dados, avaliar pedidos, cumprir prazos e manter registo das ações.

Na gestão de incidentes

Deve articular resposta técnica, avaliação do impacto sobre pessoas, escalonamento e documentação. Uma organização que trate cada uma destas fases como parte do seu sistema de gestão estará muito melhor preparada para demonstrar controlo real.

A gestão de terceiros merece um capítulo à parte

Muitas fragilidades de privacidade não nascem dentro da empresa, mas nos ecossistemas de software, cloud, outsourcing, payroll, marketing automation, suporte técnico ou analytics.

A Comissão Europeia recorda que um processor só pode tratar dados em nome de uma organização ao abrigo de contrato ou outro ato jurídico adequado, e que o controller deve escolher entidades que ofereçam garantias suficientes de medidas técnicas e organizativas apropriadas.

Isto significa que um PIMS sério não se limita a assinar cláusulas padrão e arquivar PDFs.

Exige due diligence, critérios de avaliação, revisão contratual, análise de subcontratação, mecanismos de supervisão, alinhamento com incident response e rastreabilidade das decisões.

Se o teu ISMS já inclui vendor risk management, então tens uma excelente base para alargar esse processo aos requisitos específicos de privacidade.

Outro elemento crítico são as evidências

Em muitos projetos, a organização tem reuniões, decisões e até boas práticas, mas não consegue provar nada de forma consistente.

E sem prova, não há accountability robusta.

A Comissão Europeia sublinha que o GDPR exige não apenas conformidade, mas capacidade de a demonstrar.

É aqui que o PIMS acrescenta enorme valor: obriga a transformar intenções em registos, políticas, critérios, aprovações, relatórios, evidências de formação, matrizes de responsabilidade, inventários, registos de tratamento, avaliações, resultados de monitorização e ações corretivas.

Quando um cliente pergunta como são geridos dados pessoais; quando um auditor quer perceber como se controla um processor; ou quando a gestão quer saber se os períodos de retenção estão a ser cumpridos, a resposta não deve depender da memória de uma pessoa.

Deve existir evidência objetiva, atualizada e acessível.

Que tipo de evidências fazem normalmente parte de um PIMS bem estruturado?

Sem transformar o programa num exercício burocrático, há um conjunto de artefactos que tende a ser essencial:

  • definição de escopo do PIMS;
  • política de privacidade e políticas relacionadas;
  • mapeamento de papéis controller/processor;
  • inventário de atividades de tratamento;
  • critérios para privacy by design;
  • registo de avaliações de risco e, quando aplicável, avaliações mais aprofundadas;
  • processos para gestão de pedidos dos titulares;
  • critérios de retenção e eliminação;
  • mecanismos de gestão de terceiros;
  • planos e registos de formação;
  • logs e evidências de controlo de acessos;
  • registos de incidentes;
  • resultados de monitorização;
  • auditorias internas;
  • revisão pela gestão;
  • e ações corretivas com follow-up.

Nada disto é estranho a quem já opera um ISMS. A diferença está em tornar explícita a dimensão dos dados pessoais e garantir que a linguagem da privacidade é incorporada no sistema.

Para muitas organizações, a forma mais eficiente de implementar a ISO 27701 é seguir um roteiro em fases

Primeiro, clarificar o escopo

Que unidades, serviços, geografias, sistemas e categorias de tratamento ficarão dentro do PIMS?

Depois, realizar um gap assessment

Entre o ISMS existente, as práticas de privacidade já em vigor e os requisitos da ISO 27701.

A seguir, rever a governação

Papéis, responsabilidades, reporting, comités e critérios de decisão.

Só depois faz sentido aprofundar a camada de controlo

Ajustando políticas, inventários, terceiros, desenvolvimento, retenção, direitos dos titulares e gestão de incidentes.

Em paralelo, deve-se trabalhar?

A evidência e os indicadores, para que o programa possa ser monitorizado.

Por fim, entram as etapas típicas de sistemas de gestão:

Formação, auditoria interna, revisão pela gestão e melhoria contínua. Esta abordagem faseada reduz fricção e evita o erro de tentar “colar” a privacidade ao ISMS em cima da hora.

Também convém desmontar alguns mitos

O primeiro mito

É pensar que a ISO 27701 substitui a análise jurídica do GDPR.

Não substitui. A norma ajuda a estruturar governação, responsabilidades, controlos e evidências; não elimina a necessidade de interpretar requisitos legais no contexto concreto da organização.

O segundo mito

É acreditar que privacidade é apenas documentação.

Não é. Sem controlos operacionais, arquitetura, dados mapeados, gestão de terceiros e capacidade de resposta, a documentação torna-se decorativa.

O terceiro mito

É assumir que um ISMS maduro resolve automaticamente a privacidade.

Ajuda muito, mas não cobre, por si só, aspetos essenciais como papéis de tratamento, informação ao titular, minimização, retenção, by design e accountability.

A força da ISO 27701 está precisamente em preencher esta lacuna de forma sistemática.

Do ponto de vista estratégico: Estender o ISMS para a privacidade traz benefícios muito concretos.

Em primeiro lugar

Cria uma linguagem comum entre segurança, privacidade, IT, jurídico e negócio.

Em segundo lugar

Reduz redundâncias, porque aproveita estruturas já existentes em vez de criar um “programa paralelo”.

Em terceiro lugar

Melhora a capacidade de responder a questionários de clientes, avaliações de fornecedores, due diligence e auditorias.

Em quarto lugar

Aumenta a confiança: parceiros e reguladores tendem a valorizar organizações que conseguem demonstrar método, controlo e melhoria contínua.

E, por fim

Ajuda a transformar a privacidade numa disciplina operacional e não apenas num tema reativo, tratado depois do problema surgir.

A própria ISO destaca benefícios como reforço da proteção da privacidade, gestão de risco sobre PII, construção de confiança e alinhamento com sistemas ISO/IEC 27001 já existentes.

Para CISOs, DPOs e equipas de IT, a mensagem central é simples

A ISO 27701 não deve ser vista como mais uma camada burocrática, mas como o passo natural para organizações que já levam a sério a segurança da informação e precisam de demonstrar maturidade na gestão de dados pessoais.

Se a sua organização já tem um ISMS, então já possui parte relevante da fundação.

O que falta é tornar a privacidade explícita, governada, evidenciada e integrada nos controlos do dia a dia.

É isso que um PIMS bem desenhado faz.

Próximos passos

Quer acelerar esse caminho?

Transfira a lista de controlos ISO 27701 e use-a para mapear lacunas, distribuir responsabilidades e priorizar a integração entre ISO 27001 e GDPR no seu programa de compliance.

Links internos sugeridos:

 

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *


Começar