GDPR & privacy

ISO 27701:2025, O Que Mudou e Por Que É Relevante

A ISO/IEC 27701 passou pela sua maior transformação desde o lançamento. A edição de 2025 deixou de ser um complemento à ISO/IEC 27001; é agora uma norma de gestão de privacidade autónoma e completa. Eis o que mudou, por que é relevante e como se preparar.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy4 min de leitura
ISO 27701:2025: What Changed and Why It Matters

Durante anos, a ISO 27701 pareceu uma extensão desajeitada colada sobre a ISO 27001. Útil? Sim. Coerente? Não realmente.

Os responsáveis pela privacidade debatiam-se com âmbitos pouco claros, controlos desatualizados e a questão constante: “Is this an add-on, or is this a real privacy management system?”

A ISO 27701:2025 veio encerrar o debate.

Não é uma revisão. É uma reformulação.

A edição de 2025 transforma a ISO 27701 num sistema de gestão autónomo e completo, com as suas próprias cláusulas, os seus próprios controlos e o seu próprio caminho de certificação.

É moderna, alinhada com as realidades atuais de privacidade e segurança, e finalmente estruturada como qualquer outra norma de sistema de gestão ISO.

Se está a gerir um PIMS hoje, esta atualização afeta:

  • o seu modelo de governação
  • os seus papéis
  • o seu SoA
  • os seus controlos
  • os seus contratos
  • a sua gestão de terceiros
  • as suas auditorias
  • o seu roadmap para os próximos 12 a 18 meses

Analisemos as mudanças de forma clara, prática e sem jargão de organismos de normalização.

1. A ISO 27701 é Agora um Sistema de Gestão Autónomo

Esta é a mudança principal, declarada explicitamente no Prefácio:

“The document has been redrafted as a norma de sistema de gestão autónoma.”

Sem mais dependência da ISO 27001. Sem modelo de extensão. No more “you need 27001 certification first.”

O que isto significa na prática

  • Pode certificar-se contra a ISO 27701 diretamente.
  • A governação da privacidade torna-se independente da função de segurança da informação.
  • As organizações podem construir um PIMS mesmo que não necessitem de um ISMS completo.
  • Os auditores tratarão a 27701 com o mesmo rigor que a 9001 ou a 27001.

A privacidade é agora uma disciplina de primeira classe; não uma sombra que vive por detrás da segurança.

2. Cláusulas Completamente Reformuladas (4 a 10)

Toda a estrutura espelha agora o Harmonized Management System Framework da ISO:

  • Contexto
  • Liderança
  • Planeamento
  • Suporte
  • Operação
  • Avaliação do desempenho
  • Melhoria

Isto não existia na 27701:2019; a versão antiga reutilizava a estrutura da 27001.

Uma adição surpreendente

A organização deve determinar se as alterações climáticas constituem uma questão relevante para o PIMS.

“The organization shall determine whether alterações climáticas is a relevant issue.”

Isto pode influenciar a seleção de centros de dados, o planeamento de resiliência e a continuidade transfronteiriça do tratamento de dados pessoais.

3. Os Papéis São Agora Muito Mais Claros (Responsável pelo Tratamento vs Subcontratante)

A edição de 2025 reforça a definição de papéis e introduz separação obrigatória:

Quando uma organização atua simultaneamente como responsável pelo tratamento e como subcontratante, devem ser determinados papéis separados, cada um com os seus próprios controlos.

Impacto

  • Não é possível fundir responsabilidades.
  • O seu SoA deve distinguir ambos os papéis.
  • Os seus contratos, DPIAs e avaliações de fornecedores devem refletir os papéis efetivos de tratamento.

Isto espelha a realidade do GDPR de forma muito mais precisa.

4. O Anexo A Foi Completamente Reconstruído

O Anexo A na edição de 2025 é um catálogo de controlos moderno e alargado; não o mapeamento reciclado da era 27001:2013 de 2019.

O Anexo F lista todas as alterações, incluindo controlos recém-adicionados. Seguem-se alguns dos destaques:

Novos controlos introduzidos na ISO 27701:2025

(todos referenciados a partir do Anexo F)

Ciclo de vida dos dados:

  • Eliminação de informação
  • Mascaramento de dados
  • Prevenção de fuga de dados

Engenharia e operações:

  • Codificação segura
  • Gestão de configuração
  • Atividades de monitorização

Cloud e cadeia de abastecimento:

  • Segurança da informação para serviços cloud

Resiliência:

  • Prontidão das TIC para a continuidade de negócio

Informações sobre ameaças:

  • Informações sobre ameaças (novo controlo)

Isto aproxima a gestão da privacidade do panorama de ameaças moderno: ambientes cloud-native, práticas de engenharia, ciclo de vida dos dados e monitorização contínua.

5. Anexos de Mapeamento Atualizados (GDPR, 29100, 27018, 29151)

A edição de 2025 inclui crosswalks renovados:

  • Anexo C → ISO/IEC 29100 Privacy Framework
  • Anexo D → GDPR
  • Anexo E → ISO 27018 e 29151

Isto é relevante porque a certificação PIMS serve frequentemente como evidência perante clientes, reguladores e autoridades de supervisão.

Os mapeamentos são agora mais claros, mais rigorosos e mais alinhados com as expectativas de supervisão.

6. Um Caminho de Transição Claro de 2019 para 2025

O Anexo F fornece uma tabela de mapeamento completa de:

  • controlos removidos,
  • controlos renomeados,
  • controlos consolidados,
  • novos controlos,
  • e alterações nos requisitos.

Este é o seu roadmap de migração.

Se está certificado na 27701:2019, vai precisar de:

  • um novo SoA,
  • avaliação de risco atualizada,
  • DPIAs atualizadas,
  • registos de tratamento atualizados,
  • contratos atualizados,
  • novas cláusulas de governação,
  • e provavelmente ferramentas atualizadas.

Conte com um plano de transição de um ano completo.

7. Por Que Razão a ISO 27701:2025 é Mais Relevante do Que Nunca

A privacidade já não é um exercício de documentação; é operacional, técnica e estratégica.

A revisão de 2025 reconhece finalmente:

  • ecossistemas cloud modernos
  • pipelines de engenharia
  • complexidades do ciclo de vida dos dados
  • informações sobre ameaças
  • resiliência técnica
  • desenvolvimento seguro
  • risco de fornecedores
  • monitorização e deteção
  • fragmentação regulatória nos mercados globais

Por outras palavras:A privacidade entrou na era GRC moderna.

Consideração Final

A ISO 27701:2025 não é uma simples atualização; é um reset.

O modelo de extensão está morto. A governação da privacidade é agora uma disciplina autónoma com peso operacional real. E as organizações terão de tratar esta norma com a mesma seriedade que a ISO 27001.

Se a 27701:2019 era sobre documentar a privacidade, a 27701:2025 é sobre gerir a privacidade.

Se pretende um plano de migração claro e prático, incluindo um novo SoA, uma análise de lacunas completa de 2019 para 2025 e um roadmap de transição passo a passo, é exatamente isso que ensinamos no Cyber Academy ISO27701:2025 Lead Implementer Masterclass. Junte-se à próxima sessão e atualize o seu PIMS sem o caos.

← Voltar a todos os artigosMais sobre GDPR & privacy

Quer receber a próxima nota de campo na sua caixa de entrada?

A newsletter The GRC Brief. Cinco ligações e um breve comentário, todas as segundas-feiras às 8h CET. Leitura de três minutos.

Subscrever a newsletterBack to articles