A LGPD exige conformidade técnica, não apenas documentação. A ISO 27701 estende a ISO 27001 para criar um Sistema de Gestão de Privacidade da Informação (PIMS) — estruturando o tratamento de dados pessoais com controles auditáveis, responsabilidades definidas e evidências de conformidade. Sócios ISO 27701 Lead Implementer e CDPSE em campo.
Quem conduz o projeto
Ter uma política de privacidade no site não é conformidade com a LGPD. Conformidade real é saber quais dados são tratados, por quem, com qual base legal, por quanto tempo — e conseguir provar isso quando a ANPD ou um cliente corporativo perguntar.
A Lei Geral de Proteção de Dados impõe obrigações técnicas e organizacionais concretas — mapeamento de dados, bases legais, gestão de consentimento, resposta a incidentes e notificação à ANPD. A ISO 27701 estrutura e evidencia o cumprimento de cada uma delas.
Grandes corporações, empresas multinacionais e clientes do setor público passaram a exigir evidências formais de conformidade com a LGPD nos processos de contratação. A certificação ISO 27701 é a forma mais objetiva de demonstrar esse cumprimento.
Saúde, financeiro, RH e operações com crianças tratam dados sensíveis com requisitos específicos na LGPD. A ISO 27701 estrutura controles adicionais para esses contextos, reduzindo o risco de sanções e incidentes de privacidade.
Empresas que transferem dados para o exterior ou recebem dados de controladores estrangeiros precisam demonstrar adequação a frameworks internacionais de privacidade. A ISO 27701 é reconhecida como referência global, alinhada ao GDPR europeu.
A ISO 27701 foi projetada como extensão da ISO 27001 — organizações já certificadas podem implementar o PIMS com esforço incremental, aproveitando estrutura, políticas e controles já existentes.
O Encarregado de Dados (DPO) precisa de mais do que um cargo — precisa de processos, registros e controles para exercer suas funções. A ISO 27701 fornece essa estrutura operacional, tornando o papel do DPO efetivo e auditável.
Estruturamos o PIMS, conduzimos o mapeamento de dados pessoais, elaboramos as políticas e procedimentos de privacidade e orientamos a equipe técnica na implantação dos controles. Para ajustes em sistemas e ferramentas, especificamos os requisitos ou elaboramos as RFPs para contratação.
Cada fase produz entregáveis concretos e auditáveis. O ponto de partida é sempre o mapeamento real dos dados — sem isso, qualquer política de privacidade é ficção.
Avaliação do estado atual da organização frente aos requisitos da ISO 27701 e da LGPD — processos de tratamento existentes, documentação disponível, controles implantados e lacunas críticas a endereçar.
Relatório de gaps incluídoIdentificação de todos os fluxos de dados pessoais — coleta, uso, compartilhamento, retenção e descarte — por processo de negócio. Avaliação das bases legais aplicáveis a cada operação de tratamento e elaboração do Registro de Operações de Tratamento (ROPA) conforme exigido pela LGPD.
ROPA · Bases legais · Fluxos de dadosDelimitação do escopo do Sistema de Gestão de Privacidade — processos, unidades, sistemas e partes interessadas — com integração ao SGSI existente (ISO 27001) quando aplicável. Definição de papéis, responsabilidades e estrutura de governança de privacidade.
PIMS · Integração ISO 27001 · GovernançaDesenvolvimento do conjunto de políticas e procedimentos de privacidade — incluindo Privacy by Design, gestão de consentimento, resposta a direitos dos titulares, gestão de fornecedores e transferências internacionais. Especificações técnicas para ajustes nos sistemas.
Políticas · Privacy by Design · FornecedoresElaboração do Plano de Resposta a Incidentes de Privacidade — com fluxos de detecção, contenção, avaliação de impacto, notificação à ANPD (prazo de 72 horas) e comunicação aos titulares afetados. Integração com o processo de gestão de incidentes de segurança da informação.
Notificação ANPD · 72 horas · TitularesTreinamentos para equipes que tratam dados pessoais — com ênfase em DPO, jurídico, RH, marketing e TI. Auditoria interna do PIMS para identificar não conformidades antes do organismo certificador. Suporte durante a auditoria de certificação.
Capacitação · Auditoria interna · Pré-certificaçãoQualquer organização sujeita à LGPD é candidata — mas o retorno é especialmente claro para quem trata dados sensíveis, opera em setores regulados ou precisa demonstrar conformidade formalmente para clientes e parceiros.
Hospitais, clínicas, laboratórios e operadoras que tratam dados de saúde — categoria de dado sensível com proteção reforçada na LGPD — e precisam estruturar controles específicos para esse contexto.
Bancos, corretoras e plataformas que tratam dados financeiros, histórico de crédito e dados biométricos de clientes, com obrigações da LGPD sobrepostas às regulações do BACEN e da ANPD.
Organizações que compartilham dados pessoais com prestadores de serviços, parceiros comerciais e terceiros — onde o risco de privacidade se estende além dos limites da própria empresa.
Organizações que transferem dados para o exterior ou recebem dados de controladores europeus — onde a conformidade com o GDPR é exigida e a ISO 27701 funciona como ponte entre os dois marcos regulatórios.
Instituições de ensino e plataformas educacionais que tratam dados de crianças e adolescentes, sujeitas a requisitos adicionais de proteção e consentimento parental previstos na LGPD.
Empresas com grandes bases de dados de colaboradores, clientes e consumidores — onde o mapeamento de dados, a gestão de consentimento e o processo de resposta a direitos dos titulares são operacionalmente complexos.
Não terceirizamos a entrega. Os sócios com CISSP, CDPSE e certificações ISO participam diretamente de cada projeto.
Os mesmos profissionais que assinam a proposta conduzem o projeto. Você fala diretamente com quem tem a expertise e a certificação.
Não vendemos tecnologia nem somos parceiros de fabricantes. Nossas especificações são neutras — focadas no que a norma exige, não no que gera comissão.
Desde 2015, com engajamentos em 8+ setores — do mercado financeiro à saúde e infraestrutura crítica.
Integramos capacitação e cultura de segurança à orientação técnica — para que sua equipe execute com convicção, não por obrigação.
Os sócios atuam em instituições de ensino como FGV, ABNT, Instituto Mauá de Tecnologia e TIExames, garantindo conhecimento técnico atualizado e em profundidade.
Cada serviço é construído para ser compatível com ISO 27701, 42001, 22301 e frameworks NIST — evitando retrabalho desde o início.
Em conformidade com o Código de Ética ISC2, preservamos a confidencialidade dos clientes. Os casos abaixo descrevem contextos e entregas reais.
Fale diretamente com nossos sócios — CDPSE e ISO 27701 Lead Implementer. A conversa inicial é sem custo e sem compromisso, e já nos permite mapear as principais lacunas de privacidade da sua organização.