Privacidade: NBR 27001 vs NBR 27701

Revisado em 8 de mar. de 2025.

Privacidade: NBR 27001 vs NBR 27701. Ao contrário do que muitos imaginam, a norma NBR 27001 não é concorrente da norma NBR 27701. Pelo contrário, trata-se de normas complementares. E, neste artigo vamos discorrer um pouco mais sobre essas duas normas, NBR 27001 e NBR 27701, tão importantes para a adequação à Lei Geral de Proteção de Dados (LGPD), Lei n.º 13.709 e privacidade, conceito básico nesta temática. Convém que organizações que não têm a intenção de renunciar as boas práticas, em detrimento de soluções mais simples, menos eficazes e mais baratas, tenham esse conceito bem sedimentado em suas análises críticas, processos e decisões.

Para falarmos sobre a origem da NBR ISO/IEC 27001, devemos voltar ao tempo, mais precisamente em 15 fev. de 1998, quando o British Standards Institution (BSI), organização inglesa de padronização, através do Draft 97/600130 DC elaborado pelo seu comitê IST/33, publicou em 14 páginas, a British Standard (BS) 7799-2:1998 – Information Security Management System – Specification for information security management systems, que serviu como referência para as boas práticas, para o gerenciamento da segurança da informação.

Um pouco mais de um ano após a publicação da BS 7799-2:1998, em 15 mai. 1999, ela foi revogada pela norma BS 7799-2:1999, com o mesmo título da norma anterior. Em nova revisão, em 5 set. 2002, a BS 7799-2:2002 chegou em sua terceira versão, mantendo o seu título. Finalmente, em 18 out. 2005, a BS 7799-2:2005 foi publicada como duas normas com referências distintos, mas com o mesmo conteúdo técnico idêntico:

• BS 7799-2:2005 – Information technology – Security techniques – Information security management systems. Requirements;
• BS ISO/ IEC 27001:2005 – Information technology – Security techniques – Information security management systems. Requirements.

Vamos voltar nossas atenções para esta última, a BS ISO/IEC 27001:2005.

O QUE É BS ISO/IEC 27001?

BS ISO/ IEC 27001 foi a versão primeira versão da norma internacional para um Sistema de Gestão de Segurança da Informação (SGSI) publicada pela Internation Organization for Standardization (ISO). É importante observar que a versão desta norma, para o Reino Unido foi a BS 7799-2:2005, mas continha exatamente o mesmo conteúdo, conforme já expusemos.

CURIOSIDADES SOBRE AS OUTRAS PARTES DA NORMA BS 7799 (partes 1 e 3)

Não adentraremos aos detalhes, mas a norma NBR ISO/IEC 27002:2013 – Diretrizes, foi uma evolução de duas normas que tiveram algumas versões, a saber: BS 7799-1, que teve a sua primeira versão em 1995, e que posteriormente foi transformada na ISO/IEC 17799, que teve sua primeira versão em 2000. Em 17 mar. 2006 foi publicada a terceira parte da BS 7799, que ficou conhecida como: BS 7799-3:2006 – Information security management systems – Guidelines for information security risk management.

O mercado entendeu que identificar, avaliar, tratar e gerenciar os riscos de segurança da informação são processos-chave, caso as empresas desejem manter suas informações seguras e protegidas. Embora esses processos já estivessem especificados na BS ISO/IEC 27001:2005, orientações adicionais foram necessárias sobre como gerenciar esses riscos, bem como colocá-los em um contexto, com outros riscos de negócios. Cabe uma observação, a versão mais atual desta terceira parte da BS 7799 foi publica em 2017, e esteve vigente até julho do ano seguinte, quando deu lugar à norma ISO/IEC 27005:2018 – Information technology — Security techniques — Information security risk management.

A ATUAL VERSÃO DA ISO/IEC 27001:2022

A BS ISO/IEC 27001:2005 estabelecia em sua referência normativa (necessárias para alcançar a conformidade com esta norma), a ISO/IEC 17799:2005. Em 2013, a NBR ISO/IEC 27001 foi adotada no Brasil com o título de ABNT NBR ISO/IEC 27001:2013 – Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação – Requisitos.

O escopo da NBR ISO/IEC 27001:2013 informava que esta Norma especificava os requisitos para estabelecer, imple­mentar, manter e melhorar continuamente um SGSI dentro do contexto de uma orga­nização. E também que ela incluia requisitos para a avaliação e tratamento de riscos de segurança da informação voltados para as necessidades de uma organização.

Cabe ressaltar que os requisitos definidos nesta Norma eram genéricos e pretendidos para serem apli­cáveis a todas as organizações, independentemente do tipo, tamanho ou natureza. A exclusão de quaisquer dos requisitos especificados nas Seções 4 a 10 não era aceitável, quando a or­ganização almejava a plena a conformidade com esta Norma.

Entretanto, a única menção nesta norma sobre Proteção e Privacidade de informações de identificação pessoal encontrava-se no Controle A.18.1.4 (pg. 28), que está hierarquicamente sob o controle A.18.1 Conformidade com requisitos legais e contratuais, descrito a seguir:

“A privacidade e proteção das informações de identificação pessoal devem ser asseguradas conforme requerido por legislação e regulamentação pertinente, quando aplicável“.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27001: Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos. Rio de Janeiro: ABNT, 2013.

É indiscutível que o texto deste controle era muito genérico, não trazendo à tona elementos mais claros para a sua adoção. Cabe destacar que em 2013, o conceito de privacidade e os arcabouços jurídicos-regulatórios que estabeleciam exigências a serem cumpridas em determinada sociedade, não estavam tão em evidência assim. Apontando o holofote apenas para a proteção de dados, e deixando a privacidade, digamos, de lado. Fato é que, no contexto atual da sociedade mundial, não existe privacidade de dados pessoais sem proteção de dados pessoais, mas não cabe aqui discorrer sobre isso nesta matéria.

Em 23 de novembro de 2022 foi publicada nova versão da norma, sob o título de ABNT NBR ISO/IEC 27001:2022 – Segurança da informação, segurança cibernética e proteção à privacidade – Sistemas de gestão da segurança da informação – Requisitos. A versão atual cancela e substitui a ABNT NBR ISO/IEC 27001:2013, a qual foi tecnicamente revisada. A presente versão foi elaborada A ABNT NBR ISO/IEC 27001 foi elaborada no Comitê Brasileiro de Tecnologias da Informação e Transformação Digital (ABNT/CB-021), pela Comissão de Estudo de Segurança da Informação, Segurança Cibernética e Proteção da Privacidade (CE-021:004.027). O Projeto de Revisão circulou em Consulta Nacional conforme Edital n° 10, de 19 de outubro 2022 a 17 de novembro de 2022.

A EVOLUÇÃO DO CONCEITO DA PRIVACIDADE

Com o passar dos anos, principalmente o conceito de privacidade, mas o de proteção de dados também, evoluíram significativamente.

A privacidade, hoje, amplamente materializada no Direito à Proteção de Dados está ligada aos fluxos comunicacionais propiciados por determinada técnica, que por sua vez, exige do direito novas formas de reflexão conceitual para a proteção do indivíduo. Aqui cabe compartilhar que no contexo do século XVIII, as ações de injúria já revelavam a temática do tangenciamento de apectos privados e a dimensão pública da comunicação enquanto forma de reflexão jurídica de novas técnicas sociais.

Já no século XIX, a ação por injúria e a vedação de revelação de segredos tornam-se pouco complexas para lidar com o aumento do fluxo comunicacional e o surgimento de novas técnicas de comunicação. Assim, a privacidade passou a se apresentar como uma expressão do desenvolvimento de novas técnicas e tecnologias de comunicação e o delineamento de seu contato com formas de desenvolvimento da personalidade e o surgimento da subjetividade moderna.

De maneira mais abrangente, quem começa a estudar a evolução do conceito de privacidade se depara com o famoso artigo abaixo, comumente confundido como a primeira citação de privacidade como motivação da exposição da vida privada, sem consentimento. Mas, não podemos deixar de citar as cartas íntimas deixadas pelo músico Richard Wagner, a fotografia do Imperador Otto Von Bismark em seu leito de morte, dentre outros episódios. Contudo, em 15 dez. de 1890, dois jovens advogados, Samuel Warren e Louis Brandeis, publicaram na Harvard Law Review, um artigo jurídico intitulado: “The Right to Privacy”.

Warren e Brandeis descreveram originalmente o direito à privacidade (“The Right to Privacy”) como um direito comum já existente que incorporava proteções para a “personalidade inviolável” de cada indivíduo. Vamos entender um pouco melhor os argumentos destes autores.

A lei comum dos EUA garante, para cada indivíduo, o direito de determinar, normalmente, em que medida seus pensamentos, sentimentos e emoções podem ser divulgados a outras pessoas, fixando os limites da publicidade que pode ser dado a eles. Para Warren e Brandeis, o direito à privacidade significava que cada indivíduo tinha o direito de escolher compartilhar ou não com os outros, informações sobre sua “vida privada, hábitos, atos e relações”.

Os autores do referido artigo argumentaram que era necessário o sistema legal norte-americano reconhecer o direito à privacidade, porque, quando a informação sobre a vida privada de um indivíduo é disponibilizada para os outros, tende a influenciar e até mesmo ferir o próprio cerne da personalidade de um indivíduo – “sua avaliação de si mesmo”.  

O conceito original de Warren e Brandeis do direito à privacidade, portanto, incorporou um insight psicológico, que naquele tempo era relativamente inexplorado, ou seja, que:

“A personalidade de um indivíduo, especialmente a sua autoimagem, pode ser afetada e, às vezes, distorcida ou ferida, quando a informação sobre a vida privada desse indivíduo é tornada disponível para outras pessoas”.

WARREN, Samuel & BRANDEIS, Louis. The Right to Privacy, Harv. L. Rev. 193 (1890).

Em termos mais simples, para os referidos autores, o direito à privacidade era o direito de cada indivíduo de proteger a sua integridade psicológica exercendo controle sobre as informações que refletiu e afetou a personalidade daquele indivíduo.

No conceito moderno e atual, podemos entender privacidade como:

“Direito fundamental, essencial para a autonomia e a proteção da dignidade humana, servindo como o fundamento sobre o qual muitos outros direitos humanos são construídos.”

Explorando mais esse conceito moderno, percebemos que a privacidade permite às pessoas naturais, com o auxílio das autoridades de uma determinada sociedade, a criarem barreiras e fazerem a gestão dos limites que as protegem de interferências injustificadas em suas vidas, e permitem a elas negociarem quem são e como querem interagir com o mundo ao seu redor. A privacidade nos ajuda a estabelecermos as referidas barreiras para limitarmos quem tem acesso aos nossos lugares, objetos, bem como às nossas comunicações e informações.

As regras que protegem a privacidade nos dão a capacidade de fazermos valer os nossos direitos em face de desequilíbrios de poderes significativos. É inegável que a privacidade é essencial para quem somos como seres humanos, e é um elemento fundamental para nos dar o controle sobre quem sabe o que sobre nós.

Visto todo o exposto, pensar em estar compliant com a nossa Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, sem privacidade, é utópico, concorda?

Não nos prolongaremos mais sobre privacidade neste artigo, já que o conteúdo é extenso. Contudo, voltaremos com artigo dedicado a ela, já que é tão relevante.

A NBR ISO/IEC 27701:2019

O Draft International Standard (DIS) ISO/IEC 27552 – Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines foi capitaneado pelo comitê técnico da ISO/IEC JTC 1/SC 27 – Information security, cybersecurity and privacy protection, e deu origem à norma ABNT NBR ISO/IEC 27701:2019 – Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes, que teve sua primeira edição, no Brasil, em 25 nov. 2019. Cabe destacar que houve, em 11.02.2020, publicação de uma errata para a inclusão de itens na Tabela C.2.

Por que essa norma é tão importante?

Porque ela especifica os requisitos e fornece as diretrizes para o estabelecimento, implementação, manutenção e melhoria contínua de um Sistema de Gestão de Privacidade da Informação (SGPI) na forma de uma extensão das normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, para a gestão da privacidade dentro do contexto da organização. Em outras palavras, a NBR 27701 estende o conceito de privacidade para as normas NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002, ou seja, especifica os requisitos relacionados ao SGPI e fornece as diretrizes para os Controladores de Dados Pessoais (DP) e Operadores de DP que têm responsabilidade e responsabilização com o tratamento de DP.

Ao contrário do que muitos também acreditam, esta norma é aplicável a todos os tipos e tamanhos de organizações, incluindo as companhias públicas e privadas, entidades governamentais e organizações sem fins lucrativos, que são controladoras de DP e/ou que são operadoras de DP.

Sobre a referência normativa da NBR 27701, os documentos a seguir são citados no texto de tal forma que seus conteúdos, totais ou parciais, constituem requisitos para esta norma, a saber:

• ISO/IEC 27000:2018, Information technology – Security techniques – Information security management systems – Overview and vocabulary

• ABNT NBR ISO/IEC 27001:2013, Tecnologia da informação – Técnicas de segurança – Sistemas de gestão da segurança da informação – Requisitos

• ABNT NBR ISO/IEC 27002:2013, Tecnologia da informação – Técnicas de segurança – Código de prática para controles de segurança da informação

• ABNT NBR ISO/IEC 29100:2020, Tecnologia da informação – Técnicas de segurança – Estrutura de Privacidade

A NBR ISO/IEC 27701:2019 está baseada na NBR ISO/IEC 27001:2013 e na NBR ISO/IEC 27002:2013, e:

“Estende os seus requisitos e diretrizes para considerar, em complementação à segurança da informação, a proteção da privacidade dos titulares de DP, que podem ser potencialmente afetados pelo tratamento de DP.”

Isto significa que, na prática, onde o termo “segurança da informação” for usado na ABNT NBR ISO/IEC 27001 ou na ABNT NBR ISO/IEC 27002, o termo “segurança da informação e privacidade” se aplica.

Com tudo o que foi exposto, pensar em capacitação, mapeamento de risco, adequação e auditoria somente com o capacete da NBR 27001, não resolverá o seu problema, nem o da sociedade. Mesmo que mais devagar, convém que pensemos em tudo isso, com o capacete da NBR 27701.

O tema privacidade e proteção de dados, junto com a LGPD, não diz respeito apenas às organizações, e sim às pessoas, ou seja, os titulares de DP. Então, quando pensamos em qualquer serviço, como capacitação, mapeamento de riscos, adequação, auditoria de conformidade, que seja negligenciado por pessoas, essas pessoas estão colocando em risco, justamente, a privacidade e proteção de dados pessoais de outras pessoas, e de si mesmas. Sendo assim, a mudança cultural começa por cada um de nós.

Por fim, é fundamental destacar que as normas técnicas não competem com as leis, mas sim as complementam. Elas não têm a intenção de substituí-las, mas de oferecer diretrizes que aprimoram a aplicação prática das regulamentações. No entanto, causa preocupação imaginar que um profissional, independentemente de sua área de atuação, considere que suas próprias soluções, muitas vezes baseadas apenas na experiência prática, possam se sobrepor a mais de 25 anos de evolução na proteção e privacidade de dados. Ao analisarmos a trajetória desses conceitos ao longo do tempo, fica evidente a importância de reconhecer e adotar os avanços consolidados nessa área.

Gostou do artigo?

---

Não se esqueça de:

• Curtir
• Comentar
• Salvar
• Compartilhar com os amigos

---

REFERÊNCIA BIBLIOGRÁFICAS

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27001: Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos. Rio de Janeiro: ABNT, 2013.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27002: Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação. Rio de Janeiro: ABNT, 2013.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27701: Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes. Rio de Janeiro: ABNT, 2019.

BRASIL. Lei n^o 13.709, de 14 de agosto de 2018. Brasília, DF: Presidência da República, [2018]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/ 2018/lei/L13709.htm. Acesso em: 1 abr. 2021.

HARVARD LAW REVIEW. The Right to Privacy. Disponível em: https://groups.csail.mit.edu/mac/classes/6.805/articles/privacy/Privacy_brand_warr2.html. Acesso em: 1 abr. 2021.

ISO. ISO/IEC 27005:2018 – Information technology — Security techniques — Information security risk management. Disponível em: https://www.iso.org/standard/75281.html. Acesso em: 2 abr. 2021.

McCREARY, Lew; HARVARD BUSINES REVIEW. What is Privacy? Disponível em: https://hbr.org/2008/10/what-was-privacy. Acesso em: 1 abr. 2021.

WARREN, Samuel & BRANDEIS, Louis. The Right to Privacy, Harv. L. Rev. 193 (1890).