Questões de Privacidade

Gestão de informações pessoais

com a ISO/IEC 27701
Um whitepaper do BSI para os negócios
Questões de privacidade

Introdução
A digitalização, globalização e personalização dos serviços, desde a marcação de uma consulta médica até o
serviço bancário pela Internet, levaram a uma maior recolha e processamento de informações pessoais do
que nunca antes. E esta tendência está crescendo à medida que surgem oportunidades para novos serviços,
e novos intervenientes entram no mercado.

Existem agora tantas plataformas diferentes que as pessoas utilizam
como parte da sua rotina diária onde são recolhidas informações
pessoais, tais como o crescimento de aplicativos móveis, esquemas
de fidelização, dispositivos conectados e publicidade baseada em
localização. Isto significa que estamos entregando nossos dados
regularmente sem pensar, criando mais fluxos de dados do que
nunca. E quer se trate de sites de encontros, fornecedores de
telecomunicações ou organizações de serviço público, mal passa
um dia quando você olha para as notícias e não vê referência
a uma violação de dados onde os registros pessoais foram
comprometidos. Isto só tem aumentado o foco nas questões que
envolvem o uso indevido de informações pessoais, o que significa
que as organizações não podem se dar ao luxo de ser complacentes.
Uma maior consciência destas questões tem levado a uma
crescente preocupação, tanto entre indivíduos como entre
governos, sobre como os dados pessoais são recolhidos, utilizados
e protegidos; em resposta, alguns governos propuseram ou
promulgaram novos regulamentos destinados a fornecer
orientações e requisitos para o tratamento de dados pessoais.
Dentro da Europa, a introdução do Regulamento Geral de
Proteção de Dados (GDPR) proporciona uma harmonização
das leis de privacidade de dados que refletem as realidades do
mundo digital em que vivemos atualmente.
Muitos outros países, como a Coreia, Austrália e China, também
estão criando legislação de proteção de dados. Em antecipação
ao crescente ambiente regulatório e à necessidade de um
conjunto comum de conceitos para abordar a proteção de
dados pessoais, a Organização Internacional de Normalização
(ISO) e a Comissão Eletrotécnica Internacional (IEC) tomaram
a iniciativa de criar normas para fornecer tal orientação. Essas
normas têm o benefício de fornecer estruturas para ajudar
as organizações a demonstrar a proteção de dados pessoais
e a conformidade da privacidade com diferentes leis em um
cenário regulatório em mudança. A certificação também pode
ser uma ferramenta útil para que as organizações agreguem
credibilidade ao seu compromisso com a privacidade e
obrigações relacionadas.
 bsigroup.com

Gestão de informações pessoais

Dado o ambiente dinâmico no qual operamos, a necessidade de orientação sobre como as organizações devem gerenciar e
processar dados para reduzir o risco à informação pessoal está se tornando mais importante. A orientação, na forma de uma nova
norma internacional, sobre como as organizações devem gerenciar informações pessoais e ajudar a demonstrar a conformidade
com regulamentos de privacidade atualizados em todo o mundo é, portanto, muito poderosa. É por isso que a ISO/IEC 27701 para a
gestão de privacidade de informações foi desenvolvida.

O que é a ISO/IEC 27701?

Esta nova norma internacional é oficialmente chamada
ISO/IEC 27701 (Técnicas de segurança - Extensão para
ISO/IEC 27001 e ISO/IEC 27002 para gestão de informações de
privacidade - Requisitos e diretrizes).
Como muitas organizações implementaram um Sistema de Gestão
de Segurança da Informação (SGSI) baseado na ISO/IEC 27001 e
utilizando a orientação da ISO/IEC 27002, é um passo natural para
fornecer orientação para a proteção da privacidade que se baseia
nesta forte base.
ISO/IEC 27701 é uma extensão de privacidade para ISO/IEC 27001
e ISO/IEC 27002 e fornece orientações adicionais para a proteção
da privacidade, que é potencialmente afetada pela recolha e
processamento de informações pessoais. O objetivo do projeto
é melhorar o SGSI existente com requisitos adicionais a fim de
estabelecer, implementar, manter e melhorar continuamente
um Sistema de Gerenciamento de Informações de Privacidade
(SGPIPP). O padrão delineia uma estrutura para controladores de
informações pessoais identificáveis (IPI) e processadores de IPI para
gerenciar controles de privacidade de forma que o risco aos direitos
de privacidade individuais seja reduzido (consulte a Tabela 1). Esses
requisitos e orientações adicionais são escritos de forma que sejam
práticos e utilizáveis por organizações de todos os tamanhos e
ambientes culturais..

Tabela 1 - Funções de gestão de informação pessoal

Controlador IPI Processador IPI

Recolhe informação pessoal e determina os fins para os Processa informações pessoais em nome e somente de
quais são processadas. acordo com as instruções do controlador IPI.
Mais de uma organização pode agir como controlador IPI,
muitas vezes conhecido como co-controlador, e é aqui que
os acordos de partilha de dados podem ser necessários.

Como a ISO/IEC 27701 ajuda os Controladores IPI Como a ISO/IEC 27701 ajuda os Processadores IPI

• Fornece orientação sobre as melhores práticas • Fornece orientação sobre as melhores práticas
• Proporciona transparência entre os controladores IPI • Dá garantias aos clientes de que o IPI é gerido
eficazmente
• Fornece uma forma eficaz de gerir os processos de IPI

3
Questões de privacidade

ISO/IEC 27701 desenvolvendo a norma

A ISO/IEC 27701 foi elaborada pelo Grupo de Trabalho ISO/IEC responsável pela ‘Tecnologias de Gestão de Identidade e
Privacidade’. Seu desenvolvimento foi liderado por um Editor de Projeto nomeado pelo BSI e o BSI foi nomeado pelo Governo do
Reino Unido como o Organismo Nacional de Normas e representou os interesses do Reino Unido tanto na ISO como na IEC.

Pretende-se que as organizações se certifiquem para a ISO/IEC 27701 como uma extensão do sistema de gestão ISO/IEC 27001. Em
outras palavras, as organizações que pretendem buscar uma certificação ISO/IEC 27701 também precisarão de uma certificação ISO/
IEC 27001. Isso demonstra o compromisso tanto com a segurança da informação quanto com a gestão da privacidade.

Como a ISO/IEC 27701 se encaixa

Os requisitos e orientações para a proteção de informações
pessoais variam de acordo com o contexto da organização e
onde as leis e regulamentos nacionais são aplicáveis. A ISO/
IEC 27001 exige que este contexto seja compreendido e levado
em conta. A ISO/IEC 27701 torna-se mais específica. Ela inclui
mapeamentos para:
• o quadro e os princípios de privacidade definidos em
ISO/IEC 29100
• ISO/IEC 27018 e ISO/IEC 29151, ambas focadas em IPI
No entanto, todos estes mapeamentos precisam ser
interpretados para ter em conta as leis e regulamentos locais.
Vale ressaltar também que a ISO/IEC 27701 é aplicável a todas
as organizações que atuam como processadores, controladores
ou ambos; a ISO/IEC 27018 se aplica especificamente aos
provedores públicos de cloud computing.
A BS 10012:2017+A1:2018* é uma norma publicada específica
para o Reino Unido. Fornece um quadro de melhores práticas
para um sistema de gestão de informação pessoal que está
alinhado com os princípios da União Europeia (UE) GDPR. Uma
das principais distinções entre a ISO/IEC 27701 e a BS 10012 é
que a ISO/IEC 27701 está estruturada para que o SGPIP possa ser
considerado uma extensão aos requisitos e controles do SGSI.
A ISO/IEC 27701 pode ser utilizada por controladores IPI (incluindo
os que são controladores IPI conjuntos) e processadores IPI
(incluindo os que utilizam processadores IPI subcontratados).
Uma organização que cumpra os requisitos da ISO/IEC 27701 irá
gerar provas documentadas de como ela trata o processamento
de informações pessoais. Estas provas podem ser utilizadas para
facilitar acordos com parceiros comerciais onde o processamento
de informações pessoais é mutuamente relevante. Isto também
pode ajudar nas relações com outras partes interessadas. O uso da
ISO/IEC 27701 em conjunto com a ISO/IEC 27001 pode, se desejado,
fornecer uma verificação independente dessas evidências, embora
a conformidade com esses documentos não possa ser considerada
como conformidade com leis e regulamentos.
Benefícios da ISO/IEC 27701
• Permite transparência entre as partes interessadas
• Ajuda a construir confiança
• Oferece uma abordagem mais colaborativa
• Acordos comerciais mais eficazes
• Funções e responsabilidades mais claras
• Reduz a complexidade pela integração com
• ISO/IEC 27001
*Uma emenda à BS10012:2017 foi publicada em 2018 (BS 10012+A1:2018).
Esta emenda cobre pequenas mudanças em algumas cláusulas da
BS10012:2017; estas mudanças foram feitas para refletir a Lei de Proteção de
Dados do Reino Unido de 2018.

Para validar que os controles operacionais adequados da
norma são implementados de forma consistente e para
cumprir os requisitos de conformidade dos regulamentos de
privacidade relevantes, devem ser tomadas medidas para:
1. mapear os requisitos regulamentares relevantes em
relação aos controles das normas
2. enumerar os requisitos regulamentares específicos que
ainda não foram totalmente capturados pelos controles
padrão e as condições às quais os requisitos se tornam
aplicáveis
3. incorporar o acima exposto no processo de avaliação de
risco no ciclo de auditoria
Um bom exemplo a examinar são os controles de
gerenciamento de violação de dados na ISO/IEC 27701 e os
requisitos de notificação de violação (artigo 33) na GDPR. Por
todas as medidas, os controles de gerenciamento de incidentes
de segurança da norma mapeiam diretamente com os requisitos
bsigroup.com
de notificação de violação de dados da GDPR.
Mas a norma não contém uma notificação específica de
72 horas, como exigido por lei. Para que os profissionais
demonstrem que a organização implementou um sistema de
gestão que cumpre este requisito particular da GDPR, devem
mostrar aos auditores que as organizações têm um processo
uniforme que notificaria as pessoas em causa e os reguladores
de privacidade dentro de 72 horas após a confirmação da
violação ou tem um processo para determinar se a violação
envolve cidadãos europeus ou se o processamento de dados
violado ocorreu na Europa e, em caso afirmativo, acionar a
notificação dentro do prazo exigido.
O mapeamento da norma em relação aos regulamentos e a
enumeração de requisitos regulamentares únicos e condições
aplicáveis são os mecanismos necessários para que os
controladores e processadores possam utilizar a ISO/IEC 27701
para verificar a conformidade regulamentar em relação a vários
regulamentos de privacidade.
5
Privacy matters

Leis de privacidade de dados

Como o desafio aumenta para as organizações para manter
os dados seguros e minimizar o risco de uma violação, não
é surpreendente ver as leis de privacidade evoluindo para
acompanhar as mudanças no cenário empresarial. Mais
notavelmente, o GDPR da UE tem recebido muita atenção.
A GDPR é a lei da UE para a preservação dos direitos e
liberdades fundamentais que todos têm o direito à proteção das
informações pessoais que lhes dizem respeito. Estes direitos
devem também ser preservados no que respeita às atividades
de tratamento de dados e à livre circulação de informações
pessoais entre os Estados-Membros da UE. O tratamento de
dados deve ser efetuado em benefício das pessoas singulares a
quem os dados pertencem. Existem leis semelhantes em todo o
mundo para proteger as informações pessoais e os direitos dos
cidadãos, incluindo alguns requisitos específicos do setor, tais
como os cuidados de saúde, o comércio varejista e bancos.

Setor da saúde
Como um setor que recolhe algumas das informações pessoais mais sensíveis, as leis de proteção de dados
específicas dos cuidados de saúde são muito proeminentes. Por exemplo, existe o Código de Saúde Pública
francês (artigo L.1111-8) que exige que os prestadores de serviços que hospedam certos tipos de dados de saúde/
médicos sejam acreditados para esta atividade. E o Health Insurance Portability and Accountability Act nos
Estados Unidos estabelece o padrão para a proteção de dados de pacientes sensíveis e exige que os planos de
saúde dos EUA, as câmaras de compensação e os prestadores de cuidados de saúde, ou qualquer organização ou
indivíduo que atue como fornecedor ou subcontratado com acesso a informações pessoais de saúde, cumpram.

É também importante destacar o Mercado Único Digital
Europeu. Esta é uma política, anunciada em 2015, que
abrange o marketing digital, o comércio eletrônico e as
telecomunicações. O seu objetivo é abrir oportunidades para
pessoas e empresas, derrubando barreiras existentes. Tem três
pilares fundamentais:
• Acesso a produtos e serviços online
• Condições para que as redes e serviços
digitais cresçam e prosperem
• O crescimento da economia digital europeia
Facilita o processamento e o comércio transfronteiriço de
dados. No entanto, as diferenças nas leis de privacidade
de dados entre os estados membros da Europa foram
reconhecidas como uma barreira para que o Mercado Único
Digital Europeu fosse um sucesso. Portanto, a introdução da
GDPR para ajudar a harmonizar a privacidade dos dados em
toda a Europa é uma mudança positiva.

Mecanismos de certificação para ajudar a demonstrar
o cumprimento das leis de proteção de dados
A GDPR incentiva o estabelecimento de mecanismos de certificação
e selos e marcas de proteção de dados para ajudar a demonstrar o
cumprimento dos regulamentos das operações de processamento
pelos controladores e processadores (GDPR (EU) 2016/679, Artigo
42). Além disso, tal certificação ou selo pode ser usado para
mostrar que uma organização tomou as medidas certas para tratar
informações pessoais de uma forma alinhada com a GDPR..
Mecanismos consistentes de certificação podem trazer para o
quadro o importantíssimo fator “responsabilidade”, facilitando
a redução de riscos e melhorando o livre fluxo de informações
pessoais. Isto ajuda as organizações a fornecer serviços úteis, ao
mesmo tempo que aumenta a transparência do processo e mostra
integridade aos clientes sobre a proteção de informações pessoais,
conforme ilustrado na Figura 2.
Também traz à superfície a importância do processamento de
dados para a gestão da cadeia de fornecimento, uma vez que
o controlador é responsável pelos dados desde o berço até à
sepultura. Considere um produto como um cartão de crédito que é
co-branded por uma companhia aérea e um banco. As informações
dos clientes de ambos os lados precisariam ser trocadas para
identificar quais clientes provavelmente irão utilizar tal produto.
A troca de informações pessoais de um cliente introduz um risco.
Como cada lado verifica se o outro irá proteger adequadamente os
bsigroup.com
dados dos seus clientes? O risco é exacerbado à medida que mais
jogadores estão envolvidos. Uma empresa de marketing pode ser
contratada para atingir clientes, talvez até para comprar anúncios
em uma plataforma de mídia social. Um serviço de nuvem também
pode ser utilizado pela empresa de marketing para armazenar e
processar dados relacionados a esta campanha de marketing. A
certificação pode servir como uma verificação independente que
comprovará a eficácia do processo e controlará a organização
para avaliar o risco de troca de informações pessoais entre as
organizações ao longo da cadeia de fornecimento.
No entanto, como ilustrado na Figura 2(a), se uma organização
usa um esquema de certificação em uma jurisdição, e outra é
certificada para um esquema diferente que é aplicável em outra
jurisdição, isso pode não fornecer a garantia necessária ou nível
de confiança aos parceiros de negócios de que as informações
pessoais pertencentes aos seus clientes estão sendo tratadas
adequadamente. Dada a natureza global do negócio, é necessário
um mecanismo de garantia consistente e uniforme para mostrar
que as organizações cumprem os regulamentos, protegendo
as informações pessoais e fornecendo um capacitador para o
crescimento do negócio, como mostrado na Figura 2(b). Uma
certificação comum GDPR reconhecida em todas as jurisdições
do setor é necessária para mitigar o risco e diminuir as barreiras
ao comércio entre parceiros comerciais.
7
Questões de privacidade

Figure 2 – Permitindo o comércio através de mecanismos consistentes de certificação de

privacidade de dados.
(a) Certificação fragmentada entre organizações.

(b) Certificação consistente


Este sentimento é ecoado pela Agência da União Europeia
para a Segurança de Redes e Informação (ENISA) que publicou
recentemente recomendações sobre certificação para a GDPR
[ENISA]: Recomendação sobre a Certificação Europeia de
Proteção de Dados, Versão 1.0, Novembro de 2017; https://
www.enisa.europa.eu/publications/recommendations-on-
european-data-protection-certification]. A ENISA afirma que a
certificação, os selos e as marcas têm um papel significativo
a desempenhar para que os controladores de dados possam
alcançar e demonstrar a conformidade das suas operações
de processamento com as disposições da GDPR. A ENISA
A ISO/IEC 27701 é um mecanismo potencial de certificação
A ISO/IEC 27701 aborda as recomendações acima, e está
previsto que possa ser usada como base de um mecanismo
de certificação (conforme estipulado pelo artigo 42). Se usada
dessa forma, ela forneceria a prova necessária de que uma
organização trata as informações pessoais de seus clientes em
conformidade com a lei, inclusive para o caso de fluxos de dados
transfronteiriços. A ISO/IEC 27701 é aplicável a organizações
de todos os tamanhos e ambientes culturais. É para a recolha e
processamento de informações que identificam pessoalmente
tanto os funcionários como os clientes. O conjunto de
controles em desenvolvimento amplia as medidas técnicas de
implementação da segurança da informação para também
atender aos requisitos de privacidade e, se implementado por
uma organização, pode ajudar a demonstrar a conformidade
com as leis de privacidade de dados, como a GDPR.
Portanto, demonstrando a conformidade com os controles em
ISO/IEC 27701 e gerar a documentação necessária como prova
de como uma organização lida com IPI pode:
• reduzir significativamente a carga de trabalho de conformidade,
negando a necessidade de suportar múltiplas certificações
• aumentar a confiança entre organizações e clientes,
demonstrando o cumprimento das leis de privacidade de dados
• gerar evidências que os Data Protection Officers possam fornecer
à gerência sênior e aos membros do conselho para mostrar seu
progresso no cumprimento das normas de privacidade
• aumentar as oportunidades de negócios e comércio através do
Mercado Único Digital da UE e fluxos de dados transfronteiriços
bsigroup.com
recomenda que os organismos nacionais de certificação e
as autoridades de supervisão, sob a orientação e apoio da
Comissão Europeia e do Conselho Europeu para a Proteção
de Dados, adotem uma abordagem comum em relação à
criação e implementação de mecanismos de certificação GDPR.
Recomendam também que a abordagem seja escalável e que
utilize critérios aprovados e amplamente adotados. A coerência
e harmonização dos mecanismos de certificação em toda
a Europa são enfatizadas e a confiabilidade e transparência
são reforçadas como traços importantes do processo de
certificação.
Além disso, a aplicação pretendida da ISO/IEC 27701 é
aumentar o ISMS existente com controles específicos de
privacidade e criar um SGPIP que permita uma gestão de
privacidade eficaz dentro de uma organização. Com uma rede
bem estabelecida de auditores que fornecem certificação
contra a ISO/IEC 27001, que é comumente aceita como um
padrão de sucesso para segurança da informação, a ISO/IEC
27701 está em uma posição muito boa para ser integrada aos
processos de auditoria existentes.
A ISO/IEC 27701 foi desenvolvida através de reconhecidos
processos orientados por consenso; esta é uma das principais
tarefas no desenvolvimento da norma. Tem havido contributos
e análises de uma série de partes interessadas da indústria e
da regulamentação; isto inclui a participação e revisão pelo
Conselho Europeu de Proteção de Dados (anteriormente, o
Grupo de Trabalho do Artigo 29), constituído pelas Autoridades
de Proteção de Dados (DPA) de todos os países da UE. As APD,
bem como os organismos de acreditação de auditores, terão de
se certificar de que um mecanismo de certificação baseado na
ISO/IEC 27701 assiste adequadamente as organizações de todos
os setores industriais e de todas as dimensões para demonstrar
a conformidade com os regulamentos de privacidade.
Além disso, um mecanismo de certificação deve atender às
necessidades dos controladores e processadores, ambos com
inúmeros controles definidos para eles na ISO/IEC 27701.
9
Questões de Privacidade

Importância do envolvimento das partes interessadas

Como mencionado anteriormente, a ISO/IEC 27701 é uma
extensão da ISO/IEC 27001, e a norma está estruturada na
convenção de sistemas de gestão ISO (comumente referida
como “Anexo SL”), permitindo que múltiplos sistemas de
gestão sejam implementados de forma mais eficiente por
uma organização. A Figura 3 mostra o panorama das partes
interessadas e a importância dos seus papéis. Ao trabalhar
já com a ISO/IEC 27001 ISMS existente, todas estas partes
interessadas estarão em ótima posição para trabalhar com
a ISO/IEC 27701. Todas elas partilham objetivos comuns
sobre gestão de informação pessoal e a necessidade de uma
abordagem reconhecida para mostrar que esta está a ser
levada a sério, que é onde entra o papel da ISO/IEC 27701.

Figura 3 – Imagem das partes interessadas para certificação baseada na ISO/IEC 27701 (fonte: Microsoft).

Implementar o
SGPIP
Processors
Ajudar a DPA e as autoridades
nacionais de acreditação a executar
os artigos 42 e 43 da GDPR  
Consultores
Objetivos comuns Implementar o
SGPIP
• Demonstrar a visibilidade do SGPIP em escala em todo o mercado.  
Controllers
• Encorajar a adoção da certificação pan-europeia GDPR.  
• Demonstrar ao mercado que os SGPIP
são uma prova abrangente do GDPR.

Fornecer uma rede de Auditores e

Iniciar e realizar Consultores acreditados para assegurar
processos de certificação uma linha de base consistente em toda
Auditores DPAs a Europa e no Mundo
 bsigroup.com

Conclusões
Para concluir, a gestão de informações pessoais em conformidade com o panorama
regulamentar em evolução é complexa, mas não pode ser ignorada. A proteção das
informações pessoais de um indivíduo é um dos seus direitos humanos fundamentais.
Existem leis em todo o mundo para proteger esses direitos num ambiente onde os
negócios e os dados relacionados à vida pessoal estão se tornando cada vez mais
globalizados. O GDPR europeu foi introduzido para assegurar que a recolha e o
processamento de informações que identificam pessoalmente são conduzidos de forma
legal e apoia os fluxos de dados transfronteiriços necessários para permitir o Mercado
Único Digital da UE.

A GDPR europeia reconhece que os mecanismos de certificação para demonstrar a

conformidade com os regulamentos vão muito longe para aumentar a confiança na
forma como as organizações tratam os dados pessoais, ao mesmo tempo que criam
oportunidades de negócio através da garantia entre organizações. Isto é especialmente
verdade se a certificação for implementada consistentemente entre os estados membros
da UE e para além das fronteiras da Europa para permitir o comércio e negócios globais.

A introdução da ISO/IEC 27701 é uma adição necessária ao portfólio de normas

existentes. A implementação dos controles especificados na ISO/IEC 27701 deve permitir
que uma organização documente evidências de como ela trata o processamento de
informações pessoais. Tais evidências podem ser usadas para facilitar acordos com
parceiros comerciais onde o processamento de informações pessoais é mutuamente
relevante e, no caso de obter um mecanismo de certificação amplamente aceito, pode
ajudar a demonstrar a conformidade com leis de proteção de dados, como a GDPR.

11
Privacy Matters

Por que o BSI?

BSI/UK/1591/SC/0719/EN/GRP
O BSI tem estado na vanguarda dos padrões de segurança da informação desde 1995, tendo produzido a primeira norma do mundo,
BS 7799, agora ISO/IEC 27001, a norma de segurança da informação mais popular do mundo. E não paramos por aí, abordando as
novas questões emergentes, como privacidade, cibersegurança e segurança na nuvem. É por isso que estamos em melhor posição
para ajudá-lo.

Trabalhando com mais de 86.000 clientes em 193 países, o BSI é uma empresa verdadeiramente internacional com habilidades
e experiência em vários setores, incluindo automotivo, aeroespacial, ambiente construído, alimentação e saúde. Através de sua
experiência em Desenvolvimento de Normas e Soluções de Conhecimento, Garantia e Serviços Profissionais, o BSI melhora o
desempenho dos negócios para ajudar os clientes a crescer de forma sustentável, gerenciar riscos e, finalmente, ser mais resiliente.

Nossos produtos e serviços

© 2019 The British Standards Institution. All Rights Reserved.

Conhecimento
O núcleo do nosso negócio centra-
se no conhecimento que criamos e
transmitimos aos nossos clientes.
Na área dos padrões, continuamos
a construir a nossa reputação como
um órgão especializado, reunindo
especialistas da indústria para moldar
padrões a nível local, regional e
internacional.
Na verdade, o BSI originalmente criou
oito das 10 principais normas de
sistemas de gestão do mundo.
Assurance
A avaliação independente da
conformidade de um processo
ou produto com um determinado
padrão garante que nossos clientes
tenham um alto nível de excelência.
Nós treinamos nossos clientes
em técnicas de implementação e
auditoria de classe mundial para
garantir que eles maximizem os
benefícios das normas.
Conformidade
Para experimentar benefícios reais a
longo prazo, nossos clientes precisam
garantir o cumprimento contínuo de
uma regulamentação, necessidade
do mercado ou padrão, de modo
que se torne um hábito incorporado.
Fornecemos uma gama de serviços e
ferramentas de gestão diferenciadas
que ajudam a facilitar este processo.

Saiba mais sobre

a ISO/IEC 27701 com BSI

Ligue (11) 2148 9600

BSI Brasil
Rua Gomes de Carvalho, 1069 ou visite bsigroup.com/pt-BR/
Cj. 183/184
04547-004 Vila Olímpia
São Paulo - SP
bsibrasil@bsigroup.com