Se você atua com LGPD ou programas de privacidade de dados, já deve ter enfrentado desafios com a gestão de consentimento dos titulares, como ausência de rastreabilidade, dificuldades para revogação ou documentos pouco estruturados, entre outros.
A ISO 27560:2023 tem o propósito claro de padronizar a forma como as organizações documentam, mantêm e comprovam o consentimento de titulares de dados pessoais.
A boa notícia? Ela está disponível gratuitamente.
Por que adotar normas ISO como base?
As normas da ISO - International Organization for Standardization representam referenciais técnicos internacionais, desenvolvidos por especialistas globais com base nas melhores práticas.
Adotá-las como referência nos programas de privacidade e compliance traz diversos benefícios:
- Padrões objetivos e auditáveis, facilitando demonstrações de conformidade;
- Harmonização entre setores e jurisdições, essencial no tratamento de dados;
- Melhoria na governança de dados, segurança da informação e confiança junto aos titulares.
Quando falamos da ISO de gestão de consentimento, estamos tratando de uma estrutura padronizada para registrar, comprovar, gerenciar e assegurar a validade dessa base legal, além de mitigar riscos legais relevantes.
O que é consentimento na LGPD e no GDPR?
O consentimento é uma das bases legais previstas tanto na LGPD quanto no GDPR, e deve obedecer a critérios para ser considerado válido.
- Pela LGPD (art. 5º, XII e art. 7º, I): Consentimento é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
- Pelo GDPR (art. 4, 11): Consentimento é qualquer indicação livre, específica, informada e inequívoca da vontade do titular, pela qual este, mediante declaração ou ação afirmativa clara, aceita o tratamento de dados pessoais que lhe digam respeito.
Ambas as legislações enfatizam que o consentimento deve ser claro, específico, revogável e rastreável. A ISO 27560 fornece os mecanismos técnicos e organizacionais para viabilizar esse rastreamento e controle.
Do que trata a ISO 27560:2023?
A ISO 27560:2023 define uma estrutura de informação interoperável, aberta e extensível para o registro e a emissão de recibos de consentimento por parte dos controladores de dados.
Seu foco é garantir que:
- O consentimento seja documentado de forma íntegra e verificável;
- O titular tenha um recibo com as informações essenciais sobre a autorização fornecida;
- A empresa possa gerenciar o ciclo de vida do consentimento, incluindo concessão, revogação e validade;
- Haja suporte para interoperabilidade entre sistemas e segurança jurídica em caso de auditorias ou investigações.
Resumo dos principais elementos da ISO 27560:2023
A norma organiza a estrutura de gestão de consentimento em três grandes instrumentos: o registro de consentimento (consent record), o recibo de consentimento (consent receipt) e eventos associados ao consentimento.
1. Consent record (registro de consentimento): É o documento interno mantido pelo controlador, que consolida todas as informações relevantes sobre o consentimento fornecido pelo titular.
- Identificação do titular (ou pseudônimo);
- Finalidade do tratamento;
- Base legal (consentimento);
- Data, local e forma de coleta do consentimento;
- Dados tratados e duração do tratamento;
- Informações sobre terceiros e locais de armazenamento;
- Método de revogação e de exercício de direitos.
2. Consent receipt (recibo de consentimento): Documento entregue ao titular como comprovação formal do consentimento concedido. Ele permite ao titular manter controle sobre seus dados e exercer seus direitos com base nas informações recebidas.
- Resumo das informações constantes no registro;
- Referência única ao consentimento dado;
- Dados mínimos para possibilitar auditoria, questionamento ou exercício de direitos.
3. Eventos associados ao consentimento: São registros que acompanham o ciclo de vida do consentimento e garantem sua rastreabilidade.
- Quando foi dado;
- Quando foi retirado;
- Quando expira ou precisa ser renovado.
Conclusão
A ISO 27560:2023 representa um avanço técnico na governança do consentimento, oferecendo uma base sólida para empresas que buscam amadurecer seus programas de privacidade.
Mais do que atender à LGPD ou ao GDPR, essa norma contribui para elevar o nível de confiança, rastreabilidade e profissionalismo nas relações com os titulares de dados.
Apesar de estar atualmente disponível apenas em inglês, vale muito a pena a leitura e, principalmente, sua aplicabilidade prática.
___________________
1 https://www.iso.org/standard/80392.html
2 https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
3 OpenAI. (2025). Título do prompt ou pergunta feita ou cocriação ou correção ao ChatGPT.