[Kit Grátis] Templates e Planilhas para implantar a LGPD na sua empresa

[Checklist] 5 passos para começar a implementação da LGPD

Esse material foi criado para apoiar sua empresa a se adequar à nova Lei Geral de Proteção de
Dados.

Aqui você encontra um checklist para montar sua estratégia de adequação à LGPD, facilitando o seu
entendimento sobre quais dados sensíveis estão sendo armazenados e usados na sua empresa, e além
disso, identificar os riscos que o seu negócio pode correr após a entrada em vigor da Lei.

Nessa planilha você vai encontrar um checklist de etapas para execução e adequação à LGPD.

Esperamos que seja útil. Qualquer dúvida estamos à disposição

P.s: Caso ainda tenha alguma dúvida sobre a LGPD, leia este material publicado em nosso blog
o da LGPD
Checklist para se adequar à LGPD
1. Criação de um Comitê Compliance

O termo "compliance", diz respeito a "estar em conformidade com". No âmbito empresarial é muito usado para garantir que as em
sempre de acordo com leis e obrigações. O comitê compliance vai garantir que toda a sua empresa - colaboradores, diretoria e pa
acordo com a legislação.

Em relação à LGPD, o compliance não deve ser um assunto somente de TI ou do Jurídico. Como você já deve saber, a LGPD, di
dados sensíveis de pessoas físicas, e, em uma empresa muitas áreas lidam com esses dados. Por isso, é importante envolver to
entender em cada uma delas, como está sendo tratado esses dados sensíveis, quem tem acesso a eles, como são armazenados

Por isso nesse primeiro passo, crie um comitê multidisciplinar, assim você terá maiores condições de entender quais são os risco
empresa pode estar exposta e como resolvê-los.

Um exemplo: você pode nomear um Responsável Geral pelo comitê, que irá acompanhar o andamento de todo o processo, desd
das informações, priorização e execução do plano de ação. Indica-se também a nomeação de um Responsável pela Execução, q
acompanhar a execução do plano de ação elaborado. Além disso, pode convidar um representante de cada área, para acompanh
ser responsável por repassar as informações à sua área e além disso irá contribuir com o processo de levantamento da riscos, qu
passo.

2. Levantamento dos riscos

Após criado o Comitê é preciso entender onde estão os principais GAP’s da sua organização. Para isso, elabore um L
Riscos.

Esse é um momento crucial dentro de todo o processo. Nesse levantamento de riscos, você deverá repassar por todo
empresa, elencando detalhes sobre todos os dados sensíveis usados em cada atividade da sua empresa. Você deve
responsável por cada setor. Com ele ficará o dever de repassar por todas as atividades da sua área, levantando se s
sensíveis e quais são, como são usados, armazenados e diversas outras informações.

Esse levantamento é essencial, pois será usado para priorizar as ações de adequação à lei. Através dele, você irá ent
estão os principais pontos de atenção em relação a LGPD. A lei é muito ampla e 100% de compliance, ou seja, de ade
extremamente difícil. Como a lei entra em vigor em agosto de 2020, é importante atacar onde haverá maior ganho em

Nessa etapa de levantamento de riscos, você também irá entender sobre terceiros, fornecedores, processos e contrat
estar sujeitos a riscos perante a LGPD. Exemplo:

2.1. Fornecedores
Avalie com quais fornecedores estão sendo compartilhados dados pessoais e se eles também estão se adequando a
quais as medidas estão sendo adotadas para proteção desses dados.

2.2. Infraestrutura
Avalie as medidas de segurança e proteção dos dados que estão sendo usadas na sua empresa e seu nível de eficiên
onde os dados são armazenados e as práticas de segurança que estão sendo usadas, exemplo política de senhas, fir
etc.

Para isso criamos um checklist específico que você encontra aqui na aba 2.

2.3. Revisão de contratos

Revise todos os contratos com fornecedores, parceiros, clientes e colaboradores. Inclua as cláusulas protetivas em re
sobre posse e tratativa dos dados sensíveis compartilhados.

2.4. Revisão de processos

Reavalie todos os processos onde existem dados pessoais. Nessa análise entenda o fluxo dos dados, desde o mome
empresa passa a ter a posse dele até o momento de sua eliminação. Isso envolve atualização, compartilhamento, nec
uso, quem tem acesso, etc.

Para te apoiar nessa etapa do processo, elaboramos um modelo de planilha onde você vai encontrar um passo-a-pos
para realizar o levantamento dos dados sensíveis na empresa apenas para preenchimento. Ele te guiará no levantame
em cada área na empresa. Tudo de forma prática.

Acesse clicando aqui.

3. Elaboração de uma matriz de risco

Após levantados todos os riscos, o próximo passo é fazer uma priorização de qual terá maior impacto na empresa e p
preferência no Plano de Ação.

Como o tempo para implementação é curto, coloque os riscos identificados no passo anterior em uma matriz. Nessa m
cruzar a probabilidade daquele risco acontecer e o impacto para o negócio. Para realizar essa priorização, você dará n
Após dado as notas, você terá uma matriz indicando se aquele risco é Extremo, Elevado, Moderado, Leve ou Baixo. A
começar o plano de ação pelos riscos que mais irão afetar a organização.

Criamos também uma Planilha de Matriz de Riscos que irá te ajudar nessa priorização. Basta preencher com os riscos
Tópico anterior.

Você pode baixar clicando aqui.

4. Elaborar plano de ação

Feito o todo o levantamento e a priorização dos riscos é hora de montar o Plano de Ação.

Para isso, começe com os Riscos Extremos e Elevados identificados na Matriz de Riscos. Deve-se fazer uma análise
pois caso algum risco não seja classificado como Extremo ou Elevado, mas tenha impacto grave sobre a empresa, ele
ser considerado no Plano de Ação. Nessa horá o Responsável pela Execução entrará em ação para acompanhar o pr
planejamento e execução.

Além dos riscos priorizados no Tópico anterior, existem alguns “entregáveis” exigidos pela lei, portanto é importante qu
plano. Esses documentos são importantes tanto para guiar as ações internas da empresa, quanto para prestação de c
ANPD (Autoridade Nacional de Proteção de Dados), caso solicitado. Esses entregáveis são:

4.1. Mapa de dados

Crie um Mapa de Dados. Esse mapa se trata de um documento sigiloso, apenas para uso interno. Ele deverá explicar
dados utilizados pela empresa, qual a finalidade e como são usados.

4.2. Política de privacidade

Crie de uma Política de Privacidade. Essa política irá orientar todo o público da empresa sobre como os dados são co
armazenados e tratados.
Na Política de Privacidade deve conter algumas informações essenciais, como: informações sobre a organização resp
tratamento; dados pessoais e respectivas finalidades do tratamento; base jurídica do tratamento; prazo de retenção do
pessoais; informações de contato do Data Protection Officer (DPO) ou encarregado de proteção de dados da organiza
Algumas outras informações que também deve conter na Política de Privacidade:
- Sobre compartilhamento dos dados com terceiros e qual a finalidade, inclusive redes sociais;
- Sobre transferência internacional e qual a finalidade;
- Sobre o tratamento por legítimo interesse;
- Sobre o envio de e-mail marketing e como remover o consentimento, quando autorizado inicialmente pelo titular;
- Sobre decisões automatizadas;
- Sobre a proteção de dados de menores de idade;
- Sobre a proteção dos dados sensíveis.

4.3. DPO
Nomeie um DPO, que será o guardião da compliance em relação a LGPD na empresa. O DPO será o responsável po
cultura de proteção de dados na empresa, além de criar normas e procedimentos adequados à lei. Algumas atividades
figura do DPO:
- Receber solicitações sobre o assunto;
- Interagir com a autoridade nacional do assunto caso necessário;
- Realizar treinamento sobre a LGPD internamente;

4.4. Portal do Consentimento

Crie de um "Portal de Consentimento". Nesse Portal, o público da empresa poderá ter acesso aos seus dados, pedir r
exclusões, etc. Isso será necessário, visto que a palavra que resume a LGPD é "consentimento". A empresa pode con
dado sensível desde que tenha o consentimento ou alguma base legal que valide essa posse. Após o consentimento,
dados deve ter transparência quanto a qual dado a empresa mantém, se está atualizado e também direito de retirar es
consentimento.

4.5. Revisão
Revise todas as práticas de controle de acessos aos dados. Essa revisão entra no checklist de segurança da informaç
dados sensíveis devem estar disponíveis apenas para quem de fato irá precisar daquele dado. Para isso, cada área d
as informações estejam seguras, para isso deve-se seguir algumas práticas.

O
5. último e nãoamenos
Trabalhar importante
cultura passo, é a cultura da empresa. A Privacidade deve se tornar um assunto comum de
da empresa
negócios.
Para isso, é importante que a empresa conscientize seus colaboradores sobre como ela lida com este tema e também
quais são as práticas para garantir a integridade desses dados.

Algumas sugestões:

a. Incluir o assunto no on-boarding dos novos colaboradores, ou seja, no treinamento e/ou integração dos funcionários recém con
b. Criar um manual de boas práticas para segurança de dados ou incluir o assunto no código de conduta da empresa, mas a ideia
quais são essas práticas, então use dos meios de comunicação direta com os colaboradores e garanta que eles irão acompanhar
c. Realizar treinamentos com a equipe sobre a LGPD e a política de privacidade da empresa. Muitos colaboradores podem não s
trata essa nova lei, então é importante que todos estejam na mesma página.
d. Fazer campanhas de comunicação interna destacando os principais pontos da LGPD e da política da empresa.

6. Manutenção

Seguindo esses passos sua empresa estará adequada com a LPGD, mas é essencial garantir a manutenção dessas p
empresa, por isso a figura do DPO será tão importante. Caso sua empresa tenha um volume de dados muito alta, exis
empresas de consultoria que estão apoiando as empresas nesse processo.

Mas seguindo esse checklist tenho certeza que irá facilitar seu entendimento sobre como e onde implementar a LGPD
empresa.
Status

Status
Status

Status
Status

Status
CONCLUÍDO
EM APLICAÇÃO
PENDENTE
Como garantir segurança de dados
1. Senhas

Garanta que cada colaborador tenha sua senha de rede, e-mail e sistemas. Instrua a todos a não informar essas senh
conhecidos ou outros colegas de trabalho.
Para a criação das senhas, instrua seus colaboradores a evitar senhas fáceis e repetitivas, com nomes e datas de ani
sua composição.
Informe que é necessário também a alteração das senhas periodicamente ou quando sentirem que ela já não seja tão
Quando o colaborador sair da frente do computador, instrua o mesmo a bloquear a tela, seja dentro ou fora da empre

Importante também que quando algum colaborador deixe a equipe, seja feito a revogação de todos os acessos do me
colaborador for desligado, é importante que esse procedimento seja solicitado com antecedência. Caso algum colabor
sair, você pode providenciar durante o aviso prévio.

2. Antivírus

Adiquira uma sistema de antivírus confiável e instale em todos os computadores. Mantenha o mesmo sempre atualiza
importante para garantir que o computador não seja hackeado e assim os dados sensíveis estejam expostos.
Um boa prática também é barrar o uso a alguns site que não tenham normas de segunrança atualizadas ou que apres
risco de vírus maior, como sites de downloads, filmes online, etc.

3. Backup

Tenha sempre um backup de todos os arquivos, principalmente daqueles mais importantes. Caso as ferramentas que
tenha opção de backup automático, sempre que achar necessário, faça-o manualmente. Crie alertas para lembrar de
backups. Assim não correrá risco de perder nenhum dado essencial ao seu negócio.

4. Outros dispositivos

Evite conectar dispositivos desconhecidos em seu computador, por exemplo, pen drives, HD externos e smartphones
conter arquivos maliciosos. Esses dispositivos podem comprometer a segurança e a integridade do seu equipamento.
podem roubar dados da sua máquina sem que ninguém perceba.

5. Sistema Operacional

Mantenha o seu Sistema Operacional (seja Windows, Linux, MacOS) sempre atualizados, há sempre atualizações de
disponíveis. Normalmente essas atualizações são feitas para corrigir alguns bugs do sistema ou até mesmo para traze
Quando o sistema operacional fica desatualizado você pode estar exposto a riscos de

6. Cuidados Pessoais

Você e seus colaboradores também são titulares de dados sensíveis, como informações pessoais, dados bancários, e
quais sites você os informa, existem muito sites especializados em roubar dados de usuários. Cuidado também ao usa
em lugares compartilhados, existem várias maneiras de roubas esses dados.
Evite abrir e-mails de desconhecidos e suspeitos, principalmente aqueles que contêm anexos ou links que encaminha
sites, como por exemplo, e-mails com boleto, atualização de cadastro bancário ou redes sociais ou até mesmo falando
ganhador de prêmios, além de SPC, esses são os mais comuns.
Status

Status

Status

Status

Status

Status
EM ANDAMENTO

CONCLUÍDO
AMENTO