ITENS

A
1

7
8

10

11

12

13

14

15

16

17

18
19
20

21

22
D

23

24

25
26

E
28

29

30

31

32
33

34
G

35

36

37
38
39

40

41
42

43

44

45

46

47
48

49

50

51

52

53

54

55

56

57

58
 59

60

Status
Sim
Não
Parcialmente
Áreas
Compliance
Infraestrutura
Jurídico
TI
Definir responsável
Legenda Status STATUS - ITENS DIAGNÓSTICO
Sim
Não
Parcialmente
Sim
Não
Parcialmente

DIAGNÓSTICO INICIAL

A empresa realiza o tratamento de dados pessoais?

A empresa realiza o tratamento de dados pessoais de crianças e adolescentes?

O tratamento de dados pessoais é realizado com base na boa-fé e os princípios da
LGPD (i.e., finalidade, adequação, necessidade, livre acesso, qualidade dos dados,
transparência, segurança, prevenção, não discriminação, responsabilização e
prestação de contas)?

O tratamento de dados pessoais realizado pela empresa inclui automatização de

qualquer tomada de decisão (RPA), criação de perfis com base nos dados pessoais
transferidos (profiling) ou utilização analítica (analytics)?

TRATAMENTO DE DADOS PESSOAIS

O tratamento de dados pessoais realizado pela empresa é fundamentado nas bases
legais estipuladas na LGPD?

O tratamento de dados pessoais de acesso público é baseado na finalidade, boa-fé

e o interesse público que justificaram sua disponibilização?
O consentimento para tratamento de dados pessoais é obtido por escrito ou por
outro meio que demonstre a manifestação de vontade do titular de dados

Ao obter o consentimento do titular de dados pessoais a empresa deixa de forma

clara, precisa e objetiva as finalidades para as quais os dados serão tratados?
A empresa garante ao titular de dados pessoais o direito de retirar
o consentimento para tratamento de dados a qualquer momento (opt-out)?

O acesso a dados pessoais está restrito somente a funcionários autorizados?

A empresa possui um Portal de Privacidade para os titulares de dados pessoais nos
quais as informações sobre o tratamento de seus dados são disponibilizadas de
forma clara, adequada e ostensiva?
Caso haja alteração na finalidade do tratamento de dado pessoal, a empresa possui
um procedimento para informar os titulares dos dados pessoais acerca dessa
mudança?
A empresa realiza o tratamento de dados pessoais sensíveis de acordo com
as bases legais específicas previstas na LGPD?
Os dados pessoais sensíveis tratados pela empresa são compartilhados
com terceiros?
A empresa obtém o consentimento específico e destacado de um dos pais ou
responsável legal para tratar dados pessoais de crianças?
A empresa condiciona a participação de crianças em jogos, aplicações de internet
ou outras atividades ao fornecimento de dados pessoais?

TÉRMINO DO TRATAMENTO DOS DADOS PESSOAIS

A empresa possui uma política periódica para eliminação de dados pessoais?

Os dados pessoais são tratados por período indeterminado?
A empresa possui um procedimento para eliminação de dados pessoais?
A empresa possui um procedimento para atender solicitações para eliminar dados
pessoais de seus sistemas, se necessário?
empresa anonimiza os dados pessoais que permanecem em seus sistemas após o
término do tratamento?
 DIREITOS DOS TITULARES
A empresa possui um procedimento para atender às solicitações de acesso
aos dados pessoais realizadas por titulares?
A empresa possui registros de todos os dados pessoais por ela tratados e seus
respectivos titulares?
A empresa possui procedimento para disponibilização e acesso dos dados
pessoais de seus titulares caso venham a ser solicitados em até 15 dias após o
requerimento?
Os dados pessoais tratados são acessados por terceiros?
A empresa possui a capacidade de indicar para os titulares de dados pessoais em
quais processos existe tomada de decisão gerada pelo tratamento automatizado de
dados pessoais?

TRANSFERÊNCIA INTERNACIONAL DE DADOS

A empresa realiza transferência internacional de dados pessoais?
A empresa realiza transferência internacional de dados pessoais de acordo com
as bases legais da LGPD?
Os países para os quais a empresa realiza transferência
internacional de dados possuem grau de proteção de dados adequado?

DEVERES DO CONTROLADOR E OPERADOR

A empresa possui Record of Processing Activities (Registro das Operações de
Tratamento de Dados Pessoais), conforme exigido pelo art. 30 da GDPR e 37 da
LGPD?

Em caso de atividades de tratamento de dados pessoais que resultem em um alto

risco para os titulares de dados, você realiza um Relatório de Impacto à Proteção de
Dados Pessoais (Data Protection Impact Assessment - DPIA)?
A empresa nomeou um Encarregado (Data Protection Officer - DPO)?
A empresa limita o tratamento de dados pessoais ao tratamento necessário para os
fins específicos que justificam a sua coleta?
 BOAS PRÁTICAS
A empresa possui políticas, procedimentos, e medidas protetivas (e.g., controles de
acesso, criptografia, modificação de dados, mascaramento de dados) que
asseguram a segurança e garantia de conformidade com os regulamentos/leis de
privacidade?
A empresa possui uma política/procedimento de back-up em relação aos dados
pessoais?
A empresa possui estratégia e roadmap de implementação para estar em
conformidade com as novas regulamentações?
A empresa possui um programa de governança em privacidade?
Os dados pessoais são armazenados em um local e ambiente seguros?
Existe um processo para atualizar políticas, procedimentos, diretrizes de
gerenciamento de riscos, procedimentos de violação, etc. para refletir as
atualizações / mudanças das expectativas regulatórias ou mudanças internas no
programa de privacidade?
A empresa conduz avaliações de vulnerabilidade e testes de penetração em seus
sistemas de tratamento de dados pessoais?
A empresa é certificada em algum padrão ou framework de segurança?

FUNCIONÁRIOS
A empresa promove treinamentos obrigatórios para os funcionários,
conscientizando-os sobre a importância e sobre suas responsabilidades em relação
à privacidade e proteção de dados pessoais?

Existe um processo formal para revisar e atualizar o treinamento periodicamente?

A empresa oferece orientação aos funcionários de terceiros a respeito das práticas a
serem tomadas em relação à proteção de dados pessoais?
A empresa exige que seus funcionários e prestadores de serviços assinem acordos
de confidencialidade e segurança de dados?
A empresa instrui seus funcionários e contratados a limitar o armazenamento
de dados pessoais do cliente em dispositivos de armazenamento móvel ao mínimo
exigido para fins comerciais?
A empresa possui uma política de revisão regular das permissões de acesso
aos dados pessoais que garanta o acesso somente aos funcionários e contratados
que precisam ter acesso, bem como um procedimento para prevenir prontamente
funcionários e contratados desligados de acesso a dados pessoais?

INCIDENTES DE DADOS PESSOAIS

A empresa possui um processo apropriado para notificar os titulares de dados

pessoais sobre uma violação de dados, quando aplicável

A empresa é capaz de detectar rapidamente incidentes de segurança (e.g., incluindo

acesso não autorizado, destruição, perda, alteração e violações de dados)?

A empresa possui um procedimento para agir, prontamente, em caso de incidentes

de segurança, incluindo notificação aos titulares de dados pessoais afetados?
A empresa pode fornecer uma lista de todas as notificações de privacidade de dados
que possui?
Sua empresa já passou por algum incidente de violações de segurança da
informação nos últimos dois (2) anos?

Sua empresa está atualmente sujeita a quaisquer ações de execução, investigações

ou litígios relacionados à privacidade ou à segurança da informação?

JURÍDICO
Os contratos com terceiros da empresa possuem cláusulas compatíveis com os
termos e condições das leis de proteção de dados, em vigor?
Os contratos de trabalho da empresa possuem cláusulas compatíveis com os termos
e condições das leis de proteção de dados, em vigor?

A empresa possui cláusulas contratuais de privacidade e proteção de dados em

seus contratos em casos de transferência internacional de dados pessoais?
A empresa possui uma metodologia de auditoria prévia de privacidade e proteção de
dados para fins de negociação com terceiros?
Empresa possui políticas de privacidade (interna e externa) e boas práticas com
relação a proteção de dados pessoais alinhadas com as regras da LGPD?
A empresa possui algum tipo de metodologia para fins de acompanhamento das
alterações jurídicas, legais e de jurisprudência relacionadas à LGPD e proteção
de dados pessoais no Brasil?

0
0
0

#REF!
#REF!
#REF!
#REF!
#REF!
CO
Nome empresa parceira:
CNPJ:
Sim
Responsável pelo preenchimento:
Não
Contato do responsável:
Parcialmente
Objeto do contrato:

STATUS OBSERVAÇÕES/Comentários

INFORMAÇÕES GERAIS
 Área Responsáve
Elaboração:Alin

INÍCIO DAS AÇÕES DATA CONCLUSÃO

 FORM PD - 01/2021
REV 01/21
Área Responsável: Compliance
Elaboração:Aline Figueiredo

TEMPO DE EXECUÇÃO

11/1/2023

11/1/2023

11/1/2023

11/1/2023

11/1/2023

11/1/2023
11/1/2023

11/1/2023

11/1/2023

11/1/2023

11/1/2023

11/1/2023

11/1/2023

11/1/2023

11/1/2023

11/1/2023

11/1/2023
11/1/2023
11/1/2023

11/1/2023

11/1/2023
11/1/2023

11/1/2023

11/1/2023
11/1/2023

11/1/2023

11/1/2023

11/1/2023

11/1/2023

11/1/2023

11/1/2023
11/1/2023

11/1/2023
11/1/2023

11/1/2023

11/1/2023
11/1/2023
11/1/2023

11/1/2023

11/1/2023
11/1/2023

11/1/2023

11/1/2023

11/1/2023

11/1/2023

11/1/2023
11/1/2023

11/1/2023

11/1/2023

11/1/2023

11/1/2023

11/1/2023

11/1/2023

11/1/2023

11/1/2023

11/1/2023

11/1/2023
11/1/2023

11/1/2023
Bases Legais
Tratamento
Dados pessoais
Dados pessoais de crianças e adolescentes
Boa fé - Principios LGPD
Acesso Público
Consentimento
Titular
Bases Legais
Dados pessoais sensiveis
Terceiros
Criança
Eliminação dos dados
Tranferencia internacional
Paises com grau de proteção adequado

Registro de operações de tratamento de dados pessoais

Relatorio de impacto a proteção de dados pessoais
DPO Nomeado?
(i) Consentimento; (ii) Cumprimento de Obrigação Legal; (iii) Execução de Políticas Públicas; (iv) Estudo por órgão de pesquisa; (v)
O tratamento de dados é toda operação realizada com dados pessoais como as que se referem a coleta, produção, recepção, class
Dados pessoais são qualquer informação relacionada a uma pessoa natural identificada ou identificável, como por exemplo, nome e
Dados Pessoais de menores de idade, ou seja, para crianças de 0 a 12 anos, e, para adolescentes de 13 a 17 anos.
(i) Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade d
dados pessoais cujo acesso é aberto ao público em geral (e.g., dados de sócios das empresas, dados de processos judiciais).
manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidad
pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
o tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: (i) Consentimento, (ii) Cumprimento de
Dados sobre origem racial ou étnica; Opinião política; Convicções religiosas ou filosóficas; Dados genéticos; Dados biométricos; Da
pessoas (físicas ou jurídicas) não envolvidas diretamente na relação de tratamento de dados pessoais (e.g., prestadores de serviços
pessoa natural de até 12 anos de idade.
exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
é a transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.
apesar do Brasil ainda não possuir uma lista de países definida, é válido usar a lista da União Europeia como referência, que inclui:

Documento que mantém registros das atividades de processamento sob responsabilidade do controlador, contendo as informações
é toda a documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar ri
é a pessoa indicada pelos agentes de tratamento para atuar como canal de comunicação entre o controlador, a Autoridade Naciona
nicação, transferência, difusão ou extração.

to do tratamento. (iii) Necessidade: é a limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência

ela da Saúde, (viii) Prevenção à Fraude.

ado ao Privacy Shield framework).

A finalidade do processamento dos dados; - A descrição das categorias dos titulares de dados e das categorias dos dados pessoais; - As cate
idades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados. (iv) Livre

dados pessoais; - As categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo os destinatários estabelecid
mento de dados. (iv) Livre Acesso: é a limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência

destinatários estabelecidos em países terceiros ou organizações internacionais; - Os prazos previstos para a exclusão das diferentes categor
dades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados. (v) Qualid

ão das diferentes categorias de dados; - As bases legais estipuladas para tratamento de dados.
ento de dados. (v) Qualidade dos Dados: é a garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com
os dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; (vi) Transparência: é a garantia, aos titulares,
a garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes d
os respectivos agentes de tratamento, observados os segredos comercial e industrial. (vii) Segurança: é a utilização de medidas técnicas e a
o de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas d
ões acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. (viii) Prevenção: é a adoção de medidas para prevenir a oc
edidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais. (ix) Não Discriminação: é a impossibilidade de realiz
impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos. (x) Responsabilização: demonstração, pelo agente
emonstração, pelo agente que trata dados pessoais, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento
ervância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.