AUTOAVALIAÇÃO

CHECKLIST
DA LGPD

Soluções de Privacidade e Segurança

São Paulo | Vitória para Empresas de Alta Performance
Introdução

Obrigado por fazer o download da C

​ hecklist da LGPD​.

Ela ajudará sua organização a entender o nível de maturidade alcançado em suas práticas e no que
você pode se concentrar para melhorar. Abaixo, você encontrará uma lista com 28 capacidades
importantes para as práticas de Privacidade e Proteção de Dados, de acordo com as regulamentações
brasileira - Lei Geral de Proteção de Dados (LGPD) - e europeia - GDPR.

Use esta checklist para realizar uma autoavaliação e conte com o apoio da SPIRITSEC para implantar as
melhorias necessárias.

André Hemerly Paris

Head of Privacy
Aviso Legal: As ações aqui avaliadas não contemplam todos os requisitos a serem cumpridos para adequar as organizações a LGPD
e/ou GDPR.

1
Checklist da LGPD
Nas páginas a seguir, há um inventário de capacidades e características comumente encontradas em
organizações e equipes que se preocupam com a Privacidade e Proteção de Dados. Para cada item
abaixo, marque 0, 1, 3 ou 5.

Pontuações
0 = Não fazemos isso de forma alguma.
1 = Fazemos isso em pequena escala.
3 = Fazemos isso de forma moderada.
5 = Isso é prevalente em toda a nossa organização.

2
Dados Pessoais

Descrição Pontuação

1. A organização conduz atividades de tratamento sobre dados pessoais de crianças e

adolescentes.

2. A organização conduz atividades de tratamento sobre dados pessoais sensíveis

(relacionados à saúde, orientação religiosa, política ou sexual, origem étnica, dados
biométricos ou genéticos etc.)

3
Princípios

Descrição Pontuação

3. Os dados pessoais coletados são aqueles estritamente necessários para a realização dos
tratamentos pretendidos.

4. O titular é informado sobre quais dados pessoais são coletados, o porquê e como a
organização os utiliza.

5. Os dados pessoais coletados são utilizados somente para as finalidades informadas ao

titular.

4
Direitos do Titular

Descrição Pontuação

6. É facultado ao titular o direito de retirar o consentimento fornecido (com a mesma

facilidade que o concedeu).

7. A organização possui procedimento para promover a adequada e célere resposta (dentro

de 15 dias) a requisições de titulares de dados pessoais (acesso, atualização, eliminação
etc.).

8. O consentimento para a condução de tratamentos de dados pessoais é registrado de

alguma forma que permita sua rastreabilidade.

5
Governança de Dados Pessoais

Descrição Pontuação

9. A organização já nomeou um “Encarregado” (Data Protection Officer DPO)?

10. Os membros da organização possuem acesso somente aos dados pessoais que são
estritamente necessários para desempenhar suas funções.

11. A organização possui o mapeamento dos fluxos internos e externos pelos quais os dados
pessoais utilizados em suas operações transitam.

6
Atividades de Tratamento

Descrição Pontuação

12. As atividades de tratamento conduzidas pela organização estão amparadas em alguma

das bases legais presentes nos artigos 7º ou 11 da LGPD (consentimento, legítimo
interesse, cumprimento de obrigação legal ou regulatória, cumprimento de obrigação
contratual, prevenção à fraude etc.).

13. A organização possui inventários de dados pessoais e das atividades de tratamento sobre
eles conduzidas.

14. Os dados pessoais armazenados pela organização são eventualmente eliminados (por
exemplo, quando não mais persiste a finalidade para a qual eles foram inicialmente
coletados).

7
Privacidade por Padrão

Descrição Pontuação

15. A organização conduz análises sobre as atividades de tratamento de dados pessoais que
conduz (ou que pretende conduzir), de forma a identificar riscos aos direitos e liberdades
dos titulares.

16. A organização possui procedimento para a elaboração de Relatório de Impacto à

Proteção de Dados Pessoais (RIPD)?

8
Transferência Internacional

Descrição Pontuação

17. A organização realiza transferências internacionais de dados pessoais.

18. Os países ou organizações internacionais para os quais dados pessoais são transferidos
possuem grau de preocupação com a privacidade e a proteção de dados pessoais
equivalente ao mesmo nível que a LGPD exige.

9
Proteção de Dados

Descrição Pontuação

19. O armazenamento dos dados pessoais sob a custódia da organização é feito de forma
segura (por exemplo, com proteção por senha, ferramentas de criptografia, de dupla
autenticação, com fechaduras – para armazenamento físico – etc.).

20. A organização possui controles administrativos, técnicos e físicos (política de segurança

da informação, política de privacidade, sistemas de prevenção à perda de dados,
gerenciamento de incidentes, criptografia, backup, firewall, antivírus, monitoramento,
minimização e anonimização de dados) de segurança para garantir que a condução das
atividades de tratamento sobre dados pessoais seja feita de forma segura.

21. A organização realiza testes de invasão aos sistemas acima descritos e conduz
avaliações sobre suas respectivas vulnerabilidades.

22. As políticas de segurança são aplicadas por padrão e se aplicam a todos os

colaboradores e fornecedores.

10
Compartilhamento de Dados

Descrição Pontuação

23. Dados pessoais, sensíveis ou não, são compartilhados (direta ou indiretamente) com
terceiros (como fornecedores de serviço de armazenamento em nuvem, de troca de
e-mails etc.).

24. A empresa possui cláusulas de privacidade de dados e de confidencialidade em suas

minutas padrões contratuais.

11
Resposta à Incidentes de Segurança

Descrição Pontuação

25. A organização possui um procedimento estabelecido para a pronta resposta a incidentes

de segurança

26. A organização possui procedimento orientando quando e como notificar a Autoridade

Nacional de Proteção de Dados (ANPD) e titulares de dados pessoais impactados por
incidentes de segurança.

12
Treinamento e Conscientização

Descrição Pontuação

27. A organização conduz regularmente treinamentos internos sobre temas relacionados à

privacidade e proteção de dados.

28. A organização fornece orientação a terceiros com os quais compartilha dados pessoais
sobre a forma adequada de conduzir atividades de tratamento.

13
Calcule sua Pontuação Final
Some suas pontuações de cada item da avaliação para obter sua pontuação final:

Nível de Maturidade de Privacidade e Pontuação Final

Proteção de Dados

Nível Inicial 0 a 28 pontos

Nível Intermediário 28 a 84 pontos

Nível Avançado 85 a 140 pontos

14
Próximo Passo: Crie um Projeto de Adequação à LGPD e/ou GDPR

A criação de uma cultura de Privacidade e Proteção de Dados é um processo de melhoria contínua.

Para ajudar sua equipe a chegar ao próximo nível, conte com a consultoria especializada da SPIRITSEC.

Conduzida por uma equipe multidisciplinar, formada por advogados especializados em Privacidade e
profissionais certificados em Segurança da Informação, com experiẽncia internacional, ela pode ser
realizada em 4 módulos:

1. Mapeamento de Dados
2. Análise de Dados
3. Planejamento de Ações
4. Implementação das Ações

15
 Contato

SÃO PAULO
Av. Pres. Juscelino Kubitschek, 2041 Torre B
CEP 04543-011
(11) 2844-8412

VITÓRIA - ES
Rua José Alexandre Buaiz, 300 sl 2001
CEP 29050-545
(27) 4062-9421

negocios@spiritsec.com

AGENDE SUA REUNIÃO COM UM ESPECIALISTA