Escolar Documentos
Profissional Documentos
Cultura Documentos
Gap Analysis LGPD
Gap Analysis LGPD
08
Revisão: 0
#4 Não aplicabilidade de dados para fins particulares e econômicos realizado por pessoa natural
Jornalísticos, artísticos, acadêmicos (Considerar Art. 7º e 11º. Segurança pública, defesa nacional, investigação e repreensão
4.1 de infrações penais.
5.2 Dado pessoal que não possa ser identificado e associado a uma pessoa natural
5.3 São mantidas rotinas para o tratamento de Dados pessoa sensível- Origem racial, étnica, religiosa, opinião política, filiação
partidária ou sindicato, caráter religioso ou filosófico, saúde e vida sexual, dados biométricos
5.4 São mantidas rotinas para anonimização de dados quando solicitado pelo titular para que esses dados não seja associados ou
identificados por meios técnicos.
5.5 Encontra-se definidas rotinas para um banco de dados seguro estabelecido em um ou vários locais em suporte eletrônico e
físico
5.6 A organização mantém sistema que reconhece o titular dos dados pessoais
5.7 São identificados pelo organização os controladores dos dados pessoais que realiza as atividades de tratamento de dados
pessoais
5.8 É idenficado por meios adequados o operador dos dados pessoais que realiza atividades de tratamento de dados
5.9 Foi estabelecido um encarregado de dados pessoais pelo controlador que tenha responsabilidade para comunicação entre o
controlador dos dados pessoais e seus respectivos titulares e com a autoridade nacional ANPP
5.10 A rotina de tratamento de dados contém procedimentos técnicos e seguros para: coleta, produção, recepção, classificação,
utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação,
avaliação, ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
5.11 Foram definidos as rotinas técnicas para anonimização de dados, roteiros para consentimento de uso, bloqueio, eliminação,
transferência internacional, uso compartilhado, e uso por órgão de pesquisa se solicitados.
2 Se houver uma mudança de contexto de utilização desses dados a política adotada aborda a questão de informar ao titular
dos dados
3 A coleta de dados limitam-se apenas aos fins pelo qual foram coletados de forma proporcional sem excessos.
4 Foi estabelecido uma rotina que permite transparência e livre acesso do titular dos dados pessoais de maneira facilitada e
gratuita bem como a verificação de integridade de seus dados pessoais.
5 É mantida rotinas e sistemas que permitam manter a precisão e qualidade dos dados pessoais
6 São mantidos recursos técnicos de proteção de acesso aos dados pessoais, prevenindo: Acesso não autorizados, ou
acidentais, ilícitas, perda e comunicação.
7 São mantidas medidas de prevenção de ocorrência de dados na atividade de tratamento de dados
8 A politica de privacidade prevê condições para não descriminação dos dados pessoais, bem como a responsabilização de
observância dos critérios para proteção dos dados pessoais
%
Total da Sessão Disposições Preliminares
Total Esperado
Rotina
Criada
6
x
x
x
x
x
x
4
X
X
X
11
X
8
x
x
x
x
100%
29
29
TRATAMENTO DE DADOS PESSOAIS
#7 Hipóteses para realização de tratamento de dados pessoais
7.1 É mantida uma rotina simples que permita que o titular do dado pessoal possa conceder o acesso a seus
dados pessoais com seu consentimento de forma e documentada.
7.2 É mantido evidencias que comprovem que o acesso a esses dados são para comprovação legal de sua
respectiva atividade
7.3 O acesso aos dados pessoais são realizados apenas quando: Órgãos de pesquisa, existirem meios para
anonimização, informações para preparação de contratos, exercícios de direitos em processos, proteção da
vida e saúde
7.4 Quando o controlador tiver interesses legítimos e proteção do crédito.
7.5 É mantido e disseminado o conhecimento de que o consentimento do uso do dados pelo titular não desobriga a
empresa das demais obrigações previstas na lei geral de proteção de dados,
A rotina de formalizada de consentimento de uso mantém esse item de forma destacada, visível e de fácil
8.1
entendimento.
É mantida rotinas para que o controlador possa provar que o consentimento foi obtido de forma legal
8.2
É mantida uma rotina que permita o titular revogar o seu consentimento de uso dos dados pessoais
8.4
Se algo for alterado são mantidas rotinas que permitam o titular dos dados ser informado.
8.5
Se o titular considerar que o tratamento encontra-se enganoso e ou abusivo existem rotinas que permitam
9.3
esclarecimento ou fim do tratamento dos dados pessoais.
Se o tratamento e uso de dados pessoais for parte integrante dos processos de negócio da organização
9.4 existem rotinas para que isso seja informado de forma destacada ao titular dos dados pessoais.
Apenas os dados de legítimo interesse do controlador estão sendo solicitados para tratamento?
10.3
Existe em uso uma rotina que permita e transparências de uso dos dados pessoais para atender o legítimo
10.4 interesse do controlador?
Existem rotinas seguras que permitam a portabilidade de dados pessoais sensíveis, que esses dados sejam
verificados por operadoras de planos de saúde, seja possível sua anonimização,
12.2
O órgão de pesquisa entende ser ele o responsável pela proteção dos dados pessoais.
13.2
Existe entendimento que o acesso aos dados pessoais é regulamentado pela autoridade nacional
13.3
É mantida uma rotina que define a forma com que os dados pessoais de crianças e adolescentes são
14.3 coletados em ocasiões que não há consentimento dos pais?
A rotina estabelecida garante que os dados pessoais do responsável legal não são condicionados na obtenção
14.4 dos dados pessoais de crianças e adolescentes para fins de jogos e atividade de internet além da estritamente
necessárias para o consentimento de uso?
São mantidas rotinas que permitam a eliminação segura dos dados pessoais após concluído o ciclo de
15.3 tratamento desses dados para a finalidade que se destinaram?
São mantidas rotinas que permitam a verificação das: Obrigações legais, anonimização, transferência a
15.4 terceiros se permitido pelo titular,
%
Total da Sessão Liderança
Total Esperado
Rotina Rotina Rotina Dica de aMétodos utilizados e
Criada Implementada Evidenciada aplicadoslicação e Conformidade
5 0 0
x DQ-056 Politica de Privacidade.
5 0 0
Rotina formalizada no DQ-069 no F0-
x 056
4 0 0
X Rotina formalizada no DQ-069 intem
9(e) NOTAS.
X Rotina formalizada no DQ-069 intem
9(e) NOTAS.
4 0 0
x DQ-056 Politica de Privacidade.
2 0 0
X Não aplicável ao sistema de gestão da
AREATEC - Ver DQ-069 NOTAS
X Não aplicável ao sistema de gestão da
AREATEC - Ver DQ-069 NOTAS
1 0 0
X Não aplicável ao sistema de gestão da
AREATEC - Ver DQ-069 NOTAS
1 0 0
Recomenda-se também a adoção do
A15.2
Recomenda-se também a adoção do
A15.3
Recomenda-se a aplicação do item 9.3
ISO 27001 e A.5
X DQ-069 Gestão de Ativos
4 0 0
X NÃO APLICAVEL AO SGSI DA
AREATEC VER DQ-069
X Os aplicativos da AREATEC não
reconhecem cadastros abaixo de 18
anos
x NÃO APLICAVEL AO SGSI DA
AREATEC VER DQ-069
4 0 0
X Rotina formalizada no DQ-069 no F0-
056
X Rotina formalizada no DQ-069 no F0-
056
X DQ- 068 - DQ-060 Manual de
Segurança da Informação
X Não aplicável ao sistema de gestão da
AREATEC
88%
30
34
CAPITULO III DIRETOS DO TITULAR
18.2 Rotinas para que o titular acesse seus dados pessoais que estão sendo tratados?
18.3 Meios fáceis e amigáveis para que possíveis erros possam ser corrigidos?
18.4 Rotinas de anonimização ou eliminação de dados pessoais que o titular entender não serem necessários?
18.5 Rotinas de portabilidade, eliminação, informações de compartilhamento com entidades públicas e privadas,
revogação de consentimento? Regras para peticionamento, oposição?
18.6 Na impossibilidade de atendimento as condições de consentimento de uso dos dados pessoais o controlador
mantém rotinas que permitam: Indicar que não é o agente do tratamento, indicar as razões e o fato que o
impossibilita a adoção imediata de providencias.
2 Os dados pessoais ficam armazenados de uma forma que favoreça o acesso pelo titular?
20.2 As rotinas permitem que o fornecimento de informações claras quando solicitadas pelo titular dos dados
pessoais quando obtidos de forma automatizadas.
20.3 A organização tem ciência que o não fornecimento dessas informações poderá acarretar uma auditoria para
verificação de aspectos discriminatórios em tratamento automatizados de dados pessoais?
%
Total da Sessão Planejamento
Total Esperado
Rotina Rotina Rotina
Métodos utilizados e aplicados
Criada Implementada Evidenciada
1 0 0
x DQ-057 Política de Segurança da
Informação.
5 0 0
x Rotina formalizada no DQ-069 no
F0-056
x Rotina formalizada no DQ-069 no
F0-056
x Rotina formalizada no DQ-069 no
F0-057
x Rotina formalizada no DQ-069 no
F0-058
Estabeleça uma pratica conforme
A13.2, A13.2.1 e A13.3.2. Recomenda-
se também a adoção do A15.2
Estabeleça um formulário de
consentimento de uso de dados que
permita uma verificação.
1 0 0
Estabeleça um formulário eletrônico no
site e aplique as rotinas previstas no A.8
3 0 0
x Rotina formalizada no DQ-069 no
F0-056
1 0 0
X Estabelecido as Política
DQ- 064 Controle de Acesso
DQ-069 Controle de Ativos
DQ-067 Controles Critptográficos
69%
11
16
TRANSFERENCIA INTERNACIONAL DE DADOS
#33
33.1
33.2
33.3
33.4
33.5
33.6
#34
1
2
3
4
5
# 35
1
2
%
Total da Sessão Operação
Total Esperado
TRANSFERENCIA INTERNACIONAL DE DADOS
Casos que se permitem transferência internacional de dados
Países e organismos internacionais que tenham grau de proteção adequado ao previstos na LGPD
São mantidas rotinas que permitam que a comprovação de garantias do cumprimento dos princípios e direitos do
titular dos dados pessoais (Clausulas contratuais, normas corporativas, selos e certificados de conduta.
0 0 0
Evidencie com a pratica definida para
abordar o A.15 e adicionalmente utilize
na cadeia de suprimento a diretrizes do
A8.
Para o 33.6 verifique todas as
condições estabelecidas no A18
0 0 0
Aplique as rotinas definidas no A18 e
A15 e utilize também as praticas do A8
0 0 0
Aplique todos os padrões provisionados
no A18
0%
0
10
DOS AGENTES DE PROTEÇÃO DE DADOS
# 37 Responsabilidades do controlador e operador
37.1 São mantidas rotinas que permitam o controlador e o operador evidenciarem registros das operações
relacionadas ao tratamento de dados pessoais
37.2 É possível evidenciar que o registros dessas rotinas atendem a legítimos interesses de uso e aplicação
38.2 O relatório contém minimamente a descrição dos tipos de dados coletados, a metodologia utilizada para a
coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas,
salvaguardas e mecanismos de mitigação de risco adotados.
41.2 O controlador tornou pública a identidade e as informações de contato do encarregado deverão ser divulgadas
publicamente, de forma clara e objetiva, preferencialmente em seu website
%
Total da Sessão Avaliação do Desempenho
Total Esperado
Rotina Rotina Rotina
Métodos utilizados e aplicados
Criada Implementada Evidenciada
1 0 0
x Rotina formalizada no DQ-069 no
F0-056
Evidenciar com as rotinas definidas no
A6.1 e com o item 6.1 e 8.2 ISO 27001
0 0 0
Evidenciar com as rotinas 9.2- Auditoria
Interna, 9.3- Análise Critica , 8.2 Avalição
dos Riscos e A8 Gestão de Ativos
1 0 0
x Rotina formalizada no DQ-069 no
F0-056
0 0 0
Evidenciar com o item 9.3 da ISO 27001
1 0 0
x Estabelecido que o Sr Marcelo Michielin
Supervisor Helpdesck. Aplicação do DQ-
062. Criado DQ 015 Organograma (5.3)
Também estabelecido no DQ-060 item 20
as responsabilidades do Encarregado de
Proteção de dados
0
Aplicar as rotinas previstas no item 7.4
ISO 27001
1
x DQ-056 Política de Privacidade
1
X DQ-056 Política de Privacidade
45%
5
11
Rotina
SEGURANÇA E BOAS PRÁTICAS Criada
48.2 As rotinas permitem que a comunicação seja feita:I - a descrição da natureza dos dados pessoais X
afetados; II - as informações sobre os titulares envolvidos; III - a indicação das medidas técnicas
e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e
industrial;
50.2 Essas regras de boas práticas contemplam tratamento de dados, a natureza, o escopo, a
finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes
de tratamento de dados do titular
50.3 É mantido u m programa de governança de privacidade de dados que demonstre: X
Comprometimento, meios de coleta de dados, adequado ao volume e escala das operações,
estabeleça relação de confiança e inclua a participação do titular, esteja integrado a estrutura
geral de governança e aos processos de negócio, mantém respostas e planos de gestão de
incidentes, tenha mecanismos de supervisão tanto interna quanto externa, seja atualizado e
melhorado constantemente, seja capaz de demonstrar conformidade com a lei quando solicitado
pela autoridade nacional,
% 82%
Total da Sessão Melhoria 9
Total Esperado 11
Rotina Rotina
Métodos utilizados e aplicados
Implementada Evidenciada
0 0
Criado o DQ-068 Política de Segurança das
Operações (A12). A6, Criado o DQ 064 Controle de
Acesso (A9) Também Criado o DQ 67 Politica para
Controles Critptográfico (A10)
0 0
Criado do DQ-062 Termo de Confidencialidade. DQ-
063 Expressão de Comprometimento da Direção
(A7)
0 0
Utilize as rotinas definidas para o item 7.4 ISO DQ-
071 Gestão de Incidentes (4.16.2(D))
0 0
Criado o DQ-068 Política de Segurança das
Operações (A12) Também em uso o documento
FO-056 Matriz de Inventarios de Ativos
0 0
Criado o DQ-068 Política de Segurança das
Operações (A12). A6, Criado o DQ 064 Controle de
Acesso (A9) Também Criado o DQ 67 Politica para
Controles Critptográfico (A10)8.1 Controle
Operacional e 6.1 Riscos e Oportunidades
Estabelecido as Política
DQ- 064 Controle de Acesso
DQ-069 Controle de Ativos
DQ-067 Controles Critptográficos
FISCALIZAÇÃO
#52 Sansões administrativas aos agentes de tratamento de dados
52.1 São mantidas rotinas que permitam a adoção de conscientização sobre as sansões administrativas que
incluam esclarecimentos quanto: advertência, com indicação de prazo para adoção de medidas corretivas; II -
multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou
conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00
(cinquenta milhões de reais) por infração;
52.2 Existem clareza e apoio jurídico para apoio esse esclarecimento de entendimento
52.3 Esclarecimentos sobre: III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração; VII - suspensão parcial ou total do
funcionamento do banco de dados a que se refere a infração pelo período máximo de 6
(seis) meses, prorrogável por igual período até a regularização da atividade de tratamento pelo controlador;
foram devidamente entendidas no contexto jurídico
52.4 Demais sansões administrativas estão devidamente compreendidas no contexto jurídico e dos processos de
negócio.
%
Total da Sessão Melhoria
Total Esperado
Rotina Rotina Rotina Dica de aplicação e
Criada Implementada Evidenciada Conformidade
2 0 0
X Aplique as rotinas previstas
em 7.3 Conscientização.
Considere o previsto no A7
X Aplique o 7.3 e A7
Aplique as rotinas definidas
no A18
67%
2
3