Formulário: FR-RAI-00.

08

GAP ANALISYS LGPD Emissão: 7/29/2020

Revisão: 0

Empresa: Areatec Tecnologia Data: 7/29/2020

Auditores : Vagner Santos

VISÃO GERAL LGPD Nível Esperado Real %

Capítulo 1 Disposições Preliminares 29 29 100%

Capítulo 2 Tratamento de Dados Pessoais 34 30 88%
Capítulo 3 Direitos do Titular 16 11 69%

Capítulo 4 Tratamento de Dados Pessoais pelo Poder Público

34 30 88%
Capítulo 5 Transferência Internacional de Dados 10 0 0%
Capítulo 6 Agentes de Proteção de Dados 11 5 45%
Capítulo 7 Segurança e Boas Práticas 11 9 82%
Capítulo 8 Fiscalização 3 2 67%

RESULTADO FINAL 148 116 78%

 CAPITULO I - DISPOSIÇÕES PRELIMINARES

#2 Fundamentos da disciplina de proteção de dados pessoais

2.1 É mantida uma política de privacidade simples e de fácil entendimento que a organização se propôs a implementar como
forma de demonstrar seu comprometimento e respeito a privacidade? Essa política contém:

2.2 Respeito a privacidade

2.3 Autodeterminação informativa
2.4 Liberdade de expressão, de informação e comunicação de opinião
2.5 Inviolabilidade da intimidade, da honra e da imagem, livre iniciativa, concorrência e defesa do consumidor
2.6 Direitos humanos, livre personalidade e o exercício da cidadania

#3 Compreensão da aplicabilidade por pessoa natural e jurídica de direito público e privado

3.1 A operação dos dados é realizada em território nacional
3.2 A atividade de operação de dados tem o objetivo de oferta e fornecimento de serviço e bens em território nacional
3.3 Os dados coletados em território nacional são aqueles que foram realizados no momento da coleta

#4 Não aplicabilidade de dados para fins particulares e econômicos realizado por pessoa natural
Jornalísticos, artísticos, acadêmicos (Considerar Art. 7º e 11º. Segurança pública, defesa nacional, investigação e repreensão
4.1 de infrações penais.

#5 Considerações e definição de dado pessoal

5.1 Informação relacionada a uma pessoa natural inidentificável

5.2 Dado pessoal que não possa ser identificado e associado a uma pessoa natural

5.3 São mantidas rotinas para o tratamento de Dados pessoa sensível- Origem racial, étnica, religiosa, opinião política, filiação
partidária ou sindicato, caráter religioso ou filosófico, saúde e vida sexual, dados biométricos

5.4 São mantidas rotinas para anonimização de dados quando solicitado pelo titular para que esses dados não seja associados ou
identificados por meios técnicos.
5.5 Encontra-se definidas rotinas para um banco de dados seguro estabelecido em um ou vários locais em suporte eletrônico e
físico
5.6 A organização mantém sistema que reconhece o titular dos dados pessoais

5.7 São identificados pelo organização os controladores dos dados pessoais que realiza as atividades de tratamento de dados
pessoais

5.8 É idenficado por meios adequados o operador dos dados pessoais que realiza atividades de tratamento de dados

5.9 Foi estabelecido um encarregado de dados pessoais pelo controlador que tenha responsabilidade para comunicação entre o
controlador dos dados pessoais e seus respectivos titulares e com a autoridade nacional ANPP

5.10 A rotina de tratamento de dados contém procedimentos técnicos e seguros para: coleta, produção, recepção, classificação,
utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação,
avaliação, ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

5.11 Foram definidos as rotinas técnicas para anonimização de dados, roteiros para consentimento de uso, bloqueio, eliminação,
transferência internacional, uso compartilhado, e uso por órgão de pesquisa se solicitados.

#6 Princípios de boa fé no tratamento de dados

1 A política de privacidade expressa de forma clara os propósitos específicos da coleta de seus dados pessoais

2 Se houver uma mudança de contexto de utilização desses dados a política adotada aborda a questão de informar ao titular
dos dados
3 A coleta de dados limitam-se apenas aos fins pelo qual foram coletados de forma proporcional sem excessos.

4 Foi estabelecido uma rotina que permite transparência e livre acesso do titular dos dados pessoais de maneira facilitada e
gratuita bem como a verificação de integridade de seus dados pessoais.
5 É mantida rotinas e sistemas que permitam manter a precisão e qualidade dos dados pessoais
6 São mantidos recursos técnicos de proteção de acesso aos dados pessoais, prevenindo: Acesso não autorizados, ou
acidentais, ilícitas, perda e comunicação.
7 São mantidas medidas de prevenção de ocorrência de dados na atividade de tratamento de dados

8 A politica de privacidade prevê condições para não descriminação dos dados pessoais, bem como a responsabilização de
observância dos critérios para proteção dos dados pessoais
 %
Total da Sessão Disposições Preliminares
Total Esperado
Rotina
Criada

6
x

x
x
x
x
x

4
X
X
X

11
X

8
x

x
x

x
100%
29
29
 TRATAMENTO DE DADOS PESSOAIS
#7 Hipóteses para realização de tratamento de dados pessoais
7.1 É mantida uma rotina simples que permita que o titular do dado pessoal possa conceder o acesso a seus
dados pessoais com seu consentimento de forma e documentada.
7.2 É mantido evidencias que comprovem que o acesso a esses dados são para comprovação legal de sua
respectiva atividade
7.3 O acesso aos dados pessoais são realizados apenas quando: Órgãos de pesquisa, existirem meios para
anonimização, informações para preparação de contratos, exercícios de direitos em processos, proteção da
vida e saúde
7.4 Quando o controlador tiver interesses legítimos e proteção do crédito.

7.5 É mantido e disseminado o conhecimento de que o consentimento do uso do dados pelo titular não desobriga a
empresa das demais obrigações previstas na lei geral de proteção de dados,

#8 Consentimento de uso de dados pessoais

A rotina de formalizada de consentimento de uso mantém esse item de forma destacada, visível e de fácil
8.1
entendimento.

É mantida rotinas para que o controlador possa provar que o consentimento foi obtido de forma legal
8.2

É mantida uma rotina que preveja e previna o vício de consentimento.

8.3

É mantida uma rotina que permita o titular revogar o seu consentimento de uso dos dados pessoais
8.4

Se algo for alterado são mantidas rotinas que permitam o titular dos dados ser informado.
8.5

#9 Direitos do acesso do titular ao tratamento de seus dados pessoais.

É mantida rotinas para que o titular dos dados tenha acesso a finalidade especifica do tratamento de seus
9.1
dados pessoais
Essa rotina é abrangente o suficiente para que o acesso permita a verificação da: Forma de duração do
tratamento, informações de contato o controlador, informações sobre o compartilhamento dos dados pessoais,
9.2 responsabilidades dos agentes e direitos do titular com menção explicita do Art. 18º

Se o titular considerar que o tratamento encontra-se enganoso e ou abusivo existem rotinas que permitam
9.3
esclarecimento ou fim do tratamento dos dados pessoais.
Se o tratamento e uso de dados pessoais for parte integrante dos processos de negócio da organização
9.4 existem rotinas para que isso seja informado de forma destacada ao titular dos dados pessoais.

# 10 Fundamentação do legítimo interesse do controlador

A finalidade do tratamento dos dados pessoais são necessárias para fornecerem apoio as atividades do
10.1
controlador?
É possível comprovar que o uso do dados pessoais são necessário para proteger o direitos do titular em
10.2 relação aos serviços que o beneficiam.

Apenas os dados de legítimo interesse do controlador estão sendo solicitados para tratamento?
10.3

Existe em uso uma rotina que permita e transparências de uso dos dados pessoais para atender o legítimo
10.4 interesse do controlador?

# 11 Fundamentos e hipóteses para tratamento de dados pessoais sensíveis

Existem rotinas para obter o consentimento de tratamento de dados pessoais sensíveis?
11.1
 Existem rotinas que comprovem que a utilização dos dados pessoais sensíveis pelo controlador pode ser
realizada em ocasiões de: Cumprimento de obrigações legais, solicitado pela administração pública, realização
11.2 de estudos por órgãos de pesquisa, processos judiciais, proteção a vida.

# 12 Compartilhamento e anonimização de dados pessoais sensíveis

As rotinas permitem que o tratamento de dados pessoais sensíveis garantem: Prevenção contra fraudes, dano,
12.1 obtenção de vantagem econômica,

Existem rotinas seguras que permitam a portabilidade de dados pessoais sensíveis, que esses dados sejam
verificados por operadoras de planos de saúde, seja possível sua anonimização,
12.2

# 13 Uso de dados pessoais para realização de estudos de saúde pública

Dados pessoais não podem ser revelados
13.1

O órgão de pesquisa entende ser ele o responsável pela proteção dos dados pessoais.
13.2

Existe entendimento que o acesso aos dados pessoais é regulamentado pela autoridade nacional
13.3

A organização mantém rotinas e procedimentos para pseudominização de dados pessoais se requerido e

13.4 quando requerido

# 14 Tratamento de dados pessoais de crianças e adolescentes

Existem rotinas que permitem destacar o consentimento do uso de dados pessoas de crianças e adolescentes
14.1
por um responsável legal
Existe publicidade sobre a forma como os dados pessoais de crianças e adolescentes são tratados
14.2

É mantida uma rotina que define a forma com que os dados pessoais de crianças e adolescentes são
14.3 coletados em ocasiões que não há consentimento dos pais?

A rotina estabelecida garante que os dados pessoais do responsável legal não são condicionados na obtenção
14.4 dos dados pessoais de crianças e adolescentes para fins de jogos e atividade de internet além da estritamente
necessárias para o consentimento de uso?

#15 Término do tratamento de dados pessoais

São mantidas rotinas que permitam demonstrar ao titular o e término do tratamento de seus dados pessoais
15.1 para a finalidade para a qual foram obtidos?
O titular é comunicado formalmente sobre o fim de tratamento de seus dados pessoais
15.2

São mantidas rotinas que permitam a eliminação segura dos dados pessoais após concluído o ciclo de
15.3 tratamento desses dados para a finalidade que se destinaram?
São mantidas rotinas que permitam a verificação das: Obrigações legais, anonimização, transferência a
15.4 terceiros se permitido pelo titular,

%
Total da Sessão Liderança
Total Esperado
Rotina Rotina Rotina Dica de aMétodos utilizados e
Criada Implementada Evidenciada aplicadoslicação e Conformidade

5 0 0
x DQ-056 Politica de Privacidade.

x DQ-056 Política de Privacidade

x DQ-069 Politica de Gestão de Ativos e

FO 056 Matriz de Inventario

x DQ-069 Politica de Gestão de Ativos e

FO 056 Matriz de Inventario

x DQ-069 Politica de Gestão de Ativos e

FO 056 Matriz de Inventario

5 0 0
Rotina formalizada no DQ-069 no F0-
x 056

x Rotina formalizada no DQ-069 intem 7 e

no F0-056
x Crie um limite para esse consentimento
evitando vícios.
x Rotina formalizada no DQ-069 intem 7 e
no F0-056
x Rotina formalizada no DQ-069 no F0-
056

4 0 0
X Rotina formalizada no DQ-069 intem
9(e) NOTAS.
X Rotina formalizada no DQ-069 intem
9(e) NOTAS.

x Rotina formalizada no DQ-069 intem

9(e) NOTAS.
x Rotina formalizada no DQ-069 intem 9 e
no DQ-056 Politica de Privacidade.

4 0 0
x DQ-056 Politica de Privacidade.

x DQ-056 Politica de Privacidade. Termos

de condição e de uso.

X DQ-056 Politica de Privacidade. e DQ-

069
x DQ-056 Politica de Privacidade. e DQ-
069 Gestão de Ativos

2 0 0
X Não aplicável ao sistema de gestão da
AREATEC - Ver DQ-069 NOTAS
 X Não aplicável ao sistema de gestão da
AREATEC - Ver DQ-069 NOTAS

1 0 0
X Não aplicável ao sistema de gestão da
AREATEC - Ver DQ-069 NOTAS

Estabeleça uma pratica conforme

A13.2, A13.2.1 e A13.3.2. Recomenda-
se também a adoção do A15.2

1 0 0
Recomenda-se também a adoção do
A15.2
Recomenda-se também a adoção do
A15.3
Recomenda-se a aplicação do item 9.3
ISO 27001 e A.5
X DQ-069 Gestão de Ativos

4 0 0
X NÃO APLICAVEL AO SGSI DA
AREATEC VER DQ-069
X Os aplicativos da AREATEC não
reconhecem cadastros abaixo de 18
anos
x NÃO APLICAVEL AO SGSI DA
AREATEC VER DQ-069

4 0 0
X Rotina formalizada no DQ-069 no F0-
056
X Rotina formalizada no DQ-069 no F0-
056
X DQ- 068 - DQ-060 Manual de
Segurança da Informação
X Não aplicável ao sistema de gestão da
AREATEC

88%
30
34
 CAPITULO III DIRETOS DO TITULAR

#17 Titularidade de dados pessoais e direito de liberdade, intimidade e privacidade

17.1 São mantidas rotinas e política para assegurar os direitos de titularidade dos dados pessoais

#18 Direitos do titular dos dados pessoais

18.1 São mantidas rotinas para confirmar ao titular dos dados pessoais as rotinas do tratamento de seus dados?

18.2 Rotinas para que o titular acesse seus dados pessoais que estão sendo tratados?

18.3 Meios fáceis e amigáveis para que possíveis erros possam ser corrigidos?

18.4 Rotinas de anonimização ou eliminação de dados pessoais que o titular entender não serem necessários?

18.5 Rotinas de portabilidade, eliminação, informações de compartilhamento com entidades públicas e privadas,
revogação de consentimento? Regras para peticionamento, oposição?

18.6 Na impossibilidade de atendimento as condições de consentimento de uso dos dados pessoais o controlador
mantém rotinas que permitam: Indicar que não é o agente do tratamento, indicar as razões e o fato que o
impossibilita a adoção imediata de providencias.

18.7 As rotinas indicam que não haverá custos para o titular?

18.8 São mantidas rotinas que permitam a portabilidade dos dados pessoais?

#19 Confirmação de existência e acesso aos dados pessoais

1 São mantidas rotinas para acesso aos dados pessoais mediante uma requisição simplificado do titular para o
controlador?

2 Os dados pessoais ficam armazenados de uma forma que favoreça o acesso pelo titular?

3 Esse acesso poder ser feito por meio: Eletrônico e ou impresso?

# 20 Direitos a revisões no tratamento de dados pessoais

20.1 A organização mantém rotinas que permita uma revisão do tratamento de seus dados pessoais em especial o
tratamento automatizado que são utilizados para definir: Seu perfil pessoal, profissional, de consumo e de
crédito e aspectos relacionados a sua personalidade.

20.2 As rotinas permitem que o fornecimento de informações claras quando solicitadas pelo titular dos dados
pessoais quando obtidos de forma automatizadas.
20.3 A organização tem ciência que o não fornecimento dessas informações poderá acarretar uma auditoria para
verificação de aspectos discriminatórios em tratamento automatizados de dados pessoais?

# 21 Exercício regular dos direitos do titular

21.1 A organização deve ter ciência que os dados pessoais não podem ser utilizados de forma que acarrete prejuízo
ao titular.

%
Total da Sessão Planejamento
Total Esperado
Rotina Rotina Rotina
Métodos utilizados e aplicados
Criada Implementada Evidenciada

1 0 0
x DQ-057 Política de Segurança da
Informação.

5 0 0
x Rotina formalizada no DQ-069 no
F0-056
x Rotina formalizada no DQ-069 no
F0-056
x Rotina formalizada no DQ-069 no
F0-057
x Rotina formalizada no DQ-069 no
F0-058
Estabeleça uma pratica conforme
A13.2, A13.2.1 e A13.3.2. Recomenda-
se também a adoção do A15.2

Estabeleça um formulário de
consentimento de uso de dados que
permita uma verificação.

X DQ-056 Política de Privacidade

Estabeleça uma pratica conforme
A13.2, A13.2.1 e A13.3.2. Recomenda-
se também a adoção do A15.2

1 0 0
Estabeleça um formulário eletrônico no
site e aplique as rotinas previstas no A.8

Aplique as rotinas do A8.3 e demais

rotinas previstas no A9
X Aplique as rotinas do A8.3 e demais
rotinas previstas no A9

3 0 0
x Rotina formalizada no DQ-069 no
F0-056

x Rotina formalizada no DQ-069 no

F0-056
x DQ-056 Política de Privacidade

1 0 0
X Estabelecido as Política
DQ- 064 Controle de Acesso
DQ-069 Controle de Ativos
DQ-067 Controles Critptográficos

69%
11
16
 TRANSFERENCIA INTERNACIONAL DE DADOS
#33
33.1

33.2

33.3
33.4
33.5
33.6

#34
1
2
3
4
5
# 35
1
2

%
Total da Sessão Operação
Total Esperado
 TRANSFERENCIA INTERNACIONAL DE DADOS
Casos que se permitem transferência internacional de dados
Países e organismos internacionais que tenham grau de proteção adequado ao previstos na LGPD

São mantidas rotinas que permitam que a comprovação de garantias do cumprimento dos princípios e direitos do
titular dos dados pessoais (Clausulas contratuais, normas corporativas, selos e certificados de conduta.

Cooperação jurídica internacional

Proteção a vida
Quando a autoridade nacional autorizar a transferência
Quando houver compromisso de cooperação internacional assumido, execução de políticas públicas, houver
consentimento do titular. Pessoas jurídicas podem requerer avaliação do nível de proteção conferido por outros
países.

Nível de proteção de dados em país estrangeiro

São mantidas rotinas que permitam verificar: Normas gerais setoriais e a legislação em vigor
Natureza dos dados pessoais que serão compartilhados?
Observância dos princípios gerais de proteção de dados?

Adoção de medidas de segurança?

Existência de garantias judiciais

Definição de clausulas contratuais para transferência internacional de dados

São mantidas rotinas para verificação de garantias mínimas de observação da lei?
A rotinas permitem que preveja a necessidade de submissão a autoridade nacional quanto a aprovação. E que essa
pode solicitar informações complementares para essa aprovação.
A organização entende que poderá estar submetida a auditoria de organismos de certificação para a realização do
previsto nas clausulas contratuais de transferência de dados pessoais
%
Total da Sessão Operação
Total Esperado
Rotina Rotina Rotina
Métodos utilizados e aplicados
Criada Implementada Evidenciada

0 0 0
Evidencie com a pratica definida para
abordar o A.15 e adicionalmente utilize
na cadeia de suprimento a diretrizes do
A8.
Para o 33.6 verifique todas as
condições estabelecidas no A18

0 0 0
Aplique as rotinas definidas no A18 e
A15 e utilize também as praticas do A8

0 0 0
Aplique todos os padrões provisionados
no A18

0%
0
10
 DOS AGENTES DE PROTEÇÃO DE DADOS
# 37 Responsabilidades do controlador e operador
37.1 São mantidas rotinas que permitam o controlador e o operador evidenciarem registros das operações
relacionadas ao tratamento de dados pessoais
37.2 É possível evidenciar que o registros dessas rotinas atendem a legítimos interesses de uso e aplicação

# 38 Relatório de impacto de proteção de dados

38.1 O controlador mantém um relatório de impacto de proteção de dados pessoais, que incluam a proteção de
dados sensíveis referente as suas operações.

38.2 O relatório contém minimamente a descrição dos tipos de dados coletados, a metodologia utilizada para a
coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas,
salvaguardas e mecanismos de mitigação de risco adotados.

# 39 Tratamento realizado pelo operador

39.1 O controlador definiu rotinas operacionais para que o operador realize o tratamento dos dados pessoais e
supervisiona a utilização dessas rotinas.
# 40 Padrões de interoperabilidade e portabilidade
40.1 A alta direção analisa criticamente o sistema de gestão a intervalos planejados e assegura sua suficiência e
alinhamento com o seu direcionamento estratégico?

# 41 Encarregado de proteção de dados

41.1 Encontra-se definido um encarregado de proteção e dados pessoais que mantém responsabilidades para: I -
aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; II - receber
comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação
à proteção de dados pessoais; e IV - executar as demais atribuições determinadas pelo controlador ou
estabelecidas em normas complementares.

41.2 O controlador tornou pública a identidade e as informações de contato do encarregado deverão ser divulgadas
publicamente, de forma clara e objetiva, preferencialmente em seu website

# 42 Responsabilidades no ressarcimento de danos

42.1 Foram definidas rotinas que permitam a reparação de danos causados pela utilização indevida de dados
pessoais. Essa rotinas definem a indenização, resposta solidária, ônus da prova, ações de reparação,.

# 43 Hipóteses em que o controlador não será responsável

41.1 Esta claro e formalizado que o controlador não será responsável por ressarcimento de danos quando I - que
não realizaram o tratamento de dados pessoais que lhes é atribuído;
II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à
legislação de proteção de dados; ou III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de
terceiro.

# 44 Condições de irregularidade de uso dados pessoais

44.1 São mantidas rotinas que permitam a observar a legislação e fornecer segurança que o titular dos dados
pessoais espera, considerado as circunstâncias relevantes, entre as quais se destacam: I - o modo pelo qual é
realizado; I - o resultado e os riscos que razoavelmente dele se esperam;
III - as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

%
Total da Sessão Avaliação do Desempenho
Total Esperado
Rotina Rotina Rotina
Métodos utilizados e aplicados
Criada Implementada Evidenciada

1 0 0
x Rotina formalizada no DQ-069 no
F0-056
Evidenciar com as rotinas definidas no
A6.1 e com o item 6.1 e 8.2 ISO 27001

0 0 0
Evidenciar com as rotinas 9.2- Auditoria
Interna, 9.3- Análise Critica , 8.2 Avalição
dos Riscos e A8 Gestão de Ativos

1 0 0
x Rotina formalizada no DQ-069 no
F0-056

0 0 0
Evidenciar com o item 9.3 da ISO 27001

1 0 0
x Estabelecido que o Sr Marcelo Michielin
Supervisor Helpdesck. Aplicação do DQ-
062. Criado DQ 015 Organograma (5.3)
Também estabelecido no DQ-060 item 20
as responsabilidades do Encarregado de
Proteção de dados

Aplicar as rotinas previstas no item 7.4

ISO 27001 e A8

0
Aplicar as rotinas previstas no item 7.4
ISO 27001

1
x DQ-056 Política de Privacidade

1
X DQ-056 Política de Privacidade

45%
5
11
 Rotina
SEGURANÇA E BOAS PRÁTICAS Criada

#46 Sigilo no processo de tratamento de dados 2

46.1 Foram definidas rotinas para segurança, técnicas e administrativas aptas a proteger os x
dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição,
perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito

46.2 Dados pessoais sensíveis são protegidos com rotinas específicas x

# 47 Agentes de tratamento de dados no ciclo de dados 1

47.1 As rotinas definidas permitem que qualquer pessoa que intervenha em uma das fases do X
tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos
dados pessoais, mesmo após o seu término.

# 48 Comunicação com autoridade nacional 2

48.1 São mantidas rotinas que permitam a comunicação à autoridade nacional e ao titular a ocorrência X
de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

48.2 As rotinas permitem que a comunicação seja feita:I - a descrição da natureza dos dados pessoais X
afetados; II - as informações sobre os titulares envolvidos; III - a indicação das medidas técnicas
e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e
industrial;

48.2 Essas rotinas de comunicação permitem: IV - os riscos relacionados ao incidente;

V - os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
§ 2º A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a
salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais
como: I - ampla divulgação do fato em meios de comunicação; e II - medidas para reverter ou
mitigar os efeitos do incidente. § 3º No juízo de gravidade do incidente, será avaliada eventual
comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados
pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros
não autorizados a acessá-los.

# 49 Sistemas que estruturam o tratamento de dados 1

49.1 Os sistemas estabelecidos para o tratamento de dados permitem atender aos requisitos de x
segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta
Lei e às demais normas regulamentares.

# 50 Boas praticas de governança na proteção de dados 2

50.1 Encontram-se definidas regras de boas práticas e de governança que estabeleçam as condições X
de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições
de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os
diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e
de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais

50.2 Essas regras de boas práticas contemplam tratamento de dados, a natureza, o escopo, a
finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes
de tratamento de dados do titular
50.3 É mantido u m programa de governança de privacidade de dados que demonstre: X
Comprometimento, meios de coleta de dados, adequado ao volume e escala das operações,
estabeleça relação de confiança e inclua a participação do titular, esteja integrado a estrutura
geral de governança e aos processos de negócio, mantém respostas e planos de gestão de
incidentes, tenha mecanismos de supervisão tanto interna quanto externa, seja atualizado e
melhorado constantemente, seja capaz de demonstrar conformidade com a lei quando solicitado
pela autoridade nacional,

#51 Adoção de padrões técnicos de controle pelo titular 1

51.1 É mantida uma rotina que permita a verificação e adoção de padrões técnicos que visem o X
controle dados pessoais pelo titular

% 82%
Total da Sessão Melhoria 9
Total Esperado 11
 Rotina Rotina
Métodos utilizados e aplicados
Implementada Evidenciada

0 0
Criado o DQ-068 Política de Segurança das
Operações (A12). A6, Criado o DQ 064 Controle de
Acesso (A9) Também Criado o DQ 67 Politica para
Controles Critptográfico (A10)

0 0
Criado do DQ-062 Termo de Confidencialidade. DQ-
063 Expressão de Comprometimento da Direção
(A7)

0 0
Utilize as rotinas definidas para o item 7.4 ISO DQ-
071 Gestão de Incidentes (4.16.2(D))

DQ-071 Gestão de Incidentes (4.16.2(D))

Aplique as rotinas do A.16.1.3 ao A16.1.5

0 0
Criado o DQ-068 Política de Segurança das
Operações (A12) Também em uso o documento
FO-056 Matriz de Inventarios de Ativos

0 0
Criado o DQ-068 Política de Segurança das
Operações (A12). A6, Criado o DQ 064 Controle de
Acesso (A9) Também Criado o DQ 67 Politica para
Controles Critptográfico (A10)8.1 Controle
Operacional e 6.1 Riscos e Oportunidades

Aplique as rotinas previstas em 6.1 Riscos e

Oportunidades
Aplique as rotinas previstas em 6.1 Riscos e DQ-
069 Política de Gestão de Ativos
DQ-064 Política de Controle de Acesso
DQ-16 Gestão de Incidentes
DQ-17 Continuidade de Negócios

Estabelecido as Política
DQ- 064 Controle de Acesso
DQ-069 Controle de Ativos
DQ-067 Controles Critptográficos
 FISCALIZAÇÃO
#52 Sansões administrativas aos agentes de tratamento de dados
52.1 São mantidas rotinas que permitam a adoção de conscientização sobre as sansões administrativas que
incluam esclarecimentos quanto: advertência, com indicação de prazo para adoção de medidas corretivas; II -
multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou
conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00
(cinquenta milhões de reais) por infração;

52.2 Existem clareza e apoio jurídico para apoio esse esclarecimento de entendimento
52.3 Esclarecimentos sobre: III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração; VII - suspensão parcial ou total do
funcionamento do banco de dados a que se refere a infração pelo período máximo de 6
(seis) meses, prorrogável por igual período até a regularização da atividade de tratamento pelo controlador;
foram devidamente entendidas no contexto jurídico

52.4 Demais sansões administrativas estão devidamente compreendidas no contexto jurídico e dos processos de
negócio.
%
Total da Sessão Melhoria
Total Esperado
Rotina Rotina Rotina Dica de aplicação e
Criada Implementada Evidenciada Conformidade

2 0 0
X Aplique as rotinas previstas
em 7.3 Conscientização.
Considere o previsto no A7

X Aplique o 7.3 e A7
Aplique as rotinas definidas
no A18

Aplique as rotinas definida o

A18

67%
2
3