Checklist de conformidade com a LGPD
A conformidade com a Lei Geral de Proteção de Dados (LGPD) passa por muitas etapas, e não há um único caminho a seguir. No entanto, alguns pontos comuns podem ajudar a guiar as empresas no projeto de adequação à lei. Foi pensando nisso que a Get Privacy criou um checklist de conformidade com a LGPD.
Esse checklist servirá como um guia para que a sua organização possa avaliar os principais aspectos em relação à proteção de dados e ter uma ideia do que precisa ser feito para a adequação.
Além disso, se você quiser ir mais a fundo, pode acessar o nosso diagnóstico para LGPD.
Confira!
Confira neste artigo!
Contrate uma consultoria de adequação à LGPD
A Get Privacy é especializada em projetos de adequação à LGPD e proteção de dados para empresas de todos os portes.
Mapeamento de dados
- Entender o ciclo de vida de cada dado dentro da instituição, da coleta, ao seu uso, compartilhamento, arquivamento e eliminação.
- Identificar quais setores dentro da empresa tratam o maior volume de dados e a natureza destes dados.
- Verificar com quem a instituição compartilha dados e por que compartilha.
Encarregado (DPO)
- Indicar um encarregado, também conhecido como DPO (Data Protection Officer). O cargo é obrigatório por lei, exceto no caso de startups e pequenas empresas, que podem ou não indicar alguém para a função.
Aderência aos princípios da LGPD
- Verificar se o tratamento de dados é pautado pelos princípios da LGPD. Em especial, se o tratamento cumpre uma finalidade específica.
- Checar se os dados tratados são de fato necessários para o cumprimento dessa finalidade e se não há coleta de dados em excesso. Lembre-se: a custódia de dados desnecessários atrai uma responsabilidade desnecessária.
- Verificar se é possível minimizar a coleta de dados, inclusive revisando bancos de dados já existentes e a possibilidade de eliminação dos dados desnecessários.
Enquadramento em bases legais
- Fazer uma análise jurídica para identificar a melhor base legal para cada tratamento, conforme a sua finalidade.
- No caso de dados sensíveis tratados sem consentimento, verificar se há base legal que de fato justifique o tratamento.
- Para dados tratados com consentimento (sensíveis ou “comuns”), certificar-se de que o consentimento é obtido de forma livre, informada, inequívoca e para finalidade determinada (o consentimento genérico não é válido).
Relacionamento com o titular
- O titular deve estar ciente da finalidade do tratamento dos seus dados, entendendo quais dados são tratados e por que são tratados.
- Estabelecer um canal de comunicação com o titular, para que ele possa requerer informações e solicitar o cumprimento dos seus direitos.
- Criar um protocolo de resposta às solicitações do titular para tornar fácil e ágil o seu atendimento.
Gestão de acesso
- Desenvolver políticas de controle de acesso aos dados, limitando o acesso apenas a quem realmente precisa.
- Manter visibilidade total sobre quem acessa dados pessoais e por que acessa.
- Investir em ferramentas de autenticação segura e proteção de credenciais.
Armazenamento e eliminação de dados
- Garantir o armazenamento seguro dos dados, seja em formato físico ou digital.
- Investir em ferramentas de proteção contra acesso indevido, cópia, roubo, perda ou destruição de dados.
- Desenvolver e testar um plano de backup e recuperação de desastres.
- Estabelecer critérios para estabelecimento de prazos de armazenamento dos dados e sua eventual eliminação.
- Garantir que a eliminação de dados seja feita de forma segura, preservando o sigilo das informações.
Proteção contra ataques
- Estabelecer uma Política de Segurança da Informação adequada, com treinamentos, códigos de conduta e ferramentas de proteção.
- Investir em especial na segurança de endpoints, email, web e redes.
- Fazer análises regulares em busca de vulnerabilidades.
- Promover simulações de ataques para que os colaboradores aprendam a reconhecer as ameaças mais comuns.
Resposta a incidentes
- Preparar-se para incidentes de segurança, estabelecendo um plano de resposta e treinando o time responsável por avaliar e mitigar o incidente.
- Estabelecer canais de comunicação seguros com os titulares e com a ANPD para situações emergenciais.
- Estabelecer que a mensagem a ser transmitida quanto ao incidente, se necessário, seja feita de forma coerente e clara ao público.
- Criar protocolos para avaliar os possíveis danos aos titulares.
- Definir de antemão modelos e formatos de comunicação de incidente a serem enviados aos titulares, à ANPD, aos diferentes setores da empresa, aos investidores e à imprensa.
Baixe a cartilha gratuita sobre LGPD
Nossos especialistas prepararam um material completo e gratuito com os fundamentos da lei. Clique e confira!
Contratação de parceiros e fornecedores
- Escolher parceiros e fornecedores tendo como prioridade a aderência deles à LGPD.
- Para softwares e sistemas, avaliar o grau de segurança das ferramentas.
- Incluir cláusulas relacionadas à LGPD e à proteção de dados nos contratos com colaboradores, parceiros e funcionários.
Documentos e contratos
Elaborar políticas e documentos mínimos necessários para a adequação à LGPD, como:
- Aviso de Privacidade (voltado a informar o público externo);
- Política de privacidade (voltada a orientar os colaboradores da empresa);
- Política de retenção de dados;
- Cronograma de retenção de dados;
- Formulário de consentimento do titular;
- Contrato de processamento de dados com parceiros;
- Relatório de Impacto à Privacidade, se necessário;
- Modelo de resposta e notificação de violação de dados;
- Registro de violação de dados;
- Formulário de notificação à ANPD;
- Cláusulas contratuais com parceiros quanto à necessidade de compliance.
Treinamentos
- Treinar e conscientizar colaboradores e funcionários a respeito da proteção de dados e da LGPD;
- Investir em treinamentos de segurança, para que todos consigam reconhecer as principais e mais corriqueiras ameaças (a exemplo do phishing).
Monitoramento contínuo
- Monitorar, revisar, prever readequações e alterações de maneira periódica e contínua;
- Ficar atento a novas leis e regulamentações de proteção de dados.
Adeque-se à LGPD com a consultoria da Get Privacy
O processo de adequação à LGPD engloba uma série de cuidados e pontos de atenção. Como mencionamos no início deste texto, não há caminho único à conformidade. Assim, para garantir que ele seja executado da melhor maneira possível, o mais indicado é que a organização conte com uma assessoria especializada.
Na Get Privacy, nós contamos com uma equipe multidisciplinar especializada em proteção de dados para atender às suas demandas.
CONFIRA
OUTROS POSTS
