Checklist de conformidade com a LGPD

A conformidade com a Lei Geral de Proteção de Dados (LGPD) passa por muitas etapas, e não há um único caminho a seguir. No entanto, alguns pontos comuns podem ajudar a guiar as empresas no projeto de adequação à lei. Foi pensando nisso que a Get Privacy criou um checklist de conformidade com a LGPD.

Esse checklist servirá como um guia para que a sua organização possa avaliar os principais aspectos em relação à proteção de dados e ter uma ideia do que precisa ser feito para a adequação.

Além disso, se você quiser ir mais a fundo, pode acessar o nosso diagnóstico para LGPD.

Confira!

Confira neste artigo!

Contrate uma consultoria de adequação à LGPD

A Get Privacy é especializada em projetos de adequação à LGPD e proteção de dados para empresas de todos os portes.

Mapeamento de dados

  • Entender o ciclo de vida de cada dado dentro da instituição, da coleta, ao seu uso, compartilhamento, arquivamento e eliminação.
  • Identificar quais setores dentro da empresa tratam o maior volume de dados e a natureza destes dados.
  • Verificar com quem a instituição compartilha dados e por que compartilha.

Encarregado (DPO)

  • Indicar um encarregado, também conhecido como DPO (Data Protection Officer). O cargo é obrigatório por lei para todas as empresas e organizações, independentemente do porte.

Aderência aos princípios da LGPD

  • Verificar se o tratamento de dados é pautado pelos princípios da LGPD. Em especial, se o tratamento cumpre uma finalidade específica.
  • Checar se os dados tratados são de fato necessários para o cumprimento dessa finalidade e se não há coleta de dados em excesso. Lembre-se: a custódia de dados desnecessários atrai uma responsabilidade desnecessária.
  • Verificar se é possível minimizar a coleta de dados, inclusive revisando bancos de dados já existentes e a possibilidade de eliminação dos dados desnecessários.

Enquadramento em bases legais

  • Fazer uma análise jurídica para identificar a melhor base legal para cada tratamento, conforme a sua finalidade.
  • No caso de dados sensíveis tratados sem consentimento, verificar se há base legal que de fato justifique o tratamento.
  • Para dados tratados com consentimento (sensíveis ou “comuns”), certificar-se de que o consentimento é obtido de forma livre, informada, inequívoca e para finalidade determinada (o consentimento genérico não é válido).

Relacionamento com o titular

  • O titular deve estar ciente da finalidade do tratamento dos seus dados, entendendo quais dados são tratados e por que são tratados.
  • Estabelecer um canal de comunicação com o titular, para que ele possa requerer informações e solicitar o cumprimento dos seus direitos.
  • Criar um protocolo de resposta às solicitações do titular para tornar fácil e ágil o seu atendimento.

Gestão de acesso

  • Desenvolver políticas de controle de acesso aos dados, limitando o acesso apenas a quem realmente precisa.
  • Manter visibilidade total sobre quem acessa dados pessoais e por que acessa.
  • Investir em ferramentas de autenticação segura e proteção de credenciais.

Armazenamento e eliminação de dados

  • Garantir o armazenamento seguro dos dados, seja em formato físico ou digital.
  • Investir em ferramentas de proteção contra acesso indevido, cópia, roubo, perda ou destruição de dados.
  • Desenvolver e testar um plano de backup e recuperação de desastres.
  • Estabelecer critérios para estabelecimento de prazos de armazenamento dos dados e sua eventual eliminação.
  • Garantir que a eliminação de dados seja feita de forma segura, preservando o sigilo das informações.

Proteção contra ataques

  • Estabelecer uma Política de Segurança da Informação adequada, com treinamentos, códigos de conduta e ferramentas de proteção.
  • Investir em especial na segurança de endpoints, email, web e redes.
  • Fazer análises regulares em busca de vulnerabilidades.
  • Promover simulações de ataques para que os colaboradores aprendam a reconhecer as ameaças mais comuns.

Resposta a incidentes

  • Preparar-se para incidentes de segurança, estabelecendo um plano de resposta e treinando o time responsável por avaliar e mitigar o incidente.
  • Estabelecer canais de comunicação seguros com os titulares e com a ANPD para situações emergenciais.
  • Estabelecer que a mensagem a ser transmitida quanto ao incidente, se necessário, seja feita de forma coerente e clara ao público.
  • Criar protocolos para avaliar os possíveis danos aos titulares.
  • Definir de antemão modelos e formatos de comunicação de incidente a serem enviados aos titulares, à ANPD, aos diferentes setores da empresa, aos investidores e à imprensa.

Baixe a cartilha gratuita sobre LGPD

Nossos especialistas prepararam um material completo e gratuito com os fundamentos da lei. Clique e confira!

Contratação de parceiros e fornecedores

  • Escolher parceiros e fornecedores tendo como prioridade a aderência deles à LGPD.
  • Para softwares e sistemas, avaliar o grau de segurança das ferramentas.
  • Incluir cláusulas relacionadas à LGPD e à proteção de dados nos contratos com colaboradores, parceiros e funcionários.

Documentos e contratos

Elaborar políticas e documentos mínimos necessários para a adequação à LGPD, como:

  • Aviso de Privacidade (voltado a informar o público externo);
  • Política de privacidade (voltada a orientar os colaboradores da empresa);
  • Política de retenção de dados;
  • Cronograma de retenção de dados;
  • Formulário de consentimento do titular;
  • Contrato de processamento de dados com parceiros;
  • Relatório de Impacto à Privacidade, se necessário;
  • Modelo de resposta e notificação de violação de dados;
  • Registro de violação de dados;
  • Formulário de notificação à ANPD;
  • Cláusulas contratuais com parceiros quanto à necessidade de compliance.

Treinamentos

Monitoramento contínuo

  • Monitorar, revisar, prever readequações e alterações de maneira periódica e contínua;
  • Ficar atento a novas leis e regulamentações de proteção de dados.

Adeque-se à LGPD com a consultoria da Get Privacy

O processo de adequação à LGPD engloba uma série de cuidados e pontos de atenção. Como mencionamos no início deste texto, não há caminho único à conformidade. Assim, para garantir que ele seja executado da melhor maneira possível, o mais indicado é que a organização conte com uma assessoria especializada.

Na Get Privacy, nós contamos com uma equipe multidisciplinar especializada em proteção de dados para atender às suas demandas.

Fale conosco e veja como podemos te ajudar!

acompanhe
nossas redes
receba
mais notícias

CONFIRA
OUTROS POSTS