1. Responsabilidade
2. Documentação
3. Abrangência
4. Eliminação dos dados
5. Consentimento
6. Acesso
7. Transferência Internacional
8. Sigilo e segurança
9. Governança

Todos os itens da Lista de verificação de conformidade com a LGPD são necessários para a maioria dos projetos, outros itens referente a segurança especificamente será tratado em outro projeto

• significa que o item é recomendado, mas pode ser omitido em algumas situações particulares.
• significa que o item é altamente recomendado e pode eventualmente ser omitido em alguns casos realmente particulares.
• significa que o item não pode ser omitido por qualquer motivo.

Você pode contribuir com o Checklist LGPD lendo o arquivo README_APP, que explica tudo Sobre o projeto.

• Foi indicado um responsável, Encarregado de proteção de dados?
• As informações do responsável estão publicadas no website?

⬆ back to top

• Existe relatório de impacto à proteção de dados pessoais?
• Caso exista, o relatório contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco?
• Os procedimentos de proteção dos dados estão documentados?
• Se existe compartilhamento de dados com terceiros, os contratos já foram revisados para estarem de acordo com a LGPD?

⬆ back to top

• Sua empresa faz coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão e extração de dados pessoais (nome, email, telefone, CPF, etc...)

• Markeing e vendas
• RH
• Compras
• Financeiro
• Legal
• Portaria

• Foi feita avaliação se somente os dados extritamente necessários estão sendo tratados?
• Quais medidas para garaantir a trasnparência são tomadas? Existe registro em procedimento?
• A empresa trata dados pessoais sensíveis (origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural).

⬆ back to top

• Os dados são eliminados ao fim do tratamento?
• Existe procedimento que determine por quanto tempo os dados serão armazenados?

⬆ back to top

• Quando se usam dados pessoais, é obtido o consentimento?
• Existe registro deste consentimento (escrito ou eletrônico)?
• Caso o consentimento seja por escrito, está em uma cláusula destacada das demais cláusulas contratuais?
• O consentimento é específico?
• O consentimento é obtido de forma clara, sem ambiguidades quanto à finalidade?
• Existe procedimento para informar o titular no caso de mudança de finalidade do uso dos dados pessoais?
• Existe procedimento para revogar o consentimento?
• Se os dados forem compartilhados, existe consentimento específico para isso?
• Para o tratamento de dados para fins legais, o titular é informado?
• Se são tratados dados de crianças, é obtido o consentimento de ao menos um dos responsáveis?
• Se houver transferência internacional de dados, existe consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades?
• Os usuários do site são informados sobre quais dados são coletados, de forma ativa ou passiva, ao entrar no site?

⬆ back to top

• Existe canal facilitado para consulta dos dados pelo titular?

Neste canal tem acesso a:

• I - finalidade específica do tratamento;
• II - forma e duração do tratamento, observados os segredos comercial e industrial;
• III - identificação do controlador;
• IV - informações de contato do controlador;
• V - informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
• VI - responsabilidades dos agentes que realizarão o tratamento; e
• VII - direitos do titular.

• Existe canal para fornecer ao tituar as seguintes informações sobre seus direitos?

• I - confirmação da existência de tratamento;

• II - acesso aos dados;

• III - correção de dados incompletos, inexatos ou desatualizados;

• IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei;

• V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial;

• VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da Lei;

• VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

• VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

• IX - revogação do consentimento.

• Existe modelo de prestação de informações simplificadas e procedimento para acesso? Qual o canal utilizado?
• Existe modelo de prestação de informações por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 dias contado da data do requerimento do titular?
• Os usuários têm conhecimento dos dados compartilhados com outras instituições?

⬆ back to top

• Se existir transferência intenacional de dados, é feita para países com proteção compatível?
• Existe garantia do regime de proteção de dados através de cláusulas contratuais, normas corporativas globais, selos, certificaos e códigos de conduta regularmente emitidos?

⬆ back to top

• Existem procedimentos para garantir o sigilo dos dados?
• Existem assessments quanto ao acesso de dados eletrônicos por terceiros não autorizados?
• Existe log de quem acessou e/ou alterou dados pessoais?
• O acesso aos dados pessoais é protegido, portanto só pessoas autorizadas podem ter acesso?
• Existe procedimento de informação aos titulares caso haja vazamento dos dados?
• O armazenamento dos dados é feitos com criptografia ou outro método que garanta o sigilo?
• Se existe política de privacidade, ela está de acordo com a LGPD?

• É efetuado algum gerenciamento de riscos na organização ?
• A política de segurança da informação é bem definida e entendido por todos ?
• É feito revisão periódica dos itens de segurança pelo comitê responsável ?
• Os riscos terceirizados estão embasados em contrato para garantir a proteção dos dados pessoais ?

• Os funcionários recebem treinamentos periódicos para garantir o conhecimento de suas responsabilidades ?

• Existe na empresa hábito de restrição de acesso físico somente para quem é permitido ?

• Existe na empresa hábito de restrição de acesso digital somente para os administradores de rede ?
• Os dados são mascarados para técnicos de atendimento terem acesso somente ao que precisam ?
• Existe um processo de descarte de equipamentos cuidadoso para que os dados não sejam roubados ?
• Existe uma área isolada só para guardar dados pessoais ?

• Os computadores tem antivírus ?
• Existe autenticação por FSSO ?
• Existem controles para midia removível ?
• Os softwares e o sistema operacional são atualizados com frequência ?
• Existem métodos de desenvolvimento seguro para os sistemas ?
• Existe limitação com o mínimo possível de administradores masters na rede ?
• As credenciais têm características de senha forte ?
• Existe monitoramento que mapeia quem está violando dados pessoais ?
• É feito periodicamente backups e a validação do mesmo ?
• A comunicação com o controlador é feito periodicamente para realizar um levantamento dos eventos ocorridos naquele período ?
• Existem firewalls na borda da rede ?
• É utilizado algum tipo de detecção e prevenção de violação de dados pessoais por meio do IPS ?
• São aplicadas medidas de regulamentação às normas mais conhecidas de padronização dos itens de segurança ?
• Os logs são guardados em um gerenciador de logs ?

⬆ back to top

• Existem regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

⬆ back to top

Open an issue or a pull request to suggest changes or additions.

The Checklist LGPD repository consists of two branches:

This branch consists of the README.md file that is automatically reflected on the LGPD Checklist website.

This branch will be used to make some significant changes to the structure, content if needed. It is preferable to use the master branch to fix small errors or add a new item.

If you have any question or suggestion, don't hesitate to use Gitter or Twitter:

• Chat on Gitter
• Facebook
• Twitter

Cleilson

⬆ back to top