30 controles de adequação LGPD

1. A empresa tem inventário (ROPA) de todos os dados pessoais que coleta e trata?

2. Os dados coletados estão classificados por categoria (comuns, sensíveis, de crianças)?

3. Os dados coletados são limitados ao mínimo necessário para a finalidade (princípio da minimização)?

4. Existe política de retenção de dados com prazos definidos por tipo de dado?

5. Os dados são eliminados ou anonimizados ao fim da retenção?

6. Há controle de onde os dados pessoais são armazenados (cloud, on-premise, backups, terceiros)?

7. Cada tratamento de dados tem base legal definida e documentada (art. 7º ou art. 11)?

8. Quando a base legal é consentimento, ele é coletado de forma livre, informada, inequívoca e registrada?

9. Há política de privacidade pública, clara e atualizada, disponível no site e nos pontos de coleta?

10. Os operadores de dados (fornecedores que tratam dados por conta da empresa) têm DPA assinado?

11. Transferências internacionais de dados seguem os requisitos do art. 33 (garantias adequadas)?

12. Existe RIPD (Relatório de Impacto à Proteção de Dados) para tratamentos de alto risco?

13. Há canal formal para titulares exercerem seus direitos (acesso, correção, exclusão, portabilidade)?

14. As solicitações de titulares são respondidas dentro do prazo legal (15 dias)?

15. A empresa consegue executar tecnicamente uma exclusão de dados ou portabilidade completa?

16. O DPO (ou responsável) é identificado e acessível pelos titulares?

17. O titular pode revogar o consentimento facilmente, sem impacto no serviço contratado?

18. Existe registro das solicitações de titulares (log de atendimento) para eventual auditoria?

19. O acesso a dados pessoais é controlado por perfil de usuário com mínimo privilégio?

20. Dados pessoais em trânsito e em repouso são criptografados?

21. Há logs de acesso e auditoria para sistemas que armazenam dados pessoais?

22. São realizados testes de vulnerabilidade (pentest ou scan) pelo menos anualmente?

23. Os funcionários com acesso a dados pessoais recebem treinamento de segurança e privacidade?

24. Backups de dados pessoais são protegidos (criptografia, acesso restrito, testados)?

25. Existe plano de resposta a incidentes de segurança com envolvendo dados pessoais?

26. A equipe sabe o que fazer nas primeiras 72h após um incidente (ANPD + titulares)?

27. Há processo para identificar se um incidente requer notificação à ANPD (critério de risco relevante)?

28. Os incidentes são registrados formalmente (data, causa, impacto, ações tomadas)?

29. Fornecedores (operadores) têm obrigação contratual de notificar incidentes dentro de prazo definido?

30. A empresa realizou ao menos um exercício/simulação de resposta a incidente nos últimos 12 meses?