| Multa LGPD

Por Anderson Chipak · chipak.com.br

Checklist de Adequação LGPD — 30 Controles em 5 Áreas

Avalie os controles que a ANPD verifica em inspeções. Score por área identifica as lacunas de maior risco.

multa-lgpd.com.br/checklist/ — versão interativa com score automático

30 controles 5 áreas LGPD Pontuação 0–60

Empresa

DPO / Responsável

Data

Área 1 — Mapeamento de Dados Pessoais · 6 controles · máx 12 pts

1.A empresa tem inventário (ROPA) de todos os dados pessoais que coleta e trata?

Sim, atualizado (2) Parcialmente (1) Não (0)

2.Os dados coletados estão classificados por categoria (comuns, sensíveis, de crianças)?

Sim (2) Parcialmente (1) Não (0)

3.Os dados coletados são limitados ao mínimo necessário para a finalidade (princípio da minimização)?

Sim, revisado (2) Em revisão (1) Não (0)

4.Existe política de retenção de dados com prazos definidos por tipo de dado?

Sim, documentada (2) Informal (1) Não (0)

5.Os dados são eliminados ou anonimizados ao fim da retenção?

Sim, processo ativo (2) Parcialmente (1) Não (0)

6.Há controle de onde os dados pessoais são armazenados (cloud, on-premise, backups, terceiros)?

Sim, mapeado (2) Parcialmente (1) Não (0)

Área 2 — Bases Legais e Transparência · 6 controles · máx 12 pts

7.Cada tratamento de dados tem base legal definida e documentada (art. 7º ou art. 11)?

Sim, todas (2) Parcialmente (1) Não (0)

8.Quando a base legal é consentimento, ele é coletado de forma livre, informada, inequívoca e registrada?

Sim (2) Parcialmente (1) Não aplica / Não (0)

9.Há política de privacidade pública, clara e atualizada, disponível no site e pontos de coleta?

Sim, atualizada (2) Existe mas desatualizada (1) Não (0)

10.Os operadores de dados (fornecedores que tratam dados por conta da empresa) têm DPA assinado?

Sim, todos (2) Principais apenas (1) Não (0)

11.Transferências internacionais de dados seguem os requisitos do art. 33 (garantias adequadas)?

Sim (2) Parcialmente (1) Não / Não sei (0)

12.Existe RIPD (Relatório de Impacto à Proteção de Dados) para tratamentos de alto risco?

Sim (2) Em elaboração (1) Não (0)

Área 3 — Direitos dos Titulares · 6 controles · máx 12 pts

13.Há canal formal para titulares exercerem seus direitos (acesso, correção, exclusão, portabilidade)?

Sim, funcionando (2) Email informal (1) Não (0)

14.As solicitações de titulares são respondidas dentro do prazo legal (15 dias)?

Sim, sempre (2) Na maioria (1) Não controlamos (0)

15.A empresa consegue executar tecnicamente uma exclusão de dados ou portabilidade completa?

Sim, processo definido (2) Parcialmente (1) Não (0)

16.O DPO (ou responsável) é identificado e acessível pelos titulares?

Sim, publicado (2) Existe mas não publicado (1) Não temos DPO (0)

17.O titular pode revogar o consentimento facilmente, sem impacto no serviço contratado?

Sim (2) Com fricção (1) Não / Não aplica (0)

18.Existe registro das solicitações de titulares (log de atendimento) para eventual auditoria?

Sim (2) Parcialmente (1) Não (0)

Área 4 — Segurança da Informação · 6 controles · máx 12 pts

19.O acesso a dados pessoais é controlado por perfil de usuário com mínimo privilégio?

Sim, granular (2) Básico (1) Não (0)

20.Dados pessoais em trânsito e em repouso são criptografados?

Ambos (2) Só em trânsito (HTTPS) (1) Não (0)

21.Há logs de acesso e auditoria para sistemas que armazenam dados pessoais?

Sim, monitorados (2) Logs existem, não monitorados (1) Não (0)

22.São realizados testes de vulnerabilidade (pentest ou scan) pelo menos anualmente?

Sim, regularmente (2) Esporadicamente (1) Nunca (0)

23.Os funcionários com acesso a dados pessoais recebem treinamento de segurança e privacidade?

Sim, regularmente (2) Na contratação apenas (1) Não (0)

24.Backups de dados pessoais são protegidos (criptografia, acesso restrito, testados)?

Sim, todos os três (2) Parcialmente (1) Não (0)

Área 5 — Gestão de Incidentes · 6 controles · máx 12 pts

25.Existe plano de resposta a incidentes de segurança envolvendo dados pessoais?

Sim, documentado e testado (2) Documentado, não testado (1) Não (0)

26.A equipe sabe o que fazer nas primeiras 72h após um incidente (ANPD + titulares)?

Sim, treinada (2) DPO sabe, equipe não (1) Não (0)

27.Há processo para identificar se um incidente requer notificação à ANPD (critério de risco relevante)?

Sim (2) Informal (1) Não (0)

28.Os incidentes são registrados formalmente (data, causa, impacto, ações tomadas)?

Sim, sempre (2) Apenas os maiores (1) Não (0)

29.Fornecedores (operadores) têm obrigação contratual de notificar incidentes dentro de prazo definido?

Sim, todos os críticos (2) Alguns (1) Não (0)

30.A empresa realizou ao menos um exercício/simulação de resposta a incidente nos últimos 12 meses?

Sim (2) Há mais de 1 ano (1) Nunca (0)

Apuração de score

Área	Q#	Máx	Pontos obtidos	%
1 — Mapeamento de dados	1–6	12	_____	_____
2 — Bases legais e transparência	7–12	12	_____	_____
3 — Direitos dos titulares	13–18	12	_____	_____
4 — Segurança da informação	19–24	12	_____	_____
5 — Gestão de incidentes	25–30	12	_____	_____
TOTAL	1–30	60	_____	_____

Interpretação: <40% = Exposição alta (risco de multa ANPD) · 40–65% = Em adequação · 66–84% = Adequado · ≥85% = Conforme LGPD