Diagnóstico Rápido

A organização possui algum tipo de metodologia para fins de acompanhamento das alterações jurídicas, legais e de jurisprudência relacionadas à LGPD e proteção de dados pessoais no Brasil?

A organização possui políticas de privacidade (interna e externa) e boas práticas com relação a proteção de dados pessoais alinhadas com as regras da LGPD?

A organização possui uma metodologia de auditoria prévia de privacidade e proteção de dados para fins de negociação com terceiros?

A organização possui cláusulas contratuais de privacidade e proteção de dados em seus contratos em casos de transferência internacional de dados pessoais?

Os contratos de trabalho da organização possuem cláusulas compatíveis com os termos e condições das leis de proteção de dados, em vigor?

Os contratos com terceiros da organização possuem cláusulas compatíveis com os termos e condições das leis de proteção de dados, em vigor?

A organização possui Record of Processing Activities (Registro das Operações de Tratamento de Dados Pessoais), conforme exigido pelo art. 30 da GDPR e 37 da LGPD?

Os países para os quais a organização realiza transferência internacional de dados possuem grau de proteção de dados adequado?

A organização realiza transferência internacional de dados pessoais de acordo com as bases legais da LGPD e/ou com países que possuam política de tratamento de dados pessoais em coerência com a lei brasileira?

A empresa possui a capacidade de indicar para os titulares de dados pessoais em quais processos existe tomada de decisão gerada pelo tratamento automatizado de dados pessoais?

Os dados pessoais tratados são compartilhados por terceiros?

A organização possui procedimento para disponibilização e acesso dos dados pessoais de seus titulares caso venham a ser solicitados em até 15 dias após o requerimento?

A organização possui registros de todos os dados pessoais por ela tratados e seus respectivos titulares?

A organização possui uma política para atender às solicitações de acesso aos dados pessoais realizadas por seus titulares?

A organização pode fornecer uma lista de todas as notificações de privacidade de dados que possui?

A organização possui um procedimento para agir, prontamente, em caso de incidentes de segurança, incluindo notificação aos titulares de dados pessoais afetados?

A organização é capaz de detectar rapidamente incidentes de segurança (e.g., incluindo acesso não autorizado, destruição, perda, alteração e violações de dados)?

A organização possui uma política de revisão regular das permissões de acesso aos dados pessoais que garanta o acesso somente aos funcionários e contratados que precisam ter acesso, bem como um procedimento para prevenir prontamente funcionários e contratados desligados de acesso a dados pessoais?

A organização exige que seus funcionários e prestadores de serviços assinem acordos de confidencialidade e segurança de dados?

A empresa, ou corpo técnico, é certificada em algum padrão ou framework de segurança?

A organização conduz avaliações de vulnerabilidade e testes de penetração em seus sistemas de tratamento de dados pessoais?

Existe um processo para atualizar políticas, procedimentos, diretrizes de gerenciamento de riscos, procedimentos de violação, etc. para refletir as atualizações / mudanças das expectativas regulatórias ou mudanças internas no programa de privacidade?

Os dados pessoais são armazenados em um local e ambiente seguros e controlados?

A organização possui um programa de governança em privacidade, ou equivalente?

A empresa possui uma política/procedimento de back-up em relação aos dados pessoais?

A organização possui políticas, procedimentos, e medidas protetivas (e.g., controles de acesso, criptografia, modificação de dados, mascaramento de dados) que asseguram a segurança e garantia de conformidade com os regulamentos/leis de privacidade?

Caso haja alteração na finalidade do tratamento de dado pessoal, a empresa possui um procedimento para informar os titulares dos dados pessoais acerca dessa mudança?

A organização possui um processo apropriado para notificar os titulares de dados pessoais sobre uma violação de dados, quando aplicável?

A organização limita o tratamento de dados pessoais ao tratamento necessário para os fins específicos que justificam a sua coleta?

A empresa nomeou um Encarregado (Data Protection Officer - DPO)?

Em caso de atividades de tratamento de dados pessoais que resultem em um alto risco para os titulares de dados, você realiza um Relatório de Impacto à Proteção de Dados Pessoais (Data Protection Impact Assessment - DPIA)?

A organização oferece orientação aos funcionários de terceiros a respeito das práticas a serem tomadas em relação à proteção de dados pessoais?

Existe um processo formal para revisar e atualizar o treinamento periodicamente?

A organização promove treinamentos obrigatórios para os funcionários, conscientizando-os sobre a importância e sobre suas responsabilidades em relação à privacidade e proteção de dados pessoais?

A organização possui política para anonimizar dados após o término do tratamento dos dados pessoais?

A organização possui uma politica para solicitações de eliminação dados pessoais de seus sistemas, se necessário?

A organização possui uma política para eliminação de dados pessoais?

Os dados pessoais são tratados por período indeterminado?

A organização possui uma política periódica para eliminação de dados pessoais?

A organização obtém o consentimento específico e destacado de um dos pais, ou responsável legal, para tratar dados pessoais de crianças?

A organização realiza o tratamento de dados pessoais sensíveis de acordo com as bases legais específicas previstas na LGPD?

A organização realiza o tratamento de dados pessoais sensíveis de acordo com as bases legais específicas previstas na LGPD?

A organização possui um canal para os titulares de dados pessoais nos quais as informações sobre o tratamento de seus dados são disponibilizadas de forma clara, adequada e ostensiva?

O acesso a dados pessoais possui mecanismos para o controle e segregação de acesso?

A sua organização garante ao titular de dados pessoais o direito de retirar o consentimento para tratamento de dados a qualquer momento?

Ao obter o consentimento do titular de dados pessoais a sua organização deixa de forma clara, precisa e objetiva as finalidades para as quais os dados serão tratados?

O consentimento para tratamento de dados pessoais é obtido por escrito ou por outro meio que demonstre a clara manifestação de vontade do titular de dados?

O tratamento de dados pessoais de acesso público é baseado na finalidade, boa-fé e o interesse público que justificaram sua disponibilização?

O tratamento de dados pessoais realizado pela sua organização está fundamentado nas bases legais estipuladas na LGPD?

O tratamento de dados pessoais é realizado com base nos princípios de finalidade, boa fé e pautada na conformidade com a LGPD(finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização, legítimo interesse e prestação de contas)?