Questor Help DOCS

Inicio FAQ
LGPD Introdução a LGPD Indice e Roteiro de Implantação

Última modificação em: 11/05/2021

Índice e Roteiro de Implantação

Sugestão de Roteiro de Implantação

 

Fase 0 - Atribuição de Responsabilidades

Estruturação do Cargo de Encarregado (art.41):

❏ Critérios para nomeação;

❏ Funções;

❏ Formalização da nomeação.

Formação de Comitê de Privacidade, indicação do PMO do projeto e Data Champions;

❏ Alocar responsabilidades internas para execução das ações necessárias;

❏ Envolver as lideranças, principalmente os gestores de áreas que lidam com informações pessoais, como tecnologia, segurança da informação, recursos humanos, marketing, e a alta diretoria;

 

Fase 1 - Diagnóstico

 

Realização de capacitação preliminar

❏ Estabelecer treinamentos frequentes para os colaboradores visando a introdução da cultura de proteção de Dados aos colaboradores envolvidos;

Realização de assessment de aplicações;

❏ Mapeamento de controles e processos de segurança da informação;

❏ Realizar o mapeamento de infraestrutura de suporte aos fluxos de dados.

Realização de Inventário de Dados Pessoais (art.37):

❏ Realizar um mapeamento geral de todas as atividades que envolvem tratamentos de Dados Pessoais, incluindo processos de coleta, armazenamento e compartilhamento, verificando, também, se há tratamento de dados pessoais sensíveis;

❏ Realizar a documentação dos fluxos de dados pessoais e seus ciclos de vida (data flow);

❏ Realizar a identificação de transferência internacional de dados, bases legais e tempo de tratamento de dados pessoais.

Realização de Assessment sobre operações de Tratamento de Dados Pessoais:

❏ Realizar entrevistas e questionamentos às áreas que tratam Dados Pessoais, em paralelo a elaboração de Inventários de Dados Pessoais;

❏ Análise jurídica dos eventuais gaps identificados (incluindo a revisão das atividades de tratamento de dados pessoais à luz da LGPD);

❏ Elaboração de overview das recomendações jurídicas com o objetivo de atingir nível satisfatório de compliance em relação à LGPD, de acordo com os riscos identificados (Gap Analysis e Plano de Ação), com foco em:

❏ Escopo e aplicabilidade da Lei;

❏ Conceitos e Princípios;

❏ Direitos dos Titulares;

❏ Bases Legais;

❏ Documentos obrigatórios;

❏ Papel do Encarregado;

❏ Eliminação e Retenção;

❏ Transferência Internacional;

❏ Comunicação sobre Incidentes;

❏ Responsabilidades.

 

Fase 2 - Estabelecimento de padrões de governança e boas práticas

 

Revisão do papel da Companhia como agente de tratamento de dados pessoais e suas obrigações correlatas;

❏ Traçar recomendações sobre o papel da Companhia como agente de tratamento de dados pessoais em cada processo;

❏ Revisar a atribuição de bases legais para tratamento de dados pessoais;

❏ Revisar a atribuição de tempo de tratamento de dados pessoais e hipóteses de término do tratamento.

Elaboração e operacionalização dos Relatórios de Impacto a Proteção de Dados - RIPD (art. 38);

❏ Elaborar junto às áreas relatórios de impacto à proteção de dados pessoais nos casos de tratamento baseado em legítimo interesse e em outras situações em que seja recomendável ou mandatório.

Elaboração de Plano de Resposta a Incidente e Remediação (art.50,§ 2º,I, ‘g’):

❏ Construir plano específico com enfoque em vazamento de dados pessoais, definindo regras internas de como e quando agir;

❏ Construir template de comunicação de incidentes à Autoridade Nacional de Proteção de Dados, incluindo listagem das informações mínimas necessárias;

Elaboração e operacionalização de questionário para avaliação de fornecedores (arts. 42 e 50);

❏ Operacionalizar os fluxos de homologação de fornecedores no que diz respeito à adequação dos mesmos a LGPD e boas práticas de Segurança da Informação.

Elaboração e operacionalização do banco de cláusulas padrões para situações que envolvam a comunicação de dados pessoais (arts.39 e 42);

❏ Controlador - Operador;

❏ Controlador - Controlador;

❏ Elaborar, revisar, adaptar e aditar contratos que envolvam tratamento e/ou compartilhamento de dados pessoais, tanto nas relações com usuários e consumidores, quanto nas relações com fornecedores e parceiros comerciais;

❏ Avaliar situações de inclusão de coleta de consentimento através de plataforma digital e/ou contrato.

Revisão de Contratos de Trabalho - Recursos Humanos (art.6, VI e 9º)

❏ Rever o contrato de trabalho padrão;

❏ Promover aditamento nos contratos de trabalho vigentes.

❏ Elaboração de Política de Governança em Proteção de Dados Pessoais (arts.50 e 6, VI);

❏ Elaborar Política de Governança em Proteção de Dados Pessoais compatíveis com o porte da Companhia, indicando diretrizes gerais para alcançar conformidade;

Elaboração e/ou atualização de Políticas de Privacidade (arts. 50 e 6, VI);

❏ De acordo com os inventários de dados pessoais, realizar elaboração ou revisão da Política de Privacidade disponível ao público em sites e apps.

❏ Versão externa para serviços core;

❏ Política interna de Privacidade para colaboradores (inclusive terceiros);

❏ Versão externa para candidatos;

❏ Outras Políticas/Avisos específicos.

Elaboração e/ou atualização de aviso de Cookies (art.6, VI);

❏ De acordo com os inventários de dados pessoais, realizar elaboração ou revisão da Política de Cookies disponível ao público (em sites e/ apps);

❏ Operacionalizar o opt out (e/ou consentimento) em sites e apps para cookies.

Elaboração e/ou atualização de Política de Tela e Mesa Limpa (arts.50 e 6, VI);

Elaboração e/ou atualização de Política para o uso de dispositivo móvel (arts.50 e 6, VI);

Elaboração e/ou atualização de Política de Segurança da Informação (arts.50 e 6, VI);

❏ Revisar e implementar técnicas e procedimentos de segurança da informação e programas de privacidade desde a concepção e como padrão (seguindo frameworks como privacy by design/by default).

Elaboração e/ou atualização de Política de Desenvolvimento Seguro (arts.50 e 6, VI);

Elaboração e/ou atualização de Política de Gestão de Acessos (arts.50 e 6, VI);

Elaboração e/ou atualização de Política da Classificação da Informação (arts.50 e 6, VI);

Elaboração e/ou atualização de Política de Acesso, correção e/ou exclusão (arts.50 e 6, VI);

Elaboração e/ou atualização de Política de Backup (arts.50 e 6, VI);

Elaboração e/ou atualização de Políticas e procedimentos para transferência de informações (arts.15,33,50 e 6, VI);

Implementação de soluções que permitam aos titulares de dados pessoais exercerem seus direitos garantidos pela LGPD (art. 18 a 20);

❏ Reanalisar situações de tratamento de dados pessoais indicadas no inventário de dados pessoais;

❏ Elaborar de guidelines, com o intuito de apoiar a companhia a garantir, dentro dos limites aplicáveis, o exercício dos direitos pelos titulares;

❏ Elaborar templates de respostas às solicitações dos titulares.

Realização de capacitação contínua

❏ Estabelecer treinamentos frequentes para os colaboradores visando a manutenção da cultura de proteção de dados aos colaboradores envolvidos

CCQ Blog
© Questor Sistemas 2025