Como este tema funciona no porte da sua empresa
O checklist tem um subconjunto de itens prioritários — os marcados como Essencial. Todos os itens Essencial devem estar concluídos; os Recomendado devem estar no plano de curto prazo. O gestor pode conduzir os Essencial com apoio pontual do assessor jurídico (política de privacidade e bases legais) e sem custo adicional de software ou sistema.
O checklist completo se aplica, com atenção especial às dimensões de contratos com fornecedores (muitos a revisar), coordenação entre áreas no inventário de dados e manutenção periódica. Os itens Recomendado devem ter responsável e prazo definidos. O DPO externo ou interno revisa os itens de validação especializada.
Todos os itens do checklist se aplicam e devem estar integrados ao programa formal de compliance. Os itens Avançado (DPIA, auditoria, canal de denúncias) são obrigatórios. O gestor administrativo usa o checklist para verificar o status da sua área — o compliance officer consolida a visão do programa.
O checklist de adequação à legislação de proteção de dados é o instrumento que permite ao gestor administrativo verificar o status de conformidade da empresa de forma estruturada — não para criar a sensação de que "está tudo em ordem", mas para identificar o que está feito, o que está em andamento e o que nunca foi iniciado. Diferente de outros checklists genéricos, este está escrito para o gestor que opera o back-office: cada item é verificável por ele, e os itens que dependem de validação especializada são sinalizados explicitamente. O checklist é um instrumento de diagnóstico periódico — não apenas de adequação inicial.
Como usar este checklist
O checklist é organizado em nove dimensões. Para cada item, o gestor marca uma de três situações: Concluído, Em andamento ou Não iniciado. Itens com a classificação Essencial devem ter prioridade máxima. Itens Recomendado devem ter prazo definido. Itens Avançado são para empresas com programa formal de compliance ou que tratam dados em escala ou sensíveis.
A revisão do checklist deve ser feita em três momentos:
- Diagnóstico inicial: primeira vez que o gestor aplica o checklist — identifica o estado atual e as lacunas prioritárias.
- Revisão semestral: verificação se os itens em andamento foram concluídos e se novos itens precisam ser adicionados em função de mudanças na empresa.
- Gatilho por mudança: toda vez que a empresa implementa um novo sistema, contrata um fornecedor com acesso a dados ou muda uma finalidade de uso de dados, o checklist das dimensões afetadas deve ser revisado.
Dimensão 1 — Mapeamento e inventário de dados
O inventário de dados é o pré-requisito de toda a adequação — sem saber quais dados a empresa trata, é impossível garantir que os demais itens do checklist estão corretos.
- [Essencial] Inventário de dados pessoais realizado, cobrindo: qual dado, de quem (cliente, funcionário, fornecedor PF), para quê, onde fica armazenado, quem acessa e por quanto tempo é mantido. Verificável pelo gestor.
- [Essencial] Inventário atualizado após implantação de novos sistemas, novos processos de coleta ou novos fornecedores com acesso a dados pessoais. Verificável pelo gestor.
- [Essencial] Dados sensíveis (saúde, biometria, financeiro detalhado, origem étnica) identificados no inventário e com controle adicional de acesso e proteção. Validação com DPO ou assessor jurídico recomendada.
Dimensão 2 — Bases legais
Cada tratamento de dados pessoais precisa ter uma justificativa legal — a base legal. Sem base legal definida, o tratamento pode ser irregular mesmo que os dados sejam tratados com toda a segurança técnica.
- [Essencial] Base legal definida para cada tratamento de dados pessoais listado no inventário. Validação obrigatória com assessor jurídico ou DPO — o gestor não define bases legais por conta própria.
- [Essencial] Consentimentos utilizados como base legal coletados de forma válida: livre, informado e específico por finalidade. Validação com assessor jurídico ou DPO.
- [Recomendado] Consentimentos registrados com data de coleta e versão da política de privacidade vigente à época da coleta. Verificável pelo gestor (registro em sistema ou planilha).
Dimensão 3 — Documentação
A documentação comunica ao titular como os dados são tratados e demonstra ao regulador que a empresa tem processos formalizados.
- [Essencial] Política de privacidade publicada no site, específica para a empresa (não um modelo genérico), com informações sobre dados coletados, finalidades, bases legais, prazos de retenção e contato do encarregado. Redação e validação pelo assessor jurídico ou DPO. Verificação de publicação pelo gestor.
- [Essencial] Aviso de privacidade em todos os formulários de coleta de dados pessoais (site, papel, sistema), informando a finalidade do uso e o link para a política completa. Verificável e implementável pelo gestor.
- [Essencial] Contato do encarregado de dados (nome ou e-mail do responsável por privacidade) publicado na política de privacidade e acessível ao titular. Verificável pelo gestor.
- [Recomendado] Política de privacidade revisada após mudança relevante de processos, sistemas ou finalidades de uso de dados. Verificável pelo gestor (data da última revisão).
Dimensão 4 — Encarregado de dados (DPO)
A legislação exige a designação de um encarregado de dados. Na pequena empresa, pode ser o próprio gestor. Na média e na grande, pode ser interno com dedicação parcial ou externo (DPO as a Service).
- [Essencial] Responsável por privacidade designado internamente — mesmo que seja o próprio gestor ou sócio. Verificável pelo gestor.
- [Essencial] Dados de contato do encarregado publicados na política de privacidade (nome ou e-mail funcional acessível ao titular). Verificável pelo gestor.
- [Essencial] Canal de atendimento a titulares definido — e-mail ou formulário por onde titulares podem enviar solicitações de acesso, correção, exclusão ou portabilidade. Verificável e implementável pelo gestor.
Dimensão 5 — Contratos com fornecedores
Todo fornecedor que acessa, armazena ou processa dados pessoais é um operador de dados — e precisa de cláusula de proteção de dados no contrato com a empresa.
- [Essencial] Fornecedores ativos que acessam dados pessoais identificados e listados (contabilidade, BPO, folha, CRM, cloud, e-mail marketing, digitalização de documentos). Verificável pelo gestor.
- [Essencial] Contratos com esses fornecedores contendo cláusula de proteção de dados, cobrindo finalidade limitada, confidencialidade, proibição de compartilhamento, comunicação de incidentes e descarte ao fim do contrato. Redação pela assessoria jurídica; verificação de presença pelo gestor.
- [Recomendado] Processo de due diligence de privacidade definido para novas contratações que envolvam acesso a dados pessoais — verificação de política de privacidade do fornecedor, local de armazenamento e compromisso de comunicação de incidentes. Implementável pelo gestor com checklist de contratação.
Dimensão 6 — Segurança e controles internos
Dados pessoais precisam de controles de acesso e de descarte seguro — sem depender de tecnologia sofisticada para isso.
- [Essencial] Acesso a sistemas e arquivos com dados pessoais restrito por função — cada colaborador acessa apenas o que precisa para exercer sua função. Verificável pelo gestor (em conjunto com TI).
- [Essencial] Processo de offboarding que inclui revogação de acessos a sistemas e devolução de dispositivos com dados. Verificável e implementável pelo gestor.
- [Essencial] Descarte seguro de documentos físicos e digitais com dados pessoais — fragmentadora para papel; exclusão definitiva para digital. Verificável e implementável pelo gestor.
- [Recomendado] Avaliação de segurança dos principais sistemas que armazenam dados pessoais (backups, criptografia, controle de acesso por função no nível do sistema). Verificável com apoio de TI.
Dimensão 7 — Atendimento a titulares
Os titulares de dados têm direito de acessar, corrigir, excluir e portar seus dados. A empresa precisa saber como responder a essas solicitações.
- [Essencial] Canal definido para receber solicitações de titulares (e-mail dedicado ou formulário). Verificável e implementável pelo gestor.
- [Recomendado] Processo de atendimento documentado — quem recebe, quem verifica a identidade do solicitante, quem responde, em qual prazo. Implementável pelo gestor com apoio do assessor jurídico para definir o prazo e o processo adequado.
- [Recomendado] Registro de todas as solicitações recebidas e respondidas (data de recebimento, tipo de solicitação, data de resposta). Verificável pelo gestor (planilha ou e-mail com registro).
Dimensão 8 — Incidentes de dados
Incidentes de dados são eventos que podem comprometer a segurança de dados pessoais — e precisam de processo de identificação, registro e resposta.
- [Essencial] Processo definido para identificar e registrar incidentes de dados (acesso indevido, perda de dispositivo, envio para destinatário errado, vazamento). Verificável e implementável pelo gestor com apoio do DPO.
- [Essencial] Contato do DPO ou assessor jurídico disponível e conhecido para acionamento imediato em caso de incidente. Verificável pelo gestor.
- [Avançado] Plano de resposta a incidentes documentado, com critérios para decidir quando comunicar à ANPD e como comunicar aos titulares afetados. Elaboração pelo DPO ou assessor jurídico.
Dimensão 9 — Manutenção e treinamento
A adequação é uma rotina, não um projeto. Esta dimensão verifica se há processo de manutenção em funcionamento.
- [Recomendado] Data da próxima revisão do inventário de dados definida e no calendário do gestor. Verificável pelo gestor.
- [Recomendado] Treinamento sobre proteção de dados realizado no onboarding de novos colaboradores e para equipes que lidam regularmente com dados pessoais. Verificável pelo gestor (registro de participação).
- [Avançado] Programa de atualização periódica do checklist estabelecido, com ciclo definido de revisão e responsável designado. Verificável pelo gestor.
Sinais de que o checklist de adequação precisa ser aplicado com urgência
Se você se reconhece em três ou mais cenários abaixo, o status de adequação da empresa provavelmente tem lacunas que precisam de diagnóstico estruturado.
- A empresa não tem uma forma de verificar periodicamente se continua em conformidade com a legislação de proteção de dados.
- A adequação foi feita com base em uma lista de tarefas e nunca transformada em rotina de monitoramento.
- O gestor não sabe ao certo quais itens da adequação já estão concluídos, quais estão em andamento e quais nunca foram iniciados.
- Cada mudança na empresa (novo sistema, novo fornecedor, novo processo) não desencadeia revisão dos controles de privacidade afetados.
- Não há evidência documentada de que a adequação foi realizada — nada que possa ser apresentado em caso de questionamento de titular ou do regulador.
- O checklist foi feito uma vez na época da adequação inicial e nunca foi revisado desde então.
Caminhos para concluir os itens do checklist e manter a conformidade
Há dois caminhos para avançar nos itens do checklist, e a escolha depende do volume de lacunas identificadas e da complexidade dos itens em aberto.
O gestor conduz os itens verificáveis por ele mesmo e coordena com assessor jurídico e DPO os itens que exigem validação especializada.
- Perfil necessário: gestor administrativo para itens Essencial verificáveis; assessor jurídico ou DPO para bases legais, política de privacidade e plano de resposta a incidentes.
- Tempo estimado: de 1 a 3 meses para concluir os itens Essencial, dependendo do ponto de partida da empresa.
- Faz sentido quando: a empresa tem poucos itens em aberto nos Essencial, acesso a assessoria jurídica e gestor com disponibilidade para coordenar o processo.
- Risco principal: itens que dependem de validação especializada ficarem parados por falta de acesso ou de priorização com o assessor.
Uma consultoria especializada em LGPD conduz o diagnóstico, identifica as lacunas do checklist e elabora o plano de adequação com cronograma e responsáveis.
- Tipo de fornecedor: Consultoria em LGPD/Compliance, DPO as a Service, Consultoria Jurídica especializada em proteção de dados.
- Vantagem: diagnóstico profissional que identifica lacunas ocultas; plano de adequação priorizado; execução dos itens que exigem especialização.
- Faz sentido quando: há muitas lacunas nos itens Essencial, a empresa trata dados sensíveis, ou os itens Avançado (DPIA, canal de denúncias, auditoria) precisam ser implementados.
- Resultado típico: diagnóstico completo em 2 a 3 semanas; itens Essencial concluídos em 1 a 3 meses; itens Avançado em 3 a 6 meses, dependendo da complexidade.
Precisa de apoio para concluir os itens do checklist e manter a conformidade com a LGPD?
Se avançar nos itens do checklist virou prioridade, o oHub conecta a sua empresa, de forma gratuita, a consultorias em LGPD, serviços de DPO as a Service e escritórios jurídicos especializados em proteção de dados. Em menos de 3 minutos você descreve a necessidade e recebe propostas, sem compromisso.
Encontrar fornecedores de Gestão no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
O que verificar para saber se minha empresa está adequada à LGPD?
As nove dimensões deste checklist: mapeamento e inventário de dados, bases legais, documentação (política de privacidade e avisos), encarregado de dados designado, contratos com fornecedores que acessam dados, controles de acesso e descarte seguro, canal e processo de atendimento a titulares, processo de identificação e resposta a incidentes, e rotina de manutenção e treinamento. Itens Essencial em todas as dimensões devem estar concluídos para o mínimo viável de adequação.
Quais documentos a empresa precisa ter para a LGPD?
Os documentos obrigatórios são: inventário de dados pessoais, política de privacidade publicada (específica para a empresa), aviso de privacidade nos formulários de coleta, registro de consentimentos (quando consentimento é a base legal utilizada), contratos com cláusula de proteção de dados para fornecedores com acesso a dados, e registro de solicitações de titulares recebidas e respondidas.
Como saber se a empresa está em conformidade com a LGPD?
Aplicando este checklist e verificando o status de cada item. Uma empresa está adequada quando: tem o inventário de dados atualizado, as bases legais estão definidas para cada tratamento, a política de privacidade é específica e está publicada, os contratos com fornecedores têm cláusula de proteção, os controles de acesso e descarte estão implementados, e há processo de atendimento a titulares e de resposta a incidentes.
O checklist de LGPD serve para empresas pequenas?
Sim — com a distinção dos níveis. A empresa pequena deve focar nos itens Essencial de todas as nove dimensões, que representam o mínimo viável e defensável de adequação. Os itens Recomendado devem estar no plano de curto prazo. Os itens Avançado se aplicam quando há dados sensíveis em escala ou quando a empresa já tem estrutura formal de compliance.
Com que frequência revisar o checklist de adequação à LGPD?
O checklist deve ser revisado em três momentos: no diagnóstico inicial (primeira aplicação), na revisão semestral (verificar itens em andamento e incluir novidades) e sempre que houver mudança relevante na empresa — novo sistema implantado, novo fornecedor com acesso a dados contratado ou nova finalidade de uso de dados existentes.
Fontes e referências
- Autoridade Nacional de Proteção de Dados (ANPD). Guia de Boas Práticas e Governança para Agentes de Tratamento de Dados Pessoais. Brasília: ANPD. Disponível em: gov.br/anpd.
- Serviço Brasileiro de Apoio às Micro e Pequenas Empresas (Sebrae). O que a sua empresa precisa fazer para a LGPD: orientações práticas. Brasília: Sebrae.