Governança, risco e compliance em português · gratuito, sem cadastro e nada é salvo

LGPD Lei brasileira

28 controles, organizados por grupo, com resumo em português.

Fazer a avaliação

Lei Geral de Proteção de Dados do Brasil. Define como tratar dados pessoais com finalidade, base legal, direitos do titular e segurança. Obrigatória para praticamente qualquer empresa que trate dados de pessoas no Brasil.

Fonte oficial · A cor indica o perfil em que cada controle entra: Básico Intermediário Avançado.

A LGPD é lei (texto público). As descrições são uma checklist prática da InfoCuestaSec; não substituem orientação jurídica. Divisão em perfis é didática.

PRIN Princípios do tratamento

  • PRIN.1
    Tratar dados apenas para finalidades específicas, legítimas e informadas. Dados pessoais só podem ser usados para finalidades específicas, legítimas e informadas ao titular — nada de coletar 'por via das dúvidas'. Usar depois para outro fim é irregular.
    Básico
  • PRIN.2
    Coletar só os dados necessários (minimização) e mantê-los atualizados. Colete apenas os dados realmente necessários e mantenha-os corretos e atualizados. Quanto menos dado você guarda, menor o risco em caso de vazamento.
    Básico
  • PRIN.3
    Garantir transparência e livre acesso do titular sobre o tratamento. A pessoa tem direito de saber, de forma clara, quais dados você tem e como os usa, com acesso facilitado. Transparência é a base da confiança e da lei.
    Intermediário
  • PRIN.4
    Restringir o tratamento ao estritamente necessário (adequação e necessidade). O tratamento deve ser compatível com a finalidade informada e limitado ao mínimo necessário para alcançá-la. Coletar além disso é excesso proibido.
    Básico
  • PRIN.5
    Não usar dados para fins discriminatórios ilícitos ou abusivos. É proibido tratar dados para fins discriminatórios, ilícitos ou abusivos. A lei protege a pessoa contra usos que a prejudiquem injustamente.
    Intermediário

BASE Bases legais e consentimento

  • BASE.1
    Ter uma base legal válida para cada tratamento (art. 7 ou 11). Todo tratamento precisa se apoiar em uma base legal da LGPD (consentimento, obrigação legal, contrato, legítimo interesse, etc.). Sem base legal, o tratamento é irregular.
    Básico
  • BASE.2
    Gerir o consentimento quando for a base (livre, informado, revogável). Quando a base for o consentimento, ele precisa ser livre, informado, específico e fácil de revogar. Caixa pré-marcada ou consentimento genérico não vale.
    Básico
  • BASE.3
    Tratar dados sensíveis e de crianças/adolescentes com cuidado reforçado. Dados sensíveis (saúde, biometria, religião…) e de crianças e adolescentes exigem cuidado e bases legais mais restritas. O risco e as exigências são maiores.
    Intermediário
  • BASE.4
    Registrar o legítimo interesse com teste de balanceamento, quando usado. Ao usar o legítimo interesse, é preciso documentar um teste que equilibre esse interesse com os direitos do titular. Não é um 'coringa' para qualquer uso.
    Intermediário

DIR Direitos do titular

  • DIR.1
    Ter um canal para o titular exercer seus direitos. Ofereça um canal simples para o titular pedir acesso, correção, exclusão, etc. A lei dá esses direitos e a empresa tem que atendê-los no prazo.
    Básico
  • DIR.2
    Confirmar a existência de tratamento e dar acesso aos dados. O titular pode pedir confirmação de que você trata seus dados e obter acesso a eles. Você precisa conseguir localizar e entregar essa informação.
    Básico
  • DIR.3
    Corrigir dados incompletos, inexatos ou desatualizados. A pessoa pode exigir a correção de dados incompletos, inexatos ou desatualizados. Dado errado sobre alguém pode causar prejuízo real.
    Intermediário
  • DIR.4
    Eliminar ou anonimizar dados a pedido, quando cabível. O titular pode pedir a eliminação ou anonimização dos dados quando cabível (fim da finalidade, revogação do consentimento). Guardar dado sem necessidade é risco.
    Intermediário
  • DIR.5
    Prover portabilidade dos dados a outro fornecedor. Em certos casos, a pessoa pode pedir seus dados em formato que permita levá-los a outro fornecedor. Dá ao titular controle sobre onde seus dados ficam.
    Avançado
  • DIR.6
    Informar com quem os dados foram compartilhados. O titular pode saber com quais entidades você compartilhou os dados dele. Compartilhamento sem transparência gera desconfiança e infração.
    Intermediário
  • DIR.7
    Permitir a revogação do consentimento de forma fácil. Deve ser tão fácil revogar o consentimento quanto foi dá-lo. Após a revogação, o tratamento baseado nele precisa cessar.
    Básico

GOV Governança de privacidade

  • GOV.1
    Nomear e divulgar o Encarregado (DPO). Nomear e divulgar um Encarregado (DPO), a ponte entre a empresa, os titulares e a ANPD. É base prática de um programa de privacidade.
    Básico
  • GOV.2
    Manter registro das operações de tratamento (mapeamento de dados). Manter um registro das operações de tratamento (quais dados, para quê, com quem são compartilhados) — o 'mapa dos dados'. Sem ele, não dá para gerenciar privacidade nem responder à ANPD.
    Intermediário
  • GOV.3
    Publicar uma política de privacidade clara e acessível. Publicar um aviso de privacidade claro sobre o que você faz com os dados das pessoas. É o documento que cumpre a transparência.
    Intermediário
  • GOV.4
    Treinar as equipes que tratam dados pessoais. Treinar as equipes que lidam com dados pessoais sobre suas obrigações e cuidados. A maioria dos incidentes vem de erro humano evitável.
    Intermediário
  • GOV.5
    Elaborar Relatório de Impacto (RIPD/DPIA) quando o risco for alto. Elaborar um Relatório de Impacto (RIPD) quando o tratamento tiver risco alto aos direitos das pessoas. Ajuda a identificar e reduzir riscos antes de começar.
    Avançado
  • GOV.6
    Incluir cláusulas de proteção de dados em contratos com operadores. Incluir cláusulas de proteção de dados nos contratos com quem trata dados em seu nome (operadores/fornecedores). A responsabilidade pelo dado continua sendo sua.
    Intermediário

SEG Segurança dos dados

  • SEG.1
    Adotar medidas técnicas e administrativas de segurança dos dados. Adotar medidas técnicas e administrativas para proteger os dados contra acesso indevido, perda e vazamento. A LGPD exige segurança proporcional ao risco.
    Básico
  • SEG.2
    Controlar o acesso aos dados pessoais (menor privilégio). Só quem precisa deve acessar dados pessoais, seguindo o menor privilégio. Acesso amplo demais aumenta o risco de vazamento interno.
    Básico
  • SEG.3
    Definir prazos de retenção e descarte seguro dos dados. Definir por quanto tempo cada dado é mantido e descartá-lo com segurança quando não for mais necessário. Guardar para sempre é risco desnecessário.
    Intermediário

INC Incidentes

  • INC.1
    Ter plano de resposta a incidentes envolvendo dados pessoais. Ter um plano para agir rápido quando ocorrer um incidente com dados pessoais. Improviso na crise costuma piorar o dano e a exposição.
    Básico
  • INC.2
    Comunicar a ANPD e os titulares em incidente de risco relevante. Em incidente que possa gerar risco relevante, é preciso comunicar a ANPD e os titulares afetados. Omitir pode agravar a responsabilização.
    Intermediário

INT Transferência internacional

  • INT.1
    Garantir salvaguardas adequadas para transferência internacional de dados. Enviar dados para fora do país exige garantias adequadas de proteção (cláusulas-padrão, países com nível adequado, etc.). O dado não pode perder proteção ao cruzar a fronteira.
    Avançado