LGPD Lei brasileira
28 controles, organizados por grupo, com resumo em português.
Lei Geral de Proteção de Dados do Brasil. Define como tratar dados pessoais com finalidade, base legal, direitos do titular e segurança. Obrigatória para praticamente qualquer empresa que trate dados de pessoas no Brasil.
Fonte oficial · A cor indica o perfil em que cada controle entra: Básico Intermediário Avançado.
A LGPD é lei (texto público). As descrições são uma checklist prática da InfoCuestaSec; não substituem orientação jurídica. Divisão em perfis é didática.
PRIN Princípios do tratamento
-
PRIN.1
Tratar dados apenas para finalidades específicas, legítimas e informadas. Dados pessoais só podem ser usados para finalidades específicas, legítimas e informadas ao titular — nada de coletar 'por via das dúvidas'. Usar depois para outro fim é irregular.Básico
-
PRIN.2
Coletar só os dados necessários (minimização) e mantê-los atualizados. Colete apenas os dados realmente necessários e mantenha-os corretos e atualizados. Quanto menos dado você guarda, menor o risco em caso de vazamento.Básico
-
PRIN.3
Garantir transparência e livre acesso do titular sobre o tratamento. A pessoa tem direito de saber, de forma clara, quais dados você tem e como os usa, com acesso facilitado. Transparência é a base da confiança e da lei.Intermediário
-
PRIN.4
Restringir o tratamento ao estritamente necessário (adequação e necessidade). O tratamento deve ser compatível com a finalidade informada e limitado ao mínimo necessário para alcançá-la. Coletar além disso é excesso proibido.Básico
-
PRIN.5
Não usar dados para fins discriminatórios ilícitos ou abusivos. É proibido tratar dados para fins discriminatórios, ilícitos ou abusivos. A lei protege a pessoa contra usos que a prejudiquem injustamente.Intermediário
BASE Bases legais e consentimento
-
BASE.1
Ter uma base legal válida para cada tratamento (art. 7 ou 11). Todo tratamento precisa se apoiar em uma base legal da LGPD (consentimento, obrigação legal, contrato, legítimo interesse, etc.). Sem base legal, o tratamento é irregular.Básico
-
BASE.2
Gerir o consentimento quando for a base (livre, informado, revogável). Quando a base for o consentimento, ele precisa ser livre, informado, específico e fácil de revogar. Caixa pré-marcada ou consentimento genérico não vale.Básico
-
BASE.3
Tratar dados sensíveis e de crianças/adolescentes com cuidado reforçado. Dados sensíveis (saúde, biometria, religião…) e de crianças e adolescentes exigem cuidado e bases legais mais restritas. O risco e as exigências são maiores.Intermediário
-
BASE.4
Registrar o legítimo interesse com teste de balanceamento, quando usado. Ao usar o legítimo interesse, é preciso documentar um teste que equilibre esse interesse com os direitos do titular. Não é um 'coringa' para qualquer uso.Intermediário
DIR Direitos do titular
-
DIR.1
Ter um canal para o titular exercer seus direitos. Ofereça um canal simples para o titular pedir acesso, correção, exclusão, etc. A lei dá esses direitos e a empresa tem que atendê-los no prazo.Básico
-
DIR.2
Confirmar a existência de tratamento e dar acesso aos dados. O titular pode pedir confirmação de que você trata seus dados e obter acesso a eles. Você precisa conseguir localizar e entregar essa informação.Básico
-
DIR.3
Corrigir dados incompletos, inexatos ou desatualizados. A pessoa pode exigir a correção de dados incompletos, inexatos ou desatualizados. Dado errado sobre alguém pode causar prejuízo real.Intermediário
-
DIR.4
Eliminar ou anonimizar dados a pedido, quando cabível. O titular pode pedir a eliminação ou anonimização dos dados quando cabível (fim da finalidade, revogação do consentimento). Guardar dado sem necessidade é risco.Intermediário
-
DIR.5
Prover portabilidade dos dados a outro fornecedor. Em certos casos, a pessoa pode pedir seus dados em formato que permita levá-los a outro fornecedor. Dá ao titular controle sobre onde seus dados ficam.Avançado
-
DIR.6
Informar com quem os dados foram compartilhados. O titular pode saber com quais entidades você compartilhou os dados dele. Compartilhamento sem transparência gera desconfiança e infração.Intermediário
-
DIR.7
Permitir a revogação do consentimento de forma fácil. Deve ser tão fácil revogar o consentimento quanto foi dá-lo. Após a revogação, o tratamento baseado nele precisa cessar.Básico
GOV Governança de privacidade
-
GOV.1
Nomear e divulgar o Encarregado (DPO). Nomear e divulgar um Encarregado (DPO), a ponte entre a empresa, os titulares e a ANPD. É base prática de um programa de privacidade.Básico
-
GOV.2
Manter registro das operações de tratamento (mapeamento de dados). Manter um registro das operações de tratamento (quais dados, para quê, com quem são compartilhados) — o 'mapa dos dados'. Sem ele, não dá para gerenciar privacidade nem responder à ANPD.Intermediário
-
GOV.3
Publicar uma política de privacidade clara e acessível. Publicar um aviso de privacidade claro sobre o que você faz com os dados das pessoas. É o documento que cumpre a transparência.Intermediário
-
GOV.4
Treinar as equipes que tratam dados pessoais. Treinar as equipes que lidam com dados pessoais sobre suas obrigações e cuidados. A maioria dos incidentes vem de erro humano evitável.Intermediário
-
GOV.5
Elaborar Relatório de Impacto (RIPD/DPIA) quando o risco for alto. Elaborar um Relatório de Impacto (RIPD) quando o tratamento tiver risco alto aos direitos das pessoas. Ajuda a identificar e reduzir riscos antes de começar.Avançado
-
GOV.6
Incluir cláusulas de proteção de dados em contratos com operadores. Incluir cláusulas de proteção de dados nos contratos com quem trata dados em seu nome (operadores/fornecedores). A responsabilidade pelo dado continua sendo sua.Intermediário
SEG Segurança dos dados
-
SEG.1
Adotar medidas técnicas e administrativas de segurança dos dados. Adotar medidas técnicas e administrativas para proteger os dados contra acesso indevido, perda e vazamento. A LGPD exige segurança proporcional ao risco.Básico
-
SEG.2
Controlar o acesso aos dados pessoais (menor privilégio). Só quem precisa deve acessar dados pessoais, seguindo o menor privilégio. Acesso amplo demais aumenta o risco de vazamento interno.Básico
-
SEG.3
Definir prazos de retenção e descarte seguro dos dados. Definir por quanto tempo cada dado é mantido e descartá-lo com segurança quando não for mais necessário. Guardar para sempre é risco desnecessário.Intermediário
INC Incidentes
-
INC.1
Ter plano de resposta a incidentes envolvendo dados pessoais. Ter um plano para agir rápido quando ocorrer um incidente com dados pessoais. Improviso na crise costuma piorar o dano e a exposição.Básico
-
INC.2
Comunicar a ANPD e os titulares em incidente de risco relevante. Em incidente que possa gerar risco relevante, é preciso comunicar a ANPD e os titulares afetados. Omitir pode agravar a responsabilização.Intermediário
INT Transferência internacional
-
INT.1
Garantir salvaguardas adequadas para transferência internacional de dados. Enviar dados para fora do país exige garantias adequadas de proteção (cláusulas-padrão, países com nível adequado, etc.). O dado não pode perder proteção ao cruzar a fronteira.Avançado