Information

  • AUDITORIA INTERNA - Adequação à Lei 13.709/2018 Lei Geral de Proteção de Dados Pessoais (LGPD)

  • Auditado:

  • Período:

  • Auditor Líder:

  • Local:
  • Participantes:

  • Modalidade de Auditoria:

Resumo da Auditoria

  • Atende

  • Atende Parcial

  • Não atende

  • Pontos Fortes

  • Pontos Fracos

Arranjos, Escopo, Objetivo e Critério da Auditoria

  • Objetivo da Auditoria: Avaliar a adequação a A Lei 13.709/2018, Lei Geral de Proteção de Dados Pessoais (LGPD),

  • Escopo da Auditoria: Lei 13.709/2018, Lei Geral de Proteção de Dados Pessoais (LGPD),

  • Itens Não Aplicáveis?

  • Itens Não Aplicáveis e Justificativas

  • Porte e Tempo de Mercado

  • Processos Mapeados

  • Descrição geral da situação da organização e seu atendimento a Lei 13.709/2018, Lei Geral de Proteção de Dados Pessoais (LGPD)

Constatações

  • 1.A organização conduziu iniciativa para identificar e planejar as medidas necessárias à adequação à LGPD?

  • 2.A organização elaborou plano de ação, plano de projeto ou documento similar para direcionar a iniciativa de adequação à LGPD?

  • 3. A organização conduziu iniciativa para identificar outros normativos (e.g.: leis, regulamentos e instruções normativas), além da LGPD, que abrangem comandos relacionados à proteção de dados pessoais e que também devem ser respeitados?

  • 4. A organização identificou as categorias de titulares de dados pessoais com os quais se relaciona?

  • 5. A organização conduziu iniciativa para identificar os operadores que realizam tratamento de dados pessoais em seu nome

  • 6. A organização adequou os contratos firmados com os operadores identificados de forma a estabelecer suas responsabilidades e papéis com relação à proteção de dados pessoais?

  • 7. A organização avaliou se há tratamento de dados que envolva controlador conjunto?

  • 8. Caso exista controlador conjunto, os papéis e responsabilidades de cada um dos controladores estão definidos em contrato, acordo de cooperação ou instrumento similar?

  • 9. A organização identificou os processos de negócio que realizam tratamento de dados pessoais?

  • 10. A organização identificou quem são os responsáveis pelos processos de negócio que realizam tratamento de dados pessoais e que já foram identificados?

  • 11. A organização identificou quais são os dados pessoais tratados por ela?

  • 12. A organização identificou os locais onde os dados pessoais identificados são armazenados?

  • 13. A organização avaliou os riscos dos processos de tratamento de dados pessoais que foram identificados?

  • 14. A organização nomeou o encarregado pelo tratamento de dados pessoais?

  • 15. A identidade e as informações de contato do encarregado foram divulgadas na internet?

  • 16. Colaboradores da organização que estão diretamente envolvidos em atividades que realizam tratamento de dados pessoais receberam treinamentos relacionados ao tema?

  • 17. A organização identificou e documentou as finalidades das atividades de tratamento de dados pessoais?

  • 18. A organização avaliou se coleta apenas os dados estritamente necessários para cumprir com as finalidades de tratamento de dados pessoais que foram identificadas?

  • 19. A organização avaliou se os dados pessoais são retidos (armazenados) durante o tempo estritamente necessário para cumprir com as finalidades de tratamento de dados pessoais que foram identificadas?

  • 20. A organização identificou e documentou as bases legais que fundamentam as atividades de tratamento de dados pessoais?

  • 21. Há um registro (e.g.: inventário) instituído para consolidar informações relacionadas às características das atividades de tratamento de dados pessoais?

  • 22. A organização elaborou Relatório de Impacto à Proteção de Dados Pessoais?

  • 23. A organização implementou controles para mitigar os riscos identificados por meio da elaboração do Relatório de Impacto de Proteção de Dados Pessoais?

  • 24. A Política de Privacidade (ou instrumento similar) está publicada na internet?

  • 25. Foram implementados mecanismos para atender os direitos dos titulares elencados no art. 18 da LGPD e aplicáveis à organização

  • 26. A organização identificou os dados pessoais são compartilhados com terceiros?

  • 27. Os compartilhamentos de dados pessoais identificados estão em conformidade com os critérios estabelecidos na LGPD?

  • 28. A organização registra eventos relacionados à transferência dos dados pessoais que são compartilhados com terceiros e que foram identificados?

  • 29. As transferências internacionais de dados pessoais estão de acordo com os casos previstos na LGPD?

  • 30. A organização possui Plano de Resposta a Incidentes (ou documento similar) que abrange o tratamento de incidentes que envolvem violação de dados pessoais?

  • 31. A organização possui sistemática para registro das ações adotadas para solucionar incidentes de segurança da informação que envolvem violação de dados pessoais?

  • 32. A organização estabeleceu procedimentos para comunicar à Autoridade Nacional de Proteção de Dados e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares?

  • 33. A organização é capaz de comprovar que adotou medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais?

  • 34. A organização implementou processo para controle de acessos, cancelamento e provisionamento de usuários em sistemas que realizam tratamento de dados pessoais?

  • 35. A organização utiliza criptografia para proteger os dados pessoais?

  • 36 A organização adotou medidas para assegurar que processos e sistemas sejam projetados, desde a concepção, em conformidade com a LGPD (Privacy by Design e Privacy by Default)?

Nota do Sistema Implementado

  • Grau no qual a conformidade foi atestada

The templates available in our Public Library have been created by our customers and employees to help get you started using SafetyCulture's solutions. The templates are intended to be used as hypothetical examples only and should not be used as a substitute for professional advice. You should seek your own professional advice to determine if the use of a template is permissible in your workplace or jurisdiction. You should independently determine whether the template is suitable for your circumstances.