Information
-
AUDITORIA INTERNA - Adequação à Lei 13.709/2018 Lei Geral de Proteção de Dados Pessoais (LGPD)
-
Auditado:
-
Período:
-
Auditor Líder:
-
Local:
-
Participantes:
-
Modalidade de Auditoria:
Resumo da Auditoria
-
Atende
-
Atende Parcial
-
Não atende
-
Pontos Fortes
-
Pontos Fracos
Arranjos, Escopo, Objetivo e Critério da Auditoria
-
Objetivo da Auditoria: Avaliar a adequação a A Lei 13.709/2018, Lei Geral de Proteção de Dados Pessoais (LGPD),
-
Escopo da Auditoria: Lei 13.709/2018, Lei Geral de Proteção de Dados Pessoais (LGPD),
-
Itens Não Aplicáveis?
-
Itens Não Aplicáveis e Justificativas
-
Porte e Tempo de Mercado
-
Processos Mapeados
-
Descrição geral da situação da organização e seu atendimento a Lei 13.709/2018, Lei Geral de Proteção de Dados Pessoais (LGPD)
Constatações
-
1.A organização conduziu iniciativa para identificar e planejar as medidas necessárias à adequação à LGPD?
-
2.A organização elaborou plano de ação, plano de projeto ou documento similar para direcionar a iniciativa de adequação à LGPD?
-
3. A organização conduziu iniciativa para identificar outros normativos (e.g.: leis, regulamentos e instruções normativas), além da LGPD, que abrangem comandos relacionados à proteção de dados pessoais e que também devem ser respeitados?
-
4. A organização identificou as categorias de titulares de dados pessoais com os quais se relaciona?
-
5. A organização conduziu iniciativa para identificar os operadores que realizam tratamento de dados pessoais em seu nome
-
6. A organização adequou os contratos firmados com os operadores identificados de forma a estabelecer suas responsabilidades e papéis com relação à proteção de dados pessoais?
-
7. A organização avaliou se há tratamento de dados que envolva controlador conjunto?
-
8. Caso exista controlador conjunto, os papéis e responsabilidades de cada um dos controladores estão definidos em contrato, acordo de cooperação ou instrumento similar?
-
9. A organização identificou os processos de negócio que realizam tratamento de dados pessoais?
-
10. A organização identificou quem são os responsáveis pelos processos de negócio que realizam tratamento de dados pessoais e que já foram identificados?
-
11. A organização identificou quais são os dados pessoais tratados por ela?
-
12. A organização identificou os locais onde os dados pessoais identificados são armazenados?
-
13. A organização avaliou os riscos dos processos de tratamento de dados pessoais que foram identificados?
-
14. A organização nomeou o encarregado pelo tratamento de dados pessoais?
-
15. A identidade e as informações de contato do encarregado foram divulgadas na internet?
-
16. Colaboradores da organização que estão diretamente envolvidos em atividades que realizam tratamento de dados pessoais receberam treinamentos relacionados ao tema?
-
17. A organização identificou e documentou as finalidades das atividades de tratamento de dados pessoais?
-
18. A organização avaliou se coleta apenas os dados estritamente necessários para cumprir com as finalidades de tratamento de dados pessoais que foram identificadas?
-
19. A organização avaliou se os dados pessoais são retidos (armazenados) durante o tempo estritamente necessário para cumprir com as finalidades de tratamento de dados pessoais que foram identificadas?
-
20. A organização identificou e documentou as bases legais que fundamentam as atividades de tratamento de dados pessoais?
-
21. Há um registro (e.g.: inventário) instituído para consolidar informações relacionadas às características das atividades de tratamento de dados pessoais?
-
22. A organização elaborou Relatório de Impacto à Proteção de Dados Pessoais?
-
23. A organização implementou controles para mitigar os riscos identificados por meio da elaboração do Relatório de Impacto de Proteção de Dados Pessoais?
-
24. A Política de Privacidade (ou instrumento similar) está publicada na internet?
-
25. Foram implementados mecanismos para atender os direitos dos titulares elencados no art. 18 da LGPD e aplicáveis à organização
-
26. A organização identificou os dados pessoais são compartilhados com terceiros?
-
27. Os compartilhamentos de dados pessoais identificados estão em conformidade com os critérios estabelecidos na LGPD?
-
28. A organização registra eventos relacionados à transferência dos dados pessoais que são compartilhados com terceiros e que foram identificados?
-
29. As transferências internacionais de dados pessoais estão de acordo com os casos previstos na LGPD?
-
30. A organização possui Plano de Resposta a Incidentes (ou documento similar) que abrange o tratamento de incidentes que envolvem violação de dados pessoais?
-
31. A organização possui sistemática para registro das ações adotadas para solucionar incidentes de segurança da informação que envolvem violação de dados pessoais?
-
32. A organização estabeleceu procedimentos para comunicar à Autoridade Nacional de Proteção de Dados e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares?
-
33. A organização é capaz de comprovar que adotou medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais?
-
34. A organização implementou processo para controle de acessos, cancelamento e provisionamento de usuários em sistemas que realizam tratamento de dados pessoais?
-
35. A organização utiliza criptografia para proteger os dados pessoais?
-
36 A organização adotou medidas para assegurar que processos e sistemas sejam projetados, desde a concepção, em conformidade com a LGPD (Privacy by Design e Privacy by Default)?
Nota do Sistema Implementado