Para empresas reguladas — instituições financeiras, saúde, seguros, previdência, educação — a LGPD (Lei nº 13.709/2018) não chega sozinha: ela se soma às exigências do regulador setorial, e uma falha de dados pessoais vira problema em duas frentes ao mesmo tempo, na ANPD e no órgão do setor. Este checklist organiza o programa de privacidade em 7 blocos, com o item e a evidência que sustenta cada um — porque em fiscalização o que conta não é ter política, é provar que ela opera.

Como usar

Avalie cada item em três níveis — inexistente, parcial, implementado com evidência — e trate os "parciais" como risco: são os itens que existem no papel e falham na inspeção. Os itens seguem a estrutura da lei; a dosagem exata para o seu porte e setor é decisão do programa.

Bloco 1 — Governança

Item Evidência esperada
Encarregado (DPO) formalmente designado, com identidade e contato divulgados Ato de designação; canal publicado no site
Política de privacidade e de tratamento de dados aprovadas Documento versionado, aprovação registrada
Papéis e responsabilidades definidos (controlador, operador, áreas) Matriz de responsabilidades
Reporte periódico do tema à alta administração Atas/pautas com registro

Bloco 2 — Inventário e bases legais

Item Evidência esperada
Registro das operações de tratamento (ROPA) atualizado Inventário com dono, finalidade, dados, retenção
Base legal do art. 7º (ou art. 11, para dados sensíveis) atribuída a cada tratamento Coluna de base legal no ROPA, com justificativa
Dados sensíveis e de crianças/adolescentes identificados e com tratamento reforçado Marcação no inventário + controles específicos
Relatório de impacto (RIPD) para tratamentos de alto risco RIPD datado e revisado

Bloco 3 — Direitos dos titulares

Item Evidência esperada
Canal para requisições de titulares (acesso, correção, eliminação, portabilidade, revogação) Canal ativo e testado
Processo com prazo e responsável para cada tipo de requisição Procedimento + registro de atendimento
Trilha das requisições atendidas e negadas (com fundamento) Log/registro por requisição

Bloco 4 — Segurança e incidentes

Item Evidência esperada
Medidas técnicas e organizacionais proporcionais ao risco (acesso, criptografia, segregação) Políticas + evidência de operação
Plano de resposta a incidentes de dados pessoais Plano aprovado + exercício/simulação
Processo de avaliação e comunicação de incidentes à ANPD e aos titulares, quando cabível Procedimento com critérios e prazos; registros de decisão
Gestão de acessos com revisão periódica Relatórios de revisão assinados

Bloco 5 — Terceiros e operadores

Item Evidência esperada
Inventário de operadores e suboperadores Lista vinculada ao ROPA
Cláusulas de proteção de dados nos contratos Modelos + contratos assinados
Avaliação de terceiros críticos (due diligence de privacidade) Questionários/avaliações arquivadas
Regras para transferência internacional, quando houver Mecanismo adotado documentado

Bloco 6 — Cultura e treinamento

Item Evidência esperada
Treinamento LGPD periódico para todos, com reforço para áreas de alto contato com dados Lista de conclusão, conteúdo, datas
Comunicação recorrente (campanhas, onboarding) Materiais e registros

Bloco 7 — Evidências e melhoria contínua

Item Evidência esperada
Trilha de auditoria dos processos de privacidade — entenda o que a torna confiável Registros imutáveis de decisões e atendimentos
Monitoramento das normas e orientações da ANPD e do regulador setorial Processo de acompanhamento normativo com registro
Auditoria/avaliação periódica do programa Relatório com achados e planos de ação

O que está em jogo

As sanções administrativas da LGPD (art. 52) vão de advertência e obrigação de divulgar a infração até multa de até 2% do faturamento do grupo no Brasil, limitada a R$ 50 milhões por infração, além de bloqueio e eliminação dos dados envolvidos. Para reguladas, soma-se o risco setorial — e o reputacional, que não tem teto.

Como o T-Visor ajuda

O T-Visor dá ao programa de privacidade o que a fiscalização pede: processos com dono, prazo e trilha imutável — e o Radar Normativo acompanha diariamente as publicações da ANPD e do seu regulador setorial nas fontes oficiais, com registro de quem foi notificado de cada mudança. Agende uma demonstração.

Perguntas frequentes

Empresa pequena precisa de tudo isso? A LGPD vale para todos, mas admite proporcionalidade. O núcleo inegociável: bases legais definidas, canal de titulares funcionando, segurança compatível e capacidade de responder a um incidente.

Consentimento é sempre necessário? Não — é uma das bases legais do art. 7º, ao lado de obrigação legal, execução de contrato, legítimo interesse e outras. Boa parte dos tratamentos em empresas reguladas se apoia em obrigação legal/regulatória, não em consentimento.

O que a ANPD olha primeiro em uma fiscalização? Na prática: encarregado designado e acessível, inventário/bases legais, atendimento a titulares e resposta a incidentes — os itens em que a ausência de evidência aparece de imediato.

Este conteúdo é informativo e não substitui a leitura da Lei nº 13.709/2018, dos regulamentos da ANPD nem aconselhamento jurídico especializado.