Para empresas reguladas — instituições financeiras, saúde, seguros, previdência, educação — a LGPD (Lei nº 13.709/2018) não chega sozinha: ela se soma às exigências do regulador setorial, e uma falha de dados pessoais vira problema em duas frentes ao mesmo tempo, na ANPD e no órgão do setor. Este checklist organiza o programa de privacidade em 7 blocos, com o item e a evidência que sustenta cada um — porque em fiscalização o que conta não é ter política, é provar que ela opera.
Como usar
Avalie cada item em três níveis — inexistente, parcial, implementado com evidência — e trate os "parciais" como risco: são os itens que existem no papel e falham na inspeção. Os itens seguem a estrutura da lei; a dosagem exata para o seu porte e setor é decisão do programa.
Bloco 1 — Governança
| Item | Evidência esperada |
|---|---|
| Encarregado (DPO) formalmente designado, com identidade e contato divulgados | Ato de designação; canal publicado no site |
| Política de privacidade e de tratamento de dados aprovadas | Documento versionado, aprovação registrada |
| Papéis e responsabilidades definidos (controlador, operador, áreas) | Matriz de responsabilidades |
| Reporte periódico do tema à alta administração | Atas/pautas com registro |
Bloco 2 — Inventário e bases legais
| Item | Evidência esperada |
|---|---|
| Registro das operações de tratamento (ROPA) atualizado | Inventário com dono, finalidade, dados, retenção |
| Base legal do art. 7º (ou art. 11, para dados sensíveis) atribuída a cada tratamento | Coluna de base legal no ROPA, com justificativa |
| Dados sensíveis e de crianças/adolescentes identificados e com tratamento reforçado | Marcação no inventário + controles específicos |
| Relatório de impacto (RIPD) para tratamentos de alto risco | RIPD datado e revisado |
Bloco 3 — Direitos dos titulares
| Item | Evidência esperada |
|---|---|
| Canal para requisições de titulares (acesso, correção, eliminação, portabilidade, revogação) | Canal ativo e testado |
| Processo com prazo e responsável para cada tipo de requisição | Procedimento + registro de atendimento |
| Trilha das requisições atendidas e negadas (com fundamento) | Log/registro por requisição |
Bloco 4 — Segurança e incidentes
| Item | Evidência esperada |
|---|---|
| Medidas técnicas e organizacionais proporcionais ao risco (acesso, criptografia, segregação) | Políticas + evidência de operação |
| Plano de resposta a incidentes de dados pessoais | Plano aprovado + exercício/simulação |
| Processo de avaliação e comunicação de incidentes à ANPD e aos titulares, quando cabível | Procedimento com critérios e prazos; registros de decisão |
| Gestão de acessos com revisão periódica | Relatórios de revisão assinados |
Bloco 5 — Terceiros e operadores
| Item | Evidência esperada |
|---|---|
| Inventário de operadores e suboperadores | Lista vinculada ao ROPA |
| Cláusulas de proteção de dados nos contratos | Modelos + contratos assinados |
| Avaliação de terceiros críticos (due diligence de privacidade) | Questionários/avaliações arquivadas |
| Regras para transferência internacional, quando houver | Mecanismo adotado documentado |
Bloco 6 — Cultura e treinamento
| Item | Evidência esperada |
|---|---|
| Treinamento LGPD periódico para todos, com reforço para áreas de alto contato com dados | Lista de conclusão, conteúdo, datas |
| Comunicação recorrente (campanhas, onboarding) | Materiais e registros |
Bloco 7 — Evidências e melhoria contínua
| Item | Evidência esperada |
|---|---|
| Trilha de auditoria dos processos de privacidade — entenda o que a torna confiável | Registros imutáveis de decisões e atendimentos |
| Monitoramento das normas e orientações da ANPD e do regulador setorial | Processo de acompanhamento normativo com registro |
| Auditoria/avaliação periódica do programa | Relatório com achados e planos de ação |
O que está em jogo
As sanções administrativas da LGPD (art. 52) vão de advertência e obrigação de divulgar a infração até multa de até 2% do faturamento do grupo no Brasil, limitada a R$ 50 milhões por infração, além de bloqueio e eliminação dos dados envolvidos. Para reguladas, soma-se o risco setorial — e o reputacional, que não tem teto.
Como o T-Visor ajuda
O T-Visor dá ao programa de privacidade o que a fiscalização pede: processos com dono, prazo e trilha imutável — e o Radar Normativo acompanha diariamente as publicações da ANPD e do seu regulador setorial nas fontes oficiais, com registro de quem foi notificado de cada mudança. Agende uma demonstração.
Perguntas frequentes
Empresa pequena precisa de tudo isso? A LGPD vale para todos, mas admite proporcionalidade. O núcleo inegociável: bases legais definidas, canal de titulares funcionando, segurança compatível e capacidade de responder a um incidente.
Consentimento é sempre necessário? Não — é uma das bases legais do art. 7º, ao lado de obrigação legal, execução de contrato, legítimo interesse e outras. Boa parte dos tratamentos em empresas reguladas se apoia em obrigação legal/regulatória, não em consentimento.
O que a ANPD olha primeiro em uma fiscalização? Na prática: encarregado designado e acessível, inventário/bases legais, atendimento a titulares e resposta a incidentes — os itens em que a ausência de evidência aparece de imediato.
Este conteúdo é informativo e não substitui a leitura da Lei nº 13.709/2018, dos regulamentos da ANPD nem aconselhamento jurídico especializado.