Avaliação de Maturidade em Privacidade
📥Download deste documento em formato editávelDOCX
Recomendado
Versão: 1.0
Período de Avaliação: [PREENCHER_DATA_INICIO] a [PREENCHER_DATA_FIM]
Responsável: [PREENCHER_NOME_DPO]
Próxima Avaliação: [PREENCHER_DATA]
1. Objetivo
Esta avaliação tem como objetivo mensurar o nível de maturidade do programa de privacidade e proteção de dados da organização, identificando gaps e priorizando ações de melhoria contínua conforme Art. 50 da LGPD.
2. Metodologia
2.1 Níveis de Maturidade
| Nível | Nome | Descrição |
|---|
| 1 | Inicial | Processos inexistentes ou ad hoc. Dependência de indivíduos. |
| 2 | Repetível | Processos básicos estabelecidos. Alguma documentação. |
| 3 | Definido | Processos padronizados e documentados. Treinamento realizado. |
| 4 | Gerenciado | Processos medidos e controlados. Métricas estabelecidas. |
| 5 | Otimizado | Melhoria contínua. Processos automatizados onde possível. |
2.2 Escala de Pontuação
| Pontuação | Significado |
|---|
| 0 | Não implementado |
| 1 | Parcialmente implementado (menor que 50%) |
| 2 | Majoritariamente implementado (50-80%) |
| 3 | Totalmente implementado (maior que 80%) |
2.3 Fórmula de Cálculo
Maturidade da Dimensão = (Soma das Pontuações / Pontuação Máxima) x 5
Maturidade Geral = Média das Dimensões
3. Dimensões Avaliadas
3.1 Visão Geral
| Dimensão | Peso | Descrição |
|---|
| Governança | 25% | Estrutura, responsabilidades e accountability |
| Políticas e Procedimentos | 20% | Documentação e normas internas |
| Processos | 20% | Operacionalização das atividades de privacidade |
| Tecnologia | 20% | Ferramentas e controles técnicos |
| Pessoas | 15% | Capacitação e cultura de privacidade |
4. Questionário de Avaliação
4.1 Dimensão: Governança (25%)
| # | Controle | 0 | 1 | 2 | 3 | Evidência |
|---|
| G1 | DPO formalmente nomeado e publicado | [ ] | [ ] | [ ] | [ ] | [REF] |
| G2 | Comitê de Privacidade estabelecido | [ ] | [ ] | [ ] | [ ] | [REF] |
| G3 | Papéis e responsabilidades definidos | [ ] | [ ] | [ ] | [ ] | [REF] |
| G4 | Programa de privacidade documentado | [ ] | [ ] | [ ] | [ ] | [REF] |
| G5 | Orçamento alocado para privacidade | [ ] | [ ] | [ ] | [ ] | [REF] |
| G6 | Reporte regular à alta direção | [ ] | [ ] | [ ] | [ ] | [REF] |
| G7 | Integração com gestão de riscos corporativa | [ ] | [ ] | [ ] | [ ] | [REF] |
| G8 | Canal de comunicação com ANPD estabelecido | [ ] | [ ] | [ ] | [ ] | [REF] |
Subtotal Governança: [SOMA] / 24 = [PERCENTUAL]%
Nível de Maturidade: [CALCULAR]
4.2 Dimensão: Políticas e Procedimentos (20%)
| # | Controle | 0 | 1 | 2 | 3 | Evidência |
|---|
| P1 | Política de privacidade externa publicada | [ ] | [ ] | [ ] | [ ] | [REF] |
| P2 | Política de privacidade interna documentada | [ ] | [ ] | [ ] | [ ] | [REF] |
| P3 | Política de segurança da informação | [ ] | [ ] | [ ] | [ ] | [REF] |
| P4 | Política de retenção de dados | [ ] | [ ] | [ ] | [ ] | [REF] |
| P5 | Procedimento de resposta a incidentes | [ ] | [ ] | [ ] | [ ] | [REF] |
| P6 | Procedimento de atendimento a titulares | [ ] | [ ] | [ ] | [ ] | [REF] |
| P7 | Procedimento de gestão de terceiros | [ ] | [ ] | [ ] | [ ] | [REF] |
| P8 | Procedimento de Privacy by Design | [ ] | [ ] | [ ] | [ ] | [REF] |
| P9 | Políticas revisadas periodicamente | [ ] | [ ] | [ ] | [ ] | [REF] |
| P10 | Políticas comunicadas aos colaboradores | [ ] | [ ] | [ ] | [ ] | [REF] |
Subtotal Políticas: [SOMA] / 30 = [PERCENTUAL]%
Nível de Maturidade: [CALCULAR]
4.3 Dimensão: Processos (20%)
| # | Controle | 0 | 1 | 2 | 3 | Evidência |
|---|
| PR1 | ROPA (inventário de dados) atualizado | [ ] | [ ] | [ ] | [ ] | [REF] |
| PR2 | Processo de mapeamento de dados | [ ] | [ ] | [ ] | [ ] | [REF] |
| PR3 | Gestão de consentimentos operacional | [ ] | [ ] | [ ] | [ ] | [REF] |
| PR4 | Atendimento a DSARs no prazo | [ ] | [ ] | [ ] | [ ] | [REF] |
| PR5 | Processo de RIPD implementado | [ ] | [ ] | [ ] | [ ] | [REF] |
| PR6 | Gestão de incidentes testada | [ ] | [ ] | [ ] | [ ] | [REF] |
| PR7 | Due diligence de terceiros realizada | [ ] | [ ] | [ ] | [ ] | [REF] |
| PR8 | DPAs assinados com todos operadores | [ ] | [ ] | [ ] | [ ] | [REF] |
| PR9 | Eliminação de dados conforme política | [ ] | [ ] | [ ] | [ ] | [REF] |
| PR10 | Transferência internacional controlada | [ ] | [ ] | [ ] | [ ] | [REF] |
Subtotal Processos: [SOMA] / 30 = [PERCENTUAL]%
Nível de Maturidade: [CALCULAR]
4.4 Dimensão: Tecnologia (20%)
| # | Controle | 0 | 1 | 2 | 3 | Evidência |
|---|
| T1 | Criptografia em repouso implementada | [ ] | [ ] | [ ] | [ ] | [REF] |
| T2 | Criptografia em trânsito (TLS) | [ ] | [ ] | [ ] | [ ] | [REF] |
| T3 | Controle de acesso baseado em função (RBAC) | [ ] | [ ] | [ ] | [ ] | [REF] |
| T4 | Autenticação multifator (MFA) | [ ] | [ ] | [ ] | [ ] | [REF] |
| T5 | Logs de acesso e auditoria | [ ] | [ ] | [ ] | [ ] | [REF] |
| T6 | Backup criptografado e testado | [ ] | [ ] | [ ] | [ ] | [REF] |
| T7 | Ferramenta de gestão de privacidade | [ ] | [ ] | [ ] | [ ] | [REF] |
| T8 | Anonimização/pseudonimização aplicada | [ ] | [ ] | [ ] | [ ] | [REF] |
| T9 | Monitoramento de segurança (SIEM) | [ ] | [ ] | [ ] | [ ] | [REF] |
| T10 | Testes de segurança regulares | [ ] | [ ] | [ ] | [ ] | [REF] |
Subtotal Tecnologia: [SOMA] / 30 = [PERCENTUAL]%
Nível de Maturidade: [CALCULAR]
4.5 Dimensão: Pessoas (15%)
| # | Controle | 0 | 1 | 2 | 3 | Evidência |
|---|
| PE1 | Treinamento LGPD para todos colaboradores | [ ] | [ ] | [ ] | [ ] | [REF] |
| PE2 | Treinamento específico por função | [ ] | [ ] | [ ] | [ ] | [REF] |
| PE3 | Campanhas de conscientização | [ ] | [ ] | [ ] | [ ] | [REF] |
| PE4 | Avaliação de conhecimento (provas) | [ ] | [ ] | [ ] | [ ] | [REF] |
| PE5 | Cláusula de confidencialidade em contratos | [ ] | [ ] | [ ] | [ ] | [REF] |
| PE6 | Cultura de privacidade percebida | [ ] | [ ] | [ ] | [ ] | [REF] |
| PE7 | Canal de denúncias para violações | [ ] | [ ] | [ ] | [ ] | [REF] |
| PE8 | Consequências para violações definidas | [ ] | [ ] | [ ] | [ ] | [REF] |
Subtotal Pessoas: [SOMA] / 24 = [PERCENTUAL]%
Nível de Maturidade: [CALCULAR]
5. Matriz de Resultados
5.1 Resumo por Dimensão
| Dimensão | Pontuação | Máximo | Percentual | Nível | Meta |
|---|
| Governança | [X] | 24 | [X]% | [1-5] | [META] |
| Políticas e Procedimentos | [X] | 30 | [X]% | [1-5] | [META] |
| Processos | [X] | 30 | [X]% | [1-5] | [META] |
| Tecnologia | [X] | 30 | [X]% | [1-5] | [META] |
| Pessoas | [X] | 24 | [X]% | [1-5] | [META] |
5.2 Maturidade Geral
| Métrica | Valor |
|---|
| Maturidade Geral | [CALCULAR] |
| Classificação | [INICIAL/REPETÍVEL/DEFINIDO/GERENCIADO/OTIMIZADO] |
| Meta para próximo período | [DEFINIR] |
5.3 Gráfico Radar
Governança
5
|
4
|
3
|
Pessoas ----2-------+-------2---- Políticas
\ 1 /
\ | /
\ | /
\ | /
\ | /
\ | /
Tecnologia ---+--- Processos
[INSERIR VALORES REAIS NO GRÁFICO]
6. Gap Analysis
6.1 Gaps Identificados
| # | Dimensão | Controle | Atual | Meta | Gap | Prioridade |
|---|
| 1 | [DIM] | [CONTROLE] | [0-3] | [0-3] | [DIFERENÇA] | [ALTA/MÉDIA/BAIXA] |
| 2 | [DIM] | [CONTROLE] | [0-3] | [0-3] | [DIFERENÇA] | [ALTA/MÉDIA/BAIXA] |
| 3 | [DIM] | [CONTROLE] | [0-3] | [0-3] | [DIFERENÇA] | [ALTA/MÉDIA/BAIXA] |
| 4 | [DIM] | [CONTROLE] | [0-3] | [0-3] | [DIFERENÇA] | [ALTA/MÉDIA/BAIXA] |
| 5 | [DIM] | [CONTROLE] | [0-3] | [0-3] | [DIFERENÇA] | [ALTA/MÉDIA/BAIXA] |
6.2 Análise de Causa Raiz
| Gap | Causa Raiz | Categoria |
|---|
| [GAP 1] | [CAUSA] | [RECURSOS/PROCESSOS/TECNOLOGIA/PESSOAS] |
| [GAP 2] | [CAUSA] | [RECURSOS/PROCESSOS/TECNOLOGIA/PESSOAS] |
| [GAP 3] | [CAUSA] | [RECURSOS/PROCESSOS/TECNOLOGIA/PESSOAS] |
7. Plano de Evolução
7.1 Ações de Curto Prazo (0-3 meses)
| # | Ação | Responsável | Prazo | Recurso | Status |
|---|
| 1 | [AÇÃO] | [RESPONSÁVEL] | [DATA] | [R$] | [STATUS] |
| 2 | [AÇÃO] | [RESPONSÁVEL] | [DATA] | [R$] | [STATUS] |
| 3 | [AÇÃO] | [RESPONSÁVEL] | [DATA] | [R$] | [STATUS] |
7.2 Ações de Médio Prazo (3-6 meses)
| # | Ação | Responsável | Prazo | Recurso | Status |
|---|
| 1 | [AÇÃO] | [RESPONSÁVEL] | [DATA] | [R$] | [STATUS] |
| 2 | [AÇÃO] | [RESPONSÁVEL] | [DATA] | [R$] | [STATUS] |
| 3 | [AÇÃO] | [RESPONSÁVEL] | [DATA] | [R$] | [STATUS] |
7.3 Ações de Longo Prazo (6-12 meses)
| # | Ação | Responsável | Prazo | Recurso | Status |
|---|
| 1 | [AÇÃO] | [RESPONSÁVEL] | [DATA] | [R$] | [STATUS] |
| 2 | [AÇÃO] | [RESPONSÁVEL] | [DATA] | [R$] | [STATUS] |
| 3 | [AÇÃO] | [RESPONSÁVEL] | [DATA] | [R$] | [STATUS] |
7.4 Roadmap de Maturidade
| Período | Meta de Maturidade | Principais Entregas |
|---|
| Atual | [NÍVEL ATUAL] | - |
| +6 meses | [META] | [ENTREGAS] |
| +12 meses | [META] | [ENTREGAS] |
| +18 meses | [META] | [ENTREGAS] |
| +24 meses | [META] | [ENTREGAS] |
8. Histórico de Avaliações
| Data | Versão | Maturidade Geral | Principal Evolução | Avaliador |
|---|
| [DATA] | 1.0 | [NÍVEL] | Primeira avaliação | [NOME] |
| [DATA] | 1.1 | [NÍVEL] | [EVOLUÇÃO] | [NOME] |
9. Aprovações
| Função | Nome | Data | Assinatura |
|---|
| DPO | [PREENCHER] | [DATA] | _____________ |
| Diretor de TI | [PREENCHER] | [DATA] | _____________ |
| CEO/Diretor Geral | [PREENCHER] | [DATA] | _____________ |
Anexos
- Anexo A: Evidências coletadas por controle
- Anexo B: Detalhamento do plano de ação
- Anexo C: Comparativo com avaliações anteriores