Relatório de Auditoria Interna de Privacidade
📥Download deste documento em formato editávelDOCX
Recomendado
Código: AUD-[ANO]-[NUMERO]
Versão: 1.0
Data da Auditoria: [PREENCHER_DATA_INICIO] a [PREENCHER_DATA_FIM]
Auditor Líder: [PREENCHER_NOME]
Status: [RASCUNHO / FINAL]
1. Sumário Executivo
1.1 Visão Geral
| Aspecto | Informação |
|---|
| Tipo de Auditoria | [PROGRAMADA / NÃO PROGRAMADA / FOLLOW-UP] |
| Áreas Auditadas | [LISTAR ÁREAS] |
| Período Auditado | [DATA_INICIO] a [DATA_FIM] |
| Total de Controles Avaliados | [NUMERO] |
| Conformidade Geral | [PERCENTUAL]% |
1.2 Resumo de Achados
| Classificação | Quantidade |
|---|
| Não-Conformidades Críticas | [X] |
| Não-Conformidades Maiores | [X] |
| Não-Conformidades Menores | [X] |
| Observações | [X] |
| Oportunidades de Melhoria | [X] |
| Total | [X] |
1.3 Conclusão
[RESUMO EXECUTIVO DO RESULTADO DA AUDITORIA - 2 A 3 PARÁGRAFOS]
Exemplo:
A auditoria identificou que o programa de privacidade está [NÍVEL DE CONFORMIDADE] com os requisitos da LGPD e políticas internas. Foram identificadas [X] não-conformidades que requerem ação imediata, particularmente nas áreas de [ÁREAS]. Recomenda-se priorizar a implementação das ações corretivas no prazo de [PRAZO].
2. Escopo da Auditoria
2.1 Objetivos
Esta auditoria teve como objetivos:
- Verificar a conformidade com a Lei Geral de Proteção de Dados (LGPD)
- Avaliar a eficácia das políticas e procedimentos de privacidade
- Identificar gaps e oportunidades de melhoria
- Verificar a implementação de ações corretivas de auditorias anteriores
- [ADICIONAR OUTROS OBJETIVOS ESPECÍFICOS]
2.2 Abrangência
| Aspecto | Incluído | Excluído |
|---|
| Áreas | [LISTAR] | [LISTAR] |
| Processos | [LISTAR] | [LISTAR] |
| Sistemas | [LISTAR] | [LISTAR] |
| Localidades | [LISTAR] | [LISTAR] |
2.3 Critérios de Auditoria
| Critério | Referência |
|---|
| LGPD | Lei 13.709/2018 |
| Políticas Internas | [LISTAR POLÍTICAS] |
| Procedimentos | [LISTAR PROCEDIMENTOS] |
| Normas Técnicas | [ISO 27001, ISO 27701, etc.] |
| Regulamentações ANPD | [LISTAR RESOLUÇÕES] |
2.4 Limitações
[DESCREVER QUAISQUER LIMITAÇÕES ENCONTRADAS DURANTE A AUDITORIA]
Exemplo:
- Acesso limitado a logs do sistema X durante o período Y
- Indisponibilidade do responsável pela área Z
3. Metodologia
3.1 Abordagem
A auditoria foi conduzida utilizando as seguintes técnicas:
3.2 Equipe de Auditoria
| Função | Nome | Responsabilidade |
|---|
| Auditor Líder | [NOME] | Coordenação geral |
| Auditor | [NOME] | [ÁREA/PROCESSO] |
| Auditor | [NOME] | [ÁREA/PROCESSO] |
| Especialista Técnico | [NOME] | [ÁREA TÉCNICA] |
3.3 Cronograma Executado
| Fase | Data | Atividade |
|---|
| Planejamento | [DATA] | Definição de escopo e cronograma |
| Execução | [DATA] | Coleta de evidências e entrevistas |
| Análise | [DATA] | Avaliação dos achados |
| Relatório | [DATA] | Elaboração do relatório |
| Validação | [DATA] | Revisão com auditados |
3.4 Classificação de Achados
| Classificação | Descrição | Prazo para Ação |
|---|
| Crítica | Risco iminente de violação legal ou dano grave | Imediato (até 7 dias) |
| Maior | Não-conformidade significativa com requisitos | Curto prazo (até 30 dias) |
| Menor | Desvio pontual com baixo impacto | Médio prazo (até 90 dias) |
| Observação | Ponto de atenção sem não-conformidade | Monitoramento |
| Oportunidade de Melhoria | Sugestão de aprimoramento | A critério |
4. Achados por Área
4.1 Governança de Privacidade
| # | Controle Avaliado | Status | Ref. |
|---|
| 1 | Nomeação e publicação do DPO | [C/PC/NC] | LGPD Art. 41 |
| 2 | Estrutura do Comitê de Privacidade | [C/PC/NC] | Política Interna |
| 3 | Programa de privacidade documentado | [C/PC/NC] | LGPD Art. 50 |
| 4 | Relatórios à alta direção | [C/PC/NC] | Política Interna |
Achados:
| ID | Achado | Classificação | Evidência |
|---|
| GOV-01 | [DESCREVER ACHADO] | [CLASSIFICAÇÃO] | [EVIDÊNCIA] |
| GOV-02 | [DESCREVER ACHADO] | [CLASSIFICAÇÃO] | [EVIDÊNCIA] |
4.2 Políticas e Procedimentos
| # | Controle Avaliado | Status | Ref. |
|---|
| 1 | Política de privacidade atualizada | [C/PC/NC] | LGPD Art. 9 |
| 2 | Procedimento de resposta a incidentes | [C/PC/NC] | LGPD Art. 48 |
| 3 | Procedimento de atendimento DSAR | [C/PC/NC] | LGPD Art. 18 |
| 4 | Política de retenção de dados | [C/PC/NC] | LGPD Art. 16 |
Achados:
| ID | Achado | Classificação | Evidência |
|---|
| POL-01 | [DESCREVER ACHADO] | [CLASSIFICAÇÃO] | [EVIDÊNCIA] |
| POL-02 | [DESCREVER ACHADO] | [CLASSIFICAÇÃO] | [EVIDÊNCIA] |
4.3 Tratamento de Dados
| # | Controle Avaliado | Status | Ref. |
|---|
| 1 | ROPA atualizado | [C/PC/NC] | LGPD Art. 37 |
| 2 | Bases legais documentadas | [C/PC/NC] | LGPD Art. 7 |
| 3 | Consentimentos válidos | [C/PC/NC] | LGPD Art. 8 |
| 4 | Minimização de dados | [C/PC/NC] | LGPD Art. 6 |
Achados:
| ID | Achado | Classificação | Evidência |
|---|
| TRA-01 | [DESCREVER ACHADO] | [CLASSIFICAÇÃO] | [EVIDÊNCIA] |
| TRA-02 | [DESCREVER ACHADO] | [CLASSIFICAÇÃO] | [EVIDÊNCIA] |
4.4 Direitos dos Titulares
| # | Controle Avaliado | Status | Ref. |
|---|
| 1 | Canal de atendimento disponível | [C/PC/NC] | LGPD Art. 18 |
| 2 | Prazo de resposta cumprido | [C/PC/NC] | LGPD Art. 18 |
| 3 | Processos de atendimento documentados | [C/PC/NC] | Procedimento Interno |
| 4 | Registro de solicitações mantido | [C/PC/NC] | LGPD Art. 37 |
Amostragem Realizada:
- Total de DSARs no período: [X]
- Amostra analisada: [X] ([%])
- Atendidos no prazo: [X] ([%])
- Fora do prazo: [X] ([%])
Achados:
| ID | Achado | Classificação | Evidência |
|---|
| DIR-01 | [DESCREVER ACHADO] | [CLASSIFICAÇÃO] | [EVIDÊNCIA] |
| DIR-02 | [DESCREVER ACHADO] | [CLASSIFICAÇÃO] | [EVIDÊNCIA] |
| # | Controle Avaliado | Status | Ref. |
|---|
| 1 | Controles de acesso implementados | [C/PC/NC] | LGPD Art. 46 |
| 2 | Criptografia aplicada | [C/PC/NC] | LGPD Art. 46 |
| 3 | Logs de acesso mantidos | [C/PC/NC] | LGPD Art. 46 |
| 4 | Backup e recuperação testados | [C/PC/NC] | LGPD Art. 46 |
Achados:
| ID | Achado | Classificação | Evidência |
|---|
| SEG-01 | [DESCREVER ACHADO] | [CLASSIFICAÇÃO] | [EVIDÊNCIA] |
| SEG-02 | [DESCREVER ACHADO] | [CLASSIFICAÇÃO] | [EVIDÊNCIA] |
4.6 Gestão de Terceiros
| # | Controle Avaliado | Status | Ref. |
|---|
| 1 | DPAs assinados com operadores | [C/PC/NC] | LGPD Art. 39 |
| 2 | Due diligence realizada | [C/PC/NC] | LGPD Art. 50 |
| 3 | Transferências internacionais documentadas | [C/PC/NC] | LGPD Art. 33 |
| 4 | Monitoramento de terceiros | [C/PC/NC] | Política Interna |
Amostragem:
- Total de terceiros com acesso a dados: [X]
- Amostra analisada: [X]
- Com DPA válido: [X] ([%])
Achados:
| ID | Achado | Classificação | Evidência |
|---|
| TER-01 | [DESCREVER ACHADO] | [CLASSIFICAÇÃO] | [EVIDÊNCIA] |
| TER-02 | [DESCREVER ACHADO] | [CLASSIFICAÇÃO] | [EVIDÊNCIA] |
4.7 Treinamento e Conscientização
| # | Controle Avaliado | Status | Ref. |
|---|
| 1 | Treinamento inicial realizado | [C/PC/NC] | LGPD Art. 50 |
| 2 | Reciclagem periódica | [C/PC/NC] | Política Interna |
| 3 | Registro de treinamentos | [C/PC/NC] | Política Interna |
| 4 | Avaliação de eficácia | [C/PC/NC] | Política Interna |
Métricas:
- Colaboradores ativos: [X]
- Treinados no período: [X] ([%])
- Meta: [X]%
Achados:
| ID | Achado | Classificação | Evidência |
|---|
| TRE-01 | [DESCREVER ACHADO] | [CLASSIFICAÇÃO] | [EVIDÊNCIA] |
| TRE-02 | [DESCREVER ACHADO] | [CLASSIFICAÇÃO] | [EVIDÊNCIA] |
| ID | Área | Descrição | Risco | Ação Requerida |
|---|
| [ID] | [ÁREA] | [DESCRIÇÃO] | [RISCO] | [AÇÃO] |
| ID | Área | Descrição | Risco | Ação Requerida |
|---|
| [ID] | [ÁREA] | [DESCRIÇÃO] | [RISCO] | [AÇÃO] |
| ID | Área | Descrição | Risco | Ação Requerida |
|---|
| [ID] | [ÁREA] | [DESCRIÇÃO] | [RISCO] | [AÇÃO] |
5.4 Observações
| ID | Área | Descrição | Recomendação |
|---|
| [ID] | [ÁREA] | [DESCRIÇÃO] | [RECOMENDAÇÃO] |
5.5 Oportunidades de Melhoria
| ID | Área | Descrição | Benefício Esperado |
|---|
| [ID] | [ÁREA] | [DESCRIÇÃO] | [BENEFÍCIO] |
6. Plano de Ação Corretiva
| ID NC | Ação Corretiva | Responsável | Prazo | Status |
|---|
| [ID] | [AÇÃO] | [RESPONSÁVEL] | [DATA] | [STATUS] |
6.2 Ações de Curto Prazo (Maiores)
| ID NC | Ação Corretiva | Responsável | Prazo | Status |
|---|
| [ID] | [AÇÃO] | [RESPONSÁVEL] | [DATA] | [STATUS] |
6.3 Ações de Médio Prazo (Menores)
| ID NC | Ação Corretiva | Responsável | Prazo | Status |
|---|
| [ID] | [AÇÃO] | [RESPONSÁVEL] | [DATA] | [STATUS] |
6.4 Verificação de Eficácia
| ID NC | Ação Implementada | Data Verificação | Eficaz | Observação |
|---|
| [ID] | [AÇÃO] | [DATA] | [SIM/NÃO] | [OBS] |
7. Follow-up de Auditorias Anteriores
7.1 Status de Ações Pendentes
| ID | Auditoria Origem | NC Original | Ação | Status Atual |
|---|
| [ID] | AUD-[ANO]-[NUM] | [NC] | [AÇÃO] | [ABERTA/FECHADA/EM ANDAMENTO] |
7.2 Eficácia das Ações Implementadas
| ID | Ação | Data Implementação | Eficaz | Observação |
|---|
| [ID] | [AÇÃO] | [DATA] | [SIM/NÃO] | [OBS] |
8. Conclusão
8.1 Parecer Geral
[PARECER DO AUDITOR LÍDER SOBRE O ESTADO DE CONFORMIDADE]
Exemplo:
Com base nas evidências coletadas e análises realizadas, conclui-se que o programa de privacidade da organização encontra-se em nível [ADEQUADO/PARCIALMENTE ADEQUADO/INADEQUADO] de conformidade com a LGPD e políticas internas. As principais áreas de atenção são [LISTAR ÁREAS], que requerem ações prioritárias conforme o plano de ação estabelecido.
8.2 Pontos Fortes Identificados
- [PONTO FORTE 1]
- [PONTO FORTE 2]
- [PONTO FORTE 3]
8.3 Áreas de Maior Risco
- [ÁREA DE RISCO 1]
- [ÁREA DE RISCO 2]
- [ÁREA DE RISCO 3]
8.4 Recomendações Prioritárias
| # | Recomendação | Prioridade | Área |
|---|
| 1 | [RECOMENDAÇÃO] | [CRÍTICA/ALTA/MÉDIA] | [ÁREA] |
| 2 | [RECOMENDAÇÃO] | [CRÍTICA/ALTA/MÉDIA] | [ÁREA] |
| 3 | [RECOMENDAÇÃO] | [CRÍTICA/ALTA/MÉDIA] | [ÁREA] |
9. Assinaturas
9.1 Equipe de Auditoria
| Função | Nome | Data | Assinatura |
|---|
| Auditor Líder | [NOME] | [DATA] | _____________ |
| Auditor | [NOME] | [DATA] | _____________ |
| Auditor | [NOME] | [DATA] | _____________ |
9.2 Ciência dos Auditados
| Área | Responsável | Data | Assinatura |
|---|
| [ÁREA] | [NOME] | [DATA] | _____________ |
| [ÁREA] | [NOME] | [DATA] | _____________ |
9.3 Aprovação
| Função | Nome | Data | Assinatura |
|---|
| DPO | [NOME] | [DATA] | _____________ |
| Diretor Responsável | [NOME] | [DATA] | _____________ |
10. Distribuição do Relatório
| Destinatário | Cargo | Tipo |
|---|
| [NOME] | CEO | Cópia completa |
| [NOME] | DPO | Cópia completa |
| [NOME] | Diretor de TI | Cópia completa |
| [NOME] | Gerente de Área | Extrato da área |
Anexos
- Anexo A: Checklist de auditoria preenchido
- Anexo B: Evidências coletadas
- Anexo C: Atas de reuniões de auditoria
- Anexo D: Plano de ação detalhado