Checklist de Conformidade LGPD
📥Download deste documento em formato editávelDOCX
Recomendado
Versão: 1.0
Data da Avaliação: 01/12/2025
Avaliador: Pedro Henrique Rosa Barbosa (DPO)
Próxima Revisão: 01/03/2026 (trimestral)
1. Objetivo
Este checklist permite uma avaliação sistemática do nível de conformidade da organização com a Lei Geral de Proteção de Dados (LGPD), identificando gaps e priorizando ações de remediação.
2. Instruções de Uso
2.1 Legenda de Status
| Status | Símbolo | Descrição |
|---|
| Implementado | ✅ | Controle totalmente implementado e documentado |
| Parcial | 🟡 | Controle parcialmente implementado |
| Não Implementado | ❌ | Controle não existe |
| Não Aplicável | N/A | Controle não se aplica ao contexto |
2.2 Níveis de Prioridade
| Prioridade | Descrição |
|---|
| Crítica | Risco legal imediato - ação em 30 dias |
| Alta | Gap significativo - ação em 90 dias |
| Média | Melhoria necessária - ação em 180 dias |
| Baixa | Aprimoramento - próximo ciclo |
3. Checklist por Categoria
3.1 Governança e Estrutura
| # | Item | Ref. LGPD | Status | Prioridade | Observações |
|---|
| 1.1 | DPO nomeado e publicizado | Art. 41 | ✅ | Crítica | Pedro Henrique Rosa Barbosa nomeado |
| 1.2 | DPO comunicado à ANPD | Art. 41 | 🟡 | Alta | Em andamento, previsto Q1/2026 |
| 1.3 | Comitê de Privacidade constituído | Art. 50 | ❌ | Média | Planejado para Q1/2026 |
| 1.4 | Programa de Governança documentado | Art. 50 | ✅ | Alta | Versão 1.0 aprovada em 15/12/2025 |
| 1.5 | Papéis e responsabilidades definidos | Art. 50 | ✅ | Alta | Documentado no Programa de Governança |
| 1.6 | Matriz RACI de privacidade | - | ✅ | Média | 10 áreas de atividade mapeadas |
| 1.7 | Orçamento dedicado à privacidade | - | 🟡 | Média | Existente mas não formalizado no Plano Diretor |
| 1.8 | Reporte à alta administração | Art. 50 | ✅ | Média | Relatórios trimestrais estabelecidos |
Subtotal Governança: 5/8 implementados (62,5%)
3.2 Políticas
| # | Item | Ref. LGPD | Status | Prioridade | Observações |
|---|
| 2.1 | Política de Privacidade Externa | Art. 9 | ✅ | Crítica | Publicada em ischolar.com.br/politica-de-privacidade |
| 2.2 | Política de Privacidade Interna | Art. 50 | ✅ | Alta | Versão 1.0, diretrizes para colaboradores |
| 2.3 | Política de Segurança da Informação | Art. 46 | ✅ | Crítica | AES-256, RBAC, 2FA documentados |
| 2.4 | Política de Retenção e Descarte | Art. 16 | ✅ | Alta | Prazos definidos por tipo de dado |
| 2.5 | Política de Resposta a Incidentes | Art. 48 | ✅ | Crítica | Classificação S1-S4, prazos comunicação |
| 2.6 | Política de Cookies | Art. 7/9 | ✅ | Alta | Tipos, finalidades, consentimento |
| 2.7 | Política de Gestão de Terceiros | Art. 39 | ✅ | Alta | Critérios de avaliação, DPA obrigatório |
| 2.8 | Política de Classificação de Dados | Art. 46 | ✅ | Média | Incluída na Política de Segurança |
| 2.9 | Política de Acesso a Dados | Art. 46 | ✅ | Alta | RBAC implementado e documentado |
| 2.10 | Política de Dados de Menores | Art. 14 | ✅ | Crítica | Art. 14 integral, consentimento parental |
Subtotal Políticas: 10/10 implementados (100%)
3.3 Procedimentos Operacionais
| # | Item | Ref. LGPD | Status | Prioridade | Observações |
|---|
| 3.1 | Procedimento de Atendimento a Titulares | Art. 18/19 | ✅ | Crítica | SLA 10 dias, validação identidade |
| 3.2 | Procedimento de Gestão de Consentimento | Art. 8 | ✅ | Crítica | Requisitos Art. 8º documentados |
| 3.3 | Procedimento de Resposta a Incidentes | Art. 48 | ✅ | Crítica | Fluxo completo, prazos 24h/3 dias |
| 3.4 | Procedimento de Avaliação de Terceiros | Art. 39 | ✅ | Alta | Checklist due diligence, DPA obrigatório |
| 3.5 | Procedimento de DPIA/RIPD | Art. 38 | ✅ | Alta | Metodologia documentada, RIPD-001 completa |
| 3.6 | Procedimento de Privacy by Design | Art. 46 | ✅ | Média | Checklist para novas features |
| 3.7 | Procedimento de Descarte Seguro | Art. 16 | ✅ | Alta | Incluído na Política de Retenção |
| 3.8 | Procedimento de Backup e Recuperação | Art. 46 | ✅ | Alta | Diário, criptografado, testado |
| 3.9 | Procedimento de Controle de Acesso | Art. 46 | ✅ | Alta | RBAC, princípio do menor privilégio |
| 3.10 | Procedimento de Transferência Internacional | Art. 33-36 | ✅ | Alta | SCCs implementadas (Res. 19/2024) |
Subtotal Procedimentos: 10/10 implementados (100%)
3.4 Registros e Inventários
| # | Item | Ref. LGPD | Status | Prioridade | Observações |
|---|
| 4.1 | ROPA - Registro de Atividades de Tratamento | Art. 37 | ✅ | Crítica | v2.0, 8+ atividades (AT-001 a AT-008) |
| 4.2 | Inventário de Dados Pessoais | Art. 37 | ✅ | Crítica | 219 campos mapeados por categoria |
| 4.3 | Inventário de Bases Legais | Art. 7 | ✅ | Alta | Documentado no ROPA por atividade |
| 4.4 | Registro de Consentimentos | Art. 8 | ✅ | Crítica | Template + requisitos Art. 14 §1º |
| 4.5 | Registro de Solicitações de Titulares | Art. 18 | ✅ | Crítica | Template DSAR, rastreamento completo |
| 4.6 | Registro de Incidentes | Art. 48 | ✅ | Crítica | Classificação S1-S4, zero incidentes 24 meses |
| 4.7 | Inventário de Terceiros/Suboperadores | Art. 39 | ✅ | Alta | 5 principais, 100% com DPA |
| 4.8 | Registro de Treinamentos | Art. 50 | ✅ | Média | 90% colaboradores treinados |
Subtotal Registros: 8/8 implementados (100%)
3.5 Contratos e Aditivos
| # | Item | Ref. LGPD | Status | Prioridade | Observações |
|---|
| 5.1 | DPA com Controladores | Art. 39 | ✅ | Crítica | 85% clientes com DPA vigente |
| 5.2 | DPA com Suboperadores | Art. 39 | ✅ | Crítica | 100% principais suboperadores |
| 5.3 | Cláusulas LGPD em contratos de trabalho | Art. 7/46 | ✅ | Alta | Confidencialidade e responsabilidades |
| 5.4 | Termos de Uso atualizados | Art. 9 | ✅ | Alta | Versão adequada para menores |
| 5.5 | Acordos de Confidencialidade (NDA) | Art. 46 | ✅ | Alta | Template padrão implementado |
| 5.6 | Cláusulas de Transferência Internacional | Art. 33 | ✅ | Alta | SCCs Resolução 19/2024 |
| 5.7 | SLA de privacidade com fornecedores | Art. 39 | 🟡 | Média | Incluído em DPAs, não separado |
| 5.8 | Contratos com suboperadores críticos | Art. 39 | ✅ | Crítica | AWS, PJBank, eSchooling com DPA |
| 5.9 | Modelo padrão de DPA | - | ✅ | Média | Atualizado em 15/12/2025 |
Subtotal Contratos: 8,5/9 implementados (94%)
| # | Item | Ref. LGPD | Status | Prioridade | Observações |
|---|
| 6.1 | Criptografia de dados em repouso | Art. 46 | ✅ | Crítica | AES-256 em banco de dados |
| 6.2 | Criptografia de dados em trânsito (TLS) | Art. 46 | ✅ | Crítica | TLS 1.3 obrigatório |
| 6.3 | Controle de acesso baseado em função (RBAC) | Art. 46 | ✅ | Crítica | Sistema de permissões implementado |
| 6.4 | Autenticação multifator (MFA) | Art. 46 | ✅ | Alta | Obrigatório para administradores |
| 6.5 | Gestão de vulnerabilidades | Art. 46 | ✅ | Alta | Scan mensal automatizado |
| 6.6 | Pentest periódico | Art. 46 | 🟡 | Alta | Realizado mas não periódico (1x/ano planejado) |
| 6.7 | Monitoramento e logging | Art. 46 | ✅ | Alta | Logs centralizados, auditoria 24x7 |
| 6.8 | Backup criptografado | Art. 46 | ✅ | Crítica | Diário, offsite, retenção 30 dias |
| 6.9 | Plano de Continuidade de Negócios | Art. 46 | ✅ | Alta | RTO 4h, RPO 24h documentado |
| 6.10 | Segregação de ambientes | Art. 46 | ✅ | Alta | Produção/Homologação/Dev separados |
Subtotal Segurança: 9,5/10 implementados (95%)
3.7 Direitos dos Titulares
| # | Item | Ref. LGPD | Status | Prioridade | Observações |
|---|
| 7.1 | Canal de atendimento disponível | Art. 18 | ✅ | Crítica | pedro@ischolar.com.br publicizado |
| 7.2 | Processo de confirmação de existência | Art. 18, I | ✅ | Crítica | Documentado em PRC-TIT-001 |
| 7.3 | Processo de acesso aos dados | Art. 18, II | ✅ | Crítica | Portabilidade em formato estruturado |
| 7.4 | Processo de correção | Art. 18, III | ✅ | Crítica | Fluxo de validação e atualização |
| 7.5 | Processo de anonimização/bloqueio | Art. 18, IV | ✅ | Alta | Procedimento técnico documentado |
| 7.6 | Processo de eliminação | Art. 18, VI | ✅ | Crítica | Descarte seguro conforme retenção |
| 7.7 | Processo de portabilidade | Art. 18, V | ✅ | Alta | Exportação JSON/CSV implementada |
| 7.8 | Processo de revogação de consentimento | Art. 18, IX | ✅ | Crítica | Mecanismo self-service + manual |
| 7.9 | SLA de 15 dias documentado | Art. 18, §5º | ✅ | Crítica | Meta interna: 10 dias úteis |
| 7.10 | Registro e métricas de atendimento | Art. 18 | 🟡 | Alta | Template pronto, volume baixo (menos de 5 DSARs) |
Subtotal Direitos: 9,5/10 implementados (95%)
3.8 Dados de Menores
| # | Item | Ref. LGPD | Status | Prioridade | Observações |
|---|
| 8.1 | Política específica para menores | Art. 14 | ✅ | Crítica | POL-MEN-001 integral ao Art. 14 |
| 8.2 | Consentimento parental documentado | Art. 14, §1º | ✅ | Crítica | Template de termo, registro obrigatório |
| 8.3 | Verificação de idade implementada | Art. 14 | ✅ | Crítica | Esforços razoáveis documentados |
| 8.4 | Minimização de dados de menores | Art. 14, §4º | ✅ | Alta | Inventário específico, apenas necessário |
| 8.5 | Controles de segurança reforçados | Art. 14 | ✅ | Crítica | Criptografia, acesso restrito |
| 8.6 | Linguagem adequada para menores | Art. 14, §6º | 🟡 | Média | Política clara, interface a melhorar |
| 8.7 | RIPD para tratamento de menores | Art. 14/38 | ✅ | Crítica | RIPD-001 Gestão Acadêmica completa |
| 8.8 | Proibição de compartilhamento sem consentimento | Art. 14, §5º | ✅ | Crítica | Controle técnico + contratual |
Subtotal Menores: 7,5/8 implementados (94%)
3.9 Avaliações e Relatórios
| # | Item | Ref. LGPD | Status | Prioridade | Observações |
|---|
| 9.1 | RIPD elaborado | Art. 38 | ✅ | Crítica | RIPD-001 completa, outras em template |
| 9.2 | LIA (Legimate Interest Assessment) | Art. 10, §2º | ✅ | Alta | Metodologia 4 fases documentada |
| 9.3 | Avaliação de maturidade | Art. 50 | ✅ | Média | Nível 3 (Definido) - baseline 01/12/2025 |
| 9.4 | Auditoria interna de privacidade | Art. 50 | 🟡 | Alta | Template pronto, não realizada ainda |
| 9.5 | Avaliação de riscos de privacidade | Art. 50 | ✅ | Alta | Incluída nas RIPDs por atividade |
| 9.6 | Relatório de atividades do DPO | Art. 41 | 🟡 | Média | Trimestral planejado, 1º em Q1/2026 |
Subtotal Avaliações: 4/6 implementados (67%)
3.10 Treinamento e Conscientização
| # | Item | Ref. LGPD | Status | Prioridade | Observações |
|---|
| 10.1 | Programa de treinamento documentado | Art. 50 | ✅ | Alta | Versão 1.0, módulos por perfil |
| 10.2 | Treinamento geral LGPD | Art. 50 | ✅ | Alta | 2h online, 90% colaboradores treinados |
| 10.3 | Treinamentos específicos por função | Art. 50 | ✅ | Alta | 6 módulos específicos (Dev, Suporte, etc) |
| 10.4 | Registro de participação | Art. 50 | ✅ | Alta | Planilha de controle atualizada |
| 10.5 | Avaliação de eficácia | Art. 50 | 🟡 | Média | Questionários criados, aplicação iniciando |
| 10.6 | Campanhas de conscientização | Art. 50 | 🟡 | Média | Materiais prontos, lançamento planejado |
Subtotal Treinamento: 4/6 implementados (67%)
6. Histórico de Avaliações
| Data | Avaliador | % Conformidade | Principais Gaps | Ações Tomadas |
|---|
| 01/12/2025 | Pedro Henrique Rosa Barbosa (DPO) | 89% | DPO/ANPD, Comitê, Auditoria, Pentest | Plano de remediação criado |
7. Aprovações
| Função | Nome | Assinatura | Data |
|---|
| Avaliador | Pedro Henrique Rosa Barbosa | _______________ | 01/12/2025 |
| DPO | Pedro Henrique Rosa Barbosa | _______________ | 01/12/2025 |
8. Controle de Versões
| Versão | Data | Autor | Alterações |
|---|
| 1.0 | 01/12/2025 | Pedro Henrique Rosa Barbosa | Avaliação inicial de conformidade - 89% |
Este checklist deve ser aplicado periodicamente (recomenda-se trimestralmente) para monitorar a evolução da conformidade.