Checklist LGPD: 25 itens para verificar a conformidade da sua empresa

Um checklist LGPD é a forma mais rápida de diagnosticar onde sua empresa está em relação à conformidade com a Lei Geral de Proteção de Dados. Não substitui uma consultoria jurídica aprofundada — mas revela as lacunas mais críticas e ajuda a priorizar ações.

Este checklist está organizado em 7 blocos temáticos. Para cada item, responda: ✅ Implementado | ⚠️ Parcial | ❌ Não implementado. Cada ❌ é uma tarefa de adequação.

Bloco 1: Governança e responsabilidade

1. DPO indicado e canal de contato público: nome e e-mail do Encarregado estão publicados no site (normalmente na Política de Privacidade).
2. Política interna de proteção de dados: documento interno que define responsabilidades, processos e critérios de tratamento de dados na empresa.
3. Mapeamento de responsáveis: cada área que trata dados tem um responsável identificado pela conformidade naquele processo.
4. Programa de treinamento: colaboradores que lidam com dados pessoais passaram por capacitação LGPD nos últimos 12 meses.

Bloco 2: Inventário de dados

5. Inventário documentado: existe registro de todas as atividades de tratamento — o que é coletado, de quem, para quê, com quem é compartilhado e por quanto tempo.
6. Base legal identificada: cada atividade de tratamento tem base legal documentada (consentimento, contrato, obrigação legal, legítimo interesse, etc.).
7. Dados sensíveis mapeados: dados de saúde, biometria, origem racial, religião e outros dados sensíveis estão identificados e com base legal reforçada.
8. Prazos de retenção definidos: existe política de retenção que determina por quanto tempo cada categoria de dado é mantida e o processo de descarte seguro.

Bloco 3: Documentos legais

9. Política de Privacidade atualizada: reflete os dados realmente coletados, as finalidades, os compartilhamentos e os direitos dos titulares. Não é um texto genérico.
10. Política de Cookies: descreve quais cookies são usados, por quê e como o visitante pode gerenciar suas preferências.
11. Termos de Uso: incluem cláusula de proteção de dados e referência à Política de Privacidade.
12. DPA com fornecedores: contratos com operadores de dados (hosting, CRM, RH, marketing) têm cláusula de proteção de dados ou DPA específico.
13. Versionamento de documentos: existe histórico das versões anteriores dos documentos e registro de quando cada versão foi publicada.

Bloco 4: Atendimento a titulares

14. Canal de solicitações: existe forma clara e acessível para o titular exercer os 9 direitos do Art. 18 (acesso, correção, exclusão, portabilidade, etc.).
15. Prazo de resposta controlado: existe processo que garante resposta dentro de 15 dias — com alertas quando o prazo está próximo.
16. Protocolo de atendimento: cada solicitação recebe número de protocolo e o titular é informado da abertura e do encerramento.
17. Evidências arquivadas: o histórico de solicitações e respostas é mantido para comprovação em caso de auditoria ou reclamação à ANPD.

Bloco 5: Cookies e consentimento no site

18. Banner de consentimento funcional: exibido antes de qualquer cookie não essencial ser carregado, com opções reais de aceitar, rejeitar e personalizar.
19. Bloqueio prévio de scripts: Google Analytics, pixels de anúncio e outros scripts de terceiros não rodam antes do consentimento.
20. Registro de consentimento: a decisão do visitante é registrada com timestamp e versão do documento para comprovação posterior.
21. Fácil revogação: existe link ou ícone no site para o visitante reabrir o painel de cookies e alterar suas preferências.

Bloco 6: Segurança da informação

22. Controle de acesso: dados pessoais são acessíveis apenas a quem tem necessidade operacional — com gestão de permissões por papel/função.
23. Criptografia em trânsito e em repouso: dados pessoais sensíveis são criptografados tanto no armazenamento quanto na transmissão.
24. Processo de gestão de incidentes: existe plano de resposta a incidentes de dados, com designação de responsáveis e obrigação de notificar a ANPD em até 72 horas quando aplicável.

Bloco 7: Transferência internacional

25. Mapeamento de transferências internacionais: quando dados pessoais são enviados para fora do Brasil (serviços de nuvem, fornecedores no exterior), existe base legal documentada para essa transferência — cláusulas contratuais padrão, país com nível adequado de proteção ou consentimento específico.

Como usar os resultados

Após o preenchimento:

• Menos de 5 ❌: conformidade avançada — foque em manutenção e revisões periódicas.
• 5 a 15 ❌: conformidade parcial — priorize blocos 4 (titulares) e 3 (documentos), que têm maior impacto em caso de fiscalização.
• Mais de 15 ❌: atenção urgente — comece pelo inventário de dados e pelo atendimento a titulares. O risco regulatório é elevado.

Próximos passos

Um checklist mostra o problema — a solução vem com ferramentas e processos. O mhslgpd endereça diretamente os blocos 4 (atendimento), 3 (documentos com versionamento), 5 (banner de cookies) e parte do bloco 2 (inventário com RIPD). Para os blocos de segurança e governança interna, o apoio de consultoria especializada acelera o caminho.

Leia também: Adequação à LGPD: passo a passo completo e RIPD: o que é e como elaborar.