Você quer proteger os dados pessoais dos seus clientes e funcionários?
Se a resposta for sim, então você precisa se adequar à Lei Geral de Proteção de Dados (LGPD).
Se a sua empresa não estiver em conformidade com a LGPD, você pode estar sujeito a perder clientes e danos à reputação.
Mas como se adequar à LGPD?
Um checklist é uma ótima maneira de começar.
Nesse texto, vamos mostrar quais são os principais pontos que você precisa considerar em um checklist LGPD.
Ao seguir as orientações deste texto, você estará no caminho certo para proteger os dados pessoais dos seus clientes e funcionários e garantir a conformidade da sua empresa com a LGPD. Boa leitura!
Por que fazer um checklist LGPD?
Para que sua empresa seja capaz de analisar os principais pontos relacionados à proteção de dados e saber por onde começar para a adequação à LGPD, é essencial seguir um checklist. 
Afinal, a LGPD é composta por diversas normas e obter um direcionamento irá facilitar esse processo de conformidade com a lei.
O que considerar em um checklist LGPD?
Indo direto ao ponto, vamos descrever abaixo quais são os principais pontos que sua empresa precisa considerar em um checklist LGPD. Acompanhe.
Escopo do projeto e porte da organização.

Para criação do seu checklist, você precisa avaliar primeiro o porte da organização. Uma empresa de pequeno porte pode iniciar com um checklist simplificado, como este disponibilizado nas publicações da ANPD:
 neste link
Já uma empresa maior, pode querer utilizar o Anexo A da ISO 27001. Nós falamos sobre este tema e disponibilizamos este anexo nesta live:
DPO
O encarregado de dados, também conhecido como DPO (Data Protection Officer), é uma figura essencial para a proteção de dados pessoais em uma instituição. O DPO geralmente é uma pessoa interna que conhece todos os processos da organização e pode validar junto com time de implantação, se o checklist que está sendo preparado faz sentido junto com o especialista responsável.
O DPO é responsável por:
• garantir a conformidade com a LGPD;
• ser um canal de comunicação entre a empresa, os titulares dos dados e a ANPD;
• guiar a organização sobre as melhores práticas de proteção de dados.
É válido ressaltar que o cargo de DPO é obrigatório por lei para instituições que executem tarefas de tratamento de dados de grande porte, que lidem com dados sensíveis ou que envolvam atividade de alto risco à privacidade.
Lembrando que pequenas empresas e startups têm a possibilidade de indicar ou não DPO, mas a indicação sempre será vista com bons olhos.
Análise jurídica considerando bases legais
Para garantir a conformidade com a LGPD, é importante adicionar ao checklist a etapa do Mapeamento de dados e a identificação das bases legais (ou hipóteses de tratamento) adequadas para cada tratamento de dados pessoais.
A base legal é o fundamento jurídico que permite o tratamento de dados pessoais.
A LGPD prevê 10 bases legais, que podem ser utilizadas isoladamente ou em conjunto.
No caso de dados sensíveis, o tratamento só é permitido se houver uma base legal específica.
Artigo 18 da LGPD
Incluir no checklist também, itens que garantam aos titulares dos dados pessoais os direitos que lhes permitem exercer sua autonomia informativa e proteger sua liberdade, intimidade e privacidade.
Esses direitos incluem:
• o conhecimento da existência de tratamento de dados em uma determinada instituição;
• o direito do título em acessar seus dados e obter informações sobre o tratamento realizado;
• anonimização, bloqueio ou eliminação de dados;
• portabilidade dos dados;
• revisão de decisões automatizadas.
Relacionamento com o titular
A transparência e a comunicação com o titular são princípios fundamentais da LGPD.
O titular dos dados deve estar ciente da finalidade do tratamento de seus dados, entendendo quais dados são tratados e por que são tratados.
A instituição também deve definir um canal de comunicação com o titular, para que ele possa solicitar informações e pedir o cumprimento dos seus direitos. Esse canal de comunicação precisa ser claro, acessível e fácil de usar.
Além disso, a instituição precisa elaborar um protocolo de resposta às solicitações do titular para facilitar o seu atendimento.
Política de controle de acesso dos dados
É fundamental incluir no checklist, para qualquer organização. Para proteger esses dados, é importante implementar políticas de controle de acesso que limitem o acesso apenas a quem realmente precisa. 
Ou seja, é importante que haja a visibilidade completa sobre quem acessa os dados e o motivo do acesso. Isso pode ser feito por meio de ferramentas de auditoria e monitoramento. 
Armazenamento e descarte de dados
Validar se o seu checklist também tem itens relacionados ao armazenamento e descarte dos dados, contra acessos não autorizados, inclusive internamente. As principais medidas de segurança de dados são:
• armazenamento seguro com acesso restrito;
• investimento em ferramentas de proteção contra ameaças, como antivírus e criptografia;
• plano de backup e recuperação de dados;
• estabelecer prazos de armazenamento dos dados.
Proteção contra ameaças
É essencial definir uma Política de Segurança da Informação, então pode colocar ai no checklist. A segurança da informação é um conjunto de medidas que visa proteger os dados e sistemas de informação contra ameaças.
Há diversas medidas relacionadas à segurança da informação, incluindo: políticas de segurança, treinamentos, análises de vulnerabilidade e simulações de ataques.
Soluções para os incidentes de segurança
Em caso de incidente de segurança, é importante que as empresas estejam preparadas para responder de forma rápida e eficaz. As medidas mais indicadas para preparar-se a incidentes de segurança são:
• determinar um plano de resposta;
• treinar o time de resposta  para que eles identifiquem e respondam aos incidentes de segurança;
• criar canais de comunicação seguros com os titulares e à ANPD;
• avaliar possíveis danos aos titulares;
• selecionar modelos e formatos de comunicação de incidente.
Contratação de parceiros e à LGPD
Para proteger os dados pessoais, as empresas também devem escolher parceiros e fornecedores que sigam a LGPD, avaliar a segurança de softwares e sistemas e incluir cláusulas de proteção de dados nos contratos.
As empresas precisam verificar se os softwares e sistemas possuem mecanismos de segurança para proteger os dados pessoais contra acesso não autorizado, alteração, destruição ou perda.
Já nos contratos com colaboradores, parceiros e funcionários, é importante incluir cláusulas relacionadas à LGPD e à proteção de dados. Essas cláusulas devem definir as responsabilidades de cada parte em relação à proteção dos dados pessoais.
Documentos e contratos
A adequação à LGP também exige que as empresas elaborem uma série de políticas e documentos mínimos. Essas políticas e documentos devem garantir a proteção dos dados pessoais tratados pela empresa.
Os principais documentos necessários para a adequação à LGPD são os de:
• aviso de privacidade;
• política de privacidade;
• política de retenção de dados;
• formulário de consentimento do titular;
• contrato de processamento de dados com parceiros;
• relatório de impacto à privacidade, quando necessário;
• modelo de resposta de notificação de violação de dados;
• formulário de notificação à ANPD;
• cláusulas contratuais com parceiros em relação à necessidade de compliance.
Treinamento de colaboradores
Para proteger os dados pessoais, as empresas também podem dedicar-se a treinamentos de segurança para colaboradores e funcionários. Esses treinamentos devem abordar os conceitos básicos de proteção de dados, a LGPD e os mecanismos de segurança. Então também deve constar no seu checklist.
Monitoramento
A adequação à LGPD é um processo contínuo. Portanto, as empresas devem monitorar e revisar regularmente suas medidas de proteção de dados para garantir que estejam em conformidade com a legislação.
O monitoramento deve ser realizado de forma periódica, para identificar quaisquer vulnerabilidades ou riscos que possam surgir. 
Adequação à LGPD com a Octo
Em resumo, o checklist LGPD é composto por etapas simples e complexas e também um pouco desafiadoras. Ou seja, é necessário que se tenha uma compreensão profunda da legislação, dos processos da empresa e das melhores práticas de proteção de dados.
Sem o auxílio de um especialista, as empresas podem correr o risco de não cumprir a lei, o que pode levar a multas pesadas e danos à reputação.
Ao contar com uma consultoria especializada como a octo, as empresas podem garantir que estejam em conformidade com a LGPD e proteger os dados pessoais de seus clientes e funcionários. Conheça a nossa solução completa para LGPD!