SkillOperaçõesQA
Checklist de Handling de Dados Pessoais (LGPD/GDPR)
Aplica um checklist completo de handling de dados pessoais sob LGPD/GDPR para times que processam dado de usuário.
Ações
PerfilOperações
ProfundidadeAlta
IdiomaPortuguês
Objetivo
Em uma frase.
Aplicar um checklist abrangente para validar que o handling de dados pessoais em um produto/operação está conforme LGPD (Brasil) e GDPR (UE). A skill cobre os 10 vetores críticos: base legal, minimização, retenção, DSAR, breach notification, DPO, vendors, cookies, consentimento e treinamento. Saída é um relatório de gaps com plano de remediação priorizado por risco.
Aplicação
Quando
faz sentido.
Usar
- Lançamento de produto novo que processa dado pessoal.
- Auditoria pré-SOC2, ISO 27701 ou solicitação enterprise.
- Resposta a incident envolvendo dado pessoal (auxilia o protocolo de breach).
- Revisão anual de conformidade exigida pelo DPO.
- Expansão geográfica para mercado europeu (entrada no escopo GDPR).
- Pós-incident público (TJ-X foi multada, vamos revisar nossa exposição).
- Mudança regulatória nova (ANPD soltou enforcement, GDPR atualizou).
Não usar
- Para escrever a política de uso geral → use acceptable-use-policy.
- Para avaliação de risco de vendor → use vendor-risk-assessment.
- Para checklist de conformidade ampla (SOC2, ISO) → use compliance-checklist.
- Para postmortem de incident pós-resolução → use incident-postmortem.
- Para classificar severidade durante o incident → use incident-severity-triage.
Prompt
Instruções
para a IA.
Passo 1 — Validar base legal de cada processamento
Sob LGPD/GDPR, todo processamento exige base legal. Não é "achismo".
Bases legais comuns (LGPD Art. 7):
| Base | Quando usar |
|---|---|
| Consentimento | Marketing, cookies não essenciais, dados sensíveis (com requisitos extras). |
| Execução de contrato | Processar dado necessário para entregar serviço contratado. |
| Cumprimento de obrigação legal | Reter dados fiscais por anos (Receita Federal). |
| Legítimo interesse | Antifraude, segurança, melhoria do serviço (com balance test). |
| Proteção da vida | Casos médicos emergenciais. |
| Tutela da saúde | Saúde pública. |
| Execução de políticas públicas | Setor público. |
| Estudo / pesquisa | Com anonimização sempre que possível. |
| Proteção de crédito | Bancos e similares. |Checklist: - [ ] Cada operação de tratamento tem base legal documentada. - [ ] Para consentimento: prova de coleta livre, informada, inequívoca e específica. - [ ] Para legítimo interesse: balance test documentado (interesse da empresa × direito do titular). - [ ] Dados sensíveis (saúde, biometria, raça, religião, orientação) têm base legal específica e mais rigorosa. - [ ] Dados de crianças e adolescentes (LGPD Art. 14): consentimento dos pais documentado.
Gap: processamento sem base legal definida → P0 de risco regulatório.
Passo 2 — Validar minimização de dados
Princípio: coletar só o necessário para a finalidade.
Checklist:
- [ ] Toda informação coletada tem finalidade declarada na política.
- [ ] Não há campos coletados "por garantia" sem uso ativo.
- [ ] Dado coletado por backend tem rastro do propósito (não "porque tava no schema").
- [ ] Formulários pedem mínimo (campos opcionais marcados como tal).
- [ ] Logs de aplicação não persistem PII desnecessária.Padrão a evitar: coletar CPF, RG, endereço completo, nome de mãe, sem necessidade clara.
Passo 3 — Validar política de retenção e exclusão
Dado não fica para sempre.
Checklist:
- [ ] Política de retenção documentada por categoria de dado.
- [ ] Prazos respeitam: necessidade do negócio, obrigação legal (fiscal: 5 anos, etc), interesse do titular.
- [ ] Exclusão automática implementada (não manual).
- [ ] Backup também é purgado conforme política (ou anonimizado).
- [ ] Logs com PII têm retenção menor que dados de negócio.
- [ ] Dado de usuário inativo por X anos é purgado ou anonimizado.Exemplo de tabela:
| Categoria | Retenção | Base | Implementação | |---|---|---|---| | Cadastro de usuário ativo | Enquanto conta ativa + 90 dias | Execução de contrato | Job de purge mensal | | Dado fiscal | 5 anos após emissão | Obrigação legal | Banco quente 1 ano, frio 4 anos | | Logs de acesso | 12 meses | Legítimo interesse (segurança) | Rotação automática | | Marketing (consent) | Até retirada de consent | Consentimento | Soft-delete + purge 30 dias após retirada |
Gap: retenção indefinida em sistema produtivo → risco regulatório alto.
Passo 4 — Validar implementação de DSAR (direitos do titular)
Titular tem direitos: acesso, retificação, exclusão, portabilidade, oposição, revisão de decisão automatizada. A empresa precisa atender.
Checklist:
- [ ] Canal público para solicitar (geralmente email do DPO, formulário, link na política).
- [ ] SLA documentado (LGPD: 15 dias para resposta a acesso; GDPR: 30 dias geralmente).
- [ ] Processo interno: quem recebe, valida identidade, executa, responde.
- [ ] Capacidade técnica de exportar dado de um usuário em formato legível.
- [ ] Capacidade técnica de excluir dado de um usuário (e propagar para subprocessadores).
- [ ] Capacidade técnica de retificar dado.
- [ ] Log de DSARs atendidos (auditoria).
- [ ] Teste real: alguém submete DSAR de teste, mede tempo e resultado.Padrões comuns que falham: "exclusão" que só faz soft-delete sem propagar para vendors. DSAR demora 90 dias porque "ninguém sabe quem responde".
Passo 5 — Validar protocolo de breach notification
LGPD e GDPR exigem notificação rápida em caso de incidente com dado pessoal.
LGPD (Art. 48): comunicar ANPD em prazo razoável (não fixado, mas interpretado entre 24-72h).
GDPR (Art. 33-34): notificar autoridade em 72h; notificar titulares "sem demora indevida" se risco alto.
Checklist:
- [ ] Protocolo de breach documentado.
- [ ] Critério claro do que é "incident com dado pessoal" vs incident comum.
- [ ] Time de breach response definido (Sec + Legal + DPO + Comunicação).
- [ ] Template de notificação à ANPD/autoridade pré-aprovado.
- [ ] Template de comunicação a titulares pré-aprovado.
- [ ] Canal para receber notificação de breach via vendor (ver passo 7).
- [ ] Histórico de breaches notificados (registro).
- [ ] Simulação anual do protocolo (tabletop ou drill).Liga estreitamente com
incident-severity-triage e escalation-protocol.Passo 6 — Validar designação e atuação do DPO
LGPD (Art. 41) exige DPO (Encarregado). GDPR exige em condições específicas.
Checklist:
- [ ] DPO formalmente designado (papel ou pessoa).
- [ ] Contato do DPO publicado (geralmente na política e em canal claro).
- [ ] DPO tem autonomia e acesso ao executivo principal.
- [ ] DPO recebe DSARs, comunicações da ANPD, notificações de breach.
- [ ] DPO mantém registro de atividades de tratamento (LGPD Art. 37).
- [ ] DPO emite relatório anual interno ao C-level.Para PME e startups, DPO pode ser papel acumulado (Diretor Jurídico, Diretor de Compliance) ou externo (terceirizado), desde que com competência técnica.
Passo 7 — Validar conformidade dos vendors (subprocessadores)
Vendors são extensões da empresa em handling de dado. Não escapa-se ao GDPR/LGPD via terceirização.
Checklist:
- [ ] Lista de subprocessadores documentada e publicada.
- [ ] DPA (Data Processing Agreement) assinado com cada subprocessador.
- [ ] DPA cobre: finalidade do tratamento, escopo, duração, retenção, segurança, breach notification ao controlador.
- [ ] Cláusula de auditoria (direito de auditar o subprocessador).
- [ ] Subprocessadores em jurisdições com decisão de adequação (LGPD: lista da ANPD; GDPR: lista da CE) ou cláusulas-tipo / SCC para transferência internacional.
- [ ] Notificação de novos subprocessadores aos titulares (cláusula em política).
- [ ] Avaliação de risco anual de cada subprocessador (ligar com vendor-risk-assessment).Gap comum: usar SaaS dos EUA sem cláusulas-tipo de transferência internacional.
Passo 8 — Validar cookies e tracking
Para sites e aplicativos:
Checklist:
- [ ] Banner de cookies presente em primeiro acesso.
- [ ] Banner distingue cookies essenciais (não precisam de consent) de cookies analíticos/marketing (precisam de consent).
- [ ] Opção "rejeitar tudo" tão proeminente quanto "aceitar tudo" (GDPR exige isso explicitamente).
- [ ] Cookies de terceiros (Google Analytics, Meta Pixel) só carregam após consent ativo.
- [ ] Preferências de cookie são armazenadas e respeitadas em visitas subsequentes.
- [ ] Há canal para revogar consent.
- [ ] Política de cookies acessível com lista detalhada.Brasil: ANPD tem orientado para padrões similares aos da UE. Falha comum: banner "ao continuar você aceita" — não é consent válido.
Passo 9 — Validar política externa de privacidade
Documento público que titulares leem. Precisa ser:
Checklist:
- [ ] Acessível em ≤ 2 cliques do produto/site.
- [ ] Linguagem clara (sem jargão jurídico exclusivamente).
- [ ] Atualizada com data visível.
- [ ] Lista quais dados são coletados.
- [ ] Lista finalidades.
- [ ] Lista bases legais.
- [ ] Lista subprocessadores (ou link para lista).
- [ ] Lista retenção por categoria.
- [ ] Explica direitos do titular e como exercê-los.
- [ ] Contato do DPO.
- [ ] Histórico de versões (ou ao menos data da versão atual).
- [ ] Versão localizada por jurisdição quando aplicável.Passo 10 — Validar treinamento e cultura
Política sem treinamento é teatro.
Checklist:
- [ ] Treinamento de privacy no onboarding.
- [ ] Reciclagem anual para todos.
- [ ] Treinamento aprofundado para times que tocam dado pessoal (eng, suporte, marketing).
- [ ] Material de treinamento atualizado anualmente.
- [ ] Registro de quem fez o treinamento (auditoria).
- [ ] Canal interno para dúvidas (pergunta de privacy para DPO).
- [ ] Cultura de "consult before you collect" estabelecida (PRs com dado novo passam por revisão de privacy).Constelação
Onde
ela vive.
Bundles que incluem
Execução
Como usar
com IA.
- 01Copie a skill (botão "Copiar skill para IA", no topo): o texto copiado já é a skill completa, não um resumo.
- 02Abra o Claude ou Claude Code e cole — a IA recebe todas as instruções e fica pronta para a tarefa.
- 03Prefere usar como arquivo reutilizável? Baixe o .zip e coloque o
SKILL.mdem.claude/skills/(Claude Code) ou anexe o arquivo no Claude (claude.ai).