SkillOperaçõesQA

Checklist de Handling de Dados Pessoais (LGPD/GDPR)

Aplica um checklist completo de handling de dados pessoais sob LGPD/GDPR para times que processam dado de usuário.

Ações
PerfilOperações
ProfundidadeAlta
IdiomaPortuguês
Objetivo

Em uma frase.

Aplicar um checklist abrangente para validar que o handling de dados pessoais em um produto/operação está conforme LGPD (Brasil) e GDPR (UE). A skill cobre os 10 vetores críticos: base legal, minimização, retenção, DSAR, breach notification, DPO, vendors, cookies, consentimento e treinamento. Saída é um relatório de gaps com plano de remediação priorizado por risco.

Aplicação

Quando
faz sentido.

Usar
  • Lançamento de produto novo que processa dado pessoal.
  • Auditoria pré-SOC2, ISO 27701 ou solicitação enterprise.
  • Resposta a incident envolvendo dado pessoal (auxilia o protocolo de breach).
  • Revisão anual de conformidade exigida pelo DPO.
  • Expansão geográfica para mercado europeu (entrada no escopo GDPR).
  • Pós-incident público (TJ-X foi multada, vamos revisar nossa exposição).
  • Mudança regulatória nova (ANPD soltou enforcement, GDPR atualizou).
Não usar
Prompt

Instruções
para a IA.

Passo 1 — Validar base legal de cada processamento

Sob LGPD/GDPR, todo processamento exige base legal. Não é "achismo".

Bases legais comuns (LGPD Art. 7):

| Base | Quando usar |

|---|---| | Consentimento | Marketing, cookies não essenciais, dados sensíveis (com requisitos extras). | | Execução de contrato | Processar dado necessário para entregar serviço contratado. | | Cumprimento de obrigação legal | Reter dados fiscais por anos (Receita Federal). | | Legítimo interesse | Antifraude, segurança, melhoria do serviço (com balance test). | | Proteção da vida | Casos médicos emergenciais. | | Tutela da saúde | Saúde pública. | | Execução de políticas públicas | Setor público. | | Estudo / pesquisa | Com anonimização sempre que possível. | | Proteção de crédito | Bancos e similares. |

Checklist: - [ ] Cada operação de tratamento tem base legal documentada. - [ ] Para consentimento: prova de coleta livre, informada, inequívoca e específica. - [ ] Para legítimo interesse: balance test documentado (interesse da empresa × direito do titular). - [ ] Dados sensíveis (saúde, biometria, raça, religião, orientação) têm base legal específica e mais rigorosa. - [ ] Dados de crianças e adolescentes (LGPD Art. 14): consentimento dos pais documentado.

Gap: processamento sem base legal definida → P0 de risco regulatório.

Passo 2 — Validar minimização de dados

Princípio: coletar só o necessário para a finalidade.

Checklist:

- [ ] Toda informação coletada tem finalidade declarada na política. - [ ] Não há campos coletados "por garantia" sem uso ativo. - [ ] Dado coletado por backend tem rastro do propósito (não "porque tava no schema"). - [ ] Formulários pedem mínimo (campos opcionais marcados como tal). - [ ] Logs de aplicação não persistem PII desnecessária.

Padrão a evitar: coletar CPF, RG, endereço completo, nome de mãe, sem necessidade clara.

Passo 3 — Validar política de retenção e exclusão

Dado não fica para sempre.

Checklist:

- [ ] Política de retenção documentada por categoria de dado. - [ ] Prazos respeitam: necessidade do negócio, obrigação legal (fiscal: 5 anos, etc), interesse do titular. - [ ] Exclusão automática implementada (não manual). - [ ] Backup também é purgado conforme política (ou anonimizado). - [ ] Logs com PII têm retenção menor que dados de negócio. - [ ] Dado de usuário inativo por X anos é purgado ou anonimizado.

Exemplo de tabela:

| Categoria | Retenção | Base | Implementação | |---|---|---|---| | Cadastro de usuário ativo | Enquanto conta ativa + 90 dias | Execução de contrato | Job de purge mensal | | Dado fiscal | 5 anos após emissão | Obrigação legal | Banco quente 1 ano, frio 4 anos | | Logs de acesso | 12 meses | Legítimo interesse (segurança) | Rotação automática | | Marketing (consent) | Até retirada de consent | Consentimento | Soft-delete + purge 30 dias após retirada |

Gap: retenção indefinida em sistema produtivo → risco regulatório alto.

Passo 4 — Validar implementação de DSAR (direitos do titular)

Titular tem direitos: acesso, retificação, exclusão, portabilidade, oposição, revisão de decisão automatizada. A empresa precisa atender.

Checklist:

- [ ] Canal público para solicitar (geralmente email do DPO, formulário, link na política). - [ ] SLA documentado (LGPD: 15 dias para resposta a acesso; GDPR: 30 dias geralmente). - [ ] Processo interno: quem recebe, valida identidade, executa, responde. - [ ] Capacidade técnica de exportar dado de um usuário em formato legível. - [ ] Capacidade técnica de excluir dado de um usuário (e propagar para subprocessadores). - [ ] Capacidade técnica de retificar dado. - [ ] Log de DSARs atendidos (auditoria). - [ ] Teste real: alguém submete DSAR de teste, mede tempo e resultado.

Padrões comuns que falham: "exclusão" que só faz soft-delete sem propagar para vendors. DSAR demora 90 dias porque "ninguém sabe quem responde".

Passo 5 — Validar protocolo de breach notification

LGPD e GDPR exigem notificação rápida em caso de incidente com dado pessoal.

LGPD (Art. 48): comunicar ANPD em prazo razoável (não fixado, mas interpretado entre 24-72h).

GDPR (Art. 33-34): notificar autoridade em 72h; notificar titulares "sem demora indevida" se risco alto.

Checklist:

- [ ] Protocolo de breach documentado. - [ ] Critério claro do que é "incident com dado pessoal" vs incident comum. - [ ] Time de breach response definido (Sec + Legal + DPO + Comunicação). - [ ] Template de notificação à ANPD/autoridade pré-aprovado. - [ ] Template de comunicação a titulares pré-aprovado. - [ ] Canal para receber notificação de breach via vendor (ver passo 7). - [ ] Histórico de breaches notificados (registro). - [ ] Simulação anual do protocolo (tabletop ou drill).

Liga estreitamente com incident-severity-triage e escalation-protocol.

Passo 6 — Validar designação e atuação do DPO

LGPD (Art. 41) exige DPO (Encarregado). GDPR exige em condições específicas.

Checklist:

- [ ] DPO formalmente designado (papel ou pessoa). - [ ] Contato do DPO publicado (geralmente na política e em canal claro). - [ ] DPO tem autonomia e acesso ao executivo principal. - [ ] DPO recebe DSARs, comunicações da ANPD, notificações de breach. - [ ] DPO mantém registro de atividades de tratamento (LGPD Art. 37). - [ ] DPO emite relatório anual interno ao C-level.

Para PME e startups, DPO pode ser papel acumulado (Diretor Jurídico, Diretor de Compliance) ou externo (terceirizado), desde que com competência técnica.

Passo 7 — Validar conformidade dos vendors (subprocessadores)

Vendors são extensões da empresa em handling de dado. Não escapa-se ao GDPR/LGPD via terceirização.

Checklist:

- [ ] Lista de subprocessadores documentada e publicada. - [ ] DPA (Data Processing Agreement) assinado com cada subprocessador. - [ ] DPA cobre: finalidade do tratamento, escopo, duração, retenção, segurança, breach notification ao controlador. - [ ] Cláusula de auditoria (direito de auditar o subprocessador). - [ ] Subprocessadores em jurisdições com decisão de adequação (LGPD: lista da ANPD; GDPR: lista da CE) ou cláusulas-tipo / SCC para transferência internacional. - [ ] Notificação de novos subprocessadores aos titulares (cláusula em política). - [ ] Avaliação de risco anual de cada subprocessador (ligar com vendor-risk-assessment).

Gap comum: usar SaaS dos EUA sem cláusulas-tipo de transferência internacional.

Passo 8 — Validar cookies e tracking

Para sites e aplicativos:

Checklist:

- [ ] Banner de cookies presente em primeiro acesso. - [ ] Banner distingue cookies essenciais (não precisam de consent) de cookies analíticos/marketing (precisam de consent). - [ ] Opção "rejeitar tudo" tão proeminente quanto "aceitar tudo" (GDPR exige isso explicitamente). - [ ] Cookies de terceiros (Google Analytics, Meta Pixel) só carregam após consent ativo. - [ ] Preferências de cookie são armazenadas e respeitadas em visitas subsequentes. - [ ] Há canal para revogar consent. - [ ] Política de cookies acessível com lista detalhada.

Brasil: ANPD tem orientado para padrões similares aos da UE. Falha comum: banner "ao continuar você aceita" — não é consent válido.

Passo 9 — Validar política externa de privacidade

Documento público que titulares leem. Precisa ser:

Checklist:

- [ ] Acessível em ≤ 2 cliques do produto/site. - [ ] Linguagem clara (sem jargão jurídico exclusivamente). - [ ] Atualizada com data visível. - [ ] Lista quais dados são coletados. - [ ] Lista finalidades. - [ ] Lista bases legais. - [ ] Lista subprocessadores (ou link para lista). - [ ] Lista retenção por categoria. - [ ] Explica direitos do titular e como exercê-los. - [ ] Contato do DPO. - [ ] Histórico de versões (ou ao menos data da versão atual). - [ ] Versão localizada por jurisdição quando aplicável.

Passo 10 — Validar treinamento e cultura

Política sem treinamento é teatro.

Checklist:

- [ ] Treinamento de privacy no onboarding. - [ ] Reciclagem anual para todos. - [ ] Treinamento aprofundado para times que tocam dado pessoal (eng, suporte, marketing). - [ ] Material de treinamento atualizado anualmente. - [ ] Registro de quem fez o treinamento (auditoria). - [ ] Canal interno para dúvidas (pergunta de privacy para DPO). - [ ] Cultura de "consult before you collect" estabelecida (PRs com dado novo passam por revisão de privacy).
Constelação

Onde
ela vive.

Execução

Como usar
com IA.

  1. 01Copie a skill (botão "Copiar skill para IA", no topo): o texto copiado já é a skill completa, não um resumo.
  2. 02Abra o Claude ou Claude Code e cole — a IA recebe todas as instruções e fica pronta para a tarefa.
  3. 03Prefere usar como arquivo reutilizável? Baixe o .zip e coloque o SKILL.md em .claude/skills/ (Claude Code) ou anexe o arquivo no Claude (claude.ai).