DPO e Carreira12 min de leitura

Checklist completo para um DPO iniciante: 50 itens para os primeiros 6 meses

Equipe Confidata·
Compartilhar

Os primeiros meses de um DPO são marcados por uma avalanche de frentes simultaneamente abertas. Sem uma lista organizada do que precisa ser feito, é fácil perder tempo com tarefas de baixo impacto enquanto riscos críticos ficam descobertos.

Este checklist reúne os 50 itens essenciais organizados por tema, para que você saiba exatamente o que deve estar no radar nos primeiros 6 meses. Não é necessário — nem possível — concluir tudo de uma vez. Use como roteiro e priorize conforme o diagnóstico da sua organização.

Bloco 1: Diagnóstico inicial (itens 1–8)

O diagnóstico é o ponto de partida. Sem saber onde você está, qualquer ação é especulação.

  • 1. Mapear quais áreas da organização coletam e tratam dados pessoais
  • 2. Identificar quais sistemas (CRM, ERP, folha de pagamento, e-commerce, etc.) contêm dados pessoais
  • 3. Verificar se existe inventário de dados (ROPA) — e em que estado está
  • 4. Identificar tratamentos de dados sensíveis conforme o rol taxativo do Art. 5°, II da LGPD: origem racial ou étnica, convicção religiosa, opinião política, filiação sindical ou político-filosófica, dado de saúde ou vida sexual, dado genético ou biométrico — e dados de crianças e adolescentes (regime especial do Art. 14)
  • 5. Verificar se existe política de privacidade publicada e atualizada
  • 6. Verificar se existe canal de atendimento ao titular funcionando
  • 7. Avaliar o histórico de incidentes: houve incidentes anteriores? Como foram tratados?
  • 8. Documentar o nível de maturidade atual em cada dimensão do programa (governança, segurança, titulares, fornecedores, treinamento)

Bloco 2: Governança e documentação (itens 9–20)

A documentação é tanto exigência legal quanto proteção para o DPO. O que não está documentado não existiu.

  • 9. Publicar formalmente a indicação do DPO (nome ou canal de contato) no site da organização — exigência do Art. 41, §1° da LGPD
  • 10. Elaborar ou atualizar a política de privacidade para titulares externos (clientes, usuários)
  • 11. Elaborar ou atualizar o aviso de privacidade interno para colaboradores
  • 12. Construir ou atualizar o ROPA (Registro de Operações de Tratamento / inventário de dados) com todas as atividades de tratamento
  • 13. Documentar a base legal para cada atividade de tratamento identificada no ROPA
  • 14. Identificar tratamentos de alto risco que exigem RIPD (Relatório de Impacto à Proteção de Dados)
  • 15. Elaborar os RIPDs pendentes para os tratamentos de alto risco identificados
  • 16. Criar ou revisar a política de retenção e descarte de dados (por quanto tempo cada tipo de dado é mantido e como é descartado com segurança)
  • 17. Criar ou revisar a política de resposta a incidentes de segurança com dados pessoais
  • 18. Estabelecer um registro de incidentes para documentar todos os eventos, mesmo os de baixo impacto
  • 19. Verificar se existem consentimentos coletados — estão documentados e válidos conforme a LGPD?
  • 20. Criar arquivo de evidências de conformidade para suportar eventual fiscalização da ANPD

Bloco 3: Segurança da informação e TI (itens 21–30)

O DPO não precisa ser especialista em TI — mas precisa garantir que a segurança esteja alinhada com as obrigações de proteção de dados.

  • 21. Verificar se existe política de segurança da informação documentada e em vigor
  • 22. Mapear quais sistemas com dados pessoais têm criptografia implementada (em repouso e em trânsito)
  • 23. Verificar se o acesso a sistemas com dados pessoais segue o princípio do menor privilégio (cada usuário acessa apenas o que precisa para sua função)
  • 24. Verificar se há autenticação multifator (MFA) implementada para acessos privilegiados e remotos
  • 25. Avaliar a política de backup — frequência, local de armazenamento, testes de restauração
  • 26. Verificar se há processo de gestão de patches (atualização de sistemas) em funcionamento
  • 27. Avaliar a política de descarte seguro de dispositivos e mídias com dados pessoais
  • 28. Verificar se há monitoramento de segurança (logs, alertas) nos sistemas com dados pessoais críticos
  • 29. Verificar se há processo de revisão periódica de acessos — especialmente de ex-colaboradores
  • 30. Garantir que o time de TI conhece o protocolo de comunicação ao DPO em caso de suspeita de incidente de segurança

Bloco 4: Treinamento e cultura (itens 31–36)

A maioria dos incidentes de dados começa com erro humano. Treinamento é o controle de risco com melhor custo-benefício.

  • 31. Realizar treinamento inicial de conscientização em LGPD para todos os colaboradores
  • 32. Elaborar treinamento específico para as áreas com maior exposição (marketing, RH, TI, atendimento ao cliente)
  • 33. Incluir proteção de dados no processo de onboarding de novos colaboradores
  • 34. Estabelecer cadência de treinamentos periódicos (ao menos anual para todos, semestral para áreas críticas)
  • 35. Criar mecanismo interno para colaboradores reportarem suspeitas de incidente sem burocracia excessiva
  • 36. Verificar se o time de atendimento ao cliente sabe como identificar e encaminhar requisições de direitos de titulares

Bloco 5: Direitos dos titulares (itens 37–42)

A LGPD garante direitos amplos aos titulares — e o controlador tem obrigação de garantir seu exercício efetivo.

  • 37. Garantir que existe canal de atendimento ao titular publicamente disponível (e-mail, formulário ou outro mecanismo)
  • 38. Definir o processo interno de resposta a requisições de titulares — quem recebe, quem avalia, quem responde, em qual prazo
  • 39. Verificar se o prazo de resposta está sendo cumprido — o Art. 18, §5° da LGPD estabelece prazo de até 15 dias contados da data do requerimento para fornecer resposta clara e completa ao titular
  • 40. Mapear como será executada tecnicamente a exclusão de dados quando solicitada (e quais dados não podem ser excluídos por obrigação legal)
  • 41. Garantir que o processo de portabilidade de dados está previsto para os sistemas que armazenam dados de usuários
  • 42. Criar modelo de registro de requisições de titulares para documentar cada pedido recebido e como foi tratado

Bloco 6: Fornecedores e terceiros (itens 43–47)

A cadeia de fornecedores é um dos maiores vetores de risco — e frequentemente o mais negligenciado.

  • 43. Elaborar inventário de fornecedores com acesso a dados pessoais (incluindo SaaS, nuvem, call centers, contabilidade, etc.)
  • 44. Classificar os fornecedores por papel (operador, controlador independente) e por nível de risco (alto, médio, baixo)
  • 45. Verificar quais fornecedores têm DPA (Data Processing Agreement / Contrato de Processamento de Dados) assinado — e priorizar os que não têm
  • 46. Implementar processo de due diligence de novos fornecedores com acesso a dados pessoais antes da contratação
  • 47. Verificar se há transferências internacionais de dados através de fornecedores — e se há salvaguarda legal (Art. 33 LGPD) para cada uma

Bloco 7: Governança e reporte (itens 48–50)

O programa de privacidade precisa de governança formal para ser sustentável.

  • 48. Estabelecer cadência de reporte ao C-level sobre o programa de privacidade (ao menos trimestral)
  • 49. Definir KPIs do programa que sejam mensuráveis e relevantes para a alta direção: % de tratamentos com base legal documentada, % de fornecedores com DPA, tempo médio de resposta a titulares, n° de incidentes por trimestre
  • 50. Criar calendário de revisão anual do programa — incluindo revisão do ROPA, das políticas, dos treinamentos e do inventário de fornecedores

Como usar este checklist

Não é uma corrida. O checklist cobre 6 meses de trabalho. Tentar concluir tudo em 30 dias é garantia de fazer mal feito.

Priorize pelo risco. Comece pelos itens que cobrem os riscos mais graves: bases legais de tratamentos críticos, canal de titular, DPA dos fornecedores mais importantes, segurança de sistemas com dados sensíveis.

Documente conforme avança. Cada item concluído deve gerar uma evidência: documento criado, e-mail enviado, ata de reunião, screenshot do sistema atualizado. Sem evidência, o item não existe para fins regulatórios.

Envolva as áreas. Muitos itens — especialmente nos blocos de TI, treinamento e fornecedores — requerem cooperação de outras áreas. O DPO orquestra, não executa sozinho.

Revise periodicamente. Este checklist é um ponto de partida. À medida que o programa amadurece, novos itens surgem — regulamentações da ANPD, novos tratamentos de dados, novos fornecedores.

O passo seguinte à conclusão deste checklist é estruturar a documentação de forma que ela seja auditável — organizada, versionada e acessível quando a ANPD precisar.

Baixe o eBook "Checklist de Documentação LGPD" e complemente este roteiro com o inventário completo de documentos que o programa de privacidade deve manter.

Compartilhar
#checklist DPO#lista tarefas encarregado dados#DPO iniciante LGPD#programa privacidade primeiros passos#encarregado dados pessoais checklist#DPO por onde começar

Artigos relacionados

Os primeiros 90 dias de um DPO: guia de sobrevivência e plano de açãoDPO e Carreira · 14 minDPO em Hospitais: Como Estruturar o Cargo na PráticaDPO e Carreira · 13 minPlanilha vs Sistema de Conformidade LGPD: ComparativoDPO e Carreira · 10 minDPO em Órgão Público: Modelo de Portaria e Resolução [2026]DPO e Carreira · 14 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista