Como conduzir auditorias internas de privacidade e proteção de dados
Uma organização não sabe se está conforme com a LGPD por dedução — ela precisa verificar. A auditoria interna de privacidade é o mecanismo que transforma a conformidade de uma crença em uma evidência documentada.
Mais do que cumprir uma boa prática, a realização de auditorias periódicas demonstra à ANPD, a clientes e a parceiros que a organização toma a proteção de dados pessoais a sério — e é um dos elementos considerados como atenuantes em processos administrativos (Art. 52, §1º, X da LGPD, sobre adoção de política de boas práticas e governança).
O que é uma auditoria interna de privacidade?
Uma auditoria interna de privacidade é um processo sistemático e documentado de verificação do grau de conformidade de uma organização com as obrigações da LGPD — e com as próprias políticas internas de proteção de dados.
Ela difere de uma consultoria ou diagnóstico inicial por ser:
- Periódica: realizada em ciclos regulares (anual, semestral), não apenas uma vez
- Sistemática: segue uma metodologia definida, com escopo, critérios e evidências
- Documentada: produz registros que sustentam a conclusão e são arquivados como evidência de conformidade
- Orientada à melhoria: não é apenas um inventário de problemas — inclui recomendações e acompanhamento de correções
Quando realizar auditorias de privacidade
Auditoria periódica (ciclo regular)
A frequência mínima recomendada é anual. Organizações com alto volume de dados pessoais, dados sensíveis, ou sujeitas a maior risco regulatório devem considerar auditorias semestrais ou até trimestrais para domínios específicos.
Auditoria por evento (gatilhos)
Além do ciclo regular, certas situações justificam a realização de uma auditoria pontual:
- Lançamento de novo produto ou serviço que envolva coleta de dados pessoais
- Fusão, aquisição ou incorporação — que pode introduzir novas práticas de tratamento e bases de dados não mapeadas
- Mudança relevante de processo em área que trata dados pessoais
- Incidente de segurança — a auditoria pós-incidente verifica a causa raiz e o estado dos controles
- Notificação ou investigação da ANPD — preparação e resposta
- Novo regulamento ou atualização normativa da ANPD que altere obrigações
Fase 1: Planejamento da auditoria
1.1 Defina o escopo
O escopo delimita o que será auditado. Ele pode ser:
- Abrangente: toda a organização — adequado para o primeiro ciclo ou para auditorias anuais de menor profundidade
- Focalizado em departamento: ex.: apenas o departamento de Marketing ou de RH
- Focalizado em processo: ex.: apenas o processo de atendimento ao cliente, ou o processo de onboarding de colaboradores
- Focalizado em tema: ex.: apenas o estado dos contratos com operadores (DPAs), ou apenas o canal de atendimento a titulares
1.2 Defina os critérios de auditoria
Os critérios são os parâmetros contra os quais o estado atual será avaliado:
- Dispositivos da LGPD (Arts. 5º a 55)
- Resoluções da ANPD aplicáveis (dosimetria, comunicação de incidentes, encarregado, etc.)
- Políticas internas da organização (Política de Privacidade, Política de Segurança da Informação, Política de Retenção)
1.3 Monte a equipe de auditoria
A auditoria interna de privacidade é idealmente conduzida pelo encarregado (DPO) — ou, quando há conflito de interesse ou necessidade de visão externa, por consultores especializados. Em organizações grandes, pode envolver:
- DPO como líder do processo
- Representante da área de Segurança da Informação (TI)
- Representante do Jurídico
- Representantes das áreas auditadas (para coleta de evidências)
1.4 Elabore o plano de auditoria
O plano deve conter:
- Escopo e objetivos
- Critérios aplicáveis
- Métodos de coleta de evidências (entrevistas, análise documental, testes técnicos)
- Cronograma (datas, responsáveis)
- Formato do relatório final
Fase 2: Coleta de evidências
A coleta de evidências é o coração da auditoria. As principais técnicas são:
Análise documental
Verificação de documentos existentes e seu estado de atualização:
| Documento | O que verificar |
|---|---|
| Inventário de dados (ROPA) | Existe? Está atualizado? Cobre todos os departamentos? |
| Política de Privacidade / Aviso de Privacidade | Está publicada? Está atualizada? Reflete as práticas reais? |
| Contratos com operadores (DPAs) | Existem contratos para todos os fornecedores relevantes? Estão vigentes? |
| RIPD | Existe para as atividades de alto risco? |
| Registro de incidentes | Incidentes foram registrados e comunicados quando necessário? |
| Registros de treinamento | Colaboradores foram treinados? Há documentação? |
| Ato de nomeação do encarregado | Existe? O encarregado está publicado no site? |
| Tabela de temporalidade | Existe? É seguida? |
Entrevistas com responsáveis de área
Converse com os responsáveis de cada departamento para verificar o conhecimento prático das obrigações:
- Eles sabem que tratam dados pessoais?
- Conhecem a base legal de cada atividade?
- Sabem o que fazer ao receber uma solicitação de titular?
- Sabem o que fazer ao detectar um incidente de segurança?
Testes técnicos
Em parceria com a equipe de TI, verifique:
- Controles de acesso: quem tem acesso a sistemas com dados pessoais? Os acessos são granulares e seguem o princípio do menor privilégio?
- Logs de auditoria: os sistemas registram quem acessou, modificou ou excluiu dados?
- Criptografia: dados em repouso e em trânsito estão criptografados?
- Gestão de acessos privilegiados: existem controles para contas de administrador?
- Canal do titular: o processo de recebimento e resposta a solicitações de titulares está funcionando?
Fase 3: Análise e classificação das não conformidades
Com as evidências coletadas, classifique cada achado por criticidade:
| Nível | Critério | Exemplo |
|---|---|---|
| Crítico | Violação direta de obrigação legal; risco imediato a titulares | Tratamento de dados sem base legal; ausência de DPO |
| Alto | Controle ausente ou falho; risco elevado | DPAs ausentes para fornecedores críticos; dados sensíveis sem criptografia |
| Médio | Controle existente mas ineficaz ou incompleto | ROPA desatualizado; treinamento realizado mas não documentado |
| Baixo | Oportunidade de melhoria; risco baixo | Nomenclatura inconsistente nos registros; ausência de procedimento formalizado para prática já executada informalmente |
Fase 4: O relatório de auditoria
O relatório é o produto final da auditoria — e deve ser claro, factual e acionável.
Estrutura recomendada do relatório
-
Sumário executivo — visão de uma página para a alta direção: escopo, data, metodologia e conclusão geral sobre o estado de conformidade
-
Escopo e metodologia — descrição detalhada do que foi auditado, quais critérios foram aplicados, quais métodos foram usados e quais limitações existiram
-
Achados por domínio — para cada área auditada, lista de conformidades e não conformidades com:
- Descrição objetiva do achado
- Evidência que o sustenta
- Classificação de criticidade
- Dispositivo legal ou política interna violado (quando aplicável)
-
Tabela de não conformidades e recomendações — consolidação de todos os achados com prioridade e prazo sugerido para correção
-
Conclusão — avaliação geral do estado de maturidade e principais riscos identificados
Exemplo de tabela de não conformidades
| # | Achado | Classificação | Recomendação | Responsável | Prazo |
|---|---|---|---|---|---|
| 1 | Contratos com 3 fornecedores de nuvem sem cláusulas LGPD (DPA) | Alto | Inserir cláusulas de proteção de dados ou substituir contratos | Jurídico + TI | 30 dias |
| 2 | Encarregado nomeado mas sem contato publicado no site | Médio | Publicar dados de contato na página de privacidade | Marketing | 15 dias |
| 3 | ROPA não atualizado para os departamentos de Logística e Suprimentos | Médio | Conduzir mapeamento com representantes de área | DPO + Logística | 45 dias |
| 4 | Funcionários do SAC sem treinamento em LGPD nos últimos 12 meses | Médio | Realizar treinamento e documentar presença | RH + DPO | 60 dias |
| 5 | Logs de acesso ao banco de dados de clientes retidos por apenas 30 dias | Alto | Ajustar política de retenção de logs para 180 dias mínimo | TI | 30 dias |
Fase 5: Acompanhamento das correções
A auditoria não termina com a entrega do relatório. O ciclo só se fecha quando as não conformidades são corrigidas — e verificadas.
Como estruturar o acompanhamento
- Atribua responsáveis e prazos para cada não conformidade — o relatório já deve fazer isso
- Acompanhe periodicamente (quinzenal ou mensal, dependendo da criticidade) o progresso das correções
- Requeira evidência de correção: a afirmação "está feito" não é suficiente — exija documentação (cópia do contrato assinado, print da publicação no site, lista de presença do treinamento)
- Registre o fechamento de cada não conformidade com a evidência da correção
- Escale as críticas que não forem corrigidas no prazo para a alta direção
Domínios de verificação: checklist de auditoria de privacidade
Use este checklist como ponto de partida para estruturar a auditoria:
Governança e responsabilidade
- Encarregado (DPO) nomeado formalmente?
- Dados de contato do encarregado publicados no site?
- Existe programa documentado de proteção de dados (política, procedimentos)?
- A alta direção demonstra comprometimento com a proteção de dados?
Inventário e bases legais
- ROPA (inventário de atividades de tratamento) existe e está atualizado?
- Cada atividade tem base legal identificada e documentada?
- Dados sensíveis estão identificados e recebem tratamento diferenciado?
- Atividades de tratamento baseadas em legítimo interesse têm LIA (avaliação de legítimo interesse) documentada?
Direitos dos titulares
- Canal de atendimento a titulares existe e está acessível?
- Processo interno para resposta a solicitações está definido?
- Respostas são fornecidas dentro do prazo (imediato para confirmação simplificada; até 15 dias para resposta completa, conforme Art. 19)?
- Solicitações de titulares são registradas?
Segurança da informação
- Dados pessoais em repouso estão criptografados?
- Controles de acesso seguem o princípio do menor privilégio?
- Logs de acesso a sistemas com dados pessoais estão habilitados e retidos por prazo adequado?
- Existe processo de revisão periódica de acessos?
- Medidas específicas aplicadas a dados sensíveis?
Fornecedores e operadores
- Todos os fornecedores que tratam dados pessoais em nome da organização estão identificados?
- Contratos (DPAs) existem para todos esses fornecedores?
- Contratos estão vigentes (não vencidos)?
- Há monitoramento periódico do cumprimento pelos fornecedores?
Incidentes
- Processo de resposta a incidentes está documentado?
- Equipe responsável está treinada?
- Incidentes são registrados (inclusive os não comunicados à ANPD)?
- Comunicações à ANPD e aos titulares ocorreram quando necessário e dentro do prazo (3 dias úteis, conforme Resolução CD/ANPD Nº 15/2024)?
Retenção e descarte
- Tabela de temporalidade existe?
- Prazos de retenção refletem as obrigações legais aplicáveis?
- Processo de eliminação segura está definido e documentado?
- Backups estão cobertos pela política de retenção?
Treinamento
- Todos os colaboradores com acesso a dados pessoais receberam treinamento?
- Treinamento foi realizado nos últimos 12 meses?
- Presença e conteúdo estão documentados?
Conclusão
A auditoria interna de privacidade é o mecanismo que transforma intenção em evidência. Sem ela, qualquer afirmação de conformidade é apenas uma crença — não um fato demonstrável.
Mais do que identificar problemas, a auditoria cria o ambiente de melhoria contínua que a LGPD pressupõe. Uma organização que audita regularmente, corrige as não conformidades encontradas e documenta esse ciclo está em posição muito mais sólida perante a ANPD, clientes e o mercado em geral.
A Confidata centraliza os elementos essenciais de um programa de conformidade LGPD — inventário, gestão de riscos, incidentes e titulares — facilitando a preparação e a execução de auditorias internas com evidências estruturadas e auditáveis.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.