Até 09 Clientes Entre 10 e 50 Clientes Acima de 50 Clientes 2. De qual Região estão a Maioria de seus Clientes? Apenas em 01 Estado Brasileiro Em 02 ou mais Estados brasileiros Todo o Brasil e Exterior 3. Seus clientes são Pessoas Físicas ou Jurídicas? Exclusivamente pessoas jurídicas. Exclusivamente pessoas físicas. Tanto pessoas físicas como jurídicas. 4. Existe um banco de dados específico para cadastro de funcionários/empregados na sua empresa? Sim, temos todos os dados de quem trabalha conosco em arquivo específico. Sim, temos os dados dos colaboradores, mas não em arquivo específico. Não, quando contratamos descartamos todas as informações pessoais junto com os currículos. 5. Como você armazena os dados de funcionários na sua empresa? Arquivos de Papel e Pastas por Funcionário Software de RH Papel + Software de RH 6. Como você faz o controle da quantidade de clientes que possui? Não faz controle de quantidade de clientes. Faz controle de quantidade de clientes por meio de cadastro. Faz controle de quantidade de clientes e mantém sempre atualizado os cadastros. 7. Como seus clientes são cadastrados? Preenchem formulário físico ou virtual. Fornecem cópias de documentos para que a empresa alimente o banco de dados. Conseguem cadastros prontos de empresas parceiras. 8. Quais tipos de informações do seu cliente você considera fundamental obter para desenvolver o seu negócio? Dados básicos de nome, endereço, RG e CPF, estado civil, etc. Dados sensíveis como etnia, convicção religiosa, orientação sexual, etc As duas coisas: dados básicos e sensíveis. 9. Você costuma captar dados (qualificações) dos seus clientes para fins de Marketing? Sim. Além dos dados necessários para a minha prestação de serviços, eu coleto dados complementares. Não. Coleto apenas os dados necessários para a minha prestação de serviços. Eu nunca coleto dados de clientes. 10. Você entende que passar meios de contato do seu cliente para empresas parceiras é uma prática positiva (networking ou similar)? Sim, eu troco informações com empresas parceiras pois pode ser interessante para o meu cliente, por isto considero positivo. De regra eu não passo informações do meu cliente para empresa parceiras, exceto quando há algum evento, programa ou promoção que pode ser de interesse do cliente; por isto considero positivo. Não, eu nunca forneço nenhum contato ou outros dados do meu cliente, ainda que isto possa ser interessante para ele; considero a troca de informações sobre cliente uma prática negativa. 11. Você realiza o tratamento de dados pessoais dos seus clientes? Por tratamento de dados entenda qualquer operação realizada com as informações pessoais de clientes. Sim, já que eu coleto, produzo, recepciono, classifico, utilizo, tenho e/ou confiro acesso, reproduzo, transmito, distribuo, processo, arquivo, armazeno, elimino, avalio, controlo a informação, modifico, comunico, transfiro, difuso, extraio; enfim, pratico tudo isto ou parte disto com as informações dos meus clientes, para melhor atende-lo. Às vezes eu faço todas ou algumas das práticas da alternativa anterior, dentre outros que não estão listados ali; para melhor atender aos meus clientes. Não. Eu tenho informações sobre os meus clientes, mas não realizo tratamento de dados. 12. Durante a realização de suas atividades na empresa, de alguma forma, você realiza o tratamento de dados pessoais sensíveis dos seus clientes? Por dados pessoais sensíveis entenda qualquer referência à etnia, credo, orientação sexual, orientação política, orientação religiosa ou filosófica, saúde, filiação a sindicato, dado genético ou biométrico quando vinculados à pessoa natural (pessoa física). Sim, minha atividade laborativa depende dessas informações para atender ao meu cliente. Às vezes, dependendo da situação eu preciso obter essas informações para melhor atender ao meu cliente. Não. A execução da minha atividade laborativa independe de ter acesso por qualquer meio dos dados sensíveis dos clientes. 13. Durante a realização de suas atividades na empresa, de alguma forma, você realiza o tratamento de dados pessoais de crianças e/ou adolescente? Sim, porque minha prestação de serviços depende dessas informações; ou porque isto complementa o cadastro dos clientes. Às vezes, apesar da minha prestação de serviços não depender dessas informações. Não, porque essas informações são irrelevantes para minha atividade laborativa, então nós nunca as temos. 14. Antes de realizar o tratamento de dados pessoais de crianças é solicitado o consentimento destacado e específico dos pais ou responsável legal acerca daquela atividade? Sim, porque minha prestação de serviços depende dessas informações; ou porque isto complementa o cadastro dos clientes. Às vezes, apesar da minha prestação de serviços não depender dessas informações. Não, porque essas informações são irrelevantes para minha atividade laborativa, então nós nunca as temos. 15. Na sua empresa o tratamento de dados pessoais dos clientes é realizado considerando os parâmetros estabelecidos pela LGPD (Lei Geral de Proteção de Dados)? Sim, porque os clientes têm informações sobre qual a finalidade, adequação, necessidade, transparência, segurança, prevenção, livre acesso, não discriminação, etc; além de saber quem será o responsável por possível vazamento desses dados e, ainda, tem opção de revogar a autorização do tratamento desses dados e solicitar informações a respeito de qualquer dúvida que possa surgir dessa relação. Às vezes, porque nem sempre é possível conferir livre acesso aos clientes sobre seus cadastros e usamos por prazo indeterminado as informações dos nossos bancos de dados, de acordo com a conveniência da empresa. Não, porque apesar de termos uma política transparente na empresa não é possível logisticamente e/ou financeiramente ficar alterando/corrigindo/adequando nossos bancos de dados constantemente. 16. Na sua empresa há uma política de compliance? Por compliance entenda Política Anticorrupção, devendo o tratamento dos dados ser protegido pela política de compliance. Sim, todos os colaboradores estão cientes das práticas necessárias e o compliance funciona. Sim, mas nem todos estão cientes das regras a serem obedecidas pelo sistema de compliance, mas ele funciona na maioria das vezes. Não, não há sistema de compliance, ou há, mas não funciona. 17. O tratamento de dados pessoais pela empresa inclui automatização de qualquer tomada de decisão (RPA), criação de perfis com base nos dados pessoais transferidos (profiling) ou utilização analítica (analytics)? Sim, sempre. Sim, mas nem sempre. Às vezes criamos o perfil dos nossos clientes de forma mecânica e com informações auferida diretamente dele sem nenhum recurso tecnológico. Não, não confiamos nos recursos tecnológicos quando o assunto se refere aos dados dos clientes. 18. Como o consentimento para o tratamento de dados pessoais é obtido pelos clientes da sua empresa? Por escrito, de forma inequívoca e por meio que o cliente entenda o que significa a sua anuência e todas as condições dela. Por escrito, ou outro meio que permita a comprovação da sua obtenção de forma inequívoca e por meio que o cliente entenda o que significa a sua anuência e todas as condições dela. Por meio de opt-in em um checkbox em ambiente de site ou serviço na internet, para agilizar o acesso do cliente e assim favorecê-lo, independente da compreensão do titular acerca do consentimento. 19. Ao obter o consentimento do titular de dados pessoais a empresa deixa de forma clara, precisa, objetiva e inequívoca as razões, finalidades, tempo de uso e necessidade para as quais os dados serão tratados? Sim, sempre. Às vezes, depende do cliente/titular, se ele terá ou não interesse nessas informações. Não. Não é relevante. 20. A empresa faculta ao titular de dados pessoais revogar o consentimento dos tratamentos dos seus dados a qualquer tempo, com ou sem motivo declarado? Sim. É uma regra que seguimos para todos Sim. Não é uma regra, mas possibilitamos sempre que possível. Não. Ou o cliente pode revogar o consentimento mediante justificativa ou a empresa entende que não há razões para não tratar os dados. 21. Além do cadastro para a empresa, esta informa aos titulares de dados que utilizará as informações (tratar os dados) para outros fins, tais como marketing, estatísticas, etc.? Sim. É uma regra que seguimos para todos nossos clientes. Sim. Quando a empresa é questionada sempre informamos aos clientes/titulares. Não. Pedimos o preenchimento dos cadastros de forma automática e quando o titular questiona a razão nos limitamos apenas em informar que é para manter o cadastro junto à empresa. 22. Quando um cliente/titular de dados pessoais não deseja mais que seus dados sejam tratados, a empresa faculta de forma simples a exclusão/indisponibilidade dos mesmos? Sim. A exclusão ocorre de forma rápida, simples e segura para o cliente. Sim. A exclusão ocorre, mas necessita a obediência de alguns critérios da empresa. Não. Não é interessante para a empresa que os clientes sejam incentivados a retirar a autorização de tratamento de dados. Então, quando solicitada a interrupção do tratamento de dados, a empresa cria dificuldades para convencer o cliente a permanecer autorizando. 23. O acesso a dados pessoais de todos os clientes, que são os titulares desses dados, está restrito somente a funcionários autorizados? Sim. Apenas os funcionários de setor específico acessam os dados livremente dos clientes. E esses funcionários são de fácil identificação para o titular dos dados. Não. Qualquer funcionário da empresa está autorizado a acessar dados dos clientes a fim de dinamizar a prestação de serviços. Não. Tanto os funcionários de qualquer setor da empresa, como outros clientes e até empresas parceiras podem acessar o banco de dados dos nossos clientes 24. A empresa possui um site específico ou área destacada em seu próprio site para tratar do tema de dados pessoais, como os canais de comunicação direto dos titulares de dados com a empresa, acesso as Políticas de Privacidade e demais temas relacionados à proteção e privacidade de dados pessoais? Sim. Isto facilita para que todos os clientes saibam com clareza e acessem com facilidade todas as informações que desejarem a respeito do tratamento dos seus dados. Sim. Mas nem todos os clientes podem ter acesso, apenas os clientes mais frequentes. Não. Consideramos desnecessário ter um site específico ou um campo próprio para isto no nosso site, já que os clientes podem telefonar e obter todas as informações que desejar. 25. A empresa condiciona qualquer atividade interativa (como jogos, etc) ao fornecimento de dados pessoais? Ou seja, para que uma pessoa possa usufruir dos meios digitais da empresa ela precisa fornecer informações pessoais? Sim. Isto possibilita alimentar nosso banco de dados. Sim. Solicitamos dados pessoais para conferir acesso a alguns de nossos produtos, mas não para todos. Não. Consideramos desnecessário e nossos clientes podem acessar nossos produtos sem precisar fornecer nenhum dado para ter acesso. 26. A empresa possui uma política periódica para eliminação de dados pessoais, ou promove alguma auditoria interna para revisão de todos os dados pessoais armazenados e a sua necessidade de eliminação? Sim. Consideramos desnecessário manter registros de dados que não são mais interessantes para a empresa ou que, mesmo sendo interessante, excedeu o prazo estipulado com o cliente para o tratamento dos dados. Sim. Mas apenas eliminamos dados daqueles clientes que o solicitem. Não. Não temos pessoal disponível para verificar essa função ou não julgamos ser esta uma prática relevante. 27. Caso algum titular de dados solicite da empresa a eliminação dos seus dados pessoais, a empresa já possui algum procedimento interno para atender a tal solicitação? Sim. Temos profissionais e/ou setor específico para isto. Não. Mas vamos providenciar. Não. Não temos pessoal/estrutura disponível para atender a esta demanda e/ou o custo de terceirizar esse serviço não vale a pena. 28. Após o término pactuado para o tratamento de dados, a empresa utiliza algum procedimento de anonimização sobre esses dados? Sim. A empresa anonimiza os dados pessoais que permanecem em nossos sistemas após o tratamento. Sim. Mas apenas dos titulares que não desejam ser identificados. Não. Mantemos tudo sem alterar nenhuma característica, inclusive anonimizar. 29. Como a empresa faz quando um titular deseja ter acesso aos seus dados pessoais tratados por ela? A empresa possui um procedimento para atender a esse tipo de solicitação e disponibilizar imediato acesso a qualquer titular que desejar. A empresa ainda não possui um procedimento para atender a este tipo de solicitação, mas vamos providenciar. A empresa não atende a este tipo de solicitação. 30. Após a solicitação de acesso pelo titular, a empresa consegue atender a tal solicitação em até um prazo máximo de 15 (quinze) dias? Sim. Temos profissionais e/ou setor específico para isto e/ou temos sistema informatizado para conferir acesso ao titular em período bem menor que este. Talvez. Mas este prazo é muito curto para atender a esse tipo de solicitação e podemos precisar de um prazo maior. Não. É impossível atender a este tipo de demanda dentro deste prazo. 31. A empresa possui capacidade de categorizar os dados pessoais tratados de acordo com os seus respectivos titulares? Sim. Temos profissionais e/ou setor específico para isto. Não, ainda não temos capacidade de categorizar os dados pessoais com seus respectivos titulares. Mas vamos providenciar esse ajuste. Não. Não temos pessoal/estrutura disponível para atender a esta demanda e/ou o custo de terceirizar esse serviço não vale a pena. 32. A empresa consegue indicar para os titulares todos os processos de tratamento de dados pessoais nos quais são utilizadas tecnologias de decisão automatizada? Sim. Temos profissionais e/ou setor específico para isto. Não. Mas vamos providenciar. Não. Não temos pessoal/estrutura disponível para atender a esta demanda e/ou o custo de terceirizar esse serviço não vale a pena. 33. Quando há a necessidade de transferência internacional de dados, a empresa realiza essa operação para países que possuem grau de proteção de dados adequado? Sim. Apenas procedemos a transferência internacional de dados aos países que possuem grau de proteção adequado dos dados transmitidos. Talvez, porque na verdade não temos conhecimento sobre as leis de outros países. Não. A transferência internacional de dados ocorre de acordo com a necessidade e/ou conveniência da empresa a fim de não prejudicar as atividades e faturamentos, independente da legislação ou políticas de outros países, dos quais não temos controle. 34. A empresa mantém registros de operações de tratamento de dados pessoais detalhando todos os seus processos de tratamento de dados pessoais? Sim. Mantemos o registro e detalhamos todos os nossos processos. Sim. Mantemos o registro, mas não detalhamos todos os nossos processos. Não. Não mantemos nenhum registro detalhado de todo o tratamento dos dados pessoais. 35. A empresa mantém um Relatório de Impacto à proteção de dados pessoais para os processos os quais considera de alto risco? Sim. Criamos sempre um Relatório de Impacto em caso de atividades de tratamento de dados pessoais que resultem em alto risco para os titulares. Às vezes criamos um Relatório de Impacto em caso de atividades de alto risco nos tratamentos de dados, isto depende de quem será o titular dos dados na situação. Não. Nunca criamos um Relatório de Impacto à proteção dos dados pessoais. 36. A empresa emprega medidas práticas (controle de acesso, criptografia, modificação de dados, mascaramento de dados, etc.) para assegurar a conformidade com as leis, regulamentos e normas, além de adotar boas práticas de privacidade e proteção de dados pessoais? Sim. A empresa adota variados recursos a fim de dificultar vazamento de dados e afins, conforme estabelecem as leis, normas e regulamento e regimentos; dentre outros. Não. Não sabemos como adotar essas medidas práticas, mas vamos implementar na empresa tão logo seja possível. Não. Na prática não adotamos tais medidas, mas estamos cientes das orientações legais, regulamentares e normativas. 37. A empresa adota o armazenamento de dados por back-up? Sim. Sempre fazemos back-up dos nossos bancos de dados pessoais e o revisamos periodicamente. Sim. Fazemos o back-up dos clientes mais importantes, mas não revisamos periodicamente. Não. Os dados tratados são bem guardados e não entendemos necessário praticar o back-up para não gerar lixo digital. 38. A empresa já adequou suas atividades ao que determina a LGPD? Sim. Imediatamente à vigência da Lei. Quase. Já iniciamos o processo, mas ainda não finalizamos a adequação. Não. Não sabemos e/ou não temos setor/equipe preparada para essa adequação. 39. A empresa já mapeou os seus gaps com relação à LGPD e possui um plano concreto para a implementação dos ajustes necessários para a adequação à Lei? Sim. O processo de mapeamento foi feito e finalizado com sucesso. Quase. Temos um plano para a implementação dos ajustes, mas não sabemos como torná-lo concreto. Não. Precisamos de ajuda para criar o plano e/ou torná-lo concreto. 40. A empresa possui um procedimento periódico de revisão de suas políticas e procedimentos de privacidade e proteção de dados de modo a atender possíveis alterações nas normas relacionadas à proteção de dados (regulamentações da ANPD)? Sim. Temos um procedimento periódico de revisão e estamos aptos a adequar o que for determinado pela Autoridade Nacional sempre que necessário. Sim. Temos um procedimento periódico de revisão, mas não estamos aptos a adequar imediatamente a possíveis solicitações de ajustes. Não. Não possuímos um procedimento periódico de revisão das nossas políticas e procedimentos de privacidade e proteção de dados. 41. A empresa executa testes periódicos de simulação de invasão em seus sistemas de modo a verificar seus níveis de segurança e possíveis falhas? Sim. Sempre realizamos essas simulações e corrigimos imediatamente qualquer vulnerabilidade. Sim. Realizamos constantemente essas simulações, mas nem sempre conseguimos identificar se há ou não vulnerabilidades. Não. Não realizamos nenhum teste de simulação de invasão dos nossos sistemas, ou outra forma de verificação de vulnerabilidade. 42. A empresa realiza treinamento para seus colaboradores a fim de conscientiza-los da necessidade do cuidado com o tratamento de dados dos clientes? Sim. A empresa tem promovido constantes treinamentos a fim de não só orientar, mas manter atualizado o treinamento desses funcionários. Sim. A empresa promove treinamentos, mas muito raramente. Não. A empresa não realiza nenhum tipo de treinamento aos funcionários/colaboradores. 43. A empresa exige de seus funcionários e prestadores de serviços assinem acordos de confidencialidade e segurança de dados, a fim de indicar os termos e condições da empresa para tratamento de dados pessoais? Sim. Todos têm que assinar termos de confidencialidade. Sim. Mas apenas os dirigentes e setores específicos assinam termos de confidencialidade. Não. Não há necessidade de se assinar termos de confidencialidade, já que os colaboradores / prestadores de serviços são altamente confiáveis. 44. A empresa revisa periodicamente os acessos de funcionários e contratados de modo a garantir que o acesso a dados pessoais seja realizado apenas por aqueles que realmente tenham direito de acessá-los? Sim. A empresa revisa periodicamente quem acessa os dados pessoais dos clientes a fim de conferir se apenas a pessoa/setor autorizado os acessa. Sim. A empresa revisa quem acessa os dados pessoais dos clientes, mas não o faz de forma periódica. Não. A empresa orienta quem é o responsável pelo acesso e controle dos dados pessoais de clientes, mas não há uma revisão periódica para saber se há obediência a essa orientação. 45. Caso ocorra um incidente de dados pessoais a empresa possui um procedimento interno para notificar todos os titulares cujos dados pessoais foram comprometidos? Sim. A empresa possui um procedimento interno de rápida comunicação com todos os titulares dos dados por ela tratados, inclusive para comunicar possíveis incidentes. Sim. A empresa possui um procedimento interno para comunicar possíveis incidentes, mas apenas notifica o titular após resolução da situação concreta. Não. A empresa entende que notificar o titular de uma fragilidade pode afetar a confiança com a empresa. Assim, a melhor saída é resolver o problema antes mesmo que o titular tome conhecimento do fato, seja logo após ou em qualquer outro momento. 46. A empresa é capaz de detectar rapidamente incidentes de segurança, tais como acesso não autorizado, destruição, perda, alteração de dados, etc.? Sim. A empresa possui forte aparato tecnológico para justamente cuidar disto. Sim. Sempre que desconfiamos de algo, chamamos equipe especializada para verificar. Não. Porque não temos equipe especializada à disposição para esse fim. 47. A empresa mantém registros de operações de tratamento de dados pessoais detalhando todos os seus processos de tratamento de dados pessoais? Sim. Mantemos o registro e detalhamos todos os nossos processos. Sim. Mantemos o registro, mas não detalhamos todos os nossos processos. Não. Não mantemos nenhum registro detalhado de todo o tratamento dos dados pessoais. 48. Os contratos com terceiros da empresa possuem cláusulas compatíveis com os termos e condições das Leis de Proteção de Dados em vigor?