Sem auditoria periódica, a empresa acha que está em conformidade — até o incidente provar o contrário. O plano trimestral evita esse autoengano.
Objetivo da auditoria interna LGPD
Verificar se a prática operacional está alinhada ao que foi documentado em políticas, registro de tratamento e rotina de resposta a incidentes.
Estrutura do plano trimestral
- Escopo (processos críticos com dados pessoais)
- Responsáveis (DPO/responsável interno + TI + operação)
- Evidências obrigatórias (logs, políticas, atas, tickets)
- Critério de risco (alto/médio/baixo)
- Plano de ação com prazo e dono
Checklist trimestral (execução em 2 semanas)
Semana 1: diagnóstico
- Validar atualização do ROPA
- Revisar política de retenção e descarte executada
- Checar controle de acesso e MFA em sistemas críticos
- Verificar contratos com operadores e terceiros
Semana 2: correção e fechamento
- Classificar não conformidades por risco
- Executar quick wins de alto impacto
- Registrar plano corretivo com responsáveis
- Emitir relatório executivo da auditoria
Evidências mínimas para manter
- Registro de tratamento atualizado
- Relatório de retenção/descarte trimestral
- Relatórios de incidentes e quase-incidentes
- Atas de revisão com decisões e prazos
Interlink do cluster LGPD
- Matriz de risco LGPD para PMEs
- Registro de tratamento (ROPA)
- Política de retenção e descarte
- Plano de resposta a incidentes
Conclusão
Auditoria interna não é burocracia: é mecanismo de correção contínua. PME que audita trimestralmente reduz surpresa, risco e retrabalho.