gdpr-audit-prep
por alirezarezvanigdpr-audit-prep ajuda equipes a testar a prontidão para GDPR com seis perguntas de DPO citando artigos, cobrindo RoPA, base legal, DPIA, transferências, violações, retenção e lacunas de evidências antes de auditorias ou due diligence.
Esta skill recebe 73/100, o que significa que é aceitável para listagem no diretório como um prompt focado em preparação para auditoria de GDPR, oferecendo aos agentes uma estrutura de questionamento mais clara do que um prompt genérico de compliance. Usuários do diretório devem vê-la como um checklist leve, no estilo DPO, para testar a prontidão em GDPR sob pressão, não como um sistema completo de auditoria com modelos, scripts ou referências legais de apoio.
- Gatilho e casos de uso claros: o comando `/cs:gdpr-audit-prep <scope>` está explicitamente ligado a revisões anuais de GDPR, resposta a incidentes, preparação para investigação de DPA e due diligence em aquisições.
- Núcleo operacionalmente útil: a skill se concentra em seis perguntas de DPO com citações de artigos, incluindo RoPA do Artigo 30, base legal do Artigo 6, gatilhos de DPIA e os Artigos 33-34 relacionados a violações.
- Bom apoio para agentes em questionamentos: o formato de perguntas obrigatórias ajuda um agente a apontar lacunas em evidências de conformidade, em vez de gerar comentários genéricos sobre GDPR.
- Não há arquivos de apoio, referências, scripts, modelos ou orientações de instalação; os usuários recebem apenas o fluxo de trabalho em SKILL.md.
- As evidências do repositório indicam pouco detalhe de implementação prática além da abordagem de perguntas em formato de checklist, o que pode não bastar para equipes que precisam de um pacote completo de auditoria de GDPR.
Visão geral da skill gdpr-audit-prep
O que a gdpr-audit-prep faz
gdpr-audit-prep é uma skill de revisão de conformidade para testar a prontidão em GDPR sob pressão, com seis perguntas no estilo DPO e citadas por Artigo. Ela foi criada para fazer um assistente de IA questionar evidências de privacidade, em vez de gerar uma checklist superficial. A função central é simples: antes de uma auditoria, resposta a incidente, interação sobre DPA, DPIA, atualização de RoPA ou revisão de aquisição, use a skill para revelar registros ausentes, alegações frágeis de base legal, transferências não documentadas, regras de retenção desatualizadas e tratamento incompleto de direitos dos titulares.
Melhor uso para equipes de revisão de conformidade
A gdpr-audit-prep skill é mais indicada para líderes de privacidade, equipes de operações jurídicas, profissionais de apoio a DPO, gerentes de segurança/compliance e operadores de startups que estão se preparando para escrutínio de GDPR. Ela é especialmente útil quando você já tem alguns artefatos — RoPA, DPIA, aviso de privacidade, lista de DPA, avaliação de impacto de transferência, cronograma de retenção, registro de incidentes — mas precisa de uma contestação estruturada antes de entregar materiais a advogados, auditores, compradores ou a uma autoridade supervisora.
O que a diferencia de um prompt genérico de GDPR
Um prompt genérico pode resumir obrigações de GDPR. gdpr-audit-prep é mais focada e mais útil para revisão operacional: ela faz perguntas que forçam clareza, vinculadas a Artigos específicos do GDPR, com atenção a registros do Artigo 30, base legal do Artigo 6, gatilhos de DPIA, transferências internacionais, notificação de violação e qualidade das evidências. O valor não está em “fazer GDPR”; está em ajudar a revelar se a posição de conformidade que você declara consegue ser defendida com documentação datada, específica e revisável.
Limites importantes de adoção
Esta skill não substitui aconselhamento jurídico, um DPO nem um programa completo de auditoria de GDPR. Ela também é distribuída como um único SKILL.md, sem scripts, referências ou recursos auxiliares incluídos; portanto, os usuários devem esperar um ativo de workflow baseado em prompt, não um scanner automatizado de evidências. Ela funciona melhor quando você fornece escopo e documentos concretos; é fraca quando você pede para “verificar conformidade com GDPR” sem atividade de tratamento, geografia, lista de fornecedores ou objetivo de auditoria.
Como usar a skill gdpr-audit-prep
Instalação da gdpr-audit-prep e caminho do repositório
Para um workflow de Claude skills, instale a partir do caminho do repositório:
npx skills add alirezarezvani/claude-skills --skill gdpr-audit-prep
A localização upstream é compliance-os/skills/gdpr-audit-prep em alirezarezvani/claude-skills. Comece lendo SKILL.md; não há README.md, rules/, references/, resources/ nem scripts separados para inspecionar nesta skill. Isso torna a instalação simples, mas também significa que seu próprio pacote de evidências e o enquadramento do prompt determinam a maior parte da qualidade da resposta.
Entradas de que a skill precisa antes da revisão
Para um bom gdpr-audit-prep usage, forneça ao assistente um escopo definido e as evidências que você quer que sejam questionadas. Entradas úteis incluem:
- Nome da atividade de tratamento, papel como controlador/processador, países, titulares dos dados e categorias de dados
- Extrato de RoPA com data da última atualização
- Base legal por finalidade, incluindo qualquer avaliação de interesses legítimos
- DPIA ou justificativa para não realizar uma
- Lista de fornecedores/subprocessadores, SCCs, mecanismo de transferência e observações sobre risco de transferência
- Cronograma de retenção e controles de exclusão
- Registro de violações ou contexto de resposta a incidentes
- Aviso de privacidade, procedimento de DSAR e registros de consentimento quando relevantes
Um prompt fraco seria: “Check if we are GDPR compliant.”
Um prompt melhor seria: “Use gdpr-audit-prep for Compliance Review of our EU customer analytics processing. We are controller, use Mixpanel and AWS, process account IDs, usage events, IP addresses, and support metadata. Review the attached RoPA extract, LIA, DPA list, retention schedule, and privacy notice. Identify audit-facing gaps by GDPR Article, evidence needed, and owner-ready remediation questions.”
Workflow prático para prompts completos
Execute a skill antes da reunião formal de revisão, não depois que as decisões já estiverem fechadas. Um workflow útil é:
- Defina o escopo exato: auditoria anual, atualização do Artigo 30, lançamento de alto risco, prontidão para incidente, investigação de DPA ou due diligence de M&A.
- Cole ou anexe os artefatos relevantes, em vez de pedir respostas “de memória”.
- Peça que a skill responda a cada pergunta de pressão no estilo DPO com:
finding,GDPR Article,evidence seen,evidence missing,riskenext action. - Separe fatos de suposições. Se o modelo inferir algo, exija que ele rotule a inferência.
- Converta a primeira resposta em um tracker de remediação com responsável, prazo, link da evidência e status de auditoria.
Dicas que melhoram a qualidade da resposta
Peça uma revisão adversarial, não uma validação tranquilizadora. Frases como “challenge our evidence”, “act as a DPO before supervisory authority engagement” e “do not accept undocumented claims” geralmente produzem resultados melhores do que “summarize compliance”. Se você tiver várias atividades de tratamento, execute gdpr-audit-prep separadamente para cada uma; base do Artigo 6, retenção, transferências e lógica de DPIA costumam variar conforme a finalidade.
FAQ da skill gdpr-audit-prep
A gdpr-audit-prep é adequada para iniciantes?
Sim, desde que a pessoa iniciante tenha acesso a documentos reais de privacidade e entenda a atividade de tratamento. A estrutura de seis perguntas da skill torna a revisão de GDPR mais fácil de iniciar, mas ela não ensina todos os conceitos de GDPR do zero. Iniciantes devem combinar a saída com revisão jurídica ou de um profissional de privacidade antes de fazer declarações externas.
Quando eu não devo usar a gdpr-audit-prep?
Não a use como única autoridade para interpretação jurídica, correspondência com reguladores, decisões de notificação de violação ou aprovação final de DPIA. Ela também não é adequada para desenho amplo de programa de privacidade, implementação de banner de cookies, revisões apenas de CCPA ou varredura automatizada de base de código. Use-a quando a tarefa for preparação para auditoria de GDPR e questionamento de evidências.
Como isso é diferente de uma checklist de privacidade?
Uma checklist pergunta se um item existe. A abordagem do gdpr-audit-prep guide pergunta se o item é defensável: datado, alinhado a Artigos, vinculado a uma finalidade específica de tratamento e sustentado por registros. Essa distinção importa porque muitas falhas em auditorias de GDPR não são ausência total de documentos; são RoPAs desatualizados, bases legais misturadas, alegações de interesse legítimo sem suporte ou transferências transfronteiriças não documentadas.
Funciona para processadores e controladores?
Sim, mas você precisa dizer qual papel se aplica. Os requisitos do Artigo 30 diferem para controladores e processadores, e as evidências esperadas para contratos, subprocessadores, instruções e arranjos de controladoria conjunta mudam de forma relevante. Se sua organização atua nos dois papéis, separe a revisão por relação de tratamento.
Como melhorar a skill gdpr-audit-prep
Melhore a gdpr-audit-prep com pacotes de evidências melhores
A forma mais rápida de melhorar os resultados de gdpr-audit-prep é fornecer um pacote de evidências antes de pedir conclusões. Inclua nomes de arquivos, datas, donos dos documentos e lacunas conhecidas. Por exemplo: “RoPA updated 2024-11-02, LIA draft missing balancing test, SCCs signed with vendor but no TIA, retention rule says 24 months but deletion job not evidenced.” Isso ajuda o assistente a distinguir achados de auditoria de contexto ausente.
Fique atento a modos comuns de falha
O principal modo de falha é aceitar linguagem vaga de conformidade. Questione respostas que dizem “ensure appropriate measures” sem nomear o registro, Artigo, controle ou prova ausente. Outra falha é agrupar finalidades diferentes; um único workflow de produto pode envolver criação de conta, cobrança, analytics, prevenção a fraude e suporte, cada um com base legal e lógica de retenção diferentes.
Itere das perguntas para a remediação
Depois da primeira execução, peça uma segunda rodada que converta os achados em um plano de ação. Um bom prompt de acompanhamento é: “Turn the unresolved gdpr-audit-prep findings into a remediation table with priority, GDPR Article, required evidence, accountable team, suggested due date, and what would satisfy an auditor.” Isso torna a skill mais operacional para revisão de conformidade.
Adicione contexto de políticas locais antes do uso final
Para uso em produção, adapte a skill ao apetite de risco e aos padrões documentais da sua organização. Adicione seu template de RoPA, regras de limiar para DPIA, política de escalonamento de incidentes, critérios de revisão de fornecedores, método de avaliação de transferências e taxonomia de retenção. A skill fica mais confiável quando revisa contra o seu modelo operacional real de conformidade, em vez de expectativas genéricas de GDPR.
