As legislações e as normativas relacionadas à proteção e à privacidade de dados apresentam os requisitos a que organizações, processos, produtos e ambientes precisam atender para serem considerados seguros. Dentre os requisitos preconizados, destacam-se os de “Responsabilização” e “Conformidade com a privacidade”, os quais definem que as organizações devem ser responsáveis e capazes de demonstrar conformidade com as leis e as normas vigentes. Além do desafio de implementar tais requisitos, é necessário adotar processos sistematizados que comprovem como e em quais evidências esses requisitos são validados. Este artigo apresenta um modelo denominado COM.PRIVACY para gerenciar evidências de proteção e privacidade de dados e para demonstrar diligência e conformidade com normativas de boas práticas. Foi utilizado o Design Science Research como método de pesquisa para a proposição do modelo. Para a sua validação, o COM.PRIVACY foi aplicado em uma organização que possibilitou a observação e a identificação de melhorias durante a sua utilização, sendo a sua avaliação feita por um grupo de especialistas. Concluiu-se que o modelo apoia a validação e a comprovação de conformidade com requisitos de proteção e privacidade de dados em todas as operações de tratamento de dados, podendo ser adotado tanto na atividade de adequação e implementação das normativas, no processo de aferição e verificação de conformidade com essas normas, assim como na promoção da transparência do tratamento de dados aos seus titulares.

The legislation and regulations related to data protection and privacy present the requirements that organizations, processes, products, and environments need to meet to be considered secure. Among the recommended requirements, the “Accountability” and “Privacy Compliance” requirements stand out, which define that organizations must be responsible and able to demonstrate compliance with current laws and regulations. In addition to the challenge of implementing such requirements, it is necessary to adopt systematized processes that prove how and on what evidence these requirements are validated. This article presents a model called COM.PRIVACY to manage evidence of data protection and privacy to demonstrate diligence and compliance with good practice regulations. Design Science Research (DSR) was used as a research method for proposing the model. For its validation, COM.PRIVACY was applied in an organization that made it possible to observe and identify improvements during its use, in addition to submitting a questionnaire to specialists to evaluate the model. It was concluded that the model supports the validation and proof of compliance with data protection and privacy requirements in all data processing operations, and can be adopted both in the activity of adequacy and implementation of regulations, in the process of measurement and verification compliance with them, as well as to promote transparency in the processing of data to their holders.