Toda empresa que contrata um fornecedor para processar dados pessoais em seu nome está, na prática, ampliando sua superfície de risco. 

O problema é que a maioria das organizações trata esse risco de forma informal, um contrato genérico, sem cláusulas específicas de proteção de dadose nenhum processo de monitoramento contínuo depois que o serviço começa.

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) não aceita essa informalidade. O art. 42 da LGPD estabelece a responsabilidade solidária entre controladores e operadores nos casos de danos causados a titulares. Assim,  significa que, se um fornecedor causar um vazamento, sua empresa responde junto, independentemente de quem tecnicamente originou o incidente.

Os números revelam a dimensão do problema: segundo o relatório IBM Cost of a Data Breach 2025, o comprometimento de fornecedores terceirizados e da cadeia de suprimentos representa 15% das violações no Brasil, com custo médio de R$ 8,98 milhões por incidente, bem acima da média geral de R$ 7,19 milhões. 

Um estudo da Cipher, com dados integrados de IBM, Verizon, DBIR e Sophos, mostra que 22,5% de todas as violações registradas em 2025 envolveram terceiros ou fornecedores, o dobro do observado no ano anterior.

Este guia apresenta o caminho completo: como classificar seus fornecedores por risco, o que verificar no processo de due diligence, o que deve constar num Data Processing Agreement (DPA) e como estruturar o monitoramento contínuo depois da assinatura do contrato.

Controlador e operador: entender os papéis é o ponto de partida

Antes de qualquer processo de gestão de terceiros, a empresa precisa ter clareza sobre os papéis definidos pela LGPD.

O controlador é quem decide o porquê e o como do tratamento de dados: define a finalidade, determina a base legal e assume a responsabilidade primária perante os titulares e a ANPD. O operador é quem processa dados em nome do controlador, seguindo suas instruções.

Na prática, a distinção parece simples, mas gera dúvidas recorrentes. Um escritório de contabilidade que acessa folha de pagamento para calcular tributos é um operador. Uma plataforma de e-mail marketing que dispara campanhas com a base de clientes da empresa também é um operador, como também o provedor de nuvem que armazena os dados do sistema de gestão.

Em todos esses casos, a empresa contratante permanece como controladora e responde pelos tratamentos realizados por esses terceiros.

O art. 39 da LGPD determina que o operador deve tratar os dados pessoais somente conforme as instruções lícitas do controlador.

Mas atenção: o operador que agir fora dessas instruções, ou que não adotar as medidas de segurança exigidas pelo art. 46, passa a responder diretamente pelo dano, inclusive de forma solidária com o controlador.

Base: LGPD, Lei nº 13.709/2018, arts. 5º, 37, 39, 42 e 46.

Um ponto frequentemente negligenciado é o dos suboperadores: quando um fornecedor subcontrata outro para executar parte do serviço, o controlador original continua na cadeia de responsabilidade.

A ANPD já sinalizou que suboperadores não mapeados pelo controlador são uma das irregularidades mais comuns encontradas em fiscalizações de empresas de tecnologia.

Por que a gestão de fornecedores falha na maioria das empresas

O problema não é falta de intenção, é falta de processo. A gestão de fornecedores sob a LGPD falha por razões previsíveis, em que a equipe da Data Guide encontra com frequência nos diagnósticos realizados em empresas de diferentes setores.

A primeira razão é o contrato genérico sem cláusula de dados. A empresa assina um contrato de prestação de serviços que não menciona proteção de dados, não define o escopo do tratamento, não impõe obrigações de segurança e não estabelece o que acontece em caso de incidente, essecontrato não cumpre as exigências da LGPD.

A segunda razão é a ausência de inventário de operadores. A empresa não sabe, com precisão, quais fornecedores acessam dados pessoais dos seus clientes, colaboradores ou usuários. Logo, sem esse inventário, não há como gerenciar o risco.

A terceira razão é o monitoramento inexistente após a contratação. Mesmo quando há um contrato adequado, as obrigações contratadas raramente são verificadas. A empresa assina, arquiva e nunca mais revisa.

A quarta razão é a confusão sobre papéis. Em muitos casos, a empresa nem sabe se é controladora ou operadora na relação com determinado fornecedor, essa confusão impede a correta atribuição de responsabilidades e o desenho das cláusulas contratuais.

Para estruturar um processo funcional, o caminho passa por quatro etapas: inventário e classificação de risco, due diligence pré-contratação, formalização do DPA e monitoramento contínuo.

Etapa 1: Inventário e classificação de risco dos fornecedores

O primeiro passo é construir um inventário de todos os fornecedores que, de alguma forma, acessam, processam, armazenam ou transmitem dados pessoais tratados pela empresa. Esse levantamento deve envolver as áreas de TI, Jurídico, RH, Marketing, Financeiro e Compras.

Para cada fornecedor identificado, a empresa precisa responder a três perguntas básicas:

1. Quais dados pessoais são acessados ou processados por esse fornecedor?
2. Qual a finalidade desse tratamento?
3. Qual o nível de risco que esse fornecedor representa?

A resposta à terceira pergunta define a classificação de risco, que orienta a profundidade do processo de due diligence e a robustez das cláusulas contratuais.

A classificação não é definitiva. Portanto, um fornecedor de nível médio pode se tornar alto risco se o escopo do serviço for ampliado. Além disso, o inventário precisa de revisão periódica, pelo menos uma vez por ano.

Etapa 2: Due diligence antes de contratar

Due diligence de privacidade é a avaliação formal do nível de maturidade do fornecedor em proteção de dados, realizada antes da assinatura do contrato. 

É o equivalente, no contexto da LGPD, da avaliação financeira ou de compliance que muitas empresas já fazem para outros tipos de risco.

O processo de due diligence deve ser proporcional ao nível de risco: para fornecedores de alto risco, exige-se uma avaliação mais profunda; para fornecedores de baixo risco, um questionário simplificado pode ser suficiente.

O que verificar na due diligence de privacidade

Política de privacidade e proteção de dados

O fornecedor tem uma política de privacidade publicada e atualizada? Ela abrange explicitamente o tratamento de dados de terceiros (dados dos seus clientes, por exemplo)?

Encarregado de dados (DPO) 

O fornecedor tem um DPO nomeado e com contato publicado, conforme exige o art. 41, §1º da LGPD e a Resolução CD/ANPD nº 18/2024? A ausência de DPO foi tratada como infração autônoma pela ANPD.

Medidas técnicas de segurança 

Quais controles técnicos o fornecedor adota: criptografia em repouso e em trânsito, controle de acesso baseado em função, autenticação multifator, gestão de vulnerabilidades, backups regulares? Para fornecedores de alto risco, vale solicitar evidências (relatórios de pentest, certificações).

Certificações e auditorias 

O fornecedor possui certificações relevantes como ISO 27001, ISO 27701 ou SOC 2? Passou por uma auditoria de segurança recente? Esses documentos são indicadores objetivos de maturidade.

Histórico de incidentes 

O fornecedor já sofreu incidentes de segurança com dados pessoais? Como foram gerenciados? Quais ações corretivas foram implementadas?

Suboperadores utilizados 

O fornecedor utiliza outros provedores (nuvem, analytics, suporte) que acessam os dados? Esses suboperadores precisam ser identificados e, nos casos de alto risco, aprovados pelo controlador.

Plano de resposta a incidentes 

O fornecedor tem um processo definido para notificar o controlador em caso de incidente, com prazo e canal específicos? A Resolução CD/ANPD nº 15/2024 estabelece o prazo de 3 dias úteis para comunicação inicial à ANPD, e o operador precisa informar o controlador “sem demora injustificada” para que esse prazo seja cumprido.

Para aprofundar os critérios de avaliação técnica de segurança em fornecedores, o artigo gestão de vulnerabilidades: o que é, como funciona e como implementar na prática detalha as práticas que um fornecedor maduro deveria adotar.

Etapa 3: O que deve constar num DPA (Data Processing Agreement)

O Data Processing Agreement é o instrumento contratual que formaliza a relação entre controlador e operador em matéria de proteção de dados.

 Ele pode ser um contrato independente ou um adendo ao contrato principal de prestação de serviços.

A LGPD não usa o termo “DPA” diretamente, mas o art. 37 exige que controladores e operadores mantenham o registro das operações de tratamento de dados, e o art. 39 impõe que o operador trate dados “de acordo com as instruções lícitas do controlador”. O DPA é o documento que materializa essas exigências.

DPA: Cláusulas Obrigatórias

1. Identificação e papéis das partes 

Quem é o controlador, quem é o operador, qual o objeto do tratamento. Sem essa definição, o contrato não cumpre a função de delimitar responsabilidades.

2. Finalidade e escopo do tratamento 

Quais dados pessoais são tratados, para qual finalidade, por quanto tempo, com quais operações (coleta, armazenamento, transmissão, exclusão). O operador não pode tratar dados para finalidades além das aqui descritas.

3. Obrigações de segurança 

Lista das medidas técnicas e administrativas que o operador se compromete a adotar, com referência ao art. 46 da LGPD. 

Quanto mais detalhado esse trecho, mais fácil é exigir cumprimento e demonstrar conformidade para a ANPD em caso de investigação.

4. Prazo de retenção e procedimento de exclusão 

Até quando os dados podem ser mantidos pelo operador e o  que acontece com os dados ao término do contrato: exclusão segura, devolução ao controlador ou portabilidade. 

O prazo e o procedimento precisam estar escritos.

5. Suboperadores: autorização e responsabilidade 

O operador pode ou não contratar suboperadores? Se sim, quais são autorizados? O operador precisa notificar previamente o controlador sobre qualquer novo suboperador? O operador responde pelos suboperadores da mesma forma que responde por si mesmo.

6. Obrigação de notificação de incidentes

Em quanto tempo o operador deve notificar o controlador em caso de incidente de segurança? A referência é “sem demora injustificada”. 

Recomenda-se definir um prazo explícito no contrato, como 24 ou 48 horas da ciência do incidente, para que o controlador possa cumprir o prazo regulatório de 3 dias úteis perante a ANPD.

7. Direitos de auditoria 

O controlador tem o direito de auditar, diretamente ou por terceiro, as práticas de proteção de dados do operador. Esse direito precisa estar previsto contratualmente para ser exercido sem litígio.

8. Transferência internacional de dados 

Se o operador processar dados fora do Brasil, quais salvaguardas se aplicam? A ANPD reconhece cláusulas contratuais padrão e outros mecanismos de transferência internacional. 

Esse trecho é especialmente relevante para fornecedores que usam infraestrutura de nuvem americana ou europeia.

9. Penalidades e responsabilidade

O que acontece se o operador descumprir as obrigações do DPA? A cláusula de responsabilidade não elimina a responsabilidade solidária do controlador perante terceiros, mas garante o direito de regresso.

10. Vigência e rescisão

Prazo do DPA, condições de rescisão e obrigações que sobrevivem ao término do contrato (especialmente as de confidencialidade e exclusão de dados).

Checklist de cláusulas do DPA

[ ] Identificação das partes e definição de papéis (controlador/operador)

[ ] Descrição detalhada dos dados tratados e da finalidade

[ ] Escopo das operações de tratamento autorizadas

[ ] Medidas técnicas e administrativas de segurança exigidas (art. 46 LGPD)

[ ] Prazo de retenção e procedimento de exclusão ao término

[ ] Regras para subcontratação de suboperadores

[ ] Prazo e procedimento para notificação de incidentes ao controlador

[ ] Direito de auditoria pelo controlador ou terceiro designado

[ ] Regras para transferência internacional de dados, se aplicável

[ ] Cláusula de responsabilidade e direito de regresso

[ ] Vigência, rescisão e obrigações remanescentes

Etapa 4: Monitoramento contínuo dos operadores

Assinar o DPA é necessário, mas não suficiente. O monitoramento contínuo é o que transforma um documento contratual em um programa real de gestão de risco de terceiros.

A ANPD verificou, ao longo de suas ações de fiscalização em 2024, que muitas empresas tinham contratos adequados no papel, mas nenhum processo para verificar se as obrigações contratadas estavam sendo cumpridas na prática. Essa lacuna é um risco regulatório e operacional.

Como estruturar o monitoramento

Revisão periódica do inventário de operadores: Uma vez por ano, no mínimo, o inventário de fornecedores precisa ser atualizado. Novos contratos firmados durante o ano precisam ser incluídos. Além disso, contratos encerrados precisam confirmar a exclusão dos dados.

Questionários anuais de reavaliação: Operadores de alto e médio risco devem responder a um questionário anual de reavaliação. Assim, as perguntas verificam se houve mudanças nas práticas de segurança, se novos suboperadores foram contratados e se incidentes ocorreram desde a última avaliação.

Auditorias periódicas para operadores críticos: Para fornecedores que tratam dados sensíveis ou volumes expressivos, o DPA deve prever auditorias formais. Essas auditorias podem ser realizadas pela própria equipe de segurança ou por um terceiro independente. O resultado da auditoria documenta o estado de conformidade do operador em determinado momento.

Gestão de incidentes reportados pelos operadores: O controlador precisa ter um processo para receber, registrar e analisar as notificações de incidentes feitas pelos operadores. Esse processo deve estar integrado ao Plano de Resposta a Incidentes da empresa, já que o prazo de 3 dias úteis para notificar a ANPD começa a contar a partir da ciência do controlador.

Revisão contratual em caso de mudanças materiais: Se o operador mudar seu escopo de serviço, contratar novos suboperadores ou sofrer mudança de controle societário, o DPA precisa ser revisado. Essa obrigação de comunicação de mudanças materiais deve estar prevista no próprio contrato.

Responsabilidade do Controlador por Incidentes do Operador

O art. 42 da LGPD estabelece que o agente de tratamento que “por descumprir a legislação ou que tratar dados pessoais de maneira inadequada ou ilícita que venha a causar dano patrimonial, moral, individual ou coletivo” é obrigado a reparar o dano.

O §1º do mesmo artigo prevê que o operador responde solidariamente quando der causa ao dano por descumprir as obrigações da legislação ou por não observar as instruções do controlador. Na prática, quando o dano é causado por um operador, o controlador tende a aparecer na cadeia de responsabilização, especialmente quando não consegue demonstrar que:

1. Fez due diligence antes de contratar o operador
2. Formalizou um DPA com obrigações claras de segurança
3. Monitorou o cumprimento dessas obrigações ao longo do contrato
4. Agiu dentro do prazo ao ser notificado sobre o incidente

Segundo o art. 48 da LGPD, é o controlador quem tem a obrigação de comunicar à ANPD e ao titular a ocorrência de incidente que possa acarretar risco ou dano relevante. Portanto, o operador deve informar o controlador “sem demora injustificada” para que essa comunicação ocorra dentro do prazo regulatório.

Para empresas que ainda não têm um programa de proteção de dados estruturado, o artigo como estruturar um programa de proteção de dados na sua empresa apresenta o passo a passo completo para essa implementação, incluindo a etapa de gestão de terceiros no contexto do programa mais amplo.

Como a Data Guide apoia a gestão de fornecedores sob a LGPD

Estruturar um processo de gestão de operadores envolve ao mesmo tempo competência jurídica, técnica e operacional. 

A empresa precisa entender a lei, saber o que verificar na due diligence, redigir cláusulas contratuais sólidas e criar um processo de monitoramento sustentável.

A Data Guide atua em todo esse ciclo: mapeamento de operadores, elaboração de DPAs, revisão de contratos existentes, estruturação do processo de due diligence e suporte ao monitoramento contínuo. 

Como parte do serviço de DPO as a Service, o encarregado externo da Data Guide assume também a gestão do relacionamento com os operadores, verificando a adequação das medidas de segurança e coordenando o processo de notificação em casos de incidente.

Se a sua empresa ainda não revisou seus contratos com fornecedores que tratam dados pessoais, o momento certo para fazer isso é antes que um incidente aconteça.

Perguntas Frequentes sobre Gestão de Fornecedores e LGPD

Conclusão

A gestão de fornecedores sob a LGPD não é uma formalidade jurídica. É um processo de negócio que protege a empresa de responsabilidades que podem chegar a R$50 milhões em multa ou 2% do faturamento por infração, além do custo médio de R$7,19 milhões por violação de dados calculado pela IBM para o mercado brasileiro em 2025.

O caminho começa com o inventário dos operadores, passa pela due diligence proporcional ao risco, se concretiza no DPA com cláusulas específicas e se sustenta no monitoramento contínuo. 

Empresas que tratam essa cadeia como processo obtêm também um diferencial competitivo: a conformidade verificável com a LGPD é hoje critério de seleção de fornecedores em contratos B2B, especialmente em setores como financeiro, saúde e tecnologia.

Se sua empresa ainda não tem esse processo estruturado, fale com um especialista da Data Guide e descubra onde estão as lacunas antes que elas se tornem um problema regulatório.