A due diligence de fornecedores costuma parar exatamente onde o risco real começa.A empresa pede a certidão negativa, confere o CNAE, dá uma olhada no balanço e marca o parceiro como “aprovado”. Nenhum desses documentos, porém, responde à pergunta que mais importa: esse fornecedor sabe proteger os dados que vai receber da minha operação?
Essa lacuna tem custo. O Relatório de Investigações de Violações de Dados da Verizon (DBIR 2025) mostrou que a participação de terceiros nas violações dobrou em um ano, saltando de 15% para 30% dos casos. Ou seja: a cada três incidentes, um passa por um fornecedor. Quando o parceiro trata dados pessoais dos seus clientes ou colaboradores, a falha dele vira problema jurídico e reputacional seu.
Este artigo mostra por que a análise tradicional de fornecedores deixa pontos cegos perigosos, o que a LGPD cobra de quem contrata e um checklist prático para avaliar fornecedores críticos antes de assinar o contrato.
Por que a certidão negativa e o CNAE não bastam
A homologação clássica de fornecedores nasceu para responder às perguntas comerciais e fiscais: a empresa existe? Está regular? Tem dívidas? Essas verificações continuam necessárias, mas foram desenhadas para um mundo em que o maior risco de um fornecedor era não entregar o serviço. Hoje o maior risco é o que ele faz com o seu dado.
A certidão negativa comprova regularidade fiscal e trabalhista em uma data específica. Ela não diz nada sobre criptografia, controle de acesso ou histórico de vazamentos. O CNAE descreve a atividade econômica declarada, não a maturidade de segurança de quem a exerce. Uma software house com CNAE impecável pode rodar sem autenticação multifator e sem política de backup.
O quadro abaixo resume o que cada verificação entrega e, principalmente, o que ela deixa escapar.

Tabela 1 — Verificações tradicionais capturam risco comercial, mas não o risco de dados, que hoje é o mais oneroso.
O recado é direto: aprovar um fornecedor apenas com base nesses documentos é avaliar metade do risco e ignorar a metade que gera multa.
O que a LGPD cobra de quem contrata
Aqui a conversa deixa de ser boa prática e vira obrigação legal. A LGPD separa dois papéis: o controlador, que decide sobre o tratamento (normalmente a sua empresa), e o operador, que trata os dados em nome do controlador (o fornecedor de folha, o CRM, a nuvem, a agência).
O artigo 42 da LGPD estabelece que o agente de tratamento que causar dano a um titular é obrigado a repará-lo. E o artigo 43 fixa as raras hipóteses de exclusão dessa responsabilidade. Na prática, isso desenha um cenário de responsabilidade solidária: se o seu operador vazar dados por falha de segurança, você responde junto perante a ANPD e os titulares. As sanções chegam a 2% do faturamento, limitadas a R$ 50 milhões por infração.
💡 30% das violações de dados em 2025 envolveram um terceiro ou fornecedor, isso representa o dobro do ano anterior.
Fonte: Verizon DBIR 2025
Existe ainda um dever ativo. O artigo 50 trata de boas práticas e governança e menciona “monitoramento contínuo e avaliações periódicas”.
Traduzindo: escolher bem o fornecedor não encerra a obrigação. É preciso demonstrar que você avaliou o parceiro antes e que o acompanha depois. A norma ISO 27701 reforça essa lógica ao exigir gestão formal de terceiros dentro do programa de privacidade.
Vale entender também o que a lei cobra do outro lado da relação. O operador tem deveres próprios: seguir as instruções do controlador, firmar contrato que delimite sua atividade e comunicar quando contratar um subcontratado. Quando o operador ignora essas instruções e passa a decidir por conta própria o que fazer com os dados, ele se equipara ao controlador e assume a responsabilidade correspondente. Saber onde termina a sua responsabilidade e começa a do fornecedor é o que permite negociar cláusulas contratuais justas, em vez de assinar um modelo genérico que não protege ninguém.
Essa diligência comprovável é o que separa a empresa que “confiava no fornecedor” da empresa que pode provar, em uma auditoria, que agiu com cuidado. É o mesmo raciocínio que aparece quando se estrutura um programa sério de governança de dados na empresa.
O custo real de um fornecedor mal avaliado
O risco de terceiros não é caro só pela multa. Ele é caro porque demora a ser descoberto e porque contamina a confiança do mercado na sua marca.
Os números do relatório Cost of a Data Breach 2025, da IBM, ajudam a dimensionar. As violações originadas em comprometimento da cadeia de suprimentos foram as que mais demoraram a ser identificadas e contidas: 267 dias em média, o pior tempo entre todos os vetores de ataque. A explicação é simples. Esse tipo de incidente explora a relação de confiança entre a empresa e o fornecedor, justamente o ponto que as ferramentas de segurança costumam vigiar menos.
Quanto mais tempo um vazamento passa despercebido, maior o volume de dados exposto e mais alta a conta final. E a conta não se resume ao caixa. Quando um parceiro falha, o mercado e os reguladores não param para separar responsabilidades: a associação com a marca contratante é imediata. Investidores recuam, clientes migram e anos de reputação podem ruir em poucos dias.
Há também o efeito cascata das “quartas partes”, os fornecedores dos seus fornecedores. Um dado que você entrega ao operador pode seguir para um suboperador que você nunca avaliou. Por isso a LGPD exige que o operador comunique a contratação de subcontratados, e por isso o contrato precisa endereçar essa cadeia, e não apenas o parceiro direto.
O checklist de due diligence de fornecedores críticos
Um bom checklist não vira uma pilha de perguntas soltas. Ele organiza a avaliação por dimensão de risco e exige evidência, não autodeclaração. Frameworks como a ISO 27036 e o NIST SP 800-161 sustentam essa estrutura em quatro frentes: segurança, privacidade, contrato e continuidade.
O fluxo abaixo mostra como a avaliação avança da triagem inicial até a decisão de contratar.

Figura 1 — O fornecedor crítico só chega ao contrato depois de comprovar maturidade; o risco alto não bloqueia, mas condiciona.
Na prática, o checklist para um fornecedor crítico deve cobrir:
- Segurança da informação: possui certificação ISO 27001 vigente? Usa autenticação multifator, criptografia e controle de acesso por perfil? Já passou por teste de intrusão (pentest) recente?
- Privacidade e LGPD: tem encarregado (DPO) indicado? Mantém registro das operações de tratamento? Sabe responder a solicitações de titulares?
- Histórico de incidentes: sofreu vazamento nos últimos 24 meses? Como comunicou e conteve o caso? Aprender a ler esse histórico é parte de saber prevenir vazamento de dados na empresa.
- Contrato: há cláusula de notificação de incidente em prazo definido (24h a 48h), direito de auditoria e cláusula de regresso?
- Continuidade: existe plano de backup, recuperação e continuidade caso o fornecedor sofra uma parada?
A regra de ouro: peça evidência. Uma resposta “sim, temos MFA” só vale acompanhada do documento ou da demonstração. Autodeclaração sem prova é o que transforma questionário em teatro.
Como classificar fornecedores por criticidade
Aplicar o checklist completo em todos os fornecedores é inviável e desnecessário. O fornecedor de café não merece o mesmo escrutínio da empresa que hospeda seu banco de dados. A saída é classificar por criticidade, combinando o volume e a sensibilidade dos dados acessados com o impacto de uma eventual falha.

Tabela 2 — A matriz de criticidade direciona esforço para onde o risco é maior, sem travar a operação.
Essa segmentação também resolve um problema comum de escala. Empresas com centenas de fornecedores não conseguem auditar todos com a mesma intensidade, mas conseguem garantir que os poucos parceiros de alto impacto passem por uma análise à altura. É a diferença entre uma gestão de riscos de terceiros que funciona no papel e uma que funciona na prática.
Um detalhe que decide o sucesso do processo: definir quem é dono dele. A due diligence de fornecedores não pertence a uma área só. Compras traz a lista de contratos ativos, TI mapeia integrações e acessos concedidos, o jurídico valida as obrigações contratuais e a segurança da informação classifica o risco. Sem essa integração, o questionário vira um documento que ninguém lê e o monitoramento contínuo simplesmente não acontece. Atribuir responsáveis claros para cada etapa é o que mantém a avaliação viva depois que o contrato é assinado.
Como a Data Guide estrutura a gestão de terceiros
Montar esse processo do zero exige tempo, conhecimento técnico e jurídico. A Data Guide estrutura a homologação de fornecedores como parte do programa de privacidade do cliente: define a matriz de criticidade, monta os questionários com base em ISO 27036, ISO 27701 e NIST, valida evidências e desenha as cláusulas contratuais que protegem a empresa contratante.
Esse trabalho ganha ainda mais peso quando a própria empresa é fornecedora de grandes contas. Cada vez mais, o cliente corporativo envia questionários de segurança antes de fechar contrato, e responder bem a eles depende de ter a casa em ordem, incluindo a forma como você mesmo avalia os seus fornecedores. Um programa de terceiros bem montado deixa de ser exigência regulatória e vira argumento comercial na hora de vender para empresas maduras.
O objetivo não é só carimbar fornecedores como aprovados. É deixar a empresa com uma trilha de diligência comprovável, pronta para responder a auditorias, questionários de clientes e eventuais questionamentos da ANPD. Quando a operação depende de dados de terceiros, essa camada de governança deixa de ser custo e vira proteção patrimonial. Para quem ainda não tem um encarregado interno, o DPO as a Service costuma ser o ponto de partida dessa estrutura.
Perguntas Frequentes sobre due diligence de fornecedores
Due diligence de fornecedores é o processo de investigar e avaliar um parceiro antes da contratação para medir os riscos que ele traz. Vai além da análise comercial e fiscal: examina práticas de segurança da informação, conformidade com a LGPD e histórico de incidentes. O objetivo é evitar que a falha de um terceiro se transforme em prejuízo jurídico e reputacional para quem contrata
Não. A certidão negativa comprova apenas regularidade fiscal e trabalhista em uma data específica. Ela não avalia como o fornecedor protege dados, se possui controle de acesso ou se já sofreu vazamentos. Para fornecedores que tratam dados pessoais ou acessam sistemas críticos, é preciso somar uma due diligence de privacidade e segurança à verificação documental tradicional.
De forma indireta, sim. A LGPD prevê responsabilidade solidária entre controlador e operador (artigos 42 e 43) e exige monitoramento contínuo no artigo 50. Se um fornecedor vazar dados, a empresa contratante pode responder junto perante a ANPD. Avaliar e monitorar terceiros é a forma de demonstrar diligência e reduzir essa exposição.
Não, e nem seria viável. O ideal é classificar fornecedores por criticidade, considerando o volume e a sensibilidade dos dados acessados e o impacto de uma falha. Fornecedores críticos passam por due diligence completa e monitoramento contínuo; os de baixo risco recebem homologação comercial com cláusula padrão de proteção de dados
A due diligence não é evento único. Fornecedores críticos devem ser reavaliados ao menos uma vez por ano, e a qualquer momento diante de eventos relevantes, como um incidente de segurança, mudança societária ou alteração no serviço prestado. O monitoramento contínuo entre as reavaliações é o que fecha a lacuna deixada por questionários pontuais.
Conclusão
Aprovar fornecedor crítico só com certidão negativa e CNAE é medir a metade barata do risco e ignorar a metade cara. Com 30% das violações de dados passando por terceiros e multas de até R$ 50 milhões previstas na LGPD, a due diligence de fornecedores deixou de ser burocracia de compras e virou proteção do patrimônio.
Se a sua empresa depende de fornecedores que acessam dados de clientes ou colaboradores e ainda não tem um processo de avaliação estruturado, esse é o ponto para começar. A Data Guide ajuda a montar a matriz de criticidade, os questionários e as cláusulas que blindam sua operação. Fale com um especialista e transforme a gestão de terceiros em vantagem competitiva.