Página inicial / Data Guide / Due diligence de fornecedores críticos: o checklist que vai além da certidão negativa e do CNAE

Due diligence de fornecedores críticos: o checklist que vai além da certidão negativa e do CNAE

A due diligence de fornecedores costuma parar exatamente onde o risco real começa.A empresa pede a certidão negativa, confere o CNAE, dá uma olhada no balanço e marca o parceiro como “aprovado”. Nenhum desses documentos, porém, responde à pergunta que mais importa: esse fornecedor sabe proteger os dados que vai receber da minha operação?

Essa lacuna tem custo. O Relatório de Investigações de Violações de Dados da Verizon (DBIR 2025) mostrou que a participação de terceiros nas violações dobrou em um ano, saltando de 15% para 30% dos casos. Ou seja: a cada três incidentes, um passa por um fornecedor. Quando o parceiro trata dados pessoais dos seus clientes ou colaboradores, a falha dele vira problema jurídico e reputacional seu.

Este artigo mostra por que a análise tradicional de fornecedores deixa pontos cegos perigosos, o que a LGPD cobra de quem contrata e um checklist prático para avaliar fornecedores críticos antes de assinar o contrato.

Por que a certidão negativa e o CNAE não bastam

A homologação clássica de fornecedores nasceu para responder às perguntas comerciais e fiscais: a empresa existe? Está regular? Tem dívidas? Essas verificações continuam necessárias, mas foram desenhadas para um mundo em que o maior risco de um fornecedor era não entregar o serviço. Hoje o maior risco é o que ele faz com o seu dado.

A certidão negativa comprova regularidade fiscal e trabalhista em uma data específica. Ela não diz nada sobre criptografia, controle de acesso ou histórico de vazamentos. O CNAE descreve a atividade econômica declarada, não a maturidade de segurança de quem a exerce. Uma software house com CNAE impecável pode rodar sem autenticação multifator e sem política de backup.

O quadro abaixo resume o que cada verificação entrega e, principalmente, o que ela deixa escapar.

Tabela 1 — Verificações tradicionais capturam risco comercial, mas não o risco de dados, que hoje é o mais oneroso.

O recado é direto: aprovar um fornecedor apenas com base nesses documentos é avaliar metade do risco e ignorar a metade que gera multa.

O que a LGPD cobra de quem contrata

Aqui a conversa deixa de ser boa prática e vira obrigação legal. A LGPD separa dois papéis: o controlador, que decide sobre o tratamento (normalmente a sua empresa), e o operador, que trata os dados em nome do controlador (o fornecedor de folha, o CRM, a nuvem, a agência).

O artigo 42 da LGPD estabelece que o agente de tratamento que causar dano a um titular é obrigado a repará-lo. E o artigo 43 fixa as raras hipóteses de exclusão dessa responsabilidade. Na prática, isso desenha um cenário de responsabilidade solidária: se o seu operador vazar dados por falha de segurança, você responde junto perante a ANPD e os titulares. As sanções chegam a 2% do faturamento, limitadas a R$ 50 milhões por infração.

💡 30% das violações de dados em 2025 envolveram um terceiro ou fornecedor, isso representa o dobro do ano anterior.

Fonte: Verizon DBIR 2025

Existe ainda um dever ativo. O artigo 50 trata de boas práticas e governança e menciona “monitoramento contínuo e avaliações periódicas”.

Traduzindo: escolher bem o fornecedor não encerra a obrigação. É preciso demonstrar que você avaliou o parceiro antes e que o acompanha depois. A norma ISO 27701 reforça essa lógica ao exigir gestão formal de terceiros dentro do programa de privacidade.

Vale entender também o que a lei cobra do outro lado da relação. O operador tem deveres próprios: seguir as instruções do controlador, firmar contrato que delimite sua atividade e comunicar quando contratar um subcontratado. Quando o operador ignora essas instruções e passa a decidir por conta própria o que fazer com os dados, ele se equipara ao controlador e assume a responsabilidade correspondente. Saber onde termina a sua responsabilidade e começa a do fornecedor é o que permite negociar cláusulas contratuais justas, em vez de assinar um modelo genérico que não protege ninguém.

Essa diligência comprovável é o que separa a empresa que “confiava no fornecedor” da empresa que pode provar, em uma auditoria, que agiu com cuidado. É o mesmo raciocínio que aparece quando se estrutura um programa sério de governança de dados na empresa.

O custo real de um fornecedor mal avaliado

O risco de terceiros não é caro só pela multa. Ele é caro porque demora a ser descoberto e porque contamina a confiança do mercado na sua marca.

Os números do relatório Cost of a Data Breach 2025, da IBM, ajudam a dimensionar. As violações originadas em comprometimento da cadeia de suprimentos foram as que mais demoraram a ser identificadas e contidas: 267 dias em média, o pior tempo entre todos os vetores de ataque. A explicação é simples. Esse tipo de incidente explora a relação de confiança entre a empresa e o fornecedor, justamente o ponto que as ferramentas de segurança costumam vigiar menos.

Quanto mais tempo um vazamento passa despercebido, maior o volume de dados exposto e mais alta a conta final. E a conta não se resume ao caixa. Quando um parceiro falha, o mercado e os reguladores não param para separar responsabilidades: a associação com a marca contratante é imediata. Investidores recuam, clientes migram e anos de reputação podem ruir em poucos dias.

Há também o efeito cascata das “quartas partes”, os fornecedores dos seus fornecedores. Um dado que você entrega ao operador pode seguir para um suboperador que você nunca avaliou. Por isso a LGPD exige que o operador comunique a contratação de subcontratados, e por isso o contrato precisa endereçar essa cadeia, e não apenas o parceiro direto.

O checklist de due diligence de fornecedores críticos

Um bom checklist não vira uma pilha de perguntas soltas. Ele organiza a avaliação por dimensão de risco e exige evidência, não autodeclaração. Frameworks como a ISO 27036 e o NIST SP 800-161 sustentam essa estrutura em quatro frentes: segurança, privacidade, contrato e continuidade.

O fluxo abaixo mostra como a avaliação avança da triagem inicial até a decisão de contratar.

Figura 1 — O fornecedor crítico só chega ao contrato depois de comprovar maturidade; o risco alto não bloqueia, mas condiciona.

Na prática, o checklist para um fornecedor crítico deve cobrir:

  • Segurança da informação: possui certificação ISO 27001 vigente? Usa autenticação multifator, criptografia e controle de acesso por perfil? Já passou por teste de intrusão (pentest) recente?
  • Privacidade e LGPD: tem encarregado (DPO) indicado? Mantém registro das operações de tratamento? Sabe responder a solicitações de titulares?
  • Histórico de incidentes: sofreu vazamento nos últimos 24 meses? Como comunicou e conteve o caso? Aprender a ler esse histórico é parte de saber prevenir vazamento de dados na empresa.
  • Contrato: há cláusula de notificação de incidente em prazo definido (24h a 48h), direito de auditoria e cláusula de regresso?
  • Continuidade: existe plano de backup, recuperação e continuidade caso o fornecedor sofra uma parada?

A regra de ouro: peça evidência. Uma resposta “sim, temos MFA” só vale acompanhada do documento ou da demonstração. Autodeclaração sem prova é o que transforma questionário em teatro.

Como classificar fornecedores por criticidade

Aplicar o checklist completo em todos os fornecedores é inviável e desnecessário. O fornecedor de café não merece o mesmo escrutínio da empresa que hospeda seu banco de dados. A saída é classificar por criticidade, combinando o volume e a sensibilidade dos dados acessados com o impacto de uma eventual falha.

Tabela 2 — A matriz de criticidade direciona esforço para onde o risco é maior, sem travar a operação.

Essa segmentação também resolve um problema comum de escala. Empresas com centenas de fornecedores não conseguem auditar todos com a mesma intensidade, mas conseguem garantir que os poucos parceiros de alto impacto passem por uma análise à altura. É a diferença entre uma gestão de riscos de terceiros que funciona no papel e uma que funciona na prática.

Um detalhe que decide o sucesso do processo: definir quem é dono dele. A due diligence de fornecedores não pertence a uma área só. Compras traz a lista de contratos ativos, TI mapeia integrações e acessos concedidos, o jurídico valida as obrigações contratuais e a segurança da informação classifica o risco. Sem essa integração, o questionário vira um documento que ninguém lê e o monitoramento contínuo simplesmente não acontece. Atribuir responsáveis claros para cada etapa é o que mantém a avaliação viva depois que o contrato é assinado.

Como a Data Guide estrutura a gestão de terceiros

Montar esse processo do zero exige tempo, conhecimento técnico e jurídico. A Data Guide estrutura a homologação de fornecedores como parte do programa de privacidade do cliente: define a matriz de criticidade, monta os questionários com base em ISO 27036, ISO 27701 e NIST, valida evidências e desenha as cláusulas contratuais que protegem a empresa contratante.

Esse trabalho ganha ainda mais peso quando a própria empresa é fornecedora de grandes contas. Cada vez mais, o cliente corporativo envia questionários de segurança antes de fechar contrato, e responder bem a eles depende de ter a casa em ordem, incluindo a forma como você mesmo avalia os seus fornecedores. Um programa de terceiros bem montado deixa de ser exigência regulatória e vira argumento comercial na hora de vender para empresas maduras.

O objetivo não é só carimbar fornecedores como aprovados. É deixar a empresa com uma trilha de diligência comprovável, pronta para responder a auditorias, questionários de clientes e eventuais questionamentos da ANPD. Quando a operação depende de dados de terceiros, essa camada de governança deixa de ser custo e vira proteção patrimonial. Para quem ainda não tem um encarregado interno, o DPO as a Service costuma ser o ponto de partida dessa estrutura.

Perguntas Frequentes sobre due diligence de fornecedores

Due diligence de fornecedores é o processo de investigar e avaliar um parceiro antes da contratação para medir os riscos que ele traz. Vai além da análise comercial e fiscal: examina práticas de segurança da informação, conformidade com a LGPD e histórico de incidentes. O objetivo é evitar que a falha de um terceiro se transforme em prejuízo jurídico e reputacional para quem contrata

Não. A certidão negativa comprova apenas regularidade fiscal e trabalhista em uma data específica. Ela não avalia como o fornecedor protege dados, se possui controle de acesso ou se já sofreu vazamentos. Para fornecedores que tratam dados pessoais ou acessam sistemas críticos, é preciso somar uma due diligence de privacidade e segurança à verificação documental tradicional.

De forma indireta, sim. A LGPD prevê responsabilidade solidária entre controlador e operador (artigos 42 e 43) e exige monitoramento contínuo no artigo 50. Se um fornecedor vazar dados, a empresa contratante pode responder junto perante a ANPD. Avaliar e monitorar terceiros é a forma de demonstrar diligência e reduzir essa exposição.

Não, e nem seria viável. O ideal é classificar fornecedores por criticidade, considerando o volume e a sensibilidade dos dados acessados e o impacto de uma falha. Fornecedores críticos passam por due diligence completa e monitoramento contínuo; os de baixo risco recebem homologação comercial com cláusula padrão de proteção de dados

A due diligence não é evento único. Fornecedores críticos devem ser reavaliados ao menos uma vez por ano, e a qualquer momento diante de eventos relevantes, como um incidente de segurança, mudança societária ou alteração no serviço prestado. O monitoramento contínuo entre as reavaliações é o que fecha a lacuna deixada por questionários pontuais.

Conclusão

Aprovar fornecedor crítico só com certidão negativa e CNAE é medir a metade barata do risco e ignorar a metade cara. Com 30% das violações de dados passando por terceiros e multas de até R$ 50 milhões previstas na LGPD, a due diligence de fornecedores deixou de ser burocracia de compras e virou proteção do patrimônio.

Se a sua empresa depende de fornecedores que acessam dados de clientes ou colaboradores e ainda não tem um processo de avaliação estruturado, esse é o ponto para começar. A Data Guide ajuda a montar a matriz de criticidade, os questionários e as cláusulas que blindam sua operação. Fale com um especialista e transforme a gestão de terceiros em vantagem competitiva.

capa-blog
capa-blog

Due diligence de fornecedores críticos: o checklist que vai além da certidão negativa e do CNAE

A due diligence de fornecedores costuma parar exatamente onde o risco real começa.A empresa pede a certidão negativa, confere o CNAE, dá uma olhada...

Leia mais
author-avatar
Escrito por Igor Pacheco
  • julho 9, 2026
capa-blog

RIPD passo a passo: como conduzir uma Avaliação de Impacto à Proteção de Dados na sua empresa

Muitas empresas concluem o mapeamento de dados, nomeiam o DPO e constroem as políticas internas de privacidade. Então param. O que vem a seguir,...

Leia mais
author-avatar
Escrito por Igor Pacheco
  • junho 25, 2026
capa-blog

Erros Comuns na Adequação à LGPD que Shoppings e Incorporadoras Ainda Cometem

Shoppings centers e incorporadoras operam com um volume de dados pessoais que poucos gestores param para dimensionar com precisão. Câmeras de segurança, biometria de...

Leia mais
author-avatar
Escrito por Igor Pacheco
  • junho 23, 2026
Visão Geral de Privacidade

Este site usa cookies para que possamos oferecer a melhor experiência possível ao usuário. As informações dos cookies são armazenadas em seu navegador e executam funções como reconhecê-lo quando você retorna ao nosso site e ajudar nossa equipe a entender quais seções do site você considera mais interessantes e úteis. 

Você pode aceitar todos os cookies, recusar todos ou gerenciar suas escolhas a qualquer momento no nosso Gerenciador de Cookies. Se preferir, pode fazer o bloqueio de cookies diretamente no seu navegador. Para isso, siga as instruções disponíveis nas configurações de ‘Ajuda’, ‘Ferramentas’ ou ‘Editar’ do seu navegador.