Como avaliar e monitorar fornecedores de cloud e SaaS sob a LGPD
A maioria das organizações brasileiras usa dezenas de plataformas SaaS e serviços de cloud — sistemas de RH, CRM, ERP, ferramentas de colaboração, plataformas de marketing, sistemas de atendimento ao cliente. Cada um desses serviços acessa, processa ou armazena dados pessoais. Cada um é, sob a LGPD, um operador de dados.
A particularidade do cloud e do SaaS em relação a fornecedores tradicionais está na assimetria contratual e na cadeia de sub-processadores invisíveis. Você não assina um contrato individual com os termos que deseja — você aceita os termos da plataforma. E não raramente, sua plataforma de CRM usa servidores AWS na Virgínia do Norte, processando dados pessoais de brasileiros em território norte-americano, com serviços de análise de terceiros que você nunca soube que existiam.
Por que cloud e SaaS têm desafios específicos
1. Localização de dados incerta Diferentemente de um fornecedor que opera no Brasil com servidores físicos locais, serviços de cloud e SaaS frequentemente armazenam e processam dados em regiões geograficamente distribuídas. A data center que processa seus dados pode variar de acordo com a disponibilidade, balanceamento de carga ou configuração padrão da plataforma.
2. Cadeia de sub-processadores Plataformas SaaS raramente operam de forma completamente autossuficiente. Elas usam serviços de cloud de terceiros (AWS, Azure, Google Cloud), ferramentas de analytics, sistemas de suporte ao cliente, processadores de pagamento, serviços de e-mail transacional. Cada um desses pode processar os dados que você inseriu na plataforma.
3. Transferência internacional automática A maioria dos grandes provedores de SaaS e cloud tem sede nos Estados Unidos. Quando você usa Gmail, Slack, Salesforce, HubSpot ou Microsoft 365, seus dados pessoais são processados nos EUA — um país que não possui decisão de adequação geral pela ANPD.
4. Modelos de DPA padronizados Grandes plataformas raramente negociam DPAs customizados com clientes individuais. Oferecem seus próprios DPAs, que você assina — ou não usa o serviço. A questão é: esses DPAs atendem às obrigações da LGPD?
Avaliando a localização dos dados: onde estão e como descobrir
A primeira pergunta ao avaliar um fornecedor de cloud ou SaaS é: onde meus dados ficam armazenados?
Como obter essa informação:
- Documentação de arquitetura da plataforma (disponível para clientes enterprise)
- Configurações de residência de dados (data residency) — muitas plataformas permitem escolher a região: EUA, Europa, Brasil
- Termos de serviço e política de privacidade (geralmente mencionam as regiões)
- Centro de confiança (trust center) — grandes plataformas (AWS, Google, Microsoft, Salesforce) mantêm portais públicos com informações detalhadas sobre localização de dados, sub-processadores e certificações
O que buscar especificamente:
- Opção de configurar dados na região Brasil (quando disponível)
- Se os dados ficam na Europa, há cobertura pela adequação mútua ANPD-UE (Resolução CD/ANPD Nº 32/2026)
- Se os dados ficam nos EUA, qual o mecanismo de transferência internacional aplicável?
Plataformas que oferecem residência de dados no Brasil: Alguns provedores de cloud já oferecem regiões brasileiras: AWS (sa-east-1, São Paulo), Google Cloud (southamerica-east1, São Paulo) e Azure (Brazil South). Usar essas regiões não elimina a questão das transferências internacionais para outros serviços da plataforma, mas reduz o escopo.
Sub-processadores: mapeando a cadeia invisível
O regulamento europeu de proteção de dados (GDPR) criou a obrigação de que os processadores notifiquem controllers sobre mudanças em sub-processadores. A LGPD não tem disposição equivalente tão específica, mas o Art. 39 — que exige que o operador siga as instruções do controlador — e o princípio de accountability (Art. 6º, X) sustentam que o controlador deve conhecer quem processa seus dados.
Como mapear os sub-processadores de um fornecedor:
-
Lista de sub-processadores publicada: Grandes plataformas publicam listas de sub-processadores nos seus centros de confiança. Exemplos: Salesforce Sub-processors, Google Workspace Sub-processors.
-
DPA com lista de sub-processadores: Verifique se o DPA do fornecedor inclui lista dos principais sub-processadores.
-
Notificação de mudanças: O DPA deve prever que o fornecedor notificará mudanças na lista de sub-processadores com antecedência suficiente para que o controlador possa objetar.
O que fazer com a lista de sub-processadores:
- Verificar se sub-processadores críticos têm certificações de segurança
- Identificar sub-processadores em países sem adequação (o que exige verificar o mecanismo de transferência)
- Registrar os sub-processadores relevantes no seu ROPA como parte da cadeia de tratamento
Avaliando o DPA de cloud e SaaS: o que verificar
Grandes plataformas oferecem DPAs padronizados. Na maioria dos casos, não é possível negociar termos — a questão é se o DPA padrão atende às suas obrigações sob a LGPD.
Elementos obrigatórios a verificar no DPA:
| Elemento | O que verificar | Bandeira vermelha |
|---|---|---|
| Definição dos papéis | Controlador = você; operador = a plataforma | DPA que não define papéis ou que define a plataforma como co-controlador sem justificativa |
| Finalidade do processamento | Processamento apenas para prestação do serviço contratado | DPA que permite uso dos dados para "melhoria de serviços" sem especificação |
| Sub-processadores | Lista disponível, notificação de mudanças | Ausência de lista ou cláusula sem obrigação de notificação |
| Segurança | Medidas de segurança implementadas (criptografia, controle de acesso, etc.) | Ausência de qualquer compromisso de segurança específico |
| Notificação de incidentes | Prazo de notificação ao controlador em caso de incidente | Prazo superior a 72 horas ou ausência de prazo |
| Direitos dos titulares | Comprometimento de suportar o controlador no atendimento de direitos | Ausência de compromisso com direitos dos titulares |
| Transferência internacional | Mecanismo para transferências ao exterior (SCCs, adequação) | Ausência de qualquer menção a transferências internacionais |
| Devolução/eliminação | Dados devolvidos ou eliminados ao fim do contrato | Prazo indefinido ou ausência de compromisso de eliminação |
Transferências internacionais em cloud e SaaS: como regularizar
A maioria das plataformas SaaS internacionais incorpora mecanismos de transferência internacional em seus DPAs — geralmente as cláusulas contratuais padrão do GDPR europeu (SCCs da UE) ou suas próprias políticas corporativas de privacidade.
Após a publicação da Resolução CD/ANPD Nº 19/2024, que criou as SCCs brasileiras e o modelo de Cláusulas Contratuais Padrão para transferências internacionais, e da Resolução CD/ANPD Nº 32/2026, que reconheceu a UE como área com adequação, o cenário é o seguinte:
Fornecedor com servidores na UE: Coberto pela adequação ANPD-UE — transferência permitida sem mecanismo adicional (a partir da Res. 32/2026).
Fornecedor com servidores nos EUA:
- O DPA do fornecedor usa SCCs da UE (GDPR): é preciso verificar se há compatibilidade com o modelo da Res. 19/2024 ou se é necessário adicionar DPA específico com SCCs brasileiras
- O fornecedor oferece Adenda LGPD específico: verifique se cobre adequadamente o modelo brasileiro
- Nenhum mecanismo disponível: risco de não conformidade
Solução prática para plataformas que ainda não têm DPA LGPD específico: Verificar se a plataforma utiliza as SCCs do modelo europeu e documentar que o mecanismo vigente é o "mais próximo disponível" enquanto a plataforma não publica adenda LGPD específico — com plano de regularização.
Avaliação por tier de risco: como priorizar
Nem todo SaaS merece o mesmo nível de avaliação. A priorização por tier permite focar os recursos de compliance onde o risco é maior:
Tier 1 — Crítico (avaliação completa trimestral):
- Sistemas que processam dados sensíveis (saúde, biometria)
- Sistemas com acesso a dados de grandes volumes de clientes (CRM, ERP com cadastro completo)
- Sistemas de RH com dados de colaboradores
- Infraestrutura cloud principal (AWS, Azure, GCP)
Tier 2 — Alto (avaliação semestral):
- Plataformas de comunicação corporativa (Slack, Teams, Google Workspace)
- Ferramentas de analytics com dados identificáveis
- Sistemas de atendimento ao cliente
- Plataformas de e-mail marketing
Tier 3 — Padrão (avaliação anual ou na renovação):
- Ferramentas de produtividade sem acesso a dados pessoais de clientes
- Plataformas de armazenamento de documentos internos
- Serviços de conferência video (quando não retêm gravações com dados pessoais)
Monitoramento contínuo: além da avaliação inicial
A avaliação antes da contratação é o ponto de partida — não o ponto de chegada. Fornecedores de cloud e SaaS mudam seus sub-processadores, suas políticas, suas configurações de segurança e seus DPAs regularmente.
Programa de monitoramento contínuo:
| Frequência | Ação |
|---|---|
| Sempre que notificado | Revisar mudanças em sub-processadores (se o DPA prever notificação) |
| Trimestral (Tier 1) | Verificar o trust center do fornecedor por mudanças em políticas e certificações |
| Semestral (Tier 2) | Questionário abreviado + revisão de incidentes reportados |
| Anual | Reavaliação completa + revisão do DPA vigente |
| Na renovação | Atualização do DPA se necessário; reavaliação de tier |
| Após incidente | Investigação imediata + revisão de controles |
Alertas de mudança para monitorar:
- Notificações do centro de confiança do fornecedor (muitos oferecem RSS ou e-mail alerts para mudanças de política)
- Notícias sobre incidentes de segurança envolvendo o fornecedor
- Mudanças nos termos de serviço que impactem o processamento de dados
Casos especiais: plataformas de IA e analytics
Plataformas de IA (copilots, assistentes, modelos de linguagem como serviço) têm características específicas que elevam o risco de privacidade:
- Treinamento com dados de usuários: Muitas plataformas de IA usam dados de interação para melhorar seus modelos. Se você usa um copilot que tem acesso a e-mails ou documentos com dados pessoais de clientes, verifique especificamente se esses dados são usados para treinamento e como optar por não.
- Processamento externo inevitável: O processamento ocorre nos servidores do provedor de IA — geralmente nos EUA — o que exige mecanismo de transferência internacional.
- RIPD pode ser necessário: Integrar IA que processa dados pessoais em escala pode configurar tratamento de alto risco que exige RIPD (Art. 38 da LGPD).
Checklist de avaliação de fornecedor cloud e SaaS
Localização e residência de dados:
- Onde os dados são armazenados (região geográfica)?
- Há opção de residência de dados no Brasil ou na UE?
- Para dados fora do Brasil: mecanismo de transferência adequado?
Sub-processadores:
- Lista de sub-processadores disponível?
- DPA prevê notificação de mudanças com antecedência?
- Sub-processadores críticos têm certificações relevantes?
DPA:
- DPA disponível para assinatura ou aceite?
- Papéis de controlador e operador claramente definidos?
- Prazo de notificação de incidentes ≤ 72 horas?
- Compromisso com direitos dos titulares?
- Eliminação/devolução de dados no encerramento?
Segurança:
- Certificações de segurança (ISO 27001, SOC 2 Type II) com relatório recente?
- Criptografia em trânsito e em repouso documentada?
- Controle de acesso e MFA documentados?
Monitoramento:
- Fornecedor cadastrado no inventário de fornecedores com tier definido?
- Próxima revisão agendada conforme frequência do tier?
- Canal de notificação de mudanças de política configurado?
Conclusão
Avaliar e monitorar fornecedores de cloud e SaaS sob a LGPD não é tarefa de uma única vez — é um processo contínuo que acompanha o ciclo de vida de cada contrato. A boa notícia é que os grandes provedores internacionais têm investido em estruturas de conformidade que facilitam a avaliação: trust centers públicos, DPAs disponíveis online, listas de sub-processadores publicadas, certificações auditadas.
O desafio real está em fazer essa avaliação de forma sistemática para todos os fornecedores relevantes — não apenas para os mais óbvios — e manter o registro atualizado que demonstra à ANPD que sua organização exerce efetivo controle sobre sua cadeia de operadores.
O Confidata inclui módulo de gestão de fornecedores com inventário de SaaS e cloud, rastreamento de DPAs por fornecedor, tier de criticidade definido pelo DPO e alertas automáticos para revisões periódicas conforme o cronograma do programa de monitoramento.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.