Due diligence de privacidade em fornecedores: checklist com 25 itens essenciais
Quando sua organização contrata um fornecedor que terá acesso a dados pessoais — seja um sistema de RH em nuvem, uma plataforma de CRM, uma empresa de call center ou uma transportadora —, você não está apenas escolhendo um serviço. Está escolhendo um operador de dados que passa a integrar sua cadeia de responsabilidade sob a LGPD.
A LGPD não isola o controlador dos atos de seus operadores. O Art. 42 estabelece que o controlador pode ser responsabilizado por danos causados pelo operador quando o operador não seguiu as instruções do controlador ou violou a legislação de proteção de dados. Isso significa que a diligência na seleção e no monitoramento de fornecedores não é apenas boa prática — é proteção jurídica.
O checklist abaixo organiza 25 itens em cinco dimensões para uma avaliação estruturada de privacidade antes da contratação — e como critérios de monitoramento contínuo para fornecedores críticos.
Como usar este checklist
Segmentação por criticidade: Nem todo fornecedor precisa passar pelos 25 itens. Classifique os fornecedores em tiers antes de aplicar o checklist:
- Tier 1 — Crítico: Acesso a dados sensíveis (saúde, biometria), dados de crianças, grande volume de dados pessoais, ou fornecedor estratégico sem substituto fácil → avaliação completa (25 itens)
- Tier 2 — Alto: Acesso a dados pessoais significativos (clientes, funcionários), mas não sensíveis → avaliação abreviada (15-20 itens prioritários)
- Tier 3 — Padrão: Acesso limitado ou incidental a dados pessoais → questionário simplificado + assinatura do DPA
Pontuação sugerida: Para cada item, classifique: ✓ Atendido / ⚠ Parcialmente atendido / ✗ Não atendido / N/A Não aplicável
Aceitação mínima: Qualquer item classificado como ✗ em uma área crítica (marcada com ⚠️ abaixo) deve ser resolvido antes da contratação ou monitorado com SLA definido.
Dimensão 1: Governança e Política de Privacidade (5 itens)
Item 1 — Política de privacidade formal ⚠️ O fornecedor possui política de privacidade/proteção de dados publicada, atualizada (nos últimos 12 meses) e aplicável às atividades relevantes para o contrato?
Por que importa: Uma política desatualizada ou genérica indica ausência de programa de privacidade maduro. Busque especificamente se a política cobre o tipo de dado que o fornecedor processará em seu nome.
Item 2 — DPO ou responsável de privacidade designado ⚠️ O fornecedor designou um Encarregado de Dados (DPO) ou responsável de privacidade com contato publicado? Para fornecedores sujeitos à LGPD, a obrigação pode ser dispensada apenas no regime simplificado (Res. 2/2022).
Bandeira vermelha: Fornecedor de grande porte sem qualquer referência a responsável de privacidade — indica baixa maturidade ou descumprimento das obrigações de designação.
Item 3 — Programa de treinamento de colaboradores O fornecedor possui programa documentado de treinamento em proteção de dados para colaboradores que terão acesso a seus dados? Com que frequência ocorre?
Referência: O Art. 50 da LGPD menciona políticas e salvaguardas para boas práticas — treinamento é um dos elementos esperados em programas de conformidade maduros.
Item 4 — Política de retenção e descarte O fornecedor possui política documentada de retenção de dados que defina prazos claros para eliminação ou anonimização dos dados ao fim do contrato ou do prazo de retenção?
Pontos específicos a verificar: Qual é o prazo para eliminação dos seus dados após o encerramento do contrato? Como o fornecedor documenta o descarte?
Item 5 — Certificações de privacidade e segurança O fornecedor possui certificações relevantes: ISO 27001 (segurança da informação), ISO 27701:2025 (privacidade), SOC 2 Type II, PCI DSS (se aplicável)?
Nota: Certificações não garantem conformidade — mas evidenciam processos auditados. Um relatório SOC 2 Type II recente (últimos 12 meses) é especialmente valioso por detalhar controles testados por auditores independentes.
Dimensão 2: Controles de Processamento de Dados (5 itens)
Item 6 — Limitação de finalidade ⚠️ O fornecedor processa os seus dados pessoais apenas para as finalidades contratadas? Existe política que proíba uso de dados de clientes para desenvolvimento de modelos, benchmarking ou outros fins próprios do fornecedor sem consentimento?
Caso frequente problemático: Plataformas de analytics ou IA que usam dados de clientes para treinar modelos proprietários sem base legal adequada. Verifique os termos de serviço além do DPA.
Item 7 — Minimização de dados O fornecedor coleta apenas os dados mínimos necessários para a prestação do serviço? Há controles técnicos que impedem a coleta ou retenção de dados além do contratado?
Item 8 — Gestão de sub-processadores ⚠️ O fornecedor mantém lista atualizada de sub-processadores (terceiros que processam seus dados em nome do fornecedor)? Notifica sobre mudanças antes de implementá-las? Exige dos sub-processadores obrigações equivalentes às do contrato principal?
Por que é crítico: Um vazamento em um sub-processador do qual você não sabia pode comprometer dados de titulares sob sua responsabilidade. A cadeia de sub-processadores deve ser rastreável.
Item 9 — Mecanismo para direitos dos titulares ⚠️ O fornecedor possui processo para auxiliar o controlador a atender solicitações de titulares (acesso, correção, eliminação)? Qual o prazo para resposta após solicitação do controlador?
Referência: O Art. 39 da LGPD determina que o operador deve realizar o tratamento conforme as instruções do controlador — incluindo atender solicitações de direitos dos titulares encaminhadas pelo controlador.
Item 10 — Controles de qualidade e exatidão dos dados O fornecedor possui controles para garantir que dados incorretos sejam atualizados ou eliminados? Como são gerenciados erros que afetam titulares?
Dimensão 3: Segurança Técnica (5 itens)
Item 11 — Criptografia em trânsito e em repouso ⚠️ Os dados pessoais transmitidos entre os sistemas são protegidos por criptografia (TLS 1.2 ou superior)? Os dados em repouso são criptografados nos servidores do fornecedor?
Referência de mercado: TLS 1.3 é o padrão atual; TLS 1.2 ainda aceitável. TLS 1.1 ou inferior é inaceitável e indica sistema desatualizado.
Item 12 — Controle de acesso granular e princípio do mínimo privilégio O acesso dos colaboradores do fornecedor aos seus dados é restrito por função (role-based access control)? Colaboradores têm acesso apenas ao mínimo necessário para sua função?
Item 13 — Autenticação multifator (MFA) para acesso privilegiado ⚠️ MFA é obrigatório para administradores de sistema e qualquer acesso remoto a sistemas que processam seus dados? O fornecedor monitora e registra acessos privilegiados?
Item 14 — Gestão de vulnerabilidades e patches O fornecedor possui programa de gestão de vulnerabilidades com SLA definido para aplicação de patches críticos? Com que frequência realiza testes de penetração?
Referência: Patches críticos (CVSS ≥ 9.0) deveriam ser aplicados em até 24-72 horas; patches de alta severidade em até 30 dias.
Item 15 — Proteção de ambientes de desenvolvimento e teste Dados reais de produção (e, portanto, seus dados pessoais) são usados em ambientes de desenvolvimento e teste? Existe política que proíba ou controle esse uso?
Bandeira vermelha: Fornecedores que usam dados reais em desenvolvimento sem anonimização amplia desnecessariamente a superfície de exposição.
Dimensão 4: Gestão de Incidentes (5 itens)
Item 16 — Plano de resposta a incidentes documentado ⚠️ O fornecedor possui plano de resposta a incidentes que inclua etapas para contenção, investigação e notificação? O plano foi testado nos últimos 12 meses?
Item 17 — Prazo de notificação ao controlador ⚠️ O contrato ou DPA define o prazo máximo para o fornecedor notificar o controlador sobre incidentes que afetem os dados pessoais do controlador? O padrão recomendado é 24-48 horas após confirmação do incidente (para que o controlador possa cumprir o prazo de 3 dias úteis para notificação à ANPD — Res. 15/2024).
Ponto crítico: Se o fornecedor demorar 5 dias para notificá-lo e o prazo da ANPD é 3 dias úteis a partir do conhecimento do controlador, você pode ter perdido o prazo — com base sólida para a ANPD atribuir responsabilidade.
Item 18 — Histórico de incidentes nos últimos 24 meses O fornecedor teve incidentes de segurança significativos nos últimos 24 meses? Como os comunicou a clientes afetados? Quais medidas foram tomadas?
Como verificar: Além de perguntar diretamente, pesquise o nome do fornecedor em bases de incidentes públicos (Haveibeenpwned para e-mails, relatórios da imprensa especializada).
Item 19 — Comunicação com sub-processadores em caso de incidente O fornecedor possui processo para receber notificações de incidentes de seus sub-processadores e repassá-las ao controlador no prazo contratado?
Item 20 — Backups e recuperação de desastres O fornecedor realiza backups regulares dos dados (incluindo os seus)? Qual é o RPO (Recovery Point Objective) e RTO (Recovery Time Objective)? Os backups são testados periodicamente?
Dimensão 5: Conformidade Contratual (5 itens)
Item 21 — DPA (Data Processing Agreement) assinado ⚠️ Existe DPA formalizado com o fornecedor que defina claramente os papéis de controlador e operador, as categorias de dados processadas, as finalidades do processamento, os prazos de retenção e as obrigações de segurança?
Referência: O Art. 39 da LGPD estabelece que o operador deve realizar o tratamento conforme as instruções do controlador — essa relação deve estar documentada.
Item 22 — Direito de auditoria ⚠️ O contrato inclui o direito do controlador de auditar ou solicitar evidências da conformidade do fornecedor? Auditorias podem ser realizadas por terceiro designado pelo controlador? O fornecedor aceita questionários de auditoria padronizados (SIG, CAIQ, etc.) como alternativa?
Item 23 — Transferências internacionais Se o fornecedor processar seus dados fora do Brasil, há mecanismo de transferência internacional adequado (país com decisão de adequação da ANPD, ou SCCs do Anexo II da Res. 19/2024)? O DPA faz referência explícita ao mecanismo?
Item 24 — Devolução e eliminação dos dados no encerramento do contrato ⚠️ O contrato especifica que, ao término do contrato, o fornecedor devolverá os dados ao controlador (em formato utilizável) e eliminará todas as cópias no prazo definido? Inclui certificado de eliminação?
Item 25 — Alocação de responsabilidade e seguros O contrato define claramente a responsabilidade do fornecedor por danos decorrentes de seus atos ou omissões? O fornecedor possui seguro de responsabilidade cibernética com cobertura adequada ao volume de dados processados?
Priorizando os itens: o que não pode faltar
Se o processo de avaliação precisar ser abreviado, os itens abaixo são não-negociáveis:
| Item | Dimensão | Motivo da prioridade |
|---|---|---|
| 1 | Governança | Indica maturidade mínima do programa de privacidade |
| 2 | Governança | Obrigação legal de designação de Encarregado (se aplicável) |
| 6 | Processamento | Desvio de finalidade é uma das violações mais graves |
| 8 | Processamento | Sub-processadores invisíveis são risco direto |
| 9 | Processamento | Sua capacidade de atender titulares depende do fornecedor |
| 11 | Segurança | Proteção básica de dados em trânsito e repouso |
| 13 | Segurança | MFA é controle básico com impacto alto de ausência |
| 16 | Incidentes | Plano = capacidade de resposta organizada |
| 17 | Incidentes | Prazo de notificação ao controlador é crítico para ANPD |
| 21 | Contratual | DPA é obrigação legal |
| 22 | Contratual | Direito de auditoria garante sua capacidade de verificação |
| 24 | Contratual | Dados devem retornar ao controlador no encerramento |
Checklist resumido para uso prático
Governança:
- Política de privacidade publicada e atualizada?
- DPO ou responsável de privacidade designado?
- Treinamentos regulares documentados?
- Política de retenção e descarte definida?
- Certificações relevantes (ISO 27001, SOC 2)?
Processamento:
- Limitação de finalidade documentada?
- Lista de sub-processadores disponível?
- Processo para atender direitos dos titulares?
Segurança:
- Criptografia em trânsito (TLS) e em repouso?
- MFA obrigatório para acesso privilegiado?
- Gestão de patches com SLA definido?
Incidentes:
- Plano de resposta a incidentes testado?
- Prazo de notificação ao controlador: ≤ 48 horas?
- Histórico de incidentes verificado?
Contratual:
- DPA assinado com cláusulas completas?
- Direito de auditoria incluído?
- Transferências internacionais cobertas?
- Devolução/eliminação de dados no encerramento?
- Responsabilidade contratual e seguro cibernético verificados?
Conclusão
A due diligence de privacidade não é burocracia — é proteção. Uma avaliação bem feita antes da contratação é infinitamente mais barata do que gerenciar um incidente causado por um fornecedor que nunca deveria ter sido contratado sem controles adequados.
O processo não precisa ser complexo: um questionário estruturado enviado antes da proposta, análise das respostas com verificação de evidências nos itens críticos, e um DPA que reflita os compromissos obtidos. Isso já posiciona sua organização em conformidade com o Art. 42 da LGPD e demonstra diligência na escolha e monitoramento de operadores.
O Confidata inclui módulo de gestão de fornecedores com registro centralizado de operadores, status do DPA, tier de criticidade, histórico de avaliações e alertas de renovação contratual — permitindo demonstrar à ANPD que todos os operadores foram avaliados e contratados conforme a LGPD.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.