Como Avaliar Fornecedores para Atender a LGPD?

‎Por Calza Neto

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/18) impôs uma nova dinâmica às relações contratuais entre empresas e seus fornecedores. Em um ecossistema de dados cada vez mais interconectado, a segurança e a conformidade dos terceiros passaram a ser extensão direta da responsabilidade do controlador.

Risco além da empresa: a responsabilidade se estende aos terceiros

A LGPD prevê a responsabilização solidária ou subsidiária entre controladores e operadores no caso de incidentes de segurança ou tratamento irregular de dados. Isso significa que a empresa que coleta os dados (controlador) pode ser responsabilizada por falhas cometidas por um fornecedor (operador), mesmo que o incidente ocorra totalmente fora de sua infraestrutura.

Em termos práticos: contratar uma empresa terceirizada que não observe os requisitos mínimos da LGPD pode gerar responsabilidade objetiva, danos reputacionais e multas administrativas.

Due Diligence em Proteção de Dados: mais do que uma prática de mercado, um dever de governança

A avaliação pré-contratual de terceiros deve ir além da análise financeira ou técnica. É fundamental incluir critérios como:

Existência de programa de privacidade e proteção de dados documentado;

Nomeação de um Encarregado (DPO) com atuação ativa;

Estrutura de governança digital e gestão de riscos cibernéticos;

Práticas de minimização, limitação de finalidade e eliminação segura de dados;

Procedimentos formais de resposta a incidentes e violações de dados;

Certificações relevantes (ISO/IEC 27001, NIST Cybersecurity Framework, SOC 2, etc.).

Se a empresa terceirizada não tem maturidade mínima nesses pontos, o risco é direto — e previsível.

Arquitetura de Segurança: compatibilidade técnica como pré-requisito

Ao contratar um terceiro que irá armazenar, processar ou transmitir dados pessoais, é essencial verificar se a sua arquitetura de segurança da informação é compatível com os riscos da atividade.

Algumas perguntas norteadoras:

Utiliza criptografia em repouso e em trânsito?

Há segregação de ambientes de desenvolvimento, teste e produção?

Possui política de backup, logging, monitoramento e controle de acessos?

O terceiro realiza testes de invasão e auditorias independentes com regularidade?

Uma estrutura precária expõe toda a cadeia de tratamento a ataques e vazamentos.

Seguro cibernético e lastro para indenizações: quem arca com os danos?

Ainda que o terceiro cometa a falha, a empresa contratante pode ser acionada para reparar prejuízos a titulares, clientes, parceiros ou mesmo à ANPD. Por isso, é imprescindível avaliar:

A existência de seguro cibernético, com cobertura específica para vazamento de dados e responsabilidade civil digital;

Se a apólice cobre também custos de resposta a incidente, perícia técnica, notificação de titulares e mitigação de danos reputacionais;

A solidez financeira do terceiro e sua capacidade de arcar com eventuais indenizações.

Terceiros sem qualquer lastro tornam o controlador vulnerável à responsabilização exclusiva.

Cláusulas contratuais e auditoria contínua: o contrato não é o fim, mas o começo

A gestão de terceiros deve ser vista como um processo contínuo, e não um checklist de contratação. É recomendável incluir:

Cláusulas específicas de conformidade à LGPD, inclusive com previsão de auditorias, notificações de incidentes em prazos curtos e penalidades contratuais em caso de descumprimento;

Compromissos formais com boas práticas de segurança da informação, alinhadas a padrões internacionais;

Direitos de acesso e verificação periódica dos controles técnicos e organizacionais adotados;

Obrigações claras quanto à retenção e eliminação segura dos dados após o encerramento da relação contratual.

Conclusão: negligenciar a gestão de terceiros é terceirizar o risco sem terceirizar a responsabilidade

No atual cenário digital, quem contrata é corresponsável. E ignorar a maturidade digital dos terceiros é como contratar um serviço de transporte de cargas valiosas sem sequer perguntar se o caminhão tem freio.

A LGPD trouxe um novo olhar sobre os contratos empresariais: conformidade e segurança deixaram de ser um diferencial competitivo e se tornaram um pré-requisito jurídico. A boa gestão de terceiros, portanto, não é apenas uma medida de precaução — é um pilar da governança em proteção de dados.

CONSELHEIR@

Walter Calza Neto

Walter Calza Neto, fundador do CNK Advogados, com 25 anos de experiência nos campos de Direito Digital, Privacidade, Cibersegurança e Propriedade Intelectual, além de atuar como perito judicial no Tribunal de Justiça de São Paulo (TJSP). Formei-me em Direito pela Universidade Presbiteriana Mackenzie em 1998 e sou membro das Comissões de Proteção de Dados do Instituto dos Advogados de São Paulo (IASP) e de Inovação e Tecnologia da OAB/SP.

Ao longo da minha trajetória, busquei me especializar por meio de qualificações de destaque internacional, como o curso “Computer Science for Lawyers” (CS50L) pela Harvard Law School, “Cybersecurity Essentials” pela Cisco Networking Academy, “Digital Transformation” pelo International Business Management Institute, na Alemanha, e “Data Privacy Awareness” pela Rolls Royce, na Inglaterra. Também tenho formação em investigações corporativas e compliance pela Fundação Getulio Vargas (FGV) e pela Legal Ethics & Compliance (LEC/FGV).

Atuo como DPO as a Service, atendendo clientes como Sport Club Corinthians Paulista, Sparco Automotive, Garrett Motion, Delta Global Bank, DentallPar, entre outros. Minha experiência inclui liderar projetos de adequação à LGPD, gestão de segurança da informação e resposta a incidentes cibernéticos, auxiliando empresas a mitigar riscos, investigar violações e implementar soluções eficazes para prevenir novos ataques. Meu foco é oferecer soluções personalizadas e estratégicas, alinhando tecnologia, legislação e governança para atender às necessidades específicas de cada cliente.