Por que o Due Diligence de Fornecedores é tão importante no Programa de Adequação à LGPD para as empresas?
Por Angélica Teixeira
Sob a perspectiva do Encarregado pelo Tratamento de Dados Pessoais (DPO), a adequação à Lei Geral de Proteção de Dados, (Lei nº 13.709/2018), não pode se limitar às fronteiras internas das empresas.
Na prática, grande parte dos tratamentos de dados pessoais envolve terceiros, como fornecedores de tecnologia, escritórios parceiros, consultorias e prestadores de serviços diversos.
Dessa forma, o Due Diligence de Fornecedores se consolida como um pilar estratégico do Programa de Adequação à LGPD, pois permite identificar, avaliar e mitigar riscos relacionados ao tratamento de dados pessoais realizado por prestadores de serviço, chamados operadores de acordo com a LGPD.
O Due Diligence de Fornecedores consiste em um processo estruturado de avaliação prévia e contínua das práticas de privacidade e proteção de dados adotadas por terceiros (operadores) e que tratam dados pessoais da empresa controladora. Esse processo é fundamental para assegurar que os fornecedores adotem as medidas técnicas e administrativas aptas a proteger os dados, conforme exige o art. 46 da LGPD. Trata-se de uma análise que envolve políticas internas, controles de segurança, histórico de incidentes e nível de maturidade em proteção de dados.
A LGPD é clara ao atribuir responsabilidades ao controlador na escolha de seus operadores. O art. 39 determina que o operador deve realizar o tratamento de dados pessoais de acordo com as instruções fornecidas pelo controlador, enquanto o art. 42 estabelece a possibilidade de responsabilização em caso de danos decorrentes do tratamento irregular.
Assim, falhas cometidas por fornecedores podem gerar impactos diretos para a empresa controladora contratante, inclusive sanções administrativas e multa previstas no art. 52 da LGPD, além do prejuízo reputacional. O Due Diligence atua, portanto, como um mecanismo preventivo essencial dentro de um Programa de Adequação à LGPD.
Além da mitigação de riscos legais, o Due Diligence de Fornecedores fortalece a governança em privacidade e a cultura de proteção de dados nas organizações. Ao identificar fornecedores críticos, classificá-los por grau de risco e exigir cláusulas contratuais específicas — como dever de confidencialidade, obrigações de segurança e regras para incidentes de dados pessoais — a empresa demonstra conformidade com os princípios da LGPD, especialmente os da prevenção, responsabilização e prestação de contas, previstos no art. 6º, incisos VIII e X. Esse alinhamento facilita a atuação estratégica do DPO e a comunicação com a alta Direção.
Outro aspecto relevante é que o Due Diligence não deve ser tratado como uma ação isolada ou meramente documental. A conformidade com a LGPD exige acompanhamento contínuo, revisões periódicas e atualização das avaliações de risco, principalmente quando há mudanças no escopo do serviço, no volume de dados tratados ou na legislação aplicável. Esse monitoramento contínuo reforça a efetividade do Programa de Adequação e contribui para a pronta resposta a eventuais incidentes, conforme orienta o art. 48 da LGPD.
De tudo o que foi dito, conclui-se que o Due Diligence de Fornecedores é indispensável para a efetividade do Programa de Adequação à LGPD. Mais do que uma exigência legal, trata-se de uma prática de governança que protege as empresas contra riscos jurídicos, financeiros e reputacionais, ao mesmo tempo em que reforça a confiança de titulares, clientes e parceiros.
Ao adotar um processo estruturado, contínuo e alinhado à LGPD, as organizações demonstram maturidade em proteção de dados e o compromisso real com a conformidade e a ética no tratamento de informações pessoais.
