Como este tema funciona no porte da sua empresa
O gestor lida com um número menor de fornecedores que acessam dados — contador, empresa de folha, talvez uma plataforma de e-mail ou sistema em nuvem. A revisão dos contratos com apoio do assessor jurídico cobre a maioria dos casos. O foco é identificar quais fornecedores acessam dados pessoais e garantir que os contratos com eles tenham ao menos a cláusula básica de proteção de dados.
Com mais fornecedores (contabilidade, BPO, folha, CRM, cloud, e-mail marketing), o gestor precisa de um processo para identificar quais contratos precisam de revisão, incluir a cláusula de proteção de dados em novos contratos e renovações, e acompanhar periodicamente. Um template de cláusula validado pelo jurídico evita a revisão caso a caso em cada contratação.
O processo de revisão de contratos com fornecedores que acessam dados é parte do programa de privacidade da empresa, com templates de cláusulas validados pelo DPO e pelo jurídico. O gestor administrativo garante que novos fornecedores sob sua responsabilidade passem pelo processo de due diligence e assinatura antes de receber acesso a qualquer dado pessoal.
Quando um fornecedor acessa, armazena ou processa dados pessoais da empresa — de clientes, funcionários ou outros titulares — ele passa a ser um operador de dados. A empresa contratante, nessa relação, é a controladora: continua responsável pelo tratamento mesmo que ele seja realizado pelo fornecedor. Por isso, contratos com fornecedores que acessam dados pessoais precisam prever obrigações de proteção de dados — não apenas como formalidade jurídica, mas como garantia de que os dados tratados por terceiros terão o mesmo nível de cuidado que a empresa adota internamente.
Quais fornecedores do back-office acessam dados pessoais
Uma parte significativa dos fornecedores típicos do back-office acessa dados pessoais da empresa sem que isso seja percebido como tal no momento da contratação. O primeiro passo para o gestor é mapear essa lista antes de revisar contratos.
A tabela abaixo organiza as categorias de fornecedores mais comuns e o tipo de dado pessoal a que cada uma tem acesso:
| Categoria de fornecedor | Tipo de dado pessoal acessado |
|---|---|
| Escritório de contabilidade | Dados de folha de pagamento, CPF, dados bancários de funcionários, NF com dados de clientes PF |
| Empresa de folha / BPO de RH | Nome, CPF, dados bancários, dados de saúde (dependentes), informações contratuais de funcionários |
| Sistema de CRM | Nome, contato, histórico de compras e interações de clientes |
| Plataforma de e-mail marketing | Nome, e-mail, comportamento de abertura e clique de contatos da empresa |
| Serviço de cloud / armazenamento | Qualquer dado pessoal armazenado nos servidores, incluindo documentos, planilhas e registros internos |
| Empresa de digitalização de documentos | Contratos, fichas cadastrais, documentos de funcionários e clientes digitalizados |
| Empresa de destruição de documentos | Documentos físicos com dados pessoais em processo de descarte |
| Serviço de RH terceirizado | Dados completos dos funcionários da empresa contratante |
O gestor que não percebe esses fornecedores como operadores de dados tende a omitir a cláusula de proteção no contrato — e a exposição existe independentemente da omissão.
O que verificar antes de contratar um fornecedor que acessa dados
Antes de assinar um contrato com fornecedor que terá acesso a dados pessoais, o gestor deve verificar quatro pontos que indicam o nível de maturidade do fornecedor em proteção de dados — sem precisar ser um especialista em privacidade para fazer essa avaliação.
- O fornecedor tem política de privacidade publicada? Um fornecedor que trata dados pessoais profissionalmente deve ter uma política de privacidade pública e atualizada. Ausência dessa política é sinal de alerta.
- O contrato proposto menciona proteção de dados? Contratos padrão de fornecedores mais maduros já incluem cláusulas de proteção. Se o contrato não menciona dados pessoais, a inclusão de cláusula precisa ser negociada antes da assinatura.
- O fornecedor informa onde armazena os dados? Para serviços em nuvem especialmente, é relevante saber se o servidor está no Brasil ou no exterior — transferências internacionais de dados têm exigências específicas que o DPO ou assessor jurídico deve avaliar.
- O fornecedor se compromete a comunicar incidentes? Se ocorrer um vazamento ou acesso indevido envolvendo dados da sua empresa, o fornecedor tem obrigação de comunicar? Esse compromisso precisa estar no contrato.
A verificação costuma ser informal: o gestor consulta o site do fornecedor, verifica a existência de política de privacidade e solicita ao assessor jurídico que inclua a cláusula de proteção de dados no contrato antes da assinatura.
A verificação segue um checklist de due diligence de privacidade, aplicado pelo gestor ou pela área de compras antes de qualquer contratação que envolva acesso a dados pessoais. O resultado documenta o que foi verificado e confirma a inclusão da cláusula.
A due diligence de privacidade é parte do processo formal de aprovação de novos fornecedores, com formulário próprio, validação do DPO e registro no sistema de compliance. Nenhum fornecedor com acesso a dados é aprovado sem esse processo.
O que deve constar no contrato: a cláusula de proteção de dados
A cláusula de proteção de dados em contratos com fornecedores — também chamada de DPA (Data Processing Agreement) em contextos internacionais — define as obrigações do fornecedor na qualidade de operador de dados. A redação dessas cláusulas é responsabilidade do assessor jurídico ou do DPO; o papel do gestor é garantir que elas estejam presentes e que o fornecedor as assine antes de receber acesso aos dados.
Os elementos que toda cláusula de proteção de dados deve conter:
- Finalidade limitada ao serviço contratado: o fornecedor só pode usar os dados para executar o serviço contratado — e não para outros fins próprios, como análises internas ou cessão a terceiros.
- Obrigação de confidencialidade: os dados acessados pelo fornecedor são confidenciais e não podem ser compartilhados internamente além do necessário para a execução do serviço.
- Proibição de compartilhamento com terceiros: o fornecedor não pode subcontratar o processamento dos dados sem autorização expressa da empresa contratante.
- Obrigação de comunicar incidentes: se ocorrer qualquer evento que possa comprometer os dados (acesso indevido, vazamento, perda), o fornecedor deve comunicar a empresa em prazo definido no contrato, para que a empresa possa acionar o DPO, o assessor jurídico e avaliar a comunicação à ANPD, quando aplicável.
- Descarte dos dados ao fim do contrato: quando o vínculo com o fornecedor se encerrar, os dados devem ser devolvidos à empresa ou destruídos de forma segura — com comprovação.
- Cooperação em caso de solicitação de titular ou da ANPD: o fornecedor deve colaborar com a empresa na resposta a solicitações de titulares de dados e em eventuais processos de fiscalização da ANPD.
Fornecedores que acessam dados sensíveis — dados de saúde, dados financeiros detalhados, biometria — exigem nível adicional de exigência na verificação e, em alguns casos, controles de acesso específicos além da cláusula contratual. Nesses casos, o assessor jurídico ou DPO deve ser envolvido antes da contratação.
Renovação de contratos: o momento de incluir o que falta
A renovação de contratos existentes é o momento prático para incluir cláusulas de proteção de dados que ainda estão faltando, sem precisar renegociar o contrato inteiro. Fornecedores de longa data, contratados antes da vigência da legislação de proteção de dados, frequentemente não têm essa cláusula — e a renovação abre a janela para a atualização.
O gestor deve manter um calendário de vencimento de contratos com fornecedores que acessam dados, com alerta antecipado para que o assessor jurídico possa revisar e incluir a cláusula antes da renovação. Uma revisão feita na hora da assinatura é mais fácil e menos custosa do que uma renegociação após o contrato renovado.
Para contratos ainda vigentes e sem previsão de renovação próxima, a opção é incluir um aditivo contratual com a cláusula de proteção de dados — também com apoio do assessor jurídico para a redação.
Sinais de que sua empresa precisa revisar os contratos com fornecedores
Se você se reconhece em três ou mais cenários abaixo, a gestão de contratos com fornecedores que acessam dados provavelmente tem lacunas de conformidade que precisam de atenção.
- A empresa tem fornecedores que acessam dados de clientes ou funcionários (contabilidade, BPO, folha, CRM) e nenhum contrato menciona proteção de dados.
- Não há processo para verificar a política de privacidade e as práticas de segurança de novos fornecedores antes da contratação.
- Contratos com fornecedores de TI (sistemas em nuvem, e-mail corporativo) não informam onde os dados ficam armazenados.
- Ao encerrar um contrato com um fornecedor, não há processo para garantir que ele apague os dados da empresa que estava tratando.
- A empresa nunca perguntou ao fornecedor o que ele fará se sofrer um incidente de dados envolvendo informações da empresa.
- O calendário de renovações de contratos não inclui o gatilho de revisão de cláusulas de proteção de dados antes da assinatura.
Caminhos para revisar e estruturar os contratos com fornecedores
Há dois caminhos para organizar a revisão dos contratos com fornecedores que acessam dados, e a escolha depende do volume de contratos, da complexidade dos fornecedores e da capacidade do time interno.
O gestor identifica os fornecedores com acesso a dados, organiza a lista de contratos para revisão e coordena com o assessor jurídico a inclusão das cláusulas.
- Perfil necessário: gestor administrativo que conduza o mapeamento e o assessor jurídico existente que redija ou valide as cláusulas.
- Tempo estimado: de 1 a 3 meses para revisar contratos prioritários e criar o template para novos contratos.
- Faz sentido quando: a empresa tem número gerenciável de fornecedores com acesso a dados e já conta com assessoria jurídica.
- Risco principal: deixar fornecedores de menor visibilidade fora do mapeamento inicial.
Uma consultoria especializada em LGPD conduz o mapeamento, a revisão dos contratos e a criação de templates padronizados para uso recorrente.
- Tipo de fornecedor: Consultoria em LGPD/Compliance, DPO as a Service, Consultoria Jurídica especializada em proteção de dados.
- Vantagem: metodologia e templates prontos, revisão completa do portfólio de contratos, due diligence de fornecedores mais rigorosa.
- Faz sentido quando: há muitos contratos a revisar, fornecedores internacionais ou que tratam dados sensíveis, ou necessidade de template padronizado para uso recorrente.
- Resultado típico: portfólio de contratos revisado em 2 a 3 meses, com template de DPA validado para novas contratações.
Precisa de apoio para revisar os contratos com fornecedores que acessam dados da sua empresa?
Se a revisão dos contratos com fornecedores que acessam dados virou prioridade, o oHub conecta a sua empresa, de forma gratuita, a consultorias em LGPD, escritórios jurídicos especializados em proteção de dados e serviços de DPO as a Service. Em menos de 3 minutos você descreve a necessidade e recebe propostas, sem compromisso.
Encontrar fornecedores de Gestão no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
O que é cláusula de proteção de dados em contrato de fornecedor?
É o conjunto de obrigações que define como o fornecedor deve tratar os dados pessoais acessados durante a prestação do serviço. Inclui limitação de finalidade, confidencialidade, proibição de compartilhamento com terceiros, obrigação de comunicar incidentes e descarte seguro ao fim do contrato. A redação é feita pelo assessor jurídico ou DPO; o papel do gestor é garantir que ela esteja presente antes da assinatura.
Todo contrato com fornecedor precisa ter cláusula de LGPD?
Apenas contratos com fornecedores que acessam, armazenam ou processam dados pessoais — de clientes, funcionários ou outros titulares. Fornecedores que entregam produtos ou prestam serviços sem nenhum contato com dados pessoais não precisam da cláusula. O primeiro passo é mapear quais fornecedores efetivamente acessam dados.
O que acontece se um fornecedor vazar dados da minha empresa?
A empresa contratante, como controladora, pode ser responsabilizada perante os titulares e perante a ANPD pelo tratamento inadequado, mesmo que o vazamento tenha ocorrido no ambiente do fornecedor. Por isso a cláusula de comunicação de incidentes é essencial — ela garante que a empresa seja informada a tempo de acionar o DPO, o assessor jurídico e adotar as medidas cabíveis.
Como verificar se um fornecedor está em conformidade com a LGPD?
Verificar se o fornecedor tem política de privacidade publicada, se o contrato prevê proteção de dados, se ele informa onde armazena os dados e se se compromete a comunicar incidentes. Essa verificação pode ser feita pelo próprio gestor como parte do processo de contratação, sem necessidade de auditoria formal.
O que é um DPA (Data Processing Agreement) na LGPD?
DPA é a denominação internacional para o acordo de processamento de dados — o documento contratual (ou cláusula) que formaliza as obrigações do operador (fornecedor) no tratamento de dados pessoais sob responsabilidade do controlador (empresa contratante). É o equivalente prático da cláusula de proteção de dados exigida pela legislação brasileira de proteção de dados.
Fontes e referências
- Autoridade Nacional de Proteção de Dados (ANPD). Guia de Boas Práticas e Governança para Agentes de Tratamento de Dados Pessoais. Brasília: ANPD. Disponível em: gov.br/anpd.
- Autoridade Nacional de Proteção de Dados (ANPD). Orientações sobre a relação controlador-operador no tratamento de dados pessoais. Brasília: ANPD. Disponível em: gov.br/anpd.