Como este tema funciona no porte da sua empresa
O gestor muitas vezes não sabe que a empresa pode responder por falhas do terceirizado — trabalhistas, fiscais ou de entrega. O artigo orienta sobre o mínimo de controle e as cláusulas contratuais que reduzem essa exposição de forma prática.
Com contratos mais estruturados e maior volume de terceirizados, a exposição é proporcionalmente maior. É necessário processo formal de homologação de fornecedor, checklist de conformidade e revisão periódica das certidões.
A gestão de responsabilidade é parte do programa de compliance e governança. Auditorias de fornecedor, due diligence contratual e processos de escalada são padrão para fornecedores estratégicos.
Ao terceirizar uma atividade, a empresa contratante não transfere toda a responsabilidade para o fornecedor — ela transfere a execução. A empresa mantém responsabilidade pelo resultado da atividade para o cliente final, pela conformidade com obrigações de proteção de dados quando o terceirizado trata informações pessoais e, em determinadas situações, pode responder por obrigações trabalhistas, previdenciárias ou fiscais não cumpridas pelo fornecedor. O gestor que acredita que "terceirizou e não é mais responsável" está operando com uma premissa incorreta que pode gerar exposição relevante.
O que permanece com a empresa após terceirizar
A terceirização muda quem executa — não quem responde pelo resultado. Independentemente do fornecedor contratado, a empresa mantém três responsabilidades que não são transferíveis pelo contrato:
Responsabilidade pelo resultado da atividade
O cliente final contrata a empresa — não o fornecedor que executa parte do serviço. Se o terceirizado entrega com qualidade abaixo do acordado, a empresa responde perante o cliente. O contrato com o fornecedor protege internamente — e permite a cobrança do fornecedor — mas não desobriga a empresa da entrega contratada com o cliente.
Responsabilidade pela conformidade com LGPD quando há acesso a dados
Quando o fornecedor terceirizado acessa, processa ou armazena dados pessoais de clientes ou colaboradores da empresa — para executar o serviço contratado — a empresa contratante é o controlador dos dados. O fornecedor atua como operador. A empresa continua responsável pelo cumprimento das obrigações da Lei Geral de Proteção de Dados em relação a esses dados, mesmo que o processamento seja feito pelo fornecedor.
A medida contratual necessária nesse caso é o DPA — Data Processing Agreement — que formaliza as obrigações do fornecedor como operador: como os dados serão usados, por quanto tempo serão retidos, quais medidas de segurança serão adotadas e o que acontece em caso de incidente. A ausência do DPA não desobriga a empresa; apenas a deixa sem mecanismo contratual para responsabilizar o fornecedor no caso de um problema.
Responsabilidade sobre as condições de trabalho dos profissionais do fornecedor nas instalações da empresa
Quando os profissionais do fornecedor trabalham nas instalações da empresa e realizam atividades sob a supervisão diária da equipe interna, há situações em que a empresa contratante pode ser responsabilizada por obrigações trabalhistas não cumpridas pelo fornecedor. Essa exposição — conhecida como responsabilidade solidária — depende do tipo de serviço, do modelo de contratação e da forma como a supervisão é exercida na prática.
A avaliação do risco concreto e a estruturação das cláusulas contratuais que reduzem essa exposição exigem apoio jurídico especializado. O artigo não substitui esse apoio — orienta o gestor sobre o que monitorar e quando buscar assessoria.
O que o contrato deve prever para reduzir a exposição
O contrato com o fornecedor terceirizado é o principal instrumento de proteção da empresa contratante. As cláusulas que reduzem a exposição incluem:
- Representações e garantias do fornecedor: declaração formal de que o fornecedor está em dia com todas as obrigações trabalhistas, previdenciárias e fiscais na data da assinatura e se compromete a manter essa regularidade ao longo do contrato.
- Obrigação de conformidade contínua: o fornecedor deve manter a regularidade ao longo do contrato e comprovar quando solicitado — não apenas na contratação inicial.
- Direito de auditoria: a empresa contratante tem o direito de solicitar documentos que comprovem a regularidade do fornecedor — certidões negativas, comprovantes de pagamento — em qualquer momento do contrato.
- Penalidade por descumprimento: o que acontece se o fornecedor descumprir a obrigação de regularidade — desconto no pagamento, retenção de valores, rescisão contratual.
- Indenização por responsabilidade derivada: se a empresa contratante for responsabilizada por obrigação que era do fornecedor, o fornecedor é contratualmente obrigado a ressarcir a empresa.
- DPA para dados pessoais: quando há acesso a dados de clientes ou colaboradores, o DPA deve ser parte integrante do contrato ou adendo específico.
Cláusulas de indenização, penalidades e direito de auditoria têm implicações contratuais que variam conforme o tipo de serviço e o regime de responsabilidade aplicável. A revisão com apoio jurídico antes da assinatura é a medida mais eficaz para garantir que as cláusulas protegem de fato — e não são apenas texto sem efeito prático.
Verificação de regularidade do fornecedor: na contratação e ao longo do contrato
A verificação de regularidade do fornecedor na contratação é um passo que a maioria das empresas realiza. O que falta — e que é onde a exposição ocorre — é a verificação periódica ao longo do contrato. Um fornecedor que era regular na contratação pode acumular passivos fiscais ou trabalhistas nos meses seguintes, e a empresa contratante continua exposta enquanto o serviço é prestado.
Os documentos que o gestor deve verificar na contratação e periodicamente ao longo do contrato são:
- Certidão Negativa de Débitos Federais (emitida pela Receita Federal e PGFN) — comprova regularidade com tributos federais e contribuições previdenciárias.
- Certidão Negativa de Débitos Trabalhistas (CNDT) — emitida pelo Tribunal Superior do Trabalho, comprova que o fornecedor não tem dívidas trabalhistas em execução.
- Certificado de Regularidade do FGTS (CRF) — emitido pela Caixa Econômica Federal, comprova regularidade com o recolhimento do FGTS dos colaboradores.
A frequência recomendada de verificação varia com o risco do contrato: a cada seis meses para fornecedores de serviços gerais; mensalmente para fornecedores cujos profissionais atuam nas instalações da empresa ou que têm acesso a dados sensíveis.
Verificar as três certidões na contratação e a cada 6 meses para os fornecedores mais relevantes já é um controle funcional. O gestor pode acessar as certidões diretamente nos sites dos órgãos emissores — todas são gratuitas e emitidas online.
Processo de homologação de fornecedor com checklist documentado, incluindo as certidões e o DPA quando aplicável. Revisão semestral para fornecedores de baixo risco e trimestral para fornecedores com profissionais nas instalações ou acesso a dados.
Due diligence formal na contratação, com revisão periódica automatizada ou via área de compliance. Auditoria presencial ou documental para fornecedores estratégicos, com frequência definida na política de fornecedores.
LGPD e a responsabilidade da empresa contratante pelo operador
A proteção de dados pessoais é um aspecto de responsabilidade que aumentou de relevância com o amadurecimento da aplicação da Lei Geral de Proteção de Dados. A lógica operacional é direta: se o fornecedor acessa dados pessoais para prestar o serviço, a empresa contratante permanece responsável por esses dados perante os titulares e perante a Autoridade Nacional de Proteção de Dados.
Exemplos de terceirizações que tipicamente envolvem dados pessoais e exigem DPA:
- BPO de RH — folha de pagamento, benefícios, admissão e demissão
- BPO financeiro — quando há acesso a dados de clientes para cobrança ou faturamento
- Suporte de TI — quando o fornecedor acessa sistemas com dados de clientes ou colaboradores
- Contabilidade — quando inclui processamento de dados de colaboradores para obrigações trabalhistas
- Central de atendimento ao cliente terceirizada
O DPA deve especificar: as categorias de dados que serão processadas, a finalidade do processamento, as medidas de segurança que o fornecedor adotará, o prazo de retenção dos dados, as obrigações em caso de incidente de segurança e a obrigação de destruição dos dados ao final do contrato. Para fornecedores que processam volume relevante de dados ou dados sensíveis, a estruturação do DPA deve ser feita com apoio jurídico.
Sinais de que sua empresa precisa revisar a gestão de responsabilidade nas terceirizações
Se você se reconhece em três ou mais cenários abaixo, os contratos de terceirização provavelmente não têm as cláusulas de proteção necessárias e a gestão de conformidade não está estruturada.
- Os contratos de terceirização da empresa não têm cláusulas de responsabilidade do fornecedor nem direito de auditoria.
- A empresa nunca verificou certidões negativas dos fornecedores terceirizados após a contratação inicial.
- Algum fornecedor que acessa dados de clientes ou colaboradores não tem DPA formalizado no contrato.
- O gestor acredita que terceirizar transfere toda a responsabilidade — e nunca discutiu esse ponto com apoio jurídico.
- A empresa não sabe quais fornecedores têm profissionais atuando regularmente nas suas instalações sob supervisão da equipe interna.
- Nenhum processo de homologação de fornecedor existe — a verificação de regularidade nunca foi estruturada.
Caminhos para revisar os contratos de terceirização e reduzir a exposição
Há dois caminhos para estruturar a gestão de responsabilidade nas terceirizações, e a escolha depende do volume de contratos e do nível de exposição identificado.
Estruturar o checklist de verificação de regularidade e incluir cláusulas básicas nos contratos com apoio do jurídico contratado ou consultor pontual.
- Perfil necessário: gestor capaz de estruturar o checklist de homologação e de coordenar a revisão dos contratos com o jurídico; empresa com poucos contratos de terceirização.
- Tempo estimado: de 4 a 8 semanas para revisar os contratos prioritários e estruturar o processo de verificação periódica.
- Faz sentido quando: os contratos são de baixo a médio valor e os serviços não envolvem acesso a dados sensíveis ou profissionais nas instalações da empresa em grande volume.
- Risco principal: cláusulas contratuais mal estruturadas que não protegem de fato — parecem adequadas mas são ineficazes na prática.
Revisar os contratos e estruturar o processo de due diligence com apoio de assessoria jurídica especializada em contratos de terceirização.
- Tipo de fornecedor: Assessoria Jurídica, Consultoria de Gestão.
- Vantagem: cláusulas contratuais adequadas ao tipo de serviço e ao regime de responsabilidade aplicável, due diligence completa e DPAs estruturados para fornecedores com acesso a dados.
- Faz sentido quando: há contratos de alto valor, fornecedores com acesso a dados sensíveis, profissionais do fornecedor atuando nas instalações da empresa ou histórico de problema com algum terceirizado.
- Resultado típico: contratos revisados e processo de due diligence estruturado em 6 a 12 semanas.
Precisa de apoio para revisar os contratos de terceirização e reduzir a exposição da sua empresa?
Se estruturar as cláusulas de responsabilidade e o processo de due diligence dos fornecedores é uma prioridade, o oHub conecta sua empresa, de forma gratuita, a assessorias jurídicas e consultorias de gestão. Em menos de 3 minutos você descreve a necessidade e recebe propostas, sem compromisso.
Encontrar fornecedores de Gestão no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
A empresa contratante responde por problemas do terceirizado?
Em determinadas situações, sim. A empresa contratante pode ser responsabilizada por obrigações trabalhistas, previdenciárias ou fiscais não cumpridas pelo fornecedor, especialmente quando os profissionais do terceirizado atuam nas instalações da empresa sob supervisão direta da equipe interna. A extensão dessa responsabilidade depende do tipo de serviço e do modelo de contratação — a avaliação do caso concreto exige apoio jurídico.
O que é responsabilidade solidária na terceirização?
Responsabilidade solidária é a situação em que a empresa contratante pode ser cobrada diretamente por obrigações que eram do fornecedor — sem que o credor precise primeiro acionar o fornecedor inadimplente. Esse regime pode se aplicar em determinadas situações de terceirização trabalhista e previdenciária. A avaliação de quando e como se aplica ao caso concreto da empresa exige análise jurídica específica.
Quais responsabilidades a empresa mantém ao terceirizar?
Três responsabilidades principais permanecem com a empresa: a responsabilidade pelo resultado da atividade perante o cliente final, a responsabilidade pela conformidade com LGPD quando o fornecedor acessa dados pessoais de clientes ou colaboradores, e a possível responsabilidade por obrigações do fornecedor em determinadas situações — especialmente quando há supervisão direta dos profissionais do terceirizado.
O que o contrato de terceirização deve prever para proteger a empresa?
As cláusulas essenciais são: representações e garantias de regularidade do fornecedor, obrigação de conformidade contínua com comprovação quando solicitado, direito de auditoria da empresa contratante, penalidade por descumprimento e indenização por responsabilidade derivada. Para contratos com acesso a dados pessoais, o DPA deve ser parte integrante. A revisão com apoio jurídico antes da assinatura é fundamental.
Terceirizar transfere toda a responsabilidade para o fornecedor?
Não. A terceirização transfere a execução, não a responsabilidade. A empresa mantém responsabilidade pelo resultado perante o cliente, pelas obrigações de proteção de dados quando há acesso a dados pessoais e pode responder por obrigações do fornecedor em determinadas situações. O contrato bem estruturado protege internamente — permite a cobrança do fornecedor — mas não elimina a exposição da empresa contratante perante terceiros.
Fontes e referências
- Autoridade Nacional de Proteção de Dados (ANPD). Guia orientativo sobre operadores de dados pessoais. Publicação institucional. Disponível em: gov.br/anpd.
- Sebrae. Contratos de terceirização: o que a empresa precisa saber. Série de orientação ao empreendedor.