Como este tema funciona na sua empresa
Conformidade é básica. Contrato com MSP deve ter cláusula LGPD explícita (Termo de Processamento de Dados). Auditoria anual de MSP (perguntar: "você cumpre LGPD?"). Documentação simples de quem tem acesso a dados. Risco: menor (menos volume), mas impacto relativo é alto (proporção de dados pessoais vs. total é alta).
Conformidade é estruturada. Contrato LGPD detalhado com MSP (responsabilidades, penalidades, direito de auditoria). Processo de incidente (se MSP sofre vazamento, ele notifica em 24h). Rastreamento de que dados MSP tem. Auditoria semestral. Risco: moderado (múltiplos MSPs, múltiplos dados).
Conformidade é madura. DPO (Data Protection Officer) dedic avalia contrato com MSP. Auditoria contínua (dados em tempo real de quem MSP está acessando). Termos de Processamento customizados por tipo de dado (alguns dados têm exigência maior). Legal + TI alinhados. Risco: alto (complexidade, múltiplos MSPs, escrutínio regulatório).
LGPD com outsourcing de TI significa que você (controlador) é legalmente responsável por dados pessoais mesmo que fornecedor (operador) os processe. Responsabilidade é compartilhada: você governa, fornecedor executa a seu mando[1].
Controlador vs. Operador: quem é responsável?
LGPD distingue dois papéis:
- Controlador: você. Decide que dados coletar, por quanto tempo guardar, com quem compartilhar. Responsabilidade final.
- Operador: MSP/fornecedor. Processa dados a seu mando. Sem poder de decisão próprio.
Consequência legal: se vazamento acontece, ANPD responsabiliza você (controlador), não fornecedor. Você pode depois cobrar fornecedor, mas perante lei, você responde.
Implicação prática: você não pode "terceirizar" conformidade LGPD. Você precisa validar que fornecedor está cumprindo.
Cláusulas de contrato essenciais com fornecedor
Contrato de outsourcing deve incluir:
- Termo de Processamento de Dados (ou DPA — Data Processing Agreement): documento legal que especifica: quais dados o fornecedor processa, por quanto tempo, em que localidade (Brasil ou exterior?), que segurança ele usa.
- Sigilo e confidencialidade: "Você não pode usar dados para outra coisa além do que contratei"
- Segurança de dados: "Você precisa criptografar dados, ter autenticação forte, fazer backup"
- Notificação de incidente: "Se vazar dado, você notifica em 24h; ANPD deve ser notificada em até 15 dias"
- Direito de auditoria: "Eu posso auditar sua conformidade LGPD anualmente (ou mais frequente)"
- Destruição de dados ao fim do contrato: "Ao sair, você certifica que deletou todos dados de forma irrecuperável"
- Sub-processadores: "Você não pode repassa dados para outro fornecedor sem minha autorização explícita"
Checklist de auditoria de fornecedor
Antes de assinar contrato, validar:
- Fornecedor tem certificação ISO 27001 (segurança) ou SOC 2 (auditoria de TI)?
- Fornecedor tem processo documentado para direito ao esquecimento (LGPD)?
- Dados são armazenados em qual localidade? (Brasil? Exterior? LGPD exige proteção similar)
- Quantas pessoas na equipe do fornecedor têm acesso a seus dados?
- Fornecedor fez auditoria LGPD de forma crescente? (peça relatório)
- Qual é histórico de segurança do fornecedor? (já sofreu vazamento?)
- SLA e penalidades se falhar LGPD ou sofrer incidente estão claras?
Gestão de incidente com terceirizado
Se fornecedor sofre vazamento de dados:
- Fornecedor notifica você em 24h com detalhes
- Você (controlador) avalia se precisa notificar titulares e ANPD (15 dias após descoberta)
- Você documenta incidente para futura auditoria
- Você pode penalizar fornecedor conforme contrato (redução de pagamento, rescisão por quebra de contrato)
Importante: você é responsável pela notificação legal, não fornecedor. Atraso sua em notificar = multa sua à ANPD.
Sinais de que você precisa validar conformidade LGPD do fornecedor
Se você se reconhece em três ou mais cenários, auditoria LGPD de fornecedor é urgente.
- Contrato com MSP não tem cláusula LGPD ou é genérico demais
- Você não sabe que dados fornecedor tem (e-mail, backup, logs, database)
- Fornecedor não respondeu quando você perguntou "como garante LGPD?"
- Você nunca auditou segurança de fornecedor (não pediu certificação ISO 27001 ou SOC 2)
- Não existe processo definido se fornecedor sofre incidente de segurança
- Fornecedor usa subcontratados e você não sabe quem são
- Dados estão armazenados em servidor fora do Brasil; não há termo de adequação de proteção
Caminhos para estruturar conformidade LGPD com fornecedor
Pode fazer internamente ou com consultoria.
Viável se tem contrato com fornecedor e consegue renegociar.
- Perfil necessário: gestor de TI + consultoria jurídica (1-2 sessões para alinhar cláusulas)
- Tempo estimado: 2-4 semanas para renegociar contrato; auditoria anual 1-2 semanas
- Faz sentido quando: relação com fornecedor é boa; só precisa formalizar LGPD
- Risco principal: cláusulas podem estar incompletas; auditoria pode não ser rigorosa
Indicado para garantir contrato e auditoria robusta.
- Tipo de fornecedor: Consultoria LGPD + Advogado especializado
- Vantagem: cláusulas são legalmente robustas; auditoria é independente e rigorosa
- Faz sentido quando: volume de dados é alto; risco de multa é significativo
- Resultado típico: em 4-6 semanas, contrato renegociado; auditoria realizada; plano de remediação se falhas encontradas
Precisa auditar conformidade LGPD de fornecedor de TI?
Se validar que MSP cumpre LGPD é prioridade legal, o oHub conecta você a consultores LGPD. Em menos de 3 minutos, descreva seu cenário e receba propostas, sem compromisso.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Como garantir LGPD com fornecedor terceirizado?
Contrato deve ter: 1) Termo de Processamento de Dados (DPA) — especifica quais dados, segurança exigida, localidade. 2) Cláusula de notificação de incidente (24h). 3) Direito de auditoria seu (anual). 4) Processo de destruição de dados ao fim contrato. 5) Sigilo e confidencialidade. Validar certificação ISO 27001 ou SOC 2 do fornecedor.
Qual é a responsabilidade do contratante por LGPD?
Você (controlador) é legalmente responsável pela conformidade LGPD mesmo que fornecedor (operador) processe dados. Se incidente acontece, ANPD responsabiliza você. Você pode depois cobrar fornecedor, mas responsabilidade legal é sua. Implicação: você não pode "terceirizar" conformidade; precisa validar que fornecedor cumpre.
Como estruturar contrato de processamento de dados com MSP?
DPA (Data Processing Agreement) deve detalhar: quais dados MSP processa (nome, email, CPF?), tempo de retenção, localidade de armazenamento, medidas de segurança (criptografia, MFA), processo de incidente (notificação em 24h), direito seu de auditar, destruição ao fim contrato, limitação sobre subcontratados. Use template de associação como ABNT ou consiga com advogado.
Como auditar conformidade LGPD de fornecedor?
Auditoria deve cobrir: 1) Documentação (tem processo LGPD escrito?). 2) Técnico (dados criptografados? backups seguros?). 3) Acesso (quem pode ver dados seus? logs existem?). 4) Incidente (já sofreu vazamento? como respondeu?). 5) Subcontratados (quem mais acessa dados?). Anual mínimo. Se falhas encontradas, plano de remediação com prazo.
O que fazer se fornecedor sofre incidente de segurança?
1) Fornecedor notifica você em 24h com detalhes (quais dados vazaram? quantas pessoas afetadas?). 2) Você avalia se é incidente LGPD (dados pessoais vazaram?) ou não. 3) Se é LGPD, você notifica titulares em até 15 dias (ANPD também). 4) Você documenta incidente (para futura auditoria). 5) Você penaliza fornecedor conforme contrato (redução pagamento, rescisão).
Como documentar conformidade LGPD para terceirizados?
Mantenha: 1) Contrato assinado com DPA. 2) Evidência de auditoria (relatório ISO 27001, SOC 2 do fornecedor). 3) Registro de auditorias suas (datas, achados, remediação). 4) Log de incidentes (se houver). 5) Documentação de dados processados (que dados? quanto tempo?). Será pedido se ANPD investigar conformidade sua. Demonstra que você fez diligência.