Capa do Ebook gratuito LGPD e Segurança da Informação: controles técnicos e organizacionais que sustentam conformidade

LGPD e Segurança da Informação: controles técnicos e organizacionais que sustentam conformidade

Novo curso

16 páginas
Todos os cursos > Informática ( TI ) > Segurança da informação ::

Gestão de terceiros e contratos com cláusulas de privacidade e segurança

Capítulo 12

Tempo estimado de leitura: 14 minutos

+ Exercício

A gestão de terceiros é um dos pontos mais sensíveis para a conformidade com a LGPD e para a segurança da informação, porque amplia a superfície de risco: dados pessoais podem ser acessados, armazenados, processados ou transmitidos por fornecedores que não estão sob controle direto da organização. Mesmo quando o tratamento é terceirizado, a responsabilidade por demonstrar diligência, selecionar parceiros adequados e estabelecer regras contratuais claras permanece. Por isso, a gestão de terceiros deve combinar critérios de privacidade, segurança, continuidade e governança contratual, com mecanismos de verificação antes da contratação e durante toda a vigência do relacionamento.

O que significa “gestão de terceiros” no contexto de privacidade e segurança

Gestão de terceiros é o conjunto de processos para avaliar, contratar, monitorar e encerrar relações com fornecedores, parceiros e prestadores de serviço que possam impactar dados pessoais e ativos de informação. Na prática, envolve: classificar o tipo de serviço, entender se haverá tratamento de dados pessoais, definir requisitos mínimos, negociar cláusulas contratuais, acompanhar evidências de controles e reagir a incidentes e mudanças.

Em LGPD, a atenção aumenta quando o terceiro atua como operador (processa dados em nome do controlador) ou quando há compartilhamento entre controladores. Em ambos os casos, é necessário definir responsabilidades, limites de uso e mecanismos de transparência e auditoria. O contrato é o instrumento que transforma expectativas em obrigações verificáveis, mas ele só funciona se estiver conectado a um processo de avaliação e monitoramento contínuo.

Tipos comuns de terceiros que impactam dados pessoais

  • Processadores de folha, benefícios e RH: tratam dados sensíveis e identificadores.

  • Contact center e atendimento: acessam dados de clientes e gravações.

    Continue em nosso aplicativo

    Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

    ou continue lendo abaixo...
    Download App

    Baixar o aplicativo

  • Hospedagem, cloud e data center: armazenam e processam dados em infraestrutura terceirizada.

  • Marketing e analytics: podem coletar identificadores online e perfis.

  • Desenvolvimento e manutenção de sistemas: podem ter acesso a ambientes e bases.

  • Logística e entrega: tratam dados de endereço e contato.

  • Consultorias e auditorias: podem receber amostras de dados ou acessar sistemas.

Princípios práticos para reduzir risco com terceiros

Alguns princípios ajudam a estruturar decisões e evitar contratos “genéricos” que não protegem a organização:

  • Necessidade e proporcionalidade do acesso: o terceiro deve acessar apenas o mínimo necessário para executar o serviço.

  • Clareza de papéis e finalidades: o contrato deve impedir usos secundários não autorizados.

  • Segurança verificável: requisitos devem ser acompanhados de evidências (relatórios, testes, certificações, políticas, logs, etc.).

  • Gestão do ciclo de vida: controles não são apenas na contratação; incluem mudanças, renovações e encerramento.

  • Responsabilização e remediação: prever como agir em incidentes, auditorias e não conformidades.

Passo a passo prático: do levantamento ao encerramento do contrato

1) Identificar e classificar o relacionamento com o terceiro

Antes de solicitar proposta ou assinar contrato, registre o escopo do serviço e responda perguntas objetivas:

  • O terceiro terá acesso a dados pessoais? Quais categorias (cadastro, financeiros, saúde, biometria, crianças)?

  • O terceiro armazenará dados ou apenas acessará remotamente?

  • Haverá subcontratação (suboperadores)?

  • Haverá transferência internacional (armazenamento fora do país, suporte global, backups em outra região)?

  • Qual o impacto se houver indisponibilidade do serviço (continuidade)?

Com isso, atribua um nível de risco (por exemplo: baixo, médio, alto) e defina o rigor de diligência e as cláusulas obrigatórias. Um fornecedor que apenas recebe dados de contato para entrega pode exigir controles diferentes de um provedor que hospeda bases completas de clientes.

2) Realizar due diligence de privacidade e segurança (pré-contratação)

Due diligence é a avaliação do terceiro antes de contratá-lo. Ela deve ser proporcional ao risco e baseada em evidências. Em vez de depender apenas de declarações, busque documentos e provas.

Exemplos de itens de diligência:

  • Questionário de segurança e privacidade: com perguntas sobre governança, controles, incidentes anteriores, subcontratação, retenção e descarte, segregação de ambientes, gestão de acesso administrativo, testes e auditorias.

  • Relatórios e certificações: ISO 27001, SOC 2 Type II, relatórios de auditoria independente, atestados de conformidade aplicáveis ao setor.

  • Políticas e procedimentos: política de segurança, resposta a incidentes, gestão de mudanças, continuidade e recuperação.

  • Arquitetura e fluxo de dados: onde os dados ficam, como trafegam, quem acessa, como são segregados por cliente.

  • Histórico de incidentes e transparência: como o fornecedor notifica clientes, prazos, canais e lições aprendidas.

Para fornecedores críticos, considere uma avaliação mais profunda, como reunião técnica, visita (quando aplicável), validação de controles por amostragem e exigência de plano de ação para lacunas identificadas.

3) Definir requisitos mínimos e anexos contratuais

Transforme o resultado da diligência em requisitos objetivos. Uma boa prática é criar anexos padronizados que acompanham o contrato principal:

  • Anexo de Proteção de Dados (DPA): define regras de tratamento, papéis, finalidades, suboperadores, transferências e assistência ao controlador.

  • Anexo de Segurança da Informação: lista controles mínimos, obrigações de evidência e prazos de correção.

  • Anexo de Níveis de Serviço (SLA): disponibilidade, suporte, tempos de resposta, janelas de manutenção, RTO/RPO quando relevante.

  • Anexo de Subcontratação: regras para contratação de suboperadores e obrigação de repassar as mesmas exigências.

Esses anexos ajudam a evitar que cada contrato seja negociado do zero e garantem consistência entre áreas (jurídico, compras, segurança, privacidade e negócio).

4) Negociar cláusulas essenciais de privacidade e segurança

Cláusulas bem escritas precisam ser específicas, mensuráveis e executáveis. Abaixo estão temas essenciais e o que buscar em cada um:

  • Objeto e instruções documentadas: o operador só pode tratar dados conforme instruções do controlador, com finalidades delimitadas. Evite termos vagos como “para melhoria de serviços” sem delimitação.

  • Confidencialidade: obrigação de sigilo para empregados e contratados, com treinamento e sanções internas.

  • Suboperadores: exigir autorização prévia (ou ao menos notificação com prazo para objeção), lista atualizada e responsabilidade solidária/contratual do fornecedor principal.

  • Transferência internacional: declarar países/regiões, mecanismos aplicáveis e obrigação de informar mudanças. Mesmo quando a base legal e os mecanismos forem tratados pela área jurídica, o contrato deve garantir transparência e controle.

  • Incidentes de segurança: definição de incidente, prazo de notificação (por exemplo, “sem demora injustificada” e com marco máximo), conteúdo mínimo do aviso (escopo, dados afetados, medidas, evidências) e cooperação.

  • Direitos dos titulares e suporte ao controlador: obrigação de auxiliar em solicitações de acesso, correção, eliminação, portabilidade e oposição, com prazos e canais.

  • Retenção e devolução/eliminação: ao término, devolver dados e eliminar cópias, incluindo backups quando aplicável, com declaração de eliminação e prazos.

  • Auditoria e evidências: direito de auditoria (remota e/ou in loco), acesso a relatórios independentes, e obrigação de corrigir não conformidades em prazos acordados.

  • Responsabilidade e indenização: alocação de responsabilidades por falhas do fornecedor, limites de responsabilidade compatíveis com o risco e exceções para violações graves (por exemplo, dolo, negligência grave, violação de confidencialidade).

  • Continuidade e encerramento: plano de continuidade, comunicação de mudanças relevantes, e apoio na transição para outro fornecedor.

Na negociação, evite aceitar cláusulas que impeçam auditoria, que permitam subcontratação irrestrita ou que autorizem uso de dados para fins próprios sem controle. Se o fornecedor for grande e “não negocia”, registre formalmente a avaliação de risco e as compensações (controles adicionais, restrição de escopo, criptografia sob controle do cliente, segregação de dados, etc.).

5) Estabelecer governança interna para aprovar e acompanhar terceiros

Gestão de terceiros não é apenas um contrato assinado; é um processo com donos e ritos. Defina:

  • Papéis internos: quem aprova o risco (negócio), quem valida segurança (time técnico), quem valida privacidade (encarregado/DPO ou time de privacidade), quem assina (jurídico e compras).

  • Critérios de bloqueio: situações em que a contratação não pode prosseguir sem mitigação (por exemplo, ausência de notificação de incidentes, subcontratação sem controle, falta de evidências mínimas).

  • Registro central: inventário de terceiros com escopo, dados envolvidos, nível de risco, vigência, responsáveis e anexos.

Uma prática útil é criar um “gate” no processo de compras: contratos que envolvem dados pessoais só avançam após checklist de privacidade e segurança aprovado.

6) Implementar monitoramento contínuo e reavaliações periódicas

O risco muda com o tempo: o fornecedor pode trocar infraestrutura, contratar suboperadores, sofrer incidentes ou ampliar escopo. Por isso, estabeleça um ciclo de monitoramento proporcional ao risco.

Exemplos de mecanismos de monitoramento:

  • Revisão anual (ou semestral) de evidências: relatórios SOC/ISO atualizados, resultados de testes, indicadores de SLA.

  • Reuniões de governança: para fornecedores críticos, encontros periódicos para revisar mudanças, incidentes, backlog de correções e roadmap.

  • Alertas de mudanças: obrigação contratual de notificar mudanças relevantes (suboperadores, local de processamento, arquitetura, políticas).

  • Gestão de não conformidades: abrir plano de ação com prazos, responsáveis e evidências de correção.

Para serviços de alto risco, inclua testes de contingência e simulações de incidente envolvendo o fornecedor, para validar comunicação e capacidade de resposta.

7) Gerenciar incidentes envolvendo terceiros

Quando um incidente ocorre no fornecedor, a organização precisa de rapidez e qualidade de informação para avaliar impacto e cumprir obrigações. O contrato deve habilitar isso, mas o processo interno também precisa estar pronto.

Passos práticos em um incidente com terceiro:

  • Acionamento formal: canal dedicado e registro do chamado com data/hora e responsável.

  • Coleta de informações mínimas: o que aconteceu, quando começou, quando foi contido, quais dados e sistemas foram afetados, quais clientes/ambientes.

  • Medidas imediatas: suspensão de integrações, rotação de credenciais, bloqueio de acessos, ativação de contingência (conforme o caso).

  • Evidências e preservação: solicitar relatórios técnicos, linha do tempo, indicadores de comprometimento e medidas de contenção.

  • Comunicação coordenada: alinhar mensagens externas e internas, evitando contradições e garantindo rastreabilidade do que foi informado.

  • Plano de correção: ações preventivas e prazos, com validação posterior.

Mesmo quando o incidente é “do fornecedor”, a organização deve ser capaz de demonstrar diligência: que escolheu adequadamente, que exigiu controles, que monitorou e que reagiu com governança.

8) Encerramento do contrato: transição, devolução e eliminação

O fim do contrato é um momento de alto risco: dados podem ficar esquecidos, acessos podem permanecer ativos e integrações podem continuar enviando informações. Planeje o encerramento com antecedência.

  • Plano de transição: cronograma de migração, testes e corte.

  • Revogação de acessos: desativar contas, chaves e integrações, e confirmar por evidência.

  • Devolução e eliminação: receber exportações necessárias e exigir declaração de eliminação conforme o contrato, incluindo cópias e ambientes auxiliares.

  • Verificação pós-encerramento: checar se ainda há tráfego de dados para o fornecedor e se não restaram dependências.

Modelos de cláusulas e linguagem recomendada (exemplos)

Os exemplos abaixo são referências didáticas e devem ser adaptados ao contexto jurídico e ao tipo de serviço.

Cláusula de instruções e limitação de finalidade

O OPERADOR tratará os Dados Pessoais exclusivamente para executar os Serviços descritos neste Contrato e somente conforme instruções documentadas do CONTROLADOR. É vedado ao OPERADOR utilizar os Dados Pessoais para finalidades próprias, inclusive treinamento de modelos, enriquecimento de bases, marketing ou analytics, salvo autorização expressa e específica do CONTROLADOR.

Cláusula de suboperadores

O OPERADOR não poderá contratar suboperadores que tratem Dados Pessoais sem autorização prévia por escrito do CONTROLADOR (ou, alternativamente, mediante notificação com antecedência mínima de X dias, assegurado ao CONTROLADOR o direito de objeção). O OPERADOR permanecerá integralmente responsável pelos atos e omissões de seus suboperadores e garantirá que estes assumam obrigações equivalentes às previstas neste Contrato.

Cláusula de notificação de incidente

O OPERADOR notificará o CONTROLADOR sobre qualquer Incidente de Segurança que envolva Dados Pessoais sem demora injustificada e, em qualquer hipótese, em até X horas da confirmação do incidente, fornecendo: (i) descrição do evento; (ii) data/hora e duração; (iii) categorias de dados e volume estimado; (iv) medidas de contenção e mitigação; (v) avaliação preliminar de impacto; (vi) evidências e relatórios técnicos disponíveis; (vii) ponto focal 24x7 para coordenação.

Cláusula de auditoria e evidências

Mediante solicitação razoável, o OPERADOR disponibilizará evidências de conformidade com os requisitos de segurança e privacidade, incluindo relatórios de auditoria independente (quando existentes) e permitirá auditoria remota e/ou in loco pelo CONTROLADOR ou por auditor por ele indicado, respeitados sigilo e limites de escopo. Não conformidades identificadas deverão ser corrigidas em prazos acordados, com comprovação documental.

Cláusula de devolução e eliminação

Ao término do Contrato, o OPERADOR, a critério do CONTROLADOR, devolverá os Dados Pessoais em formato estruturado e eliminará de forma segura todas as cópias sob seu controle, incluindo ambientes de teste e contingência, emitindo declaração de eliminação em até X dias, salvo retenção obrigatória por lei, hipótese em que manterá os dados bloqueados e protegidos.

Exemplos práticos de aplicação por cenário

Exemplo 1: contratação de call center para atendimento ao cliente

Riscos típicos: acesso amplo a dados, gravações de voz, engenharia social, alta rotatividade de operadores. Medidas contratuais e operacionais úteis:

  • Restringir campos visíveis no sistema e proibir anotações fora das ferramentas oficiais.

  • Exigir treinamento inicial e recorrente, com evidência de participação.

  • Definir política de gravação e retenção de chamadas, com acesso controlado.

  • Prever auditoria por amostragem de atendimentos e trilhas de supervisão.

  • Obrigar notificação rápida de incidentes e tentativas de fraude.

Exemplo 2: fornecedor SaaS que processa dados de clientes

Riscos típicos: suboperadores, mudanças frequentes, processamento em múltiplas regiões, dependência operacional. Medidas úteis:

  • Exigir lista de suboperadores e mecanismo de objeção.

  • Exigir transparência sobre local de processamento e mudanças.

  • Definir SLA e suporte para incidentes e indisponibilidade.

  • Prever exportação de dados e apoio na migração ao encerrar.

  • Exigir evidências periódicas (relatórios independentes e atestados).

Exemplo 3: consultoria que acessa base para análise pontual

Riscos típicos: cópias locais, compartilhamento por e-mail, uso de notebooks pessoais. Medidas úteis:

  • Proibir armazenamento local e exigir uso de ambiente controlado.

  • Definir prazo curto de retenção e eliminação com declaração.

  • Restringir subcontratação e exigir confidencialidade individual.

  • Estabelecer canal único para transferência de arquivos e evidências.

Checklist operacional para compras, jurídico, privacidade e segurança

Use este checklist como roteiro mínimo antes de assinar e durante a vigência:

  • Escopo e dados: quais dados pessoais, volume, criticidade e se há dados sensíveis.

  • Papel e responsabilidades: operador/controlador, instruções, finalidades e limites de uso.

  • Subcontratação: regras, lista, autorização/notificação e repasse de obrigações.

  • Transferências: locais de processamento e obrigação de informar mudanças.

  • Incidentes: prazo, conteúdo mínimo, canal 24x7 e cooperação.

  • Auditoria/evidências: relatórios, direito de auditoria e prazos de correção.

  • Retenção e término: devolução, eliminação, declaração e transição.

  • SLA e continuidade: disponibilidade, suporte, contingência e comunicação de mudanças.

  • Governança: dono interno do contrato, calendário de revisões e registro central.

Agora responda o exercício sobre o conteúdo:

Qual abordagem melhor reduz riscos de privacidade e segurança na gestão de terceiros?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

A gestão de terceiros deve ser um processo: identificar e classificar risco, avaliar antes da contratação com evidências, transformar resultados em cláusulas e anexos, e acompanhar continuamente com reavaliações, auditorias, SLAs e resposta a incidentes.

Próximo capitúlo

Gestão de consentimento, transparência e atendimento a direitos do titular

Arrow Right Icon
Aprenda Segurança da informação

AprendaSegurança da informação

Proteja todo conteúdo importante, descubra como utilizar a segurança da informação a seu favor e para que serve. Cursa.app separou um curso grátis pra você

 Aprenda Informática ( TI )

AprendaInformática ( TI )

Cursos online gratuitos de Informática, TI e programação com certificação gratuita. Oferecemos cursos de Excel, programação e muito mais. Aproveite agora!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store