Procedimento de Due Diligence de Fornecedores

📥Download deste documento em formato editávelDOCX

Obrigatório

Código: PROC-DDF-001 Versão: 1.0 Vigência: 01 de dezembro de 2025

1. Objetivo

Estabelecer o processo de avaliação prévia (due diligence), aprovação e monitoramento contínuo de fornecedores e suboperadores que tratam dados pessoais em nome da organização, garantindo conformidade com o Art. 39 da LGPD.

2. Escopo

2.1 Fornecedores Cobertos

Este procedimento aplica-se a:

Categoria	Exemplos	Avaliação Obrigatória
Suboperadores	Provedores de infraestrutura, serviços de backup, processadores de dados	Sim - Completa
Fornecedores de TI	SaaS, ferramentas de desenvolvimento, monitoramento	Sim - Completa
Prestadores de Serviço	Consultorias, auditorias, suporte técnico	Sim - Se acessar dados
Parceiros Comerciais	Integrações, co-desenvolvimento	Sim - Se compartilhar dados

2.2 Exclusões

Fornecedores sem acesso a dados pessoais
Serviços públicos (energia, água)
Transações pontuais sem tratamento de dados

3. Classificação de Risco de Terceiros

3.1 Critérios de Classificação

Fator	Peso	Descrição
Volume de dados acessados	Alto	Quantidade de registros
Sensibilidade dos dados	Alto	Dados sensíveis, menores
Tipo de acesso	Médio	Leitura, escrita, admin
Localização do fornecedor	Médio	Brasil, adequação, outros
Criticidade do serviço	Médio	Impacto na operação
Histórico do fornecedor	Baixo	Incidentes anteriores

3.2 Níveis de Risco

Nível	Critérios	Avaliação Requerida
Alto	Dados sensíveis OU grande volume OU dados de menores	Due Diligence Completa + Auditoria
Médio	Dados pessoais comuns em volume moderado	Due Diligence Completa
Baixo	Acesso limitado, dados básicos	Due Diligence Simplificada

4. Processo de Avaliação

4.1 Fluxo Geral

┌──────────────┐    ┌──────────────┐    ┌─────────────┐    ┌──────────────┐    ┌─────────────┐
│ SOLICITAÇÃO  │───►│ CLASSIFICAÇÃO│───►│  AVALIAÇÃO  │───►│   DECISÃO    │───►│  CONTRATO   │
│              │    │   DE RISCO   │    │             │    │              │    │             │
└──────────────┘    └──────────────┘    └─────────────┘    └──────────────┘    └─────────────┘
                                                                                      │
                                                                                      ▼
                                                                              ┌─────────────┐
                                                                              │MONITORAMENTO│
                                                                              │  CONTÍNUO   │
                                                                              └─────────────┘

4.2 Prazos

Etapa	Prazo	Responsável
Classificação de risco	2 dias úteis	DPO
Due Diligence Simplificada	5 dias úteis	DPO
Due Diligence Completa	15 dias úteis	DPO + TI + Jurídico
Auditoria (se necessária)	30 dias úteis	DPO + Externo
Decisão final	3 dias úteis	DPO

5. Due Diligence - Avaliação

5.1 Questionário de Due Diligence

Seção A - Informações Gerais

Seção B - Governança de Privacidade

Possui DPO nomeado?
Possui política de privacidade pública?
Possui programa de conformidade LGPD?
Realiza treinamentos de privacidade?
Possui canal para direitos de titulares?

Seção C - Segurança da Informação

Possui política de segurança da informação?
Quais certificações possui? (ISO 27001, SOC 2, etc.)
Realiza testes de segurança (pentest)?
Possui processo de gestão de vulnerabilidades?
Como gerencia acessos e identidades?
Possui criptografia em trânsito e repouso?
Possui plano de backup e recuperação?

Seção D - Gestão de Incidentes

Possui procedimento de resposta a incidentes?
Qual o prazo de comunicação de incidentes?
Já sofreu incidentes de segurança? Como foram tratados?

Seção E - Subcontratação

Utiliza suboperadores para o serviço?
Quais suboperadores e para quê?
Como avalia seus suboperadores?
Onde os dados serão armazenados/processados?

Seção F - Transferência Internacional

Os dados serão transferidos para fora do Brasil?
Para quais países?
Quais mecanismos de proteção utiliza?

5.2 Documentação a Solicitar

Documento	Obrigatório	Quando
Política de Privacidade	Sim	Sempre
Política de Segurança	Sim	Risco Médio/Alto
Certificações (ISO 27001, SOC 2)	Não	Se declarar possuir
Relatório de Pentest	Não	Risco Alto
Plano de Resposta a Incidentes	Sim	Risco Médio/Alto
Lista de Suboperadores	Sim	Se utilizar
DPA Padrão	Sim	Sempre

5.3 Verificações Adicionais

Para Risco Alto:

Validar certificações em sites oficiais
Consultar referências de mercado
Verificar notícias sobre incidentes
Solicitar evidências de controles críticos
Considerar auditoria presencial ou remota

6. Checklist de Avaliação LGPD

6.1 Requisitos Mínimos

Requisito	Obrigatório	Verificação
Base legal para tratamento clara	Sim	Questionário
Compromisso de confidencialidade	Sim	Contrato
Medidas de segurança adequadas	Sim	Questionário + Docs
Processo para direitos de titulares	Sim	Questionário
Notificação de incidentes	Sim	Contrato
Devolução/eliminação de dados	Sim	Contrato
Restrição a suboperadores	Sim	Contrato
Cooperação com auditorias	Sim	Contrato

6.2 Critérios de Avaliação

Pontuação	Classificação	Ação
90-100%	Excelente	Aprovar
75-89%	Adequado	Aprovar com recomendações
60-74%	Parcialmente adequado	Aprovar condicionalmente
Menos de 60%	Inadequado	Reprovar ou exigir adequações

7. Critérios de Aprovação/Reprovação

7.1 Critérios de Aprovação

Pontuação ≥ 60% na avaliação
Nenhum critério "eliminatório" descumprido
Disposição para adequações necessárias
Aceitação de cláusulas contratuais obrigatórias

7.2 Critérios Eliminatórios (Reprovação Automática)

Recusa em assinar DPA/cláusulas de proteção de dados
Histórico recente de incidentes graves não tratados
Transferência internacional sem mecanismo de proteção
Recusa em permitir auditorias
Suboperadores em países sem adequação e sem SCCs

7.3 Aprovação Condicional

Pode ser concedida quando:

Fornecedor se compromete com plano de adequação
Prazo definido para correções (máximo 90 dias)
Monitoramento intensivo durante período

8. Requisitos Contratuais Mínimos

8.1 Cláusulas Obrigatórias no DPA

Todo contrato com fornecedor que trata dados deve incluir:

Objeto e Escopo
- Descrição do tratamento
- Categorias de dados
- Categorias de titulares
- Finalidades autorizadas
Obrigações do Operador
- Tratar dados conforme instruções documentadas
- Garantir confidencialidade dos colaboradores
- Implementar medidas de segurança
- Não subcontratar sem autorização
- Auxiliar no atendimento a direitos
- Auxiliar em obrigações legais (RIPD, ANPD)
Segurança
- Medidas técnicas e organizacionais
- Padrões mínimos exigidos
- Direito de auditoria
Incidentes
- Prazo de notificação (máximo 24-48h)
- Informações mínimas a fornecer
- Cooperação na resposta
Suboperadores
- Autorização prévia ou lista aprovada
- Mesmo nível de proteção
- Responsabilidade do operador
Término
- Devolução ou eliminação de dados
- Prazo para cumprimento
- Certificação de eliminação
Responsabilidades
- Indenização por descumprimento
- Limites de responsabilidade

9. Monitoramento Contínuo

9.1 Atividades de Monitoramento

Atividade	Frequência	Responsável
Verificar status de certificações	Anual	DPO
Solicitar atualização de questionário	Anual	DPO
Revisar relatórios de incidentes	Contínuo	DPO
Avaliar SLAs de segurança	Trimestral	TI
Monitorar notícias/alertas	Contínuo	DPO
Auditoria (Risco Alto)	Anual	DPO + Externo

9.2 Indicadores de Alerta

Disparar reavaliação quando:

Incidente de segurança reportado
Mudança significativa nos serviços
Notícias negativas sobre o fornecedor
Vencimento de certificações
Alteração societária relevante
Reclamações recorrentes

9.3 Registro de Monitoramento

Manter registro de:

Data da verificação
Evidências coletadas
Conclusões
Ações necessárias
Próxima verificação

10. Reavaliação Periódica

10.1 Frequência de Reavaliação

Nível de Risco	Frequência
Alto	Anual
Médio	A cada 2 anos
Baixo	A cada 3 anos

10.2 Gatilhos para Reavaliação Extraordinária

Incidente de segurança envolvendo o fornecedor
Mudança significativa no escopo do serviço
Alteração na classificação de risco
Solicitação do controlador (escola)
Alterações regulatórias relevantes

11. Processo de Descontinuação

11.1 Quando Descontinuar

Falhas graves de segurança não corrigidas
Descumprimento contratual reiterado
Recusa em cooperar com auditorias
Incidente grave com má gestão
Fim do contrato/serviço

11.2 Procedimento de Saída

Notificar formalmente o fornecedor
Executar plano de transição de dados
Solicitar devolução de todos os dados
Obter certificado de eliminação
Verificar cumprimento da eliminação
Revogar todos os acessos
Documentar encerramento
Atualizar inventário de fornecedores

12. Responsabilidades

Função	Responsabilidades
Área Solicitante	Identificar necessidade, fornecer informações sobre escopo
DPO	Conduzir avaliação, decidir aprovação, monitorar
TI	Avaliar aspectos técnicos de segurança
Jurídico	Revisar contratos, apoiar negociação de cláusulas
Compras	Formalizar contratação após aprovação
Fornecedor	Responder questionário, fornecer documentação

13. Inventário de Fornecedores

13.1 Informações a Manter

Para cada fornecedor aprovado:

Campo	Descrição
Nome do Fornecedor	Razão social
CNPJ	Identificação fiscal
Serviço Prestado	Descrição do serviço
Dados Tratados	Categorias de dados
Nível de Risco	Alto/Médio/Baixo
Data da Avaliação	Última due diligence
Próxima Reavaliação	Data programada
Contrato/DPA	Referência ao documento
Responsável Interno	Gestor do contrato
Contato do Fornecedor	DPO ou responsável

13.2 Atualização

Manter inventário atualizado
Revisar ao menos anualmente
Atualizar imediatamente em caso de mudanças

14. Ferramentas

Ferramenta	Uso
Google Forms / ClickUp	Gestão de questionários
https://lgpd.ischolar.app	Armazenamento de documentos
Google Sheets / ClickUp	Inventário de fornecedores
Google Drive	Gestão de contratos e DPAs

15. Inventário Atual de Fornecedores Críticos

Fornecedor	Serviço	Risco	DPA	Última Avaliação
Amazon Web Services (AWS)	Infraestrutura Cloud	Alto	✓ Assinado	15/12/2025
PJBank	Gateway de Pagamentos	Médio	✓ Assinado	15/12/2025

Aprovação

Função	Nome	Data
DPO / Diretor de Tecnologia	Pedro Henrique Rosa Barbosa	15/12/2025

Histórico

Versão	Data	Alteração
1.0	15/12/2025	Versão inicial

Anexos

Anexo A: Questionário de Due Diligence Completo
Anexo B: Modelo de DPA (Data Processing Agreement)
Anexo C: Checklist de Avaliação
Anexo D: Template de Relatório de Avaliação
Anexo E: Inventário de Fornecedores

1. Objetivo​

2. Escopo​

2.1 Fornecedores Cobertos​

2.2 Exclusões​

3. Classificação de Risco de Terceiros​

3.1 Critérios de Classificação​

3.2 Níveis de Risco​

4. Processo de Avaliação​

4.1 Fluxo Geral​

4.2 Prazos​

5. Due Diligence - Avaliação​

5.1 Questionário de Due Diligence​

5.2 Documentação a Solicitar​

5.3 Verificações Adicionais​

6. Checklist de Avaliação LGPD​

6.1 Requisitos Mínimos​

6.2 Critérios de Avaliação​

7. Critérios de Aprovação/Reprovação​

7.1 Critérios de Aprovação​

7.2 Critérios Eliminatórios (Reprovação Automática)​

7.3 Aprovação Condicional​

8. Requisitos Contratuais Mínimos​

8.1 Cláusulas Obrigatórias no DPA​

9. Monitoramento Contínuo​

9.1 Atividades de Monitoramento​

9.2 Indicadores de Alerta​

9.3 Registro de Monitoramento​

10. Reavaliação Periódica​

10.1 Frequência de Reavaliação​

10.2 Gatilhos para Reavaliação Extraordinária​

11. Processo de Descontinuação​

11.1 Quando Descontinuar​

11.2 Procedimento de Saída​

12. Responsabilidades​

13. Inventário de Fornecedores​

13.1 Informações a Manter​

13.2 Atualização​

14. Ferramentas​

15. Inventário Atual de Fornecedores Críticos​

Aprovação​

Histórico​

Anexos​