Inventário de Terceiros e Suboperadores

📥Download deste documento em formato editávelDOCX

Obrigatório

Código: REG-TERC-001 Versão: 1.0 Última Atualização: 01 de dezembro de 2025 Responsável: Pedro Henrique Rosa Barbosa

1. Objetivo

Manter registro atualizado de todos os terceiros (suboperadores, fornecedores de SaaS, parceiros) que têm acesso ou processam dados pessoais em nome da organização, conforme exigido pelo Art. 39 da LGPD, garantindo que todos estejam em conformidade e com contratos adequados.

1.1 Escopo

Este inventário abrange:

Suboperadores (processam dados a nosso pedido)
Fornecedores de SaaS/Cloud
Prestadores de serviços com acesso a dados
Parceiros de integração
Consultorias e assessorias

1.2 Base Legal

Art. 39 da LGPD: Obrigação do operador de comunicar suboperadores
Art. 46: Medidas de segurança
Art. 42: Responsabilidade solidária

2. Classificação de Terceiros

2.1 Categorias

Categoria	Descrição	Requisitos
Suboperador Crítico	Processa dados sensíveis ou de menores	DPA obrigatório, auditoria anual
Suboperador Padrão	Processa dados pessoais comuns	DPA obrigatório, avaliação bienal
SaaS/Cloud	Infraestrutura e serviços em nuvem	DPA, certificações, localização
Consultoria	Acesso pontual para projetos	NDA + cláusulas LGPD, acesso limitado
Integração	APIs e trocas de dados	Contrato de integração, segurança

2.2 Níveis de Risco

Nível	Critérios	Frequência de Revisão
Alto	Dados sensíveis, menores, grande volume, transferência internacional	Semestral
Médio	Dados pessoais comuns, volume moderado	Anual
Baixo	Dados limitados, acesso restrito	Bienal

3. Template de Registro de Terceiro

3.1 Identificação do Terceiro

Campo	Informação
ID Interno	TERC-[SEQUENCIAL]
Razão Social	[RAZÃO SOCIAL COMPLETA]
Nome Fantasia	[NOME FANTASIA]
CNPJ	[XX.XXX.XXX/XXXX-XX]
País Sede	[PAÍS]
Website	[URL]
Categoria	[Suboperador/SaaS/Consultoria/Integração]
Nível de Risco	[Alto/Médio/Baixo]
Status	[Ativo/Inativo/Em avaliação]

3.2 Contato de Privacidade

Campo	Informação
Nome do DPO/Responsável	[NOME]
E-mail Privacidade	[EMAIL]
Telefone	[TELEFONE]

3.3 Serviço e Dados

Campo	Descrição
Serviço Prestado	[Descrição do serviço]
Área Usuária	[Área interna que utiliza]
Categorias de Dados Acessados	[Lista de categorias]
Dados Sensíveis	[Sim/Não] - Quais: [ESPECIFICAR]
Dados de Menores	[Sim/Não]
Volume Aproximado	[Quantidade de registros/titulares]
Finalidade do Tratamento	[FINALIDADE]

3.4 Documentação Contratual

Documento	Status	Data	Validade	Link/Referência
Contrato Principal	[Assinado/Pendente]	[DATA]	[DATA]	[REF]
DPA/Aditivo LGPD	[Assinado/Pendente]	[DATA]	[DATA]	[REF]
NDA	[Assinado/Pendente]	[DATA]	[DATA]	[REF]
SLA	[Assinado/Pendente]	[DATA]	[DATA]	[REF]

3.5 Segurança e Compliance

Aspecto	Status	Evidência
Certificação ISO 27001	[Sim/Não/Em progresso]	[CERTIFICADO]
SOC 2	[Type I/Type II/Não]	[RELATÓRIO]
Política de Privacidade	[Publicada/Analisada]	[URL]
Questionário de Segurança	[Respondido/Pendente]	[DATA]
Auditoria Realizada	[Sim/Não]	[DATA]

3.6 Localização dos Dados

Campo	Informação
Data Center Principal	[PAÍS/REGIÃO]
Data Center Backup	[PAÍS/REGIÃO]
Transferência Internacional	[Sim/Não]
Mecanismo de Transferência	[Cláusulas padrão/Adequação/Outro]
Países com Acesso	[LISTA DE PAÍSES]

3.7 Suboperadores Próprios

Suboperador	Serviço	País	DPA
[NOME]	[SERVIÇO]	[PAÍS]	[SIM/NÃO]
[NOME]	[SERVIÇO]	[PAÍS]	[SIM/NÃO]

3.8 Avaliações e Revisões

Data	Tipo	Resultado	Responsável	Próxima
[DATA]	Due diligence inicial	[APROVADO/REPROVADO/CONDICIONAL]	[NOME]	[DATA]
[DATA]	Revisão periódica	[APROVADO/REPROVADO/CONDICIONAL]	[NOME]	[DATA]
[DATA]	Auditoria	[APROVADO/REPROVADO/CONDICIONAL]	[NOME]	[DATA]

4. Inventário de Suboperadores

4.1 Suboperadores Críticos (Risco Alto)

ID	Nome	Serviço	Dados	País	DPA	Última Avaliação	Status
TERC-001	Amazon Web Services (AWS)	Infraestrutura Cloud	Todos os dados	EUA	✓	15/12/2025	Ativo

4.2 Suboperadores Padrão (Risco Médio)

ID	Nome	Serviço	Dados	País	DPA	Última Avaliação	Status
TERC-002	PJBank	Gateway de Pagamentos	Dados financeiros	Brasil	✓	15/12/2025	Ativo
TERC-003	Intercom	Suporte/Chat	Nome, e-mail, telefone	EUA	Verificar	15/12/2025	Ativo
TERC-004	eNotas	Emissão de NF-e	Dados fiscais	Brasil	Verificar	15/12/2025	Ativo

4.3 Ferramentas SaaS

ID	Nome	Categoria	Dados Acessados	País	DPA	Status
TERC-001	AWS	Infraestrutura	Todos os dados	EUA	✓	Ativo
TERC-003	Intercom	Suporte/Chat	Dados de contato	EUA	Verificar	Ativo

Observação

A iScholar não utiliza ferramentas de analytics de terceiros. O monitoramento é feito via CloudWatch (AWS).

4.4 Consultorias e Prestadores

ID	Nome	Serviço	Acesso	DPA/NDA	Status
-	Não há consultorias com acesso ativo	-	-	-	-

5. Resumo de Compliance

5.1 Status Geral

Métrica	Quantidade	%
Total de terceiros cadastrados	4	100%
Com DPA assinado	2	50%
Com avaliação em dia	4	100%
Pendentes de regularização	2	50%
Com transferência internacional	2	50%

5.2 Por Nível de Risco

Risco	Quantidade	Com DPA	Avaliação em Dia
Alto	1	1	1
Médio	3	1	3
Baixo	0	0	0

5.3 Por Localização

Localização	Quantidade	Mecanismo de Transferência
Brasil	2	N/A
EUA	2	SCCs (Cláusulas Contratuais Padrão)
União Europeia	0	N/A
Outros	0	N/A

6. Due Diligence de Fornecedores

6.1 Checklist de Avaliação Inicial

#	Item	Obrigatório	Verificado
1	Política de privacidade publicada	Sim	[ ]
2	DPO/responsável designado	Risco Alto	[ ]
3	Certificações de segurança	Risco Alto/Médio	[ ]
4	Aceite de DPA/cláusulas LGPD	Sim	[ ]
5	Localização de dados informada	Sim	[ ]
6	Lista de suboperadores	Risco Alto	[ ]
7	Questionário de segurança	Risco Alto/Médio	[ ]
8	Referências/histórico	Risco Alto	[ ]

6.2 Critérios de Aprovação

Nível de Risco	Requisitos Mínimos
Alto	DPA + ISO 27001 ou SOC 2 + Questionário + DPO
Médio	DPA + Política de privacidade + Questionário
Baixo	NDA + Cláusulas LGPD no contrato

6.3 Pendências de Regularização

ID	Terceiro	Pendência	Prazo	Responsável	Status
TERC-003	Intercom	Verificar DPA existente	Q1 2026	Pedro H. R. Barbosa	Pendente
TERC-004	eNotas	Verificar DPA existente	Q1 2026	Pedro H. R. Barbosa	Pendente

7. Cronograma de Reavaliação

7.1 Próximas Avaliações

ID	Terceiro	Tipo Avaliação	Data Prevista	Responsável
TERC-001	AWS	Revisão semestral	Jun/2026	Pedro H. R. Barbosa
TERC-002	PJBank	Revisão anual	Dez/2026	Pedro H. R. Barbosa
TERC-003	Intercom	Revisão anual	Dez/2026	Pedro H. R. Barbosa
TERC-004	eNotas	Revisão anual	Dez/2026	Pedro H. R. Barbosa

7.2 Avaliações Atrasadas

ID	Terceiro	Tipo	Atraso	Ação
-	Nenhuma avaliação atrasada	-	-	-

8. Fluxo de Gestão de Terceiros

┌─────────────────────────────────────────────────────────────────────────────┐
│                    CICLO DE VIDA DO TERCEIRO                                 │
├─────────────────────────────────────────────────────────────────────────────┤
│                                                                              │
│  1. IDENTIFICAÇÃO     2. AVALIAÇÃO      3. CONTRATAÇÃO    4. MONITORAMENTO  │
│  ┌──────────────┐    ┌──────────────┐   ┌──────────────┐  ┌──────────────┐  │
│  │ Necessidade  │    │ Due          │   │ DPA/NDA      │  │ Revisões     │  │
│  │ de novo      │───>│ diligence    │──>│ Contrato     │─>│ periódicas   │  │
│  │ fornecedor   │    │ de privacidade│  │              │  │              │  │
│  └──────────────┘    └──────────────┘   └──────────────┘  └──────────────┘  │
│                            │                                     │          │
│                            ▼                                     │          │
│                      ┌───────────┐                               │          │
│                      │ Aprovado? │──── Não ──> Buscar alternativa│          │
│                      └───────────┘                               │          │
│                            │ Sim                                 │          │
│                            ▼                                     ▼          │
│                      Cadastrar no                          ┌──────────┐     │
│                      inventário                            │ Problema │     │
│                                                            │ detectado│     │
│                                                            └──────────┘     │
│  5. ENCERRAMENTO                                                │          │
│  ┌──────────────┐                                               ▼          │
│  │ Fim do       │   <───────────────────────────────    Plano de ação/     │
│  │ contrato     │                                       Descontinuar       │
│  │              │                                                          │
│  │ - Devolução  │                                                          │
│  │   de dados   │                                                          │
│  │ - Certificado│                                                          │
│  │   eliminação │                                                          │
│  └──────────────┘                                                          │
│                                                                              │
└─────────────────────────────────────────────────────────────────────────────┘

9. Requisitos Contratuais

9.1 Cláusulas Obrigatórias no DPA

Cláusula	Descrição	Status
Objeto e finalidade	Descrição clara do tratamento	Obrigatório
Instruções documentadas	Tratamento apenas conforme instruções	Obrigatório
Confidencialidade	Obrigação de sigilo dos colaboradores	Obrigatório
Medidas de segurança	Padrões técnicos e organizacionais	Obrigatório
Suboperadores	Autorização prévia e responsabilidade	Obrigatório
Direitos dos titulares	Auxílio no atendimento	Obrigatório
Notificação de incidentes	Prazo e formato de comunicação	Obrigatório
Auditoria	Direito de auditoria do contratante	Obrigatório
Término	Devolução ou eliminação de dados	Obrigatório
Responsabilidade	Indenização por descumprimento	Recomendado

9.2 Template de DPA

Disponível em: https://lgpd.ischolar.app/templates/dpa

10. Controle de Versões

10.1 Periodicidade de Atualização

Evento	Ação
Novo terceiro	Cadastro imediato
Alteração de escopo	Atualização em 7 dias
Encerramento	Atualização imediata + registro de eliminação
Revisão geral	Trimestral

10.2 Histórico

Versão	Data	Autor	Alteração
1.0	15/12/2025	Pedro Henrique Rosa Barbosa	Versão inicial

11. Aprovação

Função	Nome	Data
DPO / Diretor de Tecnologia	Pedro Henrique Rosa Barbosa	15/12/2025

Anexos

Anexo A: Template de DPA (Data Processing Agreement)
Anexo B: Questionário de Due Diligence
Anexo C: Checklist de Avaliação de Terceiros
Anexo D: Template de Certificado de Eliminação de Dados
Anexo E: Lista de Suboperadores Autorizados

1. Objetivo​

1.1 Escopo​

1.2 Base Legal​

2. Classificação de Terceiros​

2.1 Categorias​

2.2 Níveis de Risco​

3. Template de Registro de Terceiro​

3.1 Identificação do Terceiro​

3.2 Contato de Privacidade​

3.3 Serviço e Dados​

3.4 Documentação Contratual​

3.5 Segurança e Compliance​

3.6 Localização dos Dados​

3.7 Suboperadores Próprios​

3.8 Avaliações e Revisões​

4. Inventário de Suboperadores​

4.1 Suboperadores Críticos (Risco Alto)​

4.2 Suboperadores Padrão (Risco Médio)​

4.3 Ferramentas SaaS​

4.4 Consultorias e Prestadores​

5. Resumo de Compliance​

5.1 Status Geral​

5.2 Por Nível de Risco​

5.3 Por Localização​

6. Due Diligence de Fornecedores​

6.1 Checklist de Avaliação Inicial​

6.2 Critérios de Aprovação​

6.3 Pendências de Regularização​

7. Cronograma de Reavaliação​

7.1 Próximas Avaliações​

7.2 Avaliações Atrasadas​

8. Fluxo de Gestão de Terceiros​

9. Requisitos Contratuais​

9.1 Cláusulas Obrigatórias no DPA​

9.2 Template de DPA​

10. Controle de Versões​

10.1 Periodicidade de Atualização​

10.2 Histórico​

11. Aprovação​

Anexos​