Contratos de compartilhamento mal avaliados expoem empresas a sancoes. Veja por que a due diligence de fornecedores deixou de ser opcional.

A parceria silenciosa que ninguem auditou

Comeca sempre da mesma forma. Uma area de negocio fecha um acordo promissor com um parceiro: um provedor de tecnologia, um bureau de credito, uma plataforma de marketing, um integrador de sistemas. O contrato e assinado, os dados comecam a fluir e, por meses, tudo parece funcionar. A operacao ganha eficiencia, a area comemora resultados e ninguem pergunta exatamente quais dados pessoais estao saindo da empresa, com que finalidade e sob qual base legal.

O problema e que esse fluxo invisivel raramente passou por uma avaliacao formal de fornecedor. Nao houve due diligence, nao houve clausula especifica de protecao de dados, nao houve mapeamento do volume e da natureza das informacoes compartilhadas. O contrato existe no juridico, mas a operacao real de tratamento vive em um ponto cego.

Foi exatamente esse cenario que veio a tona em junho de 2026, quando a Autoridade Nacional de Protecao de Dados (ANPD) abriu processo sancionador contra uma grande operadora por irregularidades no compartilhamento de dados de clientes com um bureau de credito. Segundo a autoridade, o acordo previa a transferencia continua de mais de cem pontos de dados por cliente, em volume que excedia os limites definidos em lei. O que comecou como uma parceria comercial virou exposicao regulatoria.

Por que isso e mais grave do que parece

O compartilhamento de dados com terceiros nao e proibido pela LGPD. O que a lei exige e que ele observe principios e bases legais. O artigo 6 da Lei 13.709/2018 impoe finalidade, adequacao e, sobretudo, necessidade: so se trata o estritamente preciso para alcancar o proposito informado. Quando uma empresa repassa cem campos de dados onde dez bastariam, ela viola o principio da minimizacao, ainda que tenha um contrato assinado.

Ha tambem a questao da base legal. Muitos acordos de compartilhamento se apoiam no legitimo interesse (artigo 7, inciso IX), sem o teste de proporcionalidade que a base exige e sem registro do raciocinio que a sustenta. Outros sequer informaram o titular sobre o compartilhamento, descumprindo o dever de transparencia dos artigos 9 e 18. E quando o terceiro esta no exterior, somam-se os requisitos de transferencia internacional do artigo 33.

O agravante e a responsabilizacao. Pela logica da LGPD, controlador e operador respondem solidariamente por danos, e a empresa que origina os dados nao se exime alegando que o terceiro fez mau uso. O Regulamento de Dosimetria (Resolucao CD/ANPD nº 4/2023) considera, na fixacao de sancoes, justamente a adocao de politicas e a existencia de mecanismos de governanca. Em outras palavras: quem nao consegue demonstrar que avaliou e controlou seus fornecedores entra na fiscalizacao em desvantagem.

A onda fiscalizatoria torna o tema urgente. Com os direitos dos titulares entre os quatro eixos prioritarios da ANPD para o bienio 2026-2027 e a agencia agora reestruturada como entidade reguladora, parcerias de compartilhamento de dados deixaram de ser zona de conforto.

Ha ainda um custo reputacional que precede a multa. O simples anuncio de um processo sancionador associa o nome da organizacao a uma falha de privacidade, com repercussao em clientes, parceiros e investidores. Para setores que dependem de confianca, como servicos financeiros, varejo e tecnologia, a percepcao de descuido com dados de terceiros pode ser mais cara do que a propria penalidade. E o titular, cada vez mais consciente de seus direitos, tende a exercer com mais frequencia o pedido de informacao sobre com quem seus dados foram compartilhados, previsto no artigo 18, inciso VII.

Como o modulo Avaliacao de Fornecedor do PROTEGON resolve

O ponto cego nao se fecha com mais clausulas no contrato. Ele se fecha com um processo recorrente de avaliacao e monitoramento de terceiros, que transforme cada relacao de compartilhamento em um registro auditavel. E isso que o modulo Avaliacao de Fornecedor do PROTEGON estrutura.

• Questionarios de due diligence padronizados, enviados ao fornecedor antes da contratacao, com evidencias anexadas e trilha de respostas que comprovam a diligencia previa.
• Classificacao de risco automatica por fornecedor, considerando volume, natureza e sensibilidade dos dados compartilhados, para priorizar quem exige controle mais rigoroso.
• Registro centralizado das bases legais e finalidades de cada compartilhamento, vinculando o terceiro ao tratamento correspondente e eliminando o fluxo invisivel.
• Controle do ciclo de vida do fornecedor, com reavaliacoes periodicas, alertas de vencimento e historico de cada revisao ao longo do contrato.
• Gestao das clausulas e dos instrumentos contratuais de protecao de dados, garantindo que o que foi acordado no papel corresponda ao que ocorre na operacao.
• Painel de evidencias pronto para fiscalizacao, capaz de demonstrar, fornecedor a fornecedor, que a empresa avaliou, classificou e monitorou cada relacao.

Quando o tema exige aprofundamento, o modulo conversa com o Mapeamento de Dados (ROPA), que inventaria quais tratamentos alimentam cada terceiro, e com o modulo LIA – Legitimo Interesse, que documenta o teste de proporcionalidade nos compartilhamentos baseados nessa hipotese.

Do caos para a previsibilidade

A diferenca pratica e visivel. No cenario sem governanca, a empresa descobre o problema quando recebe a intimacao: corre atras de contratos antigos, tenta reconstruir quais dados foram repassados e percebe que nao tem como provar a diligencia que nunca registrou. O prazo de defesa, que na pratica recente foi de dez dias uteis, vira uma operacao de arqueologia documental.

No cenario com avaliacao estruturada, a logica se inverte. Cada fornecedor ja chega com questionario respondido, risco classificado e base legal registrada. Instituicoes que adotam um processo formal de avaliacao de terceiros conseguem identificar com antecedencia os compartilhamentos excessivos e reduzir de forma expressiva o numero de relacoes sem cobertura contratual adequada, em muitos casos mais de 60% dos fornecedores criticos passando a ter trilha de evidencia em poucos ciclos de revisao.

Essa previsibilidade tambem muda a relacao com as areas de negocio. Em vez de o encarregado ser visto como um obstaculo que trava parcerias, o processo de avaliacao passa a funcionar como um filtro objetivo: fornecedores que apresentam evidencias adequadas avancam rapidamente, e os que oferecem risco desproporcional sao identificados antes que o dado saia da empresa. A governanca deixa de ser reativa e passa a orientar a decisao comercial desde o inicio.

O ganho nao e apenas defensivo. Um inventario vivo de fornecedores acelera contratacoes, encurta respostas a requisicoes de titulares sobre com quem seus dados foram compartilhados e da ao DPO uma visao real da superficie de exposicao da organizacao. A conformidade deixa de ser uma corrida contra o relogio e vira rotina controlada.

Proximo passo

A pergunta que todo encarregado deveria fazer hoje nao e se a empresa compartilha dados com terceiros, porque ela compartilha. A pergunta e outra: diante de uma intimacao da ANPD, sua organizacao consegue provar, fornecedor a fornecedor, quais dados saem, com que finalidade, sob qual base legal e com qual avaliacao previa de risco? Se a resposta depende de procurar contratos perdidos em pastas e e-mails, a parceria silenciosa ja e um risco aberto. Conheca o modulo que transforma a avaliacao de fornecedores em evidencia permanente de accountability