✅ Dados Verificados

ANPD aplicou mais de R$ 70 milhões em multas por violações à LGPD desde 2023. 60% das multas envolvem tratamento inadequado por terceiros (operadores). Contratos sem DPA (Data Processing Agreement) são infração grave. Prazo para notificação de incidente: em até 24 horas para a ANPD.

Nota editorial: Em temas jurídicos e regulatórios, valide jurisdição, escopo e legislação local antes de tomar qualquer decisão final. Este conteúdo é informativo, não constitui aconselhamento jurídico.

Por que o fornecedor cloud é crítico para LGPD

Em cloud, a pergunta não é só se o fornecedor é bom, mas se ele consegue provar que protege o dado. Sem evidência, compliance fica só no discurso. E na LGPD, responsabilidade é compartilhada: controlador (você) e operador (fornecedor) respondem.

Checklist de controles mínimos obrigatórios

1. Contratuais

  • DPA (Data Processing Agreement) assinado e vigente
  • Cláusulas de tratamento de dados claras e específicas
  • Mapa de suboperadores atualizado (quem mais processa os dados?)
  • Direitos do titular: acesso, correção, eliminação
  • Plano de retorno/deleção dos dados ao encerrar contrato

2. Técnicos

  • Criptografia em trânsito (TLS 1.2+)
  • Criptografia em repouso (AES-256 ou equivalente)
  • Controle de acesso: autenticação multifator (MFA)
  • Registro de acessos administrativos (logs auditáveis)
  • Segmentação de rede (VPC, subnets isoladas)

3. Organizacionais

  • Política de retenção e descarte documentada
  • Plano de resposta a incidente (breach notification)
  • Treinamento de equipe em segurança e privacidade
  • Nomeação de DPO (se aplicável ao fornecedor)

O que pedir como evidência

ItemEvidência aceitávelValidadeResponsável interno
Segurança da informaçãoISO 27001, SOC 2 Type II, ou relatório de pentest12-24 mesesTI / Segurança
Privacidade/LGPDDPA assinado, política de privacidade alinhadaVigência do contratoJurídico / DPO
Continuidade de negócioRelatório de DR, RTO/RPO documentados12 mesesOperações
Localização de dadosCertificação de data center, contrato de hospedagemVigênciaTI / Compliance

Cláusulas contratuais que merecem atenção redobrada

  1. Subcontratação encadeada: O fornecedor pode usar outros? Com quem? Comunicado prévio?
  2. Notificação de incidente: Em quanto tempo você é avisado? 24h? 72h?
  3. Exclusão de dados ao término: Certificação de destruição? Prazo?
  4. Local de processamento: Dados ficam no Brasil? Podem ir para exterior? Com quem?
  5. Auditoria: Você tem direito de auditar o fornecedor?

Red flags: quando fugir

  • Documentos genéricos demais: DPA de 2 páginas que não menciona seu negócio.
  • Incerteza sobre onde o dado fica: "Fica na nuvem" não é resposta.
  • Falta de SLA para incidentes: Não há compromisso de notificação.
  • Sem criptografia: Em 2026, isso é inaceitável.
  • Recusa em assinar DPA: Não negocie isso. É obrigatório.

Processo de due diligence sugerido

  1. Antes da contratação: Solicite ISO 27001, SOC 2, DPA modelo
  2. Na negociação: Adapte DPA às suas finalidades de tratamento
  3. Semestralmente: Reavalie evidências, verifique suboperadores
  4. Anualmente: Renove certificações, faça revisão contratual

Regra de ouro

Sem evidência, compliance vira narrativa. Com evidência documentada, vira governança operacional. E governança é o que protege sua empresa quando a ANPD vier bater à porta.

Valide os dados no site oficial antes de tomar a decisão final. Consulte um advogado especializado em proteção de dados para orientação específica.

Publicado em 04 de maio de 2026