Due Diligence de Fornecedores LGPD para PMEs: Questionário Prático

Assinar contrato sem avaliar segurança do fornecedor é transferir risco para sua operação. Due diligence simples evita surpresas caras.

Questionário mínimo (pré-contrato)

1. Quais dados pessoais o fornecedor tratará?
2. Há suboperadores? Onde estão localizados?
3. Quais controles de segurança estão ativos (MFA, criptografia, logs)?
4. Qual SLA de notificação de incidente?
5. Como ocorre devolução/eliminação de dados no encerramento?

Classificação de risco

• Baixo: dados limitados, baixo impacto
• Médio: dados operacionais relevantes
• Alto: dados sensíveis/volume alto/serviço crítico

Checklist de decisão

• Aprovado sem ressalvas
• Aprovado com plano corretivo
• Reprovado por risco não mitigável

Interlink do cluster

• Inventário de operadores LGPD
• Auditoria interna LGPD
• Resposta a incidentes LGPD

Conclusão

Due diligence de fornecedor não é burocracia: é controle de risco terceirizado.