Home Empresas Privadas Setor Público Fornecedores Insights Sobre Acessar Plataforma Solicitar Demo
Artigo 24 jun 2026

LGPD em Procurement: Como Tratar Dados de Fornecedores, Sócios e Colaboradores

Entenda como aplicar LGPD em cadastro, due diligence, contratos, portais, dados bancários, fornecedores e transferências internacionais.

capa 118

Procurement trata dados pessoais mesmo quando contrata empresas.

Exemplos: nome e contato do representante, CPF de sócio, documento de procurador, dados bancários de pessoa física, currículo de consultor, informações de colaboradores terceirizados, registros de acesso, assinatura, imagem, localização e dados de saúde em determinados serviços.

A Lei Geral de Proteção de Dados Pessoais — Lei nº 13.709/2018 — aplica-se ao tratamento de dados pessoais realizado por pessoas naturais ou jurídicas, públicas ou privadas, nas condições previstas pela lei.

O desafio de procurement é equilibrar contratação, risco, integridade, segurança, eficiência e direitos dos titulares. A solução não é deixar de coletar tudo. Também não é coletar qualquer informação "por precaução".

Dado da empresa e dado pessoal

Dado da pessoa jurídica

Razão social, CNPJ, produto e endereço empresarial podem não ser dados pessoais por si mesmos.

Dado pessoal

Informação relacionada a pessoa natural identificada ou identificável. Exemplos: nome, CPF, e-mail individual, telefone, assinatura, localização e avaliação individual.

Dado pessoal sensível

Inclui categorias previstas na LGPD, como saúde, biometria, origem racial ou étnica, convicção religiosa e outras.

Uma base de fornecedores pode conter os três tipos.

O ciclo de dados em procurement

  1. planejamento;
  2. prospecção;
  3. sourcing;
  4. cadastro;
  5. due diligence;
  6. contrato;
  7. operação;
  8. pagamento;
  9. performance;
  10. auditoria;
  11. offboarding;
  12. retenção ou exclusão.

A privacidade precisa acompanhar todo o ciclo.

Finalidade

Para cada dado, pergunte: por que precisamos? Para qual processo? Quem usa? Por quanto tempo? É compartilhado? Existe alternativa menos invasiva? O titular foi informado quando aplicável?

Exemplo: solicitar CPF de todos os funcionários do fornecedor durante uma cotação preliminar pode ser excessivo. Solicitar identificação dos profissionais que acessarão uma instalação pode ser necessário em etapa posterior.

Adequação e necessidade

A coleta deve ser compatível com a finalidade e limitada ao mínimo necessário.

Aplicações: pedir documentos apenas aos finalistas, ocultar campos não necessários, usar faixas em vez de detalhes, coletar contatos corporativos, restringir dados sensíveis, reutilizar informação válida e eliminar duplicidade.

Base legal

A LGPD prevê diferentes bases legais, conforme a operação. Possibilidades podem envolver execução de contrato, procedimentos preliminares, obrigação legal ou regulatória, exercício regular de direitos, legítimo interesse, consentimento e outras hipóteses previstas.

Consentimento não deve ser usado automaticamente. A base precisa ser definida pelo controlador conforme o contexto.

Controlador e operador

Controlador

Toma as decisões referentes ao tratamento.

Operador

Realiza o tratamento em nome do controlador.

A ANPD orienta que a definição depende das funções reais, não apenas do título contratual. Uma empresa pode ser controladora em uma atividade e operadora em outra.

Chamar toda contraparte de operador pode ser juridicamente inadequado.

Dados no sourcing

Durante RFI, RFP ou RFQ, podem aparecer contatos, currículos, referências, organogramas, documentos, declarações e propostas.

Controles: acesso restrito, ambiente seguro, finalidade, prazo, confidencialidade, descarte das propostas e separação entre concorrentes.

Due diligence

Pode exigir informações sobre sócios, beneficiários, representantes, conflitos, sanções, processos e integridade.

A análise deve ser proporcional, fundamentada, atual, segura, restrita e revisável.

Não transforme investigação em coleta indiscriminada de dados familiares, políticos, médicos ou privados.

Dados de colaboradores terceirizados

Possíveis finalidades: acesso, qualificação, segurança, folha, obrigação, medição e fiscalização.

Evite receber prontuários, diagnósticos, detalhes não necessários e documentos sem finalidade.

Dados bancários

Controles: acesso mínimo, autenticação, segregação, logs, confirmação, criptografia, alteração independente e retenção.

Não envie planilhas bancárias por canais informais.

Portal de fornecedores

Requisitos: aviso de privacidade, finalidade, perfis, acesso, MFA, retenção, correção, suporte, registro e resposta a direitos.

O fornecedor deve saber quais dados está fornecendo e para quais usos.

Direitos dos titulares

Procurement deve saber encaminhar solicitações relativas a confirmação, acesso, correção, anonimização, bloqueio, eliminação, informação, revisão e oposição, conforme aplicável.

Não responda diretamente sem seguir o processo da organização.

Contrato de tratamento ou DPA

Um instrumento pode tratar de objeto, papéis, instruções, finalidade, categorias, titulares, segurança, incidentes, suboperadores, transferência, direitos, auditoria, retenção, exclusão, cooperação e término.

O nome "DPA" não garante que o documento esteja adequado.

Suboperadores

A ANPD define suboperador como o agente contratado pelo operador para auxiliá-lo no tratamento realizado em nome do controlador.

Defina autorização, lista, mudança, obrigações equivalentes, localização, responsabilidade e saída.

Segurança

A LGPD exige medidas técnicas e administrativas aptas a proteger dados pessoais.

Controles: acesso, autenticação, criptografia, logs, segregação, backup, vulnerabilidades, desenvolvimento, treinamento, resposta e continuidade.

Incidentes

A Resolução CD/ANPD nº 15/2024 regulamenta a comunicação de incidentes de segurança.

O contrato deve definir notificação do fornecedor, prazo contratual, conteúdo, preservação, investigação, cooperação, suboperadores, comunicação e remediação.

O prazo do fornecedor precisa permitir que o controlador cumpra suas obrigações.

Transferência internacional

Pode ocorrer quando dados são hospedados, acessados, suportados, analisados ou processados fora do Brasil.

A Resolução CD/ANPD nº 19/2024 regulamenta mecanismos de transferência internacional e cláusulas-padrão contratuais.

Perguntas: onde estão os dados? Quem acessa? Qual mecanismo? Quais suboperadores? Como atender titulares?

Retenção

Defina prazos por finalidade: fiscal, contratual, integridade, segurança, disputa, garantia, auditoria e cadastro.

Não mantenha dados "para sempre". Também não elimine registros sujeitos a obrigação ou legal hold.

Decisões automatizadas

Ferramentas podem classificar fornecedor, detectar risco, recomendar, bloquear ou priorizar.

Cuidados: explicação, qualidade, viés, contestação, supervisão, segurança e proporcionalidade.

Não transforme score automatizado em decisão definitiva de alto impacto sem governança.

Caso prático: contratação de plataforma de benefícios

A solução trata dados de colaboradores e dependentes. O processo mapeia finalidades, identifica categorias, define papéis, avalia segurança, verifica suboperadores, analisa transferência, negocia DPA, define incidentes, configura retenção e planeja saída.

Procurement coordena, mas privacidade e jurídico validam.

Erros comuns

Como a CapturaMe se conecta a esse cenário

A CapturaMe pode estruturar formulários, perfis, acessos, documentos, bases, contratos, suboperadores, incidentes e retenção dentro do ciclo de fornecedores. A plataforma ajuda a reduzir planilhas dispersas e a aplicar minimização e governança por processo.

Conclusão

LGPD em procurement não é apenas incluir uma cláusula contratual.

É compreender quais dados entram no ciclo, por que são necessários, quem decide, quem trata, como são protegidos e quando devem sair. A privacidade precisa estar incorporada ao onboarding, à operação e ao offboarding.

Conheça a CapturaMe para gestão de fornecedores

Perguntas frequentes

Dados de empresas estão fora da LGPD?

Dados exclusivamente empresariais podem não ser pessoais, mas bases de fornecedores normalmente contêm informações de pessoas naturais.

Todo fornecedor é operador?

Não. O papel depende das decisões e atividades reais.

Consentimento é obrigatório?

Não em todas as situações. A base legal depende da finalidade e do contexto.

Preciso de DPA com todo fornecedor?

É especialmente relevante quando a contraparte trata dados pessoais, mas o instrumento e a profundidade devem refletir a operação.

Cloud estrangeira é transferência internacional?

Pode envolver transferência ou acesso internacional e exige análise conforme a regulamentação aplicável.

Procurement pode responder a um titular?

Deve seguir o processo do controlador e encaminhar aos responsáveis definidos.

Compartilhe:

Continue explorando

Pronto para transformar
seu procurement?

Agende um diagnóstico gratuito e descubra como a CapturaMe pode reduzir seus custos.

Agendar diagnóstico