O que é o Sherlocker?

Plataforma de investigação digital que cruza +50 fontes de dados para revelar conexões ocultas entre pessoas e empresas — em segundos, não em dias.

Para quem é o Sherlocker?

Advogados de execução, analistas de compliance, profissionais de crédito e investigadores corporativos que precisam encontrar o que tentam esconder.

Como é diferente de outras ferramentas?

Nosso diferencial é o grafo de conexões visual. Enquanto outras ferramentas mostram telas de dados, o Sherlocker mapeia automaticamente vínculos que você não encontraria.

As informações são atualizadas?

Sim. Integramos diretamente com fontes oficiais e atualizamos os dados continuamente. Você vê o que existe, não o que existia.

O que são "consultas avançadas"?

São buscas que enriquecem seu mapa com dados adicionais: processos judiciais, veículos, histórico societário e mais. As investigações básicas são ilimitadas.

Sim, oferecemos API REST para integração com seus sistemas internos. Disponível nos planos corporativos. Fale com nosso time para saber mais.

Posso testar antes de assinar?

Você tem 5 dias grátis para testar. Cancele quando quiser, sem burocracia.

LGPD e Due Diligence: Como Fazer Investigação Empresarial em Conformidade [2026]

Você precisa verificar um fornecedor antes de fechar contrato. Quer investigar um sócio potencial antes da parceria. Ou precisa fazer background check em candidatos para uma posição estratégica.

Até aí, tudo normal. Isso é due diligence — prática essencial de gestão de riscos.

O problema começa quando você coleta CPF, histórico financeiro, processos judiciais e informações pessoais sem saber se isso está em conformidade com a LGPD. A Lei Geral de Proteção de Dados mudou as regras do jogo. E as multas da ANPD não são mais apenas ameaça teórica — são realidade.

Este guia explica exatamente como fazer LGPD due diligence de forma correta: quais bases legais usar, o que você pode e não pode verificar, e como documentar tudo para evitar problemas com a Autoridade Nacional de Proteção de Dados.

O que é Due Diligence e Por Que a LGPD Mudou as Regras

Due diligence é o processo de investigação e verificação que empresas realizam antes de tomar decisões importantes. Contratar um fornecedor. Fechar uma fusão. Integrar um sócio. Conceder crédito.

O objetivo é simples: identificar riscos antes que se tornem problemas.

Tipos de Due Diligence

A due diligence não é uma coisa só. Existem diferentes modalidades, cada uma com foco específico:

Due diligence financeira examina balanços, fluxo de caixa, dívidas e saúde financeira. É comum em fusões, aquisições e concessão de crédito.

Due diligence jurídica verifica processos, litígios pendentes, conformidade regulatória e contingências legais.

Due diligence de compliance avalia se a empresa ou pessoa segue normas setoriais, regulamentações e boas práticas — especialmente relevante em setores regulados.

Due diligence de integridade investiga reputação, envolvimento em corrupção, sanções e questões éticas. É exigida pela Lei Anticorrupção (Lei 12.846/2013).

Due diligence de proteção de dados — modalidade que ganhou força com a LGPD — analisa como terceiros tratam dados pessoais e se oferecem risco à sua operação.

Como a LGPD Impactou os Processos de Investigação

Antes da LGPD, a due diligence operava em um vácuo regulatório quando o assunto era dados pessoais. Empresas consultavam bases de dados, coletavam informações e armazenavam tudo indefinidamente. Havia pouca ou nenhuma prestação de contas.

A Lei 13.709/2018 (LGPD) mudou isso de três formas fundamentais:

1. Toda coleta de dados pessoais precisa de base legal

Não existe mais "coletar porque posso". Cada dado pessoal tratado durante uma investigação precisa estar amparado por uma das hipóteses do Art. 7 da LGPD. Sem base legal, o tratamento é ilícito.

2. Dados sensíveis têm proteção reforçada

Informações sobre saúde, religião, orientação sexual, filiação sindical e origem racial/étnica têm regras mais rígidas (Art. 11). Não podem ser tratadas com base em legítimo interesse, por exemplo.

3. Princípios limitam a extensão da investigação

Mesmo com base legal, você precisa respeitar necessidade (só coletar o mínimo necessário), finalidade (usar apenas para o fim declarado) e adequação (os dados devem ser compatíveis com o objetivo).

Na prática, isso significa que uma due diligence ilimitada — "levantar tudo sobre a pessoa ou empresa" — pode configurar tratamento irregular e gerar sanções.

Bases Legais da LGPD para Due Diligence e Investigação

A LGPD não proíbe due diligence. Ela exige que você tenha uma justificativa legal válida para cada dado pessoal que tratar. Essa justificativa está no Artigo 7, que lista dez hipóteses de tratamento.

Para investigação empresarial, três bases legais são especialmente relevantes.

Legítimo Interesse (Art. 7, IX)

O legítimo interesse é a base legal mais utilizada em processos de due diligence. Ela permite tratar dados pessoais quando necessário para "atender aos interesses legítimos do controlador ou de terceiro", desde que não prevaleçam os direitos do titular.

Quando usar:

Verificação de histórico de fornecedores antes de contratar
Análise de risco de parceiros comerciais
Background check em candidatos para posições estratégicas
Investigações internas de compliance

Requisitos para usar legítimo interesse:

O legítimo interesse não é carta branca. A ANPD exige que você demonstre três coisas:

Interesse legítimo real — a finalidade deve ser concreta, não hipotética
Necessidade — os dados devem ser realmente necessários para atingir o objetivo
Balanceamento — os direitos do titular não podem ser desproporcionalmente afetados

A ANPD publicou em 2024 o Guia Orientativo sobre Legítimo Interesse, que detalha como aplicar essa base legal corretamente. O documento recomenda a elaboração de um Teste de Balanceamento documentado.

Limitação importante: legítimo interesse não se aplica a dados sensíveis. Se sua investigação envolver informações de saúde, origem racial ou filiação política, você precisa de outra base legal.

Cumprimento de Obrigação Legal ou Regulatória (Art. 7, II)

Quando a lei exige a verificação, você não precisa de consentimento nem de legítimo interesse. O próprio dever legal é a base.

Exemplos práticos:

Lei Anticorrupção (12.846/2013): exige que empresas tenham mecanismos de integridade, incluindo due diligence de terceiros
Lei de Lavagem de Dinheiro (9.613/1998): obriga instituições financeiras a conhecer seus clientes (KYC)
Marco Legal do Saneamento: exige verificação de regularidade de fornecedores
Normas do Banco Central: determinam análise de risco de crédito
Regulamentações setoriais: diversos setores têm exigências específicas de verificação

Vantagem: quando há obrigação legal explícita, a base legal é sólida e menos questionável. Documente qual norma fundamenta a verificação.

Execução de Contrato ou Procedimentos Preliminares (Art. 7, V)

Se a due diligence faz parte de uma negociação ou é necessária para cumprir um contrato, essa base legal se aplica.

Exemplos:

Verificação de crédito antes de conceder financiamento
Análise de documentos em processo de contratação de funcionário
Checagem de dados cadastrais em onboarding de cliente

Essa base é mais restrita: funciona bem para dados diretamente relacionados à relação contratual, mas pode ser insuficiente para investigações mais amplas.

Dados Sensíveis: Quando o Art. 11 Entra em Cena

O Art. 11 da LGPD trata de dados sensíveis — aqueles que revelam origem racial/étnica, convicção religiosa, opinião política, filiação sindical, dados de saúde, vida sexual, dados genéticos ou biométricos.

Regra fundamental: dados sensíveis não podem ser tratados com base em legítimo interesse.

Para tratar dados sensíveis em due diligence, você precisa de:

Consentimento específico e destacado do titular, ou
Cumprimento de obrigação legal (como normas de medicina do trabalho), ou
Exercício regular de direitos em processo (judicial, administrativo ou arbitral)

Implicação prática: se sua due diligence revelar que o investigado tem determinada doença, é filiado a sindicato ou tem origem étnica específica, você tem um problema. A menos que haja base legal específica, esses dados não devem ser coletados nem armazenados.

Due Diligence de Terceiros: O Que Pode e o Que Não Pode

Entender as bases legais é metade do caminho. A outra metade é saber quais verificações são permitidas na prática.

Fornecedores e Parceiros: Verificações Permitidas

Na análise de pessoas jurídicas e seus representantes, você geralmente pode:

✅ Consultar:

Situação cadastral na Receita Federal (CNPJ)
Quadro societário e alterações contratuais (Junta Comercial)
Certidões negativas de débitos (federais, estaduais, municipais)
Processos judiciais públicos (portais dos tribunais)
Sanções e impedimentos (CEIS, CNEP, CEPIM, Lista de Inidôneos do TCU)
Protestos em cartório
Cadastros de crédito (Serasa, SPC, Boa Vista) — com finalidade específica

⚠️ Atenção especial:

Dados de sócios pessoas físicas devem respeitar os mesmos princípios
Informações de representantes legais precisam de base legal própria

Background Check de Pessoas Físicas: Limites Legais

Quando a investigação envolve pessoas físicas diretamente — candidatos a emprego, sócios potenciais, representantes — os cuidados aumentam.

✅ Geralmente permitido (com base legal adequada):

Verificação de dados cadastrais informados pelo próprio titular
Confirmação de formação acadêmica e credenciais profissionais
Consulta a processos judiciais públicos (com finalidade legítima)
Verificação de certidões criminais (quando exigido por lei ou natureza do cargo)

❌ Problemas frequentes:

Coletar dados de redes sociais sem finalidade clara
Investigar vida pessoal sem relação com o risco avaliado
Armazenar dados além do necessário para a decisão
Compartilhar resultados com terceiros sem fundamento

Dados Públicos vs. Dados Privados

Existe um mito perigoso: "se está na internet, posso usar livremente."

A LGPD não funciona assim.

Dados tornados públicos pelo titular podem ser tratados com mais flexibilidade — mas ainda precisam respeitar a finalidade original da divulgação e a boa-fé (Art. 7, §4º).

Dados públicos por força de lei (como processos judiciais ou registros em juntas comerciais) podem ser consultados, mas a utilização deve ter finalidade específica.

O teste: pergunte-se se o uso que você faz dos dados é compatível com a expectativa razoável do titular ao torná-los públicos. Se alguém postou seu currículo no LinkedIn, espera que recrutadores o vejam — não que seja usado para negar crédito.

Consulta a Cadastros Restritivos

Serasa, SPC, Boa Vista e cadastros similares têm regras específicas:

Consultas devem ter finalidade legítima — análise de crédito, verificação de risco
O titular deve ser informado — geralmente via aviso no momento da coleta de dados
Dados negativos têm prazo máximo — 5 anos para dívidas, por exemplo

Cadastros públicos de sanções (CEIS, CNEP, Lista de Inidôneos) são de consulta livre e recomendada em qualquer due diligence de integridade.

Checklist de Adequação LGPD para Due Diligence

A seguir, dez itens essenciais para garantir que seu processo de due diligence esteja em conformidade com a LGPD.

✅ Checklist: Due Diligence em Conformidade com a LGPD

1. Defina a finalidade específica Documente exatamente por que você está fazendo a investigação e quais riscos quer mitigar. "Due diligence de integridade para contratação de fornecedor de alto risco" é específico. "Levantar informações" não é.

2. Identifique a base legal aplicável Para cada categoria de dados que você pretende coletar, registre qual hipótese do Art. 7 (ou Art. 11, se aplicável) fundamenta o tratamento.

3. Colete apenas dados necessários Aplique o princípio da minimização. Se você precisa verificar regularidade fiscal, não precisa do histórico médico. Resista à tentação de "coletar tudo por precaução".

4. Informe os titulares quando possível Se você está fazendo due diligence de um fornecedor, inclua cláusula no contrato ou edital informando sobre as verificações. Transparência reduz risco de contestação.

5. Documente o processo Registre quais fontes foram consultadas, quando, por quem e com qual resultado. Isso cria trilha de auditoria essencial para demonstrar compliance.

6. Elabore teste de balanceamento para legítimo interesse Se usar legítimo interesse como base legal, documente formalmente por que os interesses da empresa prevalecem sobre os direitos do titular no caso concreto.

7. Defina prazo de retenção Por quanto tempo você vai guardar os dados coletados? A LGPD exige que dados sejam eliminados quando não mais necessários. Para due diligence pré-contratual, isso pode ser até a decisão; para registros de compliance, pode haver prazos legais específicos.

8. Limite o acesso interno Nem todos na empresa precisam ver os resultados da investigação. Implemente controles de acesso baseados em necessidade de conhecimento.

9. Avalie necessidade de RIPD Se a due diligence envolver dados sensíveis ou tratamento de alto risco, pode ser necessário elaborar Relatório de Impacto à Proteção de Dados (RIPD) antes de iniciar.

10. Tenha procedimento para direitos dos titulares Se alguém solicitar acesso aos dados coletados sobre si, você precisa responder. Defina previamente como tratar essas solicitações no contexto de investigações.

Background Check Empresarial: Guia Prático

O background check é uma forma específica de due diligence focada em verificar histórico e reputação. Veja como fazer de forma estruturada e conforme a LGPD.

O Que Verificar em Pessoas Físicas (Sócios, Representantes)

Quando investiga sócios, administradores ou representantes legais de uma empresa:

Identidade e representação:

Documento de identidade válido
Comprovação de vínculo com a empresa (contrato social, procuração)
Poderes de representação (limites para assinar, valor de alçada)

Idoneidade:

Certidões de antecedentes criminais (estadual e federal)
Certidão de ações cíveis (justiça estadual e federal)
Pesquisa em diários oficiais (decretos de interdição, inabilitação)

Reputação e integridade:

Menções em listas de sanções (PEP, sanções internacionais)
Notícias negativas relevantes (com critério e contextualização)
Vínculos com empresas problemáticas (quadro societário histórico)

O Que Verificar em Pessoas Jurídicas

Para a empresa em si:

Regularidade:

Situação cadastral CNPJ (ativa, baixada, suspensa)
Certidões negativas de débitos (CND federal, estadual, municipal)
Certidão de regularidade do FGTS
Certidão negativa de débitos trabalhistas (CNDT)

Histórico:

Processos judiciais como autora ou ré
Protestos e dívidas registradas
Falências, recuperações judiciais
Alterações societárias recentes (mudanças bruscas podem indicar risco)

Integridade:

CEIS (Cadastro de Empresas Inidôneas e Suspensas)
CNEP (Cadastro Nacional de Empresas Punidas)
CEPIM (Cadastro de Entidades Privadas Sem Fins Lucrativos Impedidas)
Lista de Inidôneos do TCU
Acordo de Leniência (se aplicável)

Cruzamento de Dados: Como Fazer Sem Violar LGPD

O cruzamento de diferentes fontes de dados potencializa a análise, mas também aumenta o risco regulatório.

Boas práticas:

Cruze dados públicos com dados públicos — menor risco
Documente a finalidade do cruzamento — não é "ver o que aparece"
Evite criar perfis além do necessário — cruze para verificar, não para catalogar
Não cruze dados sensíveis sem base legal específica

Exemplo permitido: verificar se o CNPJ do fornecedor aparece no CEIS e se seus sócios têm processos por improbidade. Ambos são dados públicos com finalidade clara de verificação de integridade.

Exemplo problemático: cruzar dados de redes sociais com registros médicos para "entender melhor" um candidato. Sem base legal e desproporcional.

Uso de Fontes Públicas e OSINT

OSINT (Open Source Intelligence) é a coleta e análise de informações de fontes abertas. É ferramenta valiosa em due diligence, mas exige cuidados.

Fontes de OSINT úteis e de menor risco:

Diários oficiais (publicações legais, nomeações, sanções)
Portais de transparência governamental
Registros de juntas comerciais
Portais de tribunais (processos públicos)
Bases de dados de sanções internacionais
Imprensa e mídia (com verificação de fonte)

Cuidados necessários:

Não confundir "público" com "livre para qualquer uso"
Documentar a fonte e data de cada informação coletada
Verificar credibilidade antes de usar em decisões
Considerar a expectativa de privacidade do titular

O Sherlocker, por exemplo, trabalha com fontes públicas e de consulta autorizada, mantendo rastreabilidade de cada informação e sua fundamentação legal — essencial para auditorias de compliance.

Erros Comuns Que Geram Multas da ANPD

A ANPD tem intensificado a fiscalização desde 2023. Alguns erros em processos de due diligence já resultaram em advertências, multas e obrigações de ajuste.

Coletar Dados Sensíveis Sem Base Legal

O erro: incluir na investigação informações sobre saúde, religião, orientação sexual ou origem racial sem necessidade clara e sem base legal específica.

Por que é grave: dados sensíveis têm proteção máxima na LGPD. O tratamento irregular pode gerar multa de até 2% do faturamento, limitada a R$ 50 milhões por infração.

Como evitar: antes de coletar qualquer dado sensível, pergunte: "Isso é realmente necessário para avaliar o risco?" Se a resposta não for um claro "sim", não colete.

Armazenar Dados Além do Necessário

O erro: manter arquivos de due diligence indefinidamente, "para o caso de precisar no futuro".

Por que é grave: a LGPD determina que dados devem ser eliminados quando não mais necessários para a finalidade que motivou a coleta.

Como evitar: defina política de retenção. Para due diligence pré-contratual que não resultou em negócio, elimine os dados em prazo razoável (30-90 dias, por exemplo). Para verificações vinculadas a contratos, mantenha pelo prazo do contrato mais período de prescrição aplicável.

Compartilhar Resultados Sem Fundamentação

O erro: enviar relatórios de due diligence para terceiros sem justificativa, ou publicar internamente para pessoas que não precisam da informação.

Por que é grave: configura compartilhamento irregular de dados pessoais, violando o princípio da necessidade.

Como evitar: estabeleça níveis de classificação para relatórios de investigação. Defina quem pode acessar cada nível. Não compartilhe externamente sem base legal específica ou cláusula contratual.

Não Documentar a Finalidade do Tratamento

O erro: fazer investigações sem registrar por que foram feitas, quais fontes consultadas e qual base legal fundamenta cada coleta.

Por que é grave: em uma fiscalização da ANPD, o ônus de demonstrar conformidade é do controlador. Sem documentação, você não consegue provar que agiu corretamente.

Como evitar: crie registro de operações de tratamento (Art. 37 da LGPD) que inclua os processos de due diligence. Documente cada investigação: data, responsável, finalidade, base legal, fontes e resultado.

Como a Tecnologia Pode Ajudar na Due Diligence Compliant

Fazer due diligence manual — consultando dezenas de fontes, cruzando dados em planilhas, armazenando documentos em pastas — é trabalhoso e arriscado. Trabalhoso porque consome tempo. Arriscado porque é fácil cometer erros de compliance sem perceber.

Plataformas de investigação empresarial resolvem esses dois problemas.

Automação de Verificações

Soluções especializadas consultam múltiplas bases de dados simultaneamente:

Receita Federal, juntas comerciais, tribunais
Cadastros de sanções e impedimentos
Bases de crédito e protestos
Diários oficiais e fontes públicas

O que levaria horas manualmente acontece em minutos. E com padronização — as mesmas verificações são feitas para todos os terceiros, eliminando viés ou esquecimento.

Logs de Auditoria e Rastreabilidade

Uma das exigências mais difíceis de cumprir manualmente é a rastreabilidade: provar quem consultou o quê, quando e por quê.

Plataformas como o Sherlocker geram logs automáticos de cada consulta. Você consegue demonstrar para a ANPD exatamente quais dados foram tratados, qual a base legal aplicada e quem foi responsável pela análise.

Isso transforma compliance de obrigação burocrática em subproduto natural do processo.

Relatórios com Fundamentação Legal

Relatórios de due diligence gerados por sistemas especializados já vêm com indicação de:

Fontes consultadas e data de consulta
Base legal aplicável para cada categoria de dados
Classificação de risco baseada em critérios objetivos
Recomendações de próximos passos

Isso profissionaliza o processo e reduz a subjetividade — especialmente importante quando a decisão final precisa ser justificada para auditoria ou em juízo.

Integração com Programas de Compliance

A due diligence não existe isolada. Ela é parte de um programa de integridade que inclui:

Código de conduta e políticas
Canal de denúncias
Treinamentos
Monitoramento contínuo

Plataformas modernas se integram a esse ecossistema, permitindo que verificações iniciais se conectem ao monitoramento periódico de terceiros já contratados. Se um fornecedor for incluído no CEIS após a contratação, você fica sabendo automaticamente.

Conclusão: Due Diligence é Possível (e Necessária) na Era LGPD

A LGPD não proibiu investigações empresariais. Ela estabeleceu regras do jogo.

Empresas que fazem due diligence de forma estruturada — com finalidade definida, base legal documentada, coleta mínima necessária e prazo de retenção claro — não têm o que temer.

Empresas que investigam "por investigar", coletam tudo que conseguem e guardam indefinidamente estão expostas a sanções que vão de advertência a multas milionárias.

O caminho é claro:

Documente finalidade e base legal antes de iniciar
Colete apenas o necessário para a decisão
Armazene pelo tempo estritamente necessário
Automatize com ferramentas que garantam rastreabilidade
Revise periodicamente seus processos de verificação

Due diligence bem feita protege sua empresa de riscos de terceiros. Due diligence em conformidade com a LGPD protege sua empresa de riscos regulatórios. As duas coisas não são excludentes — são complementares.

A investigação empresarial inteligente é aquela que entrega insights acionáveis sem criar novos problemas. É exatamente isso que empresas líderes em compliance estão fazendo. E você?

Sobre o Sherlocker: Plataforma de investigação empresarial que combina inteligência artificial com bases de dados públicas e autorizadas para entregar due diligence compliant, rastreável e automatizada. Conheça mais em sherlocker.com.br.