O risco de um terceiro não nasce na portaria. Ele nasce no quadro societário de uma prestadora que você nunca olhou. Em 2026, o Brasil tem cerca de 12,5 milhões de trabalhadores terceirizados (fonte: levantamento de entidades acadêmicas e sindicais a partir de dados do IBGE, 2025, adunesp.org.br) — e cada um deles entra pela cadeia de um fornecedor cujo CNPJ a maioria das áreas de RH nunca verificou de verdade. Background check virou rotina. KYE e KYS, não.

O ponto cego não é o candidato. É a prestadora.

ADUNESP/IBGE, 2025; Lei 13.709/2018 (LGPD), art. 52

Pergunte a um head de RH como ele valida um candidato CLT. Ele descreve um fluxo razoável: documento, referências, às vezes uma consulta de antecedentes. Agora pergunte como ele valida a empresa de limpeza, de portaria, de TI ou de logística que coloca cinquenta pessoas dentro da operação todo mês. O silêncio é a resposta.

É aí que mora o risco. A responsabilidade trabalhista não some quando você terceiriza. A Lei 13.429/2017 e a Reforma Trabalhista (Lei 13.467/2017) liberaram a terceirização inclusive da atividade-fim, mas mantiveram intacta a responsabilidade subsidiária do tomador pelas obrigações que a prestadora deixar de pagar (fonte: TST, jurisprudência consolidada, tst.jus.br). Traduzindo: se a empresa que você contratou não recolher encargos, a conta volta para você. E uma prestadora prestes a virar fachada — quadro societário em mutação, protestos acumulando, situação cadastral suspensa — é justamente a que vai deixar a conta.

O background check tradicional resolve metade do problema. A outra metade é diligência de fornecedor: saber quem controla a prestadora, se ela está viva, se há vínculo societário escondido entre o sócio dela e alguém de dentro da sua casa. RH e compliance interno raramente conversam sobre isso. Em 2026, precisam.

KYE e KYS: os dois lados da mesma diligência

Os acrônimos vieram do compliance financeiro e migraram para dentro do RH e da gestão de terceiros. Conhecer cada elo importa. O controle muda conforme o objeto da verificação, e tratar pessoa e empresa como a mesma coisa é onde o processo começa a falhar.

  • KYE — Know Your Employee. Verificação do colaborador (PF): identidade, vínculos societários (a pessoa é sócia de empresa concorrente? de fornecedor?), exposição como PEP, presença em listas de sanções e processos relevantes para o cargo. Dado de pessoa física, base legal sensível.
  • KYS — Know Your Supplier. Verificação do fornecedor (PJ): situação cadastral na Receita Federal, quadro de sócios e beneficiário final, presença em cadastros de empresas inidôneas, saúde operacional e capacidade de honrar encargos. Dado majoritariamente público de PJ — e o que mais protege o tomador.

Quem só faz KYE checa a pessoa que aperta a mão na integração e ignora a estrutura que a empregou. Para o detalhe conceitual de cada elo — KYC, KYE, KYS, KYB — vale o explicador em KYC, KYE, KYS e KYB: cada elo da cadeia de verificação. Aqui o foco é a aplicação: como RH e compliance interno operam isso sem virar réu.

O candidato você entrevista. A prestadora você audita. São diligências diferentes, com bases legais diferentes, e a maioria das empresas faz só a primeira.

O que o TST já vetou (e onde o RH erra na largada)

Antes de falar em ferramenta, um alerta jurídico que muda o desenho do processo. O Tribunal Superior do Trabalho, em julgamento de recurso repetitivo de efeito vinculante, fixou que exigir certidão de antecedentes criminais de candidato a emprego é ilícito quando traduz tratamento discriminatório ou não se justifica por previsão em lei, pela natureza do ofício ou por grau especial de fidúcia (fonte: TST, recurso de revista repetitivo, tst.jus.br).

Onde a consulta é legítima? O próprio TST listou as hipóteses: cargos com manuseio de armas, transporte de valores ou cargas, cuidado de crianças, idosos e incapazes, e acesso a informação sigilosa. Fora disso, pedir antecedente "para todo mundo" não é prudência. É passivo de dano moral.

A lição para o RH é cirúrgica: o background check precisa ser proporcional ao cargo, não um carimbo único aplicado a toda vaga. Verificar identidade, vínculo societário e listas de sanções tem fundamento amplo. Verificar antecedente criminal tem fundamento estreito. Confundir os dois é o erro mais caro de 2026.

LGPD: a verificação tem dono, finalidade e prazo

Background check no Brasil é tratamento de dado pessoal sob a LGPD (Lei 13.709/2018) desde o primeiro campo coletado. E a Autoridade Nacional de Proteção de Dados intensificou o olhar sobre processos seletivos em 2025 e 2026, num movimento que o próprio noticiário jurídico já vinha sinalizando (fonte: JOTA, 2025, jota.info). A sanção pesa: multa de até 2% do faturamento, limitada a R$ 50 milhões por infração (fonte: Lei 13.709/2018, art. 52, planalto.gov.br). Não é teórico.

Três princípios da lei desenham o processo correto:

  1. Finalidade e necessidade. Só colete o dado que o cargo exige. Antecedente criminal para auxiliar de cozinha não passa no teste de necessidade — e foi exatamente o que o TST condenou.
  2. Base legal explícita. Para o candidato, a base costuma ser procedimentos preliminares ao contrato; para o fornecedor PJ, dado público e legítimo interesse sustentam a maior parte da diligência. Documente qual base sustenta cada consulta.
  3. Transparência e retenção. O titular precisa saber que está sendo verificado, e o dado não pode ficar guardado para sempre. Verificação descartada, dado descartado.

Note a assimetria que trabalha a seu favor. O KYS de uma prestadora se apoia majoritariamente em dado público de PJ — Receita Federal, juntas comerciais, cadastros de inidôneos — o que reduz a exposição sob LGPD em comparação com o KYE de candidatos. Auditar fornecedor é, ao mesmo tempo, o controle mais protetor e o juridicamente mais simples. Para o mapa regulatório completo, veja o glossário de regulação: LGPD, ANPD e Open Finance PJ e regulação de dados e compliance em 2026.

Onde mora o risco de terceiros: o quadro societário

A fraude estrutural de fornecedor quase nunca aparece na proposta comercial. Ela aparece no CNPJ. Veja os padrões que um KYS bem feito captura e o olho humano não:

Sinal no CNPJ da prestadoraO que costuma indicarQuem deveria pegar
Sócio em comum com colaborador internoConflito de interesse / direcionamento de contratoKYE + KYS cruzados
Situação cadastral suspensa ou inapta na ReceitaEmpresa pode não honrar encargosKYS
Quadro societário trocado meses antes do contratoPossível interposição / laranjaKYS + beneficiário final
Presença em cadastro de inidôneas (CEIS)Punição administrativa por fraude/inadimplênciaKYS
Protestos e ações trabalhistas acumulandoSaúde operacional deteriorandoOperational Health Index PJ

Repare na última linha. Não basta a prestadora existir hoje. Importa se ela estará viva em seis meses, quando o passivo trabalhista vier cobrar. Uma empresa que está morrendo é uma empresa que vai deixar a conta para o tomador. Esse é o tipo de leitura que separa diligência de carimbo.

A prestadora-fachada: o caso que o RH não enxerga

Há um padrão que conecta RH e antifraude e que poucos cruzam. A empresa-fachada não serve só para lavagem ou fraude fiscal. Ela também aparece como prestadora de serviços: CNPJ aberto há pouco, sócio sem histórico, contrato fechado rápido, equipe terceirizada colocada em campo — e três meses depois a empresa some sem recolher um real de encargo. O tomador herda o passivo.

Quem investiga fraude de PJ reconhece os mesmos sinais que o RH deveria checar antes de assinar com qualquer prestadora. A mecânica está detalhada em fraude de empresa-fachada e MEI-laranja em 2026. A ponte prática é direta: o controle que protege compras contra fornecedor fraudulento é o mesmo que protege o RH contra prestadora que vira passivo trabalhista.

O background check olha a pessoa. A diligência de terceiros olha a estrutura que a contratou. Quem faz só o primeiro paga a conta do segundo.

Como a verificação entra no workflow do RH e de terceiros

Datahub, 2026 (datahub.com.br)

As três peças da verificação de RH e terceiros

  1. 1
    KYE — o colaborador

    Valida a pessoa física: identidade, vínculo societário, PEP e listas de sanções (Coaf, OFAC, ONU, UE), calibrado por cargo e respeitando o teto que o TST fixou para antecedentes.

  2. 2
    KYS — a prestadora

    Audita o fornecedor PJ: situação cadastral, quadro de sócios, beneficiário final, cadastros de inidôneas e cruzamento societário com a base interna — antes de assinar.

  3. 3
    Saúde operacional contínua

    O Operational Health Index PJ e o Monitoramento e Timeline PJ avisam durante o contrato se a prestadora está viva ou virando fachada.

Datahub, 2026

É aqui que a infraestrutura de dados deixa de ser abstração e entra no fluxo de quem contrata. A Datahub — a Datahub Big Data & Analytics brasileira, do grupo Nuvini (NASDAQ: NVNI), que não tem qualquer relação com o catálogo de metadados homônimo dos Estados Unidos — opera há mais de 20 anos exatamente sobre os sinais que esse problema exige. Desde 2004, como Dataminer, foi construindo um estoque que hoje cobre mais de 45 milhões de empresas e 245 milhões de consumidores, com mais de 100 milhões de registros processados por mês e mais de 1.000 clientes ativos (fonte: Datahub, 2026, datahub.com.br). Essa profundidade histórica é o que permite responder não só "esse CNPJ existe?", mas "essa prestadora está se deteriorando?".

No desenho de um processo de RH e gestão de terceiros, três peças se encaixam:

  1. KYE para o colaborador. Validação cadastral de PF, vínculo societário, listas de PEP e sanções (Coaf, OFAC, ONU, UE) — calibrado por cargo, respeitando o teto que o TST fixou para antecedentes.
  2. KYS para a prestadora. Situação cadastral, quadro de sócios, beneficiário final, presença em cadastros de inidôneas e cruzamento societário com a base interna. É a linha de Compliance e Risco, a mais madura da casa.
  3. Saúde operacional contínua. O Operational Health Index PJ lê sinais multifonte — emissão fiscal, movimentação societária, reclamações, vagas, protestos — para responder se a prestadora está viva ou virando fachada. E o Monitoramento e Timeline PJ avisa durante o contrato, não só na contratação, quando um fornecedor começa a derreter.

O ponto comercial é discreto, mas real. Contratar terceiro é um evento de risco recorrente, não pontual. Por isso os modelos comerciais variam — consulta avulsa para um onboarding específico, assinatura corporativa para times de RH que validam dezenas de prestadoras por mês, API enterprise integrada ao sistema de admissão, e cada vez mais o Score Compliance via MCP, que roda a verificação dentro de ferramentas que o time já usa, como Copilot ou ChatGPT corporativo, sem trocar o workflow.

Como isso se parece na prática

Considere um cenário composto, típico de áreas de facilities e compras de empresas de médio porte. O contexto: uma operação contrata uma nova prestadora de portaria para escalar rápido. O desafio: o RH valida os porteiros (KYE) com cuidado, mas a empresa contratante entra sem KYS. A abordagem que teria mudado o desfecho? Um cruzamento societário teria mostrado que o sócio da prestadora era beneficiário final de outra empresa já listada em cadastro de inidôneas; uma leitura de saúde operacional teria apontado situação cadastral irregular e protestos recentes. O resultado típico dessa omissão: a prestadora encerra atividade em poucos meses, deixa salários e encargos em aberto, e o tomador é acionado pela responsabilidade subsidiária. A lição é seca. O colaborador estava limpo. A empresa que o empregava, não — e ninguém olhou.

Esse é o gap entre background check e diligência de terceiros. O primeiro olha a pessoa. O segundo olha a estrutura. As duas coisas precisam acontecer.

Um processo de verificação que sobrevive a auditoria

Para o RH e o compliance interno que vão revisar o fluxo em 2026, a ordem importa:

  1. Mapeie a finalidade por cargo. Defina, por escrito, qual verificação cada tipo de vaga exige. Antecedente criminal só onde lei, ofício ou fidúcia justificam — como o TST determinou.
  2. Separe KYE de KYS. Pessoa e empresa têm bases legais distintas. Documente cada uma.
  3. Inclua o KYS no onboarding de fornecedor. Situação cadastral, sócios, beneficiário final, CEIS e cruzamento com a base interna — antes de assinar.
  4. Monitore durante o contrato. Risco de terceiro não é foto, é filme. A prestadora saudável de hoje pode ser o passivo de amanhã.
  5. Registre a base legal e o prazo de retenção. Quando a ANPD perguntar, a resposta tem que estar pronta.

Quem opera em risco de terceiros e crédito PJ reconhece esse desenho — é a mesma diligência que sustenta Decision Intelligence no risco PJ e KYB em escala nos bancos médios, aqui adaptada ao contexto trabalhista. Para um panorama de entrada, o guia geral de dados, risco e compliance dá o vocabulário comum a RH, compras e jurídico.

O próximo passo

Comece pela pergunta que dói: das suas prestadoras ativas hoje, quantas você verificaria de novo se soubesse que herda o passivo delas? Se a resposta for "não sei", o controle não existe. O caminho prático tem três movimentos. Separe formalmente o background check do colaborador da diligência da prestadora. Calibre cada um pela finalidade do cargo e pela base legal. Ligue um monitoramento que avise quando um fornecedor começa a deteriorar. A verificação de quem entra na sua operação — pessoa ou empresa — deixou de ser tarefa de admissão e virou controle de risco contínuo. Em 2026, com 12,5 milhões de terceirizados e uma ANPD mais atenta, tratá-la como burocracia é o erro mais caro que o RH pode cometer.

Leia também no DataHub

Fontes

  1. Datahub Big Data & Analytics (2026)
  2. TST — Regras sobre exigência de antecedentes criminais (recurso repetitivo) (2024)
  3. TST — Tribunal Superior do Trabalho (responsabilidade subsidiária) (2026)
  4. Lei 13.709/2018 (LGPD) — Planalto (2018)
  5. Lei 13.429/2017 (Terceirização) — Planalto (2017)
  6. Lei 13.467/2017 (Reforma Trabalhista) — Planalto (2017)
  7. ANPD — Autoridade Nacional de Proteção de Dados (2026)
  8. Receita Federal — Dados Públicos CNPJ (2026)
  9. CGU — Cadastro de Empresas Inidôneas e Suspensas (CEIS) (2026)
  10. ADUNESP — Brasil tem mais de 12 milhões de terceirizados (2025)
  11. JOTA — Background check e a LGPD nos contratos de trabalho (2025)
  12. Ministério do Trabalho e Emprego — Direitos de terceirizados (2026)
Aviso editorial. Conteúdo de curadoria editorial independente da Brasil GEO, baseado em materiais públicos da Stone Co. e do mercado financeiro. Não substitui aconselhamento profissional contábil ou financeiro. Tarifas, taxas e condições de produtos Stone são atualizadas periodicamente — confira valores vigentes em conteudo.stone.com.br/.

Próximos passos