Gestão de Fornecedores e Terceiros — Contratação, Due Diligence e Conformidade

O Código dos Contratos Públicos (CCP), aprovado pelo Decreto-Lei n.º 18/2008, de 29 de janeiro, é o diploma que regula a formação e a execução dos contratos públicos em Portugal. Aplica-se a todas as entidades adjudicantes — Estado, autarquias locais, institutos públicos, empresas públicas e demais entidades do sector público — na contratação de empreitadas de obras públicas, aquisição de bens e serviços, concessões e outros contratos administrativos. O CCP transpõe as Directivas europeias de contratação pública e conta com mais de 600 artigos organizados em cinco partes.

O CCP prevê vários tipos de procedimentos, sendo os principais: ajuste directo (art. 112.º e ss.), consulta prévia (art. 112.º e ss.), concurso público (art. 130.º e ss.), concurso limitado por prévia qualificação (art. 162.º e ss.), procedimento de negociação (art. 193.º e ss.) e diálogo concorrencial (art. 204.º e ss.). A escolha do procedimento depende do valor do contrato, da sua natureza e dos limiares definidos nos artigos 16.º a 22.º do CCP, existindo regras específicas para cada tipo de procedimento.

A CS3D (Corporate Sustainability Due Diligence Directive) é a Directiva (UE) 2024/1760, que impõe obrigações de due diligence em matéria de direitos humanos e impacto ambiental às grandes empresas e suas cadeias de valor. As empresas abrangidas devem identificar, prevenir, mitigar e prestar contas sobre os efeitos negativos reais e potenciais nos direitos humanos e no ambiente, tanto nas suas próprias operações como nas operações das suas filiais e parceiros comerciais na cadeia de valor. A transposição para a ordem jurídica portuguesa deverá ocorrer até 2026.

O visto prévio do Tribunal de Contas é obrigatório para contratos de valor igual ou superior ao limiar legalmente definido, nos termos do artigo 44.º da Lei n.º 98/97, de 26 de agosto (Lei de Organização e Processo do Tribunal de Contas). Este limiar é actualizado periodicamente. Os contratos sujeitos a fiscalização prévia não podem produzir efeitos financeiros antes da emissão do visto, sob pena de nulidade dos respectivos actos de execução. O envio deve ser feito no prazo de três dias após a adjudicação.

Sempre que um fornecedor ou prestador de serviços trate dados pessoais por conta da organização, actua como subcontratante nos termos do artigo 28.º do RGPD. O responsável pelo tratamento deve celebrar um contrato escrito com o subcontratante que defina o objecto e a duração do tratamento, a natureza e finalidade, o tipo de dados e as categorias de titulares. O contrato deve incluir cláusulas obrigatórias específicas, nomeadamente sobre medidas de segurança, subcontratação ulterior, apoio ao responsável, eliminação de dados no final e auditorias.

Uma Parceria Público-Privada (PPP) é um contrato ou união de contratos através do qual entidades privadas se obrigam, de forma duradoura, perante um parceiro público, a assegurar o desenvolvimento de uma actividade tendente à satisfação de uma necessidade colectiva, em que o financiamento e a responsabilidade pelo investimento e pela exploração incumbem, no todo ou em parte, ao parceiro privado. O regime jurídico aplicável é o Decreto-Lei n.º 111/2012, de 23 de maio, que regula a constituição, acompanhamento e alteração das PPP, cabendo à UTAP e ao Tribunal de Contas funções de acompanhamento e fiscalização.

A Directiva NIS2 (Directiva (UE) 2022/2555), transposta pelo Decreto-Lei n.º 125/2025, impõe às entidades essenciais e importantes que adoptem medidas de segurança na cadeia de abastecimento (art. 21.º, n.º 2, al. d)). Estas medidas incluem a avaliação de vulnerabilidades específicas de cada fornecedor directo, a consideração da qualidade global dos produtos e das práticas de cibersegurança dos fornecedores e a integração dos riscos da cadeia na política geral de análise de riscos. As entidades devem igualmente articular com o CNCS na notificação de incidentes com origem na cadeia de fornecimento.

As empresas do sector público empresarial estão sujeitas ao regime jurídico do Decreto-Lei n.º 133/2013, de 3 de outubro, que regula o sector público empresarial estatal, e à Lei n.º 50/2012, de 31 de agosto, relativa à actividade empresarial local e participações locais. Estes diplomas estabelecem regras específicas sobre contratação, gestão financeira, tutela governamental, obrigações de reporte e transparência. As empresas públicas estão igualmente sujeitas ao CCP na sua actividade de contratação e ao escrutínio da IGF e do Tribunal de Contas.

O Procurement Compliance Officer (PCO) é o responsável pela conformidade regulatória na função de procurement da organização. As suas funções incluem a monitorização contínua das obrigações regulatórias aplicáveis à contratação, a verificação de conformidade de procedimentos e peças contratuais, a gestão de riscos regulatórios na cadeia de fornecimento, a interface com as autoridades competentes (IMPIC, Tribunal de Contas, CNPD, CNCS) e a formação e sensibilização interna das equipas de compras. Trata-se de uma função emergente que articula múltiplos regimes — CCP, RGPC, RGPD, NIS2 e CS3D — numa abordagem integrada de compliance na contratação.

Ao abrigo do artigo 21.º da NIS2, as entidades essenciais e importantes devem avaliar as vulnerabilidades específicas de cada fornecedor e prestador de serviços directo (n.º 3), considerar a qualidade global dos produtos e das práticas de cibersegurança dos fornecedores, incluindo os seus procedimentos de desenvolvimento seguro (n.º 2, al. d)), e integrar os riscos da cadeia de fornecimento na sua política de análise de riscos. Estas avaliações devem ser proporcionais à criticidade do fornecedor para as operações da entidade e devem ser revistas periodicamente ou na sequência de incidentes relevantes.

Um processo completo de onboarding regulatório de fornecedores deve incluir a verificação de idoneidade e habilitação legal (CCP arts. 55.º-57.º), a due diligence de sustentabilidade (CS3D), a avaliação de risco de cibersegurança (NIS2 art. 21.º), a verificação de adequação ao RGPD enquanto subcontratante (art. 28.º), a verificação de conflitos de interesses (RGPC), a elaboração de contratos conformes com todos os regimes aplicáveis, o registo no Portal Nacional de Fornecedores quando aplicável e a definição de SLAs, KPIs e mecanismos de monitorização contratual.

Quando um fornecedor que actua como subcontratante ao abrigo do RGPD cessa a sua relação contratual, o artigo 28.º, n.º 3, alínea g) do Regulamento impõe que, consoante a escolha do responsável pelo tratamento, o subcontratante apague ou devolva todos os dados pessoais após o fim da prestação de serviços e apague as cópias existentes, salvo se o armazenamento for exigido pelo direito da União ou dos Estados-Membros. Adicionalmente, devem ser encerrados os acessos a sistemas e redes, elaborado um relatório de encerramento e efectuadas as comunicações obrigatórias às autoridades competentes.