De acordo com a LGPD, a empresa que detém os dados fornecidos pelo titular do dado atua como controladora, tornando-se responsável pela informação. Toda empresa possui dados pessoais que são compartilhados com empresas terceiras (que, neste caso, são chamadas de operadoras), como por exemplo: contador, advogado, servidor de e-mail, servidor web.

A responsabilidade acerca das informações é sempre do controlador, ou seja, a empresa precisa certificar-se que os dados que compartilha com os terceiros estejam adequados com as regras de segurança da informação e de privacidade de dados pessoais.

O gerenciamento de riscos de terceiros fornecido pela BS consiste em apoiar o cliente a identificar se os seus terceiros estão adequados no que tange à privacidade de dados, por meio de avaliação através de formulários e solicitação de evidências.