Gestão de fornecedores à luz da LGPD: controladores, operadores e responsabilidades
A conformidade com a LGPD não termina na porta da empresa. Quando uma organização contrata um fornecedor que terá acesso a dados pessoais — uma plataforma de CRM em nuvem, uma empresa de call center, um sistema de folha de pagamento terceirizado — ela não transfere a responsabilidade sobre esses dados. Ela compartilha uma responsabilidade que a LGPD detalha com precisão.
Entender a distinção entre controlador e operador, identificar quando um fornecedor ocupa cada papel e estruturar uma gestão de fornecedores compatível com a LGPD são tarefas que a maioria das organizações ainda faz de forma incompleta — e que a ANPD tem sinalizado como área prioritária de atenção.
Definições fundamentais: controlador e operador na LGPD
A LGPD define com precisão os dois papéis principais no tratamento de dados pessoais:
Controlador (Art. 5°, VI): "pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais."
Operador (Art. 5°, VII): "pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador."
A distinção é funcional, não contratual: o que define o papel é quem toma as decisões sobre o tratamento — qual a finalidade, quais dados, por quanto tempo, com quais meios — não o que está escrito no contrato.
Quando seu fornecedor é operador e quando é novo controlador
A classificação correta do fornecedor é a primeira — e mais importante — tarefa da gestão de fornecedores com dados pessoais.
Fornecedor como operador
O fornecedor é operador quando processa dados pessoais exclusivamente conforme as instruções do contratante, sem autonomia para decidir a finalidade ou os meios do tratamento.
Exemplos típicos:
- Empresa de processamento de folha de pagamento: recebe os dados dos colaboradores, processa os cálculos e gera os contracheques — sem decidir quais dados coletar ou para que finalidade
- Plataforma de e-mail marketing: envia e-mails para a lista de contatos fornecida pela empresa — sem autonomia sobre a base de dados
- Empresa de call center contratada para atendimento ao cliente: acessa os dados dos clientes para executar o atendimento conforme scripts e políticas definidos pelo contratante
- Empresa de hospedagem/cloud computing (IaaS): armazena dados sem ter acesso ao conteúdo ou autonomia sobre seu uso
Fornecedor como controlador independente
O fornecedor é um controlador independente (novo controlador) quando trata os dados para suas próprias finalidades, com autonomia de decisão.
Exemplos:
- Escritório de contabilidade que usa os dados dos clientes para oferecer serviços próprios adicionais (além do escopo contratado)
- Plataforma de recrutamento que usa os currículos enviados para construir sua própria base de candidatos
- Fornecedor de analytics que cruza os dados do cliente com bases próprias para gerar insights que comercializa para terceiros
Quando o fornecedor é controlador independente, a empresa contratante não é sua controladora — e as regras de DPA do Art. 39 não se aplicam da mesma forma. A relação é entre dois controladores, e deve ser tratada como tal.
A zona cinzenta: controladores conjuntos
Há situações em que dois agentes decidem conjuntamente a finalidade e os meios do tratamento. Nesses casos, ambos são controladores conjuntos — cada um assume responsabilidade pelo tratamento que realiza, e a relação entre eles deve ser formalizada contratualmente.
Exemplo: uma parceria entre duas empresas que compartilham uma base de leads para campanhas conjuntas, com ambas decidindo critérios de segmentação e uso dos dados.
Responsabilidade solidária: o risco de cada parte
A LGPD estabelece responsabilidade específica para cada papel — e responsabilidade solidária em situações de dano aos titulares.
Responsabilidade do controlador pelos atos do operador
O Art. 42, §1°, I da LGPD é determinante: o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador — hipótese em que o operador equipara-se ao controlador para fins de responsabilização.
Na prática: se o operador (seu fornecedor) sofre um incidente que expõe dados dos titulares, a organização contratante (controladora) pode ser responsabilizada — mesmo que a falha tenha ocorrido integralmente no ambiente do fornecedor.
Essa responsabilidade solidária cria o imperativo de que a gestão de fornecedores não seja apenas um exercício contratual, mas um processo contínuo de verificação de segurança e conformidade.
Obrigações do operador
O Art. 39 da LGPD determina que o operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.
Isso significa que o controlador tem a obrigação ativa de verificar que o operador está cumprindo as instruções — não é suficiente ter um contrato.
Due diligence de fornecedores: o que avaliar antes de contratar
A gestão de fornecedores começa antes da assinatura do contrato. O processo de due diligence deve avaliar a maturidade em segurança e privacidade do fornecedor antes de qualquer acesso a dados pessoais.
Avaliação inicial (pré-contrato)
1. Mapeamento de dados compartilhados Quais dados pessoais serão acessados pelo fornecedor? De quais titulares (clientes, colaboradores, terceiros)? Inclui dados sensíveis?
2. Classificação do papel do fornecedor Operador, controlador independente ou controlador conjunto? A classificação define as obrigações contratuais e os controles necessários.
3. Avaliação de segurança da informação
- O fornecedor tem certificações de segurança (ISO 27001, SOC 2)?
- Tem política de segurança da informação documentada?
- Quais controles técnicos de proteção de dados adota (criptografia, controle de acesso, logs de auditoria)?
- Tem histórico de incidentes de segurança? Como foram gerenciados?
4. Avaliação de conformidade com a LGPD
- O fornecedor tem DPO ou encarregado indicado?
- Tem programa de conformidade documentado?
- Como trata as requisições de direitos dos titulares?
- Tem política de notificação de incidentes?
5. Suboperadores O fornecedor utilizará suboperadores (terceiros) com acesso aos dados? Quem são? Com quais controles?
Pontuação de risco do fornecedor
Organize os fornecedores em categorias de risco com base no volume e sensibilidade dos dados acessados:
| Categoria | Critério | Rigor da due diligence |
|---|---|---|
| Alto risco | Dados sensíveis ou grande volume de dados pessoais | Due diligence completa + auditoria |
| Médio risco | Dados pessoais não sensíveis, volume moderado | Due diligence padrão + questionário |
| Baixo risco | Acesso mínimo ou dados agregados/anonimizados | Due diligence simplificada |
Inventário de fornecedores com acesso a dados pessoais
Toda organização deve manter um inventário atualizado de fornecedores com acesso a dados pessoais — frequentemente como componente do ROPA (Registro de Operações de Tratamento).
O inventário deve incluir, para cada fornecedor:
- Nome do fornecedor e CNPJ
- Tipo de serviço prestado
- Papel na LGPD (operador, controlador independente, controlador conjunto)
- Categorias de dados compartilhados e titulares envolvidos
- Base legal do compartilhamento
- Status do DPA (assinado, pendente, não aplicável)
- Data da última avaliação de segurança/conformidade
- Resultado da avaliação de risco (alto, médio, baixo)
- Suboperadores autorizados (se houver)
O DPA com operadores: por que vai além do contrato de serviços
O Art. 39 da LGPD exige que o tratamento realizado pelo operador seja feito conforme as instruções fornecidas pelo controlador. O instrumento que formaliza essas instruções e os requisitos de conformidade é o DPA (Data Processing Agreement) — ou, em português, Contrato de Processamento de Dados.
O DPA não é o contrato de prestação de serviços. É um documento específico que regula a relação de proteção de dados — e pode ser um aditivo ao contrato principal ou um documento separado.
As cláusulas essenciais do DPA, como elaborá-lo e os erros mais comuns são tratados em detalhe em outro artigo desta série. O ponto crítico aqui é: sem DPA com operadores, o controlador não tem como demonstrar que cumpriu a exigência do Art. 39 — e fica sem instrumentos contratuais para responsabilizar o operador em caso de incidente.
Gestão contínua: o fornecedor não é avaliado só na contratação
A due diligence inicial não é suficiente. A gestão de fornecedores com dados pessoais deve ser um processo contínuo, com avaliações periódicas e atualização do inventário.
Periodicidade de revisão
| Categoria | Revisão |
|---|---|
| Alto risco | Anual (no mínimo) + após qualquer incidente relevante do fornecedor |
| Médio risco | A cada 2 anos + ao renovar o contrato |
| Baixo risco | A cada 3 anos ou ao renovar o contrato |
Monitoramento contínuo
Para fornecedores de alto risco, o monitoramento deve ser contínuo:
- Acompanhar notícias sobre incidentes de segurança no setor do fornecedor
- Exigir comunicação proativa do fornecedor sobre qualquer incidente que envolva os dados compartilhados
- Manter canal de comunicação direto com o DPO ou responsável de segurança do fornecedor
Gatilhos para revisão imediata
- Incidente de segurança no fornecedor (mesmo que não envolva os dados compartilhados)
- Mudança de controle societário do fornecedor (aquisição, fusão)
- Mudança relevante no escopo do serviço prestado
- Vazamento de dados identificado em outros clientes do mesmo fornecedor
Incidente em fornecedor: responsabilidades e protocolo
Quando o incidente de dados ocorre no ambiente do fornecedor, o controlador precisa:
1. Ser notificado pelo operador imediatamente O DPA deve prever prazo máximo de notificação pelo operador ao controlador (tipicamente 24–48 horas após o conhecimento do incidente).
2. Avaliar a obrigação de notificação à ANPD A obrigação de comunicar à ANPD é do controlador, não do operador — mesmo que o incidente tenha ocorrido nos sistemas do operador. O prazo de 3 dias úteis (Resolução CD/ANPD nº 15/2024) começa a correr a partir do conhecimento do controlador.
3. Iniciar investigação conjunta O DPA deve prever obrigação do operador de cooperar com a investigação forense — fornecendo logs, acesso a evidências e suporte técnico.
4. Avaliar responsabilização Se o incidente decorreu de descumprimento das instruções do controlador ou de medidas de segurança estabelecidas no DPA, o operador pode ser responsabilizado. O DPA deve ter cláusula clara sobre responsabilidade e indenização.
Conclusão: gestão de fornecedores como pilar do programa LGPD
A cadeia de fornecedores é um dos maiores vetores de risco de privacidade para as organizações. Incidentes em fornecedores frequentemente têm impacto maior do que incidentes internos, porque o controlador perde parte do controle sobre o ambiente onde os dados estão sendo tratados.
Estruturar um programa de gestão de fornecedores com dados pessoais — com inventário atualizado, due diligence proporcionada ao risco, DPAs adequados e monitoramento contínuo — é uma das formas mais eficazes de reduzir a exposição regulatória e proteger os titulares.
A documentação que suporta esse programa precisa estar organizada e auditável.
Baixe o eBook "Checklist de Documentação LGPD" e acesse o modelo de inventário de fornecedores e os itens que devem constar no seu programa de gestão de terceiros.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.