Como gerenciar fornecedores e operadores conforme a LGPD
O elo mais fraco de qualquer programa de conformidade com a LGPD raramente está dentro da organização. Está em algum fornecedor que acessa dados de clientes, num sistema de CRM hospedado em nuvem, numa agência de marketing que dispara campanhas por e-mail ou numa contabilidade terceirizada que processa dados de funcionários.
A LGPD é explícita: o controlador não se isenta de responsabilidade ao contratar um operador. Ao contrário — assume obrigações de fiscalização ativa. Ignorar isso já custou às empresas brasileiras processos sancionatórios, responsabilidade solidária e danos reputacionais.
Controlador vs. operador: a distinção que define responsabilidades
Definições legais (Art. 5º, VI e VII da LGPD)
- Controlador: "pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais."
- Operador: "pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador."
O critério determinante é o poder de decisão sobre a finalidade e os meios essenciais do tratamento. Quem decide por que e como os dados serão tratados é o controlador. Quem executa o tratamento sob instrução de outro é o operador.
Exemplos práticos consolidados pela ANPD
| Situação | Controlador | Operador |
|---|---|---|
| E-commerce com processadora de pagamento | Loja virtual | Processadora de pagamento |
| Empresa com agência de marketing digital | Empresa contratante | Agência (usa dados conforme briefing) |
| Empresa com call center terceirizado | Empresa (define regras e finalidades) | Empresa de call center |
| Empresa usando SaaS (CRM, ERP, RH) | Empresa cliente | Fornecedor do SaaS |
| Empresa usando AWS, Azure ou Google Cloud | Empresa (decide o que armazenar) | Provedor de nuvem (infraestrutura) |
| Empresa com folha de pagamento terceirizada | Empresa empregadora | Software de RH/contabilidade |
Quando o operador se torna controlador
O operador perde o status de operador — e equipara-se ao controlador (Art. 42, §1º, I) — quando passa a tomar decisões autônomas sobre a finalidade ou os meios essenciais do tratamento, além das instruções recebidas. Ou seja: quando usa os dados para finalidades próprias não autorizadas.
Atenção: os papéis não são fixos por empresa — são definidos operação por operação. A mesma organização pode ser controladora em relação aos seus clientes e operadora em relação às empresas que a contratam para prestar serviços de processamento.
A responsabilidade solidária: quando o controlador responde pelo operador
O que dizem os Arts. 39 e 42 da LGPD
Art. 39 — Obrigações do operador:
"O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria."
Dois mandamentos centrais: o operador obedece; o controlador fiscaliza. O verbo "verificará" não é facultativo — é dever legal.
Art. 42, §1º — Responsabilidade solidária:
O controlador e o operador respondem solidariamente quando:
- O operador descumpre a legislação de proteção de dados ou as instruções do controlador (inciso I)
- Múltiplos controladores estão "diretamente envolvidos no tratamento do qual decorreram danos" (inciso II)
Quando o controlador responde pelo operador
Na prática, o controlador corre risco de responsabilidade solidária quando:
- Não realizou due diligence — contratou operador sem avaliar sua capacidade de segurança e governança
- Não forneceu instruções claras — o operador não sabia quais dados tratar, para quê e com quais restrições
- Não fiscalizou — nunca verificou se o operador cumpria as instruções e a LGPD
- Não formalizou as obrigações — sem contrato ou DPA que documente as responsabilidades
- O operador violou a lei — nesse caso, ambos respondem solidariamente perante os titulares afetados
O Data Processing Agreement (DPA): o que incluir
A LGPD não exige expressamente a celebração de um DPA entre controlador e operador — mas o dever de fiscalização do Art. 39, o princípio do accountability (Art. 6º, X) e o risco de responsabilidade solidária tornam a formalização contratual essencial na prática.
Um DPA robusto deve conter:
1. Identificação das partes e papéis
Identifique expressamente quem é o controlador e quem é o operador. Inclua previsão sobre suboperadores (terceiros contratados pelo operador): quais são autorizados, quais precisam de aprovação prévia do controlador, e como o operador mantém responsabilidade pelos atos dos suboperadores.
2. Objeto e escopo do tratamento
Descreva com precisão:
- Quais atividades de tratamento estão autorizadas
- Quais categorias de dados pessoais estão envolvidas
- Quais grupos de titulares estão afetados
- Quais finalidades são permitidas (o operador não pode tratar para finalidades próprias)
3. Duração e destino final dos dados
- Prazo do contrato e prazo de retenção dos dados pelo operador
- O que acontece com os dados ao término: eliminação certificada, devolução ao controlador ou anonimização
- Prazo para execução do processo de encerramento
4. Obrigações de segurança (Art. 46 LGPD)
Especifique as medidas técnicas e administrativas mínimas exigidas:
- Criptografia em trânsito e em repouso
- Controle de acesso granular (menor privilégio)
- Autenticação multifator para sistemas que contêm dados pessoais
- Logs de acesso e auditoria
- Gestão de vulnerabilidades e procedimentos de patching
- Padrões de segurança aceitos (ISO 27001, SOC 2 Type II, etc.)
5. Confidencialidade
Dever de confidencialidade de todos os funcionários e subcontratados do operador que acessem dados pessoais. Cláusula de sigilo deve sobreviver ao término do contrato.
6. Gestão de incidentes (Art. 48 LGPD + Resolução 15/2024)
- Prazo para o operador notificar o controlador em caso de incidente (recomendado: 24 a 48 horas)
- Informações mínimas que o operador deve fornecer (natureza do incidente, dados afetados, medidas adotadas)
- Obrigação de colaboração no processo de notificação à ANPD e aos titulares
7. Atendimento a direitos dos titulares
- Obrigação do operador de apoiar o controlador no atendimento a solicitações de titulares (acesso, correção, eliminação, portabilidade)
- Prazo para resposta às solicitações encaminhadas pelo controlador
8. Auditoria e fiscalização
- Direito do controlador de realizar auditorias no operador (ou exigir relatórios de auditoria independente — SOC 2, ISO 27001)
- Obrigação do operador de fornecer informações necessárias para demonstrar conformidade
9. Suboperadores
- Lista de suboperadores autorizados (ou proibição de subcontratação sem aprovação prévia)
- Quando subcontratação for permitida: o suboperador deve assumir obrigações equivalentes às do operador
- O operador mantém responsabilidade perante o controlador pelos atos do suboperador
10. Transferências internacionais
Restrições e requisitos para transferência de dados para fora do Brasil, conforme Arts. 33 a 36 da LGPD.
11. Penalidades e SLA
Consequências contratuais por violação de cláusulas de privacidade e segurança. SLAs de segurança e disponibilidade. Indenização por danos causados por negligência do operador.
Due diligence de fornecedores em privacidade: o processo em 5 fases
A due diligence de privacidade é a investigação realizada antes de contratar um fornecedor que terá acesso a dados pessoais. É requisito de boa governança e, implicitamente, de adequação à LGPD.
Fase 1 — Mapeie e classifique os fornecedores
Identifique todos os fornecedores que terão ou já têm acesso a dados pessoais da organização. Classifique-os por criticidade:
- Alto risco: acesso a dados sensíveis, dados em larga escala, sistemas críticos, dados de crianças
- Médio risco: acesso a dados de clientes ou funcionários em escala moderada
- Baixo risco: acesso limitado, dados anonimizados ou pseudonimizados
Fornecedores de alto risco exigem due diligence completa. Fornecedores de baixo risco, no mínimo, a assinatura de um DPA simplificado.
Fase 2 — Aplique o questionário de avaliação de privacidade
Perguntas fundamentais a fazer antes de contratar:
- O fornecedor tem política de privacidade e segurança da informação documentadas?
- Possui Encarregado (DPO) ou responsável designado pela proteção de dados?
- Quais certificações de segurança possui (ISO 27001, SOC 2 Type II)?
- Os dados são armazenados criptografados? Qual protocolo?
- Onde ficam os servidores? Há transferência internacional de dados?
- Possui procedimento documentado de resposta a incidentes?
- Em quanto tempo notifica clientes em caso de incidente de segurança?
- Realiza treinamentos periódicos de privacidade com seus colaboradores?
- Permite auditoria ou fornece relatórios de auditoria independente (SOC 2)?
- Usa subcontratados que acessam os dados? Quais?
- Histórico de incidentes ou processos sancionatórios em privacidade?
Fase 3 — Analise as evidências
Não aceite respostas sem evidências. Solicite:
- Cópias das políticas declaradas
- Certificados ISO 27001 ou relatórios SOC 2 vigentes
- Relatórios de testes de penetração (pentest) recentes
- Exemplos de DPAs que o fornecedor usa com outros clientes
Fase 4 — Formalize contratualmente
Assine o DPA antes de iniciar qualquer compartilhamento de dados. Se o fornecedor se recusar a assinar ou impuser um DPA unilateral excessivamente restritivo ao controlador, avalie o risco ou substitua o fornecedor.
Fase 5 — Monitore continuamente
A due diligence não é avaliação única. Programe:
- Revisão anual para fornecedores de alto risco
- Monitoramento de notícias sobre incidentes envolvendo o fornecedor
- Solicitação de evidências atualizadas de conformidade
- Atualização do DPA quando o escopo de tratamento mudar
O registro de operadores: como estruturar
Embora a LGPD não crie explicitamente um "registro de operadores", o princípio do accountability (Art. 6º, X) e o dever de manter registros das operações de tratamento (Art. 37) implicam que o controlador deve documentar quais fornecedores tratam dados em seu nome.
Campos essenciais por fornecedor:
| Campo | Descrição |
|---|---|
| Identificação | Razão social, CNPJ, contato do DPO do fornecedor |
| Serviço prestado | Descrição do serviço e do acesso a dados |
| Papel | Operador ou suboperador (e de quem) |
| Dados compartilhados | Categorias, volumes estimados, titulares afetados |
| Base legal do compartilhamento | Qual hipótese do Art. 7º ampara o compartilhamento |
| Localização dos dados | País/região de armazenamento e processamento |
| Medidas de segurança exigidas | Resumo das obrigações contratuais |
| Referência ao DPA | Número do contrato, data, validade |
| Resultado da due diligence | Data, classificação de risco, próxima revisão |
| Certificações vigentes | ISO 27001, SOC 2, etc., com validade |
| Histórico de incidentes | Incidentes reportados pelo fornecedor |
Boas práticas de gestão contínua
Política de gestão de terceiros: Crie uma política interna que inclua privacidade como critério mandatório em todos os processos de contratação. Defina papéis: DPO, Jurídico, Compras e TI devem participar da avaliação de fornecedores que acessem dados pessoais.
DPA como pré-condição: Nenhum dado pessoal deve ser compartilhado com fornecedor sem DPA assinado. Inclua essa exigência no processo de homologação de fornecedores.
Offboarding seguro: Ao encerrar um contrato, exija a eliminação certificada dos dados ou sua devolução. Documente a eliminação com certificado formal. Atualize o registro de operadores.
Treinamento de compras e jurídico: As equipes que contratam fornecedores precisam saber identificar quando há tratamento de dados pessoais e exigir o DPA. Essa responsabilidade não recai apenas sobre o DPO.
Erros comuns — e o que o regulador viu na prática
| Erro | Consequência legal | Solução |
|---|---|---|
| Contratar operador sem DPA | Responsabilidade solidária sem proteção contratual | DPA como pré-condição absoluta |
| DPA genérico sem especificidade de tratamento | Cláusulas ineficazes em caso de litígio | DPA específico por contrato ou por tipo de tratamento |
| Não fiscalizar o operador após contratação | Violação do Art. 39 — dever de verificação | Revisões anuais + canal de comunicação ativo |
| Suboperadores desconhecidos | Tratamento fora do escopo autorizado | Exigir lista de suboperadores e aprovação prévia |
| Não atualizar o DPA quando o escopo muda | DPA desatualizado não cobre os novos tratamentos | Revisão do DPA sempre que o contrato for alterado |
| Sem registro centralizado de operadores | Impossibilidade de responder à ANPD sobre quem trata dados | Registro integrado ao inventário de atividades |
Conclusão
Gestão de fornecedores e operadores conforme a LGPD é uma das áreas onde a maioria das organizações ainda tem lacunas críticas. A responsabilidade solidária do Art. 42 é real — e a ANPD tem ferramentas para investigar toda a cadeia de tratamento, não apenas o controlador principal.
O ponto de partida é simples: mapeie todos os fornecedores que acessam dados pessoais, classifique-os por risco e garanta que nenhum dado é compartilhado sem um DPA assinado e uma due diligence minimamente estruturada.
Fornecedores são parceiros de negócio — mas também são vetores de risco de privacidade. Trate-os como tal desde a contratação.
O Confidata inclui módulo de gestão de fornecedores e operadores com cadastro centralizado, controle de DPAs, vencimentos de contratos e acompanhamento de due diligence de privacidade — tudo integrado ao inventário de dados pessoais da sua organização.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.