LGPD Comentada #20: Controlador e Operador — Registros, RIPD e Obrigações
Este post faz parte da série LGPD Comentada, que analisa todos os artigos da Lei Geral de Proteção de Dados. Veja todos os posts da série.
Se os artigos anteriores da LGPD dizem o que pode ser feito com dados pessoais e sob quais condições, os Arts. 37 a 40 dizem como documentar e demonstrar que tudo está sendo feito corretamente. São os artigos da accountability — o princípio de que não basta cumprir a lei; é preciso ser capaz de provar que se cumpre.
Esses quatro artigos compõem o núcleo das obrigações documentais dos agentes de tratamento: o registro de operações (ROPA), o relatório de impacto à proteção de dados (RIPD), a relação entre controlador e operador, e a competência da ANPD para definir padrões. São, na prática, os artigos que mais impactam a rotina diária de um DPO.
Art. 37 — Registro de operações de tratamento (ROPA)
"Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse."
Análise
O Art. 37 é curto e direto, mas sua implementação é uma das tarefas mais exigentes de qualquer programa de conformidade com a LGPD.
Quem deve manter o registro
O artigo impõe a obrigação tanto ao controlador quanto ao operador. Não é uma obrigação exclusiva de quem decide sobre o tratamento — quem executa o tratamento por conta de terceiro também deve documentar o que faz.
Na prática, isso significa que uma empresa de TI que processa dados pessoais por conta de um cliente (operador) deve manter seu próprio registro das operações que realiza, independentemente do registro mantido pelo cliente (controlador).
O que registrar
A lei não detalha o conteúdo mínimo do registro. Mas a partir da prática regulatória da ANPD, das orientações do Guia Orientativo para Agentes de Tratamento (versão 2.0, publicada em abril de 2022) e da estrutura de registro simplificado para agentes de pequeno porte, é possível definir os campos essenciais:
| Campo | Descrição |
|---|---|
| Atividade de tratamento | Nome descritivo da operação (ex: "Folha de pagamento", "Marketing por e-mail") |
| Categorias de dados | Tipos de dados pessoais tratados (cadastrais, financeiros, sensíveis, etc.) |
| Categorias de titulares | Perfis de titulares (colaboradores, clientes, fornecedores, menores, etc.) |
| Finalidade | Para que os dados são tratados |
| Base legal | Qual inciso do Art. 7 ou Art. 11 fundamenta o tratamento |
| Compartilhamento | Com quem os dados são compartilhados (operadores, órgãos públicos, terceiros) |
| Transferência internacional | Se há envio de dados para fora do Brasil e qual mecanismo legal |
| Período de retenção | Por quanto tempo os dados são armazenados |
| Medidas de segurança | Controles técnicos e administrativos aplicados |
A ênfase no legítimo interesse
O artigo destaca que o registro é "especialmente" exigido quando o tratamento se baseia no legítimo interesse (Art. 7, IX). Isso reflete a natureza dessa base legal: como o legítimo interesse depende de um balanceamento entre os interesses do controlador e os direitos do titular, a documentação desse balanceamento é essencial para demonstrar conformidade.
Na prática, quando a base legal é legítimo interesse, o registro deve incluir:
- A análise de balanceamento (LIA — Legitimate Interest Assessment)
- A identificação do interesse legítimo do controlador
- Os dados estritamente necessários (Art. 10, §1º)
- As garantias e salvaguardas adotadas
O caso SEEDF: a sanção por não registrar
A obrigação do Art. 37 não é teórica. Em fevereiro de 2024, a ANPD sancionou a Secretaria de Estado de Educação do Distrito Federal (SEEDF) com advertência por, entre outras infrações, não manter registro das operações de tratamento de dados pessoais — configurando violação direta ao Art. 37.
O caso demonstra que a ANPD verifica ativamente se os órgãos e entidades mantêm ROPA. Não ter registro não é uma lacuna administrativa — é uma infração sancionável.
Art. 38 — Relatório de Impacto à Proteção de Dados (RIPD)
"Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial."
"Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados."
Análise
O Art. 38 trata do RIPD — equivalente brasileiro do Data Protection Impact Assessment (DPIA) do GDPR. Existem diferenças importantes, porém: na LGPD, o RIPD não é obrigatório por iniciativa do controlador em todas as situações de alto risco; ele é determinado pela ANPD quando a autoridade julgar necessário.
Quando o RIPD é exigido
O Art. 38 confere à ANPD a prerrogativa de determinar a elaboração do RIPD. Isso não significa que o controlador deva esperar uma ordem da ANPD para elaborá-lo. A boa prática — e a recomendação da própria ANPD — é elaborar RIPD proativamente para:
- Tratamentos de dados sensíveis em larga escala
- Tratamentos que utilizem legítimo interesse como base legal (Art. 10, §3º)
- Decisões automatizadas que afetem interesses dos titulares (Art. 20)
- Tratamentos de dados de crianças e adolescentes
- Transferências internacionais de dados para países sem decisão de adequação
- Monitoramento sistemático de espaços acessíveis ao público (câmeras, geolocalização)
Conteúdo mínimo
O parágrafo único define três elementos obrigatórios:
1. Descrição dos tipos de dados coletados
Não basta listar "dados pessoais" genericamente. O RIPD deve descrever com precisão: categorias de dados (cadastrais, financeiros, de saúde, biométricos), volume estimado, categorias de titulares afetados e se há dados sensíveis envolvidos.
2. Metodologia de coleta e segurança
Como os dados são coletados (formulários, APIs, scraping, sensores), como são armazenados (criptografia, controles de acesso, backup), como são transmitidos (TLS, VPN) e como são descartados quando não mais necessários.
3. Análise de medidas, salvaguardas e mecanismos de mitigação
O controlador deve demonstrar que avaliou os riscos do tratamento e adotou medidas proporcionais. Isso inclui: controles técnicos, políticas organizacionais, treinamento de pessoal, mecanismos de resposta a incidentes e revisão periódica.
A orientação da ANPD sobre RIPD
Em 6 de abril de 2023, a ANPD publicou uma página com 15 perguntas e respostas sobre o RIPD, orientando controladores sobre quando e como elaborar o documento, quais informações são obrigatórias e o que caracteriza tratamento de "alto risco".
Além disso, o governo federal disponibiliza um modelo de RIPD (guia/template) voltado à administração pública federal, com orientações sobre estrutura e preenchimento.
A regulamentação formal e detalhada do RIPD pela ANPD estava prevista na agenda regulatória para 2023-2024, mas ainda não foi concluída. Até lá, os controladores devem seguir as orientações disponíveis e o conteúdo mínimo do Art. 38, parágrafo único.
O caso SEEDF: a sanção por não elaborar RIPD
No mesmo processo sancionatório de fevereiro de 2024, a SEEDF foi sancionada por não elaborar o RIPD após solicitação expressa da ANPD — violação do Art. 38. A ANPD solicitou o documento, a SEEDF não o entregou, e a sanção foi aplicada.
Esse caso é particularmente relevante porque demonstra que a ANPD efetivamente utiliza a prerrogativa do Art. 38: ela requisita o RIPD, e a não apresentação é sancionável.
Art. 39 — Obrigações do operador
"Art. 39. O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria."
Análise
O Art. 39 define a dinâmica fundamental da relação controlador-operador: o operador executa, o controlador instrui e fiscaliza.
Obrigação de seguir instruções
O operador não tem autonomia para decidir como tratar os dados pessoais. Ele deve seguir as instruções do controlador — que devem estar documentadas, preferencialmente em contrato ou DPA (Data Processing Agreement).
Na prática, as instruções devem incluir:
- Quais dados podem ser tratados
- Para quais finalidades
- Com quem os dados podem ser compartilhados (sub-operadores)
- Quais medidas de segurança devem ser implementadas
- O que fazer em caso de incidente de segurança
- Quando e como eliminar os dados ao término do contrato
Obrigação do controlador de verificar
O Art. 39 também impõe ao controlador a obrigação de verificar se o operador está cumprindo as instruções. Não basta contratar e confiar — é preciso monitorar. Os mecanismos típicos de verificação incluem:
- Auditorias periódicas nos processos do operador
- Relatórios de conformidade emitidos pelo operador
- Certificações de segurança (ISO 27001, SOC 2)
- Cláusulas contratuais com direito de inspeção
- SLAs (Service Level Agreements) com métricas de proteção de dados
Quando o operador vira controlador
Há uma zona cinzenta crítica: se o operador toma decisões próprias sobre o tratamento — define finalidades, escolhe bases legais, decide compartilhamentos —, ele pode ser reclassificado como controlador ou controlador conjunto. Nesse caso, assume todas as responsabilidades do Art. 42 (responsabilidade civil), incluindo a solidariedade em caso de dano.
O Guia Orientativo da ANPD para Definição dos Agentes de Tratamento (versão 2.0, abril de 2022) esclarece: o que define o papel de cada agente não é o que diz o contrato, mas o que acontece na prática. Se o contrato designa uma parte como operador, mas ela atua com autonomia decisória sobre o tratamento, a ANPD pode reclassificá-la como controlador.
Art. 40 — Padrões da ANPD para agentes de tratamento
"Art. 40. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a transparência."
Análise
O Art. 40 é uma cláusula de delegação regulatória que confere à ANPD competência para estabelecer padrões técnicos obrigatórios em quatro áreas:
1. Interoperabilidade para portabilidade
Quando o titular exerce o direito de portabilidade (Art. 18, V), os dados devem ser transferidos de um controlador para outro em formato que permita reutilização. O Art. 40 autoriza a ANPD a definir padrões técnicos para essa transferência — formatos de arquivo, protocolos de comunicação, metadados obrigatórios.
A regulamentação da portabilidade pela ANPD ainda está em desenvolvimento. A agenda regulatória prevê a definição de padrões técnicos de interoperabilidade, mas até o momento não houve publicação de resolução específica sobre o tema.
2. Livre acesso aos dados
A ANPD pode definir padrões para que titulares acessem seus dados de forma simplificada — por exemplo, exigindo que controladores disponibilizem portais de autoatendimento ou APIs de consulta.
3. Segurança
A ANPD pode estabelecer padrões mínimos de segurança para tratamento de dados pessoais, indo além do princípio geral do Art. 46. Isso pode incluir exigências específicas de criptografia, controles de acesso, backup e resposta a incidentes.
4. Tempo de guarda dos registros
A ANPD pode definir prazos mínimos e máximos de retenção para categorias específicas de dados, complementando o que já existe em legislação setorial (fiscal, trabalhista, saúde).
O que a ANPD já regulamentou
A Resolução CD/ANPD nº 2, de 27 de janeiro de 2022 — que regulamenta o tratamento diferenciado para agentes de pequeno porte — é o exemplo mais concreto de exercício dessa competência. Entre as flexibilizações:
- Registro simplificado de operações: agentes de pequeno porte podem usar modelo simplificado de ROPA com apenas 8 campos essenciais (informações de contato, categorias de titulares, dados pessoais, compartilhamento, medidas de segurança, período de armazenamento, processo/finalidade/base legal e observações). O modelo foi publicado pela ANPD em junho de 2023.
- Política simplificada de segurança da informação: com requisitos essenciais e necessários, sem a complexidade exigida de grandes organizações.
- Prazo em dobro para atendimento a solicitações de titulares e para comunicação de incidentes à ANPD.
A dinâmica controlador-operador na prática
O DPA (Data Processing Agreement)
O instrumento contratual que materializa a relação Art. 39 é o DPA — o acordo de processamento de dados. Todo contrato entre controlador e operador que envolva tratamento de dados pessoais deve incluir (ou ser acompanhado de) um DPA que defina:
| Cláusula | Conteúdo |
|---|---|
| Objeto e finalidade | Quais dados serão tratados e para quê |
| Instruções do controlador | Detalhamento das operações autorizadas |
| Sub-operadores | Se o operador pode subcontratar, sob quais condições |
| Medidas de segurança | Controles técnicos e organizacionais exigidos |
| Resposta a incidentes | Prazo e procedimento de notificação ao controlador |
| Direitos dos titulares | Como o operador deve cooperar para atender solicitações |
| Devolução/eliminação | O que acontece com os dados ao término do contrato |
| Auditoria | Direito do controlador de auditar o operador |
| Responsabilidade | Limites de responsabilidade e obrigação de indenizar |
Cenários de risco na relação controlador-operador
1. Operador sem DPA formal
Sem DPA, não há instruções documentadas. Se o operador causar um incidente de segurança, o controlador terá dificuldade em demonstrar que forneceu instruções adequadas (Art. 39) e poderá ser responsabilizado solidariamente (Art. 42).
2. Sub-operador não autorizado
Se o operador subcontrata outro prestador sem autorização do controlador, e esse sub-operador causa um incidente, a cadeia de responsabilidade fica comprometida. O DPA deve prever autorização prévia (geral ou específica) para sub-operadores.
3. Operador que excede as instruções
Se um prestador de serviço de TI (operador) começa a usar os dados para fins próprios — por exemplo, para treinar modelos de IA —, ele se torna controlador dessa nova finalidade e assume toda a responsabilidade associada.
ROPA e RIPD: diferenças e complementaridade
| Aspecto | ROPA (Art. 37) | RIPD (Art. 38) |
|---|---|---|
| Obrigatoriedade | Obrigatório para todo controlador e operador | Obrigatório quando determinado pela ANPD |
| Escopo | Todas as operações de tratamento | Operações específicas de maior risco |
| Frequência | Contínuo e permanentemente atualizado | Sob demanda ou proativamente para alto risco |
| Quem elabora | Controlador e operador (cada um o seu) | Controlador (pode envolver operador) |
| Conteúdo | Inventário descritivo | Análise de risco + medidas de mitigação |
| Finalidade | Documentar o que se faz | Avaliar e mitigar riscos |
O ROPA é o inventário — documenta todos os tratamentos. O RIPD é a análise de risco — avalia os tratamentos de maior impacto. São complementares: o ROPA alimenta o RIPD (fornece o mapa de tratamentos), e o RIPD pode retroalimentar o ROPA (indicando medidas de segurança adicionais a registrar).
Erros comuns
| Erro | Risco | Correção |
|---|---|---|
| Manter ROPA estático, sem atualização | Registro desatualizado = registro inútil em fiscalização | Revisão mínima semestral; atualizar a cada nova atividade de tratamento |
| Não elaborar RIPD para tratamentos de alto risco | Incapacidade de demonstrar avaliação de risco; sanção se ANPD solicitar | RIPD proativo para sensíveis, legítimo interesse, decisões automatizadas |
| DPA genérico sem instruções específicas | Controlador sem evidência de cumprimento do Art. 39 | DPA detalhado com instruções, medidas de segurança e procedimentos |
| Operador sem registro próprio | Violação do Art. 37 pelo operador | Operador deve manter ROPA das operações que realiza para cada controlador |
| Não verificar se operador cumpre instruções | Controlador negligente; responsabilidade solidária (Art. 42) | Auditorias periódicas, relatórios de conformidade, cláusula de inspeção |
| Confiar apenas no contrato para definir papéis | ANPD pode reclassificar com base na prática real | Garantir que os papéis contratuais reflitam a realidade operacional |
Conclusão
Os Arts. 37 a 40 são os artigos da demonstrabilidade. O Art. 37 exige que todo tratamento de dados esteja documentado — e a ANPD já sancionou quem não cumpre essa obrigação. O Art. 38 confere à ANPD o poder de exigir análises de risco detalhadas — e a recusa em apresentá-las é sancionável. O Art. 39 define a dinâmica controlador-operador, com obrigações recíprocas de instrução e verificação. O Art. 40 delega à ANPD a competência para definir padrões técnicos que uniformizem a implementação.
Para DPOs e profissionais de compliance, esses artigos traduzem um princípio fundamental: conformidade com a LGPD não é uma declaração de intenção — é um conjunto de documentos, processos e evidências que devem estar disponíveis a qualquer momento. O ROPA é o mapa. O RIPD é a análise de risco. O DPA é o contrato. E a ANPD está verificando se existem.
A Confidata automatiza o registro de operações de tratamento (ROPA) com vinculação direta a bases legais, operadores, transferências internacionais e medidas de segurança. Gera RIPD a partir do inventário existente, com análise de risco e medidas de mitigação — tudo em formato exportável para apresentação à ANPD. Conheça nossa plataforma.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.