Legislação e ANPD11 min de leitura

Responsabilidade solidária na LGPD: o que acontece quando seu fornecedor vaza dados

Equipe Confidata·
Compartilhar

Imagine este cenário: sua empresa contratou uma plataforma de automação de marketing que tem acesso à base completa de e-mails de seus clientes. A plataforma sofre um ataque de ransomware. Os dados de 500.000 clientes seus são exfiltrados e publicados na dark web. Quem responde?

A resposta da LGPD não é simples. E certamente não é "só o fornecedor, porque foi ele quem foi atacado". Entender como a lei distribui responsabilidade entre controladores e operadores é fundamental para qualquer gestor que contrate serviços que envolvam dados pessoais.

Controlador e operador: papéis distintos, responsabilidades distintas

A LGPD divide os agentes de tratamento em duas categorias principais:

Controlador: A pessoa natural ou jurídica que toma as decisões sobre o tratamento de dados — quais dados coletar, para qual finalidade, por quanto tempo, com quem compartilhar. Em regra, é a empresa que tem a relação direta com o titular dos dados (o cliente, o funcionário, o usuário).

Operador: A pessoa natural ou jurídica que realiza o tratamento de dados em nome do controlador, seguindo suas instruções. É o fornecedor que processa dados alheios por delegação contratual — o provedor de SaaS, a empresa de call center, o processador de folha de pagamento, a plataforma de e-mail marketing.

No exemplo acima: sua empresa é a controladora dos dados dos clientes. A plataforma de automação de marketing é o operador.

O Art. 42 da LGPD: a base da responsabilidade

O Art. 42 da LGPD estabelece que "o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo."

Dois aspectos críticos desse artigo:

Primeiro: A responsabilidade recai sobre controlador ou operador — o titular lesado pode acionar qualquer um dos dois, independentemente de quem foi diretamente responsável pelo dano.

Segundo: O §1º do Art. 42 reforça a efetividade da indenização ao titular: o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipóteses em que o operador deixa de ser mero executor e assume responsabilidade própria.

Na prática: o titular pode processar tanto o controlador quanto o operador — e ambos podem responder solidariamente.

Quando o controlador responde pelo ato do operador

O controlador não é automaticamente responsável por tudo que o operador faz. Mas há situações em que a responsabilidade do controlador é inafastável:

Escolha inadequada do operador: Se o controlador contratou um operador claramente despreparado — sem políticas de segurança, sem DPA adequado, sem histórico confiável — e isso contribuiu para o incidente, a escolha inadequada pode ser elemento do nexo de causalidade. A LGPD não diz isso explicitamente, mas a lógica da responsabilidade civil brasileira (Art. 927 do Código Civil) e a obrigação de accountability da LGPD (Art. 6º, X) sustentam esse raciocínio.

Ausência de instruções claras: Se o controlador não forneceu ao operador instruções claras sobre como tratar os dados — quais dados acessar, com qual finalidade, quais controles manter —, a ausência de instrução pode ser interpretada como negligência do controlador.

Monitoramento inexistente: Contratar um operador e nunca verificar se está cumprindo as obrigações contratuais e legais é um risco que a ANPD considera ao avaliar o programa de conformidade do controlador.

Quando o operador responde por conta própria

O Art. 42, §1º da LGPD estabelece que o operador responde solidariamente quando:

  1. Descumprir as obrigações da legislação de proteção de dados — por exemplo, um operador que processa dados para finalidade diferente da contratada, que compartilha dados com terceiros sem autorização do controlador, ou que não implementa medidas de segurança básicas
  2. Não seguir as instruções lícitas do controlador — quando o DPA define obrigações específicas e o operador as ignora

Nessas hipóteses, o operador deixa de ser executor passivo e assume responsabilidade própria. O controlador que deu instruções adequadas pode ter sua responsabilidade reduzida ou excluída — mas o titular continua podendo acionar ambos.

As excludentes de responsabilidade (Art. 43)

O Art. 43 da LGPD prevê que controladores e operadores não serão responsabilizados quando provarem que:

  • I — não realizaram o tratamento de dados pessoais que lhes é atribuído
  • II — embora tenham realizado o tratamento, não houve violação à legislação de proteção de dados pessoais
  • III — o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro

A excludente por culpa exclusiva de terceiro é frequentemente invocada em casos de ataques cibernéticos sofisticados. No entanto, sua aplicação tem limites: se o ataque explorou vulnerabilidade conhecida para a qual existia patch disponível e não aplicado, ou se o acesso foi facilitado por ausência de controles básicos, a culpa exclusiva do atacante dificilmente será sustentada.

Debate sobre responsabilidade objetiva ou subjetiva: A doutrina diverge sobre se a LGPD adota responsabilidade objetiva (sem necessidade de provar culpa) ou subjetiva com ônus probatório invertido (o agente precisa provar ausência de culpa). A estrutura do Art. 42 — que impõe reparação ao agente que "causar dano em violação à legislação" — combinada com as excludentes restritas do Art. 43 (apenas três hipóteses) aproxima o regime da responsabilidade objetiva na prática. Seja qual for a interpretação adotada pelos tribunais, o ônus de demonstrar que não houve violação recai sobre o controlador ou operador, não sobre o titular lesado.

O que a ANPD pode fazer: sanções administrativas

Além da responsabilidade civil (indenização a titulares), a ANPD tem competência para aplicar sanções administrativas ao controlador e ao operador de forma independente. As sanções previstas no Art. 52 da LGPD incluem:

  • Advertência com prazo para correção
  • Multa simples de até 2% do faturamento do grupo econômico no Brasil no último exercício, limitada a R$ 50 milhões por infração
  • Multa diária, com o mesmo limite
  • Publicização da infração após devidamente apurada
  • Bloqueio dos dados pessoais a que se refere a infração
  • Eliminação dos dados pessoais a que se refere a infração
  • Suspensão parcial do funcionamento do banco de dados (inciso X)
  • Suspensão do exercício da atividade de tratamento (inciso XI)
  • Proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados (inciso XII)

Nota: Os incisos VII, VIII e IX do Art. 52 foram vetados na promulgação da lei. As três últimas sanções (incisos X, XI e XII) têm aplicação condicionada: só podem ser impostas após a aplicação de ao menos uma das sanções dos incisos II a VI no mesmo caso — são medidas de escalonamento, não ponto de partida.

O Regulamento de Dosimetria e Aplicação de Sanções Administrativas (Resolução CD/ANPD Nº 4/2023) define como a ANPD pondera gravidade, reincidência, cooperação e programa de conformidade na aplicação das sanções.

Ponto crítico: A ANPD pode processar o operador diretamente, sem precisar processar apenas o controlador. Um fornecedor que vaza dados de múltiplos clientes pode ser investigado pela ANPD independentemente de qual controlador o contratou.

O papel do DPA na alocação de responsabilidade

O DPA (Data Processing Agreement) é o instrumento contratual que define como controlador e operador dividem responsabilidades. Um DPA bem estruturado serve dois propósitos: cumprir o requisito legal do Art. 39 da LGPD (operador deve realizar o tratamento conforme instruções do controlador) e documentar a alocação de responsabilidade que protegerá sua organização em caso de incidente.

Cláusulas que limitam a responsabilidade do controlador:

  • Definição clara das instruções do controlador ao operador
  • Obrigações específicas de segurança que o operador deve implementar
  • Prazo máximo de 24-48 horas para o operador notificar o controlador sobre incidentes (criando evidência de que você cumpriu o prazo da ANPD, Res. 15/2024)
  • Direito de auditoria para verificar o cumprimento das obrigações
  • Obrigação do operador de não contratar sub-processadores sem aprovação prévia

Cláusulas que distribuem o risco financeiro:

  • Limitação de responsabilidade do operador vinculada ao valor do contrato ou a valor fixo proporcional ao risco
  • Obrigação do operador de manter seguro de responsabilidade cibernética com cobertura adequada
  • Indemnização (indemnity) pelo operador em caso de incidente causado por falha sua

Cenários práticos e como respondem os agentes

Cenário 1: Ataque de ransomware que explora vulnerabilidade com patch disponível há 3 meses

  • Operador: Alta probabilidade de responsabilidade por falha na gestão de patches — não é culpa exclusiva de terceiro
  • Controlador: Depende de ter verificado (ou não) as práticas de segurança do operador antes e durante o contrato

Cenário 2: Colaborador do operador vende dados a terceiros (insider threat)

  • Operador: Responsabilidade alta — dever de controlar colaboradores e implementar controles contra acesso indevido (monitoramento, separação de funções, controle de acesso mínimo)
  • Controlador: Responsabilidade reduzida se tiver contratado operador qualificado com DPA adequado e verificado controles durante o contrato

Cenário 3: Operador compartilha dados com sub-processador não autorizado que vaza os dados

  • Operador: Responsabilidade direta — violou as instruções do controlador ao contratar sub-processador não aprovado
  • Controlador: Pode demonstrar que o DPA proibia sub-processadores sem aprovação prévia

Cenário 4: Controlador deu instruções ambíguas e o operador interpretou de forma que causou uso indevido

  • Controlador: Responsabilidade elevada — instrução inadequada é falha do controlador
  • Operador: Pode argumentar que seguiu as instruções recebidas

Como proteger sua organização: checklist de ações

Antes da contratação:

  • Classificar o fornecedor por nível de risco (Tier 1/2/3) com base nos dados que acessará
  • Avaliar o programa de privacidade do fornecedor (ver checklist de due diligence)
  • Assinar DPA com cláusulas completas de proteção de dados ANTES do início do serviço

No contrato:

  • Instruções claras ao operador documentadas no DPA (finalidade, dados, prazos, controles)
  • Obrigação de notificação de incidentes em prazo compatível com a Res. 15/2024 (≤ 48 horas)
  • Proibição de sub-processadores sem aprovação prévia
  • Direito de auditoria exercitável pelo controlador
  • Cláusula de indemnização pelo operador em caso de falha sua

Durante o contrato:

  • Monitoramento periódico (anual para Tier 1, bienal para Tier 2)
  • Revisão de incidentes reportados pelo operador
  • Atualização do DPA quando houver mudanças significativas no escopo do serviço

Conclusão

O vazamento de dados pelo seu fornecedor não é "problema do fornecedor" — é o seu problema também. A LGPD foi construída para proteger os titulares dos dados, e a proteção efetiva exige que tanto quem decide quanto quem executa o tratamento respondam por suas respectivas responsabilidades.

A proteção jurídica do controlador passa por três elementos: seleção diligente do operador (due diligence de privacidade), documentação adequada das instruções (DPA completo), e monitoramento contínuo do cumprimento dessas instruções. Organizações que não têm esses três elementos estão expostas — e a ANPD tem demonstrado que vai investigar toda a cadeia quando um incidente significativo ocorrer.

O Confidata centraliza a gestão de fornecedores e operadores com rastreamento de DPAs, histórico de avaliações de privacidade, alertas de renovação e registro de incidentes reportados por operadores — criando o registro de conformidade que protege o controlador em investigações da ANPD.

Compartilhar
#responsabilidade solidária LGPD#fornecedor vazamento dados#operador controlador responsabilidade#LGPD Art 42#indenização titular LGPD#sanção ANPD fornecedor

Artigos relacionados

Denúncia anônima no Brasil: o que a lei realmente diz sobre canais de éticaLegislação e ANPD · 16 minAvaliação de Impacto (AIPD) para produtos acessíveis por menores: guia práticoLegislação e ANPD · 14 minECA Digital e LGPD: como as duas leis se complementam na proteção de menoresLegislação e ANPD · 13 minVerificação de idade: como adequar seu produto digital ao ECA DigitalLegislação e ANPD · 13 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista