Como este tema funciona na sua empresa
Tem fornecedores de portaria, limpeza e manutenção que circulam por todo o prédio, acessam câmeras, lista de funcionários e visitantes. O contrato menciona LGPD apenas em uma cláusula genérica, e não há mapeamento de quais dados pessoais são processados nem por quem.
Já incluiu cláusula específica de proteção de dados nos contratos novos, exige termo de confidencialidade dos colaboradores terceirizados e tem mapeamento parcial de fluxos. Falta integrar Facilities ao programa corporativo de privacidade e estabelecer auditorias periódicas.
Possui DPA formalizado por categoria de fornecedor, encarregado de dados (DPO) responsável pelo programa, treinamento documentado, criptografia em sistemas de acesso e protocolo de notificação de incidentes com prazos definidos. Auditoria anual cobre conformidade contratual e operacional.
Confidencialidade e LGPD em Facilities
é o conjunto de obrigações contratuais e legais, derivadas da Lei Geral de Proteção de Dados (Lei 13.709/2018) e do dever geral de boa-fé contratual, que regula como fornecedores de serviços prediais — limpeza, segurança, recepção, manutenção, ambulatório — devem tratar informações sensíveis e dados pessoais aos quais têm acesso durante a execução de seus contratos.
Por que Facilities é um ponto crítico de privacidade
Empresas tendem a focar a conformidade com a LGPD em sistemas de TI, RH e marketing. Facilities costuma ficar invisível, embora seja talvez o ambiente em que dados pessoais circulam com mais intensidade física. O recepcionista da portaria, contratado por uma terceirizada, vê todos os visitantes, registra documentos, controla horários de entrada e saída. O vigilante monitora câmeras que capturam imagens biométricas. A enfermeira do ambulatório acessa prontuários de saúde ocupacional. A equipe de limpeza entra em todas as salas, circula entre documentos abertos, ouve conversas.
Tudo isso é tratamento de dados pessoais nos termos do artigo 5º da LGPD. E grande parte ocorre por meio de fornecedores que, juridicamente, são operadores — pessoas que tratam dados a serviço do controlador. A empresa contratante, mesmo sem operar diretamente, responde solidariamente em caso de incidente, conforme o artigo 42 da lei.
O que a LGPD exige da relação com fornecedores
A Lei 13.709/2018 não regulamenta especificamente Facilities, mas impõe um conjunto de deveres aplicáveis a qualquer relação em que dados pessoais são tratados por terceiros. Cinco pilares organizam o que se espera.
Base legal definida
Para cada tratamento, deve haver base legal entre as dez previstas no artigo 7º. Em Facilities, as bases mais comuns são execução de contrato (recepção que registra visitantes), legítimo interesse (CFTV de áreas comuns), cumprimento de obrigação legal (registro de ponto, segurança patrimonial) e tutela da saúde (ambulatório). Sem base legal identificada, o tratamento é irregular.
Finalidade específica
O dado pode ser tratado apenas para o fim declarado. Imagens de CFTV captadas para segurança patrimonial não podem virar base para análise de produtividade. Lista de visitantes coletada para controle de acesso não pode virar mailing comercial.
Necessidade e mínimo
Coleta-se apenas o necessário. Pedir CPF, RG, telefone e endereço de visitante é desproporcional quando bastaria o nome e a empresa de origem. O excesso vira passivo.
Segurança
Dados precisam de proteção técnica e administrativa proporcional ao risco. Senhas de sistemas de acesso, criptografia em trânsito de imagens de CFTV, controle de quem assiste a gravações.
Responsabilização e prestação de contas
A empresa precisa demonstrar conformidade. Documentação, registros, treinamento, mapeamento de fluxos e auditorias são as formas práticas de cumprir esse dever.
Tipos de dados que circulam em Facilities
Mapear os fluxos é o primeiro passo. Em qualquer empresa de médio porte, sete categorias de dados costumam estar em jogo.
Dados de funcionários
Lista nominal, fotos, número de matrícula, horário de entrada e saída, área de atuação. Acessados pela portaria e pela equipe de controle de acesso.
Imagens de CFTV
Captação contínua de vídeo nas áreas comuns. Pode incluir áreas críticas como recepção, corredores, estacionamentos. A imagem é dado pessoal e, quando associada a horários, vira biografia involuntária do colaborador.
Dados de visitantes
Nome, documento, foto, horário, motivo da visita, anfitrião interno. Costumam ficar em sistemas de portaria operados pela empresa de segurança.
Cartões e biometria de acesso
Templates biométricos (digital, facial, íris), histórico de movimentação, perfis de permissão. São dados sensíveis sob a LGPD, com tratamento mais restrito.
Dados de saúde ocupacional
Atestados, ASOs, prontuários do ambulatório, histórico de afastamentos. Categoria de dado sensível, com base legal específica.
Comunicações internas em ambientes de trabalho
Conversas, telas abertas, documentos sobre mesas. A equipe de limpeza pode, sem intenção, ter acesso a informações estratégicas, dados de clientes ou contratos confidenciais.
Dados de fornecedores e prestadores
Listas, CPFs de motoboys, histórico de entregas, informações de manutenção realizada. Também são dados pessoais quando individualizados.
O mínimo necessário é incluir cláusula específica de proteção de dados em todos os contratos novos, fazer os colaboradores terceirizados que tratam dados pessoais assinarem termo de confidencialidade individual e manter registro físico ou digital dessas assinaturas. Custo zero, proteção significativa.
Adicione DPA (Data Processing Agreement) como anexo dos contratos com fornecedores que tratem dados sensíveis ou em volume relevante: portaria, segurança, ambulatório. O DPA detalha categorias de dados, finalidades, prazos de retenção, medidas de segurança e protocolo de incidentes.
Integre Facilities ao programa corporativo de privacidade liderado pelo encarregado de dados, com DPA padronizado, RIPD (Relatório de Impacto à Proteção de Dados) para tratamentos de alto risco, auditoria anual de fornecedores, treinamento obrigatório com registro e protocolo de notificação de incidentes em até 24 horas.
Cláusula de confidencialidade versus DPA
Os dois instrumentos parecem similares mas servem a propósitos diferentes. A cláusula de confidencialidade é compromisso geral de sigilo sobre informações estratégicas, comerciais ou técnicas — alcança qualquer informação confidencial, não só dado pessoal. Tem origem antes da LGPD e continua válida.
O DPA, por outro lado, é instrumento específico de proteção de dados pessoais. Detalha categorias de dados, finalidades, base legal, medidas técnicas e administrativas, prazos de retenção, sub-operadores autorizados e protocolo de notificação de incidentes. É exigido, na prática, sempre que houver tratamento sistemático de dados pessoais por operador.
Em Facilities, recomenda-se ter os dois: cláusula geral de confidencialidade no contrato principal e DPA como anexo específico para fornecedores de portaria, segurança, ambulatório e qualquer operação que envolva tratamento contínuo de dados pessoais.
Treinamento dos colaboradores terceirizados
O artigo 50 da LGPD prevê que o controlador adote boas práticas e governança, incluindo capacitação. Em Facilities, isso se traduz em treinamento dos colaboradores do fornecedor — não apenas do supervisor que assina o contrato. O recepcionista, o vigilante, a auxiliar de limpeza precisam saber o que podem e o que não podem fazer com dados pessoais que cruzam o caminho deles.
Treinamento bom é prático: cobre exemplos do dia a dia. Não compartilhar foto de visitante em redes sociais. Não comentar quem entrou ou saiu da empresa. Não tirar foto de telas abertas. Não acessar gravações de CFTV sem autorização. Tudo registrado em lista de presença assinada, com renovação periódica.
A responsabilidade pelo treinamento pode ser do fornecedor, mas a fiscalização é da contratante. Exigir, contratualmente, evidência do treinamento (certificados, listas, conteúdo) e auditar amostra periodicamente.
Protocolo de incidentes
O artigo 48 da LGPD exige que o controlador comunique a ANPD e aos titulares quando houver incidente que possa acarretar risco ou dano relevante. Em Facilities, incidentes típicos são: vazamento de imagens de CFTV, perda de cartão com dados pessoais, acesso não autorizado a sistema de portaria, divulgação de informação interna por colaborador terceirizado.
O contrato precisa estabelecer prazo curto para que o fornecedor comunique a contratante: 24 a 48 horas é razoável. A contratante precisa do tempo restante para avaliar e cumprir seus prazos legais. Sem essa cláusula, descobre-se o incidente tarde demais para reagir.
Auditoria de conformidade
Empresas médias e grandes devem prever, em contrato, direito de auditar a conformidade do fornecedor. A auditoria pode ser documental (revisão de políticas, registros, treinamentos) ou operacional (visita ao local de operação do fornecedor, revisão de sistemas). Periodicidade anual é razoável para fornecedores críticos.
Em casos de fornecedores certificados (ISO 27001, por exemplo), pode-se aceitar a certificação como evidência, sem necessidade de auditoria própria. Mas o direito contratual de auditar deve permanecer, para uso quando houver suspeita de incidente.
Sinais de que LGPD em Facilities precisa de atenção
Se você se reconhece em três ou mais cenários abaixo, é provável que a conformidade dos contratos de Facilities esteja em débito.
- Os contratos vigentes com fornecedores de portaria, segurança ou limpeza não mencionam LGPD ou trazem apenas cláusula genérica de uma frase.
- Não há mapeamento de quais dados pessoais cada fornecedor de Facilities trata e com que finalidade.
- Os colaboradores terceirizados que circulam pelo prédio não passaram por treinamento documentado em proteção de dados.
- Não existe protocolo escrito para notificação de incidentes envolvendo dados pessoais por parte dos fornecedores.
- O sistema de CFTV grava continuamente, sem política definida de retenção, acesso e finalidade.
- A empresa não tem encarregado de dados (DPO) ou ele desconhece os fluxos de dados em Facilities.
- Visitantes preenchem fichas em papel sem informação clara sobre como os dados serão usados nem por quanto tempo guardados.
Caminhos para estruturar conformidade
O nível de formalização depende do volume de dados tratados, do porte e do risco da operação.
Possível quando a empresa já tem programa de privacidade liderado por jurídico ou compliance.
- Perfil necessário: Encarregado de dados (DPO) ou jurídico interno com formação em LGPD
- Quando faz sentido: Empresa com até cinco fornecedores críticos de Facilities e estrutura mínima de governança de dados
- Investimento: 60 a 120 horas para mapear fluxos, redigir DPAs padrão e treinar gestores de contrato
Recomendado quando há volume alto de dados, dados sensíveis (saúde, biometria) ou risco regulatório.
- Perfil de fornecedor: Escritório de advocacia com prática em LGPD, consultoria de privacidade ou DPO terceirizado
- Quando faz sentido: Multi-site, presença de ambulatório, biometria em larga escala ou ausência de programa interno de privacidade
- Investimento típico: R$ 15.000 a R$ 60.000 para mapeamento, redação de DPAs e treinamento; mensalidade de DPO terceirizado entre R$ 4.000 e R$ 20.000
Seu contrato de Facilities tem cláusula clara sobre LGPD e proteção de dados?
Se a empresa precisa estruturar DPA, mapear fluxos, treinar colaboradores terceirizados ou contratar DPO especializado em Facilities, o oHub conecta você a escritórios de advocacia, consultorias de privacidade e DPOs terceirizados.
Encontrar fornecedores de Facilities no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Preciso de cláusula LGPD em contrato de Facilities?
Sim. Sempre que o fornecedor tratar dados pessoais durante a execução do contrato — e em Facilities isso é regra, não exceção — a contratante precisa de cláusula que detalhe finalidades, medidas de segurança, retenção e protocolo de incidentes. A ausência dessa cláusula pode caracterizar falha no dever de governança previsto no artigo 50 da LGPD.
O que é DPA (contrato de processamento de dados)?
DPA é o instrumento específico que regula o tratamento de dados pessoais entre controlador e operador. Detalha categorias de dados, finalidades, base legal, medidas técnicas e administrativas de segurança, prazos de retenção, sub-operadores autorizados, direitos de auditoria e protocolo de notificação de incidentes. Em Facilities, recomenda-se DPA para fornecedores de portaria, segurança, ambulatório e qualquer operação com tratamento contínuo de dados.
Quem responde legalmente por vazamento de dados de fornecedor de Facilities?
O artigo 42 da LGPD prevê responsabilidade solidária entre controlador e operador. Mesmo que o vazamento tenha ocorrido por falha do fornecedor, a empresa contratante pode ser responsabilizada e tem o ônus de provar que adotou medidas adequadas. Por isso a importância de DPA, treinamento documentado e auditoria periódica.
O fornecedor pode acessar imagens de CFTV?
Pode, dentro do que estiver previsto em contrato e com base legal definida. Em regra, o vigilante terceirizado acessa imagens em tempo real para fins de segurança patrimonial — base legal de legítimo interesse. Acesso a gravações arquivadas, exportação ou compartilhamento exigem autorização específica e devem ser registrados em log auditável. Cláusulas claras evitam tanto excesso quanto insuficiência.
Preciso treinar colaboradores terceirizados em LGPD?
Sim. O dever de capacitação alcança todos que tratam dados pessoais a serviço da empresa, incluindo terceirizados. O treinamento pode ser realizado pelo fornecedor, mas a contratante deve exigir evidência (lista de presença, conteúdo, certificados) e auditar amostra periodicamente. Sem treinamento documentado, há risco de responsabilização por falha de governança.