Como este tema funciona no porte da sua empresa
Em geral não há DPO (encarregado de dados) designado e a relação com o BPO é informal. O risco é compartilhar dados de clientes e funcionários sem cláusula de LGPD no contrato — o que torna a empresa, como controladora, responsável por qualquer tratamento inadequado feito pelo prestador. Mesmo uma cláusula mínima de confidencialidade e finalidade já reduz esse risco de forma significativa.
Já existe maior volume de dados pessoais tratados — de clientes, funcionários e parceiros — e a probabilidade de autuação aumenta. O contrato com o BPO precisa ter cláusula de tratamento de dados como operador, e o gestor precisa saber quais dados o prestador acessa e com qual finalidade declarada. DPO interno ou externo já designado precisa acompanhar a relação com o prestador.
O programa de privacidade é mais estruturado e inclui o BPO no mapeamento de dados (ROPA — Registro de Operações de Tratamento de Dados). O DPO acompanha a relação com o prestador. Auditorias de conformidade do BPO fazem parte do ciclo de governança da empresa, com periodicidade definida e critérios formais de avaliação.
Na relação com o BPO, a LGPD — Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) — define papéis distintos: a empresa contratante é o controlador (define a finalidade do tratamento dos dados); o prestador de BPO é o operador (executa o tratamento em nome do controlador). A empresa responde pelo tratamento dos dados mesmo quando quem os opera é o BPO — e precisa garantir que o contrato traduz essa responsabilidade em obrigações formais para o prestador.
Quem responde pelos dados no contrato de BPO?
A empresa contratante responde pelos dados — independentemente de quem os opera. Esse é o ponto mais importante da LGPD na relação com o BPO, e o que mais frequentemente é subestimado na contratação informal: delegar a operação de um processo para o BPO não transfere a responsabilidade legal pelo tratamento dos dados pessoais que estão naquele processo.
A Lei nº 13.709/2018 distingue dois agentes de tratamento. O controlador é quem determina a finalidade e a base legal do tratamento — é a empresa contratante. O operador é quem realiza o tratamento em nome do controlador — é o BPO. A responsabilidade principal pelo tratamento adequado recai sobre o controlador, que pode ser responsabilizado por falhas do operador caso não tenha adotado as medidas de controle e as obrigações contratuais adequadas.
Na prática, isso significa que se o BPO vazar dados de clientes da empresa, usar os dados para finalidade não autorizada ou não atender a uma solicitação de titular, é a empresa — como controladora — que responde perante os titulares e perante a ANPD (Autoridade Nacional de Proteção de Dados).
Quais dados pessoais tipicamente trafegam no BPO
Os dados pessoais que transitam na operação de BPO são mais amplos do que a maioria dos gestores percebe no momento da contratação. Mapeá-los antes de definir as cláusulas contratuais é o primeiro passo para uma gestão de dados adequada na relação com o prestador.
No BPO financeiro, circulam dados de clientes (CNPJ ou CPF, conta bancária, histórico de pagamentos, condições de prazo e limite de crédito) e de fornecedores (dados cadastrais, dados bancários para pagamento). No BPO de folha e DP, circulam dados de funcionários — CPF, dados salariais, dados de saúde para gestão de plano de saúde ou afastamentos, dados bancários para pagamento, informações sobre dependentes. No BPO fiscal e contábil, circulam dados fiscais da empresa e de seus clientes e fornecedores nas notas fiscais.
Dados de saúde são classificados pela LGPD como dados sensíveis — categoria que exige cuidados adicionais de tratamento. BPO de folha que gere benefícios de saúde ou afastamentos por doença lida com dados sensíveis, o que eleva os requisitos de segurança e de controle da relação contratual.
O que o contrato de BPO precisa ter em relação à LGPD
A cláusula de LGPD no contrato de BPO não é formalidade — é o mecanismo que garante ao controlador instrumentos para exigir o tratamento adequado dos dados. Seis itens são obrigatórios independentemente do escopo e do porte da empresa.
- Finalidade do tratamento: para qual finalidade o prestador pode usar os dados da empresa — e a proibição expressa de uso para fins próprios do BPO, como enriquecimento de base de clientes ou uso para outros contratos.
- Obrigações de segurança: quais medidas técnicas e organizacionais o prestador adota para proteger os dados — criptografia em trânsito e em repouso, controle de acesso, política interna de privacidade. O contrato não precisa ser um manual técnico, mas deve exigir que o prestador adote medidas adequadas e possa demonstrá-las.
- Notificação em caso de incidente: o prazo no qual o BPO deve comunicar à empresa qualquer incidente de segurança que envolva dados da contratante — incluindo acessos não autorizados, perdas e divulgações indevidas. O prazo de comunicação do BPO para a empresa precisa ser menor do que o prazo que a empresa tem para notificar a ANPD e os titulares afetados.
- Prazo de retenção: por quanto tempo o BPO pode manter os dados da empresa armazenados na sua plataforma — e a obrigação de exclusão ao término do prazo ou do contrato.
- Portabilidade e exclusão ao fim do contrato: o prestador deve devolver todos os dados em formato utilizável e excluir as cópias da sua plataforma ao encerrar o contrato. Sem essa cláusula, a empresa não tem mecanismo formal de exigir a exclusão.
- Subcontratação: se o BPO pode subcontratar parte do serviço para terceiros e, em caso positivo, quais os critérios de segurança que o subcontratado precisa atender. O uso de suboperadores sem informação da empresa controladora é um risco de conformidade relevante.
Como controlar o acesso do BPO aos dados pessoais
O princípio do mínimo necessário — o BPO só acessa os dados que precisa para executar o escopo contratado — é o ponto de partida do controle de dados na relação com o prestador. Aplicá-lo na prática significa definir, antes do início da operação, quais dados o prestador acessa, em qual sistema, com qual nível de permissão e com qual rastreabilidade.
O controle de acesso inclui:
- Credenciais individuais por colaborador do BPO (não senhas compartilhadas entre a equipe do prestador), o que permite rastrear quem acessou o quê e quando.
- Acesso restrito ao módulo ou ao conjunto de dados necessário para o processo — não acesso geral ao sistema ou à base de dados da empresa.
- Log de acesso e ações: registro automático das ações realizadas pelo prestador no sistema da empresa, disponível para auditoria.
- Revisão periódica dos acessos concedidos: especialmente quando há rotatividade na equipe do BPO — usuário de ex-colaborador do prestador que mantém acesso ativo ao sistema da empresa é um risco frequente e evitável.
Cláusula mínima de confidencialidade e finalidade no contrato, mesmo que simples. Garantir que o prestador não use os dados para finalidade própria e que os devolva ao encerrar. Não é necessário um DPA formal nesse porte, mas o contrato não pode ser silente sobre dados pessoais.
DPA (Data Processing Agreement) estruturado como aditivo ou cláusula específica do contrato, cobrindo os seis itens obrigatórios descritos acima. O DPO — interno ou externo — precisa revisar o contrato e acompanhar a relação com o prestador de forma periódica.
O BPO entra no ROPA (Registro de Operações de Tratamento de Dados) da empresa como operador. Auditorias de conformidade do prestador são realizadas com periodicidade definida. A revisão do DPA é parte do ciclo anual de renovação do contrato.
O que acontece com os dados ao encerrar o contrato de BPO
O encerramento do contrato de BPO é o momento mais crítico do ciclo de dados — e o que mais frequentemente passa sem os cuidados adequados. Ao encerrar, a empresa precisa garantir três coisas: receber todos os seus dados em formato utilizável, confirmar a exclusão dos dados da plataforma do prestador e revogar todos os acessos concedidos ao longo do contrato.
Sem cláusula de portabilidade no contrato, a empresa fica sem mecanismo formal para exigir a entrega dos dados em formato adequado — e pode se ver obrigada a aceitar um formato proprietário que dificulta a migração para um novo prestador. Essa situação é uma forma de lock-in técnico que a cláusula de portabilidade existe para prevenir.
A obrigação de exclusão dos dados após o encerramento está prevista no art. 16 da Lei nº 13.709/2018: os dados pessoais tratados com base no contrato devem ser eliminados após o término do tratamento, salvo nos casos de guarda legal obrigatória. O contrato deve replicar essa obrigação com prazo específico e forma de comprovação — como a emissão de um certificado de exclusão pelo prestador.
Sinais de que a relação com o BPO precisa de revisão sob a ótica da LGPD
Se você se reconhece em três ou mais cenários abaixo, o contrato atual de BPO provavelmente tem lacunas de conformidade com a LGPD que expõem a empresa a risco de responsabilização como controladora.
- O contrato com o BPO não tem cláusula de LGPD — o prestador trata dados de clientes e funcionários sem obrigação formal de confidencialidade, finalidade ou segurança.
- O gestor não sabe quais dados pessoais o BPO acessa e com qual finalidade declarada no contrato.
- O prestador usa senha compartilhada entre a equipe para acessar os dados da empresa — sem usuário individual e sem log de acesso rastreável.
- A empresa não tem procedimento definido para o caso de incidente de dados envolvendo o BPO — não sabe em quanto tempo seria notificada nem como agiria.
- Ao encerrar um contrato anterior de BPO, a empresa não solicitou formalmente a exclusão dos dados — e não sabe se o ex-prestador ainda os retém na plataforma.
- O BPO utiliza subcontratados para parte do serviço, mas o contrato não menciona essa possibilidade nem define os critérios de segurança para os suboperadores.
Caminhos para adequar o contrato de BPO à LGPD
Há dois caminhos para corrigir as lacunas de conformidade na relação com o BPO — e a escolha depende da complexidade do escopo e do volume de dados pessoais tratados pelo prestador.
Incluir cláusula de LGPD no próximo contrato — ou negociar um aditivo ao contrato atual — e mapear os dados que o BPO acessa. São ações que o gestor pode iniciar, com validação jurídica para os termos finais.
- Perfil necessário: gestor administrativo com apoio do responsável jurídico para revisão da cláusula de dados, mesmo que seja uma revisão pontual.
- Tempo estimado: 2 a 4 semanas para mapear os dados, redigir a cláusula e negociar o aditivo com o prestador.
- Faz sentido quando: o escopo do BPO é delimitado, o volume de dados é gerenciável e a empresa quer corrigir as lacunas do contrato atual sem um programa de privacidade amplo.
- Risco principal: redigir cláusulas sem validação jurídica — termos inadequados podem não ter a proteção legal esperada em caso de incidente.
Assessoria jurídica especializada em LGPD para revisão e adequação do contrato, e DPO externo para acompanhamento continuado da relação com o prestador.
- Tipo de fornecedor: Assessoria Jurídica especializada em LGPD, DPO as a Service (Encarregado externo), Consultoria de Gestão com área de privacidade.
- Vantagem: adequação com segurança jurídica — o DPA é redigido com os termos corretos, o mapeamento de dados é completo e o DPO acompanha possíveis incidentes com protocolo definido.
- Faz sentido quando: a empresa trata volume alto de dados pessoais sensíveis (saúde, dados financeiros em escala), já houve um incidente ou a empresa está passando por auditoria de conformidade.
- Resultado típico: contrato adequado em 4 a 8 semanas, com ROPA atualizado e protocolo de resposta a incidentes definido.
Quer verificar se os contratos de BPO da sua empresa estão em conformidade com a LGPD?
Se a adequação dos contratos de BPO à LGPD é uma prioridade, o oHub conecta sua empresa a fornecedores de consultoria e assessoria jurídica especializada em privacidade de dados. Em menos de 3 minutos você descreve a situação e recebe propostas de quem atua nesse tipo de adequação, sem compromisso.
Encontrar fornecedores de Gestão no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Quem é responsável pelos dados pessoais em um contrato de BPO?
A empresa contratante é o controlador e responde pelos dados — independentemente de quem os opera. O BPO é o operador: executa o tratamento em nome da empresa, mas a responsabilidade legal principal permanece com o controlador. Se o BPO tratar os dados de forma inadequada, a empresa pode ser responsabilizada caso não tenha adotado as medidas de controle e as obrigações contratuais adequadas.
O contrato de BPO precisa ter cláusula de LGPD?
Sim. A cláusula de LGPD — ou DPA (Data Processing Agreement) — é o instrumento que garante à empresa controladora os mecanismos para exigir o tratamento adequado dos dados pelo operador. Sem ela, a empresa não tem base formal para exigir finalidade limitada, segurança, notificação de incidentes e exclusão dos dados ao encerrar o contrato.
O que o BPO pode fazer com os dados da empresa?
O BPO só pode usar os dados para a finalidade definida no contrato — a execução do processo contratado. É proibido usar os dados para fins próprios do prestador, como enriquecimento de base de clientes ou uso para outros contratos. Essa restrição precisa estar expressa na cláusula de LGPD do contrato, com proibição explícita de uso não autorizado.
Como proteger dados de clientes e funcionários com BPO?
Os controles principais são: credenciais individuais por colaborador do BPO (não senhas compartilhadas), acesso restrito ao módulo necessário para o escopo, log de acesso rastreável, revisão periódica dos acessos concedidos e cláusula de obrigações de segurança no contrato. Para dados sensíveis — como dados de saúde no BPO de folha — os requisitos de segurança são mais elevados e devem estar especificados no contrato.
O que acontece com os dados ao encerrar o contrato de BPO?
O prestador deve devolver todos os dados em formato utilizável e excluir as cópias da sua plataforma — obrigação prevista no art. 16 da Lei nº 13.709/2018. Para que isso seja exigível na prática, a cláusula de portabilidade e exclusão precisa estar no contrato, com prazo específico e forma de comprovação, como emissão de um certificado de exclusão pelo prestador.
Fontes e referências
- Brasil. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília: Presidência da República. Disponível em: planalto.gov.br.
- Autoridade Nacional de Proteção de Dados (ANPD). Guia orientativo para definições dos agentes de tratamento de dados pessoais e encarregado. Brasília: ANPD. Disponível em: gov.br/anpd.