oHub Base TI / Cibersegurança e Proteção de Dados / LGPD e Conformidade / Artigos / Agentes de tratamento: controlador, operador e suboperador
Neste artigo: Como este tema funciona na sua empresa Controlador: quem decide como tratar dados Operador: quem executa as ordens do controlador Suboperador: contratação em cascata Cláusulas obrigatórias em contrato entre controlador e operador As 8 cláusulas obrigatórias segundo LGPD Responsabilidade em caso de incidente: quem responde? Múltiplos controladores: responsabilidade compartilhada Sinais de que sua estrutura de agentes de tratamento precisa melhorar Caminhos para estruturar agentes de tratamento conforme LGPD Precisa estruturar agentes de tratamento e contratos LGPD? Perguntas frequentes Qual é a diferença entre controlador e operador de dados? Quem é responsável por vazamento: controlador ou operador? O que é um suboperador de dados? Como definir controlador e operador em contrato? Posso ser ao mesmo tempo controlador e operador? Qual é a responsabilidade do operador na LGPD? Referências
oHub Base TI Cibersegurança e Proteção de Dados LGPD e Conformidade

Agentes de tratamento: controlador, operador e suboperador

Papel de cada agente de tratamento, responsabilidades e implicações contratuais.
Atualizado em: 24 de abril de 2026
Neste artigo: Como este tema funciona na sua empresa Controlador: quem decide como tratar dados Operador: quem executa as ordens do controlador Suboperador: contratação em cascata Cláusulas obrigatórias em contrato entre controlador e operador As 8 cláusulas obrigatórias segundo LGPD Responsabilidade em caso de incidente: quem responde? Múltiplos controladores: responsabilidade compartilhada Sinais de que sua estrutura de agentes de tratamento precisa melhorar Caminhos para estruturar agentes de tratamento conforme LGPD Precisa estruturar agentes de tratamento e contratos LGPD? Perguntas frequentes Qual é a diferença entre controlador e operador de dados? Quem é responsável por vazamento: controlador ou operador? O que é um suboperador de dados? Como definir controlador e operador em contrato? Posso ser ao mesmo tempo controlador e operador? Qual é a responsabilidade do operador na LGPD? Referências
Compartilhar:
Este conteúdo foi gerado por IA e pode conter erros. ⚠️ Reportar | 💡 Sugerir artigo

Como este tema funciona na sua empresa

Pequena empresa

Pequena empresa frequentemente é controladora — coleta dados de cliente (nome, email, telefone), decide por quanto tempo guardar, decide se compartilha com terceiro. Usa nuvem (SaaS, AWS, Google Cloud) — a nuvem é seu operador. Responsabilidade: ter contrato com nuvem que mencione LGPD explicitamente. Na prática: revisar contrato da nuvem (muitos já têm cláusula LGPD) e garantir que está lá. Se não está, pedir para incluir ou migrar para fornecedor que cumpra.

Média empresa

Empresa média é frequentemente ambos: controladora dos dados de seu cliente (seu próprio negócio) e operadora dos dados do cliente de seu cliente (se oferece serviço). Exemplo: consultoria RH coleta dados de colaborador de seu cliente — sua consultoria é operadora. Para cumprir LGPD: tem contrato com clientes que especifica suas responsabilidades como operadora? Tem contratos com seus operadores (nuvem, processadora de pagamento, etc.) que são conformes LGPD? Geralmente não — é achado comum em auditoria.

Grande empresa

Grande empresa tem estrutura formal: existe mapeamento de quem é controlador de cada dado (RH é controlador de dados de colaborador, Marketing é controlador de leads, etc.). Existe registro consolidado de operadores — nuvem, consultoria, processadora de pagamento, etc. — com contratos LGPD assinados. Revisão periódica dos contratos (anual) verifica conformidade. Há matriz de responsabilidades: se há incidente, quem notifica, quem responde — já está predefinido no contrato.

Agentes de tratamento de dados são as partes envolvidas em processar dados pessoais. A LGPD diferencia três papéis: Controlador — quem decide o que fazer com dados (objetivo, finalidade, duração, compartilhamento). Operador — quem executa as ordens do controlador (coleta, armazena, deleta, criptografa). Suboperador — quem é contratado pelo operador para executar parte do trabalho. A distinção é fundamental para responsabilidade legal: em caso de vazamento, quem responde? Ambos podem ser autuados, mas controlador tem responsabilidade principal — afinal, é ele que decide fazer o tratamento[1]. Contrato entre controlador e operador é obrigatório e deve detalhar responsabilidades, direitos e obrigações de segurança.

Controlador: quem decide como tratar dados

Controlador é quem estabelece o por que, o que, como e por quanto tempo os dados serão processados. Exemplos reais:

  • E-commerce: coleta dados de cliente (nome, CPF, endereço) para processar pedido. E-commerce é controlador — decidiu coletar, decidiu guardar por 7 anos (prazo legal para comprovante fiscal), decidiu compartilhar CPF com processadora de pagamento.
  • RH: coleta dados de candidato (CV, telefone, referências) para seleção. RH é controlador — decidiu guardar por 1 ano (prazo do processo), decidiu não compartilhar com terceiro.
  • Banco: coleta dados de cliente (renda, histórico de crédito) para abrir conta. Banco é controlador — decidiu que dados são necessários para 10 anos (prazo bancário), decidiu compartilhar com órgão regulador se necessário.

Responsabilidades principais do controlador:

  • Definir fundamentação legal: qual base legal justifica coletar dados? Contrato com titular? Consentimento? Obrigação legal? Lei exigir fundação clara — não basta "vamos coletar porque podemos".
  • Publicar aviso de privacidade: avisar titular como dados serão usados, por quanto tempo, quem tem acesso, direitos do titular (pedir cópia, pedir exclusão).
  • Selecionar operadores com segurança: não pode usar qualquer operador — precisa verificar que tem controles de segurança (criptografia, backup, acesso restrito).
  • Manter registros do tratamento: documentar quais dados coleta, por quem coleta, quem tem acesso, quando deleta — serve para demonstrar conformidade.
  • Notificar em caso de incidente: se há vazamento, controlador notifica a ANPD e o titular em prazo rápido (LGPD não especifica dias, mas prática é 30 dias).
  • Respeitar direitos do titular: se titular pede cópia dos dados, acessar, ou pedir exclusão, controlador tem obrigação de cumprir em prazo razoável (30-45 dias típico).

Operador: quem executa as ordens do controlador

Operador é provedor de serviço que segue instruções do controlador. Operador não pode decidir mudar objetivo do tratamento — pode apenas executar o que foi solicitado. Exemplos reais:

  • Nuvem (AWS, Google Cloud, Azure): você (controlador) envia dados para nuvem. Nuvem é operadora — cuida de segurança (criptografia, firewall), backup, atualização de servidores. Nuvem não decide compartilhar seus dados com outra empresa sem sua autorização.
  • Processadora de pagamento: você (controlador) diz "processe pagamento com dados do cliente". Processadora é operadora — executa transação, não vende dados para terceiro.
  • Consultoria de RH: você (controlador) diz "realize seleção de candidatos". Consultoria é operadora — segue instruções, não vende CV a terceiro.

Responsabilidades específicas do operador:

  • Implementar medidas de segurança: operador deve criptografar dados em repouso e em trânsito, manter backup, restringir acesso apenas a quem precisa. LGPD não especifica qual tecnologia, mas especifica que "medidas apropriadas ao risco" devem estar em lugar.
  • Cumprir instruções do controlador: se controlador diz "delete dados após 1 ano", operador deleta. Se controlador diz "dados só podem estar no Brasil", operador garante que estão.
  • Auxiliar em direitos do titular: se titular pede cópia dos dados, operador ajuda controlador a compilar e enviar. Se titular pede exclusão, operador deleta.
  • Notificar controlador em caso de incidente: se operador detecta vazamento, precisa avisar controlador imediatamente — controlador então notifica ANPD.
  • Permanecer apenas enquanto necessário: após contrato terminar, operador deleta ou retorna dados ao controlador — não pode guardar "para caso precise depois".
  • Permitir auditoria: controlador tem direito de auditar operador — verificar se implementou segurança, se deletou dados, se teve acesso não autorizado.

Suboperador: contratação em cascata

Suboperador é quando operador contrata terceiro para executar parte do trabalho. Exemplo:

  • Você (controlador) contrata consultoria X (operador) para fazer RH. Consultoria X usa plataforma Y (suboperadora) para guardar CV dos candidatos. Suboperador é a plataforma — precisa estar vinculada às mesmas obrigações.
  • Você (controlador) coloca dados na nuvem AWS (operadora). AWS usa data center da Equinix (suboperadora de infraestrutura). Equinix precisa cumprir segurança.

Regra na LGPD: operador não pode contratar suboperador sem autorização do controlador. Na prática:

  • Operador avisa: "vou usar serviço X para armazenar seus dados". Controlador aprova ou rejeita.
  • Suboperador é vinculado às mesmas obrigações: se suboperador violou segurança, tanto operador quanto suboperador são responsáveis.
  • Contrato em cascata: controlador ? operador ? suboperador, cada um com cláusulas LGPD copiadas para o nível abaixo.

Cláusulas obrigatórias em contrato entre controlador e operador

Pequena empresa

Verificar contrato com fornecedores-chave (nuvem, SaaS). Procurar seção "LGPD" ou "Data Processing". Confirmar presença de: quais dados, duração, local de armazenamento, segurança, direito de auditoria, deleção ao fim. Se faltar, pedir inclusão por escrito — não confiar em verbal.

Média empresa

Manter template de contrato de operador. Registrar todos os operadores em spreadsheet ou ferramenta. Revisar contratos anualmente — verificar se todas as cláusulas estão presentes. Documentar: data de assinatura, cláusulas presentes, resultado da revisão, ações tomadas se falha encontrada.

Grande empresa

Sistema de gestão de contratos (GRC tool) rastreia todos operadores, datas de vencimento, cláusulas presentes. Processo automatizado: antes de operador ganhar acesso, compliance aprova. Revisão anual automática com avisos. Documentação centralizada, auditável. Se falha de cláusula, fluxo de correção é documentado.

As 8 cláusulas obrigatórias segundo LGPD

Contrato entre controlador e operador deve incluir[2]:

  1. Objeto do tratamento: especificar exatamente quais dados, quais operações (coletar, armazenar, processar, deletar), para qual finalidade. "Dados pessoais para processamento de folha" é específico. "Dados para uso da empresa" é vago — não é válido.
  2. Duração do contrato: por quanto tempo os dados serão processados? Não pode ser indefinido — precisa ter data de término ou condição de término.
  3. Segurança da informação: operador compromete-se a implementar medidas apropriadas — criptografia, controle de acesso, backup, teste de segurança periódico. Não precisa especificar tecnologia (operador escolhe), mas precisa ter compromisso de "medidas apropriadas ao risco".
  4. Localização dos dados: onde dados serão armazenados? Se em outro país, precisar ter autorização explícita. LGPD presume que dados de brasileiro devem ficar no Brasil — se armazenar em cloud estrangeira, precisa ter cláusula autorizando, com garantias de segurança e conformidade com lei.
  5. Direitos do controlador: controlador tem direito de auditar operador? De pedir relatórios de segurança? De exigir que operador delete dados? Contrato precisa confirmar esses direitos.
  6. Direitos do titular: se titular pede cópia de dados ou pede exclusão, operador precisa cooperar com controlador para cumprir? Contrato precisa obrigar operador a facilitar (não pode dizer "não temos acesso a seus dados, vocês gerenciam sozinhos").
  7. Notificação de incidente: se há vazamento ou acesso não autorizado, operador notifica controlador em quantas horas? Contrato precisa especificar (típico: "imediatamente ou em no máximo 24 horas").
  8. Destino de dados ao fim: quando contrato termina, operador deleta ou retorna dados? Precisa estar claro — não pode "manter backup por mais tempo". Prazo típico: 30 dias após término.

Responsabilidade em caso de incidente: quem responde?

Se há vazamento de dados, quem é responsável? Resposta: ambos, mas de formas diferentes.

  • Controlador é responsável principal: foi quem decidiu fazer tratamento. ANPD pode multar controlador por não ter implementado segurança apropriada, por não ter selecionado operador com cuidado, por não ter notificado titular no prazo.
  • Operador é responsável por sua parte: se comprometeu em contrato que iria criptografar e não criptografou, operador é responsável por essa falha específica. Mas controlador também responde por ter escolhido operador inadequado.
  • Terceiro prejudicado pode processar ambos: se titular teve CPF roubado e sofreu fraude, pode processar tanto controlador quanto operador por danos morais.

Na prática, muitas vezes há subvenção de responsabilidade: controlador responde para ANPD e titular, depois vai atrás de operador para cobrar ressarcimento — isto está no contrato. Contrato bem escrito deixa claro quem paga por qual tipo de falha.

Múltiplos controladores: responsabilidade compartilhada

Às vezes dois ou mais controladores compartilham dados. Exemplo: dois hospitais fazem parceria e compartilham dados de paciente. Ambos são controladores. Na LGPD:

  • Ambos são responsáveis conjuntamente: se há vazamento, ambos podem ser multados.
  • Precisa estar claro quem faz o quê: contrato entre os dois controladores precisa especificar: quem notifica paciente? Quem notifica ANPD? Quem implementa medida de segurança?
  • Matriz de responsabilidade: "Hospital A é responsável por autenticação, Hospital B é responsável por auditoria" — precisa estar escrito para evitar disputa de responsabilidade pós-incidente.

Sinais de que sua estrutura de agentes de tratamento precisa melhorar

Se você se reconhece em três ou mais cenários abaixo, há risco de não conformidade com LGPD.

  • Não existe mapeamento formal de quem é controlador e quem é operador em sua empresa
  • Contratos com operadores (nuvem, SaaS, fornecedores) não têm seção explícita sobre LGPD ou cláusula de operador
  • Não há registro consolidado de operadores — cada gerente conhece seus fornecedores, sem visibilidade centralizada
  • Operadores usam suboperadores (ex: nuvem usa data center externo) e você não foi informado
  • Em caso de incidente de segurança, não está claro quem notifica ANPD ou titular — responsabilidade é ambígua
  • Não há processo de revisão periódica de contratos com operadores — último checkup foi há mais de 1 ano
  • Alguns operadores foram contratados verbalmente ou têm contrato genérico sem cláusulas LGPD específicas

Caminhos para estruturar agentes de tratamento conforme LGPD

Organizar papéis e responsabilidades de controladores e operadores pode ser feito em fases.

Implementação interna

Revisar e estruturar contratos internamente.

  • Passo 1: Mapear: quais são seus operadores? Nuvem, SaaS, consultoria, fornecedor de serviço?
  • Passo 2: Revisar contratos: procurar seção LGPD ou Data Processing Agreement. Listar quais das 8 cláusulas obrigatórias estão presentes.
  • Passo 3: Enviar para operador: listar cláusulas faltantes e pedir inclusão por escrito. Alguns concordam rápido (nuvem grande), outros resistem.
  • Passo 4: Manter registro: documentar data de revisão, resultado, ações tomadas. Repetir anualmente.
Com apoio de consultoria

Consultoria legal ou compliance pode acelerar estruturação.

  • Tipo de fornecedor: Consultoria em LGPD com experiência em estruturação contratual
  • Escopo típico: Assessment de contratos (1-2 semanas), recomendações (1-2 semanas), suporte em negociação com operadores (4-6 semanas), implementação de processo de revisão periódica
  • Custo: Assessment simples $2-5k, estruturação completa $10-30k dependendo de volume de operadores
  • Vantagem: Consultoria conhece jurisprudência e o que ANPD está exigindo em atuações; acelera aprovação de operadores

Precisa estruturar agentes de tratamento e contratos LGPD?

Se sua empresa não tem mapeamento claro de controladores, operadores e contratos, o oHub conecta você gratuitamente a consultorias especializadas em LGPD e conformidade contratual. Em menos de 3 minutos, descreva sua situação e receba propostas personalizadas, sem compromisso.

Encontrar fornecedores de TI no oHub

Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.

Perguntas frequentes

Qual é a diferença entre controlador e operador de dados?

Controlador é quem decide: qual dado coletar, por quanto tempo guardar, com quem compartilhar. Operador é quem executa: armazena, criptografa, deleta conforme instruções do controlador. Controlador decide "vamos guardar CPF por 7 anos", operador executa. Em responsabilidade: ambos podem ser multados em caso de incidente, mas controlador tem responsabilidade principal.

Quem é responsável por vazamento: controlador ou operador?

Ambos podem ser responsabilizados, mas de formas diferentes. Controlador responde por ter coletado dados sem segurança apropriada e por ter escolhido operador inadequado. Operador responde por não ter implementado segurança prometida no contrato. Na prática: controlador é acionado pela ANPD primeiro, depois cobra do operador por ressarcimento.

O que é um suboperador de dados?

Suboperador é terceiro contratado pelo operador para executar parte do trabalho. Exemplo: você contrata consultoria (operador) que usa plataforma cloud (suboperadora) para guardar dados. Operador precisa avisar controlador sobre suboperador e obter autorização. Suboperador fica vinculado às mesmas obrigações de segurança e sigilo.

Como definir controlador e operador em contrato?

Contrato deve ter cláusula explícita: "Controlador é [empresa X], responsável por decisões de tratamento. Operador é [empresa Y], responsável por executar instruções de segurança." Deve especificar: quais dados, quais operações, duração, localização, segurança, direito de auditoria, notificação de incidente, deleção ao fim. Se vago ("dados para uso da empresa"), é inválido perante LGPD.

Posso ser ao mesmo tempo controlador e operador?

Sim. Exemplo: empresa que coleta dados de cliente (é controladora) e usa sua própria nuvem interna para armazenar (é operadora de si mesma). Relativamente comum em grandes empresas com infraestrutura própria. A distinção de papéis ainda aplica — você ainda precisa documentar o que está fazendo com dados e implementar segurança apropriada.

Qual é a responsabilidade do operador na LGPD?

Operador é responsável por: implementar medidas de segurança apropriadas (criptografia, backup, acesso restrito), cumprir instruções do controlador, auxiliar titular em direitos (cópia, exclusão), notificar incidente imediatamente, e deletar dados ao fim do contrato. Operador não pode fazer nada com dados além do que foi autorizado pelo controlador — não pode vender, compartilhar ou usar para outro fim.

Referências

  1. Lei Geral de Proteção de Dados (LGPD), Lei 13.709/2018, Artigos 5, 37-39. Definições de controlador, operador, suboperador e responsabilidades. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
  2. ANPD — Guia de Orientações sobre Contratos de Operador. Disponível em: https://www.gov.br/anpd/pt-br
  3. NIST SP 800-171: Protecting Controlled Unclassified Information (CUI). Baseline de segurança aplicável a operadores. Disponível em: https://csrc.nist.gov/pubs/sp/800/171

Leia também