Como este tema funciona na sua empresa
Típico ter poucos operadores de dados (hospedagem cloud, SaaS para email). Contrato simples de adesão ou padrão do fornecedor, frequentemente sem revisão jurídica. Risco: termos obscuros, falta de cláusulas de segurança. Primeiro passo: revisar contratos existentes, identificar onde dados são processados, negociar cláusula de segurança mínima.
Mix de operadores (cloud, SaaS, consultoria, staff augmentation). Alguns contratos são negocia ados, outros de adesão. DPA (Data Processing Agreement) começa a ser exigido. Documentação de operadores em planilha. Sem processo formalizado de due diligence. Próximo passo: centralizar DPAs, implementar processo de revisão de operador novo, auditoria periódica.
Inventário centralizado de operadores de dados com análise de risco. Contratos padrão com cláusulas de segurança obrigatórias (sub-processamento restrito, direito de auditoria, saída de dados segura). DPA em todos os operadores. Processo de due diligence para novos operadores (segurança, conformidade). Auditoria anual de operadores críticos. Escalação formal para mudanças de operador.
Operador de dados (ou data processor) é terceiro que processa dados pessoais em nome do controlador (sua empresa), conforme definido na LGPD Artigo 5. Operador inclui: hosters cloud, SaaS, consultoria que acessa dados, agência de marketing que usa seus dados para campanha, staff augmentation que trabalha com seus sistemas.
Por que documentar e contratualizar operadores é obrigatório em LGPD
LGPD (Artigo 28) exige: controlador deve contratualizar operador, deixando claro que é processamento em nome do controlador. Contrato deve especificar: dados a processar, que tipo de processamento, segurança (criptografia, acesso restrito), direito de auditoria, obrigação de notificar incidente. Sem contrato conforme, você é responsabilizado pessoalmente por vazamentos do operador[1].
Inventário de operadores: mapeando terceiros que tocam seus dados
Primeiro passo: identificar todos terceiros que processam seus dados. Não apenas óbvios (cloud provider, SaaS). Inclui: consultoria que acessa seus sistemas, agência de marketing que usa seus dados, fornecedor de help desk que vê seus clientes, empresa de limpeza que acessa sua sala de servidores (tem acesso físico a dados). Muitas organizações descobrem operadores inesperados quando fazem mapeamento.
Categorias comuns de operadores de dados
AWS, Azure, GCP, etc: processa dados em datacenters. Contrato exigido. Direito de auditoria explícito. Restrição de sub-processamento (AWS pode subcontratar? Por quem?). Saída de dados segura (como recupera seus dados se sair).
Slack, Teams, Salesforce, Jira, etc: acessa seus dados como parte do serviço. Contrato de adesão típico. Revisar: LGPD compliance, direito de auditoria, notificação de incidente, retenção de dados após saída.
Agência digital, consultoria de TI, consultoria financeira: acessa seus sistemas/dados como parte de projeto. Risco alto se é dado sensível. Contrato deve especificar: duração, dados que pode acessar, restrição de uso (só para projeto, não para outros fins), responsabilidade de segurança.
Dev house, BPO, RH consultoria: pessoas trabalhando "dentro" da sua empresa, com acesso a seus sistemas. Contrato com agência deve detalhar: quem está autorizado, acesso que têm, não devem coletar/usar dados para fins próprios. Pessoas assinam NDA separado.
Email marketing, publicidade, analytics: usa seus dados (lista de clientes, comportamento) para campanha/análise. Operador se recebe e processa seus dados. Contrato deve permitir processamento específico, não genérico ("seu dado para qualquer fim").
Chamados de suporte, atendimento: vê dados do cliente (nome, email, histórico). Operador se processa em nome seu. Contrato deve restringir: só para resolver problema, sem acesso a dados de outro cliente, confidencialidade.
Data Processing Agreement (DPA): cláusulas obrigatórias
DPA é contrato que formaliza a relação operador-controlador. Deve incluir (LGPD Artigo 28):
- Descrição clara do processamento: quais dados, que tipo de processamento, duração, frequência
- Responsabilidades de segurança: criptografia em repouso/trânsito, acesso restrito, segregação de dados, backups
- Direito de auditoria: você pode auditar operador para verificar cumprimento (direito legal)
- Notificação de incidente: operador deve notificar incidente <24h
- Restrição de sub-processamento: operador pode usar terceiros? Precisa pedir autorização?
- Saída de dados: como você recupera seus dados se sair da relação? Operador deleta dados depois?
- Confidencialidade: operador não usa seus dados para fins próprios, só processamento autorizado
- Obrigações legais: se operador recebe ordem legal (p.ex., busca e apreensão), notifica você primeiro
Negocie cláusulas de segurança: não aceite padrão do fornecedor
Muitos fornecedores oferecem contrato de adesão com cláusulas genéricas ou fracas de segurança. Negocie (especialmente com operadores de dados sensíveis):
- Criptografia explícita: dados em repouso com AES-256, em trânsito com TLS 1.2+
- Acesso restrito: quantas pessoas têm acesso? Logging de todos acessos
- Localização dos dados: onde dados são armazenados? Backup em qual país?
- Direito de auditoria: você pode auditar? Com que frequência? Operador paga auditoria ou você?
- Notificação de mudança: se operador muda de subprocessador, você é notificado e pode objetar
- Período de retenção: quanto tempo operador retém seus dados após saída? Deleção segura?
Due diligence: avaliando risco de operador novo
Quando contrata operador novo, avalie risco: (1) que dados será processado (comum vs sensível)? (2) nível de segurança do operador (certificações como ISO 27001, SOC 2)? (3) localização (GDPR, compliance local)? (4) histórico (já teve incidente publicado)? Operadores com dados sensíveis exigem due diligence maior (auditoria antes de assinar, talvez visitação in-loco).
Auditoria periódica: validando conformidade contínua
DPA assinado não é suficiente; precisa validar conformidade contínua. Auditoria anual de operadores críticos: revisão de documentação de segurança, teste técnico de proteções (criptografia, acesso), prova de incidentes reportados. Se operador não está conforme, escalar: requisitar remedição em prazo, considerar saída se não melhora.
Sinais de que seus contratos com operadores precisam melhorar
- Você não tem DPA com operador de dados sensíveis
- DPA usa cláusulas genéricas de adesão, sem negociação de segurança
- Você não tem direito explícito de auditoria ao operador
- Contrato não especifica onde dados são armazenados (pode ser país não seguro)
- Operador pode usar sub-processadores sem notificá-lo
- Você não fez auditoria técnica de operador nos últimos 2 anos
- Sem inventário centralizado de operadores de dados
Caminhos para contratualizar operadores corretamente
Se tem DPO/compliance, pode elaborar DPA padrão internamente, revisar contratos existentes, negociar com operadores. Tempo: 4-8 semanas para estruturar DPA padrão.
Consultoria jurídica especializada em LGPD pode redigir DPA padrão, revisar contratos, negociar com fornecedores. Mais rápido e validado legalmente.
Precisa de apoio para contratualizar operadores conforme LGPD?
Se estruturar contratos com operadores é desafio, o oHub conecta você gratuitamente a consultores jurídicos especialistas em LGPD.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso.
Perguntas frequentes
O que é um operador de dados conforme LGPD?
Terceiro que processa dados em nome seu. Inclui: cloud provider (AWS), SaaS (Slack), consultoria que acessa seus dados, agência de marketing, staff augmentation, help desk terceirizado. Qualquer terceiro que toca seus dados é potencial operador.
É obrigatório ter DPA com operador?
Sim, LGPD Artigo 28 exige contrato formalizado. Pode ser DPA específico ou cláusula em contrato maior, mas deve deixar claro: processamento em nome seu, responsabilidades de segurança, direito de auditoria, notificação de incidente.
Qual é a diferença entre controlador e operador?
Controlador (você) determina o quê e o porquê (finalidade) dos dados. Operador processa conforme instruções do controlador. Exemplo: você (controlador) coleta email de cliente. Agência de email marketing é operador (processa em nome seu para mandar newsletters).
Que cláusulas mínimas deve ter DPA?
Descrição de dados/processamento, responsabilidades de segurança (criptografia, acesso), direito de auditoria, notificação de incidente, restrição de sub-processamento, saída segura de dados, confidencialidade, obrigações legais. Sem essas, DPA é incompleto.
Como fazer due diligence de operador novo?
Avaliar: tipo de dados (sensível?), nível de segurança (ISO 27001, SOC 2?), localização (GDPR-compliant?), histórico (incidentes publicados?). Para sensíveis: auditoria antes de assinar, visita in-loco talvez. Para comuns: revisão de documentação suficiente.
Com que frequência auditar operador?
Mínimo: anual para operadores com dados sensíveis. A cada 2-3 anos para dados comuns. Se incidente ocorre, auditoria imediata. Auditoria pode ser revisão documental (rápida) ou técnica (profunda com penetration test).