Suporte de TI, hospedagem e tecnologia sustentável para empresas
(51) 98143-8470 suporte@itcservice.com.br
ITC Service ITC Service Vila Eunice Velha, Cachoeirinha - RS, 94910-001
WhatsApp
Notícia 3 min de leitura

Agentes de tratamento na LGPD: como mapear controlador, operador e DPO na sua empresa

Guia prático para mapear todos os agentes de tratamento na LGPD: controlador, operador, encarregado, suboperadores e co-controlador — com planilha mental e passos para PMEs.

Agentes de tratamento na LGPD: como mapear controlador, operador e DPO na sua empresa

Por que mapear agentes de tratamento

A LGPD fala em agentes de tratamento — termo que engloba controlador e operador, além do encarregado (DPO) como figura de canal e governança. Empresas que não sabem “quem é quem” em cada sistema tomam decisões erradas em contrato, incidente e resposta ao titular.

Mapear não é burocracia: é mapa de risco e responsabilidade. Este guia reúne os artigos da série ITC e transforma em roteiro executável para gestores, jurídico e TI.

Série completa: Controlador na LGPD: o que é, obrigações e importância para empresas · Operador de dados na LGPD: papel, contratos e importância na cadeia de fornecedores · Encarregado de dados (DPO) na LGPD: funções, quando nomear e importância · Suboperadores na LGPD: cadeia de tratamento, contratos e responsabilidade · LGPD: guia completo para empresas — lei, princípios, direitos e ANPD.

Glossário dos papéis

  • Controlador — decide finalidades e meios essenciais do tratamento.
  • Operador — trata em nome do controlador, por instrução contratual.
  • Suboperador — contratado pelo operador para parte do tratamento.
  • Encarregado (DPO) — facilita conformidade e comunicação; não “dono” dos dados.
  • Titular — pessoa a quem os dados se referem.
  • Co-controlador — dois ou mais controladores que decidem conjuntamente finalidades (parcerias, joint ventures — avaliar com jurídico).

Passo 1 — Inventário de sistemas com dados pessoais

Liste: ERP, CRM, site, e-mail, RH, ponto, WhatsApp, backup, planilhas, câmeras, IA. Para cada um anote: quais dados, quem usa, onde hospeda.

Passo 2 — Atribuir papel por relação

Sistema / fluxoControladorOperadorSuboperador (se souber)
CRM de vendasSua empresaFornecedor SaaSDatacenter do SaaS
Folha internaSua empresaContabilidade (acesso)Software folha na nuvem
Site institucionalSua empresaHospedagem ITCCDN, backup
Suporte remoto TISua empresaMSP (ITC)Ferramentas do MSP
Descarte de PCsSua empresaITC GreenwayRecicladora licenciada

Passo 3 — Bases legais por finalidade

Para cada linha do inventário, qual hipótese do art. 7º ou 11? Documente — não deixe só na cabeça do comercial. Bases legais LGPD: quando cada hipótese se aplica (com exemplos para empresas).

Passo 4 — Contratos e DPA

Toda linha com operador precisa de instrumento com cláusulas LGPD. Marque: ✅ assinado · ⚠️ só termos online · ❌ nada.

Passo 5 — Nomear encarregado ou responsável

Publique contato em política de privacidade. Mesmo PME beneficia-se. Encarregado de dados (DPO) na LGPD: funções, quando nomear e importância.

Passo 6 — TI implementa controles

MFA, backup, logs, descarte, treinamento phishing — LGPD na prática para PMEs: checklist de 12 pontos que TI precisa implementar.

Importância do mapeamento para a gestão

  • Orçamento — prioriza contratos e ferramentas que realmente tocam dados críticos.
  • Onboarding de funcionário — sabe quais sistemas têm dados e quem aprova acesso.
  • Offboarding — desliga contas em todos os operadores, não só AD interno.
  • Due diligence — responde questionários de cliente em horas, não semanas.
  • Incidente — sabe quem notificar na cadeia (operador → suboperador → ANPD).

ROPA simplificado (registro de operações)

Documento vivo com colunas: finalidade, categorias de dados, titulares, controlador, operadores, prazo retenção, base legal, medidas segurança. Atualize ao contratar novo SaaS.

Casos em que a empresa tem dois papéis

Indústria que vende B2B: controladora dos dados de clientes; ao processar folha, é controladora dos funcionários; ao hospedar site de terceiro como prestadora, pode ser operadora desse terceiro. Papéis mudam por relação — o mapa evita confusão.

Integração com governança de IA

Novos agentes de IA que processam documentos internos entram no mapa como operadores ou ferramentas sob responsabilidade do controlador. Governança, LGPD e uso responsável de IA nas empresas.

Cronograma sugerido (30 dias)

  1. Semana 1 — inventário de sistemas + publicar/atualizar aviso de privacidade.
  2. Semana 2 — preencher tabela controlador/operador + pedir DPA pendentes.
  3. Semana 3 — designar encarregado + treinamento rápido com líderes.
  4. Semana 4 — checklist TI + revisão com jurídico.

Como a ITC Service se encaixa no seu mapa

Em hospedagem, suporte gerenciado, monitoramento e descarte, atuamos tipicamente como operador sob instruções do cliente controlador — com confidencialidade, segurança e documentação. Ajuda a fechar lacunas técnicas do mapa: gestão de suporte TI · Greenway · contato.