Quem manda nos dados? Na LGPD, quem decide é o controlador
Na Lei Geral de Proteção de Dados (Lei 13.709/2018), o controlador é a pessoa natural ou jurídica que toma as decisões referentes ao tratamento de dados pessoais. Em linguagem de negócio: é quem define por que os dados existem no sistema, para que serão usados e quais dados são realmente necessários.
Para a maioria das PMEs, a própria empresa é controladora dos dados de clientes, fornecedores, leads do site e funcionários. Não é um cargo opcional — é um papel jurídico que nasce do fato de você tratar dados. Ignorar isso não elimina responsabilidade; apenas aumenta o risco em auditoria, licitação ou incidente.
Visão geral da lei: LGPD: guia completo para empresas — lei, princípios, direitos e ANPD. Papéis complementares: Operador de dados na LGPD: papel, contratos e importância na cadeia de fornecedores e Encarregado de dados (DPO) na LGPD: funções, quando nomear e importância.
Controlador x operador: diferença em uma frase
| Papel | Quem é | Decide o quê |
|---|---|---|
| Controlador | Sua empresa (em regra) | Finalidades, bases legais, quais dados coletar, com quem compartilhar, prazos de retenção |
| Operador | Fornecedor que executa em seu nome | Como técnicamente tratar, seguindo instruções do controlador (hospedagem, ERP SaaS, MSP de TI) |
Exemplo: uma indústria no RS usa CRM na nuvem. A indústria é controladora dos dados de clientes; o provedor do CRM é operador. Se o CRM contrata datacenter nos EUA, esse datacenter pode ser suboperador — tema do artigo sobre Suboperadores na LGPD: cadeia de tratamento, contratos e responsabilidade.
Obrigações principais do controlador
O controlador responde perante titulares e ANPD por todo o ciclo de vida do dado. Na prática, isso inclui:
- Base legal — cada tratamento precisa de justificativa (consentimento, contrato, obrigação legal, legítimo interesse etc.). Guia: Bases legais LGPD: quando cada hipótese se aplica (com exemplos para empresas).
- Transparência — aviso de privacidade claro, acessível e atualizado (modelo ITC).
- Direitos do titular (art. 18) — canal para acesso, correção, eliminação, portabilidade e revogação de consentimento.
- Segurança (art. 46) — medidas técnicas e administrativas proporcionais ao risco: MFA, backup, criptografia, controle de acesso.
- Registro de operações — documentar fluxos, sistemas e compartilhamentos (ROPA / mapeamento).
- Contratos com operadores — cláusulas de proteção de dados, limites de uso e notificação de incidentes.
- Incidentes — avaliar e comunicar à ANPD e titulares quando houver risco relevante.
- Accountability — demonstrar conformidade, não apenas declarar em papel.
Por que o papel de controlador importa para a empresa
1. Responsabilidade não se terceiriza
Contratar nuvem, suporte de TI ou marketing terceirizado não transfere a responsabilidade final. O controlador continua respondendo perante o titular. Por isso contratos fracos com operadores viram passivo silencioso.
2. Licitações e clientes corporativos exigem evidências
Questionários de segurança, due diligence e cláusulas LGPD em contratos B2B perguntam: quem é controlador, há DPO, onde dados ficam, há DPA assinado? Empresa sem resposta estruturada perde negócio.
3. Incidentes atingem reputação e caixa
Vazamento de planilha de clientes, backup exposto ou notebook roubado sem criptografia geram crise, multa potencial e custo de resposta. O controlador é quem a ANPD e o mercado cobram primeiro.
4. Cultura de dados começa na direção
TI implementa controles, mas o controlador (gestão + jurídico) define política: quais campos o CRM pode ter, se WhatsApp pessoal é aceitável, quanto tempo guardar currículos. Sem decisão de negócio, TI vira “apaga incêndio”.
Controlador em cenários comuns de PME
- Site com formulário de contato — empresa controladora dos leads; hospedagem e ferramenta de e-mail são operadores.
- Folha de pagamento — empresa controladora; contabilidade e banco podem ser operadores ou co-responsáveis conforme contrato.
- Monitoramento de estações — empresa define se e por que monitora; fornecedor do agente RMM é operador. Veja Agente de monitoramento de PC na empresa: como funciona e Monitor ITC.
- Descarte de hardware — empresa controladora dos dados que estavam no disco; parceiro de wipe é operador. ITC Greenway.
- WhatsApp comercial — empresa controladora das conversas com clientes; riscos do chip pessoal: WhatsApp da empresa no celular pessoal: riscos e LGPD.
Papel da TI em apoio ao controlador
A diretoria e o jurídico definem política; a TI entrega evidência técnica:
- Inventário de sistemas com dados pessoais.
- Logs de acesso, MFA, patch management.
- Backup testado e plano de continuidade.
- Descarte seguro de mídias.
- Suporte a pedidos de titulares (exportar, apagar conta).
Checklist prático: LGPD na prática para PMEs: checklist de 12 pontos que TI precisa implementar. Mapeamento de todos os papéis: Agentes de tratamento na LGPD: como mapear controlador, operador e DPO na sua empresa.
Erros que controladores cometem
- Achar que “só a TI cuida de LGPD”.
- Coletar dados “por precaução” sem finalidade documentada.
- Usar ferramentas gratuitas sem contrato ou sem saber onde dados ficam.
- Não revisar operadores após troca de ERP, e-mail ou MSP.
- Política de privacidade genérica copiada da internet, desconectada da operação real.
Perguntas frequentes
Toda empresa é controladora?
Quem trata dados pessoais em nome próprio é, em regra, controlador. Quem só executa ordens de outro é operador — mas muitas empresas são controladoras de clientes e operadoras de fornecedores ao mesmo tempo em relações diferentes.
MEI precisa se preocupar?
Sim. Porte pode influenciar sanção, não o dever de proteger dados.
O que fazer primeiro?
Publicar aviso de privacidade, mapear sistemas e assinar DPA com nuvem e suporte de TI.
A ITC Service pode ajudar?
Como operadora de hospedagem e suporte, atuamos com cláusulas de proteção, segurança técnica e descarte certificado. Contato · Atendimento RS.