Suporte de TI, hospedagem e tecnologia sustentável para empresas
(51) 98143-8470 suporte@itcservice.com.br
ITC Service ITC Service Vila Eunice Velha, Cachoeirinha - RS, 94910-001
WhatsApp
Notícia 4 min de leitura

Operador de dados na LGPD: papel, contratos e importância na cadeia de fornecedores

O operador trata dados em nome do controlador. Saiba quando sua empresa é operadora, obrigações legais, cláusulas contratuais e por que escolher operadores confiáveis.

Operador de dados na LGPD: papel, contratos e importância na cadeia de fornecedores

O que é operador na LGPD

O operador de dados realiza o tratamento de dados pessoais em nome do controlador. Ele não decide a finalidade principal — executa conforme instruções documentadas. Exemplos clássicos: provedor de hospedagem, ERP em nuvem, plataforma de e-mail marketing, escritório de contabilidade com acesso ao folha, empresa de suporte de TI com acesso remoto às estações.

Entender esse papel é essencial porque a LGPD exige que a relação controlador–operador seja formalizada por contrato (ou outro instrumento escrito) com cláusulas específicas de proteção de dados. Operador sem contrato adequado é risco jurídico e operacional.

Complemente com: Controlador na LGPD: o que é, obrigações e importância para empresas · Suboperadores na LGPD: cadeia de tratamento, contratos e responsabilidade · LGPD: guia completo para empresas — lei, princípios, direitos e ANPD.

Obrigações do operador (art. 39 e 42)

  • Tratar dados somente conforme instruções do controlador.
  • Não usar dados para finalidade própria além do contratado.
  • Manter medidas de segurança compatíveis com a LGPD.
  • Cooperar com o controlador no atendimento aos direitos dos titulares.
  • Notificar o controlador sobre incidentes de segurança.
  • Após término do contrato, eliminar ou devolver dados conforme combinado.
  • Manter registro das operações de tratamento que realizar, quando aplicável.

O operador pode ser solidariamente responsável se tratar fora das instruções ou causar dano por descumprimento da lei — não é “escudo” total para o controlador, mas define quem fez o quê.

Quando sua empresa É operadora

Prestadores de serviço frequentemente são operadores dos dados dos clientes do cliente:

  • MSP / suporte de TI — acessa estações, servidores e e-mail com dados de funcionários e clientes do contratante.
  • Hospedagem e cloud — armazena site, formulários, banco de dados. ITC Hosting.
  • Desenvolvimento sob demanda — copia base de produção para homologação.
  • Descarte e wipe de hardware — recebe equipamentos com dados residuais. ITC Greenway.
  • Contabilidade e RH terceirizado — processa folha e documentos.

Nesses casos, sua empresa deve oferecer contrato com cláusulas LGPD, limitar acesso ao mínimo e documentar subprocessadores (ex.: datacenter usado na hospedagem).

Quando sua empresa CONTRATA operadores

Como controladora, você deve:

  1. Due diligence — o fornecedor tem política de segurança, certificações, localização dos dados?
  2. DPA / aditivo de proteção de dados — objeto, duração, natureza dos dados, obrigações de segurança, auditoria, eliminação ao fim.
  3. Lista de suboperadores — autorização prévia ou notificação de mudanças (AWS, SendGrid, etc.).
  4. Instruções escritas — o que o operador pode e não pode fazer (ex.: proibir download de base completa para notebook pessoal).
  5. Revisão periódica — anual ou ao renovar contrato.

Importância do operador para a conformidade da empresa

Cadeia de confiança

Seu aviso de privacidade promete segurança ao titular. Se o operador vaza dados, quem o cliente processa na prática é você. Um operador fraco derruba anos de reputação.

Concentração de risco em nuvem

Migrar para Microsoft 365, Google ou ERP SaaS significa concentrar tratamento em poucos operadores críticos. Falha deles vira seu incidente — exija SLA, backup e autenticação forte.

TI interna x operador externo

Equipe interna de TI que administra Active Directory também pode ser operadora em relação a dados de RH — ou a empresa continua controladora com TI como área executora. O importante é documentar papéis no Agentes de tratamento na LGPD: como mapear controlador, operador e DPO na sua empresa.

Operador e monitoramento corporativo

Ferramentas de inventário e telemetria (RMM) coletam hostname, usuário logado, versão de SO, uso de disco — em certos contextos, dados pessoais ou identificáveis. O contratante deve definir finalidade (segurança, gestão de ativos) e base legal; o fornecedor do agente atua como operador. Transparência com funcionários e política interna evitam surpresa. Detalhes: Agente de monitoramento de PC na empresa: como funciona.

Cláusulas mínimas no contrato com operador

  • Descrição dos dados e finalidades autorizadas.
  • Proibição de uso para fins próprios do operador.
  • Medidas de segurança e confidencialidade.
  • Subcontratação e suboperadores.
  • Prazo de retenção e eliminação/devolução.
  • Cooperação com direitos dos titulares e ANPD.
  • Notificação de incidentes em prazo definido (ex.: 24–72 h).
  • Direito de auditoria ou certificação aceita.

Erros comuns

  • Assinar SaaS só com “termos de uso” genéricos, sem DPA.
  • Contador com acesso total ao servidor sem NDA ou cláusula LGPD.
  • Freelancer de marketing com export do CRM sem controle.
  • Não saber que o “operador” usa datacenter no exterior.

Próximos passos

Liste todos os fornecedores com acesso a dados pessoais. Priorize e-mail, ERP, backup, suporte de TI e site. Peça aditivo LGPD ou assine DPA padrão do fornecedor após revisão jurídica. A ITC Service atua como operadora documentada em hospedagem e suporte — fale conosco.