O que é suboperador na LGPD
O suboperador (ou subprocessador) é quem o operador contrata para realizar parte do tratamento em nome do controlador. Na prática é a “cadeia” de fornecedores: sua empresa (controladora) contrata um ERP SaaS (operador), que usa Amazon AWS (suboperador) para armazenar o banco.
A LGPD exige que essa cadeia seja transparente e contratualmente amarrada. O titular confia em você; você precisa saber quem mais toca nos dados.
Leia também: Operador de dados na LGPD: papel, contratos e importância na cadeia de fornecedores · Controlador na LGPD: o que é, obrigações e importância para empresas · Agentes de tratamento na LGPD: como mapear controlador, operador e DPO na sua empresa.
Visualizando a cadeia
Titular (pessoa)
↓
Controlador (sua empresa)
↓ contrato + DPA
Operador (ex.: hospedagem, ERP, MSP)
↓ contrato
Suboperador (ex.: datacenter, CDN, antispam, SMS)
↓ eventualmente
Outros prestadores (cadeia longa em SaaS global)
Quanto mais elos, maior o risco se algum elo não tiver cláusulas LGPD equivalentes.
Obrigações na relação com suboperadores
O controlador deve autorizar ou ser informado sobre suboperadores relevantes — em muitos contratos SaaS isso aparece como “lista de subprocessadores” atualizável no site do fornecedor.
O operador deve:
- Contratar suboperadores com as mesmas obrigações de proteção (ou mais rigorosas).
- Informar o controlador sobre mudanças (novo datacenter, nova ferramenta de analytics).
- Responder solidariamente em certas hipóteses se o suboperador falhar.
Por que suboperadores importam para a empresa
Dados “saem” sem você perceber
Formulário do site pode enviar lead para CRM americano, que usa servidor na Europa e e-mail transacional em outro país. Transferência internacional exige cuidados adicionais e transparência no aviso de privacidade.
Incidente longe da sua rede
Vazamento no datacenter do operador é seu incidente perante clientes. Due diligence inclui perguntar: quem são seus suboperadores críticos?
Auditoria e certificações
Cliente corporativo pede SOC 2, ISO 27001 ou questionário — respostas dependem da cadeia completa, não só do contrato direto.
Exemplos reais em PMEs
| Serviço contratado | Operador | Suboperadores típicos |
|---|---|---|
| Site WordPress hospedado | ITC Hosting | Datacenter, backup off-site, antispam de e-mail |
| Microsoft 365 | Microsoft | Datacenters globais, CDN, telemetria |
| E-mail marketing | Plataforma (RD, Mailchimp etc.) | AWS, SendGrid, analytics |
| Monitoramento de PCs | Fornecedor RMM | Nuvem de ingestão, CDN |
| Google Analytics | Infraestrutura Google Cloud |
Cláusulas que o controlador deve exigir
- Direito de aprovar ou ser notificado sobre novos suboperadores.
- Obrigação de fluxo contratual LGPD em toda a cadeia.
- Localização ou país de tratamento dos dados.
- Cooperação em incidentes e auditorias.
- Eliminação de dados ao término em toda a cadeia.
Transferência internacional
Suboperador no exterior pode caracterizar transferência internacional de dados. A ANPD publica mecanismos e requisitos — alinhe com jurídico. Hospedagem no Brasil simplifica narrativa para muitos clientes — ITC Hosting.
TI e suboperadores: checklist rápido
- Liste SaaS com dados pessoais.
- Abra a página “Subprocessors” de cada um (ou peça ao comercial).
- Cruze com aviso de privacidade — está declarado?
- Revise anualmente; SaaS muda fornecedor com frequência.
Integração com LGPD na prática para PMEs: checklist de 12 pontos que TI precisa implementar.
Próximo passo
Documente a cadeia em planilha ou ROPA. Priorize sistemas com CPF, saúde, financeiro e RH. A ITC documenta suboperadores relevantes em contratos de hospedagem e suporte — contato.