Terceirizar não elimina sua responsabilidade na LGPD: entenda a relação Controlador e Operador

Muitas empresas ainda têm a falsa impressão de que, ao contratar um fornecedor para tratar dados pessoais, conseguem transferir toda a responsabilidade legal. Afinal, se o terceiro está executando o serviço, o problema seria dele. Certo? Errado.

A Lei Geral de Proteção de Dados (LGPD) é clara: a responsabilidade do controlador permanece, mesmo quando parte das atividades é realizada por um operador (o fornecedor).

Controlador e operador: quem é quem?

• Controlador: é a empresa que toma as decisões sobre o tratamento dos dados (finalidade, bases legais, compartilhamentos, etc).

• Operador: é quem executa o tratamento de dados em nome do controlador, seguindo suas orientações. O operador não atua de forma autônoma. Ele apenas processa os dados conforme o que foi definido pelo controlador. Por isso, o controlador não se “desvincula” do tratamento de dados ao contratar terceiros.

Terceirização não elimina obrigações

• Mesmo com fornecedores atuando como operadores, o controlador continua responsável por:

• Garantir que o operador adote medidas de segurança adequadas.

• Formalizar as instruções e obrigações contratuais.

• Fiscalizar e monitorar os serviços prestados.

• Responder por incidentes de segurança, violações de direitos dos titulares ou uso indevido dos dados.

Se houver um incidente envolvendo o operador, a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares vão responsabilizar também o controlador.

A relação precisa ser documentada

• Para mitigar riscos, o controlador deve:

• Celebrar contratos com cláusulas específicas de proteção de dados.

• Definir as responsabilidades de cada parte.

• Estabelecer controles e auditorias periódicas.

• Monitorar o cumprimento das medidas de segurança.

Terceirizar não é se eximir. É apenas compartilhar parte operacional da atividade, sob a responsabilidade final do controlador.