O site da HDPO utiliza cookies e outros rastreadores para proporcionar uma melhor performance de funcionamento, bem como para medir e avaliar a navegação dos usuários. Você tem a opção de ACEITAR ou REJEITAR o uso desses RASTREADORES. Esta condição é essencial para garantir o respeito à sua privacidade. Em caso de dúvidas, recomendamos a consulta ao nosso aviso de privacidade e aos termos de uso.
Decida quais os cookies que deseja permitir. O utilizador pode alterar estas configurações em qualquer momento. No entanto, por vezes pode obter visualizações ou resultados indisponíveis. Para obter informações sobre como excluir os cookies, consulte a função de ajuda do seu navegador.
Cookies Necessários
Estes cookies são aqueles necessários para o site funcionar e não podem ser desligados em nossos sistemas. Eles geralmente são definidos apenas em resposta às ações feitas por você, como por exemplo, definir suas preferências de privacidade, fazer login ou preencher formulários. Caso queira, pode configurar seu navegador para bloqueá-lo ou alertá-lo sobre esses cookies, mas algumas partes do site podem não funcionar de forma adequada.
Cookies Analíticos
Os cookies analíticos fornecem informações sobre como este site está sendo usado para que possamos melhorar a experiência do usuário. Os dados capturados são agregados e anonimizados.
Cookies de Marketing
Os cookies de marketing fornecem informações sobre a interação do usuário com o conteúdo do nosso site, ajudando-nos a entender melhor a eficácia do nosso conteúdo de e-mail e website.
Contratos entre Controlador e Operador: Uma Salvaguarda Jurídica para a Governança de Dados Pessoais
A Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018) trouxe profundas transformações à maneira como empresas e instituições públicas lidam com informações pessoais. Entre os principais desafios está o correto enquadramento jurídico dos agentes de tratamento Controlador, Operador, assim como seu Encarregado (DPO) e, sobretudo, a definição contratual das responsabilidades e obrigações no tratamento de dados pessoais e sensíveis, especialmente quando envolvem tecnologia inovadora, integrações sistêmicas, transferência internacional de dados e grande volumetria.
Por que o contrato entre controlador e operador é indispensável?
A LGPD exige, nos termos de seus artigos 37 a 42, que o tratamento de dados seja documentado, proporcional e seguro. Para tanto, quando o Controlador (quem toma as decisões sobre o tratamento) contrata um Operador (quem realiza o tratamento em seu nome), é obrigatória a formalização de um contrato que estabeleça:
O escopo do tratamento de dados; As medidas de segurança da informação adotadas; O dever de confidencialidade; A responsabilidade solidária ou subsidiária em caso de incidentes; O procedimento de resposta a requisições dos titulares; O direito de auditoria e de prestação de contas.
Tal contrato não é mera formalidade. Ele representa uma salvaguarda legal, protegendo ambas as partes de responsabilidades civis e administrativas, além de compor o rol de evidências exigidas em caso de fiscalização pela ANPD.
Responsabilidade objetiva: risco jurídico para o controlador
O Controlador assume responsabilidade objetiva pelos danos causados em razão de falhas no tratamento de dados, ainda que a execução tenha sido feita por um Operador terceirizado. Ou seja, mesmo sem culpa direta, o Controlador poderá ser demandado a reparar o dano.
Essa realidade impõe aos controladores a necessidade de atuar de forma diligente e preventiva selecionando operadores idôneos, exigindo garantias técnicas e jurídicas, e fiscalizando a execução do contrato.
Auditoria, gestão documental e governança como práticas obrigatórias
A gestão documental dos contratos e dos fluxos de tratamento de dados deve ser contínua, auditável e baseada em políticas internas. O Guia da ANPD sobre agentes de tratamento e as páginas institucionais de tribunais como o TJDFT e o TRE-SE reforçam que a ausência de controle sobre os operadores configura omissão por parte do controlador.
Alguns cuidados essenciais incluem:
Formalização contratual de todas as relações com operadores;
Realização de auditorias periódicas, com verificação do cumprimento das obrigações legais e contratuais;
Definição clara de regras de acesso, armazenamento, guarda e descarte de dados;
Registro das atividades de tratamento (ROPA);
Estabelecimento de procedimentos para resposta a incidentes de segurança.
Além disso, diante do uso crescente de soluções tecnológicas com integrações automatizadas, cloud computing e inteligência artificial, é indispensável que os contratos contemplem cláusulas específicas sobre segurança cibernética, continuidade de negócios e resposta a vulnerabilidades.
Pessoas também são parte do contrato: segurança começa na cultura
Outro ponto negligenciado por muitos é o comportamento humano como vetor de risco. O operador de dados deve treinar e capacitar seus profissionais para compreenderem o que são dados pessoais, quais são as bases legais de tratamento e como agir diante de requisições de titulares ou incidentes.
Contratos bem redigidos, com cláusulas de confidencialidade, compliance, sigilo e responsabilidade individual, são um instrumento adicional para fomentar a cultura de proteção de dados e, principalmente, delimitar o risco jurídico do controlador em caso de falhas humanas ou operacionais.
Como a HDPO pode apoiar sua empresa ou instituição?
A HDPO, com ampla atuação no setor da saúde, tecnologia, educação e mercado corporativo, oferece suporte jurídico e técnico para:
Elaboração e revisão de contratos entre controladores e operadores;
Realização de due diligence contratual e análise de riscos;
Auditorias de conformidade LGPD, incluindo revisão de cláusulas de transferência internacional e subcontratação;
Apoio ao DPO interno na formalização dos processos com terceiros;
Capacitação das equipes envolvidas e orientação sobre boas práticas.
Com metodologia própria e equipe multidisciplinar, a HDPO auxilia seus clientes a garantir a adequação legal, a transparência nas relações contratuais e a proteção da reputação institucional, reduzindo riscos e promovendo um verdadeiro programa de governança em privacidade.
Autor: João Gonçalves Advogado em Direito Digital, e Gestor em Saúde com mais de 25 anos de experiência em saúde, compliance e proteção de dados. CEO da HDPO LGPD em Saúde e Diretor da PROTEGON, lidera projetos estratégicos de governança, segurança da informação e adequação à LGPD em hospitais, operadoras de planos de saúde e empresas de tecnologia. Com forte atuação na implementação de programas de privacidade, João também ministra treinamentos e palestras sobre cibersegurança, inteligência artificial e privacidade de dados, sendo referência na área.
