LGPD para prestadores de serviço: guia prático de adequação

Carlos toca uma contabilidade com oito funcionários no interior de São Paulo. Em março, um cliente novo, uma rede de farmácias, condicionou a assinatura do contrato a uma cláusula de proteção de dados de três páginas. Carlos leu, releu, e percebeu que não fazia ideia se a empresa dele era "controladora" ou "operadora", nem o que aconteceria se um dado vazasse. Ele faz isso há 20 anos e nunca tinha parado para pensar que lida com dado pessoal o dia inteiro.

Esse é o ponto cego de quem presta serviço. Você vive de cuidar do que é do cliente, inclusive dos dados dele, e ainda trata os dados dos seus próprios funcionários. Mesmo assim, a maioria acha que LGPD para prestadores de serviço é assunto de empresa grande, até o dia em que um contrato exige uma cláusula ou um cliente manda um questionário de conformidade.

Se você se reconheceu, este guia vai te ajudar a sair da dúvida. Você vai entender qual é o seu papel (operador ou controlador), quem paga a conta se algo der errado, o que a cláusula de LGPD no contrato precisa conter, e um passo a passo enxuto para adequar o seu negócio sem virar especialista no assunto.

Em resumo, LGPD para prestadores de serviço é organizar três coisas: o seu papel em cada relação com cliente, a segurança dos dados que passam pela sua mão, e os contratos que regem isso. Não é copiar uma minuta da internet. É entender o caminho que o dado percorre no seu negócio.

Como funciona a LGPD para prestadores de serviço

A LGPD vale para qualquer empresa que trate dados pessoais, e prestar serviço quase sempre significa tratar dados de outras pessoas. Por isso, a lei alcança o prestador de serviço de cheio, do escritório de contabilidade à empresa de limpeza, da agência de marketing à consultoria de TI.

A confusão começa porque o prestador lida com dados em três frentes diferentes, e quase nunca enxerga as três.

A primeira frente são os dados do próprio contratante, ou seja, do cliente que te paga: nome, CNPJ, contato, dados financeiros do contrato. A segunda são os dados de terceiros que você acessa para entregar o serviço: os clientes do seu cliente, os funcionários dele, a base de leads que você gerencia. A terceira, a mais esquecida, são os dados dos seus próprios funcionários: folha de pagamento, ponto, admissão, atestados.

Repare que mesmo o prestador que jura "não mexo com dado de cliente final" ainda trata a folha da própria equipe. Não existe negócio com gente que escape disso.

E a quem a LGPD não se aplica? A lista é curta: uso pessoal e não comercial, finalidades exclusivamente jornalísticas, artísticas ou acadêmicas, e segurança pública e investigação criminal pelo Estado. Prestar serviço com fins econômicos não está em nenhuma dessas exceções. Sua empresa está dentro.

Se você quer começar pelo recorte do seu segmento, vale conhecer a página do DataSafu sobre LGPD para prestadores de serviço. Ela mostra que a adequação de quem presta serviço tem uma lógica própria, diferente de uma loja virtual ou de uma clínica.

Você é controlador ou operador? A pergunta que muda tudo

Antes de qualquer documento, responda a esta pergunta, porque ela define todas as suas obrigações. Na maioria das relações, o prestador de serviço é operador: trata os dados a mando e sob as instruções do contratante, que é o controlador. Mas o mesmo prestador vira controlador quando o assunto são os dados que ele coleta por conta própria, como os da equipe interna.

A lei separa os papéis assim:

• Controlador: quem decide por que e como os dados são tratados. Define a finalidade.
• Operador: quem trata os dados em nome do controlador, seguindo as instruções dele.
• Controladores conjuntos: quando duas empresas decidem juntas a finalidade.

Para enxergar isso na prática, veja como os papéis se distribuem por tipo de prestador:

Por que isso importa tanto? Porque o papel define o que você responde. O controlador tem o dever mais amplo, mas o operador não fica de fora, e é justamente aí que mora a próxima dor.

Dica: na prática, quase todo prestador é as duas coisas ao mesmo tempo. Operador na relação com cada cliente, controlador na relação com a própria equipe. Tratar os dois papéis como um só é o erro mais comum.

Se vazar, quem paga? A responsabilidade do prestador

Esta é a pergunta que mais aparece nas buscas, e a que mais tira o sono de quem presta serviço. O coração dela está no artigo 42 da LGPD, que trata da responsabilidade e do ressarcimento de danos.

Em linguagem simples: o operador responde de forma solidária com o controlador quando descumpre a lei ou quando não segue as instruções lícitas do controlador. "Solidária" quer dizer que o titular lesado pode cobrar a reparação de qualquer um dos dois, e depois eles acertam entre si. Não dá para se esconder atrás do "eu sou só o operador, a decisão foi do cliente". Se o vazamento veio de uma falha sua, a conta também é sua.

Pense no caso do prestador de TI. Bruno presta suporte a um sistema de gestão e tem acesso ao banco de dados de produção do cliente. Um freelancer da equipe dele copia uma base de clientes para o próprio notebook para "trabalhar de casa", e o notebook é roubado: nenhum ataque sofisticado, só uma falha de rotina. Mesmo assim, Bruno, como operador, pode responder pelo incidente, porque a segurança falhou dentro da operação dele.

A boa notícia é que a lei também prevê o que reduz o risco. O artigo 43 traz situações que afastam a responsabilidade, por exemplo, quando o agente prova que não realizou o tratamento, que não houve violação da lei, ou que o dano decorreu de culpa exclusiva do titular ou de terceiro. E, na prática, três coisas blindam o prestador: seguir as instruções do controlador, manter segurança proporcional ao risco, e ter tudo documentado em contrato.

Ou seja, ser "apenas o operador" não isenta ninguém. O que protege é o conjunto contrato mais segurança mais registro. Para entender o tamanho real do que está em jogo, vale conhecer as multas e sanções da LGPD, que já alcançam empresas de todos os portes. A primeira multa aplicada pela ANPD, a Autoridade Nacional de Proteção de Dados, foi a uma microempresa, no valor de cerca de R$14,4 mil, prova de que porte pequeno não é escudo.

A cláusula de LGPD no contrato de prestação de serviços

Aqui está o motivo que leva a maioria dos prestadores a procurar o assunto: o cliente exigiu uma cláusula de LGPD no contrato de prestação de serviços, ou você, como contratante, precisa exigir uma do seu fornecedor. Essa cláusula não é firula jurídica. Ela é o que organiza, no papel, quem faz o quê com os dados.

Uma boa cláusula de proteção de dados precisa deixar claro pelo menos estes pontos:

1. Finalidade e limites do tratamento. Para que o prestador pode usar os dados, e o que ele não pode fazer com eles.
2. Dever de seguir instruções. O operador trata os dados apenas conforme o que o controlador determinar.
3. Confidencialidade e sigilo. A equipe do prestador se compromete a manter sigilo, inclusive após o fim do contrato.
4. Segurança da informação. Medidas técnicas e administrativas proporcionais ao risco dos dados envolvidos.
5. Regras para suboperadores. Se o prestador usa terceiros (um serviço de nuvem, por exemplo), precisa de autorização e das mesmas garantias. Suboperador é o operador do operador.
6. Devolução ou eliminação de dados. O que acontece com os dados quando o contrato acaba: devolver ao cliente ou apagar, com comprovação.
7. Notificação de incidentes. Em quanto tempo e como o prestador avisa o contratante se houver um vazamento.
8. Auditoria e comprovação. O direito do contratante de verificar que o prestador cumpre o combinado.
9. Responsabilidade. Como cada parte responde, sem tentar transferir tudo para o elo mais fraco.

Existe uma diferença prática entre os dois lados do balcão. Quando você é o contratante, a cláusula protege a sua empresa, exigindo cuidado de quem vai mexer nos seus dados. Quando você é o prestador que assina, ela define o que estão cobrando de você, e é melhor entender cada linha antes de assinar do que descobrir a obrigação depois de um incidente.

O risco de copiar uma minuta solta da internet é assinar uma promessa que você não consegue cumprir. Se a cláusula diz que você notifica incidentes em 24 horas, mas você nem tem como detectar um incidente, criou um problema em vez de resolver. Por isso vale partir de templates de documentos LGPD pensados por setor, que você entende e adapta à sua realidade, em vez de um texto genérico que ninguém leu até o fim.

Quais dados o seu serviço trata, e onde o risco mora

O risco muda conforme o tipo de serviço. O dado que passa pela mão de uma agência de marketing é muito diferente do que circula num escritório de advocacia. Vale enxergar o seu caso para saber onde apertar primeiro.

Por tipo de prestador

• Contabilidade: dados fiscais e financeiros e a folha de dezenas de clientes, além da própria folha. Volume alto e sensibilidade financeira.
• Advocacia: dados de processos, muitas vezes dados sensíveis (saúde, opinião política, situação financeira). Sigilo é o coração do serviço.
• Agência de marketing: bases de clientes, leads, e-mail marketing e públicos de anúncio, em geral com ferramentas estrangeiras no caminho.
• TI e software: acesso amplo, às vezes ao banco de produção inteiro do cliente. Pouca gente, muito poder de acesso.
• Terceirização e RH: admissão, ponto e atestados de saúde ocupacional, que são dados sensíveis, dos terceirizados.
• Consultoria, limpeza e facilities: menos dado de cliente final, mas circulação física por ambientes com informação e, sempre, a folha da equipe.

Repare num ponto que quase todo guia esquece: os dados de funcionários. Folha, ponto, admissão, exames e atestados são dados pessoais, e os atestados são dados sensíveis. Mesmo o prestador que não toca em dado de cliente final é controlador da informação da própria equipe, e responde por ela.

A regra que organiza tudo isso é a minimização: não peça nem guarde o que o serviço não exige. Cada campo a mais é um dado a mais para proteger, guardar e, um dia, ter que apagar. Antes de escrever qualquer política, faça o mapeamento de dados do seu negócio. Sem esse inventário, você até redige um documento bonito, mas continua sem saber por onde os dados entram, com quem você compartilha, e onde eles ficam parados.

Adequação à LGPD para prestadores de serviço em 7 passos

Adequação não acontece de uma vez, e não precisa parar a operação. Faça um passo por semana e, em pouco mais de um mês, sua empresa terá uma base sólida. Veja a sequência prática.

1. Mapeie os dados que você trata. Liste os dados do contratante, os dados de terceiros que você acessa, e os dos seus funcionários. Onde entram, onde ficam, com quem você compartilha.
2. Defina seu papel em cada relação. Para cada cliente e para a equipe interna, anote se você é operador ou controlador, e qual a base legal de cada tratamento (contrato, obrigação legal, consentimento, legítimo interesse).
3. Revise e padronize seus contratos. Garanta uma cláusula de proteção de dados em todos os contratos de prestação de serviços, tanto os que você assina quanto os que você oferece.
4. Organize a segurança básica. Controle quem acessa o quê, use senhas fortes, ative o sigilo formal da equipe, faça backup e limite o acesso ao mínimo necessário.
5. Revise fornecedores e ferramentas. Liste o CRM, o ERP, a nuvem e o e-mail marketing que você usa. São seus suboperadores, e muitos guardam dados fora do Brasil, o que envolve transferência internacional de dados.
6. Publique a política de privacidade e crie o canal do titular. Tanto seus funcionários quanto clientes diretos podem exercer direitos. Um canal organizado evita perder prazo.
7. Treine a equipe e prepare a resposta a incidente. Todo mundo precisa saber o básico, e você precisa de um plano simples para quando algo der errado.

Repare que os três primeiros passos resolvem a parte que mais aflige o prestador: saber o papel e botar a cláusula no contrato. Os demais constroem a segurança que sustenta tudo isso. Se quiser acelerar do passo 1 ao 6, o Canal do Titular do DataSafu e o mapeamento guiado fazem em horas o que levaria semanas em planilhas, com a documentação pronta para comprovar adequação.

Quando o cliente manda um questionário de LGPD

Cada vez mais, empresas grandes repassam exigências de conformidade para a cadeia de fornecedores. Na prática, isso chega como um questionário de LGPD, às vezes chamado de due diligence, que é a checagem que o contratante faz para confirmar que você cuida bem dos dados antes de fechar negócio.

O documento costuma perguntar quem é o seu encarregado de dados, se você tem política de privacidade, como controla acessos, como notifica incidentes, e quais fornecedores você usa. Parece intimidador, mas é o mesmo conjunto de itens dos sete passos acima. Quem fez o dever de casa responde sem pânico. Antes que um cliente pergunte, descubra seu nível de risco e veja o que ainda falta organizar.

Foi o que aconteceu com Renata, dona de uma empresa de terceirização de RH. Ela quase perdeu um contrato grande quando recebeu um questionário de 40 perguntas sobre proteção de dados. Como já tinha mapeado os dados e padronizado os contratos no mês anterior, respondeu em dois dias e fechou o negócio. O concorrente dela, que não tinha nada organizado, ficou pelo caminho.

É por isso que adequação virou diferencial comercial, e não só obrigação. Prestador adequado passa na avaliação de fornecedor e fecha mais contrato. Se você quer um roteiro completo, veja como se adequar à LGPD do começo ao fim.

Prestador pequeno e MEI também precisam?

Sim, e não há atalho de isenção por porte. O que existe é proporcionalidade. A Resolução CD/ANPD nº 2/2022 trouxe um tratamento diferenciado para agentes de tratamento de pequeno porte, o que inclui microempresas, empresas de pequeno porte e quem trabalha como MEI.

Na prática, esse agente de pequeno porte ganha algumas facilidades: prazos mais longos para atender solicitações e comunicar incidentes, dispensa de obrigatoriedade de indicar um encarregado em parte dos casos, e documentação simplificada. É flexibilização, não passe livre. A obrigação de cuidar do dado continua de pé.

Vale lembrar que essas facilidades não valem para quem trata dados em alto volume ou dados sensíveis em escala. O escritório de advocacia que lida com processos cheios de dado sensível, mesmo sendo pequeno, tende a precisar de mais cuidado. Se a sua dúvida é como o porte muda as suas obrigações, o guia de LGPD para pequenas empresas detalha o que se aplica a cada caso.

Perguntas frequentes sobre LGPD para prestadores de serviço

Prestador de serviço é controlador ou operador?

Na maioria das relações, o prestador é operador, porque trata os dados a mando e sob as instruções do cliente, que é o controlador. Mas o mesmo prestador é controlador dos dados que coleta por conta própria, como os dos funcionários e do próprio marketing. Quase sempre é os dois papéis ao mesmo tempo.

Preciso de uma cláusula de LGPD no contrato de prestação de serviços?

Sim, é altamente recomendável. A cláusula define a finalidade do tratamento, o dever de sigilo, a segurança, as regras para suboperadores, a devolução de dados ao fim do contrato e a notificação de incidentes. Ela protege tanto quem contrata quanto quem presta o serviço.

Se vazar, quem responde: o contratante ou o prestador?

Pelo artigo 42 da LGPD, o operador responde de forma solidária com o controlador quando descumpre a lei ou as instruções recebidas. Ou seja, o titular pode cobrar de qualquer um dos dois. Seguir as instruções, manter segurança e ter contrato é o que reduz o risco do prestador.

MEI ou pequeno prestador precisa se adequar?

Sim. A Resolução nº 2/2022 da ANPD dá prazos e documentação simplificados para agentes de pequeno porte, incluindo MEI, mas não isenta ninguém. A obrigação de proteger os dados permanece, apenas de forma proporcional ao tamanho do negócio.

Quais empresas precisam cumprir a LGPD?

Toda empresa que trate dados pessoais com finalidade econômica, de qualquer porte e setor. As poucas exceções são uso pessoal, finalidades jornalísticas, artísticas ou acadêmicas, e segurança pública. Prestar serviço comercial nunca entra nessas exceções.

O que o cliente pode exigir do meu escritório por causa da LGPD?

O cliente pode exigir a cláusula de proteção de dados no contrato, comprovação de medidas de segurança, indicação de um ponto de contato e respostas a um questionário de conformidade. São pedidos legítimos, e atendê-los bem costuma ser um diferencial na hora de fechar o contrato. Os direitos de cada titular estão detalhados pela ANPD.

Conclusão

Quem presta serviço sempre cuidou do que é do cliente, e a LGPD apenas estende esse cuidado para os dados. Não precisa de juridiquês nem de uma consultoria cara para começar.

Guarde quatro pontos deste guia:

• Saiba o seu papel. Você costuma ser operador na relação com o cliente e controlador da própria equipe.
• Ponha a cláusula no contrato. Finalidade, sigilo, segurança, suboperadores, devolução de dados e incidentes não podem faltar.
• Organize segurança e fornecedores. Acesso mínimo, backup, e atenção às ferramentas que guardam dados fora do Brasil.
• Atenda o titular. Funcionários e clientes diretos têm direitos, e um canal organizado evita perder prazo.

A adequação à LGPD para prestadores de serviço não é um projeto com fim, é uma rotina que protege a sua empresa e abre portas comerciais. Comece pelo mapeamento e avance um passo por semana. Você não deveria precisar descobrir se é operador ou controlador no susto, quando um cliente exige uma cláusula ou um dado vaza, e com o DataSafu, você não vai mais. Quando quiser acelerar, comece sua adequação com o DataSafu e veja, na página de adequação para escritórios e prestadores de serviço, um caminho feito para a realidade de quem vive de prestar serviço.