Terceirizar a TI resolve muita coisa: reduz custo, garante especialização, libera sua equipe para focar no negócio. Mas tem uma pergunta que poucos fazem antes de assinar o contrato que pode custar caro depois: se um dado vazar, quem responde a LGPD?

A resposta não é simples e ignorá-la está ficando cada vez mais arriscado.

A ANPD (Autoridade Nacional de Proteção de Dados) encerrou sua fase pedagógica. Fiscalizações ativas, notificações em volume crescente e a Deliberação CD-10/2025 que passou a prever multas diárias por descumprimento de medidas cautelares, marcam a virada de postura do órgão regulador. Neste post, explicamos como a LGPD distribui a responsabilidade no outsourcing de TI, o que sua empresa precisa exigir do parceiro e, por fim, como um fornecedor tecnicamente qualificado pode ser seu maior aliado na conformidade com a LGPD.

A LGPD e o outsourcing de TI: controlador × operador

Antes de entrar na prática, vale entender os dois papéis que a LGPD define para quem lida com dados pessoais:

Papel	Quem é	O que define
Controlador	Sua empresa	Finalidade e forma do tratamento dos dados
Operador	Seu fornecedor de TI	Executa o tratamento em nome do controlador
Sub-operador	Terceiros do fornecedor	Contratados pelo operador para auxiliar no tratamento

Na prática: você contrata um serviço gerenciado de TI, o fornecedor acessa seus servidores, gerencia sistemas, armazena logs e movimenta backups. Ele está tratando dados pessoais dos seus clientes ou colaboradores, logo ele é um operador. E o controlador continua responsável por garantir que esse operador cumpra a LGPD.

Ponto crítico

Terceirizar a execução da TI não terceiriza a responsabilidade pela proteção dos dados. A lei é explícita: o controlador responde pelos danos causados pelo operador que agiu fora das instruções ou violou a legislação.

Corresponsabilidade: quando os dois pagam

A LGPD não cria uma responsabilidade exclusiva, ela cria uma corresponsabilidade, e isso muda tudo na hora de negociar contratos e auditar fornecedores.

Os dois agentes de tratamento podem ser responsabilizados quando:

• O fornecedor descumprir as instruções do controlador no tratamento dos dados
• O fornecedor não adotar medidas técnicas e organizacionais adequadas de segurança
• Ocorrer um vazamento e a empresa contratante não conseguir provar que realizou due diligence adequada na escolha do parceiro
• Não existir contrato com cláusulas específicas de proteção de dados entre as partes

Em resumo: sua empresa pode ser autuada pela ANPD mesmo que o vazamento tenha ocorrido nos sistemas do fornecedor, se ficar comprovado que você não adotou critérios técnicos e jurídicos na escolha. Para evitar essa exposição, entenda como funciona a governança no outsourcing de TI é o primeiro passo para reduzir o risco de corresponsabilidade.

O cenário regulatório em 2025: a fase educativa acabou

Por anos, a ANPD adotou postura pedagógica orientando mais do que punindo, porem esse ciclo ficou para trás.

Os sinais mais recentes mostram uma autoridade em modo operacional:

1. Deliberação CD-10/2025: prevê multas diárias por descumprimento de medidas cautelares, criando pressão financeira imediata para quem não resolver irregularidades.
2. Resolução CD/ANPD nº 15/2024: obriga comunicação de incidentes de segurança à autoridade em até 3 dias úteis, prazo que exige prontidão técnica e protocolos pré-definidos.
3. Plano de fiscalização ativo: a ANPD passou a buscar ativamente infrações ou seja, sem depender exclusivamente de denúncias.
4. Escalada judicial: o STJ decidiu, em setembro de 2025, que a disponibilização indevida de dados pessoais gera dever de indenização abrindo, assim, precedente para ações civis em volume.

Contexto importante

A multa máxima prevista na LGPD é de R$ 50 milhões por infração. Para empresas de médio porte, mesmo penalidades menores, somadas a processos cíveis de titulares afetados representam risco financeiro e reputacional severo.

O que exigir do seu fornecedor de TI na conformidade com a LGPD

Se você já terceiriza ou está avaliando a terceirização da TI, estas são as exigências mínimas que um parceiro qualificado deve cumprir:

1. Contrato com cláusulas de proteção de dados

A LGPD exige que a relação entre controlador e operador seja formalizada com responsabilidades claras. Para isso, o contrato deve incluir:

• Definição explícita do papel de cada parte (controlador/operador)
• Finalidade e escopo do tratamento de dados autorizado
• Obrigações de confidencialidade e sigilo
• Prazo de retenção e procedimento de descarte seguro
• Protocolo de comunicação em caso de incidente
• Direito de auditoria pelo contratante

2. Medidas técnicas de segurança documentadas

O operador precisa demonstrar, não apenas declarar que adota controles de segurança adequados. Exija:

• Política de segurança da informação vigente
• Controle de acesso baseado em privilégio mínimo
• Criptografia de dados em trânsito e em repouso
• Gestão de vulnerabilidades e aplicação de patches
• Monitoramento contínuo de acessos e anomalias
• Plano de resposta a incidentes com SLA definido

3. Registro das operações de tratamento

A ANPD exige que os agentes de tratamento mantenham registro das atividades de tratamento de dados que realizam. Portanto, um fornecedor de TI que não possui esse registro não está apenas descumprindo a lei está expondo você junto.

4. Transparência sobre sub-operadores

Seu fornecedor de TI provavelmente usa plataformas de terceiros, monitoramento em nuvem, ferramentas de backup e sistemas de ticketing. Esses terceiros são sub-operadores e, portanto, também estão na cadeia de responsabilidade. Por isso, exija visibilidade sobre quem são e quais dados acessam.

Checklist de conformidade LGPD: avalie seu fornecedor de outsourcing de TI

Use as perguntas abaixo para auditar o nível de conformidade do seu parceiro:

• Existe contrato formal com cláusulas específicas de proteção de dados?
• O papel de operador está explicitamente definido no contrato?
• O fornecedor possui política de segurança da informação atualizada?
• Há controle de acesso documentado para os colaboradores que acessam seus dados?
• Existe protocolo escrito para comunicação de incidentes dentro do prazo legal (3 dias úteis)?
• O fornecedor realiza treinamentos periódicos de LGPD com sua equipe?
• Há cláusula de auditoria que permita à sua empresa verificar o cumprimento das obrigações?
• Os sub-operadores utilizados estão identificados e contratualizados?

Se mais de 3 respostas forem “não”, o risco de corresponsabilidade em um eventual incidente é alto, e o momento de agir é antes que um vazamento aconteça.

Outsourcing de TI como estratégia de conformidade LGPD

Há uma perspectiva que muitas empresas ainda não exploram: o outsourcing de TI bem estruturado não é apenas um risco a ser gerenciado é, na verdade, uma alavanca de conformidade.

Um parceiro especializado pode:

• Implementar controles de segurança que sua equipe interna não teria capacidade técnica de manter
• Garantir atualização contínua das práticas frente a novas regulamentações da ANPD
• Centralizar o monitoramento de acessos e gerar relatórios de operações de tratamento
• Responder tecnicamente a incidentes dentro dos prazos legais, sem depender da capacidade de reação interna
• Documentar toda a cadeia de custódia dos dados, fortalecendo sua defesa em casos de questionamento

O que faz a diferença não é terceirizar ou não, é com quem você terceiriza. Veja como escolher o parceiro ideal de outsourcing de TI e como estruturar essa relação.

Para entender com mais profundidade como a terceirização pode fortalecer a proteção das suas informações, leia também: como o outsourcing de TI protege os dados empresariais de forma estratégica.

Conclusão

A LGPD não pergunta se você foi descuidado propositalmente. Ela pergunta se você tomou as medidas necessárias para proteger os dados inclusive os que passaram pelas mãos do seu fornecedor de TI.

Com o endurecimento da fiscalização e o risco crescente de ações judiciais por titulares afetados, fica claro que o momento de revisar contratos e exigir conformidade do parceiro de TI não é após um incidente. É agora.

Um fornecedor de outsourcing qualificado entende que conformidade não é custo é proteção mútua.