Artigos

LGPD nos Contratos Empresariais:

09/06/2026

Obrigações que muitas Empresas ainda ignoram

A Lei Geral de Proteção de Dados Pessoais — LGPD (Lei nº 13.709/18) — está em vigor há mais de quatro anos. Ainda assim, boa parte das empresas brasileiras segue celebrando contratos sem qualquer cláusula que discipline o tratamento de dados pessoais. O equivoco é compreensível: a LGPD é frequentemente associada a políticas de privacidade em sites e ao consentimento do consumidor final. Na prática, porém, sua incidência vai muito além disso — e alcança, com força, as relações contratuais entre empresas.

 

Fornecedores de tecnologia, prestadores de serviços contábeis, parceiros comerciais, operadores de folha de pagamento, plataformas de CRM: qualquer terceiro que acesse dados pessoais no contexto de uma relação contratual está sujeito às exigências da lei. E a empresa que contrata — chamada de controladora pela LGPD — pode responder solidariamente por falhas desse terceiro. A gestão contratual da proteção de dados não é, portanto, apenas uma questão de conformidade legal: é governança e gestão de risco.

 

Este artigo explica, de forma clara e aplicada, quais são essas obrigações, como devem ser refletidas nos contratos e quais os riscos práticos de ignorá-las.

 

Quem é quem na LGPD: entendendo os papéis.

 

Antes de tratar de cláusulas contratuais, é essencial compreender as figuras definidas pela lei, pois delas decorrem responsabilidades distintas:

 

Controlador: quem decide por que e como os dados serão tratados — em geral, a empresa contratante.

Operador: quem realiza o tratamento em nome do controlador, tipicamente o fornecedor ou prestador de serviço que acessa dados pessoais para executar o contrato.

Suboperador: o terceiro contratado pelo próprio operador para auxiliar no tratamento.

 

Essa distinção tem consequência direta na responsabilidade: nos termos do art. 42 da LGPD, o operador responde solidariamente com o controlador quando descumpre as obrigações da lei ou não segue as instruções lícitas do controlador. Em termos práticos: se um fornecedor vazar dados de clientes da empresa contratante, ambos podem ser responsabilizados perante os titulares e a Autoridade Nacional de Proteção de Dados (ANPD).

 

O que os contratos precisam prever:

 

A LGPD não exige instrumento contratual separado para proteção de dados. Exige, sim, que suas obrigações estejam refletidas nas relações entre controlador e operador — o que significa incluir cláusulas adequadas nos contratos de prestação de serviço, fornecimento ou parceria. Os pontos essenciais são:

 

a) Finalidade e limitação do uso dos dados: o contrato deve especificar para qual finalidade o operador poderá tratar os dados e vedar o uso para fins próprios ou não autorizados. Uma cláusula genérica como “o fornecedor deverá observar a LGPD” é juridicamente insuficiente.

 

b) Obrigações de segurança: deve-se prever medidas técnicas e administrativas de proteção — criptografia, controle de acesso e registro de incidentes —, proporcionais à sensibilidade dos dados tratados.

 

c) Sigilo e confidencialidade: os colaboradores do operador que acessem dados pessoais devem estar submetidos a obrigações de sigilo, garantidas contratualmente pelo fornecedor.

 

d) Subcontratação: o contrato deve disciplinar se o operador pode subcontratar o tratamento e, se sim, em quais condições — exigindo que o suboperador assuma as mesmas obrigações.

 

e) Comunicação de incidentes: é imprescindível estabelecer prazo e procedimento para que o operador notifique o controlador sobre qualquer incidente de segurança. A ANPD recomenda comunicação em até 72 horas — prazo que só é cumprível com fluxo interno previamente definido.

 

f) Devolução ou eliminação dos dados: ao término do contrato, os dados devem ser devolvidos ou eliminados de forma segura, com prazo e método definidos pelas partes.

 

g) Cooperação em auditorias: o contrato deve prever o direito de o controlador verificar o cumprimento das obrigações pelo operador, seja por auditoria ou fornecimento de evidências documentais.

 

Alocação de responsabilidades em caso de incidente

 

A LGPD prevê ação regressiva do controlador em face do operador (art. 42, §4º), mas essa previsão é genérica. Um contrato bem estruturado deve ir além e estabelecer: quem arcará com os custos de notificação dos titulares; limites de responsabilidade — ou sua exclusão em casos de dolo ou culpa grave; multas contratuais pelo descumprimento das obrigações de proteção de dados; e quem responderá perante a ANPD em caso de autuação.

Essas previsões não eliminam a solidariedade prevista em lei, mas criam mecanismos internos de ressarcimento que reduzem o impacto financeiro sobre o controlador e orientam o comportamento das partes preventivamente.

 

Os riscos concretos de não agir

 

As sanções previstas na LGPD incluem advertência, multa de até 2% do faturamento (limitada a R$ 50 milhões por infração), publicização da infração e suspensão do banco de dados. Mas o risco vai além: empresas que não demonstram ter adotado medidas contratuais adequadas enfrentam ações civis de titulares, ruptura de parcerias e dano reputacional de difícil reparação — agravados em setores regulados como saúde e financeiro.

Um exemplo prático: empresa que terceiriza a folha de pagamento para um sistema em nuvem. Se o fornecedor sofrer um vazamento e o contrato não prever obrigações de segurança e responsabilidade, a empresa contratante estará exposta juridicamente — mesmo sem ter causado o incidente.

 

Por onde começar: ações práticas

 

  • Incorporar obrigações de proteção de dados nos contratos não é burocracia — é gestão de risco. O ponto de partida:
  • Mapear os fornecedores que acessam dados pessoais;
  • Revisar os contratos vigentes e incluir aditivo ou anexo específico onde necessário;
  • Adotar um modelo de DPA (Data Processing Agreement) adaptado à LGPD;
  • Estruturar um protocolo interno de resposta a incidentes, pois o prazo de 72 horas da ANPD só é cumprível com procedimento previamente definido.

 

Conclusão

 

A adequação à LGPD nos contratos empresariais é, antes de tudo, uma questão de governança. Com cláusulas bem redigidas ou um DPA adequado, é possível reduzir significativamente a exposição jurídica sem onerar as relações comerciais. Esse trabalho preventivo, conduzido com apoio jurídico especializado, é substancialmente menos custoso do que responder a um incidente sem amparo contratual — seja diante da ANPD, dos titulares dos dados ou dos próprios parceiros de negócio.

Política de Privacidade © 2026 Santtos Santana
(71) 99638-2255
Recepção Geral
(71) 99638-2255 | Empresarial, Administrativo e Tributário
Gestor: Rafael Santana (Sócio)
(71) 99638-2255 | Civil e Consumidor
Gestor: Matheus Soares da Cunha (Sócio)
(71) 3565-2084 | Trabalhista
Gestora: Danielle Carvalho
(11) 99257-2200 | Societário, Registro de Marca & Patente
Gestor: Vinicius Clavery (Sócio)
(71) 99600-3123 | Compliance
Gestor: Rafael Santtos (Sócio)