Voltar ao início

Setores

LGPD para Prestadores de Serviço: Proteja os Dados dos Seus Clientes

Quem presta serviço passa o dia cuidando do que é do cliente, e isso inclui os dados pessoais. Na maior parte das relações, esses dados não são seus: você é o operador, e a LGPD diz que você também responde se algo vazar.

O Simplifica Compliance adequa o seu negócio à LGPD na realidade de quem presta serviço: diagnóstico por setor, mapeamento dos dados que passam por você, documentos e Canal do Titular prontos. Comece em dias, não meses, sem consultoria.

Escolha seu plano e adeque seu negócio →

Templates e critérios revisados por especialistas em proteção de dados, alinhados à LGPD e às orientações da ANPD, a Autoridade Nacional de Proteção de Dados.

Por que a LGPD é diferente para quem presta serviço

Na maioria dos negócios, o dado pessoal é da própria empresa. Para quem presta serviço, não: a maior parte do dado é de outra pessoa. O contador acessa a folha de dezenas de clientes; a agência gerencia a base de leads de quem a contratou; o prestador de TI entra no sistema de produção do cliente; a empresa de RH e terceirização trata admissão e ponto de gente que trabalha para terceiros. São três frentes ao mesmo tempo: os dados do contratante, os dados dos clientes do contratante e os dados dos seus próprios funcionários.

Daí vem o ponto que muda tudo. Na relação com o cliente, você quase sempre é o operador (Art. 5º): trata os dados sob a instrução de quem contratou, que é o controlador e decide a finalidade. E aqui mora o maior engano do setor: muita gente acha que "sou só o operador, a responsabilidade é do meu cliente". Não é bem assim. O Art. 42 diz que o operador responde solidariamente quando descumpre a lei ou deixa de seguir as instruções do controlador. Ser operador não coloca você de fora; coloca obrigações próprias no seu colo, como seguir as instruções, manter segurança e sigilo. O que reduz o seu risco é justamente o contrato, a documentação e a segurança (Art. 43), não fingir que o dado não passa por você.

Tem ainda a minimização (Art. 6º): não pedir nem guardar dado que o serviço não usa. Quanto menos dado desnecessário você retém, menor a sua exposição. E o cuidado deixou de ser teórico: a fiscalização da ANPD para o biênio 2026-2027 prioriza os direitos dos titulares e a segurança, e as empresas grandes vêm repassando exigências de proteção de dados para toda a cadeia de fornecedores.

Onde seu negócio está exposto

O risco de quem presta serviço raramente está na lei, e sim na rotina. Ele se acumula em hábitos que ninguém parou para revisar:

  • Contrato sem cláusula de proteção de dados. Sem definir por escrito o que você pode tratar, sob quais instruções e com qual segurança, cada serviço vira uma zona cinzenta de responsabilidade, e é a primeira coisa que um cliente atento cobra.
  • Base do cliente numa ferramenta estrangeira. CRM, e-mail marketing e nuvem que ficam fora do Brasil envolvem suboperadores e transferência internacional de dados; usar sem critério amplia a cadeia de risco.
  • Freelancer ou estagiário com acesso amplo. Uma base copiada para o notebook pessoal de um colaborador temporário é o incidente mais banal e mais comum, e não precisa de ataque sofisticado para acontecer.
  • Planilha de funcionários no drive pessoal. Folha, ponto e atestado médico são dados de funcionário, e atestado é dado sensível (Art. 11); numa planilha aberta, viram exposição sem controle.
  • Sem resposta para o questionário do cliente. Quando uma empresa maior manda um questionário de LGPD ao fornecedor e você não tem o que mostrar, não é só risco: é contrato que escapa.
  • Sem processo para pedido de exclusão. Quando um cliente ou um ex-funcionário pede para apagar os dados, você precisa saber o que pode excluir e o que deve reter por obrigação legal, como notas fiscais e registros trabalhistas.

Cada um desses pontos pode estar aberto num negócio que trata a LGPD como "isso é problema do meu cliente, não meu", e é esse tipo de descuido que leva a incidentes e a multas e sanções da LGPD.

Comece a adequação do seu negócio →

Como o Simplifica Compliance adequa o seu negócio de serviços

A adequação à LGPD para prestadores de serviço não precisa de advogado de plantão nem de meses de projeto. O Simplifica Compliance conduz o caminho com um diagnóstico que se adapta ao setor de serviços: as perguntas já consideram dados de terceiros, fornecedores e funcionários, então você não parte de um formulário genérico.

A partir daí, cada etapa vira uma ferramenta pronta:

  • Mapeie os dados que passam por você. A plataforma monta o inventário das três frentes (dados do cliente, dos clientes do cliente e dos seus funcionários), aponta onde ficam e por quê, e classifica automaticamente o que é dado sensível.
  • Gere os documentos por setor. Política de Privacidade, registro de tratamento e demais documentos com linguagem adequada ao prestador, sem honorários jurídicos.
  • Veja onde você está mais exposto. A análise de risco pesa os fornecedores e as ferramentas que você usa e aponta o que resolver primeiro.
  • Atenda clientes e funcionários. Um canal organizado recebe e responde às solicitações dentro dos prazos da lei.
  • Acompanhe o que falta. O checklist de conformidade mostra seu progresso e o próximo passo, na ordem certa.

Em vez de cinco frentes soltas, o prestador segue um único caminho guiado, do mapeamento à conformidade, no ritmo de quem também precisa atender cliente e tocar o dia a dia.

Operador ou controlador: o papel certo em cada relação

Estar adequado, na prática, é conseguir dizer qual é o seu papel em cada relação. E o prestador costuma ser as duas coisas ao mesmo tempo:

  • Operador dos dados do cliente. Quando você trata a base, a folha ou o sistema de quem te contratou, age sob instrução. Quem decide a finalidade é o cliente, o controlador; você executa.
  • Controlador dos seus próprios dados. A folha dos seus funcionários, o seu marketing e a sua própria base de contatos são seus. Aí quem decide a finalidade é você, e as obrigações de controlador são suas.
  • Controlador conjunto, às vezes. Quando você e o cliente decidem juntos como certos dados serão tratados, a responsabilidade é compartilhada.

É esse mapa de papéis que a cláusula de proteção de dados no contrato de prestação de serviços coloca no papel: o que você pode tratar, sob quais instruções, com qual segurança e o que fazer com os dados ao fim do contrato. O Simplifica Compliance liga cada dado ao seu papel e à sua base legal no mapeamento de dados, e os documentos por setor já deixam o registro de tratamento pronto para sustentar essa relação, em vez de um modelo genérico que tenta cobrir tudo e não cobre nada.

Adeque seu negócio à LGPD agora →

Os direitos dos seus clientes e funcionários

Para a LGPD, tanto o cliente quanto o funcionário são titulares de dados e têm os direitos garantidos pelo Art. 18: podem pedir acesso ao que você guarda, correção de uma informação errada, exclusão e explicações sobre como os dados são usados. Esses direitos valem durante o contrato e também depois que ele termina.

O desafio é operacional: atender esses pedidos no meio da rotina, dentro do prazo, sem virar caos, e sabendo o que pode ser apagado e o que precisa ser retido por obrigação legal. O Canal do Titular recebe cada solicitação com protocolo, organiza os prazos e oferece modelos de resposta, para que o titular exerça seus direitos e o seu negócio cumpra a lei sem precisar de um time jurídico.

Comece em 3 passos

A adequação do seu negócio cabe em três passos no Simplifica Compliance:

  1. Escolha seu plano. Selecione o plano que cabe no orçamento do seu negócio e crie seu acesso.
  2. Faça o diagnóstico de serviços. Responda às perguntas adaptadas ao setor sobre os dados de clientes, fornecedores e funcionários que você trata e as defesas que já tem.
  3. Siga o caminho guiado. Mapeie os dados, defina seu papel e a base legal de cada uso, gere os documentos, abra o Canal do Titular e acompanhe o progresso até a conformidade.

Perguntas frequentes

Como a LGPD se aplica a prestadores de serviço?

A LGPD vale para qualquer prestador que trate dados pessoais, de escritório de contabilidade a agência de marketing, consultoria, TI, RH ou terceirização, independentemente do porte. Prestar serviço quase sempre significa tratar dados de terceiros: do contratante, dos clientes do contratante e dos seus próprios funcionários. Na prática, você precisa saber qual é o seu papel em cada relação, qual base legal sustenta cada uso, proteger esses dados, atender aos direitos dos titulares e estar pronto para uma fiscalização da ANPD ou para o questionário de um cliente.

Prestador de serviço é controlador ou operador?

Depende da relação, e geralmente é os dois. Na maioria dos serviços você é o operador: trata os dados do cliente sob a instrução dele, que é o controlador e decide a finalidade. Mas com os dados dos seus próprios funcionários, do seu marketing e da sua base de contatos, você é o controlador. Saber seu papel em cada caso é o que define suas obrigações e a base legal certa.

Se os dados do meu cliente vazarem, quem responde?

Os dois podem responder. Pelo Art. 42 da LGPD, o operador responde solidariamente com o controlador quando descumpre a lei ou deixa de seguir as instruções recebidas. Ou seja, ser "só o operador" não isenta você. O que reduz esse risco é ter contrato com cláusula de proteção de dados, seguir as instruções do cliente, manter segurança e documentar tudo, justamente o que a adequação organiza.

Preciso de uma cláusula de LGPD no contrato de prestação de serviços?

Sim, e cada vez mais clientes exigem. A cláusula de proteção de dados define o que você pode tratar, sob quais instruções, com qual segurança, como lidar com suboperadores e o que fazer com os dados ao fim do contrato. Ela formaliza a relação entre controlador e operador. O mapeamento de dados e o registro de tratamento do Simplifica Compliance organizam as informações que sustentam essa cláusula e a sua adequação.

Sou MEI ou escritório pequeno, a LGPD pega pra mim?

Sim. A LGPD se aplica a qualquer porte que trate dado pessoal, e prestar serviço é tratar dado o tempo todo. Agentes de pequeno porte têm obrigações simplificadas pela Resolução nº 2/2022 da ANPD, com prazos e documentação reduzidos, mas continuam expostos a incidentes, à responsabilidade do Art. 42 e à exigência de conformidade dos clientes. Porte pequeno simplifica, não isenta.

O Simplifica Compliance substitui advogado ou consultoria de LGPD para serviços?

Para a maioria dos prestadores pequenos, o Simplifica Compliance cobre o necessário para uma adequação sólida sem contratar consultoria. Em casos complexos, como grande volume de dados sensíveis ou transferência internacional, vale consultar um especialista, e os relatórios da plataforma facilitam esse trabalho em vez de começar do zero.

Adeque seu negócio de serviços à LGPD com segurança

Para quem presta serviço, proteger o dado do cliente não é só evitar multa: é parte da confiança que sustenta o contrato. A adequação à LGPD para prestadores de serviço deixa de ser um problema distante quando você tem um caminho guiado, feito para a realidade do setor, do mapeamento das três frentes de dados ao atendimento dos direitos dos titulares, com o papel certo definido em cada relação.

Assine o Simplifica Compliance e proteja seus clientes →

Por uma fração do custo de uma consultoria de LGPD (que cobra de R$20 mil a R$50 mil) e sem contratar um DPO terceirizado. A sua adequação fica registrada e atualizada com as regulamentações da ANPD, servindo como evidência de governança em uma fiscalização e ao responder o questionário de LGPD de um cliente.