Pular para o conteúdo principal
Blog

Processamento de dados: da infraestrutura de TI à conformidade com a LGPD

Leticia SabbagGerente de Conteúdo
ResumoLeitura de 19 min

Entenda o que é processamento de dados no contexto da LGPD, quais são os papéis do controlador e operador, e como assegurar conformidade com contratos e auditoria.

Fin du Privacy Shield : Qu'est-ce que cela signifie pour vos donnée ?

Processamento de dados abrange tanto as operações técnicas de coleta e transformação de informações quanto o tratamento de dados pessoais regulado pela legislação de privacidade.

Processamento de dados é um termo presente em duas realidades distintas dentro das organizações:

  1. área de tecnologia — etapas de coleta, transformação e armazenamento de informações em sistemas computacionais;

  2. campo jurídico e regulatório — qualquer operação realizada com dados pessoais, da captura ao descarte.

Empresas que processam grandes volumes de informações precisam assegurar que seus pipelines técnicos respeitem as exigências legais de proteção de dados. Ignorar isso pode gerar riscos financeiros, reputacionais e operacionais.

Neste guia, você encontra o significado técnico de processamento de dados, o enquadramento na legislação brasileira, os papéis envolvidos, os cuidados obrigatórios e as formas de automatizar a conformidade com contratos e plataformas especializadas.

O que é processamento de dados

Processamento de dados é o conjunto de operações que transforma dados brutos em informações úteis para a tomada de decisão. No contexto de tecnologia da informação, isso envolve etapas de entrada (input), processamento (transformação) e saída (output). 

  1. entrada — dados são capturados de fontes diversas, como formulários, sensores, APIs, bancos de dados transacionais;

  2. processamento — algoritmos e regras de negócio organizam, filtram e calculam esses dados;

  3. saída — resultados ficam disponíveis em relatórios, dashboards ou sistemas integrados.

Além disso, as organizações utilizam abordagens distintas conforme o volume e a velocidade exigidos:

  • processamento em lote (batch) — dados acumulados são processados em intervalos programados, como fechamento contábil mensal ou geração de relatórios semanais;

  • processamento em tempo real (streaming) — dados são processados continuamente à medida que chegam, como monitoramento de fraudes em transações financeiras;

  • processamento híbrido — combina lote e streaming conforme a criticidade de cada fluxo.

Pipelines de ETL (Extract, Transform, Load) e ELT (Extract, Load, Transform) automatizam essas operações em escala. São a espinha dorsal de data warehouses e data lakes que alimentam a inteligência analítica das empresas.

Porém, o processamento de dados vai além da infraestrutura técnica. Quando as informações processadas incluem dados pessoais (nome, CPF, e-mail, histórico de compras, localização), entra em cena uma dimensão regulatória que exige atenção específica.

Processamento de dados na LGPD

A Lei Geral de Proteção de Dados (LGPD) regulamenta o tratamento de dados pessoais no contexto brasileiro. Na prática, qualquer ação que envolva dados pessoais configura tratamento. Não importa se o dado é acessado por um sistema automatizado ou consultado manualmente por um colaborador, a operação está sujeita à lei.

A legislação cobre todo o ciclo de vida dos dados, desde o momento em que a organização coleta a informação até a sua eliminação definitiva. Cada etapa exige base legal, finalidade definida e medidas de proteção adequadas.

Essa amplitude faz com que praticamente toda empresa realize algum tipo de tratamento de dados pessoais. Atividades como cadastrar clientes, enviar e-mails promocionais, armazenar dados de funcionários ou compartilhar informações com prestadores de serviço exigem conformidade com a LGPD.

Simplifique a conformidade com a LGPDConheça o Docusign IAM

Controlador, operador e encarregado: papéis e responsabilidades

A LGPD estabelece três figuras centrais no ecossistema de tratamento de dados pessoais: o controlador, o operador e o encarregado. Compreender a distinção entre elas é essencial para definir obrigações contratuais e responsabilidades em caso de incidentes.

Controlador

Controlador é a pessoa natural ou jurídica que toma as decisões sobre o tratamento de dados pessoais. É quem determina a finalidade (por que os dados são coletados) e os meios (como serão tratados). Uma empresa que coleta dados de clientes para enviar comunicações de marketing atua como controladora dessas informações.

A responsabilidade do controlador é ampla. Cabe a ele assegurar que o tratamento tenha base legal, informar o titular sobre o uso dos dados e responder por danos causados ao titular.

Operador

Operador é a pessoa natural ou jurídica que realiza o tratamento de dados em nome do controlador, seguindo as instruções recebidas. Um prestador de serviço de TI que armazena dados de clientes de outra empresa, por exemplo, atua como operador.

O operador não decide sobre a finalidade do tratamento, mas responde por falhas de segurança e por desvios em relação às instruções do controlador. Se usar os dados para finalidade própria, passa a ser considerado controlador para aquela operação.

Encarregado (DPO)

O encarregado, também conhecido como DPO (Data Protection Officer), é a pessoa indicada pelo controlador para atuar como canal de comunicação entre este, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD). 

Esse agente lida diretamente com dados sensíveis e situações que exigem análise criteriosa. Entre suas atribuições, estão: 

  • aceitar reclamações de titulares;

  • prestar esclarecimentos;

  • orientar funcionários sobre práticas de proteção;

  • executar as demais atribuições determinadas pelo controlador.

A nomeação do encarregado é obrigatória para controladoras de grande porte. Microempresas e empresas de pequeno porte podem ter essa obrigação flexibilizada por regulamentação da ANPD.

As 10 bases legais para tratamento de dados

O artigo 7 da LGPD estabelece bases legais que autorizam o tratamento de dados pessoais. Sem enquadramento em ao menos uma delas, a operação é considerada ilegal.

  1. Consentimento do titular: autorização livre, informada e inequívoca do titular para uma finalidade específica;

  2. Cumprimento de obrigação legal ou regulatória: quando o tratamento é exigido por lei ou regulamento aplicável ao controlador;

  3. Execução de políticas públicas: tratamento necessário para a execução de políticas públicas por órgãos da administração pública;

  4. Realização de estudos e pesquisas: conduzidos por órgão de pesquisa, preferencialmente com anonimização dos dados;

  5. Execução de contrato ou procedimentos preliminares: tratamento necessário para cumprir contrato do qual o titular é parte;

  6. Exercício regular de direitos: em processos judiciais, administrativos ou arbitrais;

  7. Proteção da vida ou da incolumidade física: do titular ou de terceiros;

  8. Tutela da saúde: em procedimentos realizados por profissionais ou serviços de saúde;

  9. Legítimo interesse do controlador: quando o tratamento atende a interesses legítimos, respeitados os direitos do titular;

  10. Proteção do crédito: para análise e concessão de crédito ao titular.

Para dados sensíveis (origem racial, convicção religiosa, opinião política, dados de saúde, biometria), a lei restringe as bases legais aplicáveis. O consentimento para dados sensíveis deve ser específico e destacado, e as demais bases são mais limitadas.

A escolha da base legal deve ser feita antes do início do tratamento e documentada. Trocar a base legal posteriormente é possível, mas exige justificativa e registro formal.

Princípios do processamento de dados pessoais

Além das bases legais, a LGPD determina princípios que orientam qualquer operação com dados pessoais em seu artigo 6. Eles funcionam como diretrizes obrigatórias que condicionam o modo como os dados são tratados.

Finalidade e adequação

Todo tratamento deve ter propósito legítimo, específico e informado ao titular. Os dados coletados precisam ser compatíveis com a finalidade declarada. Coletar dados de localização para uma compra online, por exemplo, sem justificativa clara, viola o princípio da adequação.

Necessidade e minimização

A organização deve coletar apenas os dados estritamente necessários para a finalidade proposta. Formulários que solicitam informações excessivas, como estado civil para uma compra simples, infringem o princípio da necessidade.

Quanto menos dados armazenados, menor é o impacto de um eventual incidente de segurança da informação.

Transparência e livre acesso

Titulares têm direito a informações claras sobre o tratamento de seus dados: 

  • quais dados são coletados;

  • para qual finalidade;

  • por quanto tempo serão retidos;

  • com quem serão compartilhados. 

A organização comprometida com compliance viabiliza o acesso a essas informações, e o princípio do livre acesso possibilita que o titular possa consultar seus dados de forma gratuita e simplificada.

Qualidade, segurança e prevenção

Dados devem ser mantidos atualizados e exatos. A organização precisa adotar medidas técnicas e administrativas para protegê-los contra acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração ou vazamento de dados.

A prevenção exige postura proativa, ou seja, implementar controles antes que incidentes aconteçam e não apenas reagir após uma violação.

Não discriminação e responsabilização

Dados pessoais não podem ser usados para fins discriminatórios ilícitos ou abusivos. Além disso, o controlador deve demonstrar a eficácia das medidas adotadas para cumprir a lei. 

Essa demonstração passa por documentação, registros e privacidade de dados incorporada aos processos.

Pontos de atenção na terceirização do processamento

Terceirizar o processamento de dados pessoais é prática comum. Empresas contratam prestadores de serviço para armazenamento em nuvem, processamento de folha de pagamento, envio de comunicações, análise de crédito e diversas outras operações que envolvem dados de titulares.

A terceirização, porém, não transfere a responsabilidade do controlador. Se o operador causar dano ao titular por falha de segurança ou desvio de finalidade, o controlador responde solidariamente. 

Uma gestão de fornecedores criteriosa é indispensável para mitigar esses riscos:

  • gerenciamento de acessos — necessidade de assegurar que o acesso aos dados por colaboradores do operador seja restrito ao necessário para a operação;

  • transparência na subcontratação — importância de validar e autorizar novos agentes na cadeia de processamento para manter a visibilidade sobre o fluxo dos dados;

  • ciclo de vida dos dados — definição clara de protocolos para a devolução ou exclusão definitiva de informações após o encerramento da prestação de serviço;

  • transferência internacional — atenção à localização dos servidores para assegurar que o armazenamento em outras jurisdições respeite os requisitos legais vigentes;

  • fluxo de comunicação de incidentes — estabelecimento de canais ágeis para que o operador reporte prontamente qualquer intercorrência de segurança ao controlador.

O contrato entre controlador e operador precisa ser específico sobre obrigações, limites, medidas de segurança e procedimentos em caso de incidentes. É nesse ponto que entra o DPA.

DPA: o contrato que formaliza obrigações

DPA (Data Processing Agreement), ou Acordo de Processamento de Dados, é o contrato que formaliza as responsabilidades entre controlador e operador. Ele estabelece os termos sob os quais o operador pode tratar dados pessoais em nome do controlador.

Um DPA robusto inclui, no mínimo:

  • objeto e finalidade — quais dados serão tratados e para qual propósito;

  • duração — período de vigência do tratamento;

  • tipos de dados — categorias de dados pessoais envolvidos (comuns, sensíveis, de menores de 18 anos);

  • medidas de segurança — controles técnicos e organizacionais exigidos do operador;

  • subcontratação — condições para o operador contratar terceiros;

  • notificação de incidentes — prazos e procedimentos para comunicar violações de dados;

  • devolução e eliminação — o que acontece com os dados após o término do contrato;

  • auditoria — direito do controlador de verificar as práticas do operador.

A gestão de contratos adequada assegura que DPAs, termos de consentimento, políticas de privacidade e cláusulas sejam atualizados conforme mudanças regulatórias e revisados periodicamente. Versões desatualizadas expõem a organização a lacunas de conformidade.

Manter uma trilha de auditoria sobre quem assinou o DPA, quando foi assinado e quais versões estão vigentes é requisito prático para demonstrar conformidade com a ANPD. Sem registro documental, a empresa não consegue comprovar que as obrigações foram formalizadas.

Automatize a gestão de DPAsExperimente Docusign IAM

Relatório de impacto à proteção de dados (RIPD)

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é um documento que descreve os processos de tratamento de dados que podem gerar riscos às liberdades civis e aos direitos fundamentais dos titulares. A ANPD pode solicitar sua elaboração a qualquer momento.

O RIPD deve conter:

  • descrição dos tipos de dados coletados;

  • metodologia utilizada para a coleta e tratamento;

  • medidas de segurança adotadas;

  • análise do controlador sobre os riscos identificados;

  • medidas de mitigação para cada risco.

A elaboração do RIPD é recomendada sempre que o tratamento envolver dados sensíveis, decisões automatizadas, monitoramento sistemático de titulares ou tratamento em larga escala

O RIPD deve ser revisado sempre que houver mudança significativa no tratamento, como novo fornecedor, nova finalidade, novo sistema ou alteração na base legal utilizada.

Penalidades e fiscalização

A LGPD prevê sanções administrativas aplicáveis pela ANPD em caso de infrações. As penalidades variam conforme a gravidade, a boa-fé do infrator e a adoção de mecanismos de mitigação. As sanções podem incluir:

  • advertência — com prazo para adoção de medidas corretivas;

  • multa simples — até 2% do faturamento da pessoa jurídica no último exercício, limitada a R$ 50 milhões por infração;

  • multa diária — para forçar o cumprimento de obrigações, respeitado o limite total;

  • publicização da infração — divulgação pública após confirmação da ocorrência;

  • bloqueio ou eliminação de dados — suspensão do tratamento ou exclusão dos dados relacionados à infração;

  • suspensão do exercício da atividade de tratamento — por até 6 meses, prorrogável por igual período.

A ANPD intensificou a fiscalização sobre o compliance regulatório, com processos administrativos que resultaram em sanções. O risco reputacional, além do financeiro, compromete a confiança de clientes, parceiros e investidores.

Empresas que demonstram esforços concretos de adequação (políticas documentadas, treinamentos, DPAs formalizados e RIPD elaborado) têm tratamento mais favorável no cálculo das sanções. A ANPD considera atenuantes como a adoção de boas práticas e a cooperação do infrator.

Transferência internacional de dados

A LGPD regula a transferência de dados pessoais para outros países. A operação é permitida apenas em hipóteses específicas:

  • países ou organismos internacionais com nível adequado de proteção;

  • garantias oferecidas pelo controlador (cláusulas contratuais específicas, normas corporativas globais, selos ou certificados);

  • consentimento específico e destacado do titular;

  • necessidade de execução de contrato, cooperação jurídica internacional ou proteção da vida.

Em relação ao Regulamento Geral sobre a Proteção de Dados (GDPR), empresas que operam simultaneamente no Brasil e na Europa precisam alinhar seus processos de transferência às exigências de ambas as legislações. As cláusulas contratuais padrão (SCCs) são um mecanismo comum para viabilizar transferências entre jurisdições.

Organizações que utilizam serviços de nuvem com servidores fora do Brasil já realizam transferência internacional. O mesmo ocorre com prestadores de serviço estrangeiros que processam dados de titulares brasileiros. Nesses casos, o DPA deve prever cláusulas específicas sobre a localização dos dados e as garantias aplicáveis.

Como a Docusign fortalece a governança do processamento?

A conformidade com a LGPD depende de documentação organizada, rastreabilidade e controle sobre contratos e acordos que envolvem dados pessoais. A governança de dados ganha eficiência quando os contratos que sustentam o tratamento são geridos de forma centralizada e automatizada.

A Docusign oferece uma abordagem integrada para a gestão de acordos que envolvem processamento de dados pessoais. A plataforma Docusign IAM conecta a criação, a negociação, a assinatura e o monitoramento de contratos em um fluxo único, fortalecendo a sua governança de dados por meio de soluções de ponta. 

Centralização de DPAs com IA

Chega de políticas de privacidade e DPAs perdidos em sistemas desconexos. O recurso Agreement Manager atua como um repositório centralizado inteligente (alimentado pela IA da Docusign) que armazena, organiza e permite a extração instantânea de termos, finalidades e obrigações de proteção de dados de qualquer operador. 

Coleta de consentimento seguro 

Substitua arquivos estáticos por formulários dinâmicos usando o recurso Web Forms. Por meio dele, é possível capturar os dados e o consentimento dos titulares com clareza e segurança. 

A formalização com assinatura eletrônica (Docusign eSignature) gera um Certificado de Conclusão com trilha de auditoria irrefutável, comprovando à ANPD que o consentimento foi obtido de forma livre e inequívoca. 

Automação de processos

Acordos de dados exigem revisões rigorosas. O Workflow Builder permite criar fluxos de trabalho personalizados (sem necessidade de códigos) para rotear contratos automaticamente para as equipes de jurídico e compliance, assegurando que as aprovações ocorram de maneira célere e em conformidade. 

Telemetria e prevenção 

A segurança dos dados exige postura proativa. O Monitor atua com rastreamento 24/7 de atividades na plataforma, detectando comportamentos anômalos — como exportação em massa de arquivos de RH ou acessos suspeitos —, permitindo uma resposta imediata contra potenciais vazamentos.

Ao adotar o ecossistema Docusign IAM, DPOs e líderes de TI asseguram o mais alto nível de segurança corporativa e compliance em sua infraestrutura de dados. É a governança ideal para proteger a organização contra as severas sanções da ANPD, sem sacrificar a agilidade necessária para o negócio integrar novos sistemas e operadores. 

Proteja sua operação com Docusign IAMFale com nossos especialistas

Perguntas frequentes

Qual a diferença entre processamento de dados em TI e na LGPD?

Em TI, processamento de dados refere-se às operações técnicas de coleta, transformação e armazenamento de informações em sistemas computacionais (ETL, pipelines, data warehouses). 

Na LGPD, o termo abrange qualquer operação realizada com dados pessoais, incluindo coleta, uso, armazenamento, compartilhamento e eliminação. 

Quem é responsável pelo processamento de dados pessoais?

O controlador é o principal responsável, pois decide a finalidade e os meios do tratamento. O operador executa o tratamento conforme instruções do controlador e responde por falhas em sua esfera de atuação. 

Quais dados pessoais exigem cuidado especial?

Dados sensíveis (origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, saúde, vida sexual, genética, biometria, de crianças e adolescentes) têm regime diferenciado na LGPD. O tratamento exige consentimento específico e destacado ou enquadramento em bases legais mais restritas. 

O que acontece se minha empresa não tiver um DPA com fornecedores?

Sem um DPA, a empresa fica exposta a riscos jurídicos e de segurança, pois não há definição formal de responsabilidades ou medidas de proteção de dados. Em fiscalizações da Autoridade Nacional de Proteção de Dados, isso pode dificultar a comprovação de conformidade com a Lei Geral de Proteção de Dados Pessoais e resultar em sanções.

A LGPD se aplica a dados de funcionários?

Sim. Informações como nome, CPF, endereço, dados bancários e atestados médicos são dados pessoais protegidos pela Lei Geral de Proteção de Dados Pessoais. Dados de saúde e biométricos são considerados sensíveis e exigem cuidados adicionais no tratamento.

Como comprovar conformidade em caso de fiscalização?

A Autoridade Nacional de Proteção de Dados pode solicitar documentos como política de privacidade, registros de tratamento, RIPD, contratos com operadores e evidências de treinamento. Manter esses registros organizados e atualizados é a forma mais eficaz de demonstrar conformidade.

Quais são os prazos de retenção de dados pessoais?

A Lei Geral de Proteção de Dados Pessoais não define prazos fixos de retenção. Os dados devem ser mantidos apenas pelo tempo necessário para cumprir a finalidade do tratamento ou obrigações legais, devendo ser eliminados quando não forem mais necessários.

Glossário

  • Processamento de Dados: no contexto da LGPD, é qualquer operação realizada com dados pessoais, desde a captura até o descarte. Em TI, refere-se às operações técnicas de coleta, transformação e armazenamento de informações em sistemas.

  • LGPD (Lei Geral de Proteção de Dados Pessoais): legislação brasileira que regula o tratamento de dados pessoais, exigindo base legal, finalidade definida e medidas de proteção para qualquer ação que os envolva.

  • Controlador: pessoa natural ou jurídica que toma as decisões sobre o tratamento de dados pessoais, determinando a finalidade e os meios.

  • Operador: pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador, seguindo as instruções recebidas.

  • Encarregado (DPO - Data Protection Officer): pessoa indicada pelo controlador para ser o canal de comunicação entre o controlador, os titulares de dados e a ANPD.

  • ANPD (Autoridade Nacional de Proteção de Dados): órgão que fiscaliza o cumprimento da LGPD e pode aplicar sanções administrativas por infrações.

  • Dados sensíveis: dados pessoais que exigem cuidado especial e regime diferenciado na LGPD, como origem racial, convicção religiosa, dados de saúde ou biometria.

  • DPA (Data Processing Agreement): Acordo de Processamento de Dados, um contrato que formaliza as responsabilidades e os termos sob os quais o operador pode tratar dados pessoais em nome do controlador.

  • RIPD (Relatório de Impacto à Proteção de Dados Pessoais): documento que descreve os processos de tratamento de dados que podem gerar riscos aos direitos dos titulares, sendo recomendada sua elaboração em casos como tratamento de dados sensíveis ou em larga escala.

  • Trilha de Auditoria: registro de todas as ações realizadas sobre um documento ou processo, utilizado para demonstrar à ANPD que a organização mantém controle efetivo e conformidade.

  • Transferência internacional de dados: movimentação de dados pessoais para outros países, permitida pela LGPD apenas em hipóteses específicas e mediante garantias, como cláusulas contratuais específicas.

Leticia SabbagGerente de Conteúdo
Mais publicações deste autor

Publicações relacionadas

  • Insights para líderes

    Gestão de não conformidades: guia completo com ciclo, métricas e CAPA

    Author Renata Vaz
    Renata Vaz

Docusign IAM é a plataforma de acordos que sua empresa precisa para o sucesso

Experimente grátisConheça o Docusign IAM
Pessoa sorrindo durante uma apresentação