Os agentes de tratamento são o controlador e operador. Embora o controlador tenha a principal responsabilidade e o operador deva atuar em nome dele, o art. 37 da LGPD determina que ambos partilham obrigações e, consequentemente, a responsabilidade de manter o registro das operações de tratamento (ANPD, 2022).
Publicar as instruções para tratamento de dados pessoais
Adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse (§ 2º, do Art. 10, da LGPD)
Manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse (Art. 37, da LGPD)
Elaborar relatório de impacto à proteção de dados pessoais (Art. 38, da LGPD)
Indicar encarregado pelo tratamento de dados pessoais (Art. 41, da LGPD)
Reparar dano em razão do exercício de atividade de tratamento de dados pessoais que causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais (Art. 42, da LGPD)
Comunicar a autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares (Art. 18, da LGPD)
Adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito (Art. 46, da LGPD)
Responder pelos danos decorrentes da violação da segurança dos dados ao deixar de adotar as medidas de segurança previstas no art. 46 da LGPD, quando der causa ao dano (Parágrafo único, art. 44, da LGPD)
Formular regras de boas práticas e de governança de tratamento de dados pessoais, no âmbito de suas competências, (Art. 50, da LGPD)
Manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse (Art. 37, da LGPD)
Realizar o tratamento segundo as instruções fornecidas pelo controlador (Art. 39, da LGPD)
Reparar dano em razão do exercício de atividade de tratamento de dados pessoais que causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais (Art. 42, da LGPD)
Responder solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 da LGPD (§ 1º, Inciso I, Art. 42, da LGPD)
Adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito (Art. 46, da LGPD)
Responder pelos danos decorrentes da violação da segurança dos dados ao deixar de adotar as medidas de segurança previstas no art. 46 da LGPD, quando der causa ao dano (Parágrafo único, art. 44, da LGPD)
Formular regras de boas práticas e de governança de tratamento de dados pessoais, no âmbito de suas competências, (Art. 50, da LGPD)
Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências (Inciso I, § 2º, Art. 41, da LGPD)
Receber comunicações da autoridade nacional e adotar providências (Inciso I, § 2º, Art. 41, da LGPD)
Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais (Inciso I, § 2º, Art. 41, da LGPD)
Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares (Inciso I, § 2º, Art. 41, da LGPD)
Por Alex Trindade Barbosa 15.09.2025 – 4:29