A padlock rests on a computer keyboard.

Compartilhamento de dados com terceiros: o que a empresa pode repassar a parceiros

Compartilhar informações de clientes com fornecedores, parceiros comerciais e prestadores de serviço tornou-se rotina na economia digital, mas a Lei Geral de Proteção de Dados impõe limites rígidos a essa circulação. Sem uma base legal adequada, sem transparência ao titular e sem a correta divisão de responsabilidades na cadeia de tratamento, o repasse de dados deixa de ser eficiência operacional e vira exposição jurídica.

Toda transferência de dados exige uma base legal própria

A primeira falha das empresas está em presumir que, por já possuir os dados do cliente, pode repassá-los livremente a terceiros. A Lei 13.709/2018 não funciona assim. Cada operação de tratamento, e a transferência a fornecedores é uma delas, precisa se apoiar em uma das hipóteses do artigo 7º da lei.

As bases legais mais comuns nesse cenário são a execução de contrato, o cumprimento de obrigação legal ou regulatória, o legítimo interesse do controlador e o consentimento do titular. A escolha não é livre nem intercambiável: ela depende da finalidade concreta do compartilhamento e do tipo de dado envolvido.

Quando o repasse serve para viabilizar o próprio contrato firmado com o cliente, como o envio do endereço a uma transportadora, a base natural é a execução contratual. Já compartilhamentos voltados a marketing, enriquecimento de perfil ou monetização raramente se sustentam sem consentimento específico e destacado.

O ponto sensível é o legítimo interesse. Ele não é um curinga. Seu uso exige um teste de proporcionalidade documentado, o chamado relatório de impacto ou avaliação de legítimo interesse, capaz de demonstrar que a finalidade é concreta, que os dados são estritamente necessários e que as expectativas legítimas do titular foram consideradas.

Tratando-se de dados sensíveis, aqueles do artigo 11 (saúde, biometria, convicção religiosa, filiação sindical, entre outros), o rigor aumenta. As hipóteses de tratamento são mais restritas e, na ausência de previsão específica, o consentimento precisa ser destacado e para finalidade determinada. Transferir dados sensíveis a parceiros sem base sólida é das condutas de maior risco sancionatório.

O titular precisa saber para onde vão seus dados

A transparência é princípio estruturante da lei (artigo 6º, inciso VI) e ganha contorno concreto no dever de informar do artigo 9º. O titular tem direito de acesso facilitado a informações claras sobre a finalidade do tratamento, a forma e a duração, e, de modo expresso, sobre o uso compartilhado de dados e a identificação dos destinatários.

Isso significa que a política de privacidade não pode se limitar a fórmulas genéricas do tipo “poderemos compartilhar seus dados com parceiros”. O texto precisa indicar categorias de destinatários, as finalidades de cada compartilhamento e a base legal correspondente. Quanto mais vago o documento, mais frágil a defesa da empresa diante da autoridade e do Judiciário.

O dever de informar não se esgota no momento da coleta. Se surge uma nova finalidade de compartilhamento, incompatível com aquela originalmente comunicada, o tratamento anterior não a legitima. Nesse caso, é necessário informar novamente o titular e, conforme a base legal aplicável, colher novo consentimento.

Há ainda o direito de o titular questionar o compartilhamento. Ele pode solicitar informação sobre as entidades públicas e privadas com as quais o controlador compartilhou seus dados, revogar consentimento e requerer a eliminação daqueles tratados com base nessa autorização. A arquitetura de atendimento a esses pedidos precisa existir antes de a demanda chegar.

A falha de transparência costuma ser subestimada porque não gera dano imediato visível. Mas é justamente ela que, em uma fiscalização ou ação judicial, revela se a empresa tratava os dados de forma leal ou se apenas transferia informações às escuras, esperando que ninguém perguntasse.

A leitura conjunta desses deveres deixa claro que informar é condição de legitimidade, e não formalidade acessória.

Compartilhar dados sem base legal e sem informar o titular não é eficiência operacional, é passivo jurídico à espera de fiscalização.

Definida a base legal e cumprido o dever de informar, resta o problema que mais gera litígio: saber quem responde quando algo dá errado na cadeia.

A responsabilidade acompanha o dado ao longo da cadeia

A lei distingue dois papéis centrais. O controlador é quem toma as decisões sobre o tratamento (artigo 5º, inciso VI). O operador realiza o tratamento em nome do controlador e segundo suas instruções (incisos VII e artigo 39). Fornecedores e parceiros podem assumir qualquer dos dois papéis, e a classificação correta define o regime de responsabilidade.

Quando o parceiro atua como operador, ele deve seguir estritamente as instruções do controlador. Se extrapola essas instruções ou descumpre a lei, passa a responder como controlador em relação àquela conduta. Por isso, a rotulagem contratual de “mero prestador” não protege quem, na prática, decide finalidades e meios do tratamento.

O artigo 42 estabelece o dever de reparar o dano patrimonial, moral, individual ou coletivo causado em violação à legislação. O parágrafo primeiro prevê responsabilidade solidária: o operador responde solidariamente quando descumpre suas obrigações ou não segue as instruções lícitas do controlador, e os controladores envolvidos diretamente no tratamento respondem solidariamente pelos danos.

Na prática, isso desmonta a ilusão de que “o dado saiu da minha empresa, logo o problema é do parceiro”. Se o controlador escolheu mal o fornecedor, deixou de fiscalizá-lo ou transferiu dados sem base legal, ele permanece na linha de frente da reparação, ainda que a violação material tenha ocorrido do outro lado.

A lei prevê hipóteses de afastamento da responsabilidade no artigo 43: comprovar que não realizou o tratamento, que não houve violação apesar de tê-lo realizado, ou que o dano decorreu de culpa exclusiva do titular ou de terceiro. O ônus de provar essas excludentes é do agente, o que reforça a importância da documentação.

Contratos e governança são a linha de defesa concreta

Diante desse regime, o instrumento contratual entre controlador e fornecedor deixa de ser burocracia. É a peça que delimita finalidades, veda usos secundários, impõe medidas de segurança, disciplina subcontratação e prevê a devolução ou eliminação dos dados ao fim da relação.

Um contrato bem construído define o parceiro como operador, fixa que ele tratará dados apenas conforme instruções, e estabelece obrigações de notificação de incidentes. A comunicação de incidentes de segurança à autoridade nacional e ao titular, prevista no artigo 48, depende de o controlador ser informado a tempo pelo elo que sofreu a falha.

A governança complementa o contrato. Mapear quais dados são compartilhados, com quem, sob qual base legal e por quanto tempo é o mínimo exigível de quem trata dados em escala. Sem esse inventário, a empresa não consegue responder a pedidos de titulares nem demonstrar conformidade diante de uma fiscalização.

A auditoria periódica dos parceiros fecha o ciclo. Não basta assinar um contrato robusto e ignorar como o fornecedor efetivamente trata os dados. A escolha e a supervisão diligente do operador integram o próprio dever de segurança do controlador, e sua ausência pesa na aferição de responsabilidade.

O compartilhamento de dados, portanto, não é proibido pela legislação. O que a lei exige é que ele seja feito com base legal identificada, comunicado ao titular com clareza e sustentado por uma cadeia contratual que distribua responsabilidades de forma expressa. Empresas que tratam a transferência de dados como decisão jurídica, e não apenas operacional, reduzem risco e preservam a confiança de seus clientes.

Perguntas Frequentes

Preciso de consentimento do cliente para compartilhar dados com um fornecedor?

Nem sempre. O consentimento é apenas uma das bases legais possíveis. Se o compartilhamento é indispensável para executar o contrato firmado com o cliente, como enviar o endereço a uma transportadora, a base pode ser a execução contratual. Já compartilhamentos com finalidade de marketing ou monetização geralmente exigem consentimento específico e destacado. A regra é escolher a base legal adequada à finalidade concreta, e não presumir que a posse dos dados autoriza qualquer repasse.

Se o vazamento ocorreu no fornecedor, minha empresa fica isenta de responsabilidade?

Não necessariamente. Pelo artigo 42 da lei, controladores envolvidos no tratamento podem responder solidariamente pelos danos, e o operador responde de forma solidária quando descumpre suas obrigações. A empresa que escolheu mal o parceiro, deixou de fiscalizá-lo ou transferiu dados sem base legal permanece exposta. O afastamento da responsabilidade depende de comprovar uma das excludentes do artigo 43, e esse ônus recai sobre o próprio agente de tratamento.

O que a política de privacidade precisa dizer sobre compartilhamento?

A política deve informar, de forma clara e acessível, as finalidades do tratamento, as categorias de destinatários com quem os dados são compartilhados e a base legal de cada operação. Fórmulas genéricas, como afirmar que os dados “poderão ser compartilhados com parceiros”, não cumprem o dever de transparência do artigo 9º. Quanto mais preciso o documento, mais consistente será a demonstração de conformidade diante da autoridade e em eventual disputa judicial.

Base legal citada

Leia o texto integral e atualizado no CM Legis:

Ficou com dúvidas? Fale com um advogado especialista.

📱 Falar pelo WhatsApp

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.

Posts Similares