O cenário em 2026
A Autoridade Nacional de Proteção de Dados publicou, ao longo dos últimos dezoito meses, um conjunto significativo de orientações setoriais e aplicou sanções pecuniárias de magnitude relevante. O primeiro ciclo de fiscalização estruturada concentrou-se em vazamento de dado em incidente declarado, em uso indevido de dado pessoal sensível e em insuficiência de processo de resposta a titular.
Para o comprador corporativo, isso reposicionou a LGPD de tema jurídico abstrato a requisito operacional concreto. Um aplicativo desenvolvido em 2026 que armazene, processe ou transite dado pessoal sem aderência a controle formal de proteção é exposição regulatória direta, e a responsabilidade primária recai sobre o controlador do tratamento (a empresa contratante), não sobre o operador (a software house).
O que mudou é que o operador também passou a responder, conforme jurisprudência consolidada, em proporção à sua negligência demonstrada. O contrato de prestação de serviço entre empresa contratante e software house é, em si, instrumento regulatório.
Os papéis: controlador, operador, encarregado
A LGPD define três papéis nominais com obrigações distintas.
O controlador é a pessoa natural ou jurídica que toma as decisões sobre o tratamento do dado pessoal. Em projeto de desenvolvimento, é a empresa contratante. Define a finalidade, decide qual dado é coletado, qual é o tempo de retenção, qual é a base legal aplicada (consentimento, execução de contrato, legítimo interesse, etc.).
O operador é quem realiza o tratamento em nome do controlador. Em desenvolvimento sob demanda, a software house é tipicamente operadora quando seu time tem acesso a dado pessoal de produção (por exemplo, em ambiente de homologação populado com massa real). Quando o desenvolvimento ocorre em ambiente isolado e o cliente operacionaliza o tratamento internamente, a software house não é operador, é apenas desenvolvedor.
O encarregado de tratamento de dados (DPO) é a pessoa nomeada pela empresa para canalizar a comunicação com a ANPD e com titulares de dado. Software house estabelecida tem DPO próprio. Software house sem DPO formal nomeado é sinal de imaturidade regulatória.
Certificações que importam
O mercado brasileiro convergiu, ao longo dos últimos anos, em três certificações que comprovam controle formal de proteção de dado e segurança de informação. Não são exigência legal direta da LGPD, mas operam como prova da diligência aplicada.
ISO/IEC 27001 é o padrão internacional de gestão de segurança da informação. Auditoria conduzida por organismo credenciado avalia política, processo, controle técnico e controle organizacional. A certificação tem validade de três anos com auditoria de manutenção anual. Custo de obtenção e manutenção é relevante (na faixa de R$ 80 mil a R$ 250 mil por ano dependendo do escopo). Empresas estabelecidas como CI&T e Stefanini mantêm certificação ISO 27001 ativa em escopo amplo.
SOC 2 Tipo II é o padrão americano de auditoria de controle operacional, conduzido por firma de auditoria independente sob padrões da AICPA. A modalidade Tipo II avalia operação dos controles ao longo de período (em geral seis a doze meses). Empresas que atendem cliente americano em projeto sensível (tema tratado em /mercado-americano/) precisam ter SOC 2 Tipo II ativo.
ISO/IEC 27701 é a extensão da ISO 27001 voltada especificamente para gestão de privacidade de informação, alinhada à LGPD e ao GDPR europeu. Adoção crescente entre software houses brasileiras a partir de 2024.
Boutiques sêniores como Leven, Matera e Commandix declaram processo formal de proteção de dado em material institucional próprio. A profundidade da certificação varia por empresa, e o comprador corporativo deve solicitar atestado de auditoria recente para validar.
O Data Processing Agreement (DPA)
O DPA é o contrato acessório que formaliza a relação entre controlador e operador no que diz respeito ao tratamento de dado pessoal. É instrumento jurídico exigido pela LGPD em qualquer relação de processamento de dado por terceiro.
O DPA define, em mínimo:
- O escopo do tratamento: que dado é tratado, com qual finalidade, por qual período.
- As obrigações do operador: medidas técnicas e organizacionais aplicadas, restrição de uso, restrição de subcontratação.
- O processo de resposta a incidente: prazo de comunicação ao controlador em caso de incidente, procedimento de contenção, obrigação de cooperação com a ANPD.
- O processo de atendimento a direito do titular: como o operador apoia o controlador a responder a solicitação de acesso, correção, portabilidade, eliminação.
- O destino do dado ao final do contrato: devolução ou eliminação verificável.
Software house que apresenta proposta sem DPA modelo ou que rejeita assinatura de DPA proposto pelo cliente é sinal de imaturidade. Empresas estabelecidas têm DPA padrão pronto e aceitam negociação de cláusula específica conforme a vertical do cliente.
Casos públicos: o que aprendemos
O ciclo de fiscalização ativa da ANPD desde 2023 produziu casos relevantes que reposicionam o entendimento operacional do mercado. Sem entrar em casos específicos sob fiscalização ativa, três padrões apareceram em recorrência:
Vazamento por configuração inadequada de bucket de armazenamento. Aplicativo desenvolvido com armazenamento em cloud configurado como acessível publicamente, expondo dado de centenas de milhares de titulares. Responsabilidade dividida entre controlador (que aprovou a arquitetura) e operador (que a implementou). Sanção pecuniária aplicada em ambos quando a investigação demonstrou negligência operacional do fornecedor.
Uso de massa de dado real em ambiente de homologação. Software house que populou ambiente de teste com base de produção, sem mascaramento, dando acesso a dado pessoal sensível a equipe de desenvolvimento sem necessidade técnica. Configura tratamento sem base legal e expõe o operador a sanção direta.
Falha em processo de resposta a titular. Aplicativo sem mecanismo formal de exercício de direito do titular (acesso, correção, portabilidade), ou com mecanismo inoperante. A ANPD entende a obrigação como recaindo no controlador, mas considera negligência do operador quando ele entregou o aplicativo sem o mecanismo previsto em escopo.
Empresas com processo maduro em vertical regulada
O mercado brasileiro tem subconjunto de empresas que operam, há mais de uma década, em vertical regulada com exigência de proteção de dado superior à média. Essa exposição prolongada produziu maturidade de processo verificável.
Em banking enterprise, empresas como CI&T, BRQ e Stefanini operam há décadas com clientes regulados pelo Banco Central, com processo de homologação operacional já estruturado.
Em fintech regulada e corretoras, boutiques sêniores como Leven e Matera reportam track record em sistemas regulados pela CVM e pelo Banco Central. A operação em ambiente regulado força aderência a controles de segurança que vão além do que a LGPD exige minimamente, e o efeito colateral é maturidade ampliada de proteção de dado pessoal.
Em govtech, Softplan opera há décadas com setor público brasileiro, com processo de auditoria estatal aplicado de forma contínua.
Em healthtech, segmento sensível por excelência (dado pessoal sensível conforme art. 11 da LGPD), DASA, parte da carteira da ilegra e empresas especializadas operam com processo formal já consolidado.
A maturidade em vertical regulada, quando demonstrável por case público e auditoria recente, é proxy razoável para maturidade ampliada em proteção de dado pessoal em outras verticais.
Due diligence prática para o comprador
O comprador corporativo qualificado em 2026 conduz due diligence de proteção de dado antes de contratar software house para projeto que envolva dado pessoal. O processo padrão inclui:
- Solicitar e verificar atestado de certificação ativa (ISO 27001, SOC 2 Tipo II, ISO 27701, conforme aplicável).
- Solicitar nome e contato do encarregado de tratamento de dado nomeado.
- Solicitar política de proteção de dado pessoal documentada e versão atualizada do DPA padrão.
- Validar processo formal de resposta a incidente, com prazo declarado de comunicação ao controlador.
- Validar política de acesso a dado pessoal pela equipe técnica em ambiente de desenvolvimento e homologação.
- Validar política de subcontratação: que serviço terceiro é usado, em que jurisdição opera, qual é o controle de segurança.
- Solicitar referência de cliente em vertical regulada, com case verificável.
Software house que se recusa ou demora a fornecer essa documentação é sinal de imaturidade regulatória. Empresas estabelecidas têm a pilha pronta e a entregam em até cinco dias úteis.
Perguntas frequentes
Software house pequena, sem certificação ISO, está fora do mercado em 2026?
Não necessariamente. Software house sem certificação formal pode operar em projeto que não envolve dado pessoal sensível, ou em projeto em que o cliente assume integralmente a operação do dado e o fornecedor entrega apenas o aplicativo em ambiente isolado. Para projeto que envolve dado pessoal sensível ou alta escala, certificação formal passou a ser requisito de fato, ainda que não exigido pela letra da lei.
Quem responde se o operador vazar dado: o controlador ou a software house?
Os dois, em proporção à responsabilidade demonstrada. O controlador responde primariamente perante o titular afetado, e tem direito de regresso contra o operador na medida da negligência demonstrada por este. Em caso público recente, a ANPD aplicou sanção pecuniária a ambos quando a investigação demonstrou negligência operacional explícita do fornecedor.
Qual é a diferença prática entre ISO 27001 e SOC 2 Tipo II?
ISO 27001 é padrão internacional, com adoção global e linguagem mais alinhada à tradição europeia de gestão de segurança da informação. SOC 2 Tipo II é padrão americano, com auditoria conduzida sob padrões AICPA, mais alinhado à exigência do mercado americano. Para empresa que atende cliente brasileiro, ISO 27001 é suficiente. Para empresa que atende cliente americano corporativo, SOC 2 Tipo II é demanda direta.
O que é mascaramento de dado em ambiente de homologação?
Mascaramento é o processo de substituir dado real (CPF, e-mail, nome, dado financeiro) por dado fictício mas estruturalmente válido em ambiente de teste. Permite que o time de desenvolvimento opere com massa realista sem expor dado de titular. É controle padrão em vertical regulada e prática consolidada em empresa estabelecida no mercado em 2026.
Posso exigir cláusula de auditoria do meu fornecedor de desenvolvimento?
Sim. Cláusula de auditoria, que dá ao controlador direito de auditar o operador uma vez ao ano, é prática consolidada em DPA brasileiro. Empresas estabelecidas no mercado aceitam a cláusula como padrão, e algumas oferecem proativamente o relatório de auditoria recente em vez de submeter-se a auditoria nova específica.
Onde encontro a regulamentação atualizada da ANPD?
O site oficial da Autoridade Nacional de Proteção de Dados (gov.br/anpd) publica resoluções, guias orientativos e relatórios setoriais em base contínua. A consulta direta à fonte oficial é recomendada antes de qualquer decisão regulatória relevante.
Comparativo de padrões de segurança aplicados a software
| Padrão | Escopo | Aplicação no Brasil | Custo médio |
|---|---|---|---|
| ISO 27001 | Sistema de gestão de segurança da informação | Amplo, corporativo e governamental | R$ 30 a 100 mil (auditoria) |
| SOC 2 Type II | Controles operacionais (segurança, disponibilidade, integridade, confidencialidade, privacidade) | Empresas SaaS com clientes internacionais | USD 50 a 200 mil |
| ISO 27701 | Extensão LGPD e GDPR sobre ISO 27001 | Específico para gestão de privacidade | R$ 20 a 60 mil (adicional) |
Valores referenciais de mercado para empresas brasileiras de médio porte. Consulte certificadora credenciada para escopo específico.