Olá, Luciana. Tudo bem?
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:
I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;
II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.
De acordo com o artigo, depende muito do contexto, mas de forma geral não é só o controlador que é responsabilizado, cada um dos agentes de tratamento devem ser responsáveis pelos seus atos.
Pelo meu entendimento, dentro do exemplo que trouxe, apesar da lei não tratar sobre subprocessador, se C foi omisso seguindo as diretrizes do controlador A, todos os agentes serão responsáveis. Caso C tenha sido omisso e contra as diretrizes determinadas, os outros agentes não serão responsabilizados, somente C.
Espero ter ajudado e bons estudos!