Toda empresa precisa de um DPO?

Sim. A LGPD exige a nomeação de um Encarregado de Dados para todas as empresas que tratam dados pessoais. A ANPD pode flexibilizar para micro e pequenas empresas.

O DPO pode ser terceirizado?

Sim. A LGPD permite que o DPO seja pessoa física ou jurídica, interna ou externa à organização. O modelo DPO as a Service é cada vez mais comum.

DPO: O Que Faz e Como Contratar

O DPO — Data Protection Officer, ou Encarregado de Proteção de Dados Pessoais — é uma figura central na LGPD. Toda empresa que trata dados pessoais precisa nomear um. Mas o que esse profissional realmente faz, e como escolher o certo?

O que diz a LGPD sobre o DPO

O artigo 41 da LGPD determina que o controlador de dados deve indicar um encarregado pelo tratamento de dados pessoais. Suas atribuições legais incluem:

Aceitar reclamações e comunicações dos titulares de dados e da ANPD
Prestar esclarecimentos e adotar providências
Orientar funcionários e contratados sobre as práticas de proteção de dados
Executar demais atribuições determinadas pelo controlador ou em normas complementares

Na prática, o papel vai muito além dessa lista mínima.

O que o DPO faz no dia a dia

Governança de dados

O DPO lidera ou supervisiona o programa de privacidade da empresa. Isso inclui manter o mapeamento de dados atualizado, revisar contratos com terceiros, garantir que novas iniciativas passem por uma análise de impacto à privacidade.

Interface com a ANPD

Quando a autoridade entra em contato — seja para uma fiscalização, pedido de informações ou notificação de incidente — o DPO é o interlocutor oficial. Ele precisa conhecer os processos da empresa em profundidade para responder com agilidade.

Atendimento aos titulares

Titulares de dados têm o direito de solicitar acesso, correção, exclusão e portabilidade de seus dados. O DPO coordena o atendimento dessas solicitações dentro dos prazos legais.

Treinamento e conscientização

Uma das funções mais importantes e mais negligenciadas. O DPO deve criar e manter um programa de treinamento que alcance todos os níveis da organização.

Gestão de incidentes

Em caso de vazamento, o DPO coordena a resposta: avalia a gravidade, decide sobre a comunicação à ANPD e aos titulares, e documenta o ocorrido.

Perfil ideal do DPO

O DPO precisa reunir competências de três áreas:

Jurídica: Conhecimento da LGPD, regulamentos da ANPD e legislação setorial
Técnica: Entendimento de segurança da informação, arquitetura de sistemas e fluxos de dados
Gestão: Capacidade de articulação com diferentes áreas, comunicação clara e visão de processos

Não existe formação obrigatória. Certificações como CIPM, CDPO/BR e EXIN ajudam, mas experiência prática é o que diferencia um bom DPO.

Modelos de contratação

DPO interno

Ideal para empresas de médio e grande porte que tratam dados em volume significativo. Vantagens: disponibilidade integral, conhecimento profundo do negócio. Desvantagem: custo fixo elevado — salários variam de R$ 12.000 a R$ 30.000 para profissionais qualificados.

DPO as a Service (DPOaaS)

Modelo terceirizado em que uma consultoria assume a função de encarregado. Vantagens: custo menor, acesso a uma equipe multidisciplinar, experiência com múltiplos setores. Desvantagem: menor imersão no cotidiano da empresa.

Esse modelo é especialmente vantajoso para pequenas e médias empresas que não justificam um profissional dedicado em tempo integral.

DPO interno com apoio externo

Um modelo híbrido cada vez mais popular. A empresa nomeia um profissional interno, mas contrata uma consultoria para suporte técnico, jurídico e operacional. Combina conhecimento do negócio com expertise especializada.

Como avaliar um DPO

Antes de contratar, avalie:

Experiência prática: Quantas implementações de LGPD já conduziu? Em quais setores?
Conhecimento técnico: Entende de segurança da informação e sistemas, ou apenas da lei?
Capacidade de comunicação: Consegue traduzir requisitos legais para a linguagem do negócio?
Independência: A LGPD exige que o DPO atue com autonomia. Ele terá reporte direto à alta gestão?
Atualização constante: A regulamentação evolui rapidamente. O profissional acompanha as mudanças?

Quanto custa

DPO interno: R$ 12.000 a R$ 30.000/mês (CLT) + encargos
DPO as a Service: R$ 2.000 a R$ 15.000/mês, conforme escopo e porte da empresa
Modelo híbrido: Variável, mas geralmente mais custo-eficiente que o DPO interno dedicado

Conclusão

O DPO não é um cargo burocrático para cumprir tabela. É o profissional que garante que a empresa trate dados pessoais com responsabilidade, evite sanções e construa confiança com clientes e parceiros. Conheca nosso workshop de compliance.

Quer se preparar para atuar como DPO ou contratar o profissional certo? O workshop da Tutelas forma profissionais completos em compliance e proteção de dados — com metodologia prática e casos reais do mercado brasileiro.