Conversar WhatsApp
LGPD · LGPD · 6 min de leitura

DPO interno ou terceirizado: a conta que ninguém te mostra

A pergunta chega toda semana: contratar DPO de carteira assinada ou terceirizar? A lei não diz qual. Mas a conta é bem diferente: um profissional interno pode custar R$ 15 mil por mês com encargos. Um prestador externo pode sair por R$ 2 mil. E não é só questão de preço. Tamanho da empresa, tipo de dado e risco real de incidente mudam tudo nessa equação.

DPO interno ou terceirizado: a conta que ninguém te mostra
Leonardo Ribeiro
Escrito por
Leonardo Ribeiro
Sócio · Ribeiro Sociedade de Advogados
Publicado em

Toda empresa que trata dados pessoais precisa indicar um encarregado. Isso não é opcional. O que a lei deixou em aberto foi justamente o que gera mais dúvida: se esse encarregado precisa ser contratado pela empresa ou pode ser um prestador externo. A resposta curta é que pode ser os dois. A resposta útil é que cada modelo serve a um perfil específico de empresa, e escolher errado tem custo real.

O que o art. 41 exige, sem exagero

O art. 41 da Lei 13.709/2018 diz que o controlador deve indicar um encarregado. A lei não exige formação específica, não exige certificação, não diz se o vínculo deve ser CLT ou prestação de serviço. Exige que o nome e os dados de contato sejam tornados públicos, preferencialmente no site da empresa.

A Resolução CD/ANPD nº 2/2022 criou regime simplificado para microempresas, EPPs e startups: o próprio sócio pode ser o encarregado. Nossa leitura: é uma saída de custo zero para empresas pequenas. Mas só funciona se alguém de fato executar as atribuições. Colocar o nome no site e não atender ninguém não resolve.

As atribuições reais incluem responder a pedidos de titulares em até 15 dias (art. 19), comunicar incidentes graves à ANPD em prazo hábil (a orientação da própria ANPD aponta 72 horas nos casos mais severos) e orientar funcionários sobre proteção de dados. Isso dá trabalho. Trabalho tem custo. Quem absorve esse custo define o modelo.

DPO interno: quando a conta fecha, e quando não fecha

Um profissional com experiência técnica real em proteção de dados no mercado de Santa Catarina cobra entre R$ 6 mil e R$ 12 mil de salário bruto. Com encargos trabalhistas (INSS patronal, FGTS, 13º e férias), o custo mensal para a empresa fica entre R$ 9 mil e R$ 18 mil. Isso por mês, todo mês.

Esse número se justifica quando a empresa trata dados em volume alto e com sensibilidade elevada. Fintechs, operadoras de saúde, grandes e-commerce com base acima de 100 mil registros, empresas com mais de 400 funcionários. Nesses casos o encarregado externo não tem imersão suficiente: ele não está nos sistemas quando o incidente acontece, não participa das reuniões de produto, não é chamado quando TI lança uma nova integração.

Quando não se justifica: empresa de médio porte com 60-80 funcionários, poucos dados de clientes e nenhum dado sensível no sentido do art. 5º, II da LGPD. Nesse perfil, a empresa paga R$ 12 mil por mês por alguém que vai ficar 4 horas semanais ocupado com atribuições reais de encarregado. Não é eficiente para ninguém.

DPO terceirizado: o que você compra, e o que não vem no pacote

O mercado de DPO-as-a-service cresceu muito depois de agosto de 2021, quando as sanções administrativas da LGPD passaram a valer. Escritórios e consultorias oferecem o serviço por valores entre R$ 1.500 e R$ 5.000 por mês, dependendo do escopo. Para PMEs, costuma incluir canal de atendimento a titulares, gestão dos pedidos de acesso e exclusão, resposta a notificações da ANPD e relatórios periódicos.

O que geralmente não vem: presença ativa nos projetos de TI antes de lançar nova funcionalidade, acesso imediato ao ambiente em caso de incidente, integração com o time de segurança da informação. O prestador só sabe do problema quando você liga. Em incidente grave, onde o prazo conta em horas, essa distância importa.

O modelo terceirizado funciona bem quando a empresa tem processos minimamente mapeados e tem pelo menos uma pessoa interna que sirva de ponto de contato com o prestador. Sem esse elo interno, o DPO terceirizado vira papel no contrato.

O conflito de interesse que vira passivo

Um erro que a gente vê com frequência: a empresa nomeia o diretor de TI como encarregado. Ou o CEO. Ou o gerente de RH que toma decisões sobre os dados dos funcionários.

A pessoa que decide como os dados são tratados não pode ser a mesma que fiscaliza se essa decisão respeita a LGPD. A ANPD deixou isso claro em suas orientações sobre o art. 41: o encarregado precisa de autonomia. Se o encarregado é o mesmo executivo que gerou o incidente, a comunicação à ANPD vai ser... seletiva.

No modelo terceirizado, o conflito estrutural é menor. Mas existe uma armadilha específica: se o mesmo escritório que presta assessoria comercial da empresa também faz o DPO, há incentivo econômico para minimizar problemas em vez de reportá-los com rigor. Verifique se há separação real de escopo.

Qual modelo serve pra qual empresa

  • MEI, ME, EPP até 50 funcionários, dados não sensíveis: regime simplificado da Resolução CD/ANPD nº 2/2022. O próprio sócio pode ser encarregado. Custo extra zero, desde que execute de fato.
  • PME de médio porte (50 a 250 funcionários), sem operação intensiva de dados: DPO terceirizado com escopo detalhado e SLA de resposta a incidentes. Entre R$ 2 mil e R$ 4 mil mensais costuma cobrir bem esse perfil.
  • Empresa com dados sensíveis em volume (saúde, crédito, fintech, plataforma com mais de 50 mil usuários): DPO interno ou contrato de alta dedicação com SLA máximo de 4 horas úteis para incidentes. O prestador genérico não serve.
  • Grupo empresarial com múltiplos CNPJs: pode nomear um único encarregado para o grupo, mas ele precisa ter capacidade operacional real em todas as empresas. Prestador sem equipe não cobre holding com 8 razões sociais.

O que perguntar antes de fechar com qualquer encarregado

A lei não exige certificação. Mas você está indicando alguém para representar a empresa perante a ANPD. Então a gente recomenda testar antes:

  • Consegue explicar as diferenças entre as bases legais do art. 7º sem consultar nada? Consentimento, legítimo interesse e execução de contrato têm usos diferentes.
  • Sabe quando é obrigatório elaborar um RIPD e o que ele precisa conter?
  • Tem experiência com resposta a incidentes de segurança, não apenas com elaboração de políticas?
  • Consegue conversar com time de TI em linguagem técnica? Quem só fala jurídico não opera bem na prática.
  • Certificações como CIPPE/US ou CIPM (IAPP) indicam investimento técnico real. Não são obrigatórias, mas diferenciam quem estudou de quem só se posicionou no mercado.

Falando sério: boa parte dos "encarregados" no mercado hoje fizeram um curso de 20 horas e se posicionaram como especialistas. Para empresa que trata dados de 80 mil clientes, isso não basta. Qualificação técnica importa tanto quanto jurídica.

O que fazer nos próximos 15 dias

  • Mapeia em duas horas o volume e tipo de dado que a empresa trata: clientes, funcionários, saúde, financeiro. Esse mapeamento já define qual modelo se encaixa.
  • Verifica o porte. Se for ME ou EPP, lê a Resolução CD/ANPD nº 2/2022 antes de contratar serviço externo. Pode ser que o regime simplificado resolva sem custo adicional.
  • Se vai terceirizar, exige contrato com escopo detalhado: o que está incluído, prazo de resposta a incidentes, responsabilidade pela comunicação à ANPD, quem assina como encarregado publicamente.
  • Se vai indicar alguém interno, documenta a nomeação por escrito e publica nome e e-mail no site. Obrigação do art. 41, §1º. É a primeira coisa que qualquer fiscalização confere.
  • Testa o canal de atendimento a titulares. Manda um e-mail como se fosse cliente pedindo acesso aos seus dados. Se não vier resposta em 3 dias úteis, o problema operacional precede o problema jurídico.
Precisa de orientação?

Fale com um advogado da RSA.

Diagnóstico objetivo em até 24h úteis.

WhatsApp direto Formulário de contato
Continue lendo sobre LGPD

Artigos relacionados

LGPD para SaaS: o bug de multi-tenant que vira incidente
LGPD
LGPD para SaaS: o bug de multi-tenant que vira incidente
 LGPD em M&A: a dívida de dados que o comprador herda
LGPD
LGPD em M&A: a dívida de dados que o comprador herda
 Seu RH coleta dado sensível todo dia. A maioria sem base legal.
LGPD
Seu RH coleta dado sensível todo dia. A maioria sem base legal.
Ver todos os artigos de LGPD →