Encarregado de dados (DPO): quando designar

O que o DPO faz na prática — e o que não é papel dele

O DPO orienta e monitora a conformidade com a LGPD, mas não executa a adequação. Ele não é quem faz o mapeamento de dados, revisa contratos ou ajusta formulários — esse trabalho é do gestor administrativo e das áreas responsáveis. O DPO é o árbitro interno das decisões de privacidade e o ponto de contato para o mundo externo.

As funções principais do DPO no back-office incluem:

• Ponto de contato para titulares: os pedidos de acesso, exclusão, correção e outros direitos chegam ao DPO — que os distribui internamente ou os responde diretamente.
• Ponto de contato para a ANPD: toda comunicação formal com o órgão regulador passa pelo DPO, incluindo a comunicação de incidentes de dados.
• Orientação interna sobre privacidade: quando o gestor tem dúvida sobre como tratar um dado novo ou sobre a base legal de uma situação, o DPO é quem orienta.
• Revisão de novos processos e contratos: antes de um novo sistema entrar em operação ou um novo fornecedor ser contratado para processar dados, o DPO revisa se há impacto sobre privacidade.
• Comunicação de incidentes: quando ocorre um incidente de dados, o DPO avalia se é necessário comunicar à ANPD e como fazê-lo.

Quando a designação do DPO é recomendada

A ANPD define os critérios e orienta sobre a obrigatoriedade da designação do encarregado — verificar sempre as orientações vigentes do órgão, pois podem ser atualizadas. Para o gestor administrativo, o que importa é entender os sinais que indicam que a empresa se beneficiaria de um DPO formal, independentemente de obrigação estrita.

Como referência prática, a designação de encarregado formal tende a ser mais relevante quando a empresa: trata dados em grande escala (muitos titulares ou grande volume de dados por titular), trata dados sensíveis de forma sistemática (dados de saúde, biometria, dados de crianças), compartilha dados com múltiplos parceiros e prestadores, ou transfere dados internacionalmente. Mas em qualquer caso, ter um responsável interno pela privacidade — mesmo que informal — é a conduta recomendada.

A ANPD publicou orientações específicas sobre quando a designação é obrigatória e quais portes ou situações têm tratamento diferenciado. Para a decisão definitiva sobre o porte da empresa, consultar as orientações atuais da ANPD e o assessor jurídico.

DPO interno versus DPO as a Service: como escolher

A escolha entre DPO interno e DPO externo (as a Service) depende do volume de trabalho, da complexidade dos dados e do custo-benefício para a empresa.

Como o gestor administrativo trabalha com o DPO no dia a dia

O gestor administrativo é o principal interlocutor do DPO dentro da empresa. A relação é de parceria operacional: o gestor fornece as informações e executa os ajustes; o DPO orienta e valida as decisões.

1. Alimentar o inventário de dados: o gestor comunica ao DPO novos dados que a empresa passou a coletar, novos sistemas e novos fornecedores que acessam dados, para que o inventário seja atualizado.
2. Acionar antes de contratar fornecedor que acessa dados: antes de fechar contrato com qualquer prestador que vai processar dados pessoais da empresa, o gestor aciona o DPO para verificar se o contrato tem cláusulas de operador adequadas e se o prestador tem as garantias necessárias.
3. Encaminhar solicitações de titulares: pedidos de acesso, exclusão ou correção recebidos pelo gestor são encaminhados ao DPO ou respondidos conforme o fluxo definido pelo DPO.
4. Notificar incidentes internamente: qualquer suspeita de incidente de dados — acesso indevido, compartilhamento por engano, dado exposto — é comunicada imediatamente ao DPO para avaliação e decisão sobre as próximas etapas.
5. Garantir que os dados de contato do DPO estejam publicados: o contato do encarregado precisa estar na política de privacidade e acessível no site. O gestor verifica que essa informação está correta e atualizada.

DPO as a Service: o que esperar e como contratar

O DPO as a Service é um serviço contratado de encarregado externo — uma consultoria ou profissional especializado que assume as responsabilidades do DPO por contrato. É a modalidade mais adotada por empresas de pequeno e médio porte que precisam de expertise sem o custo de uma contratação dedicada.

No contrato de DPO as a Service, o gestor deve atentar para os seguintes pontos:

• Escopo do serviço: o que está incluído — atendimento a titulares, comunicação com a ANPD, revisão de contratos, treinamentos, orientação sobre incidentes. O que está fora do escopo precisa estar claro para evitar surpresas.
• SLA de atendimento: em quanto tempo o DPO externo responde a solicitações urgentes — incidentes, por exemplo. SLA não definido é risco operacional.
• Canal de acionamento: como o gestor contata o DPO quando precisa — e-mail, WhatsApp, sistema de chamados. Em situações de incidente, o canal precisa ser rápido.
• Publicação do contato: o nome e e-mail do encarregado externo precisam estar publicados na política de privacidade da empresa. Verificar se o prestador aceita essa exposição e qual e-mail usa para esse fim.