Como este tema funciona no porte da sua empresa
Você não é obrigado a ter DPO formal. Se coleta dados de cliente (nome, email, telefone), você é responsável por cumprir LGPD — mas pode gerenciar sozinho. Se quiser formalizar, pode nomear a si mesmo como responsável por dados ou delegar ao seu contador.
Você não é obrigado a ter DPO, a menos que processe dados sensíveis (saúde, biometria) ou em escala grande. Se quiser demonstrar conformidade a clientes, pode nomear um gerente administrativo como DPO acumulado (sem custo extra). Se trata dados sensíveis: considerar DPO externo part-time.
Se você processa dados sensíveis ou tem múltiplos sistemas tratando dados, começar a fazer sentido ter DPO dedicado ou part-time. A escala de operação aumenta o risco — ter um responsável claro por conformidade reduz exposição legal.
DPO (Encarregado de Proteção de Dados) é o responsável por supervisar se uma empresa está em conformidade com a LGPD. Pode ser uma pessoa interna, o dono acumulando a função, ou um consultor externo. Não é sempre obrigatório em PME pequena — depende do que você trata e como trata.
Como isso muda conforme o tipo de negócio
Você coleta dados de cliente (nome, endereço, cartão de crédito para e-commerce). Se apenas comércio básico, não obrigatório DPO. Se faz operações de crédito próprio ou fidelização: dados sensíveis começam a aparecer — considerar DPO.
Se você é consultório (saúde), escritório de advocacia, ou serviço que trata informação sensível do cliente, DPO é recomendado mesmo em PME pequena. O risco reputacional de vazamento de dado sensível é alto.
Você coleta dados de contato profissional. Risco é menor, DPO não é obrigatório. Mas se seu cliente é grande (multinacional), ele pode exigir que você tenha DPO como critério de fornecedor.
Você coleta dados de usuário desde dia 1 (login, uso da plataforma, localização). Recomendado ter responsável por LGPD estruturado, mesmo que acumulado. Se seu SaaS cresce para B2B, clientes vão exigir evidência de conformidade.
O que é DPO e quando é realmente obrigatório
DPO significa "Encarregado de Proteção de Dados" (do inglês Data Protection Officer). É a pessoa que supervisiona se a empresa está cumprindo as exigências da Lei Geral de Proteção de Dados Pessoais (LGPD). O DPO é responsável por: informar a empresa de suas obrigações legais, monitorar conformidade, servir como ponto de contato com a ANPD (Autoridade Nacional de Proteção de Dados), responder solicitações de direitos do titular e documentar tudo.
Aqui está o ponto crítico: DPO é obrigatório em apenas alguns casos específicos. Segundo a Lei 13.709/18 (art. 5º, X) e Resoluções da ANPD, a designação de DPO é mandatória para:
1. Órgãos públicos. Sempre obrigado ter DPO.
2. Empresas que tratam dados em larga escala. "Larga escala" não tem definição precisa na lei, mas a jurisprudência entende como acumulação de dados de milhares de pessoas regularmente.
3. Empresas que tratam dados sensíveis. Dados sensíveis são: origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, informação genética, biométrica, saúde ou vida sexual. Qualquer volume de dados sensíveis dispara obrigação de DPO.
4. Empresas de vigilância. Aquelas que usam câmeras de monitoramento sistematicamente.
5. Empresas que fazem monitoramento sistemático de pessoas. Rastreamento de comportamento, localização contínua, etc.
Para a maioria da PME pequena: você provavelmente não encaixa em nenhum desses casos. Se você é loja de roupas coletando dados de cliente para nota fiscal, ou consultor coletando email de contato — não é obrigatório ter DPO formal. Você ainda precisa cumprir LGPD, mas o responsável pode ser você mesmo ou alguém do seu time.
Dono gerencia LGPD sozinho — não é obrigatório ter terceiro. Documentação simples (política de privacidade em meia página, consentimento padrão). Zero custo. Se quiser formalizar mesmo, pode nomear a si mesmo por escrito.
Designação de responsável (pode ser o gerente administrativo, contador, ou até dono) é suficiente. Essa pessoa dedica 5–10% do tempo para LGPD: revisar política, responder solicitação de direito do titular, documentar mudanças. Custo marginal.
Se dados sensíveis: DPO part-time externo (4–8 horas/mês) já reduz risco significativamente. Custo: R$ 1.5–2.5k/mês. Se múltiplos sistemas: DPO dedicated ou full-time faz sentido (interno ou externo).
Modelos de implementação: interno, acumulado ou terceirizado
Se você decidir ter um responsável por LGPD (obrigatório ou não), há quatro formas de estruturar:
Modelo 1: Auto-responsabilidade. Dono gerencia tudo pessoalmente. Documentação é simples: política de privacidade (1–2 páginas) + termo de consentimento padrão + registro de onde dados são guardados. Tempo: uma tarde para montar, 30 minutos/mês para manutenção. Custo: zero. Viável para solo até PME muito pequena com operação simples.
Modelo 2: DPO acumulado interno. Você nomeia alguém que já trabalha para você (contador, gerente, advogado) como responsável por LGPD. Essa pessoa não dedica tempo integral — apenas 10–20% do tempo dela. Formaliza em uma carta simples nomeando a pessoa. Custo: R$ 0–500/mês (dependendo de já pagar a pessoa ou não). Viável para PME pequena.
Modelo 3: DPO part-time externo. Você contrata consultor LGPD que dedica 4–8 horas por mês à sua empresa. Responsável por: auditar conformidade, revisar política, responder solicitação de direitos do titular, atualizar documentação. Custo: R$ 1.5–2.5k/mês. Viável para PME pequena-média com dados sensíveis ou cliente exigindo DPO.
Modelo 4: DPO full-time externo. Consultoria contínua, relatórios trimestrais, presença em decisões críticas de tecnologia. Custo: R$ 3–5k/mês. Viável para PME média com complexidade alta.
A maioria da PME começa com Modelo 1 ou 2 e migra para 3 conforme cresce ou quando cliente exige.
Erros comuns que donos de PME cometem com DPO
Erro 1: "Só empresa grande precisa de DPO." Falso. PME pequena com dados sensíveis (consultório, serviço financeiro) também é obrigada. ANPD fiscaliza PME.
Erro 2: "Advogado é melhor que contador como DPO." Falso. Qualquer pessoa com conhecimento de LGPD pode ser DPO — contador, advogado, gerente administrativo, ou especialista em privacidade. O importante é conhecimento, não título.
Erro 3: "Dono não pode ser DPO." Falso. Lei permite dono ser DPO se PME é pequena. A questão é: há conflito de interesse? Em PME solo, não há.
Erro 4: "DPO é caríssimo, não dá para PME." Falso. Auto-responsabilidade custa zero. DPO acumulado custa praticamente zero (pessoa já é paga). DPO part-time externo custa R$ 1.5–2.5k/mês — viável para PME que já fatura.
Erro 5: "DPO elimina responsabilidade da empresa." Falso. DPO é supervisor de conformidade, não é responsável único. A empresa inteira é responsável. DPO ajuda a reduzir risco, não elimina.
Como decidir se você precisa de DPO formal
Faça essas perguntas:
1. Você trata dados sensíveis? Se sim: DPO é recomendado mesmo em PME pequena.
2. Você coleta dados de milhares de pessoas? Se sim: DPO é recomendado ou obrigatório.
3. Seu cliente grande (B2B) exigiu DPO? Se sim: designar DPO é condição de contrato. Pode ser acumulado (contador).
4. Você quer reduzir risco reputacional? Se sim: ter responsável por LGPD (mesmo acumulado) protege marca.
5. Você é solo ou tem menos de 10 pessoas? Se sim: auto-responsabilidade ou DPO acumulado é suficiente.
6. Você cresce rápido ou planeja trazer investidor? Se sim: estruturar LGPD profissionalmente desde agora economiza custo depois.
Se respondeu "sim" para 2+ perguntas acima: considerar DPO é prudente. Se respondeu "não" para todas: você ainda precisa de responsável por LGPD, mas pode ser super simples (você mesmo).
Sinais de que sua empresa precisa avaliar DPO agora
Se você se reconhece em três ou mais cenários abaixo, é hora de estruturar responsabilidade por LGPD:
- Cliente grande pediu que vocês tivessem DPO ou certificação LGPD
- Você trata dados sensíveis (saúde, biometria, dados financeiros) e não tem documentação de conformidade
- Você coleta dados em escala (WhatsApp com centenas de clientes, CRM com bases grandes) e não sabe onde estão guardados
- Você já recebeu reclamação de cliente sobre privacidade ou vazamento
- Sua operação envolveu terceiros (agência, freelancer) acessando dados de cliente sem contrato claro
- Você ouvi falar de multa LGPD em empresa do seu setor e ficou preocupado
- Você está em crescimento rápido e quer estruturar conformidade antes de virar problema
Caminhos para avaliar e designar DPO
Você pode estruturar isso sozinho em poucas horas, ou com ajuda especializada. Aqui estão as duas rotas:
Você responde as seis perguntas acima, avalia se precisa de DPO formal. Se não precisa: documentar auto-responsabilidade em uma página (quem cuida de LGPD, como dados são armazenados, política de privacidade). Se precisa: nomear alguém da equipe por escrito como responsável.
- Perfil necessário: Dono que dedica 2–4 horas; ou gerente que pode ler artigos sobre LGPD e cumprir tarefas básicas.
- Tempo estimado: 2–4 horas para primeira avaliação; 30 minutos/mês para manutenção (responder solicitação de direito do titular, revisar política).
- Faz sentido quando: Você é solo, opera de forma simples, não trata dados sensíveis, não tem cliente exigindo DPO.
- Risco principal: Autodidatismo: você pode deixar gaps de conformidade sem saber. ANPD não avisa antes de fiscalizar.
Consultor LGPD avalia sua operação, identifica se DPO é obrigatório, estrutura designação formal, redige documentação básica (política, consentimento), treina seu time. Você fica com conformidade documentada e assessoria contínua.
- Tipo de fornecedor: Consultoria LGPD, Consultoria de Compliance, Advogado especializado em LGPD, BPO de conformidade.
- Vantagem: Avaliação profissional de risco, documentação pronta, acesso a benchmarks, reduz chance de erro.
- Faz sentido quando: Você trata dados sensíveis, cliente exigiu DPO, operação é complexa, você quer certeza de conformidade.
- Resultado típico: Designação de DPO formalizada em 2–4 semanas, documentação de LGPD básica, plano de ação para gaps.
Sua PME já fez uma auditoria LGPD, mesmo que simples?
Se você processa dados de cliente ou tem equipe acessando informação sensível, avaliar conformidade LGPD é crítico. Na oHub, você se conecta com consultores especializados em LGPD, advogados de privacidade e especialistas em compliance que já ajudaram centenas de PMEs a estruturar DPO e conformidade. Sem custo inicial, sem compromisso.
Encontrar fornecedores de PME no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Quando é obrigatório ter DPO?
É obrigatório se: você é órgão público, trata dados em larga escala, trata dados sensíveis de qualquer volume, faz vigilância com câmeras, ou monitora pessoas sistematicamente. Para maioria da PME pequena, DPO não é obrigatório — mas pode ser recomendado.
PME pequenininha precisa de DPO?
Não, a menos que trate dados sensíveis. Se você é solo coletando dados básico de cliente para nota fiscal, não precisa de DPO formal. Você precisa cumprir LGPD, mas o responsável pode ser você mesmo.
Pode dono ser DPO?
Sim. Em PME pequena, dono pode ser DPO se não há conflito de interesse. A lei não proíbe. O importante é que alguém seja responsável e documentado.
Quanto custa DPO para PME?
Auto-responsabilidade: zero. DPO acumulado (contador ou gerente): R$ 0–500/mês. DPO part-time externo: R$ 1.5–2.5k/mês. DPO full-time externo: R$ 3–5k/mês. Custa o quanto você quer investir.
DPO pode ser terceirizado?
Sim. Você contrata consultor LGPD ou advogado para ser seu DPO externo, dedicando horas por mês. Você assina contrato formalizando designação. A responsabilidade permanece sua, mas você tem assessoria.
Qual é a responsabilidade de DPO?
Informar empresa sobre obrigações LGPD, monitorar conformidade, servir como ponto de contato com ANPD, responder solicitações de direito do titular (ex.: "quero ver meus dados"), documentar tudo. DPO é supervisor, não é responsável único — empresa inteira é responsável.
Fontes e referências
- Brasil. Lei 13.709/18 (Lei Geral de Proteção de Dados Pessoais). Art. 5º, X — Definição de DPO. 2018.
- ANPD — Autoridade Nacional de Proteção de Dados. Resoluções e Orientações sobre Designação de DPO. 2020–2024.
- ANPD — Relatório de Notificações e Multas por Porte de Empresa. 2023–2024.
- SEBRAE — LGPD para PME: Guia Prático de Obrigações e Implementação. 2023.