Como este tema funciona no porte da sua empresa
DPO não é obrigatório (pouco dado, baixo risco). Recomendação: designar "responsável por dados" (pode ser dono ou contador) com responsabilidades documentadas em ata.
DPO pode virar obrigatório se: processa dado pessoal em escala (CRM com 1000+ clientes), ou dado sensível (saúde, financeiro). Se não enquadra, DPO as a Service é opção (R$ 1-3k/mês, mais barato que interno).
DPO quase sempre recomendado, às vezes obrigatório. Pode ser interno (dedicado ou part-time) ou externo (terceirizado/as a Service). Avaliação de risco define se precisa 100% dedicado.
DPO (Data Protection Officer / Encarregado de Dados) é pessoa ou estrutura responsável por monitorar conformidade LGPD, ser ponto de contato com ANPD, documentar bases legais de dados, responder direitos de titulares. Não é advogado nem gerente de TI; é coordenador de conformidade de dados.
Como isso muda conforme o tipo de negócio
Alto risco (muitos clientes, CPF, cartão). DPO é recomendado (as a Service mínimo, dedicado preferível).
Médio risco (dados de saúde sensível: consultório, salão, academia). DPO é recomendado a obrigatório.
Baixo risco (contatos profissionais, menos sensível). DPO é recomendado, não obrigatório. Advogado de LGPD pode ser suficiente.
Médio risco (contatos profissionais, mas volume significativo). DPO é recomendado se escala é grande.
Muito alto risco (seu produto processa dado de cliente; você é responsável pela LGPD do cliente). DPO é obrigatório (dedicado).
Quando DPO é obrigatório vs recomendado (Art. 41 LGPD)
LGPD não tem número mágico "X contatos = obrigatório". ANPD orienta "caso a caso". Critérios: volume de dados, tipo de dados (sensível ou não), tipo de tratamento (automático ou não), frequência, retenção, risco para titular.
Obrigatório (quase sempre): Processador de dados em grande escala (SaaS, e-commerce com 100k+ clientes). Dados sensíveis de saúde, financeiro. Monitoramento automático (algoritmos, scoring). Risco alto para direitos de pessoa.
Recomendado (melhor prática): Pequena empresa (10-49 pessoas) com dados em escala (CRM 1k+ contatos). Comércio B2C. Consultório com dados sensível de saúde. Melhor ter DPO designado (pode ser you) do que deixar gap.
Dispensável (mas documentar): Solo (até 9) com <100 contatos. Serviço B2B puro (contatos profissionais, não sensível). Mas documentar que avaliou e decidiu não ter DPO.
Opções práticas: designar DPO sem custo proibitivo
1. Dono/contador acumula com responsabilidade documentada: Custo: R$ 0-500/mês. Você (dono) é DPO de facto. Documenta em ata de decisão que é responsável por conformidade. Para solo/pequena com risco baixo-médio, é viável.
2. DPO externo freelancer/consultora: Custo: R$ 1-3k/mês. Pessoa especialista em LGPD fica responsável. Part-time, não dedicado. Bom para pequena empresa.
3. DPO as a Service (empresa especializada): Custo: R$ 1-5k/mês. Serviço escalável. Você paga "por demanda" (respostas a direitos de titulares, etc.). Bom para pequena/média.
4. DPO dedicado interno: Custo: R$ 5-15k/mês. Pessoa full-time. Só para média empresa (50+). Integrada na estrutura de compliance.
Recomendação para PME: comece com opção 2 (DPO externo part-time, R$ 1-3k/mês) ou 3 (as a Service). Depois evolua se crescer.
O que DPO faz (responsabilidades concretas)
Mapear dados tratados (inventário: qual dado você coleta, de quem, para quê). Documentar base legal (consentimento, contrato, interesse legítimo para cada dado). Estabelecer política de privacidade (website). Treinar time (comportamento LGPD). Responder a pedidos de titulares (acessar, deletar, corrigir; prazo 15 dias). Comunicar incidentes (vazamento de dados; dever ANPD). Cooperar com ANPD (se eles questionarem).
DPO NÃO é: responsável 100% por cumprimento (é empresa, não DPO); tomador de decisão de negócio (advogado faz isso); gerente de TI (segurança é TI, conformidade é DPO).
Como comunicar à ANPD que tem DPO (se obrigatório)
Se enquadra em "obrigatório", enviar formulário de "Comunicação de DPO" ao gov.br/anpd. Simples, rápido (5 min). Preenche: nome da empresa, nome DPO, email DPO, método de contato. Pronto; você está registrado.
Se não obrigatório: não precisa comunicar. Mas documentar internamente que avaliou.
Erros comuns sobre DPO (cuidado!)
Erro 1: "Contratei advogado, pronto". Não. Advogado não é DPO. Advogado responde questões legais (multa, processo). DPO responde questões de conformidade operacional (base legal, data mapping, direitos titulares).
Erro 2: "Tenho um estagiário monitorando". Insuficiente. DPO precisa de autoridade e responsabilidade, não é junior. Pode ser você (dono), ou especialista (advogado LGPD, consultor).
Erro 3: "Só preciso de DPO se sofrer ataque". Não. DPO é prevenção contínua, não reação a crise. Antes de vazamento, você mapeia, documenta, treina, previne.
Erro 4: "DPO é gasto que não vejo ROI". Verdade parcial. DPO não gera receita direto. Mas evita multa (até R$ 50M), evita crise de reputação (cliente confiante), evita parar operação (conformidade é silent; não conformidade é barulhenta).
Sinais de que sua empresa precisa designar DPO agora
Se você se reconhece em três ou mais cenários abaixo, DPO designado é urgência:
- A gente não sabe se precisa de DPO (essa dúvida = sinal)
- Estamos em dúvida entre DPO interno ou terceirizado
- Temos consultoria jurídica mas ninguém dedicado a LGPD
- Recebemos correspondência da ANPD e não sabemos responder
- Queremos formalizar compliance mas não temos orçamento para DPO full-time
- Crescemos e não sabemos mais se ainda é "opcional"
- Temos medo de multa LGPD mas não sabemos por onde começa
Caminhos para designar DPO
Você pode fazer decisão interna (mais barato) ou com assessoria (mais seguro).
Dono/contador designa-se ou designa alguém (com treinamento) como DPO ou "responsável por dados". Documentar em ata.
- Perfil necessário: Você (dono) ou contador, com 5h/mês livres para conformidade.
- Tempo estimado: 1 semana (documentação, ata, comunicação ANPD se obrigatório).
- Faz sentido quando: Você tem risco baixo, operação é simples, quer economia.
- Risco principal: DPO "informal" deixar gaps; depois descobrir lacunas em auditoria.
Advogado/consultor de LGPD faz auditoria inicial (define se DPO é obrigatório), depois designa DPO externo ou estrutura conformidade.
- Tipo de fornecedor: Advogado especialista em LGPD, consultor de compliance, consultoria de segurança.
- Vantagem: Expertise legal, documentação robusta, suporte se ANPD questionar.
- Faz sentido quando: Você tem risco médio-alto, quer certeza, dados são sensíveis.
- Resultado típico: Auditoria em 1-2 semanas, decisão de DPO (interno/externo) em 3 semanas, implementação em 4-6 semanas.
Sua PME já identificou quem é responsável por dados pessoais?
Se resposta é "não", designação formal é primeiro passo. Na oHub, consultores de LGPD e advogados ajudam a estruturar DPO sem custo inicial, sem compromisso.
Encontrar fornecedores de PME no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Minha PME precisa de DPO?
Depende de porte e risco. Solo com <100 contatos: não obrigatório. Pequena com 1k+ contatos ou dados sensível: recomendado. Média: quase sempre recomendado. Melhor consultar advogado LGPD.
Qual é o custo de um DPO na PME?
Dono/contador acumula: R$ 0-500/mês. DPO freelancer: R$ 1-3k/mês. DPO as a Service: R$ 1-5k/mês. DPO dedicado interno: R$ 5-15k/mês (só média).
Dono pode ser DPO da própria empresa?
Sim. Lei não proíbe. Você precisa de responsabilidade documentada em ata, conhecimento básico LGPD (ou treinamento), 5-10h/mês livres. Para risco baixo, funciona.
Como contratar DPO as a Service?
Busca consultoria de LGPD, descreve sua operação (tamanho, dados, tipo de negócio), ela propõe modelo (dedicado ou as a Service), você negocia valor e escopo.
Fontes e referências
Disclaimer: Este conteúdo é informativo. Para sua situação específica, consulte um advogado especialista em LGPD.