DPO as a Service: Encarregado de Dados Terceirizado conforme a LGPD
Resposta direta
DPO as a Service (DPOaaS) é a contratação de um encarregado de proteção de dados terceirizado — profissional ou equipe externa que assume as atribuições do art. 41 da LGPD (Lei 13.709/2018): operar o canal de atendimento ao titular, responder requisições, conduzir o relacionamento com a ANPD e orientar a empresa. É a alternativa para organizações que precisam cumprir a obrigação legal de indicar um encarregado sem manter o cargo internamente. A Resolução CD/ANPD nº 18/2024 confirma expressamente que esse encarregado pode ser pessoa jurídica externa.
Principais conclusões
- ›A indicação de um encarregado (DPO) é exigência expressa do art. 41 da LGPD para controladores; a ANPD detalhou a função na Resolução CD/ANPD nº 18/2024, que permite que o papel seja exercido por pessoa natural ou jurídica, interna ou externa.
- ›O DPO as a Service entrega as quatro atribuições legais do art. 41, §2º: aceitar reclamações e comunicações de titulares, receber comunicações da ANPD, orientar funcionários sobre boas práticas e executar as demais funções determinadas pelo controlador.
- ›Em incidente de segurança, a Resolução CD/ANPD nº 15/2024 fixa prazo de 3 dias úteis (dobrado para 6 dias úteis no caso de agentes de pequeno porte) para comunicar ANPD e titulares quando houver risco relevante — paralelo brasileiro às 72 horas do GDPR — e exige manter registro de todos os incidentes por no mínimo 5 anos.
- ›A Resolução CD/ANPD nº 18/2024 obriga o encarregado a declarar situações de conflito de interesse e o agente de tratamento a mitigá-las; o DPO terceirizado resolve estruturalmente esse conflito ao ser um terceiro sem agenda interna, com independência, multidisciplinaridade e disponibilidade de equipe (jurídico + segurança da informação) por fração do custo de um cargo sênior.
- ›Na Decripte, o DPOaaS integra-se ao monitoramento de vazamentos do Intelligence Center: quando credenciais ou bases da empresa aparecem em fontes de inteligência, o encarregado é acionado para avaliar a obrigação de notificação à ANPD e aos titulares dentro da janela de 3 dias úteis.
O que é o encarregado de dados (DPO) e o que diz a LGPD
O encarregado pelo tratamento de dados pessoais é definido no art. 5º, inciso VIII, da Lei 13.709/2018 (LGPD) como a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O termo brasileiro "encarregado" corresponde ao Data Protection Officer (DPO) do Regulamento Geral de Proteção de Dados europeu (GDPR), e por isso os mercados usam as duas palavras de forma intercambiável. É importante fixar desde já a distinção técnica: o controlador é quem toma as decisões sobre o tratamento; o operador é quem trata dados em nome do controlador; e o encarregado é a figura de governança que faz a ponte entre a organização, as pessoas cujos dados são tratados e o regulador. O encarregado não é o "dono" dos dados nem responde sozinho pelas decisões da empresa — ele é o ponto focal de prestação de contas (accountability).
O coração das atribuições está no art. 41 da LGPD. O caput determina que o controlador deve indicar um encarregado, e o §1º exige que a identidade e as informações de contato dessa pessoa sejam divulgadas publicamente, de forma clara e objetiva, preferencialmente no site do controlador. Na prática, é por isso que organizações maduras mantêm um e-mail do tipo [email protected] e uma página "Privacidade" com o canal de contato. O §2º enumera quatro atividades mínimas: (i) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; (ii) receber comunicações da ANPD e adotar providências; (iii) orientar os funcionários e contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e (iv) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. Esse §2º é o roteiro funcional de qualquer serviço de DPOaaS sério.
Por anos a LGPD foi vaga sobre quem podia ser encarregado e como a função deveria operar. Isso mudou com a Resolução CD/ANPD nº 18, de 16 de julho de 2024, que aprovou o Regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais. O regulamento confirmou pontos decisivos para o modelo terceirizado: o encarregado pode ser pessoa natural ou pessoa jurídica, e pode integrar o quadro da organização ou ser externo (contratado). Estabeleceu também que a indicação deve ser formalizada por ato do agente de tratamento que especifique as atividades e formas de atuação, que o exercício da função não pressupõe registro em qualquer entidade nem certificação obrigatória — mas exige conhecimento da legislação de proteção de dados e qualificação adequada ao contexto, ao volume e ao risco do tratamento — e que ao encarregado deve ser assegurada autonomia técnica, com acesso direto à mais alta administração do agente.
Vale entender também o que o encarregado não é, para evitar uma armadilha comum: o conflito de interesses. O texto literal da LGPD não traz a vedação explícita que o GDPR impõe ao DPO no art. 38.6 (que proíbe acumular funções que determinem as finalidades e os meios do tratamento). A Resolução CD/ANPD nº 18/2024, porém, fechou essa lacuna no plano infralegal: ela obriga o encarregado a declarar situações que possam configurar conflito de interesse e impõe ao agente de tratamento o dever de adotar medidas para evitá-lo — não designar a pessoa, implementar mitigações ou substituir o encarregado. Combinada com a exigência de autonomia técnica, a regra desencoraja na prática que o encarregado seja a mesma pessoa que decide as finalidades do tratamento — por exemplo, o diretor de marketing que define campanhas, ou o gestor de TI que escolhe os bancos de dados. Quando o encarregado precisa fiscalizar e orientar uma área da qual ele próprio é o decisor, a independência fica comprometida. É precisamente esse o problema estrutural que o DPO as a Service resolve ao trazer um terceiro sem agenda interna.
Quando contratar um DPO: obrigatório, recomendado e o erro de "deixar para depois"
A primeira pergunta de todo decisor é "sou obrigado a ter um encarregado?". Pela leitura do art. 41 da LGPD, a indicação do encarregado é obrigatória para o controlador, sem distinção inicial de porte. Há, porém, uma calibragem importante: o art. 55-J, XVIII, da LGPD autorizou a ANPD a estabelecer normas simplificadas para agentes de pequeno porte, e a Resolução CD/ANPD nº 2/2022 dispensou microempresas, empresas de pequeno porte, startups, pessoas naturais e entes privados sem fins lucrativos enquadrados como agentes de tratamento de pequeno porte da obrigação de indicar encarregado — desde que disponibilizem um canal de comunicação com o titular (art. 41, §2º, I). Ou seja: mesmo o pequeno agente dispensado da figura formal precisa manter um canal de atendimento. Fora desse recorte de pequeno porte, a regra geral do art. 41 incide e a indicação é exigível.
Independentemente da obrigatoriedade formal, existem cenários em que ter um encarregado deixa de ser "recomendável" e passa a ser uma necessidade operacional concreta. São eles: tratamento de dados pessoais sensíveis em escala (saúde, biometria, origem racial, convicção religiosa, dado genético, conforme art. 5º, II); tratamento de dados de crianças e adolescentes (art. 14, que exige o melhor interesse e, para crianças, consentimento específico e em destaque de ao menos um dos pais ou do responsável legal); operações de monitoramento regular e sistemático de titulares (perfilamento, scoring, vigilância); empresas que transferem dados internacionalmente; e organizações que sofreram ou estão expostas a incidentes de segurança. Esse rol não é coincidência — ele espelha os critérios do art. 35 do GDPR para quando o relatório de impacto é exigível e os critérios do art. 37 do GDPR para a designação obrigatória de DPO, que servem de referência interpretativa madura para o regulador brasileiro.
Setores regulados elevam ainda mais o patamar. Instituições financeiras e de pagamento supervisionadas pelo Banco Central acumulam a LGPD com a Resolução CMN nº 4.893/2021 e a Resolução BCB nº 85/2021 (política de segurança cibernética e requisitos para contratação de processamento e armazenamento de dados em nuvem), além do arcabouço do Open Finance. Nesses ambientes, o encarregado precisa dialogar com a estrutura de gestão de riscos, com o diretor responsável pela segurança cibernética e com os deveres de comunicação de incidentes ao próprio Bacen — uma sobreposição regulatória que poucos profissionais isolados dominam. É um dos motivos pelos quais a Decripte mantém uma trilha específica de regulação para o setor financeiro em /regulacao/bacen, articulada ao DPOaaS.
O erro mais caro é tratar o encarregado como formalidade tardia — "colocamos um nome quando precisar". A primeira sanção aplicada pela ANPD, publicada em julho de 2023, foi exatamente contra uma microempresa de telecomunicações (Telekall Infoservice) por, entre outras condutas, tratar dados sem base legal e não ter indicado encarregado. A multa, de R$ 14.400 (calculada no teto de 2% do faturamento da empresa), é modesta em valor absoluto, mas didática no recado: a ausência de encarregado e de governança mínima é uma das primeiras coisas que o regulador verifica. A dosimetria das sanções é regida pela Resolução CD/ANPD nº 4/2023 (Regulamento de Dosimetria), que considera, como atenuante, a adoção de boa-fé, de política de boas práticas e governança e a pronta cooperação — todos elementos que um DPO ativo produz e documenta. Em outras palavras, o encarregado não é só obrigação: é a evidência que reduz a sua exposição quando algo dá errado.
Coloque um encarregado de dados que existe de verdade — com canal do titular, RIPD, notificação de incidentes em 3 dias úteis e relação com a ANPD — sem o custo de um cargo sênior interno. Conheça o plano de Segurança Normativa (LGPD, vCISO e DPOaaS) da Decripte e comece com um diagnóstico de conformidade gratuito.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
O que o DPO as a Service entrega na prática
Um serviço de DPOaaS bem desenhado materializa as atribuições do art. 41 em processos auditáveis, não em um nome em um rodapé. O primeiro entregável é a operação do canal de atendimento ao titular: um endereço de contato (e-mail dedicado e, idealmente, um formulário no site) publicado de forma clara, com fluxo definido de triagem, registro e resposta. Esse canal recebe e processa as requisições de direitos do titular previstas no art. 18 da LGPD — confirmação da existência de tratamento, acesso aos dados, correção, anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade, portabilidade, informação sobre compartilhamentos e revogação de consentimento. A LGPD não fixa um prazo geral único para todas as respostas, mas estabelece prazos específicos (por exemplo, confirmação de existência ou acesso em formato simplificado de forma imediata, ou em até 15 dias para a declaração clara e completa do tratamento, na forma do art. 19, I e II). Um DPO terceirizado mantém um SLA interno, controla a contagem desses prazos e produz a trilha de evidência de cada atendimento.
O segundo bloco é o Relatório de Impacto à Proteção de Dados Pessoais (RIPD), o equivalente brasileiro do DPIA (Data Protection Impact Assessment) do art. 35 do GDPR. O RIPD está previsto no art. 5º, XVII, e no art. 38 da LGPD: é o documento que descreve os processos de tratamento que podem gerar riscos às liberdades civis e aos direitos fundamentais, contendo medidas, salvaguardas e mecanismos de mitigação. Na prática, o encarregado conduz a identificação das operações de alto risco — tratamento de dados sensíveis, perfilamento, decisões automatizadas, monitoramento em larga escala — e estrutura a análise de necessidade e proporcionalidade. O RIPD é também o artefato que a ANPD pode solicitar (art. 38, caput), de modo que tê-lo pronto e atualizado é simultaneamente boa governança e blindagem regulatória. Esse trabalho exige método: a Decripte ancora o RIPD em frameworks reconhecidos, como o NIST Privacy Framework e a ISO/IEC 29134 (metodologia de avaliação de impacto de privacidade).
O terceiro bloco é a gestão de incidentes e a notificação. Quando há um incidente de segurança com dados pessoais que possa acarretar risco ou dano relevante aos titulares, o controlador deve comunicar à ANPD e ao titular — e essa comunicação passa pelo encarregado. A Resolução CD/ANPD nº 15, de 24 de abril de 2024, fixou o prazo de 3 dias úteis, contados do conhecimento de que o incidente afetou dados pessoais, para a comunicação à ANPD e aos titulares (com possibilidade de complementação fundamentada em até 20 dias úteis quando ainda não se tem todas as informações; o prazo é contado em dobro, 6 dias úteis, para agentes de pequeno porte), além de exigir a manutenção de um registro de todos os incidentes — comunicados ou não — por no mínimo 5 anos. Esse prazo de 3 dias úteis é o paralelo brasileiro às 72 horas do art. 33 do GDPR. Um DPO as a Service entra no incidente já com o playbook pronto: avaliação do risco relevante, redação da comunicação à ANPD pelo canal oficial, redação da comunicação aos titulares afetados em linguagem clara e registro defensável de toda a decisão.
Completam o escopo o relacionamento institucional com a ANPD (receber e responder ofícios, conduzir eventuais procedimentos), os treinamentos e a cultura de privacidade (orientação de funcionários e contratados, conforme o art. 41, §2º, III — desde o time de vendas que coleta dados até o desenvolvedor que projeta um formulário), e a manutenção do programa de governança em privacidade do art. 50 da LGPD: políticas, registro das operações de tratamento (ROPA — Records of Processing Activities, espelho do art. 30 do GDPR), revisão de contratos com operadores e cláusulas de tratamento, e mapeamento de bases legais do art. 7º (para dados pessoais) e do art. 11 (para dados sensíveis). O DPOaaS, em resumo, não é um consultor que entrega um relatório e some — é uma função contínua que mantém a empresa em conformidade ao longo do tempo.
DPO interno versus DPO as a Service: critérios objetivos de decisão
A escolha entre montar um cargo interno e contratar um DPO terceirizado não é ideológica — é uma decisão de custo, risco e maturidade. O DPO interno faz sentido quando a organização trata dados pessoais como atividade-fim em altíssima escala (uma big tech, um grande banco, uma operadora de saúde nacional), quando há volume de requisições e incidentes que justifica dedicação integral, e quando a empresa já dispõe de uma estrutura jurídica e de segurança da informação madura para dar suporte à função. Nesses casos, a proximidade diária com o negócio e a profundidade de contexto compensam o custo de um profissional sênior, que no Brasil dificilmente sai por menos de uma faixa salarial elevada quando se exige a combinação rara de domínio jurídico, técnico e de governança.
O DPO as a Service é a escolha racional para a esmagadora maioria das empresas de pequeno e médio porte e para boa parte das de grande porte cuja atividade-fim não é o tratamento de dados. As vantagens são concretas e mensuráveis. Primeiro, multidisciplinaridade: um bom serviço entrega uma equipe (advogado especializado em proteção de dados + profissional de segurança da informação + analista de governança), não uma pessoa só, cobrindo as três dimensões que a função exige. Segundo, independência estrutural: por ser externo, o encarregado não está subordinado ao gestor de TI ou de marketing cujas decisões ele precisa fiscalizar, dissolvendo o conflito de interesse que a Resolução CD/ANPD nº 18/2024 manda declarar e mitigar. Terceiro, continuidade: o serviço não tira férias, não pede demissão e não deixa a função vaga — um risco real quando o encarregado é uma única pessoa interna.
Há ainda a economia de escala e a curva de aprendizado já paga. Um provedor de DPOaaS atende dezenas de organizações, o que significa que ele já viu o incidente que vai acontecer com você, já redigiu a resposta ao ofício que a ANPD vai mandar e já tem os modelos de RIPD, de ROPA e de comunicação de incidente prontos e testados. Isso se traduz em tempo de resposta menor e em decisões mais seguras nos momentos críticos — justamente quando a janela de 3 dias úteis da Resolução nº 15/2024 está correndo. O custo de um DPOaaS é tipicamente uma fração do custo total (salário, encargos, estrutura, ferramentas) de um cargo interno equivalente, e é uma despesa previsível e contratável.
Existe um ponto de atenção honesto: o DPO terceirizado depende de uma boa interface com a organização. Ele não substitui a responsabilidade da empresa — o controlador continua sendo o responsável legal pelas decisões de tratamento e pela conformidade, e a Resolução nº 18/2024 deixa claro que a indicação do encarregado não transfere essa responsabilidade. O DPOaaS funciona quando há um ponto de contato interno que lhe dá acesso a sistemas, processos e à alta administração, e quando a empresa trata as orientações do encarregado como insumo de decisão, não como burocracia descartável. Bem implementado, é o arranjo que entrega o máximo de conformidade pelo menor custo e risco; mal implementado — sem acesso, sem cooperação interna —, vira apenas um nome no rodapé, exatamente o que o modelo deveria evitar. É por isso que a Decripte estrutura o DPOaaS como função contínua acoplada à governança do cliente, e não como mero registro formal.
Comece pelo diagnóstico gratuito e entenda o seu risco real antes de investir.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Como a Decripte opera o DPO as a Service
Na Decripte, o DPO as a Service não é um produto isolado: é a camada de governança do plano de Segurança Normativa, que reúne LGPD, vCISO e DPOaaS em uma mesma frente. O ciclo começa com um diagnóstico — mapeamento das operações de tratamento, identificação das bases legais do art. 7º e do art. 11, levantamento das lacunas (ROPA inexistente, ausência de política de privacidade, contratos com operadores sem cláusula de tratamento) e priorização por risco. A partir daí, o encarregado externo assume formalmente, por ato de indicação do controlador, e passa a operar o canal do titular, o registro de requisições, o relacionamento com a ANPD e o ciclo de RIPD — sempre com a autonomia técnica e o acesso à alta administração que a Resolução nº 18/2024 exige.
O diferencial técnico está na integração com a inteligência da própria Decripte. O Intelligence Center monitora continuamente fontes de inteligência em busca de credenciais, bases de dados e menções à organização que tenham vazado. Quando um achado relevante aparece — por exemplo, um conjunto de e-mails corporativos e senhas em um stealer log, ou uma base de clientes exposta —, o encarregado é acionado de imediato para o que realmente importa: avaliar se o evento configura incidente de segurança com risco relevante aos titulares e, em caso positivo, disparar o playbook de notificação dentro da janela de 3 dias úteis. Essa ponte entre detecção (segurança) e dever legal de comunicar (privacidade) é precisamente o ponto cego das abordagens que tratam o DPO como função apenas jurídica.
O escopo recorrente do serviço inclui a manutenção viva do programa de governança em privacidade do art. 50: revisão periódica do ROPA, atualização das políticas, condução de RIPDs para novos projetos de tratamento, treinamento de equipes, revisão de contratos com fornecedores e operadores, e a produção da trilha de evidência que sustenta os atenuantes da Resolução de Dosimetria (nº 4/2023) caso a empresa seja questionada. Para clientes de setores regulados — sobretudo instituições financeiras e de pagamento —, o DPOaaS é articulado com a trilha de regulação Bacen, garantindo que os deveres da LGPD conversem com a Resolução BCB nº 85/2021, a Resolução CMN nº 4.893/2021 e o Open Finance sem duplicar esforço.
O resultado prático é uma função de encarregado que existe de verdade — com gente, processo e evidência — em vez de um nome cadastrado para cumprir tabela. Para a empresa, isso significa três coisas mensuráveis: um canal do titular que responde dentro dos prazos legais, um conjunto de artefatos (ROPA, RIPD, política, registro de incidentes por 5 anos) pronto para apresentar à ANPD a qualquer momento, e um tempo de resposta a incidentes que cabe na janela de 3 dias úteis. É a diferença entre estar formalmente em conformidade e estar efetivamente protegido quando o regulador — ou o atacante — chega.
Erros comuns e mitos sobre o encarregado de dados
O primeiro mito é confundir DPO com advogado. A proteção de dados é uma disciplina híbrida: exige base jurídica para interpretar a LGPD e suas resoluções, mas também conhecimento técnico de segurança da informação para avaliar se um incidente acarreta risco relevante, entender o que é um stealer log, ou opinar sobre criptografia e anonimização. Um encarregado puramente jurídico erra na avaliação técnica de incidentes; um puramente técnico erra na qualificação legal das obrigações. É por isso que o modelo de equipe — inerente ao DPOaaS — tende a superar o profissional isolado: cobre as duas pernas que a função real exige.
O segundo mito é acreditar que indicar um encarregado, por si só, resolve a conformidade. A indicação é a porta de entrada, não a chegada. Sem ROPA, sem mapeamento de bases legais, sem política de retenção, sem contratos de operador ajustados e sem registro de incidentes, o encarregado vira uma fachada. A Resolução nº 18/2024 é explícita ao exigir que ao encarregado se garanta autonomia técnica e acesso à alta administração — ou seja, condições reais de trabalho, não apenas um nome formal. Empresas que tratam o cargo como checkbox descobrem o problema no pior momento possível: durante uma fiscalização da ANPD ou na resposta a um incidente, quando a ausência de governança fica documentalmente exposta.
O terceiro mito é o de que "a ANPD ainda não fiscaliza, então dá para esperar". A trajetória recente desmente: a autoridade publicou as resoluções de incidentes (nº 15/2024), de atuação do encarregado (nº 18/2024), de dosimetria de sanções (nº 4/2023) e já aplicou sanções concretas, sinalizando um regime de enforcement em amadurecimento. Mais relevante do que a multa em si é a lógica da dosimetria: a existência de um programa de governança e de boa-fé documentada é atenuante; a ausência delas é a primeira fragilidade que o regulador encontra. O encarregado ativo não é custo de conformidade — é redutor de risco regulatório e de exposição financeira.
O quarto mito é separar privacidade de segurança como se fossem mundos distintos. Na prática, a maioria das obrigações críticas da LGPD — notificação de incidente, avaliação de risco relevante, medidas técnicas do art. 46 — nasce de eventos de segurança. Um vazamento de credenciais detectado por inteligência de ameaças é, ao mesmo tempo, um problema de segurança e o gatilho de um dever legal de privacidade. Tratar as duas áreas em silêmes atrasa a resposta e estoura prazos. O arranjo que funciona é aquele em que o encarregado está plugado na detecção — exatamente o desenho que a Decripte adota ao acoplar o DPOaaS ao monitoramento do Intelligence Center.
Termos-chave
- Encarregado de Dados (DPO)
- Pessoa natural ou jurídica indicada pelo controlador (art. 5º, VIII, da LGPD) para atuar como canal de comunicação entre a organização, os titulares dos dados e a ANPD. Equivale ao Data Protection Officer (DPO) do GDPR.
- DPO as a Service (DPOaaS)
- Modelo de contratação do encarregado como serviço externo terceirizado, em que uma empresa ou equipe especializada assume as atribuições do art. 41 da LGPD sem que a organização mantenha o cargo internamente. Expressamente autorizado pela Resolução CD/ANPD nº 18/2024.
- RIPD (Relatório de Impacto à Proteção de Dados Pessoais)
- Documento previsto no art. 5º, XVII, e art. 38 da LGPD que descreve os processos de tratamento capazes de gerar riscos a direitos e liberdades, com medidas de mitigação. Equivale ao DPIA (Data Protection Impact Assessment) do art. 35 do GDPR.
- Resolução CD/ANPD nº 18/2024
- Regulamento da ANPD, de 16 de julho de 2024, sobre a atuação do encarregado. Confirma que ele pode ser pessoa natural ou jurídica, interna ou externa; exige autonomia técnica e acesso à alta administração; e obriga a declaração e mitigação de conflitos de interesse.
- Resolução CD/ANPD nº 15/2024
- Regulamento de comunicação de incidentes de segurança, de 24 de abril de 2024. Fixa prazo de 3 dias úteis (6 para pequeno porte) para comunicar ANPD e titulares em caso de risco relevante e exige guarda do registro de incidentes por ao menos 5 anos.
- ROPA (Records of Processing Activities)
- Registro das operações de tratamento de dados pessoais, exigido no contexto do art. 37 da LGPD e do programa de governança do art. 50. É o espelho brasileiro do art. 30 do GDPR e inventaria quais dados a empresa trata, para quê e com quem compartilha.
- Agente de tratamento de pequeno porte
- Categoria criada pela Resolução CD/ANPD nº 2/2022 (microempresa, EPP, MEI, startup, entes sem fins lucrativos enquadrados). É dispensada da obrigação de indicar encarregado, desde que mantenha um canal de comunicação com o titular.
Por onde começar
- Mapeie suas operações de tratamento: levante quais dados pessoais a empresa coleta, com qual finalidade, sob qual base legal (art. 7º para dados comuns, art. 11 para sensíveis) e com quem compartilha, montando o ROPA.
- Verifique sua obrigação: confirme se você se enquadra como agente de pequeno porte (dispensado da figura formal, mas obrigado ao canal do titular) ou se a regra geral do art. 41 incide e a indicação do encarregado é exigível.
- Decida entre interno e terceirizado: avalie volume de tratamento, criticidade dos dados, maturidade jurídica e de segurança e custo total de um cargo sênior versus um DPOaaS multidisciplinar.
- Formalize a indicação: registre o encarregado por ato do controlador especificando atividades e formas de atuação, e divulgue identidade e contato de forma clara no site (art. 41, §1º).
- Coloque o canal do titular para funcionar: publique e-mail/formulário, defina fluxo de triagem, registro e resposta às requisições do art. 18, e estabeleça SLA interno de prazos.
- Estruture a gestão de incidentes: monte o playbook de notificação à ANPD e aos titulares na janela de 3 dias úteis (Resolução nº 15/2024) e o registro de incidentes guardado por no mínimo 5 anos.
- Conduza os RIPDs de alto risco: para tratamentos sensíveis, perfilamento, decisões automatizadas e monitoramento em larga escala, produza o Relatório de Impacto ancorado em método (NIST Privacy Framework, ISO/IEC 29134).
- Mantenha o programa vivo: revise periodicamente ROPA, políticas, contratos com operadores e treinamentos, produzindo a trilha de evidência que sustenta os atenuantes da dosimetria de sanções (Resolução nº 4/2023).
Perguntas frequentes
DPO as a Service é legal e aceito pela ANPD?
Sim. A Resolução CD/ANPD nº 18/2024 confirma expressamente que o encarregado pode ser pessoa natural ou jurídica e pode ser interno ou externo (contratado). O modelo terceirizado é plenamente válido, desde que a indicação seja formalizada por ato do controlador, com identidade e contato divulgados publicamente e com autonomia técnica assegurada ao encarregado.
Minha empresa é obrigada a ter um encarregado de dados?
Pela regra geral do art. 41 da LGPD, controladores devem indicar um encarregado. A Resolução CD/ANPD nº 2/2022 dispensa agentes de tratamento de pequeno porte (microempresas, EPP, MEI, startups e entes sem fins lucrativos enquadrados) dessa obrigação formal, mas mesmo eles precisam manter um canal de comunicação com o titular. Fora desse recorte, a indicação é exigível.
Qual o prazo para comunicar um incidente de segurança à ANPD?
A Resolução CD/ANPD nº 15/2024 fixa 3 dias úteis, contados do conhecimento de que o incidente afetou dados pessoais, para comunicar à ANPD e aos titulares quando houver risco relevante. O prazo é contado em dobro (6 dias úteis) para agentes de pequeno porte, e informações podem ser complementadas em até 20 dias úteis. O registro de todos os incidentes deve ser guardado por no mínimo 5 anos.
Qual a diferença entre DPO e encarregado de dados?
Nenhuma diferença prática: "encarregado" é o termo da LGPD (art. 5º, VIII) e "DPO" (Data Protection Officer) é o termo equivalente do GDPR europeu. O mercado brasileiro usa as duas palavras de forma intercambiável. Ambos designam a figura de governança que faz a ponte entre a organização, os titulares e a autoridade reguladora.
Quanto custa um DPO as a Service comparado a um encarregado interno?
O DPOaaS costuma custar uma fração do custo total de um cargo sênior interno, que envolve salário elevado, encargos, estrutura e ferramentas, além da combinação rara de domínio jurídico, técnico e de governança em uma só pessoa. O serviço externo entrega uma equipe multidisciplinar por um valor previsível e contratável, com a vantagem da continuidade (não tira férias nem deixa a função vaga).
O DPO terceirizado tira a responsabilidade da minha empresa pela LGPD?
Não. O controlador continua sendo o responsável legal pelas decisões de tratamento e pela conformidade. O encarregado é o ponto focal de accountability e governança, mas as decisões sobre finalidades e meios do tratamento permanecem com a empresa. Por isso o DPOaaS funciona melhor quando há cooperação interna e acesso a sistemas, processos e à alta administração.
O encarregado pode ser o gestor de TI ou de marketing da empresa?
Tecnicamente pode, mas é arriscado. A Resolução CD/ANPD nº 18/2024 obriga o encarregado a declarar conflitos de interesse e o agente de tratamento a mitigá-los. Quando o encarregado é quem decide finalidades do tratamento (campanhas de marketing, escolha de bancos de dados), sua independência fica comprometida. Um DPO externo, sem agenda interna, resolve esse conflito estrutural.
Como o DPO as a Service se conecta ao monitoramento de vazamentos?
Na Decripte, o DPOaaS integra-se ao Intelligence Center, que monitora fontes de inteligência em busca de credenciais e bases vazadas da empresa. Quando há um achado relevante, o encarregado é acionado para avaliar se configura incidente com risco aos titulares e, em caso positivo, disparar a notificação à ANPD e aos titulares dentro da janela de 3 dias úteis. É a ponte entre a detecção técnica e o dever legal de comunicar.
Referências e normas técnicas
- ›Lei nº 13.709/2018 (LGPD) — art. 5º, VIII e XVII; arts. 18, 19, 38, 41, 50 e 55-J — Planalto / Presidência da República — planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
- ›Resolução CD/ANPD nº 18, de 16 de julho de 2024 — Regulamento sobre a atuação do encarregado — ANPD / Diário Oficial da União — gov.br/anpd
- ›Resolução CD/ANPD nº 15, de 24 de abril de 2024 — Comunicação de incidente de segurança — ANPD / Diário Oficial da União — gov.br/anpd
- ›Resolução CD/ANPD nº 2, de 27 de janeiro de 2022 — Agentes de tratamento de pequeno porte — ANPD — gov.br/anpd/pt-br/acesso-a-informacao/institucional/atos-normativos
- ›ANPD aplica a primeira multa por descumprimento à LGPD (Caso Telekall Infoservice, 2023) — ANPD — gov.br/anpd/pt-br/assuntos/noticias
- ›Regulation (EU) 2016/679 (GDPR) — arts. 30, 33, 35, 37 e 38 — EUR-Lex — eur-lex.europa.eu
Como a Decripte entrega esta solução
Do diagnóstico gratuito ao serviço gerenciado — escolha o ponto de entrada certo para o seu momento.
Segurança Normativa (LGPD/vCISO)
Encarregado de Dados terceirizado, RIPD, canal do titular e relacionamento com a ANPD.
Conformidade BACEN
Para instituições financeiras: PSC, PRIC e exigências do Banco Central.
Gestão de Ameaças (Grátis)
Detecta vazamentos de dados pessoais que acionam o dever de notificação do DPO.
Coloque um encarregado de dados que existe de verdade — com canal do titular, RIPD, notificação de incidentes em 3 dias úteis e relação com a ANPD — sem o custo de um cargo sênior interno. Conheça o plano de Segurança Normativa (LGPD, vCISO e DPOaaS) da Decripte e comece com um diagnóstico de conformidade gratuito.
Comece de graça com a Gestão de Ameaças e veja o que já está exposto. Evolua para os planos gerenciados quando fizer sentido — sem montar um time interno.
