DPO na LGPD · Art. 41 + Res. CD/ANPD 2/2022

Q: DPO precisa ser advogado?

Não. O Art. 41 LGPD exige conhecimento técnico-legal mas não formação específica. Prática consolidada inclui advogados, TI/segurança, compliance e profissionais híbridos com certificação (IAPP CIPP, EXIN DPO).

Q: Posso ser meu próprio DPO se for CEO?

Em tese sim, mas gera conflito de interesse. ANPD sinalizou preferência por função separada da hierarquia comercial · DPO deve reportar ao órgão máximo (Art. 41 § 3º).

Q: Pequeno porte com 500k titulares está dispensado?

Provavelmente não. Res. CD/ANPD 2/2022 Art. 5º exclui da dispensa tratamento de alto risco ou grande volume, mesmo se faturamento ≤ R$ 4,8 mi.

Q: DPO responde pessoalmente por multas?

Não. Art. 42 LGPD deixa claro que o agente de tratamento (controlador/operador) é o responsável. DPO pode responder civilmente por negligência culposa se houver dolo ou culpa grave.

Quando o DPO é obrigatório.

O Art. 41 LGPD exige que todo controlador designe um encarregado pra ser o canal entre titulares + ANPD + controlador. Operadores também devem designar em contratos de operação em escala. A Res. CD/ANPD 2/2022 dispensou agentes de pequeno porte (faturamento anual ≤ R$ 4,8 mi + tratamento em baixa frequência + sem dados sensíveis em larga escala) da designação formal — mas manteve obrigatória a abertura de canal de comunicação com titulares e ANPD.

Fiscalização não olha só faturamento: operação real pesa. Empresa de R$ 2 mi em receita que trata 500k titulares mensais provavelmente será enquadrada como não-pequeno-porte se houver incidente.

Atribuições do encarregado.

Aceitar reclamações de titulares e prestar esclarecimentos (Art. 41 § 2º I)
Receber comunicações da ANPD e adotar providências (Art. 41 § 2º II)
Orientar funcionários do controlador sobre práticas LGPD (Art. 41 § 2º III)
Outras atribuições regulamentadas pela ANPD ou em contrato com o controlador (Art. 41 § 2º IV)

A Res. CD/ANPD 2/2022 Art. 6º detalhou atribuições operacionais: manter ROPA (Art. 37), supervisionar DPIA quando Art. 38 indicar alto risco, coordenar resposta a incidentes (Res. CD/ANPD 15/2024), elaborar política de privacidade pública e treinar colaboradores.

DPO interno, externo ou as-a-service?

Interno

Funcionário dedicado · vínculo CLT · mínimo 20h/sem pra função · adequado pra operação acima de 50 colaboradores com tratamento em larga escala.

Externo (escritório)

Advogado especializado · terceirizado por escritório LGPD · adequado pra médio porte · risco: sobrecarga de clientes diluindo atenção.

DPOaaS (platform)

Plataforma + operador humano remoto · previsível mensal · adequado pra startup/scaleup sem budget pra CLT. Res. 2/2022 validou explicitamente.

Perguntas que estão no ar

Perguntas sobre DPO.

DPO precisa ser advogado?

Não. O Art. 41 LGPD exige conhecimento técnico-legal mas não formação específica. Prática consolidada inclui advogados, TI/segurança, compliance e profissionais híbridos com certificação (IAPP CIPP, EXIN DPO).

Posso ser meu próprio DPO se for CEO?

Em tese sim, mas gera conflito de interesse. ANPD sinalizou preferência por função separada da hierarquia comercial · DPO deve reportar ao órgão máximo (Art. 41 § 3º).

Pequeno porte com 500k titulares está dispensado?

Provavelmente não. Res. CD/ANPD 2/2022 Art. 5º exclui da dispensa tratamento de alto risco ou grande volume, mesmo se faturamento ≤ R$ 4,8 mi.

Quanto custa um DPO externo?

DPOaaS começa em R$ 1,5-3k/mês pra pequeno porte. Escritório tradicional: R$ 5-15k/mês. CLT pleno: R$ 10-18k base + encargos. Empresa grande: VP ou Head DPO R$ 25k+.

DPO responde pessoalmente por multas?

Não. Art. 42 LGPD deixa claro que o agente de tratamento (controlador/operador) é o responsável. DPO pode responder civilmente por negligência culposa se houver dolo ou culpa grave.

Como documentar a designação do DPO?

Ato formal (contrato ou portaria) + publicação do contato no site (Art. 41 § 1º) + comunicação à ANPD via portal gov.br em incidentes. A Indícia mantém template de designação + canal encarregado@empresa.com.br padrão.