DPO na Prática

Como nomear um DPO (Encarregado de Proteção de Dados) na sua empresa

A LGPD exige que todo controlador indique um Encarregado de Proteção de Dados. Entenda quem pode ser, o que faz, se precisa ser CIPP, salário de mercado e como formalizar a nomeação.

M
MHSLGPD
24 de fevereiro de 2026 · 4 min de leitura

Toda empresa que trata dados pessoais no Brasil precisa indicar um Encarregado de Proteção de Dados — popularmente chamado de DPO, do inglês Data Protection Officer. O Art. 41 da LGPD criou essa figura e a Resolução CD/ANPD nº 2/2022 detalhou suas atribuições. Mas quem pode ocupar o cargo? É preciso certificação? Pode terceirizar? Este guia responde.

O que diz a LGPD sobre o Encarregado

O Art. 41, §1º, define que o Encarregado deve ser uma "pessoa natural ou jurídica" indicada pelo controlador, com nome e contato divulgados publicamente. A ANPD, na Resolução nº 2/2022, esclareceu que pode ser pessoa física ou jurídica e que não há exigência de formação específica — embora a lei mencione "conhecimento jurídico-regulatório" e familiaridade com o tratamento de dados.

Atribuições do DPO (Art. 41, §2º)

  • Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • Receber comunicações da ANPD e adotar providências;
  • Orientar funcionários e contratados sobre práticas de proteção de dados;
  • Executar demais atribuições determinadas pelo controlador ou em normas complementares.

Na prática, o DPO é o ponto focal da LGPD na empresa: responde aos pedidos de titulares dentro de 15 dias, conduz o atendimento à ANPD em caso de incidente, treina times, revisa contratos e zela pelo programa de governança.

Quem pode ser DPO?

Quatro modelos são comuns no mercado brasileiro:

1. Funcionário interno dedicado

Comum em empresas grandes (acima de 500 colaboradores) ou de setores regulados (financeiro, saúde, telecom). Geralmente um profissional de direito, compliance ou TI com formação complementar em proteção de dados.

2. Funcionário interno acumulando

Em PMEs, é comum que um diretor de TI, advogado interno ou gerente de compliance assuma a função do DPO. Cuidado com conflito de interesse: o Art. 41, §3º, da LGPD não veda explicitamente, mas a ANPD recomenda evitar que o DPO acumule funções que determinem finalidades do tratamento (ex.: diretor de marketing não deve ser DPO da empresa cujas campanhas ele aprova).

3. DPO terceirizado (DPO as a Service)

Escritórios de advocacia e consultorias oferecem DPO externo por contrato mensal — modelo popular para PMEs. Vantagens: custo menor que um CLT, expertise consolidada, isenção. Desvantagens: menor disponibilidade e menos profundidade do negócio.

4. DPO compartilhado em grupo econômico

Empresas do mesmo grupo podem ter um único Encarregado, desde que devidamente formalizado e que ele consiga atender todas as operações.

Precisa de certificação?

Não. A LGPD não exige nenhuma certificação. Mas no mercado, três credenciais agregam valor:

  • EXIN PDPF / PDPP: certificações holandesas reconhecidas no Brasil;
  • IAPP CIPM / CIPP/E: certificações internacionais com foco em governança e GDPR (que serve de referência para a LGPD);
  • CDPO/BR: certificação nacional emitida pela International Association of Privacy Professionals em parceria com instituições brasileiras.

Salário e custo de mercado

Dados consolidados de 2025 (Catho, Glassdoor, pesquisas setoriais):

  • DPO Júnior CLT: R$ 7.000 a R$ 12.000/mês;
  • DPO Pleno CLT: R$ 12.000 a R$ 22.000/mês;
  • DPO Sênior CLT: R$ 22.000 a R$ 45.000/mês;
  • DPO terceirizado (PME): R$ 2.500 a R$ 8.000/mês via contrato de prestação de serviço;
  • DPO terceirizado (média/grande): R$ 8.000 a R$ 25.000/mês.

Como formalizar a nomeação?

Quatro passos essenciais:

  1. Ato formal interno: ata de assembleia, resolução da diretoria ou ato administrativo nomeando o DPO, com descrição de atribuições e independência funcional;
  2. Atualização da Política de Privacidade: divulgar publicamente o nome (ou função) e canal de contato — geralmente um e-mail dedicado como dpo@empresa.com.br;
  3. Comunicação à ANPD (opcional): a Resolução nº 2/2022 permite — não obriga — registrar a nomeação no site da ANPD via formulário próprio;
  4. Treinamento da equipe: garantir que todos saibam quem é o DPO e como acioná-lo.

Independência funcional: ponto crítico

O Art. 41 e a Resolução nº 2/2022 reforçam que o DPO deve ter independência funcional — não pode ser instruído a ignorar uma solicitação de titular ou esconder um incidente. Recomenda-se que o DPO se reporte diretamente à alta administração (CEO, conselho), com acesso direto e sem barreiras hierárquicas.

Erros comuns na nomeação

  • Nomear o sócio sem alterar contrato social — gera conflito quando o sócio define finalidades;
  • Nomear estagiário ou júnior sem suporte — DPO precisa de autoridade;
  • Nomear sem treinar — DPO sem capacitação é fonte de risco;
  • Não divulgar o canal de contato — descumprimento direto da LGPD.

Conclusão

Indicar o DPO é mais que uma formalidade — é estruturar o ponto focal da sua governança de privacidade. Para PMEs, o modelo terceirizado é o mais custo-efetivo; para grandes corporações, um DPO interno dedicado com equipe de apoio é o padrão. Em qualquer cenário, formalize por escrito, divulgue o contato e garanta independência.

M
MHSLGPD
Equipe de especialistas em LGPD e privacidade de dados, com foco em ajudar empresas brasileiras a se adequarem à legislação de proteção de dados pessoais.