DPO: por que a figura do Encarregado terceirizado é mais do que uma exigência legal, é uma escolha estratégica
A LGPD tornou obrigatória, para a grande maioria das empresas, a indicação de um Encarregado pelo Tratamento de Dados Pessoais, o DPO, na sigla em inglês consagrada pelo mercado.
Mas nomear alguém para o cargo e ter um programa de proteção de dados que efetivamente funciona são coisas bem distintas. Essa lacuna entre a formalidade e a substância é exatamente onde mora o risco, e é onde a decisão sobre quem ocupará esse papel importa muito mais do que parece à primeira vista.
O DPO tem atribuições que vão muito além de responder ofícios da ANPD. Ele deve mapear os fluxos de dados da empresa, identificar e reportar vulnerabilidades, orientar sobre bases legais para cada tratamento, treinar equipes, elaborar políticas de privacidade e de resposta a incidentes, monitorar o cumprimento da LGPD internamente e servir de canal entre a organização, os titulares e a autoridade regulatória.
Exercer essas funções com seriedade exige domínio técnico-jurídico específico, atualização permanente e, fundamentalmente, independência para comunicar ao gestor o que ele por vezes não quer ouvir.
É aqui que a terceirização revela sua vantagem mais subestimada: a ausência de conflito de interesse. Um colaborador interno indicado como DPO está, por definição, inserido na hierarquia da empresa. Reporta a alguém. Tem receio de contrariar decisões já tomadas por seu superior. Tem interesse na continuidade do seu emprego.
Esses incentivos, perfeitamente compreensíveis em qualquer relação de trabalho, são incompatíveis com o exercício pleno das funções do Encarregado, que precisa apontar irregularidades, recomendar a suspensão de práticas consolidadas e, se necessário, comunicar incidentes à ANPD ainda que isso gere desconforto à organização. O DPO terceirizado, por atuar externamente e sem vínculo empregatício, não carrega esse peso. Sua lealdade é com a conformidade, e isso, paradoxalmente, é o que mais protege a empresa.
A especialização é o segundo fator decisivo. A proteção de dados é uma disciplina que se move rapidamente: novas resoluções da ANPD, decisões sancionatórias, regulamentações setoriais, precedentes internacionais e o avanço do Marco Legal da IA criam um ambiente normativo em constante transformação. Muitas empresas possuem políticas de privacidade e adequações à LGPD, mas ainda enfrentam dificuldades para comprovar, na prática, maturidade em governança de dados diante de auditorias, contratos internacionais e exigências regulatórias.
Por fim, há o custo real da informalidade. A ANPD tem avançado em maturidade sancionatória, e o fortalecimento do papel da autoridade regulatória tende a produzir maior impacto para empresas que não se preocuparam até hoje com o tema. Multas, determinações de suspensão de tratamento e danos reputacionais em caso de incidente de segurança são riscos concretos, e evitáveis.
© 2025 - Todos os direitos reservados | FD.law - Gustavo Tonet Fagundes Sociedade Individual de Advocacia
Itajaí - SC
Rua Samuel Heusi
nº 190, sala 701, Centro
CEP 88301-320
(47) 98806-7489