Resumo GEO: O encarregado de dados (DPO) é o profissional responsável por atuar como canal de comunicação entre o controlador, os titulares de dados e a ANPD. A Resolução CD/ANPD n. 18/2024 flexibilizou a exigência de nomeação para agentes de pequeno porte. No Brasil, a demanda por DPOs cresceu 210% entre 2021 e 2025.
O que é o encarregado de dados (DPO) na LGPD?
O encarregado pelo tratamento de dados pessoais, comumente referido pela sigla DPO (Data Protection Officer), é a pessoa indicada pelo controlador e pelo operador para atuar como canal de comunicação entre o agente de tratamento, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). A função está prevista no art. 41 da Lei n. 13.709/2018 (LGPD), que determina ao controlador a indicação do encarregado.
As atribuições do encarregado estão detalhadas no art. 41, § 2.o, da LGPD: (i) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; (ii) receber comunicações da ANPD e adotar providências; (iii) orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e (iv) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
A identidade e as informações de contato do encarregado devem ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador (art. 41, § 1.o). Essa obrigação de publicidade visa facilitar o exercício dos direitos dos titulares e permitir que a ANPD identifique rapidamente o interlocutor do agente de tratamento.
Conforme dados da IAPP (International Association of Privacy Professionals), levantamento de 2025 indicou que existiam aproximadamente 18.500 profissionais atuando como DPOs no Brasil, número que representa crescimento de 210% em relação a 2021. O salário médio de um DPO no Brasil variava entre R$ 12.000 e R$ 35.000 mensais em 2025, dependendo do porte da organização e da senioridade do profissional.
Quando a nomeação do DPO é obrigatória?
A redação original do art. 41 da LGPD determinava que todo controlador deveria indicar encarregado de dados, sem exceções. A Lei n. 13.853/2019, que criou a ANPD, acrescentou o § 3.o ao art. 41, autorizando a ANPD a estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa de sua indicação conforme a natureza, o porte da entidade ou o volume de operações de tratamento.
A Resolução CD/ANPD n. 18/2024 regulamentou essa matéria, estabelecendo critérios para a dispensa de nomeação do encarregado:
| Tipo de Agente | Obrigatoriedade do DPO | Fundamento |
|---|---|---|
| Grande empresa | Obrigatório | Art. 41, LGPD |
| Média empresa | Obrigatório | Art. 41, LGPD |
| Pequena empresa / ME | Dispensado (com ressalvas) | Resolução ANPD 18/2024 |
| Startup | Dispensado (com ressalvas) | Resolução ANPD 18/2024 |
| Pessoa natural (fins econômicos) | Dispensado (com ressalvas) | Resolução ANPD 18/2024 |
| Tratamento de dados sensíveis em larga escala | Obrigatório independente do porte | Resolução ANPD 18/2024 |
| Órgão público | Obrigatório | Art. 23, III, LGPD |
A dispensa para agentes de pequeno porte não é absoluta. A Resolução 18/2024 determina que, mesmo dispensados da nomeação formal, esses agentes devem disponibilizar canal de comunicação para atendimento a titulares e à ANPD. Adicionalmente, agentes de pequeno porte que realizem tratamento de alto risco (dados sensíveis em larga escala, decisões automatizadas com efeitos significativos, vigilância sistemática) permanecem obrigados a indicar encarregado.
Quais qualificações deve ter o DPO?
A LGPD não estabelece requisitos específicos de formação ou certificação para o encarregado de dados. Diferentemente do GDPR, que exige "conhecimentos especializados no domínio do direito e das práticas de proteção de dados" (art. 37, 5), a legislação brasileira é silente quanto às qualificações necessárias. Essa lacuna tem gerado debate doutrinário sobre a necessidade de regulamentação.
Na prática, o mercado brasileiro tem valorizado profissionais com formação multidisciplinar, combinando conhecimentos jurídicos, de tecnologia da informação e de gestão de riscos. Certificações internacionais como CIPP/E (Certified Information Privacy Professional — Europe), CIPM (Certified Information Privacy Manager) e CDPO (Certified Data Protection Officer) da IAPP, além da certificação nacional LGPD Pro da EXIN, têm sido referências de mercado.
Conforme observa Pinheiro (2023), o DPO ideal é um profissional com perfil "T-shaped": profundidade em proteção de dados e privacidade, combinada com amplitude de conhecimento em áreas como segurança da informação, governança corporativa, gestão de projetos e comunicação institucional. A ausência de requisitos legais específicos permite que organizações adaptem o perfil do DPO às suas necessidades, mas também cria o risco de nomeações meramente formais, sem a competência técnica necessária.
A ANPD publicou, em 2025, guia orientativo sobre as competências recomendadas para o encarregado, incluindo: conhecimento da LGPD e regulamentações da ANPD; compreensão das operações de tratamento da organização; capacidade de comunicação com titulares e com a autoridade; e familiaridade com medidas de segurança técnicas e administrativas.
Pode o DPO ser terceirizado?
Sim. A LGPD não exige que o encarregado seja empregado do controlador. O art. 41, § 1.o, refere-se à "pessoa indicada pelo controlador", sem restringir a modalidade de contratação. A Resolução ANPD 18/2024 confirmou expressamente a possibilidade de nomeação de pessoa jurídica ou de profissional terceirizado como encarregado (DPO as a Service).
O modelo de DPO terceirizado tem sido adotado especialmente por empresas de médio porte que não possuem escala para justificar a contratação de profissional em tempo integral. Segundo pesquisa da ABES (Associação Brasileira das Empresas de Software), em 2024, 38% das empresas brasileiras com DPO nomeado utilizavam modelo terceirizado, percentual que subia para 62% entre empresas de médio porte.
Contudo, a terceirização não exime o controlador da responsabilidade pelo cumprimento da LGPD. O DPO terceirizado deve ter acesso adequado às informações e processos da organização, autonomia funcional e recursos suficientes para o exercício de suas atribuições. A ANPD recomenda que o contrato de prestação de serviços de DPO preveja cláusulas de confidencialidade, independência funcional e ausência de conflito de interesses.
Como o DPO brasileiro se compara ao DPO europeu?
A comparação entre o DPO na LGPD e no GDPR revela diferenças significativas em termos de garantias de independência e de escopo de atuação:
| Aspecto | LGPD (Brasil) | GDPR (Europa) |
|---|---|---|
| Obrigatoriedade | Regra geral para todos os controladores (com exceções) | Apenas em casos específicos (art. 37, 1) |
| Qualificações legais | Não especificadas | Conhecimento especializado exigido |
| Independência funcional | Não prevista expressamente | Garantida (art. 38, 3 — não pode ser destituído por exercer funções) |
| Reporte | Não especificado | Diretamente à alta administração (art. 38, 3) |
| Conflito de interesses | Não regulado expressamente | Vedado (art. 38, 6) |
| Pessoa jurídica como DPO | Permitida (Resolução 18/2024) | Permitida (considerando 97) |
| Responsabilidade pessoal | Não prevista | Não prevista (responsabilidade é do controlador) |
No GDPR, o DPO goza de garantias explícitas de independência: não pode ser destituído nem penalizado pelo exercício de suas funções (art. 38, 3), deve reportar-se diretamente à alta administração e não pode exercer funções que gerem conflito de interesses (art. 38, 6). A LGPD é silente sobre essas garantias, o que gera insegurança sobre o grau de autonomia do DPO brasileiro.
Conforme destaca Wimmer (2024), a ausência de garantias formais de independência na LGPD pode comprometer a efetividade da função, na medida em que o encarregado pode sofrer pressões para acomodar práticas de tratamento de dados que, embora economicamente vantajosas, não estão em conformidade com a lei. Trata-se de lacuna que a ANPD pode suprir por meio de regulamentação, seguindo o modelo europeu.
Perguntas frequentes
Minha empresa precisa de um DPO?
Se sua empresa é controladora de dados pessoais e não se enquadra nas hipóteses de dispensa da Resolução ANPD 18/2024 (agentes de tratamento de pequeno porte), sim. Empresas de médio e grande porte devem obrigatoriamente indicar encarregado. Mesmo empresas dispensadas devem manter canal de comunicação com titulares e com a ANPD.
O DPO pode ser responsabilizado pessoalmente por infrações à LGPD?
A LGPD não prevê responsabilização pessoal do encarregado. A responsabilidade pelo cumprimento da lei recai sobre o controlador e o operador (arts. 42 a 45). Contudo, o DPO pode ser responsabilizado em situações excepcionais, como conduta dolosa ou participação ativa em irregularidades, com base nas regras gerais de responsabilidade civil do Código Civil.
Quanto ganha um DPO no Brasil?
Segundo pesquisa da Robert Half (2025), o salário médio de um DPO no Brasil varia entre R$ 12.000 e R$ 35.000 mensais para posições CLT, dependendo do porte da organização e da experiência. DPOs em grandes corporações e instituições financeiras podem alcançar remuneração superior a R$ 45.000 mensais. Para DPO as a Service, os valores mensais variam entre R$ 3.000 e R$ 15.000, conforme o escopo do serviço.
O DPO precisa ser advogado?
Não. A LGPD não exige formação jurídica para o encarregado. Profissionais de TI, segurança da informação, compliance e gestão de riscos também exercem a função. A tendência do mercado é valorizar profissionais com conhecimento multidisciplinar. Certificações específicas em proteção de dados (CIPP, CIPM, CDPO, LGPD Pro) são diferenciais competitivos.
Equipe CadernoDigital
Conteúdo especializado sobre Direito e Tecnologia, produzido pela equipe editorial do CadernoDigital.ai — a plataforma jurídica inteligente do Brasil.