DPO interno vs DPO externo (DPO-as-a-Service): prós, contras e quando usar cada um
Uma das primeiras decisões práticas que uma organização precisa tomar ao implementar a LGPD é: o DPO (Encarregado de Proteção de Dados) será interno ou externo? A lei permite as duas modalidades — mas a decisão tem consequências significativas em custo, eficácia e risco regulatório.
Este artigo analisa os dois modelos com objetividade: o que a LGPD permite, as vantagens e desvantagens reais de cada abordagem, e os critérios para tomar a melhor decisão para o seu contexto.
O que a LGPD diz sobre o DPO
O Art. 41 da LGPD estabelece que o controlador deve indicar um encarregado de tratamento de dados pessoais. O §3º do mesmo artigo é explícito: o encarregado pode ser pessoa natural ou pessoa jurídica — o que autoriza expressamente a terceirização da função.
O §1º do Art. 41 estabelece que o encarregado é o canal de comunicação entre o controlador, os titulares e a ANPD. Isso cria exigências práticas para qualquer modelo escolhido:
- O DPO deve estar acessível para atender titulares
- O DPO deve ser o ponto de contato da ANPD em investigações e consultas
- A identidade e os dados de contato do DPO devem ser divulgados publicamente
O §2º lista as atribuições do encarregado: aceitar reclamações e comunicações dos titulares, receber comunicações da ANPD, orientar os funcionários sobre boas práticas e executar as demais atribuições determinadas pelo controlador ou em normas complementares.
A Resolução CD/ANPD nº 18/2024 (16 de julho de 2024) regulamentou a função do encarregado com mais detalhes: a indicação deve ser feita por documento escrito, datado e assinado, válido tanto para DPO interno quanto externo. A ANPD pode solicitar esse documento em qualquer processo de fiscalização. Para entidades públicas, a nomeação deve ser publicada em Diário Oficial.
Modelo 1: DPO interno
O DPO interno é um colaborador da própria organização, geralmente em dedicação integral ou parcial à função de encarregado.
Vantagens
Conhecimento organizacional profundo Um DPO interno conhece os processos, as pessoas, os sistemas e a cultura da organização de dentro. Isso torna mais fácil identificar riscos reais, conduzir o mapeamento de dados e implementar mudanças.
Disponibilidade e presença Está fisicamente presente, participando de reuniões, acompanhando projetos em tempo real e respondendo a dúvidas com agilidade. A proximidade com as áreas de negócio facilita a implementação das práticas de privacidade.
Autoridade e credibilidade interna Um DPO que é colaborador da empresa — especialmente se tem senioridade — tende a ter mais facilidade em influenciar decisões internas e ser incluído em discussões estratégicas.
Custo para grandes organizações Em empresas com grande volume de tratamentos, incidentes frequentes e necessidade de presença constante, o custo de um colaborador interno pode ser inferior ao de um contrato de DPO-as-a-Service calibrado para esse nível de demanda.
Desvantagens
Risco de conflito de interesse O DPO interno é subordinado hierarquicamente à mesma diretoria que ele deve auditar e orientar. A LGPD não exige garantias de independência funcional do DPO (ao contrário do GDPR, que veda instruções ao DPO sobre o exercício de suas funções e protege o profissional contra destituição ou penalização por razões ligadas ao cargo — Art. 38 do GDPR), mas conflitos de interesse podem comprometer a efetividade da função.
Custo para organizações menores Para empresas pequenas ou médias com volume moderado de tratamento, contratar um profissional dedicado exclusivamente à função de DPO pode não ser economicamente viável — especialmente quando a demanda não justifica dedicação integral.
Disponibilidade de profissionais qualificados O mercado brasileiro ainda carece de DPOs com formação sólida combinando direito, TI e gestão de riscos. Recrutar e reter esse profissional é competitivo e custoso.
Dependência de pessoa específica Se o DPO interno sai da empresa, a função fica descoberta — com risco de lacuna regulatória até a contratação e integração do substituto.
Modelo 2: DPO externo (DPO-as-a-Service)
O DPO-as-a-Service é um modelo em que a função de encarregado é terceirizada para uma empresa ou profissional autônomo especializado, por meio de contrato de prestação de serviços.
Vantagens
Independência e autonomia O DPO externo não tem vínculo empregatício com a organização, o que reduz riscos de conflito de interesse. Sua reputação profissional depende de dar pareceres corretos, não de agradar à liderança.
Expertise especializada e atualizada Empresas de DPO-as-a-Service atuam com múltiplos clientes em diferentes setores, o que gera exposição constante a diferentes cenários, regulações e melhores práticas. Um bom DPO externo conhece a jurisprudência da ANPD, as resoluções recentes e os padrões internacionais de forma mais atualizada que um DPO interno generalista.
Custo previsível e escalável O contrato de DPO-as-a-Service tem custo mensal fixo, sem encargos trabalhistas, benefícios ou riscos de turnover. Para organizações de pequeno e médio porte, esse modelo é geralmente mais econômico.
Cobertura de contingência Uma boa empresa de DPO-as-a-Service tem equipe — não há lacuna quando um profissional específico está ausente. O serviço inclui backup de especialistas.
Velocidade de implementação Um DPO externo especializado começa a entregar valor imediatamente, sem curva de aprendizado sobre a lei.
Desvantagens
Menor conhecimento organizacional inicial O DPO externo começa sem conhecer os processos, sistemas e pessoas da organização. A curva de aprendizado pode demorar meses para ser superada.
Atenção dividida Em modelos de DPO-as-a-Service com muitos clientes por profissional, o nível de atenção dedicada à organização pode ser insuficiente — especialmente em períodos de crise.
Dependência do contrato A função de DPO fica vinculada ao contrato. Uma rescisão ou mudança de prestador pode gerar instabilidade na continuidade do programa de conformidade.
Custo para grandes demandas Para organizações com altíssimo volume de solicitações de titulares, incidentes frequentes e necessidade de participação diária em reuniões estratégicas, o modelo DPO-as-a-Service de baixo custo pode ser insuficiente — e o DPO-as-a-Service calibrado para esse nível de demanda pode custar mais que um DPO interno.
Quando usar cada modelo: critérios de decisão
| Critério | DPO Interno | DPO Externo |
|---|---|---|
| Porte da organização | Grande (+500 colaboradores) | Pequena a média |
| Volume de tratamentos | Alto e complexo | Moderado |
| Setor regulado (saúde, financeiro) | Recomendado | Possível, com cuidado na seleção |
| Orçamento disponível | Maior | Menor |
| Urgência de implementação | Mais lento | Mais rápido |
| Necessidade de presença física constante | Sim | Não |
| Histórico de incidentes | Alto risco | Adequado para a maioria |
| Setor público | Preferível | Possível mas requer cautela |
O modelo híbrido
Uma abordagem crescente é o modelo híbrido: um coordenador interno de privacidade (que pode não ter o título formal de DPO) e um DPO externo que atua como responsável formal pela função, com presença estratégica e consultiva. Isso combina o conhecimento organizacional do interno com a expertise e independência do externo.
O que a ANPD diz sobre o assunto
A Resolução CD/ANPD nº 2/2022 (regime simplificado para pequenos agentes) prevê que para microempresas, EPPs, MEIs, startups enquadradas como ME ou EPP, e entidades sem fins lucrativos de pequeno porte, a indicação de DPO pode ser dispensada ou simplificada — o próprio fundador ou gestor pode atuar como responsável, sem necessidade de profissional dedicado.
Isso não significa ausência de responsabilidade — as obrigações de atendimento a titulares e de contato com a ANPD continuam. Mas permite que a função seja exercida de forma mais leve em organizações menores.
Quanto custa: referências de mercado
O mercado brasileiro de DPO-as-a-Service varia amplamente:
- Pequenas empresas: R$ 1.500 a R$ 4.000/mês para serviços básicos de DPO externo
- Médias empresas: R$ 4.000 a R$ 12.000/mês para serviços completos com horas de consultoria
- Grandes organizações: R$ 15.000 a R$ 40.000/mês para DPO externo sênior com presença regular
Um DPO interno sênior (CLT) no Brasil tem salário médio entre R$ 12.000 e R$ 25.000 mensais — sem contar encargos trabalhistas (que elevam o custo efetivo em ~70%). Para empresas médias, o DPO-as-a-Service é tipicamente mais econômico.
Checklist para a decisão
- Qual é o volume mensal estimado de solicitações de titulares?
- Há dados sensíveis tratados em larga escala?
- O setor é regulado (saúde, financeiro, telecom)?
- A organização tem recursos para recrutar e reter um profissional qualificado?
- Qual é a urgência para ter a função operacional?
- Há necessidade de presença física constante?
- A organização é de pequeno porte e pode usar o regime simplificado da Resolução nº 2/2022?
Conclusão
Não existe resposta universal para a escolha entre DPO interno e externo. O que existe são critérios claros que devem guiar a decisão: porte da organização, volume e complexidade dos tratamentos, recursos disponíveis e urgência.
O que não é aceitável — sob nenhum critério — é não ter a função exercida de forma alguma. A LGPD exige que o DPO seja indicado, identificado e acessível. A decisão sobre o modelo de exercício da função é estratégica; a existência da função é obrigatória.
A Confidata oferece suporte ao DPO em qualquer modelo — interno ou externo — com plataforma de conformidade que centraliza o ROPA, as solicitações de titulares, os registros de incidentes e a gestão de fornecedores em um único ambiente auditável.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.