DPO em Órgão Público: Modelo de Portaria e Resolução [2026]

A nomeação do encarregado pelo tratamento de dados pessoais — o DPO — é uma das obrigações mais negligenciadas na administração pública brasileira. Segundo levantamento da própria ANPD de dezembro de 2024, dezenas de organizações foram notificadas por ausência de encarregado publicado, e o setor público não escapou da lista: entre os processos sancionatórios já concluídos pela Autoridade, órgãos como o INSS, a Secretaria de Educação do DF e secretarias estaduais de saúde receberam advertências, entre outros motivos, por falhas na indicação do encarregado.

Este guia cobre tudo o que um gestor público precisa saber para nomear corretamente o DPO: a base legal, quem pode (e quem não pode) exercer o cargo, como evitar conflitos de interesse, modelos prontos de portaria e resolução, e o passo a passo de publicidade exigido pela ANPD.

O DPO é obrigatório para todo órgão público?

Sim. A obrigatoriedade decorre de dois dispositivos complementares:

Art. 41 da LGPD (Lei nº 13.709/2018):

"O controlador deverá indicar encarregado pelo tratamento de dados pessoais."

O caput do artigo não faz distinção entre controladores públicos e privados. Todo controlador — inclusive União, estados, municípios, autarquias, fundações e empresas públicas — deve indicar um encarregado.

Resolução CD/ANPD nº 18, de 16 de julho de 2024:

Essa resolução aprovou o Regulamento sobre a atuação do encarregado e trouxe dispositivos específicos para o setor público. O Art. 5º determina que as pessoas jurídicas de direito público deverão indicar encarregado quando realizarem operações de tratamento de dados pessoais. A indicação deve recair, preferencialmente, sobre servidores ou empregados públicos de reputação ilibada. Além disso, a nomeação deve ser publicada no Diário Oficial da respectiva esfera de atuação.

Atenção: a palavra "preferencialmente" não significa "obrigatoriamente". A ANPD admite outras formas de indicação (pessoa jurídica externa, por exemplo), mas a preferência declarada pelo regulador é por servidor do próprio quadro.

Para quem está montando um programa de conformidade LGPD completo, a nomeação do DPO é literalmente o primeiro passo operacional.

Quem pode ser DPO em um órgão público?

A Resolução CD/ANPD nº 18/2024 define que o encarregado pode ser:

Pessoa natural integrante do quadro organizacional do agente de tratamento (servidor efetivo, comissionado ou empregado público);
Pessoa jurídica contratada para exercer a função (DPO as a Service).

Servidor efetivo

É a escolha preferencial segundo a ANPD. Vantagens: estabilidade funcional, conhecimento da estrutura administrativa, vínculo permanente com a instituição. É a opção mais adequada para a maioria dos municípios e órgãos federais.

Servidor comissionado

Pode exercer a função, mas traz risco de descontinuidade — cargos comissionados são de livre nomeação e exoneração. Se o DPO for exonerado, o órgão ficará sem encarregado até nova nomeação. A ANPD não proíbe, mas a instabilidade é um fator de risco.

Empregado público (empresas públicas e sociedades de economia mista)

Também pode exercer a função, nas mesmas condições de qualquer servidor.

Terceirizado (pessoa jurídica)

Permitido pela Resolução nº 18/2024, que admite expressamente que o encarregado seja pessoa jurídica. Neste caso, a empresa contratada deve designar uma pessoa natural responsável, cujo nome será divulgado publicamente. É o modelo de DPO as a Service, comum em municípios de pequeno porte que não têm servidor com perfil técnico adequado.

Requisitos de qualificação

A Resolução nº 18/2024 é clara: não se exige inscrição em entidade, certificação ou formação profissional específica. Porém, a resolução determina que cabe ao agente de tratamento estabelecer as qualificações profissionais necessárias, considerando:

Conhecimentos sobre legislação de proteção de dados pessoais;
Contexto, volume e risco das operações de tratamento realizadas.

O Guia Orientativo da ANPD sobre a atuação do encarregado recomenda que o DPO de órgão público possua conhecimentos em: gestão de privacidade e proteção de dados pessoais, análise jurídica, gestão de riscos, governança de dados e acesso à informação no setor público.

Quem NÃO pode ser DPO — conflitos de interesse no setor público

A Resolução CD/ANPD nº 18/2024 dedicou uma seção inteira (Arts. 18 a 21) ao tema de conflito de interesse e autonomia técnica. Esses artigos são especialmente relevantes para o setor público, onde a estrutura organizacional frequentemente força o acúmulo de funções.

O que configura conflito de interesse

Segundo o Art. 18, o encarregado deve atuar com ética, integridade e autonomia técnica, evitando situações que possam configurar conflito de interesse. O Art. 19 define que o conflito pode se configurar:

Entre as atribuições exercidas internamente no agente de tratamento;
No exercício da atividade de encarregado em agentes de tratamento distintos;
Com o acúmulo das atividades de encarregado com outras que envolvam a tomada de decisões estratégicas sobre o tratamento de dados pessoais pelo controlador.

Cargos que NÃO devem exercer a função de DPO

Com base na Resolução nº 18/2024 e no Guia Orientativo da ANPD, as seguintes funções apresentam conflito de interesse direto:

Cargo/Função	Por que há conflito
Diretor/Coordenador de TI	Toma decisões sobre sistemas que tratam dados pessoais — fiscalizaria a si mesmo
Gestor de sistemas	Define quais dados são coletados e como são armazenados — é parte decisória do tratamento
Ouvidor	Em muitos órgãos, a ouvidoria recebe e trata reclamações de titulares — acumularia função de canal e de fiscalizador
Controlador interno/Auditor	A função de controle interno já tem independência própria — acumular com DPO geraria sobreposição e redução de autonomia
Secretário/Dirigente máximo	É quem toma as decisões estratégicas sobre tratamento de dados — conflito direto com o Art. 19

O Guia Orientativo da ANPD é explícito: o encarregado indicado pelo órgão não deve estar lotado nas unidades de Tecnologia da Informação ou ser gestor de sistemas da entidade.

A regra prática

Se a pessoa decide quais dados coletar, como tratar ou por quanto tempo armazenar, ela não pode ser DPO. O encarregado deve ser alguém que orienta e fiscaliza essas decisões, sem tomá-las diretamente.

A quem o DPO de órgão público se reporta?

A Resolução nº 18/2024 não define uma cadeia hierárquica específica, mas o Guia Orientativo da ANPD recomenda que o encarregado tenha acesso direto à alta administração do órgão.

Na prática, as configurações mais comuns em municípios são:

Estrutura	Vinculação do DPO	Observação
Prefeituras de grande porte	Gabinete do Prefeito ou Secretaria de Governo	Garante autonomia e acesso direto ao dirigente máximo
Prefeituras de médio porte	Procuradoria-Geral do Município	Vinculação jurídica natural, desde que o Procurador-Geral não acumule a função
Câmaras Municipais	Presidência da Câmara	Ato próprio (resolução), independente do Executivo
Autarquias e fundações	Direção-Geral	Cada entidade nomeia seu próprio DPO
Órgãos federais	Seguem a IN SGD/ME nº 117	Vinculação à autoridade máxima do órgão

Ponto crítico: o DPO não deve ser subordinado à área de TI. Mesmo que haja conveniência administrativa, essa subordinação compromete a autonomia técnica exigida pelo Art. 18 da Resolução nº 18/2024.

Para entender melhor as resoluções da ANPD que impactam o DPO em 2026, incluindo as novas obrigações de reporte, consulte nosso artigo específico.

Modelo de portaria de nomeação do DPO — template completo

O modelo abaixo pode ser adaptado para prefeituras, secretarias, autarquias e fundações. Basta substituir os campos entre colchetes.

PORTARIA Nº [NÚMERO], DE [DIA] DE [MÊS] DE [ANO]

Designa o Encarregado pelo Tratamento de Dados Pessoais
(Data Protection Officer — DPO) no âmbito do(a)
[NOME DO ÓRGÃO/ENTIDADE], nos termos da Lei nº 13.709/2018
e da Resolução CD/ANPD nº 18/2024.

O(A) [CARGO DO DIRIGENTE MÁXIMO — Ex.: PREFEITO(A) MUNICIPAL
DE (NOME DO MUNICÍPIO), ESTADO DE (UF)], no uso das atribuições
que lhe confere a Lei Orgânica do Município (ou legislação aplicável),

CONSIDERANDO o disposto no art. 41 da Lei nº 13.709, de 14 de
agosto de 2018 (Lei Geral de Proteção de Dados Pessoais — LGPD),
que determina ao controlador a indicação de encarregado pelo
tratamento de dados pessoais;

CONSIDERANDO a Resolução CD/ANPD nº 18, de 16 de julho de 2024,
que aprova o Regulamento sobre a atuação do encarregado e
estabelece normas complementares sobre sua indicação, atribuições
e atuação;

CONSIDERANDO a necessidade de garantir a conformidade do(a)
[NOME DO ÓRGÃO/ENTIDADE] com a legislação de proteção de dados
pessoais;

RESOLVE:

Art. 1º Designar [NOME COMPLETO DO SERVIDOR], [CARGO/FUNÇÃO],
matrícula nº [NÚMERO], lotado(a) na [UNIDADE ADMINISTRATIVA],
como Encarregado(a) pelo Tratamento de Dados Pessoais (Data
Protection Officer — DPO) do(a) [NOME DO ÓRGÃO/ENTIDADE].

Art. 2º São atribuições do Encarregado, nos termos do § 2º do
art. 41 da LGPD e do Regulamento aprovado pela Resolução
CD/ANPD nº 18/2024:

I — aceitar reclamações e comunicações dos titulares de dados
pessoais, prestar esclarecimentos e adotar providências;

II — receber comunicações da Autoridade Nacional de Proteção de
Dados (ANPD) e adotar providências;

III — orientar servidores, empregados e contratados do(a)
[NOME DO ÓRGÃO/ENTIDADE] a respeito das práticas de proteção
de dados pessoais;

IV — elaborar e manter atualizado o registro das operações de
tratamento de dados pessoais (ROPA);

V — elaborar, quando necessário, o Relatório de Impacto à
Proteção de Dados Pessoais (RIPD);

VI — atuar como canal de comunicação entre o(a) [NOME DO
ÓRGÃO/ENTIDADE], os titulares de dados e a ANPD;

VII — executar as demais atribuições determinadas pelo(a)
[CARGO DO DIRIGENTE MÁXIMO] ou estabelecidas em normas
complementares.

Art. 3º O Encarregado exercerá suas atribuições com autonomia
técnica, devendo ter acesso direto ao(à) [CARGO DO DIRIGENTE
MÁXIMO] para assuntos relativos à proteção de dados pessoais.

Art. 4º Os dados de identificação e contato do Encarregado
serão divulgados:

I — no sítio eletrônico oficial do(a) [NOME DO ÓRGÃO/ENTIDADE],
de forma clara e objetiva;

II — à Autoridade Nacional de Proteção de Dados, por meio do
formulário eletrônico disponibilizado pela ANPD;

III — no Diário Oficial [DO MUNICÍPIO/DO ESTADO/DA UNIÃO],
mediante publicação desta Portaria.

Art. 5º Esta Portaria entra em vigor na data de sua publicação.

[LOCAL], [DATA]

_______________________________________
[NOME DO DIRIGENTE MÁXIMO]
[CARGO]

Dica prática: o Art. 3º sobre autonomia técnica não é exigido literalmente pela LGPD, mas demonstra boa-fé regulatória e alinhamento com os Arts. 18 e 19 da Resolução nº 18/2024. Incluí-lo fortalece a posição do órgão em eventual fiscalização.

Modelo de resolução para câmaras municipais

Câmaras municipais são controladores autônomos — não se vinculam ao DPO do Poder Executivo. Precisam de ato próprio. O instrumento adequado é a resolução, aprovada pela Mesa Diretora ou pelo Plenário, conforme o Regimento Interno.

RESOLUÇÃO Nº [NÚMERO], DE [DIA] DE [MÊS] DE [ANO]

Dispõe sobre a designação do Encarregado pelo Tratamento
de Dados Pessoais (DPO) no âmbito da Câmara Municipal de
[NOME DO MUNICÍPIO] e dá outras providências.

A MESA DIRETORA DA CÂMARA MUNICIPAL DE [NOME DO MUNICÍPIO],
[ESTADO], no uso de suas atribuições regimentais,

CONSIDERANDO o disposto no art. 41 da Lei nº 13.709, de 14 de
agosto de 2018 (LGPD), e na Resolução CD/ANPD nº 18, de 16 de
julho de 2024;

CONSIDERANDO que a Câmara Municipal, enquanto pessoa jurídica
de direito público, é controladora de dados pessoais e deve
indicar encarregado próprio;

RESOLVE:

Art. 1º Fica designado(a) como Encarregado(a) pelo Tratamento
de Dados Pessoais da Câmara Municipal de [NOME DO MUNICÍPIO]
o(a) servidor(a) [NOME COMPLETO], ocupante do cargo de
[CARGO/FUNÇÃO], matrícula nº [NÚMERO].

Art. 2º Compete ao Encarregado:

I — aceitar reclamações e comunicações dos titulares de dados
pessoais, prestar esclarecimentos e adotar providências;

II — receber comunicações da Autoridade Nacional de Proteção
de Dados (ANPD) e adotar providências;

III — orientar servidores e colaboradores da Câmara Municipal
sobre práticas de proteção de dados pessoais;

IV — atuar como canal de comunicação entre a Câmara Municipal,
os titulares de dados e a ANPD;

V — exercer demais atribuições previstas na LGPD e em normas
complementares.

Art. 3º O Encarregado terá autonomia técnica no exercício de
suas atribuições e acesso direto à Presidência da Câmara
Municipal.

Art. 4º A Diretoria Administrativa providenciará a divulgação
dos dados de identificação e contato do Encarregado no sítio
eletrônico da Câmara Municipal, no prazo de 15 (quinze) dias
a contar da publicação desta Resolução.

Art. 5º Esta Resolução entra em vigor na data de sua publicação.

MESA DIRETORA DA CÂMARA MUNICIPAL DE [NOME DO MUNICÍPIO]

_______________________________________
[NOME] — Presidente

_______________________________________
[NOME] — 1º Secretário

_______________________________________
[NOME] — 2º Secretário

Como dar publicidade à nomeação do DPO?

A publicidade é obrigação legal, não cortesia. O Art. 41, § 1º da LGPD determina que a identidade e as informações de contato do encarregado sejam divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.

A Resolução nº 18/2024 complementa: a indicação deve ser formalizada por documento escrito, datado e assinado.

Os três canais obrigatórios

1. Sítio eletrônico oficial

Publique no site do órgão:

Nome completo do encarregado;
E-mail de contato (preferencialmente institucional, como dpo@municipio.gov.br ou lgpd@municipio.gov.br);
Telefone de contato (opcional, mas recomendado).

Onde publicar no site: a ANPD recomenda que a informação esteja acessível a partir da página inicial, em seção de "LGPD", "Proteção de Dados" ou "Privacidade". Não enterre a informação em subpáginas de difícil acesso.

2. Comunicação à ANPD

A ANPD disponibiliza formulário eletrônico para cadastro do encarregado. Após a nomeação, o órgão deve preencher o formulário no portal da ANPD informando os dados do DPO designado.

3. Diário Oficial

A portaria ou resolução deve ser publicada no Diário Oficial do Município (ou do Estado/União, conforme o caso). Essa publicação atende ao princípio da publicidade administrativa (Art. 37 da Constituição Federal) e garante segurança jurídica ao ato.

Prazo

A LGPD e a Resolução nº 18/2024 não estabelecem prazo específico para a publicidade, mas a lógica jurídica é simples: o ato produz efeitos a partir da publicação. Na prática, recomenda-se que a divulgação nos três canais ocorra em até 15 dias após a assinatura da portaria.

Quais competências a ANPD recomenda para o DPO de órgão público?

O Guia Orientativo da ANPD sobre a atuação do encarregado lista as seguintes áreas de conhecimento recomendadas:

Gestão de privacidade e proteção de dados pessoais — conhecimento da LGPD, do GDPR (para referência comparada) e das resoluções da ANPD;
Análise jurídica — capacidade de interpretar legislação e emitir pareceres sobre tratamento de dados;
Gestão de riscos — identificação, avaliação e mitigação de riscos relacionados ao tratamento de dados pessoais;
Governança de dados — entendimento de ciclo de vida dos dados, inventário de dados, políticas de retenção;
Acesso à informação no setor público — conhecimento da Lei de Acesso à Informação (Lei nº 12.527/2011) e sua interface com a LGPD.

Na prática: é raro encontrar um único servidor que domine todas essas áreas. A recomendação é nomear o servidor com o melhor perfil disponível e investir em capacitação contínua. A ENAP (Escola Nacional de Administração Pública) oferece cursos gratuitos sobre LGPD para servidores públicos.

Para um guia detalhado sobre como estruturar a atuação do DPO na prática, incluindo atribuições do dia a dia e ferramentas, consulte nosso artigo específico.

É possível ter um DPO compartilhado entre órgãos públicos?

Sim, com ressalvas. A Resolução CD/ANPD nº 18/2024, em seu Art. 19, permite que o encarregado exerça suas atividades para mais de um agente de tratamento, desde que:

Seja possível o pleno atendimento de suas atribuições em relação a cada agente de tratamento;
Inexista conflito de interesse entre os agentes atendidos.

Cenários possíveis

Municípios de pequeno porte (até 50 mil habitantes):

Um único DPO pode atender a prefeitura, a câmara municipal e autarquias municipais, desde que tenha condições operacionais para isso. É a solução mais pragmática para municípios com orçamento limitado.

Consórcios intermunicipais:

Municípios podem, por meio de consórcio público, contratar um DPO compartilhado (pessoa jurídica). O consórcio formaliza a contratação e cada município edita sua própria portaria designando o profissional indicado pela empresa contratada.

Secretarias estaduais/federais:

Cada secretaria é, em princípio, um controlador autônomo. A ANPD recomenda que, considerando a complexidade da estrutura organizacional e a desconcentração administrativa, pode ser necessária a indicação de um encarregado para cada órgão vinculado. Portanto, um DPO estadual centralizado pode não ser suficiente.

Limitações práticas

O DPO compartilhado funciona quando os órgãos são de pequeno porte e tratam volumes similares de dados. Se um município tem 200 mil habitantes e três autarquias de grande porte, um único DPO provavelmente não conseguirá atender a todos com a qualidade exigida pela Resolução nº 18/2024.

Quais são os erros mais comuns na nomeação do DPO público?

Com base nos processos sancionatórios da ANPD e nas orientações publicadas, os erros mais frequentes são:

Nomear o diretor de TI como DPO — conflito de interesse direto, vedado pelo Guia Orientativo da ANPD;
Não publicar a portaria no Diário Oficial — o ato existe administrativamente, mas não produz efeitos externos;
Não divulgar o contato no site — a ANPD notificou dezenas de organizações por essa falha em dezembro de 2024;
Não comunicar à ANPD — o cadastro no portal da Autoridade é obrigatório;
Nomear sem formalizar por escrito — a Resolução nº 18/2024 exige documento escrito, datado e assinado;
Não garantir autonomia técnica — subordinar o DPO à área de TI ou a quem toma decisões sobre tratamento de dados;
Nomear e esquecer — o DPO precisa de capacitação, recursos e acesso à alta administração para funcionar;
Não prever substituto — se o DPO se afasta (férias, licença, exoneração), o órgão fica sem encarregado.

Checklist completo de nomeação do DPO em órgão público

Use este checklist para garantir que nenhuma etapa foi esquecida:

Antes da nomeação

Identificar servidor com perfil adequado (conhecimento jurídico, proteção de dados, gestão de riscos)
Verificar que o servidor não está lotado em TI e não é gestor de sistemas
Verificar que o servidor não ocupa cargo com poder decisório sobre tratamento de dados
Consultar o servidor sobre aceite da função e disponibilidade
Definir vinculação funcional (a quem o DPO se reportará)
Definir se haverá substituto eventual

Formalização

Redigir portaria ou resolução com base nos modelos acima
Incluir referência ao Art. 41 da LGPD e à Resolução CD/ANPD nº 18/2024
Incluir atribuições do encarregado (§ 2º do Art. 41)
Incluir dispositivo sobre autonomia técnica
Obter assinatura do dirigente máximo
Publicar no Diário Oficial

Publicar nome e contato do DPO no sítio eletrônico oficial (página acessível a partir da home)
Criar e-mail institucional para o DPO (ex.: dpo@municipio.gov.br)
Preencher formulário de cadastro do encarregado no portal da ANPD
Comunicar internamente a nomeação a todas as unidades administrativas

Pós-nomeação

Providenciar capacitação do DPO (cursos ENAP, certificações, treinamentos)
Definir plano de trabalho inicial (inventário de dados, mapeamento de riscos)
Garantir acesso do DPO aos sistemas e informações necessários
Agendar reunião periódica com a alta administração
Documentar tudo — a ANPD pode solicitar comprovação a qualquer momento

A nomeação do DPO é o primeiro passo concreto para a conformidade LGPD no setor público — e precisa ser feita corretamente desde o início. O Confidata é a plataforma que ajuda órgãos públicos a estruturar todo o programa de proteção de dados: do inventário de atividades de tratamento ao RIPD, passando pela gestão de incidentes e pelo canal do titular. Se o seu órgão está nomeando o DPO e precisa de uma ferramenta para dar suporte à atuação dele, conheça o Confidata.