DPO e Carreira14 min de leitura

Os primeiros 90 dias de um DPO: guia de sobrevivência e plano de ação

Equipe Confidata·
Compartilhar

Você acabou de ser nomeado DPO — encarregado de dados pessoais da sua organização. Talvez tenha assumido um cargo recém-criado, com quase nada estruturado. Talvez esteja substituindo alguém que não entregou o que prometia. Em qualquer caso, você enfrenta um desafio comum a todo DPO iniciante: por onde começar, o que priorizar e como construir credibilidade rápido o suficiente para garantir recursos e apoio.

Os primeiros 90 dias definem o padrão. Este guia oferece um roteiro estruturado — mês a mês — para que você comece da forma certa.

Por que os primeiros 90 dias são críticos

O DPO que chega e imediatamente começa a apontar problemas sem entender o contexto perde aliados antes de precisar deles. O DPO que chega e passa meses estudando sem entregar nenhum resultado perde credibilidade antes de construir qualquer programa. O equilíbrio está em investigar profundamente antes de agir — mas agir visivelmente dentro do primeiro trimestre.

Os 90 dias iniciais são o período em que você:

  • Constrói relacionamento com os stakeholders que precisará influenciar
  • Entende o estado real da organização (diferente do que os documentos mostram)
  • Identifica os riscos mais urgentes
  • Entrega algumas "vitórias rápidas" que demonstram valor
  • Apresenta ao C-level um plano realista com marcos e prioridades

Ao final dos 90 dias, você deve ter um diagnóstico documentado e um plano aprovado — mesmo que a implementação plena leve meses ou anos.

Mês 1 (dias 1–30): entender o terreno

O primeiro mês não é de implementação — é de investigação. Resista à tentação de fazer mudanças antes de entender profundamente onde está.

Semana 1: orientação e mapeamento inicial

1. Encontre o que já existe

Antes de qualquer reunião, faça um inventário do que já está documentado:

  • Existe política de privacidade? Está publicada? Está atualizada?
  • Existe inventário de dados ou ROPA (Registro de Operações de Tratamento)?
  • Existe política de segurança da informação?
  • Existem contratos com fornecedores com cláusulas de proteção de dados (DPAs)?
  • Existe canal de atendimento ao titular? Alguém responde?
  • Houve incidentes anteriores? Como foram tratados?
  • A indicação do DPO está publicada no site?

O que você encontra (ou não encontra) nessa primeira semana define a linha de base do seu diagnóstico.

2. Identifique seus stakeholders

Mapeie quem são as pessoas que você precisará convencer, envolver ou depender:

  • CEO e/ou C-level: quem patrocina o programa de privacidade?
  • TI e segurança: onde estão os dados e quem controla os sistemas?
  • Jurídico: quem assina contratos e cuida de questões regulatórias?
  • RH: quem trata dados de colaboradores?
  • Marketing: quem trata dados de clientes e usa ferramentas de automação?
  • Financeiro/comercial: quem trata dados de pagamentos e contratos?
  • Operações: quem usa sistemas com dados pessoais no dia a dia?

3. Agende reuniões de escuta

Nos primeiros 15 dias, agende reuniões de 30–45 minutos com cada stakeholder identificado. Não para apresentar soluções — para escutar. Perguntas úteis:

  • "O que te preocupa sobre proteção de dados na sua área?"
  • "Quais processos da sua área envolvem dados pessoais de clientes ou colaboradores?"
  • "O que você acha que está funcionando bem? O que está problemático?"
  • "O que você precisaria do programa de privacidade para facilitar seu trabalho?"

Essas conversas valem mais do que qualquer auditoria formal nas primeiras semanas.

Semanas 2–4: diagnóstico aprofundado

4. Mapeie os tratamentos de dados

Com base nas reuniões e nos documentos existentes, faça um inventário preliminar:

  • Quais áreas da empresa coletam dados pessoais?
  • Quais sistemas armazenam dados pessoais (CRM, ERP, folha de pagamento, e-commerce)?
  • Quais dados sensíveis são tratados (saúde, biometria, dados financeiros, de crianças)?
  • Quais fornecedores têm acesso a dados pessoais?
  • Há transferências internacionais de dados?

Não precisa ser completo agora — é um mapeamento preliminar para orientar o diagnóstico.

5. Avalie o nível de maturidade

Com base no que encontrou, avalie a maturidade do programa em uma escala simples (inicial, básico, intermediário, avançado) para cada dimensão:

  • Governança e documentação (ROPA, RIPD, políticas)
  • Segurança da informação (controles técnicos, gestão de incidentes)
  • Direitos dos titulares (canal de atendimento, processos de resposta)
  • Fornecedores (due diligence, DPAs)
  • Treinamento e cultura (conhecimento da equipe)
  • Base legal (bases legais documentadas para cada tratamento)

6. Identifique os riscos mais urgentes

O diagnóstico deve destacar os 3–5 riscos mais urgentes — aqueles que, se materializados, causariam maior dano regulatório, financeiro ou reputacional. Esses serão os primeiros alvos do seu plano de ação.

Mês 2 (dias 31–60): diagnóstico, plano e primeiros resultados

Semana 5–6: consolidar o diagnóstico

7. Produza o relatório de diagnóstico

O diagnóstico deve ser um documento escrito, não uma planilha informal. Ele serve como:

  • Linha de base documentada do estado inicial do programa
  • Argumento para a alta direção sobre o que precisa de recursos
  • Proteção profissional para o DPO (documenta o estado que encontrou ao assumir)

Estrutura recomendada:

  • Sumário executivo (1 página para o C-level)
  • Inventário do que foi encontrado
  • Avaliação de maturidade por dimensão
  • Riscos identificados (priorizados por impacto e urgência)
  • Recomendações iniciais

8. Valide o diagnóstico com stakeholders-chave

Antes de apresentar à alta direção, compartilhe o diagnóstico (ou partes dele) com o jurídico, TI e o gestor de negócio mais afetado. Isso:

  • Corrige eventuais informações incorretas
  • Cria senso de participação (as pessoas apoiam o que ajudaram a construir)
  • Evita surpresas políticas na apresentação ao C-level

Semana 7–8: construir o plano de ação

9. Elabore o plano de ação com prioridades claras

O plano de ação deve ter:

  • Iniciativas priorizadas (P1: urgente/alto risco, P2: importante, P3: melhoria contínua)
  • Para cada iniciativa: responsável, prazo, recursos necessários, critério de conclusão
  • Estimativa de esforço e recursos para cada prioridade
  • Marco de 90 dias, 6 meses e 12 meses

Seja realista sobre o que pode ser feito com os recursos disponíveis. Um plano ambicioso e não cumprido é pior do que um plano modesto e executado.

10. Entregue "quick wins" visíveis

Enquanto elabora o plano de longo prazo, identifique e execute algumas melhorias rápidas (1–2 semanas de esforço) que demonstrem valor imediato:

  • Atualizar a política de privacidade desatualizada
  • Publicar formalmente a indicação do DPO no site
  • Criar (ou atualizar) o canal de atendimento ao titular
  • Formalizar um template de DPA para uso com fornecedores
  • Mapear um processo de alto risco que não tinha base legal documentada

Essas entregas criam credibilidade para o plano maior.

Mês 3 (dias 61–90): apresentar, aprovar e executar

Semanas 9–10: apresentar ao C-level

11. Prepare a apresentação executiva

A apresentação ao C-level deve:

  • Ser objetiva e visual (máximo 10–12 slides)
  • Mostrar o diagnóstico em termos de risco de negócio, não apenas legal
  • Quantificar os riscos quando possível (potencial de multa, exposição reputacional)
  • Propor o plano com os recursos necessários
  • Pedir aprovação formal para executar

12. Posicione a conformidade como vantagem competitiva

O argumento mais eficaz para o C-level não é "precisamos fazer isso porque a lei exige" — é "isso nos protege de riscos que custam mais do que o programa, e nos posiciona melhor perante clientes B2B que exigem conformidade comprovada."

Traga dados do setor, exemplos de multas da ANPD ou internacionais, e exemplos de contratos perdidos por falta de conformidade.

Semanas 11–12: executar as primeiras iniciativas aprovadas

13. Inicie os treinamentos

Com o diagnóstico e o plano aprovados, comece o treinamento das áreas com maior exposição de risco. O treinamento é investimento de alto retorno — equipes treinadas cometem menos erros e acionam o DPO antes de um problema se tornar crise.

14. Implemente os controles prioritários

Com base no plano aprovado, inicie a implementação dos controles de mais alto impacto — tipicamente: base legal documentada para tratamentos críticos, canal de titular funcional, DPAs com os 5 fornecedores mais importantes.

15. Estabeleça o ritmo de reporte

Defina com o C-level a cadência de atualização: reunião trimestral de status? Dashboard mensal? Relatório anual ao conselho? Estabeleça esse ritmo no primeiro trimestre — não espere que o C-level pergunte.

O que não fazer nos primeiros 90 dias

Não tente resolver tudo de uma vez. O programa de conformidade com a LGPD é uma jornada de meses ou anos. Tentar fazer tudo ao mesmo tempo resulta em nada feito bem.

Não opere sozinho. O DPO não constrói conformidade no silêncio — constrói com as áreas de negócio. Envolva, não imponha.

Não seja o "departamento do não". DPOs que bloqueiam iniciativas de negócio sem oferecer alternativas perdem apoio rapidamente. O papel do DPO é orientar como fazer — não apenas apontar o que não pode.

Não negligencie a documentação. Desde o primeiro dia, documente o que encontrou, o que decidiu e por quê. Essa documentação é sua proteção profissional e evidência de boa-fé perante a ANPD.

Não ignore o informal. Muito do tratamento de dados acontece fora dos sistemas formais — planilhas de Excel com dados de clientes, e-mails com dados de colaboradores, grupos de WhatsApp com informações sensíveis. O diagnóstico deve alcançar o informal, não apenas o documentado.

Conclusão: os 90 dias são o fundamento, não o programa

Ao final de 90 dias, você terá um diagnóstico documentado, um plano aprovado, algumas entregas concretas e uma rede de stakeholders que entende e apoia o programa. Isso é o fundamento — o programa em si se constrói nos meses e anos seguintes.

O DPO que planta bem os primeiros 90 dias colhe um programa que cresce com o apoio da organização. O que não planta bem passa os anos seguintes lutando por recursos e credibilidade que nunca chegam.

Para um guia prático e organizado dos primeiros passos no programa de conformidade.

Baixe o eBook "10 Primeiros Passos para a Conformidade LGPD" e acelere a estruturação do seu programa desde os primeiros dias.

Compartilhar
#primeiros dias DPO#DPO iniciante LGPD#plano ação encarregado#como começar DPO#DPO recém-nomeado#encarregado dados pessoais

Artigos relacionados

Checklist completo para um DPO iniciante: 50 itens para os primeiros 6 mesesDPO e Carreira · 12 minDPO em Hospitais: Como Estruturar o Cargo na PráticaDPO e Carreira · 13 minPlanilha vs Sistema de Conformidade LGPD: ComparativoDPO e Carreira · 10 minDPO em Órgão Público: Modelo de Portaria e Resolução [2026]DPO e Carreira · 14 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista