Encarregado terceirizado: quando faz sentido para a PME

Custo-benefício, riscos e armadilhas do DPO externo para empresas que ainda não maturaram a função de proteção de dados.

A diretoria de uma empresa de médio porte recebe um e-mail da ANPD pedindo esclarecimentos sobre um incidente de segurança. O endereço de contato do encarregado, divulgado no rodapé do site, é o de um gerente de TI que pediu demissão há oito meses. Ninguém atualizou. Ninguém respondeu. A autoridade abre processo administrativo sancionador.

Esse cenário — variações dele — explica por que a discussão sobre terceirizar a função de encarregado deixou de ser teórica. Para a pequena e média empresa que processa dados pessoais como parte normal da operação (e isso inclui praticamente todas), a pergunta não é mais se a função existe, mas como mantê-la viva sem inflar o custo fixo.

Este artigo trata do encarregado de dados terceirizado — o chamado DPO as a Service — sob três ângulos: o que a lei e a Autoridade Nacional de Proteção de Dados (ANPD) exigem, quando o modelo terceirizado faz sentido, e quais riscos se escondem em contratos mal desenhados.

O encarregado depois da Resolução CD/ANPD nº 18/2024

A figura do encarregado nasce no art. 41 da Lei 13.709/2018 (LGPD): cabe ao controlador indicar uma pessoa responsável por receber comunicações dos titulares e da Autoridade e por orientar a organização sobre o tratamento de dados.

Durante quase seis anos, a previsão permaneceu genérica. Em julho de 2024, a ANPD publicou a Resolução CD/ANPD nº 18/2024, que aprova o regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais no âmbito da LGPD. A norma trouxe quatro mudanças que afetam diretamente a escolha entre modelo interno e terceirizado:

Indicação formal obrigatória. A indicação deve ocorrer por ato formal — documento escrito, datado e assinado. Não basta colocar o nome no rodapé do site; é preciso instrumento juridicamente válido que comprove a designação.
Pessoa natural ou jurídica. O encarregado pode ser pessoa natural ou jurídica — o que ratifica, em texto regulamentar, a viabilidade do DPO terceirizado contratado por empresa especializada (antes apenas inferido da omissão da lei).
Substituto formalmente designado. A função não pode ficar acéfala. Férias, licença, vacância: tudo deve ser coberto por substituto previamente nomeado, sob pena de a empresa ficar sem canal válido perante a ANPD.
Autonomia técnica e ausência de conflito de interesse. O encarregado deve atuar com ética, integridade e autonomia técnica — barreira clara a indicações de fachada, como o gerente de TI sobrecarregado ou o sócio operacional que decide os próprios tratamentos.

Vale lembrar que o art. 41 da LGPD não impõe certificação profissional específica: o exercício da atividade não pressupõe inscrição em entidade nem formação própria — embora, na prática, conhecimento jurídico e técnico em proteção de dados seja indispensável para que a função tenha efeito real.

A PME está obrigada a ter encarregado?

Aqui mora uma confusão comum. A regra geral do art. 41 da LGPD obriga o controlador a indicar encarregado. Mas a Resolução CD/ANPD nº 2/2022 — específica para agentes de tratamento de pequeno porte — flexibilizou esse dever.

São considerados agentes de pequeno porte microempresas, empresas de pequeno porte, startups, pessoas jurídicas sem fins lucrativos, pessoas naturais e entes privados despersonalizados, dentro dos limites de receita das Leis Complementares 123/2006 e 182/2021. Para esse grupo não há obrigação de indicar encarregado, desde que disponibilizado um canal de comunicação com o titular — lógica reforçada pela Resolução nº 18/2024.

Mas atenção a três armadilhas:

Situação	A flexibilização se aplica?
ME ou EPP dentro do limite de receita e com tratamento de baixo risco	Sim — encarregado dispensado, canal obrigatório
ME ou EPP que faça tratamento de alto risco (dados sensíveis, perfilamento, crianças e adolescentes, vigilância de zona pública, tecnologias emergentes)	Não — encarregado obrigatório
ME ou EPP que pertença a grupo econômico de grande porte	Não — encarregado obrigatório
PME acima dos limites da LC 123/2006	Não — regime geral, encarregado obrigatório

A maior parte das PMEs que pensa em DPO terceirizado já saiu da hipótese de dispensa: ou trata dados sensíveis (clínicas, escolas, RH terceirizado, fintechs), ou faz perfilamento (e-commerce, marketing digital), ou pertence a grupo econômico maior. Ou seja: a obrigação existe, e a discussão real é apenas como cumpri-la.

Mesmo nos casos de dispensa formal, manter um canal funcional de atendimento ao titular continua obrigatório — e implementá-lo sem alguém tecnicamente responsável é receita previsível para incidente.

Encarregado interno vs. terceirizado: comparativo objetivo

Não existe escolha universalmente correta. Existe o ajuste entre porte da empresa, volume de tratamento, sensibilidade dos dados e maturidade do programa de privacidade.

Eixo	Encarregado interno	Encarregado terceirizado
Custo fixo mensal	Salário + encargos (sênior em RJ/SP: ~R$ 12 a 25 mil/mês)	Honorário contratado — usualmente R$ 2,5 a 10 mil/mês conforme a complexidade
Disponibilidade	Integral, presencial	Conforme contrato — exige SLA bem definido
Conhecimento do negócio	Profundo (após a curva de aprendizado)	Genérico no início; especializa-se com o tempo
Independência técnica	Vulnerável à hierarquia interna	Estruturalmente maior — não responde à chefia operacional
Substituição em ausências	Depende do planejamento de RH	Em regra, a contratada já oferece substituto
Risco de conflito de interesse	Alto se acumular função operacional (TI, jurídico, RH)	Baixo — atuação especializada
Atendimento à fiscalização da ANPD	Depende de treinamento contínuo	Em geral, a contratada tem repertório de casos

Para a PME típica — receita entre R$ 5 e 50 milhões, sem departamento jurídico estruturado, tratando dados de clientes, funcionários e parceiros — o modelo interno raramente se sustenta no custo-benefício. Já para empresas que tratam dados sensíveis em escala (saúde, educação, finanças), a tendência é o modelo híbrido: encarregado terceirizado como função formal, somado a um data protection champion interno que centraliza as demandas do dia a dia.

Quando o modelo terceirizado faz sentido — e quando não

A decisão prática gira em torno de cinco perguntas concretas.

Faz sentido terceirizar quando:

a empresa não tem profissional internamente qualificado em LGPD e contratar um sênior dedicado é incompatível com o orçamento;
o volume de tratamento é moderado — fluxos previsíveis, sem operações de altíssimo risco recorrentes;
a operação não exige presença física constante (atendimento de titulares e comunicação com a ANPD é, por natureza, remoto);
a empresa busca rapidez na adequação inicial — uma consultoria especializada entrega em meses o que um profissional interno construiria em anos;
há necessidade de blindagem em momento crítico: rodada de investimento com due diligence de privacidade, expansão para mercado regulado, M&A com cláusula de reps and warranties em LGPD.

Não faz sentido (ou exige cautela redobrada) quando:

o tratamento de dados é a essência do negócio — health techs, insurtechs, plataformas de relacionamento; aqui a função pede presença diária e integração com o produto;
há conflito de interesse estrutural entre a contratada e a contratante (ex.: a mesma firma que presta serviço de marketing pretende atuar como encarregado da empresa cujos dados ela opera — arranjo vedado pelo regulamento da ANPD);
a operação é multinacional e exige presença local em jurisdições com regulação própria;
a empresa nunca passou por mapeamento de dados — terceirizar antes de mapear é colocar o telhado antes da fundação.

Cláusulas essenciais no contrato de DPO externo

Um contrato genérico de prestação de serviço não atende ao papel de encarregado. As cláusulas a seguir são mínimas, não exaustivas.

Designação formal e divulgação. O contrato deve incluir o ato formal de indicação, com nome (se pessoa natural) ou identificação da pessoa jurídica e do profissional responsável. As informações de contato precisam ser divulgadas no site da contratante, em local de fácil acesso (art. 41, § 1º, da LGPD).

Escopo de atuação detalhado. As quatro atribuições do art. 41, § 2º, da LGPD (atendimento a titulares, comunicação com a ANPD, orientação a empregados e contratados, outras definidas pelo controlador) devem estar no contrato. Sem detalhamento, contratante e contratada terminam discutindo, no meio da crise, de quem era a responsabilidade.

SLA de atendimento. Prazos máximos para resposta ao titular (a LGPD prevê 15 dias para confirmação e acesso, art. 19 — o contrato pode ser mais rigoroso), para comunicação interna de incidente e para resposta à ANPD.

Plano de comunicação de incidentes. Quem aciona quem, e em quantas horas. A comunicação à ANPD tem prazo próprio (a Resolução CD/ANPD nº 15/2024 fixou o prazo de reporte) — a empresa precisa estar pronta para cumpri-lo.

Substituto formal. Como exige a Resolução nº 18/2024, o contrato deve indicar previamente quem substitui o encarregado em ausências e impedimentos.

Autonomia técnica. Cláusula expressa de que o encarregado não se subordina à área operacional da contratante e de que suas recomendações constarão de registro escrito — para a empresa não ficar exposta caso uma orientação seja ignorada pela alta administração.

Confidencialidade e segurança da informação. Obviedade que não pode faltar: o encarregado externo terá acesso a dados pessoais e a segredos de negócio.

Cessação da relação. Como se dará a transição, a devolução de documentos e o prazo de sigilo pós-contrato. A saída desorganizada é fonte recorrente de problemas.

Riscos de uma terceirização mal estruturada

A terceirização não é blindagem automática. Quatro riscos práticos merecem atenção.

Captura comercial. Algumas empresas vendem o serviço como pacote padronizado e descontinuam a atenção depois do onboarding — a função vira carimbo. Quando o incidente acontece, o contrato é vago e ninguém responde a tempo. Mitigação: SLA escrito, reuniões mensais obrigatórias, relatórios trimestrais documentados.

Conflito de interesse. Vale repetir: a mesma empresa que presta serviço de tecnologia, marketing ou call center — e que, portanto, atua como operadora no fluxo de dados — não deve ser o encarregado do controlador. É arranjo que fragiliza a independência exigida pelo regulamento.

Não conformidade da própria contratada. O encarregado externo precisa ser, ele mesmo, conforme à LGPD. Vale pedir a política de proteção de dados, as credenciais dos profissionais e o termo de confidencialidade assinado pela equipe que terá acesso.

Descontinuidade. O que acontece se a contratada encerrar atividades, sofrer incidente grave ou perder o profissional-chave? O contrato deve prever continuidade — base de conhecimento, documentação atualizada, plano de substituição.

Em pareceres prestados a entidades atendidas pelo escritório, observa-se um padrão: a maior parte das autuações da ANPD em PMEs decorre não da ausência de um programa de privacidade, mas da ausência de canal funcional de atendimento ao titular e do descumprimento de prazos de resposta. O encarregado terceirizado mal contratado replica exatamente esse vazio — com a desvantagem extra de o contrato sugerir que “alguém está cuidando”.

Boas práticas para contratar o encarregado externo

Mapeie antes. Levante quais dados a empresa trata, em quais bases legais e para quais finalidades. Sem isso, o encarregado entra cego.
Defina o ponto focal interno. Mesmo com DPO externo, alguém dentro da empresa precisa receber demandas operacionais e repassar. Sem ponto focal, a comunicação trava.
Avalie a maturidade técnica do prestador. Peça referências, exemplos de relatórios produzidos e o perfil dos profissionais alocados.
Negocie SLA específico. Prazos curtos para resposta ao titular e a incidentes; multas contratuais quando relevantes.
Exija a formalização da indicação. Ato formal escrito, publicação no site, substituto designado.
Estabeleça periodicidade obrigatória. Reuniões mensais com relatório, revisão semestral de processos, atualização anual do mapeamento.
Não termine o contrato sem transição. Preveja uma fase de transferência de conhecimento caso o vínculo encerre.

Considerações finais

O encarregado terceirizado é uma estrutura jurídica legítima e, para a maior parte das PMEs brasileiras, economicamente racional. Mas a Resolução CD/ANPD nº 18/2024 elevou o nível de exigência: indicação formal, substituto designado, autonomia técnica e vedação ao conflito de interesse transformaram o que era prática informal em função regulamentada.

Para a empresa que pondera o modelo, o ponto crítico não é a decisão entre interno e externo — é a qualidade do contrato e a continuidade da operação. Um encarregado externo bem contratado oferece maturidade jurídica e técnica que a maioria das PMEs não consegue replicar internamente. Mal contratado, vira ficha técnica decorativa que não responde quando a ANPD pergunta.

A pergunta correta, portanto, não é “vale a pena terceirizar?”, mas “como estruturar a terceirização para que ela cumpra o que a lei e o regulamento exigem?”. Essa é a discussão que vale ser feita antes da contratação — não depois do incidente.

Perguntas frequentes

A pequena empresa é obrigada a ter encarregado de dados?

Depende do enquadramento. Microempresas e EPPs dentro dos limites da LC 123/2006, que não realizem tratamento de alto risco e não pertençam a grupo econômico maior, estão dispensadas da indicação formal pelo regulamento da ANPD (Resolução nº 2/2022), mas precisam manter canal de comunicação com o titular. Acima desses limites, a indicação volta a ser obrigatória.

O encarregado precisa ter formação em Direito?

Não. A LGPD e a Resolução CD/ANPD nº 18/2024 não exigem inscrição em conselho, certificação ou formação específica. Na prática, espera-se conhecimento jurídico em proteção de dados e conhecimento técnico em segurança da informação — independentemente do diploma de origem.

O encarregado pode ser pessoa jurídica?

Sim. O regulamento da ANPD admite expressamente que a função seja exercida por pessoa natural ou jurídica. Quando contratada por meio de empresa, o contrato deve identificar o profissional responsável pela operação cotidiana da função.

Posso indicar como encarregado a empresa que já presta serviço de TI ou marketing para a minha?

Em regra, não. Se a prestadora atua como operadora no fluxo de dados da contratante, indicá-la como encarregado configura conflito de interesse vedado pelo regulamento da ANPD. O encarregado deve ter autonomia técnica em relação às áreas que operam os dados.

Qual o prazo para indicar encarregado depois de uma autuação da ANPD?

Não há prazo regulamentar único — a ANPD costuma fixá-lo em cada notificação. Mas o ponto relevante é outro: indicar encarregado depois da autuação não afasta a sanção pelo descumprimento prévio. A obrigação existe desde a entrada em vigor da LGPD.

Leitura complementar: a página de Áreas de atuação reúne as frentes do escritório, incluindo Compliance e LGPD — programa de integridade, adequação à LGPD e atuação como encarregado.