A pergunta mais comum de gestores de media empresa: "somos obrigados a ter DPO?" A resposta honesta: depende - mas o risco de nao ter quando deveria e alto demais para ignorar.
O que a LGPD diz
O art. 41 da LGPD obriga a nomeacao de DPO para controladores. A lei nao define porte minimo, volume minimo nem setor especifico. Ate o momento nao ha isencao formal publicada para empresas de medio porte.
Os sinais de que voce precisa de DPO
- Trata dados de saude, biometria, origem etnica ou dados de menores? DPO obrigatorio, sem discussao.
- Mais de 500 clientes com dados cadastrais ativos? Trate como obrigatorio.
- Decisao automatizada sobre pessoas (credito, triagem, promocao)? DPO obrigatorio.
- Fornecedor do governo federal? DPO obrigatorio por contrato.
- Clientes que pedem prova de conformidade LGPD? DPO resolve isso.
DPO interno vs externo
DPO interno (R$ 8-15k/mes) faz sentido para empresas com >500 funcionarios e alto volume de tratamento.
DPO externo (R$ 2-5k/mes) faz sentido para PMEs com tratamento moderado que precisam da figura para contratos.
Cuidado: DPO externo que assina documentos mas nao participa de decisoes e risco - a ANPD pode responsabilizar tanto o controlador quanto o DPO.
O custo de nao ter quando deveria
Ausencia de DPO em empresa que deveria ter e agravante na dosimetria. Em empresas com faturamento de R$ 100 mi+/ano, isso pode representar diferenca de R$ 1-2 mi por infracao.
Anderson Chipak - Auditor de Sistemas Criticos | ALC Consultoria | alc.srv.br
Top comments (0)