Proteção de Dados

O sócio da Empresa pode ser o Encarregado de Proteção de Dados (DPO)? Entenda as regras e o risco de conflito de interesses

Escrito por Maria Andrade, advogada especialista em proteção de dados e LGPD para empresas de tecnologia e fintechs na NDM Advogados.

Desde 2014 oferecemos assessoria jurídica e contábil completa para empresas tech crescerem com segurança e poderem focar no que importa.

Atualizado em 02/07/2026

A adequação à Lei Geral de Proteção de Dados (LGPD) impõe desafios estruturais diretos para empresas de tecnologia e do setor financeiro. Um dos mais frequentes é a nomeação formal de um encarregado de proteção de dados (DPO). Na tentativa de otimizar custos operacionais e centralizar o controle, é comum que a alta gestão considere alocar essa função para um dos sócios ou fundadores do negócio.

No entanto, essa escolha aparentemente simples esbarra em um obstáculo regulatório crítico: o conflito de interesses. A Agência Nacional de Proteção de Dados (ANPD) possui diretrizes claras sobre a independência necessária para exercer essa função, inviabilizando que quem dita as regras comerciais da empresa também seja a pessoa responsável por fiscalizar sua própria conformidade.

Neste artigo, vamos detalhar o papel desse profissional de forma direta, explicando quando sua indicação é obrigatória por lei e por que acumular a função de sócio executivo e encarregado de proteção de dados (DPO) pode gerar um passivo regulatório pesado para a sua empresa.

O que é e quais as atribuições do encarregado de proteção de dados (DPO)?

O encarregado pelo tratamento de dados pessoais, amplamente conhecido pelo mercado pela sigla DPO (Data Protection Officer), atua como o grande maestro da governança de privacidade de uma organização. Ele é o ponto focal oficial de comunicação entre três frentes essenciais: a sua empresa (responsável pelo tratamento de dados pessoais), os usuários (titulares) e a ANPD.

Na prática, as atribuições desse profissional vão muito além de gerenciar uma caixa de e-mails. Ele é o responsável legal por aceitar reclamações dos titulares, prestar esclarecimentos técnicos e adotar as providências internas necessárias para garantir que os direitos de privacidade dos clientes sejam rigorosamente respeitados.

Além disso, o encarregado de proteção de dados (DPO) tem o dever contínuo de orientar os funcionários e os prestadores de serviço da empresa sobre as melhores práticas de segurança da informação. Isso significa garantir que inovações do seu negócio, como a integração de novas tecnologias, ferramentas ou funcionalidades, ocorram de forma alinhada à legislação.

Vale destacar que a lei brasileira exige transparência absoluta sobre essa função. A identidade e as informações de contato do DPO devem ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no rodapé ou na página de privacidade do site da sua empresa.

Quando a nomeação do encarregado de proteção de dados (DPO) é obrigatória?

A regra matriz estabelecida pelo artigo 41 da LGPD não deixa muito espaço para dúvidas: todo controlador de dados tem a obrigação de indicar um encarregado de proteção de dados (DPO). 

Por outro lado, a ANPD publicou a Resolução CD/ANPD nº 2/2022, que flexibiliza essa exigência para os chamados “agentes de tratamento de pequeno porte”. Microempresas, empresas de pequeno porte e startups em fase inicial estão, em tese, dispensadas da nomeação formal, desde que não realizem tratamento de dados de alto risco.

O que poucos empresários percebem é que, operando nos setores financeiro ou de tecnologia avançada, o “alto risco” é quase inevitável. Se a sua fintech processa dados bancários, utiliza IA para tomada de decisão ou capta biometria para KYC (Know Your Customer), a dispensa provavelmente não vai se aplicar.

Mesmo nos cenários onde a dispensa se aplica, a própria agência reguladora e o mercado investidor consideram a manutenção de um DPO como uma excelente prática de governança corporativa. Plataformas que buscam rodadas de investimento invariavelmente precisam comprovar maturidade nessa área.

O sócio da empresa pode assumir a função? O perigo do conflito de interesses

Chegamos à questão central que costuma gerar atrito nos conselhos de administração: o sócio-fundador pode assumir o cargo de DPO? Do ponto de vista estritamente técnico e textual, a lei não proíbe que um funcionário ou parceiro acumule funções. Porém, devido ao princípio do conflito de interesses, a resposta para a alta gestão é não.

O conflito de interesses se materializa quando a mesma pessoa responsável por determinar os “meios e as finalidades” do uso dos dados é incumbida de fiscalizar se esse uso é legal. Um sócio, CEO ou CTO toma decisões comerciais diárias focadas em lucro, escalabilidade e conversão de leads.

Isso significa que, se esse mesmo executivo atuar como encarregado de proteção de dados (DPO), ele estaria, na prática, auditando e aprovando as suas próprias decisões estratégicas. Essa dinâmica anula por completo a independência e a imparcialidade essenciais à função regulatória.

checklist de adequação à LGPD

O rigor da Resolução nº 18 da ANPD sobre a independência do DPO

Para acabar com a insegurança jurídica do mercado, a ANPD publicou a Resolução CD/ANPD nº 18, em julho de 2024. Esse normativo regulamentou definitivamente a atuação do encarregado e jogou luz sobre as zonas de conflito corporativo.

A resolução estabelece taxativamente que o DPO deve possuir autonomia técnica plena, não podendo estar sujeito a pressões hierárquicas, punições ou instruções diretas que afetem suas deliberações sobre a privacidade dos usuários.

Ao mesmo tempo, o texto determina que o conflito de interesses se configura quando o acúmulo de cargos compromete a objetividade do profissional. Se durante uma fiscalização a ANPD comprovar que o encarregado é também o tomador de decisão comercial, a nomeação pode ser anulada, gerando multas por descumprimento da LGPD.

Tabela Comparativa: Funções Compatíveis vs. Conflitantes

Para desenhar o organograma da sua empresa com segurança e evitar sanções, é essencial mapear preventivamente quais cadeiras colidem com a independência exigida do DPO. A tabela abaixo analisa o nível de risco das principais posições de liderança, servindo como guia para a sua governança.

Posição na EmpresaNível de RiscoAnálise de Conflito de Interesses
Sócio / CEOAltíssimoDefine o core business, o orçamento e o uso dos dados. Fiscalizaria suas próprias metas operacionais, inviabilizando a atuação.
CTO / Diretor de TIAltíssimoEscolhe fornecedores de cloud, arquitetura de dados e implementa IAs. O conflito é direto com a auditoria de segurança da informação.
CMO / Diretor de MarketingAltoUtiliza vastas bases de dados para segmentação e compra de mídia visando lucro direto. Foco na conversão esbarra nos limites da privacidade.
Compliance / Advogado InternoBaixo/MédioGeralmente compatível, desde que focado em adequação de riscos. O cuidado é não permitir que ele atue processualmente contra titulares.
DPO as a Service (Externo)Nulo (Ideal)Terceirizado e blindado. Não possui cota societária nem subordinação comercial direta, assegurando total imparcialidade perante a ANPD.

Na prática, a separação rigorosa entre quem executa a estratégia de crescimento e quem avalia o compliance de dados é o único caminho para proteger a empresa. Para mitigar o passivo regulatório, a decisão mais madura é estruturar a função em áreas neutras ou contratar a posição de forma terceirizada.

https://privacidadelgpd.ndmadvogados.com.br/

Conclusão

Em resumo, crescer com segurança requer profissionalização imediata da governança. O papel do empresário é liderar a inovação tecnológica do negócio, delegando a gestão da conformidade a especialistas independentes. Se a sua empresa busca estruturar o modelo de DPO as a Service para garantir imparcialidade e conformidade regulatória, a equipe da NDM Advogados têm o conhecimento técnico para blindar a sua operação.

FAQ

O que é o DPO?

A sigla vem do inglês Data Protection Officer. Na lei brasileira (LGPD), o cargo foi traduzido oficialmente como “Encarregado pelo Tratamento de Dados Pessoais”, sendo o responsável pela comunicação entre a empresa, os titulares dos dados e a agência reguladora.

Minha empresa é de pequeno porte, sou obrigado a ter um DPO?

A Resolução nº 2/2022 dispensa agentes de pequeno porte dessa obrigação formal, porém, alguns critérios precisam ser preenchidos, como não tratar dados pessoais em larga escala, usar tecnologias inovadoras, tratar dados pessoais sensíveis ou de crianças, adolescentes e idosos, etc.

A empresa pode ser multada se o DPO for considerado inválido pela ANPD?

 Se a ANPD constatar que há conflito de interesses (por exemplo, o sócio atuando como DPO), a nomeação perde a validade jurídica. A empresa será considerada sem encarregado, sujeitando-se a multas que podem chegar a 2% do faturamento.

É permitido terceirizar a função de encarregado de proteção de dados?

Sim, é uma prática não apenas permitida, mas também recomendada pela ANPD. A contratação de um “DPO as a Service” (escritório ou consultoria externa) elimina o risco de subordinação hierárquica e resolve o problema do conflito de interesses.

Onde as informações do DPO devem ficar disponíveis?

A LGPD exige que a identidade e os contatos do encarregado de proteção de dados sejam divulgados de forma pública, clara e acessível, sendo o padrão de mercado mantê-los no Aviso de Privacidade ou em uma página dedicada no site da empresa.

NDM Advogados especializado em fintechs, startups, instituições de pagamento e empresas de tecnologia https://contato.ndmadvogados.com.br/?utm_source=banner_blog&utm_medium=blog&utm_campaign=contato_lovable_home_botao_lateral&utm_content=contato_lovable_home_botao_lateral
Compartilhe esse conteúdo

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Fique por dentro das nossas novidades!

Inscreva-se para receber atualizações exclusivas.

Entre em
contato conosco

Estamos prontos para ajudar sua startup a crescer. Agende uma consulta e saiba mais!

Estamos prontos para ajudar seu negócio a crescer. Agende uma consulta e saiba mais!