Pular para o conteúdo
CIVITRIA — Tecnologia para governos

Comparativo

DPO interno vs terceirizado: qual modelo escolher.

A LGPD obriga todo controlador — incluindo entes públicos — a indicar formalmente um encarregado pelo tratamento de dados pessoais. Como cumprir essa obrigação varia muito: servidor concursado dedicado, comissionado acumulado, consultoria externa, escritório especializado. Este comparativo organiza os critérios reais.

Por Rodrígo Dell · Cofundador e CTO·· 9 min de leitura

Em resumo

DPO interno garante autonomia institucional, conhecimento da operação real e custo de longo prazo controlado, mas exige formação técnica que poucos servidores têm. DPO terceirizado entrega capacidade especializada imediata e custo previsível, em troca de menor profundidade operacional e dependência contratual. Em entes médios e grandes, o modelo híbrido — encarregado interno apoiado por consultoria externa — costuma ser o mais defensável.

O que a LGPD exige sobre o encarregado

A Lei Geral de Proteção de Dados (Lei 13.709/2018) determina, no art. 41, que o controlador deve indicar encarregado pelo tratamento de dados pessoais. Para o setor público, essa obrigação foi reforçada pela Lei 13.853/2019 e por regulamentações posteriores da ANPD. Não há isenção pelo fato de ser ente público — toda prefeitura, autarquia, secretaria estadual e órgão federal precisa cumprir.

A lei é silenciosa sobre a forma de contratação. Diz apenas que o encarregado precisa atuar como canal entre titulares de dados, a organização e a ANPD, e que sua identidade e contato precisam ser divulgados publicamente. Não exige cargo dedicado, formação específica nem vínculo determinado. Isso abre espaço para modelos muito diferentes — e gera dúvida prática sobre qual escolher.

Na prática, as três modalidades mais frequentes no setor público brasileiro são: encarregado interno (servidor da casa, com ou sem dedicação exclusiva), encarregado terceirizado (consultoria externa contratada via licitação) ou modelo híbrido (servidor interno com apoio de consultoria especializada). Cada modalidade tem implicações concretas que valem ser examinadas em profundidade.

O que muda entre os dois modelos na prática diária

Encarregado interno está no organograma da casa. Conhece o tributário porque trabalhou nele, conhece a saúde porque a operação acontece três salas adiante, conhece o protocolo porque viu a fila do balcão de manhã. Tem acesso natural a colegas, a gestores, a sistemas — e é visto como parte da instituição quando precisa solicitar mudança operacional.

Encarregado terceirizado entra na casa por contrato. Conhece a operação por entrevista e documentação, tem acesso aos sistemas conforme cláusula contratual, e é visto como auditor externo (ou consultor) — não como parte. Isso tem vantagens (distanciamento institucional, capacidade de dizer o que servidor interno não diria) e desvantagens (resistência interna, lentidão para destravar acesso a sistemas, fadiga contratual em projetos longos).

Diferença prática número um: quando um servidor recebe pedido de titular (cidadão pedindo acesso aos próprios dados, retificação, exclusão), para quem ele encaminha? Para o servidor que conhece de café, ou para o telefone da consultoria? A primeira opção tem latência menor e adoção interna mais alta. A segunda exige fluxo formalizado que sobreviva à formalização — e nem sempre sobrevive.

Quando o encarregado interno é a escolha defensável?

Quatro cenários favorecem o encarregado interno no setor público brasileiro:

Ente com servidor qualificado disponível

Quando há servidor concursado com formação em direito, tecnologia ou gestão pública que possa absorver a função (com ou sem acúmulo de atribuição), o encarregado interno se viabiliza. O custo é o tempo do servidor — significativo, mas absorvível na máquina existente.

Operação altamente customizada e específica

Entes que tratam dados em fluxos específicos (saúde indígena, assistência social municipal, segurança estadual) ganham com encarregado que conhece o detalhe operacional. Consultoria externa precisa de meses para mapear o que servidor interno conhece naturalmente.

Horizonte longo e estabilidade institucional

Estado ou capital com gestão técnica estável e plano de governança de dados de longo prazo se beneficia de continuidade do encarregado. Consultoria externa rotativa por contrato perde memória institucional a cada troca; servidor interno acumula contexto.

Cultura interna de governança madura

Quando a instituição já tem cultura de comitê multissetorial, governança de TI estruturada e jurídico engajado em proteção de dados, o encarregado interno encaixa naturalmente — opera com colegas que entendem o tema. Em cultura imatura, encarregado interno isolado vira figura simbólica sem efeito.

Quando o encarregado terceirizado é a escolha defensável?

Cenários opostos favorecem terceirização:

Ausência de servidor qualificado disponível

Prefeituras pequenas e médias frequentemente não têm em quadro servidor com formação específica em LGPD. Forçar acúmulo em servidor inadequado vira função simbólica — alguém com cartão de visita de "encarregado" mas sem capacidade real de orientar. Terceirizar entrega especialização imediata.

Necessidade de partir do zero rapidamente

Quando o ente nunca teve programa de privacidade e precisa estruturar o básico em prazo curto (ROPA inicial, política de privacidade, canal ao titular, primeiro DPIA), consultoria externa especializada destrava em semanas o que servidor interno aprendendo do zero levaria muitos meses para entregar.

Operação pequena com pouca complexidade

Prefeituras de até 30 mil habitantes, com poucos sistemas e operação concentrada em ERP único, raramente justificam dedicação interna. Encarregado terceirizado com contrato de algumas dezenas de horas por mês cobre a obrigação legal com custo previsível e capacidade técnica adequada.

Necessidade de distanciamento institucional

Em alguns cenários — investigação de incidente significativo, pareceres sensíveis sobre uso de dado, conflito político sobre acesso — o distanciamento de consultor externo é vantagem. Servidor interno sob hierarquia direta pode ter dificuldade de emitir parecer que contrarie o chefe; o externo, não.

Como comparar o custo dos dois modelos?

Custo de encarregado interno em ente médio (prefeitura entre 50 e 500 mil habitantes) tem três componentes: parcela do salário do servidor que assume a função (geralmente 20% a 50% de uma cadeira), formação inicial (curso especializado, entre R$ 5 mil e R$ 15 mil por servidor) e infraestrutura mínima (canal de atendimento, ferramentas de inventário). Total anual estimado: R$ 40 mil a R$ 120 mil para uma operação modesta.

Custo de encarregado terceirizado no mesmo ente tem geralmente um contrato mensal fixo. Faixa observada no mercado brasileiro: R$ 4 mil a R$ 15 mil mensais para ente pequeno e médio, conforme escopo (presença mensal, suporte sob demanda, profundidade da consultoria). Total anual estimado: R$ 50 mil a R$ 180 mil.

Custo do modelo híbrido — servidor interno como encarregado formal apoiado por consultoria especializada para temas avançados (DPIAs complexas, defesa em apontamento ANPD, treinamentos) — combina os dois: cerca de R$ 30 mil a R$ 80 mil em consultoria sob demanda mais o custo interno do servidor. Total anual estimado: R$ 60 mil a R$ 150 mil, com vantagem qualitativa que costuma compensar.

Comparação direta engana porque o entregável real difere. Encarregado interno entrega presença e adoção; encarregado terceirizado entrega especialização e velocidade de marcos formais; modelo híbrido entrega ambos, ao custo de mais coordenação. A decisão racional considera não apenas o valor, mas o que a casa precisa de fato.

Quais são os riscos institucionais de cada modelo?

Risco de encarregado interno isolado: vira figura decorativa quando não tem patrocínio do alto comando ou autonomia técnica real. Frequente em prefeituras onde o encarregado foi nomeado por circular sem mudança operacional efetiva. A ANPD, em fiscalização, encontra encarregado nomeado e ROPA vazio — situação pior do que ter encarregado terceirizado funcional.

Risco de encarregado terceirizado desconectado: vira função formal sem efeito operacional, especialmente quando o contrato é dimensionado pelo barato (poucas horas por mês, equipe rotativa). Aparece quando há pedido formal de titular ou auditoria — e a resposta sai genérica, sem aderência à operação real do ente.

Risco do modelo híbrido mal coordenado: quando o servidor interno e a consultoria operam sem rito claro, sobrepõem-se ou se ignoram, e a operação fica entre duas cadeiras. O risco é controlável com governança clara — comitê de governança de dados, rito de reunião mensal, divisão explícita do que cabe ao interno e ao externo.

Risco compartilhado pelos três modelos: o encarregado existe, mas a operação não muda. Sem patrocínio do alto comando — prefeito, secretário, governador — qualquer modelo vira simbólico. A escolha do modelo é importante; mais importante ainda é o quanto a instituição leva o tema a sério.

Por onde começar a decisão

Primeiro: diagnóstico do ente. Há servidor qualificado disponível? Há orçamento para contratar consultoria? A operação é simples ou complexa? Sem essa leitura honesta, qualquer modelo é palpite.

Segundo: começar com nomeação formal independente do modelo final. A LGPD exige a nomeação publicada — não pode esperar a contratação ideal. Em ente pequeno, nomear servidor interno mesmo que sem preparo completo é melhor que postergar; o desenvolvimento da função vem em ciclos.

Terceiro: revisar em ciclo. O modelo certo para o primeiro ano pode não ser o melhor para o terceiro. Ente que começou com terceirização pode amadurecer e internalizar; ente que começou com internalização pode descobrir que precisa de apoio externo em fases específicas. Decisão revisitada anualmente, com base em evidência operacional, fica melhor que decisão tomada uma vez e esquecida.

O modelo híbrido — encarregado interno apoiado por consultoria externa especializada em temas pontuais — é, na prática, o mais defensável para entes médios e grandes. Combina adoção interna com especialização externa, distribui o custo entre folha e contratos, e mantém memória institucional sem sacrificar profundidade técnica.

Resumo factual

O que fica do artigo

  • A LGPD (art. 41) obriga todo controlador, incluindo entes públicos, a indicar encarregado pelo tratamento de dados pessoais, com identidade e contato divulgados publicamente — sem definir forma de contratação ou vínculo.
  • Encarregado interno (servidor da casa) garante autonomia institucional, conhecimento da operação real e custo de longo prazo controlado, mas exige formação técnica que poucos servidores têm originalmente.
  • Encarregado terceirizado (consultoria externa) entrega capacidade especializada imediata e custo previsível, com vantagem de distanciamento institucional para pareceres sensíveis, mas tem menor profundidade operacional e gera dependência contratual.
  • Custo anual aproximado em ente médio (50 a 500 mil habitantes): encarregado interno R$ 40 mil a R$ 120 mil; encarregado terceirizado R$ 50 mil a R$ 180 mil; modelo híbrido R$ 60 mil a R$ 150 mil.
  • O modelo híbrido — servidor interno como encarregado formal apoiado por consultoria especializada em temas avançados — é o mais defensável para entes médios e grandes em horizonte de médio prazo.

Perguntas comuns

Perguntas frequentes

A LGPD obriga o ente público a ter DPO interno ou pode ser terceirizado?
A LGPD (art. 41) é silenciosa sobre a forma de contratação. Exige apenas que o controlador indique formalmente um encarregado pelo tratamento de dados pessoais, com identidade e contato divulgados publicamente. Servidor interno, comissionado, terceirizado ou consultoria externa — qualquer modalidade é juridicamente possível, desde que o encarregado tenha autonomia técnica e canal direto com o alto comando.
Quanto custa contratar um DPO terceirizado para uma prefeitura?
Contratos no mercado brasileiro ficam em faixa de R$ 4 mil a R$ 15 mil mensais para prefeituras pequenas e médias, conforme escopo (horas dedicadas, presença mensal, suporte sob demanda, profundidade da consultoria). Total anual estimado: R$ 50 mil a R$ 180 mil. Contratos mais baratos costumam ser superficiais; mais caros incluem treinamentos, DPIAs e defesa em apontamentos da ANPD.
Prefeitura pequena precisa contratar DPO externo?
Não obrigatoriamente. A LGPD permite servidor interno com acúmulo de função — desde que tenha autonomia técnica e tempo real para atuar. Para prefeituras de até 30 mil habitantes com poucos sistemas, servidor com formação adequada (preferencialmente em direito, TI ou gestão pública) absorve a função bem. Quando não há servidor qualificado, terceirização é solução prática e juridicamente segura.
Qual a diferença entre DPO e encarregado de dados?
Nenhuma. "Encarregado pelo Tratamento de Dados Pessoais" é o termo oficial usado pela LGPD brasileira. DPO (Data Protection Officer) é o termo equivalente em inglês, originário da GDPR europeia. Os dois termos são usados intercambiavelmente no mercado e nos documentos da ANPD, e designam a mesma função.
O DPO terceirizado tem o mesmo valor jurídico que o interno perante a ANPD?
Sim. A LGPD não distingue valor jurídico entre encarregado interno e terceirizado. A ANPD aceita ambos, desde que a nomeação seja formalizada por ato publicado e o contato seja divulgado publicamente. A diferença prática está na profundidade operacional e na capacidade de mudança interna — não no valor jurídico do parecer ou da comunicação à autoridade.

Relacionados

Continue por aqui.

Conversar

A conversa começa pela sua realidade.

Mande o cenário institucional e os indicadores que mais doem hoje. Devolvemos uma leitura honesta — incluindo dizer quando ainda não é a hora.

Conversar com a CIVITRIAVer todas as soluções