A LGPD permite que o Encarregado seja interno ou externo. A decisão certa depende do porte, do volume de dados e da maturidade de privacidade da empresa.
Por ALC Consultoria · Atualizado abr/2026
DPO Interno
DPO Externo
Custo mensal estimado
R$ 8–25k/mês
(salário + encargos)
R$ 1,5–8k/mês
(serviço contratado)
Custo de desligamento
Alto
Baixo (contrato)
Conhecimento do negócio
Alto
Médio (curva)
Independência / imparcialidade
Baixa (pressão interna)
Alta
Disponibilidade
Full time
Parcial (SLA definido)
Atualização regulatória
Depende do profissional
Alta (especialidade)
Resposta a incidentes
Imediata (interno)
Depende do contrato
Volume muito alto de dados sensíveis — hospitais, fintechs, empresas de saúde digital com milhões de registros precisam de DPO com dedicação quase exclusiva.
Setor fortemente regulado — bancos, seguradoras e healthtechs com fiscalização constante precisam do DPO como interlocutor permanente com reguladores.
Empresa acima de 1000 funcionários — o volume de treinamentos, contratos com operadores e RIPD de novos projetos justifica dedicação interna.
Empresa de médio porte (50–500 funcionários) — o custo de um DPO interno (R$ 8–25k + encargos) raramente se justifica. O DPO externo entrega 80% das funções por 20–30% do custo.
Empresa em processo de adequação — o DPO externo traz o conhecimento especializado necessário para estruturar o programa, sem o custo de contratar e formar um profissional do zero.
Empresa sem quadro jurídico interno — o DPO externo frequentemente inclui consultoria jurídica especializada em privacidade, que seria impossível ter internamente no mesmo custo.
Conflito de interesse potencial — empresas onde o DPO interno seria subordinado a quem decide sobre os dados (CEO, CTO) perdem a independência necessária para que o DPO exerça sua função.
Horas mensais garantidas e como solicitar horas extras em caso de incidente.
SLA de resposta a solicitações de titulares e da ANPD — o prazo legal de 15 dias não espera o DPO externo "ter disponibilidade".
Protocolo de incidentes — quem aciona o DPO, em quanto tempo, e qual é o processo das primeiras 72h.
Entregáveis mínimos — ROPA atualizado, revisão anual de política de privacidade, relatório periódico para a diretoria.
Dados de contato publicáveis — o nome e email do DPO precisam aparecer no site da empresa. O DPO externo deve aceitar essa publicação.
Quiz de 6 perguntas com resultado baseado no art. 41 da LGPD e nas orientações da ANPD.
Fazer o quiz →Diagnóstico LGPD
Avaliação completa de privacidade com Anderson Chipak (ALC) — 60 min, gratuito.
Solicitar →Por Anderson Chipak — auditor de sistemas críticos · ALC
