Requisitos de Encarregado de Proteção de Dados por País (2026)
O Encarregado de Proteção de Dados (Data Protection Officer, DPO) é um profissional de conformidade designado, exigido por lei em dezenas de jurisdições no mundo. Nos termos do Regulamento Geral de Proteção de Dados da UE (GDPR), os artigos 37 a 39 estabelecem as regras fundamentais que a maioria dos arcabouços nacionais desde então adotou ou adaptou. Este guia explica quem deve nomear um DPO, o que a função exige e como essa obrigação varia entre os principais regimes globais em maio de 2026.
Informações verificadas pela última vez em 19/05/2026. Este artigo ainda não foi revisado por um advogado habilitado.
Escopo jurisdicional: Este artigo aborda os requisitos de DPO e equivalentes ao DPO nos termos do GDPR da UE, do UK GDPR e de leis nacionais de privacidade selecionadas no Brasil, na China, na Índia, na Coreia do Sul, em Singapura, na Malásia, na Tailândia, na África do Sul, nos EAU (PDPL federal, DIFC, ADGM), na Indonésia e no Vietnã. As leis são citadas conforme em vigor em 19/05/2026.
O Que É um Encarregado de Proteção de Dados?
Um Encarregado de Proteção de Dados é um indivíduo designado por uma organização para atuar como a autoridade interna em matéria de conformidade com a proteção de dados. O artigo 39 do GDPR define as tarefas essenciais do DPO: informar e assessorar o controlador e o operador (e seus funcionários) sobre as obrigações de proteção de dados; monitorar a conformidade com o GDPR e com as políticas próprias do controlador; assessorar sobre as avaliações de impacto relativas à proteção de dados (DPIAs); cooperar com a autoridade supervisora; e atuar como ponto de contato para os titulares dos dados e para a autoridade supervisora.
O conceito ganhou força global depois que o GDPR entrou em vigor em 25 de maio de 2018. Desde então, reguladores na América do Sul, na Ásia e na África incorporaram exigências equivalentes ao DPO em suas leis nacionais de privacidade, embora os critérios específicos, as qualificações e as linhas de subordinação variem substancialmente entre as jurisdições.
Nem toda organização precisa de um DPO. A obrigação geralmente depende do tipo de dados tratados, da escala das atividades de tratamento e de a organização ser ou não um órgão público. Para organizações multinacionais, obrigações sobrepostas podem surgir simultaneamente sob dois ou mais regimes.
As Regras de DPO do GDPR: Artigos 37, 38 e 39
O GDPR estabelece o arcabouço fundamental do DPO que a maioria das demais jurisdições utilizou como referência. Os artigos 37 a 39 do Regulamento (UE) 2016/679 estabelecem os critérios de nomeação, as qualificações, os requisitos operacionais e as tarefas.
Os Três Critérios Obrigatórios de Nomeação (Artigo 37)
Nos termos do artigo 37(1) do GDPR, um controlador ou operador de dados deve designar um DPO quando qualquer uma das três condições a seguir for atendida:
Critério 1: Autoridade ou órgão público. O tratamento é realizado por uma autoridade ou órgão público, exceto os tribunais no exercício de sua função jurisdicional. Isso abrange departamentos governamentais, municípios, universidades públicas, empresas estatais e entidades semelhantes em toda a UE e o EEE.
Critério 2: Monitoramento regular e sistemático em larga escala. As atividades principais do controlador ou do operador consistem em operações de tratamento que exigem o monitoramento regular e sistemático de titulares de dados em larga escala. As diretrizes do WP29 (WP243rev.01, endossadas pelo EDPB) citam como exemplos o rastreamento por geolocalização via aplicativos móveis e o monitoramento sistemático por CFTV de espaços públicos. O GDPR não define "larga escala" por um número preciso; a orientação do WP29 instrui os controladores a considerar o número de titulares de dados, o volume de dados, a extensão geográfica, a duração e a natureza do tratamento. Um único hospital que trata dados de saúde de sua população de pacientes se qualifica; um médico autônomo que atende pacientes individualmente não se qualifica.
Critério 3: Tratamento em larga escala de categorias especiais de dados ou dados criminais. As atividades principais do controlador ou do operador consistem no tratamento em larga escala de categorias especiais de dados nos termos do artigo 9 (incluindo origem racial ou étnica, dados de saúde, dados biométricos e dados relativos à orientação sexual), ou de dados pessoais relacionados a condenações e infrações penais nos termos do artigo 10.
O termo "atividades principais" é essencial. O EDPB esclarece que ele se refere às operações centrais do negócio, e não a funções de apoio acessórias. Uma seguradora que trata dados de saúde para avaliar risco está exercendo uma atividade principal; um escritório de advocacia que trata dados de folha de pagamento de funcionários não está, ainda que a folha de pagamento envolva dados pessoais.
"O conceito de 'atividades principais' pode ser interpretado como as operações essenciais necessárias para alcançar os objetivos do controlador ou do operador. Por exemplo, um hospital não pode prestar assistência à saúde sem tratar os dados de saúde dos pacientes, de modo que o tratamento desses dados constitui uma atividade principal." -- WP29, Diretrizes sobre Encarregados de Proteção de Dados (WP243rev.01), 5 de abril de 2017
Qualificações do DPO (Artigo 37(5))
O artigo 37(5) do GDPR exige que o DPO possua "conhecimento especializado da legislação e das práticas de proteção de dados". Nenhum diploma acadêmico específico ou certificação profissional é exigido no nível da UE. O nível de conhecimento exigido é proporcional à complexidade das operações de tratamento de dados da organização. Para um operador de dados sensíveis em larga escala, espera-se um alto nível de conhecimento especializado. Para um órgão público menor, com tratamento simples, um nível proporcional de conhecimento é suficiente.
Na prática, certificações como o CIPP/E (Certified Information Privacy Professional/Europe) e o CIPM (Certified Information Privacy Manager), emitidas pela International Association of Privacy Professionals (IAPP), são amplamente consideradas evidência do conhecimento exigido, embora permaneçam voluntárias segundo a legislação da UE.
Posição e Independência (Artigo 38)
O artigo 38 estabelece os requisitos operacionais que protegem a independência do DPO:
- O DPO deve ser envolvido, de forma adequada e tempestiva, em todas as questões relacionadas à proteção de dados pessoais.
- O controlador e o operador devem apoiar o DPO, fornecendo os recursos necessários para o desempenho de suas tarefas, a manutenção do conhecimento especializado e o acesso aos dados pessoais e às operações de tratamento.
- O DPO deve se reportar diretamente ao mais alto nível de gestão do controlador ou do operador.
- O DPO não pode ser destituído ou penalizado por desempenhar suas tarefas.
- O DPO pode desempenhar outras tarefas, desde que não haja conflito de interesses.
A exigência de ausência de conflito de interesses tem sido foco de importantes ações de fiscalização. O EDPB confirma que funções que determinam as finalidades e os meios do tratamento de dados são inerentemente conflitantes com a posição de DPO. Isso inclui: Diretor Executivo (CEO), Diretor de Operações (COO), Diretor de Tecnologia (CTO), Chefe de TI, Chefe de Recursos Humanos, Chefe de Marketing e, na maioria dos contextos, Chefe do Jurídico (quando a assessoria jurídica orienta justamente as decisões de tratamento que o DPO deve supervisionar de forma independente).
Em 2025, a autoridade polonesa de proteção de dados (UODO) aplicou uma multa administrativa de 132.000 euros a uma organização por posicionamento inadequado do DPO, incluindo um conflito de interesses decorrente de o DPO ocupar simultaneamente funções de conformidade, auditoria e gestão de riscos (Decisão da UODO, 2025). A Comissária de Proteção de Dados de Berlim, separadamente, multou um grupo varejista em 525.000 euros por uma violação comparável do artigo 38(6).
As Tarefas do DPO (Artigo 39)
O artigo 39 define cinco categorias de tarefas obrigatórias:
- Informar e assessorar o controlador, o operador e seus funcionários sobre suas obrigações de proteção de dados nos termos do GDPR e de outras legislações de proteção de dados da UE ou dos Estados-Membros.
- Monitorar a conformidade, incluindo a atribuição de responsabilidades, a conscientização, a capacitação da equipe envolvida nas operações de tratamento e as auditorias relacionadas.
- Prestar assessoria, quando solicitada, sobre as DPIAs e monitorar sua execução nos termos do artigo 35.
- Cooperar com a autoridade supervisora.
- Atuar como ponto de contato para a autoridade supervisora sobre questões de tratamento de dados e consultá-la quando apropriado.
Penalidades por Descumprimento Relativo ao DPO (Artigo 83(4))
A falha em designar um DPO exigido, a interferência na independência do DPO ou a falha em publicar os dados de contato do DPO se enquadram no artigo 83(4)(a), que permite multas de até 10 milhões de euros ou 2% do faturamento anual mundial total do exercício financeiro anterior, o que for maior.
As Diretrizes do EDPB sobre o DPO e a Ação de Fiscalização Coordenada de 2024
As Diretrizes do WP29 sobre Encarregados de Proteção de Dados (WP243rev.01), adotadas em dezembro de 2016 e revisadas em abril de 2017, continuam sendo a principal referência interpretativa sobre os artigos 37 a 39. O EDPB endossou essas diretrizes em sua primeira reunião plenária, em maio de 2018.
Em janeiro de 2024, o EDPB publicou o relatório de sua Ação de Fiscalização Coordenada de 2023 (CEF 2023) sobre a designação e a posição do DPO. A investigação envolveu 25 autoridades de proteção de dados de todo o EEE, que analisaram mais de 17.000 respostas de organizações e DPOs dos setores privado e público. As principais constatações incluíram:
- Um número significativo de organizações obrigadas a designar um DPO ainda não o havia feito.
- Muitos DPOs designados não possuíam conhecimento especializado suficiente para a complexidade do tratamento que supervisionavam.
- Os DPOs frequentemente relataram recursos insuficientes: tempo, orçamento e equipe inadequados.
- A independência inadequada permaneceu generalizada, com alguns DPOs relatando pressão da administração para modificar avaliações de conformidade.
- Os DPOs nem sempre eram envolvidos desde o início de novos projetos de tratamento de dados.
O EDPB recomendou que as autoridades de proteção de dados aumentassem as atividades de conscientização e a fiscalização direcionada. O relatório completo está disponível em edpb.europa.eu.
Variações entre os Estados-Membros da UE
Embora o GDPR estabeleça um piso mínimo, os Estados-Membros podem impor exigências adicionais por meio de legislação nacional de implementação.
Alemanha. A Lei Federal de Proteção de Dados (Bundesdatenschutzgesetz, BDSG), artigo 38, exige a nomeação de DPO para qualquer organização que empregue regularmente pelo menos 20 pessoas envolvidas no tratamento automatizado de dados pessoais. Esse limite é substancialmente inferior ao padrão de larga escala do GDPR e abrange muitas pequenas e médias empresas.
França. A CNIL recomenda a ampla adoção do DPO, mas não acrescenta critérios obrigatórios de nomeação além dos previstos no GDPR. A França registrou mais de 80.000 DPOs junto à CNIL até 2024, refletindo uma forte adoção institucional da função.
Romênia. A Autoridade Nacional de Supervisão (ANSPDCP) exige que os DPOs possuam qualificações formais reconhecidas pela autoridade, tornando a Romênia um dos poucos Estados-Membros da UE que impõem, na prática, uma exigência de certificação.
Polônia. A autoridade polonesa de proteção de dados (UODO) exige a notificação da nomeação do DPO em até 14 dias e publica um registro público. Em 2025, a UODO aplicou uma multa de 5.814 euros por não designação de DPO e por não publicação dos dados de contato do DPO (Decisão da UODO, 2025).
Reino Unido (UK GDPR e DPA 2018)
Desde o Brexit, o Reino Unido opera sob o UK GDPR e o Data Protection Act 2018 (DPA 2018). Os critérios de nomeação do DPO espelham a estrutura tripartite do artigo 37 do GDPR da UE. O Information Commissioner's Office (ICO) fornece orientações em ico.org.uk.
O Data Protection and Digital Information Bill, apresentado em 2023, propunha substituir a exigência obrigatória de DPO por um modelo mais flexível de "indivíduo sênior responsável" (senior responsible individual, SRI). Em maio de 2026, o projeto de lei ainda não havia sido promulgado, e a exigência de DPO do UK GDPR permanece em vigor.
Requisitos Equivalentes ao DPO em Outras Jurisdições
Brasil (LGPD): o Encarregado
A Lei Geral de Proteção de Dados (LGPD) do Brasil, Lei 13.709/2018, em vigor desde setembro de 2020, exige que todo controlador de dados nomeie um encarregado nos termos do artigo 41. Diferentemente do GDPR, a obrigação brasileira se aplica a todos os controladores, independentemente do porte ou do tipo de tratamento. O encarregado recebe reclamações dos titulares dos dados, presta informações aos titulares e à ANPD, coopera com a ANPD e orienta os esforços internos de conformidade.
A Resolução CD/ANPD nº 2, de janeiro de 2022, flexibilizou a obrigação para pequenas empresas e microempresas classificadas nos termos da legislação brasileira, tornando a designação facultativa, e não obrigatória. Nenhuma qualificação específica é exigida. A função pode ser exercida por uma pessoa física ou por uma organização externa; não há exigência de presença local.
China (PIPL): o Responsável pela Proteção de Informações Pessoais
A Lei de Proteção de Informações Pessoais (PIPL) da China, em vigor desde 1º de novembro de 2021, exige que as organizações que tratam informações pessoais de mais de 1 milhão de indivíduos designem um responsável pela proteção de informações pessoais nos termos do artigo 52. O responsável deve estar baseado na China, ou a organização deve estabelecer uma entidade dedicada ou designar um representante dentro da China. O nome e as informações de contato do responsável devem ser divulgados publicamente e informados ao departamento competente da Administração do Ciberespaço da China (CAC).
As penalidades por violações, incluindo a falha em designar um responsável, podem chegar a CNY 50 milhões (aproximadamente USD 7 milhões) ou 5% da receita do ano anterior, o que for maior.
Índia (DPDPA 2023): DPO para Fiduciários de Dados Significativos
A Digital Personal Data Protection Act de 2023 (DPDPA) da Índia, promulgada em 11 de agosto de 2023, exige que os "Fiduciários de Dados Significativos" (Significant Data Fiduciaries, SDFs) nomeiem um Encarregado de Proteção de Dados baseado na Índia, nos termos da Seção 10(2)(a). As Regras DPDP, notificadas pelo MeitY em 13 de novembro de 2025 e com vigência progressiva até 2026-2027, definem os critérios de SDF e as responsabilidades do DPO.
Os SDFs são classificados pelo governo com base no volume de dados pessoais tratados, na sensibilidade dos dados, no risco aos titulares dos dados, em considerações de segurança nacional e no impacto potencial sobre os direitos dos titulares dos dados. O DPO deve ser um alto funcionário do SDF baseado na Índia, deve se reportar ao conselho de administração e atua como ponto de contato para o Conselho de Proteção de Dados da Índia. Os SDFs também devem realizar DPIAs periódicas e nomear um auditor de dados independente. A multa máxima por descumprimento é de INR 250 crore (aproximadamente USD 30 milhões).
Singapura (PDPA): DPO Universal e Obrigatório
A Personal Data Protection Act 2012 (PDPA) de Singapura, administrada pela Personal Data Protection Commission (PDPC), exige que toda organização sujeita à PDPA designe pelo menos um indivíduo como seu DPO, nos termos da Seção 11(3). Não há limite mínimo de tratamento. A obrigação se estende a holdings, empresas inativas e organizações que estejam encerrando operações, enquanto continuarem a tratar dados pessoais.
Desde 1º de junho de 2025, o PDPC exige que as organizações lhe notifiquem os dados de contato de seu DPO. Nenhuma qualificação específica é exigida por lei, embora o DPO deva possuir conhecimento adequado da PDPA para orientar a organização de forma eficaz.
Malásia (PDPA emendada em 2024)
A Personal Data Protection Act 2010 (PDPA) da Malásia foi substancialmente emendada pela Personal Data Protection (Amendment) Act 2024. A emenda torna obrigatória a nomeação de DPO para controladores e operadores de dados que tratem grandes volumes de dados pessoais, lidem com dados pessoais sensíveis ou realizem monitoramento regular e sistemático de indivíduos. A emenda entrou em vigor em etapas entre janeiro e junho de 2025.
Principais exigências: o DPO deve ser residente na Malásia por, no mínimo, 180 dias por ano; o Comissário deve ser notificado sobre a nomeação do DPO; o DPO assessora sobre as obrigações da PDPA, monitora a conformidade, realiza avaliações de impacto e atua como ponto de contato com o Comissário. Serviços de DPO terceirizados são permitidos, desde que a exigência de residência seja atendida.
Coreia do Sul (PIPA): o CPO e a Emenda de 2026 sobre Responsabilidade do CEO
A Lei de Proteção de Informações Pessoais (PIPA) da Coreia do Sul, significativamente emendada em 2023, exige que todos os controladores e operadores de informações pessoais designem um Diretor de Privacidade (Chief Privacy Officer, CPO) nos termos do artigo 31. O CPO deve deter autoridade decisória dentro da organização. As instituições públicas devem designar o CPO no nível de diretor executivo sênior. O nome, o departamento e os dados de contato do CPO devem ser divulgados publicamente.
Em 12 de fevereiro de 2026, a Assembleia Nacional aprovou uma nova emenda à PIPA, promulgada em 10 de março de 2026 e em vigor desde 11 de setembro de 2026. A emenda de 2026: designa o CEO ou representante da empresa como o "responsável final pela proteção de dados"; exige que a nomeação, a realocação ou a destituição do CPO ocorram por deliberação formal do conselho, com notificação à Comissão de Proteção de Informações Pessoais (PIPC), para organizações acima de um determinado porte; exige que o CPO se reporte diretamente tanto ao CEO quanto ao conselho; e introduz um teto agravado de penalidade de 10% do faturamento total para violações reincidentes ou graves.
Tailândia (PDPA)
A Personal Data Protection Act B.E. 2562 (2019) da Tailândia, plenamente em vigor desde 1º de junho de 2022, exige a nomeação de DPO para autoridades públicas, organizações que realizam monitoramento regular e sistemático em larga escala, e organizações cujas atividades principais envolvam o tratamento de dados pessoais sensíveis (Seções 41-42 da PDPA). A Notificação do PDPC sobre a Nomeação de Encarregados de Proteção de Dados, em vigor desde 13 de dezembro de 2023, fornece orientações detalhadas de implementação.
Uma notificação do Diário Oficial (Royal Gazette) de 9 de outubro de 2025 estendeu a exigência obrigatória de DPO a todos os órgãos estatais. O DPO pode ser um funcionário ou um prestador externo. As informações de contato do DPO devem ser fornecidas ao PDPC. Em março de 2026, o PDPC abriu uma consulta pública sobre diretrizes atualizadas da PDPA, com as obrigações do DPO entre as áreas prioritárias.
África do Sul (POPIA): o Information Officer
A Protection of Personal Information Act 4 de 2013 (POPIA) da África do Sul, plenamente em vigor desde 1º de julho de 2021, exige que toda parte responsável (controlador) registre um Information Officer junto ao Information Regulator, nos termos da Seção 56. Para organizações do setor privado, o dirigente máximo da organização é o Information Officer por padrão. Um Deputy Information Officer pode ser designado para as tarefas cotidianas de conformidade. Todos os Information Officers e Deputy Information Officers devem ser registrados no registro público do Information Regulator. As penalidades por descumprimento incluem multas de até ZAR 10 milhões (aproximadamente USD 550.000) e pena de prisão de até 10 anos.
EAU (PDPL Federal, DIFC, ADGM)
Os Emirados Árabes Unidos possuem três arcabouços de proteção de dados sobrepostos, porém distintos, com diferentes exigências de DPO:
PDPL Federal. O Decreto-Lei Federal nº 45 de 2021 (PDPL) dos EAU exige que os controladores nomeiem um DPO quando: o tratamento envolver o manuseio sistemático em larga escala de dados pessoais sensíveis; o tratamento representar alto risco à privacidade e à confidencialidade dos dados pessoais; ou o tratamento envolver perfilamento automatizado sistemático, em larga escala ou sensível. Uma vez nomeado, o controlador ou operador deve notificar o UAE Data Office sobre os dados de contato do DPO. O DPO pode ser um funcionário interno ou um prestador de serviços externo.
DIFC. O Dubai International Financial Centre opera sob a DIFC Law No. 5 de 2020 (Lei de Proteção de Dados). A nomeação de DPO é obrigatória para órgãos do DIFC e para qualquer controlador ou operador que realize Atividades de Tratamento de Alto Risco de forma sistemática ou regular. O DPO deve residir nos EAU, a menos que o indivíduo seja empregado dentro do grupo da organização e desempenhe função equivalente internacionalmente. A organização deve publicar os dados de contato do DPO. Regulamentos de Proteção de Dados emendados, promulgados em setembro de 2023, alinharam ainda mais o arcabouço a padrões internacionais.
ADGM. O Abu Dhabi Global Market opera sob os ADGM Data Protection Regulations 2021. Um DPO deve ser nomeado para empresas cujas atividades principais envolvam o tratamento regular e sistemático de dados pessoais em larga escala, ou o tratamento em larga escala de categorias especiais de dados pessoais. O controlador ou operador deve notificar o Commissioner of Data Protection do ADGM sobre a nomeação do DPO em até um mês após a nomeação.
Indonésia (Lei PDP 2022)
A Lei nº 27 de 2022 da Indonésia, sobre Proteção de Dados Pessoais, entrou plenamente em vigor em 17 de outubro de 2024. O artigo 53 exige a nomeação de um DPO quando o tratamento for realizado no interesse de serviços públicos, quando as atividades principais exigirem o monitoramento regular e sistemático de dados pessoais em larga escala, ou quando as atividades principais envolverem o tratamento em larga escala de categorias especiais de dados pessoais.
Em julho de 2025, o Tribunal Constitucional da Indonésia (Decisão nº 151/PUU-XXII/2024) proferiu uma decisão que ampliou o escopo da nomeação obrigatória de DPO além dos limites estatutários iniciais, embora os regulamentos de implementação que definem os critérios revisados ainda estivessem pendentes em maio de 2026.
Vietnã (PDPL 2025)
A Lei nº 91/2025/QH15 do Vietnã, sobre Proteção de Dados Pessoais, promulgada em 26 de junho de 2025 e em vigor desde 1º de janeiro de 2026, exige que controladores e operadores nomeiem um departamento ou pessoal interno de proteção de dados, ou contratem prestadores externos de serviços de proteção de dados. Startups, pequenas empresas, domicílios empresariais e microempresas estão isentos dessa exigência e das obrigações de avaliação de impacto relativa à proteção de dados.
Requisitos Globais de DPO: Tabela Comparativa
| Jurisdição | Lei | Título da Função | Quem Deve Nomear | Presença Local Exigida | DPO Terceirizado Permitido | Multa Máxima |
|---|---|---|---|---|---|---|
| UE/EEE | GDPR, art. 37 | Encarregado de Proteção de Dados | Órgãos públicos; monitoramento sistemático em larga escala; tratamento de dados especiais em larga escala | Não (deve ser acessível) | Sim | 10 milhões de euros / 2% da receita |
| Alemanha | BDSG, art. 38 | Encarregado de Proteção de Dados | 20 ou mais pessoas em tratamento automatizado (além dos critérios do GDPR) | Não | Sim | 10 milhões de euros / 2% da receita |
| Reino Unido | UK GDPR / DPA 2018 | Encarregado de Proteção de Dados | Igual ao GDPR (modelo SRI proposto, não promulgado) | Não | Sim | 17,5 milhões de libras / 4% da receita |
| Brasil | LGPD, art. 41 | Encarregado | Todos os controladores (isenção para PMEs via Resolução ANPD 2/2022) | Não | Sim | 2% da receita (limite de R$ 50 milhões por violação) |
| China | PIPL, art. 52 | Responsável pela Proteção de Informações Pessoais | Controladores que tratam dados de 1 milhão ou mais indivíduos | Sim | Não (espera-se indicado interno) | CNY 50 milhões / 5% da receita |
| Índia | DPDPA, seção 10 / Regras DPDP 2025 | Encarregado de Proteção de Dados | Fiduciários de Dados Significativos (limites nas Regras) | Sim (baseado na Índia) | Não (alto funcionário do SDF) | INR 250 crore (aprox. USD 30 milhões) |
| Singapura | PDPA, seção 11(3) | Encarregado de Proteção de Dados | Todas as organizações que tratam dados pessoais | Não | Sim | SGD 1 milhão |
| Malásia | PDPA (emendada em 2024) | Encarregado de Proteção de Dados | Controladores e operadores de grande volume, dados sensíveis ou monitoramento sistemático | Sim (residente 180 dias/ano) | Sim (se cumprida a residência) | MYR 1 milhão / possível pena de prisão |
| Coreia do Sul | PIPA, art. 31 (emendas de 2023 e 2026) | Diretor de Privacidade (CPO) | Todos os controladores e operadores de informações pessoais | Não | Não (interno, com autoridade decisória) | 10% do faturamento total (emenda de 2026) |
| Tailândia | PDPA, seções 41-42 / Notificação de dez/2023 | Encarregado de Proteção de Dados | Órgãos públicos; monitoramento em larga escala; tratamento de dados sensíveis | Não | Sim | THB 5 milhões (aprox. USD 140 mil) |
| África do Sul | POPIA, seção 56 | Information Officer | Todas as partes responsáveis | Não | Pode-se designar um Deputy IO | ZAR 10 milhões / 10 anos de prisão |
| EAU (Federal) | PDPL / Regulamentos de Execução | Encarregado de Proteção de Dados | Tratamento de alto risco ou sensível em larga escala | Não | Sim | Regulamentos secundários pendentes |
| DIFC | DIFC DPL nº 5/2020 | Encarregado de Proteção de Dados | Órgãos do DIFC; entidades com Tratamento de Alto Risco | Sim (residente nos EAU, exceção de grupo) | Sujeito à DPL | Ação regulatória do Commissioner do DIFC |
| ADGM | Regulamentos de PD do ADGM 2021 | Encarregado de Proteção de Dados | Tratamento sistemático em larga escala ou de dados especiais | Não | Sujeito aos Regulamentos | Ação regulatória do Commissioner do ADGM |
| Indonésia | Lei PDP nº 27/2022, art. 53 | Encarregado de Proteção de Dados | Serviço público; monitoramento em larga escala; tratamento de dados especiais em larga escala | Não | Regulamentos pendentes | IDR 60 bilhões (aprox. USD 3,7 milhões) / 6 anos de prisão |
| Vietnã | PDPL nº 91/2025 | Pessoal/Departamento de Proteção de Dados | Todos os controladores/operadores (isenção para PMEs) | Não | Sim (prestadores externos) | Regulamentos secundários pendentes |
| Japão | APPI | Nenhum DPO formal exigido | N/A (boa prática voluntária) | N/A | N/A | JPY 100 milhões (aprox. USD 670 mil) |
| Austrália | Privacy Act 1988 | Nenhum DPO formal exigido | N/A (voluntário; propostas de reforma em curso) | N/A | N/A | AUD 50 milhões |
| Canadá | PIPEDA / Projeto de Lei C-27 | Privacy Officer (obrigatório na CPPA proposta) | Todas as organizações (CPPA ainda não promulgada) | Não | N/A | CAD 25 milhões / 5% da receita (proposto) |
DPO Interno versus Externo
A maioria dos principais arcabouços de privacidade permite que a função de DPO seja exercida por um prestador externo ou por um DPO de serviço compartilhado, desde que os padrões de independência e conhecimento sejam atendidos. O artigo 37(2) do GDPR permite expressamente que um grupo de empresas designe um único DPO, desde que essa pessoa seja "facilmente acessível a partir de cada estabelecimento".
Serviços de DPO externos estão disponíveis comercialmente na maioria das jurisdições e são populares entre pequenas e médias empresas. Nos termos do GDPR, da LGPD e da PDPA da Tailândia, um DPO externo deve atender às mesmas exigências de independência que um DPO interno: ele não pode assessorar simultaneamente as decisões de tratamento que deveria supervisionar, e a organização permanece integralmente responsável pela conformidade.
As jurisdições que exigem nomeação interna incluem: China (o responsável deve ser um indivíduo interno com autoridade dentro da organização), Coreia do Sul (o CPO deve deter autoridade decisória interna) e Índia (o DPO deve ser um alto funcionário do próprio SDF).
Atenção: utilizar um escritório de advocacia ou um consultor de privacidade de dados como DPO não satisfaz automaticamente as exigências de independência. O EDPB observou que um assessor jurídico que também presta recomendações sobre o tratamento ao mesmo cliente pode incorrer em conflito de interesses. Mantenha uma separação clara de escopo de trabalho entre os serviços de assessoria e as funções de supervisão do DPO ao utilizar prestadores externos.
Como Nomear e Posicionar um DPO de Forma Eficaz
Com base nas diretrizes WP243rev.01 do EDPB e nas constatações do relatório CEF de janeiro de 2024, as etapas a seguir reduzem o risco de conformidade:
Etapa 1: Determinar se a nomeação é obrigatória. Mapeie todas as jurisdições em que sua organização está estabelecida ou trata dados pessoais. Aplique os critérios de cada jurisdição. Documente a análise e revise-a anualmente ou quando as operações mudarem de forma relevante.
Etapa 2: Selecionar um candidato qualificado. O nível de "conhecimento especializado" exigido é proporcional à complexidade do tratamento da organização. O DPO de um hospital exige conhecimento mais profundo do que o de um pequeno município. Certificações (CIPP/E, CIPM, CDPSE) são evidências comuns de conhecimento, mas não são legalmente exigidas pela legislação da UE.
Etapa 3: Realizar uma análise de conflito de interesses. Identifique todas as funções que o candidato exerce ou exercerá que envolvam a definição das finalidades ou dos meios do tratamento de dados. Nos termos da emenda de 2026 à PIPA da Coreia do Sul, a nomeação, a realocação ou a destituição do CPO exigem deliberação formal do conselho. Considere mecanismos de governança semelhantes em outras jurisdições como boa prática.
Etapa 4: Fornecer recursos adequados. O relatório CEF 2023 identificou a insuficiência de recursos como a falha operacional mais comum. O DPO deve ter tempo protegido, orçamento e acesso às operações de tratamento e à equipe relevante. DPOs em regime parcial são permitidos, mas devem ter tempo suficiente para a função.
Etapa 5: Estabelecer linhas diretas de subordinação. O DPO deve se reportar ao mais alto nível de gestão, nos termos do artigo 38(3) do GDPR. As Regras DPDP da Índia e a emenda de 2026 à PIPA da Coreia do Sul exigem, por lei, a subordinação em nível de conselho.
Etapa 6: Registrar e notificar onde exigido. As obrigações de notificação existem em: Singapura (PDPC, desde junho de 2025), Malásia (Comissário da PDPA), Polônia (UODO, em até 14 dias), África do Sul (Information Regulator), ADGM (Commissioner, em até um mês) e EAU federal (UAE Data Office). Publique os dados de contato do DPO no aviso de privacidade da organização e em seu site.
Desenvolvimentos Recentes (2024-2026)
Relatório CEF 2023 do EDPB (janeiro de 2024). A ação de fiscalização coordenada do EDPB examinou mais de 17.000 respostas de DPOs e organizações em 25 autoridades do EEE. Foram identificadas lacunas sistêmicas na alocação de recursos e na independência dos DPOs. Recomendou-se que as autoridades nacionais realizassem investigações e fiscalizações direcionadas em 2025-2026.
Ampliação da carga de trabalho do DPO pelo AI Act da UE. O AI Act da UE (Regulamento (UE) 2024/1689) contém obrigações para sistemas de IA de alto risco que entram em plena aplicação em 2 de agosto de 2026. Muitas organizações estão atribuindo a supervisão de conformidade em IA aos DPOs já existentes, especialmente no caso de sistemas de IA de alto risco que também tratam dados pessoais e, portanto, exigem DPIAs nos termos do GDPR.
DPO obrigatório na Malásia (junho de 2025). A Personal Data Protection (Amendment) Act 2024 entrou plenamente em vigor até junho de 2025, estabelecendo exigências obrigatórias de DPO para controladores e operadores qualificados, com obrigações de residência e notificação.
Regras DPDP da Índia (novembro de 2025). O MeitY notificou as Regras DPDP em 13 de novembro de 2025, ativando o arcabouço de classificação de SDF e a obrigação de DPO para as entidades designadas. O Conselho de Proteção de Dados da Índia foi criado simultaneamente.
Emenda de 2026 à PIPA da Coreia do Sul (em vigor desde setembro de 2026). Aprovada em 12 de fevereiro de 2026, promulgada em 10 de março de 2026. Introduz o CEO como responsável final, a exigência de deliberação do conselho para mudanças no CPO, um teto de penalidade de 10% do faturamento para violações agravadas, e a certificação obrigatória ISMS-P para grandes controladores a partir de 1º de julho de 2027.
PDPL do Vietnã (janeiro de 2026). Entrou em vigor a primeira lei autônoma de proteção de dados do Vietnã, exigindo pessoal ou departamentos de proteção de dados na maioria das organizações, com isenções para startups e microempresas.
Decisão do Tribunal Constitucional da Indonésia (julho de 2025). A Decisão nº 151/PUU-XXII/2024 ampliou os limites obrigatórios de DPO nos termos da Lei PDP de 2022; os regulamentos de implementação que definem os critérios revisados permanecem pendentes.
Notificação de DPO em Singapura (junho de 2025). O PDPC introduziu uma exigência de notificação para que as organizações registrem os dados de contato do DPO, aumentando a responsabilização e permitindo ações de supervisão mais direcionadas.
Onde Saber Mais
Para as organizações sujeitas ao GDPR, a referência fundamental são as Diretrizes do WP29 sobre Encarregados de Proteção de Dados (WP243rev.01), endossadas pelo EDPB e disponíveis em edpb.europa.eu. Para o arcabouço mais amplo de conformidade com o GDPR em que se insere a obrigação do DPO, veja a lista de verificação de conformidade com o GDPR e o hub de leis de privacidade de dados da UE neste site.
As organizações que operam em múltiplas jurisdições devem obter orientação de assessoria jurídica qualificada em proteção de dados em cada território relevante antes de finalizar sua estrutura de DPO.
Aviso Legal
Este artigo apresenta informações jurídicas gerais sobre os requisitos de Encarregado de Proteção de Dados em múltiplas jurisdições, conforme em vigor em 19/05/2026. Não constitui consultoria jurídica. As leis e os regulamentos descritos mudam com frequência e podem ter sido alterados após a data de verificação. Os leitores não devem se basear neste artigo como substituto da orientação de um advogado qualificado e habilitado nas jurisdições específicas relevantes para suas operações. A leitura deste artigo não estabelece relação advogado-cliente.
Fontes Citadas
- Regulamento (UE) 2016/679 (GDPR), arts. 37-39, 83(4). https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679
- WP29, Diretrizes sobre Encarregados de Proteção de Dados (WP243rev.01), 5 de abril de 2017 (endossadas pelo EDPB). https://ec.europa.eu/newsroom/article29/items/612048
- EDPB, Relatório CEF 2023 sobre a Designação e a Posição dos DPOs, 16 de janeiro de 2024. https://www.edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-designation-and-position-data_en
- Bundesdatenschutzgesetz (BDSG) 2018, art. 38. https://www.gesetze-im-internet.de/bdsg_2018/__38.html
- ICO (Reino Unido), Guia de Responsabilização e Governança: Encarregados de Proteção de Dados. https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/accountability-and-governance/guide-to-accountability-and-governance/accountability-and-governance/data-protection-officers/
- LGPD do Brasil, Lei 13.709/2018, art. 41. https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
- Resolução CD/ANPD nº 2, 27 de janeiro de 2022. https://www.gov.br/anpd/pt-br
- PIPL da China, em vigor desde 1º de novembro de 2021, art. 52. http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml
- DPDPA da Índia, 2023, seção 10. https://www.meity.gov.in/writereaddata/files/Digital%20Personal%20Data%20Protection%20Act%202023.pdf
- Regras DPDP da Índia, 2025, notificadas em 13 de novembro de 2025. https://www.meity.gov.in
- PDPA de Singapura, 2012 (revisada em 2021), seção 11(3). https://www.pdpc.gov.sg/Overview-of-PDPA/The-Legislation/Personal-Data-Protection-Act
- Personal Data Protection (Amendment) Act 2024 da Malásia. https://www.pdp.gov.my/ppdpv1/en/akta/personal-data-protection-amendment-act-2024/
- PIPA da Coreia do Sul, art. 31 (emenda de 2023). https://www.law.go.kr/LSW/eng/engLsSc.do?menuId=2§ion=lawNm&query=personal+information+protection&x=0&y=0
- Emenda à PIPA da Coreia do Sul (promulgada em 10 de março de 2026, em vigor desde 11 de setembro de 2026). https://iapp.org/news/a/south-korea-overhauls-pipa-and-ties-fines-to-ceo-accountability
- PDPA da Tailândia, B.E. 2562 (2019), seções 41-42; Notificação do PDPC sobre a Nomeação de DPO (em vigor desde 13 de dezembro de 2023). https://www.mdes.go.th/law
- POPIA da África do Sul, Lei nº 4 de 2013, seção 56. https://www.gov.za/documents/protection-personal-information-act
- Decreto-Lei Federal nº 45 de 2021 dos EAU (PDPL), art. 10. https://uaepdpl.com/article-10/
- DIFC Data Protection Law nº 5 de 2020. https://www.difc.ae/business/laws-regulations/legal-database/data-protection-law-difc-law-no-5-2020/
- ADGM Data Protection Regulations 2021. https://www.adgm.com/operating-in-adgm/office-of-data-protection/guidance
- Lei nº 27 de 2022 da Indonésia, sobre Proteção de Dados Pessoais, art. 53. https://jdih.kominfo.go.id
- Lei nº 91/2025/QH15 do Vietnã, sobre Proteção de Dados Pessoais (em vigor desde 1º de janeiro de 2026). https://www.ey.com/en_vn/technical/tax/tax-and-law-updates/legal-alert-july-2025-personal-data-protection-law
- UODO da Polônia, multa administrativa de 132.000 euros por posicionamento inadequado do DPO (2025). https://www.edpb.europa.eu/news/national-news/2025/polish-sa-administrative-fine-132-000-eu-improper-positioning-dpo-and_en
- UODO da Polônia, multa administrativa de 5.814 euros por não designação de DPO (2025). https://www.edpb.europa.eu/news/national-news/2025/polish-sa-administrative-fine-5-814-eu-failure-designate-data-protection_en
- BlnBDI (Berlim), multa administrativa de 525.000 euros por conflito de interesses do DPO (art. 38(6) do GDPR). https://gdprhub.eu/index.php?title=BlnBDI_(Berlin)_-_Berlin_DPO_Conflict_of_Interest
Última atualização: 19/05/2026. As leis citadas refletem sua versão em vigor em 19/05/2026.
Frequently Asked Questions
Nos termos do GDPR, quais são os três critérios que tornam a nomeação de DPO obrigatória?
O artigo 37(1) do GDPR exige a nomeação de DPO para: (1) autoridades ou órgãos públicos (exceto tribunais no exercício de sua função jurisdicional); (2) controladores ou operadores cujas atividades principais exijam o monitoramento regular e sistemático de titulares de dados em larga escala; e (3) controladores ou operadores cujas atividades principais envolvam o tratamento em larga escala de dados de categoria especial (artigo 9) ou de dados de condenações criminais (artigo 10). O atendimento a qualquer um desses critérios torna a nomeação obrigatória.
Toda empresa precisa de um Encarregado de Proteção de Dados?
Não, não universalmente. Nos termos do GDPR, apenas as organizações que atendem a pelo menos um dos três critérios do artigo 37 devem nomear um DPO. No entanto, a PDPA de Singapura se aplica a toda organização que trata dados pessoais, independentemente do porte. A PIPA da Coreia do Sul exige a nomeação de CPO por todos os controladores e operadores de informações pessoais. A POPIA da África do Sul exige que todas as partes responsáveis registrem um Information Officer. A LGPD do Brasil exige que todos os controladores nomeiem um encarregado, sujeito a isenções para pequenas empresas.
Quais qualificações um DPO precisa ter nos termos do GDPR?
O artigo 37(5) exige 'conhecimento especializado da legislação e das práticas de proteção de dados'. Nenhum diploma ou certificação específica é exigido. O nível exigido é proporcional à complexidade do tratamento. As certificações CIPP/E e CIPM da IAPP são amplamente consideradas indicadores do conhecimento exigido, mas permanecem voluntárias. A Romênia é atualmente o único Estado-Membro da UE que impõe uma exigência formal de qualificação por meio de lei nacional.
Um DPO pode ser destituído por desempenhar suas funções?
Não. O artigo 38(3) do GDPR estabelece que o DPO não pode ser destituído ou penalizado por desempenhar suas tarefas. Essa proteção garante que o DPO possa levantar preocupações de conformidade sem retaliação. Disposições semelhantes de proteção ao emprego aparecem na LGPD do Brasil e na PDPA da Tailândia. Um DPO pode ser destituído por razões totalmente alheias às suas funções de DPO, desde que essas razões sejam demonstravelmente independentes do trabalho de conformidade.
Um único DPO pode atender a várias empresas de um mesmo grupo?
Sim. Nos termos do artigo 37(2) do GDPR, um grupo de empresas pode designar um único DPO, desde que essa pessoa seja 'facilmente acessível a partir de cada estabelecimento'. Essa prática é amplamente utilizada por grupos multinacionais para suas operações na UE. No entanto, a PIPL da China e a DPDPA da Índia exigem um indivíduo baseado localmente, de modo que um DPO de grupo baseado na Europa não pode satisfazer essas obrigações. A Coreia do Sul exige um CPO com autoridade decisória interna, limitando o uso de DPOs de grupo ou externos.
Qual é a penalidade por não nomear um DPO exigido nos termos do GDPR?
Nos termos do artigo 83(4)(a), a falha em designar um DPO quando exigido pode resultar em multas de até 10 milhões de euros ou 2% do faturamento anual mundial total. Em 2025, a UODO polonesa aplicou uma multa de 5.814 euros a um órgão público por não designar um DPO, e uma multa de 132.000 euros por posicionamento inadequado do DPO. Penalidades em outras jurisdições: PIPL da China, CNY 50 milhões ou 5% da receita; PIPA da Coreia do Sul (emenda de 2026), até 10% do faturamento total.
O DPO é pessoalmente responsável pelas violações de proteção de dados da organização?
Não. O GDPR e a maioria dos demais arcabouços atribuem a responsabilidade legal ao controlador ou ao operador de dados, e não ao DPO. O DPO assessora, monitora e coopera, mas não autoriza pessoalmente as decisões de tratamento. O controlador permanece responsável por garantir que a orientação do DPO seja seguida. A responsabilidade do DPO por violação de confidencialidade ou conflitos de interesse pessoais é uma questão distinta, regida pelo direito nacional trabalhista e contratual.
Quais funções criam um conflito de interesses que impede alguém de atuar como DPO?
A orientação WP243rev.01 do EDPB identifica qualquer função que determine as finalidades e os meios do tratamento de dados como incompatível com a posição de DPO. Isso normalmente inclui: CEO, COO, CTO, Chefe de TI, Chefe de Recursos Humanos, Chefe de Marketing e Chefe do Jurídico. Em 2025, a autoridade de proteção de dados de Berlim multou um grupo varejista em 525.000 euros, e a UODO polonesa multou em 132.000 euros, por violações de conflito de interesses do DPO nos termos do artigo 38(6) do GDPR.
Um consultor externo ou escritório de advocacia pode atuar como DPO?
Sim, nos termos do GDPR, da LGPD do Brasil e da PDPA da Tailândia, a função de DPO pode ser terceirizada a um prestador externo, desde que ele atenda aos mesmos padrões de independência e conhecimento exigidos de um DPO interno. A Malásia permite a terceirização, sujeita à exigência de residência de 180 dias. A PIPL da China e a PIPA da Coreia do Sul esperam um indivíduo interno com autoridade organizacional. Um escritório de advocacia que também assessora o mesmo cliente sobre decisões de tratamento deve manter uma separação rigorosa de escopo para evitar conflitos.
O que a emenda de 2024 à PDPA da Malásia exige em relação aos DPOs?
A Personal Data Protection (Amendment) Act 2024, em vigor desde junho de 2025, exige que controladores e operadores que tratem grandes volumes de dados pessoais, lidem com dados pessoais sensíveis ou realizem monitoramento regular e sistemático nomeiem um DPO. O DPO deve ser residente na Malásia por, no mínimo, 180 dias por ano. A nomeação deve ser notificada ao Comissário de Proteção de Dados Pessoais. DPOs terceirizados são permitidos se a exigência de residência for atendida.
O que a emenda de 2026 à PIPA da Coreia do Sul muda em relação aos DPOs?
A emenda, aprovada em 12 de fevereiro de 2026 e em vigor desde 11 de setembro de 2026, designa o CEO ou representante da empresa como o responsável final pela proteção de dados. A nomeação, a realocação ou a destituição do CPO agora exigem deliberação formal do conselho e devem ser informadas à PIPC, para organizações qualificadas. O CPO deve se reportar diretamente tanto ao CEO quanto ao conselho. As penalidades por violações reincidentes ou graves aumentam para 10% do faturamento total.
Sources and References
- Regulamento (UE) 2016/679 (GDPR), arts. 37-39, 83(4)(eur-lex.europa.eu).gov
- Diretrizes do WP29 sobre Encarregados de Proteção de Dados (WP243rev.01)(ec.europa.eu).gov
- Relatório CEF 2023 do EDPB sobre DPOs, janeiro de 2024(edpb.europa.eu).gov
- BDSG da Alemanha, artigo 38 - Encarregados de Proteção de Dados(gesetze-im-internet.de).gov
- Orientação do ICO do Reino Unido sobre Encarregados de Proteção de Dados(ico.org.uk).gov
- LGPD do Brasil, artigo 41(planalto.gov.br).gov
- PIPL da China, artigo 52(npc.gov.cn).gov
- DPDPA da Índia, 2023, seção 10(meity.gov.in).gov
- Personal Data Protection (Amendment) Act 2024 da Malásia(pdp.gov.my).gov
- PIPA da Coreia do Sul, artigo 31(law.go.kr).gov
- Emenda de 2026 à PIPA da Coreia do Sul(iapp.org)
- PDPA da Tailândia, seções 41-42(mdes.go.th).gov
- POPIA da África do Sul, seção 56(gov.za).gov
- PDPL dos EAU, artigo 10(uaepdpl.com)
- DIFC Data Protection Law nº 5 de 2020(difc.ae).gov
- Orientação do Office of Data Protection do ADGM(adgm.com).gov
- PDPA de Singapura, seção 11(3)(pdpc.gov.sg).gov
- Multa da UODO polonesa de 132.000 euros por posicionamento inadequado do DPO (2025)(edpb.europa.eu).gov
- Multa da UODO polonesa de 5.814 euros por não designação de DPO (2025)(edpb.europa.eu).gov
- Multa da autoridade de proteção de dados de Berlim de 525.000 euros por conflito de interesses do DPO(gdprhub.eu)