O DPO é o encarregado de dados exigido pela LGPD para responder aos titulares e à ANPD. Segundo a ANPD (2024), o artigo 41 lista 4 atribuições obrigatórias do cargo. Em um site WordPress, isso vira canal de contato no rodapé e log de requisições. Nomear um encarregado é o primeiro passo concreto de conformidade.
DPO é a sigla de Data Protection Officer, o cargo que a LGPD chama de encarregado pelo tratamento de dados pessoais. No Brasil, a Lei 13.709/2018 define no art. 5, VIII que o DPO é a pessoa indicada pelo controlador para atuar como canal de comunicação entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados. Em um site WordPress que coleta e-mail, nome ou dados de pagamento, o encarregado deixa de ser teoria jurídica e vira uma função operacional com endereço visível. Este guia faz parte do nosso conteúdo de LGPD e privacidade no WordPress e explica o papel sem juridiquês.
O que é DPO: Definição operacional do encarregado
O DPO é o encarregado nomeado para receber reclamações de titulares e comunicações da ANPD, segundo o art. 41 da LGPD, com identidade e contato divulgados publicamente. Na prática de um site WordPress, isso significa 3 elementos: uma pessoa real, um e-mail de contato e um registro do que foi pedido.
A tabela abaixo separa os três papéis que a Lei 13.709/2018 distingue e que costumam ser confundidos em quem opera um site WordPress sozinho, sem time jurídico.
| Papel | Definição na LGPD | No site WordPress |
|---|---|---|
| DPO / encarregado | Canal entre titular, empresa e ANPD (art. 41) | Pessoa com contato no rodapé e log de pedidos |
| Controlador | Decide sobre o tratamento dos dados (art. 5, VI) | Dono do site ou da empresa |
| Operador | Trata dados em nome do controlador (art. 5, VII) | Hospedagem, gateway de pagamento, plugin SaaS |
A confusão mais comum nos tickets da FULL é tratar o operador como se fosse o responsável legal. A hospedagem processa os dados, mas quem responde ao titular continua sendo o controlador, por meio do encarregado que ele designou.
Por que um site WordPress precisa de um DPO
A LGPD se aplica a qualquer site que trate dados de pessoas no Brasil, e o art. 41 manda o controlador indicar um encarregado, sem exigir CNPJ grande ou volume mínimo. Um único formulário de contato com nome e e-mail já é tratamento de dado pessoal e já aciona a regra.
A Resolução CD/ANPD nº 2/2022 flexibiliza algumas obrigações para agentes de pequeno porte, mas a designação do DPO permanece como boa prática recomendada pela própria autoridade. Quem coleta lead, vende pelo WooCommerce ou roda um blog com comentários está dentro do escopo.
A consequência de ignorar isso aparece quando chega a primeira requisição de titular pedindo exclusão de dados. Sem um encarregado nomeado e sem um canal publicado, o pedido cai em uma caixa de e-mail genérica, ninguém responde no prazo e o que era um pedido simples vira risco de sanção. Para entender o quadro legal completo, vale ler o nosso guia de LGPD no WordPress antes de configurar qualquer plugin.
As 4 atribuições do DPO segundo o art. 41
O art. 41, parágrafo 2 da LGPD define exatamente 4 atribuições do encarregado, e nenhuma delas é opcional. A primeira é aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências. A segunda é receber comunicações da ANPD e responder a elas. A terceira é orientar funcionários e contratados sobre práticas de proteção de dados. A quarta é executar as demais atribuições definidas pelo controlador ou por normas complementares.
- Se um titular pede acesso aos dados → o DPO responde com a lista do que é tratado e a finalidade.
- Se um titular pede exclusão → o encarregado coordena a remoção e registra a data do atendimento.
- Se a ANPD envia uma comunicação → o DPO é o ponto de contato formal que responde pela empresa.
- Se um funcionário vai criar um novo formulário → o encarregado orienta sobre consentimento e base legal antes da publicação.
A leitura técnica desse artigo está disponível na íntegra no texto da Lei 13.709/2018, e a gente recomenda guardar o art. 41 à mão para não depender de interpretações de terceiros.
Como materializar o DPO em um site WordPress
Tornar o DPO real em um site WordPress se resume a 3 elementos concretos: um nome, um canal e um registro. O encarregado nomeado precisa ter contato publicado, em geral no rodapé ou na página de privacidade, conforme exige o art. 41, parágrafo 1.
O segundo elemento é um formulário ou e-mail dedicado a requisições de titular. O terceiro, o mais esquecido, é o log: uma planilha que registra cada pedido, a data e a providência tomada, criando a trilha de auditoria que prova o atendimento dentro do prazo.
Ferramentas que ajudam nessa operação existem no próprio ecossistema WordPress. O WPForms registra requisições com data e armazena as entradas; o All in One Security ajuda a proteger o acesso ao painel onde os dados ficam; plugins de consentimento de cookies organizam a base legal; e o UpdraftPlus garante backup do que precisa ser preservado. Para mapear o que o seu site coleta antes de nomear o encarregado, faça uma auditoria completa de segurança no WordPress e cruze com a sua política de privacidade.
Quando o DPO pode ser flexibilizado
A Resolução CD/ANPD nº 2/2022 permite que agentes de tratamento de pequeno porte deixem de indicar um encarregado formal, desde que ofereçam 1 canal de comunicação com o titular. Isso vale para microempresas, MEI e pessoas físicas que tratam dados sem alto risco.
Na maioria dos casos de sites pequenos, a gente vê no suporte que o caminho mais seguro continua sendo nomear alguém, ainda que seja o próprio dono, porque o canal publicado tem que existir de qualquer forma.
A flexibilização não elimina as obrigações de segurança, transparência e resposta ao titular. Um e-commerce que processa cartão, uma clínica que guarda prontuário ou um site que faz perfilamento para anúncios tende a ficar fora do enquadramento de baixo risco, mesmo sendo pequeno. Para o caso específico de saúde, vale o nosso material sobre LGPD para clínica no WordPress, onde o dado sensível muda o cálculo de risco.
Quem deve ser o DPO e o custo da função
A LGPD não exige que o DPO seja advogado, certificado ou terceirizado, o que abre 3 caminhos de custo distintos. O dono do site pode acumular a função em operações pequenas e de baixo risco, com custo próximo de zero além do tempo investido na operação.
Um colaborador interno treinado funciona para empresas em crescimento. Um DPO terceirizado, contratado como serviço, atende quem trata dado sensível ou em volume. A escolha depende do risco do tratamento, não do tamanho da empresa.
O que não muda em nenhum cenário é a infraestrutura técnica por trás do encarregado. O site precisa de SSL ativo, backup confiável e controle de acesso ao painel para que a função de DPO tenha sobre o que se apoiar. Saber se o seu site usa cookies é o ponto de partida para mapear o tratamento que o encarregado vai supervisionar.
A plataforma FULL como base técnica para o encarregado
Manter um site WordPress em conformidade exige uma camada técnica que sustente o trabalho do DPO, e é aí que a plataforma FULL entra como alternativa ao avulso. O plano PRO da FULL custa R$849,90 e inclui 17 plugins, entre eles o All in One Security, o UpdraftPlus e o WPForms.
Dividido pelos 10 sites do plano, isso dá cerca de R$85 por site, contra a soma das licenças avulsas que cada plugin cobraria separado. O WPForms registra requisições de titular com data; o UpdraftPlus garante o backup. Conheça os planos da FULL para montar a base técnica que o encarregado precisa.
A FULL é CVE Numbering Authority reconhecida pela CISA desde mai/2022, com mais de 150 mil sites conectados à plataforma. Isso significa que a infraestrutura de segurança sobre a qual o DPO opera passa por um padrão de monitoramento de vulnerabilidades que a maioria dos sites avulsos não tem. O encarregado responde pela conformidade; a plataforma sustenta a parte técnica.
Perguntas frequentes sobre DPO no WordPress
O que é DPO na prática de um site WordPress?
DPO é o encarregado de dados que responde aos titulares e à ANPD: na prática, defina uma pessoa, publique o contato no rodapé e mantenha um log datado. Esses 3 elementos cumprem o art. 41 da LGPD. Use WPForms para registrar requisições com data. Sem eles, o site fica sem responsável formal.
Por que um site pequeno precisa nomear um encarregado de dados?
Porque a LGPD se aplica a qualquer tratamento de dado pessoal, independente do tamanho. Um formulário com nome e e-mail já conta. A Resolução nº 2/2022 flexibiliza para pequeno porte, mas exige um canal de contato de qualquer forma, e nomear o encarregado é o jeito mais seguro de cumprir isso.
Qual a diferença entre DPO, controlador e operador na LGPD?
São 3 papéis distintos: o controlador decide o tratamento (dono do site), o operador executa em nome dele (hospedagem, gateway) e o DPO é o canal entre titular, empresa e ANPD. Escolha assim: quem responde ao titular é sempre o controlador, nunca o operador. Confundir os dois é o erro mais comum nos tickets.
É possível ser o próprio DPO do seu site sem contratar um terceiro?
Sim, é permitido: a LGPD não exige que o encarregado seja advogado nem certificado. Escolha você mesmo se o site é pequeno e de baixo risco, com custo próximo de zero. Contrate um DPO terceirizado apenas se tratar dado sensível ou alto volume. A obrigação de publicar o contato continua valendo nos 2 casos.
Quanto a ANPD pode multar por ausência de encarregado?
A LGPD prevê multa de até 2% do faturamento, limitada a R$50 milhões por infração, conforme o art. 52. A ausência de encarregado isolada raramente gera a multa máxima, mas agrava o quadro quando há vazamento ou requisição não atendida, transformando um incidente gerenciável em descumprimento formal do art. 41.
Próximos passos para operar o encarregado
Nomear o DPO e publicar o canal de contato é a parte rápida; sustentar a função com SSL, backup e log auditável é o trabalho contínuo. O encarregado existe para responder ao titular com prova de atendimento, e isso depende de uma base técnica que registre cada pedido. Comece mapeando o que o seu site coleta, defina quem assume o papel e publique o contato antes da primeira requisição chegar. Para aprofundar a parte de proteção do site onde os dados vivem, o guia de segurança para WordPress reúne os passos seguintes, e o FULL Academy organiza os tutoriais de privacidade em um só lugar.
Legenda: o contato do encarregado publicado no rodapé do site é o primeiro elemento de conformidade exigido pelo art. 41.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
