DPO Contratado como PJ: Risco de Vínculo Oculto

Durante a revisão contratual de uma empresa de tecnologia em saúde, encontrei algo alarmante: o DPO (Encarregado de Proteção de Dados), contratado como prestador PJ, atuava de forma contínua há dois anos, com jornada semanal de 20h, participação em reuniões obrigatórias, supervisão direta pelo jurídico interno e metas de entrega fixadas por trimestre.

O contrato dizia “prestação de serviços autônomos”. A prática dizia outra coisa: subordinação direta, habitualidade, pessoalidade e onerosidade — todos os elementos clássicos de um vínculo empregatício disfarçado.

Por que empresas contratam DPO como PJ?

Desde a entrada em vigor da LGPD, muitas empresas optaram por contratar DPOs externos em vez de criar um cargo interno CLT. A justificativa é a economia de encargos, flexibilidade e a possibilidade de contratar especialistas que atendem várias empresas simultaneamente.

Contudo, a estratégia só funciona se o contrato refletir a autonomia real. O que ocorre, muitas vezes, é a imposição de:

• Jornada semanal fixa (20h ou 30h);

• Participação obrigatória em comitês internos;

• Submissão a metas, prazos e relatórios periódicos;

• Limitação à atuação para outras empresas.

Isso descaracteriza a prestação autônoma e transforma a relação em vínculo empregatício encoberto.

O que caracteriza vínculo de emprego com um DPO?

A função de Encarregado pode ser exercida por pessoa física ou jurídica. No entanto, quando exercida por pessoa jurídica, deve haver real autonomia funcional, técnica e comercial.

Se a empresa:

• Define horários;

• Cobra metas frequentes;

• Exige exclusividade;

• Integra o DPO em rotinas internas como se fosse funcionário...

... então está, juridicamente, mantendo um DPO CLT sob contrato de fachada.

O risco? Ação trabalhista com reconhecimento de vínculo, condenação retroativa e multa.

A jurisprudência começa a se consolidar

Embora os casos envolvendo DPOs ainda sejam recentes, ações trabalhistas com prestadores PJ em consultorias estratégicas já formaram jurisprudência sólida. Profissionais de TI, compliance, contabilidade e RH já conseguiram na Justiça:

• Reconhecimento de vínculo;

• Indenizações por vínculo disfarçado;

• Reflexos em verbas rescisórias, FGTS e INSS;

• Responsabilização solidária dos sócios, em alguns casos.

A lógica é a mesma: não importa o contrato, importa a realidade da relação.

Riscos específicos da empresa contratante

• Ações trabalhistas com pedidos retroativos de vínculo, salários e verbas rescisórias;

• Questionamento pela fiscalização do trabalho ou Receita Federal, em caso de denúncia;

• Perda da credibilidade institucional, especialmente em setores regulados (financeiro, saúde, educação, tecnologia);

• Desalinhamento com a própria LGPD, que exige que o DPO atue com independência e autonomia.

A contradição é evidente: como exigir independência do DPO se ele está subordinado à empresa que deveria fiscalizar?

Como estruturar uma relação jurídica segura com o DPO?

Se a opção for pelo modelo de contratação por prestação de serviços via PJ, é fundamental:

1. Evitar controle de jornada ou definição de horas semanais fixas;

2. Estabelecer entregas por projeto ou demanda, e não por rotina de expediente;

3. Permitir atuação do DPO para múltiplas empresas (salvo por contrato de exclusividade remunerado);

4. Formalizar um contrato com cláusulas robustas de autonomia técnica;

5. Evitar inserção do DPO em estruturas hierárquicas da empresa (ele não deve reportar-se a superiores, mas interagir tecnicamente).

DPO interno (CLT) vs DPO externo (PJ): qual escolher?

A resposta depende do nível de maturidade em proteção de dados da empresa:

• Empresas com muito fluxo de dados, alta complexidade e ambiente regulado: o ideal é ter um DPO interno, CLT, com dedicação integral.

• Empresas menores, em fase inicial de adequação: o modelo de DPO as a Service (PJ) pode funcionar — desde que com autonomia real e contrato bem estruturado.

E se o DPO for um sócio?

Outra armadilha comum: nomear um sócio como DPO, para evitar contratações externas. Isso pode funcionar, mas é preciso separar os papéis: se o DPO também é sócio gestor ou CEO, há conflito claro de interesses, e a ANPD poderá questionar a eficácia da função.

Recomenda-se que o DPO, mesmo sendo interno, tenha acesso direto à alta direção e liberdade para reportar desvios.

A LGPD exige independência. O Judiciário exige coerência.

A lei é clara: o DPO deve atuar com independência e isenção. E a Justiça do Trabalho, cada vez mais, analisa se os contratos refletem essa autonomia ou se são apenas fachadas jurídicas para vínculos disfarçados.

Para empresas que valorizam a conformidade, o risco não compensa. É possível terceirizar o serviço? Sim. Mas é preciso fazê-lo com base em governança, compliance e contrato bem redigido.

Como corrigir contratos já firmados?

Se sua empresa já atua com DPO PJ e suspeita que há risco, tome estas medidas:

1. Revisão contratual com jurídico especializado em direito do trabalho e proteção de dados;

2. Mapeamento da atuação prática do DPO, com ajuste de escopo, horários e entregas;

3. Redefinição do regime de contratação, se necessário (mudança para CLT ou contrato de licenciamento de função);

4. Documentação clara da autonomia funcional e técnica;

5. Treinamento da alta gestão para evitar práticas que reforcem subordinação disfarçada.

Contratar um DPO não é apenas cumprir a LGPD — é garantir que a proteção de dados seja levada a sério desde dentro. Ignorar os riscos de vínculo oculto é comprometer não só a segurança jurídica da empresa, mas a coerência entre o que se prega e o que se pratica.

Se você já enfrentou ou evitou situações de vínculo oculto com DPOs ou prestadores estratégicos, envie seu relato para contato@gestaolegal.com. Sua experiência pode ajudar outras empresas a blindar suas operações com inteligência e ética.