Imagine um piloto de avião que decorou o manual de voo de 2019, passou em todas as provas, recebeu o brevê — e nunca mais abriu um documento técnico depois disso.
Você embarcaria nesse avião?
Provavelmente não. E, no entanto, esse é o perfil de uma parcela significativa dos profissionais de proteção de dados que atuam hoje no mercado.
Não estou falando de incompetência. Estou falando de algo mais sutil — e mais perigoso: a ilusão de que uma certificação obtida há dois ou três anos ainda representa o estado atual da regulação, das ameaças e das expectativas do mercado.
O que mudou desde que você se certificou?
Desde 2022, a ANPD publicou resoluções que alteraram substancialmente a interpretação prática da LGPD — especialmente em segurança da informação e transferência internacional de dados. O EDPB (Conselho Europeu de Proteção de Dados) emitiu diretrizes que redefiniu como o GDPR se aplica a sistemas de inteligência artificial. O Canadá avança com o Bill C-27, que vai substituir o PIPEDA por um regime mais rigoroso, próximo ao modelo europeu. E a Lei 25 do Quebec já está em plena vigência, com requisitos que surpreendem até profissionais experientes.
Isso sem mencionar o que a IA generativa colocou na mesa: quem é o responsável quando um sistema automatizado viola dados pessoais? Qual é a base legal para treinar modelos com dados de clientes? O DPO foi consultado antes do deploy?
Se você não sabe responder a essas perguntas com segurança, não é porque você é um mau profissional. É porque o campo se moveu — e a atualização contínua não é opcional nessa profissão.
O DPO como o médico de plantão
Existe uma analogia que uso nos meus treinamentos e que ajuda a entender o peso dessa responsabilidade.
Um médico de plantão não pode dizer ao paciente: "Desculpe, aprendi sobre esse medicamento em 2021 e não sei se houve contraindicações novas desde então." A atualização contínua não é um diferencial na medicina — é um requisito ético e legal.
O DPO está na mesma posição. Quando uma organização sofre um incidente de dados, quando um titular exerce seus direitos, quando um contrato com fornecedor precisa de uma cláusula de DPA — o profissional que está na sala precisa saber o que a regulação exige hoje, não o que ela exigia quando ele fez o curso.
E aqui está o ponto que poucos falam abertamente: ao longo da minha trajetória como DPO — em diversas empresas de médio e grande porte, nas áreas de saúde, governo, indústrias, imobiliárias, startups, comércio e hotelaria — o padrão que se repetia não era falta de boa vontade. Era lacuna de atualização. O profissional sabia o framework, mas não sabia como ele havia sido interpretado pela autoridade nos últimos 18 meses.
Quatro áreas onde o gap é mais crítico
Com base no mapeamento que faço regularmente do estado do mercado, há quatro áreas onde a defasagem dos DPOs é mais frequente e mais arriscada:
A primeira é a gestão de incidentes de dados. O prazo de 72 horas para notificação existe no GDPR e na maioria das regulações. Mas o que fazer nas primeiras 6 horas? Quem aciona? Quem documenta? Quem decide se o incidente precisa ser notificado? Muitos DPOs conhecem o prazo, mas não têm um playbook operacional para as primeiras horas.
A segunda é o RoPA atualizado. O Registro de Atividades de Tratamento não é um documento que se cria uma vez e arquiva. Ele precisa refletir o estado atual dos sistemas, dos fornecedores e das bases legais. Quando a autoridade regulatória bate à porta, o RoPA é o primeiro documento solicitado — e um RoPA desatualizado é evidência de negligência, não de boa-fé.
A terceira é a governança de IA. Sistemas de IA que processam dados pessoais exigem avaliação de impacto (DPIA), base legal clara e, em muitos casos, explicabilidade das decisões automatizadas. O DPO que não entende o mínimo sobre como esses sistemas funcionam não consegue fazer as perguntas certas às equipes de tecnologia.
A quarta é a gestão de SARs (Subject Access Requests). O volume de solicitações de titulares cresceu significativamente nos últimos anos. Responder dentro do prazo, com o conteúdo correto, verificando a identidade do solicitante e aplicando as exceções legais pertinentes — isso é uma operação que precisa de processo, não de improviso.
Atualização não é acumular certificações
Preciso ser direto aqui, porque esse é um equívoco que vejo com frequência.
Atualização não é fazer mais um curso. Não é acumular mais um badge no LinkedIn. É desenvolver a capacidade de operar com competência nas situações reais que o cargo exige — e isso demanda prática, não apenas teoria.
Ler as resoluções mais recentes da ANPD. Analisar os casos de sanção do EDPB e entender o padrão de falha em cada um. Fazer uma DPIA real, não apenas saber o que é uma DPIA. Conduzir uma auditoria de privacidade com checklist atualizado. Treinar funcionários não-técnicos de forma que eles realmente mudem comportamento.
Essas são as competências que diferenciam um DPO eficaz de um DPO de papel.
Um recurso que construí para a comunidade
Ao longo dos últimos anos, desenvolvi dois frameworks proprietários — o SHELL-Privacy™ e o MEDA-Privacy™ — adaptados da metodologia de análise sistêmica da aviação para o campo da privacidade de dados e GRC. Esses frameworks foram publicados em quatro idiomas (inglês, francês, português e espanhol) e são utilizados em consultorias, workshops e conferências no Brasil, no Canadá e internacionalmente.
Mas frameworks não substituem atualização regulatória. Por isso, construí o shellprivacy.com como um espaço de referência — com artigos, análises e recursos práticos para profissionais de privacidade que querem ir além do básico.
Se você é DPO, Privacy Officer, advogado de privacidade ou profissional de compliance, convido você a usar o site como fonte de pesquisa. Não porque eu tenha todas as respostas — mas porque acredito que a comunidade de proteção de dados precisa de mais espaços onde o debate seja técnico, honesto e orientado à prática.
A pergunta que fica
Quando foi a última vez que você leu uma resolução da ANPD? Quando foi a última vez que você revisou o RoPA de uma organização que assessora? Quando foi a última vez que você conduziu uma DPIA do zero?
Se a resposta for "faz um tempo", não é julgamento — é um diagnóstico. E diagnósticos são o primeiro passo para qualquer tratamento eficaz.
O campo de proteção de dados não perdoa a estagnação. Mas recompensa, de forma consistente, quem investe em atualização contínua.
Be inspired and fly.