A perspetiva da Cyber Academy
O CISO (Chief Information Security Officer) é responsável pela estratégia e pelo programa de segurança da informação. O DPO (Data Protection Officer) é responsável pela supervisão independente, exigida pelo GDPR, do tratamento de dados pessoais. O RSSI (Responsable de la Sécurité des Systèmes d'Information) é o equivalente francês do CISO. Os três papéis sobrepõem-se no perímetro da segurança dos dados, mas respondem a mandatos diferentes: CISO e RSSI ao executivo, DPO ao regulador.
TL;DR
- 1CISO e RSSI são o mesmo papel com vocabulário diferente. RSSI é o título francês; CISO é o título internacional. O mesmo escopo.
- 2O DPO é independente por concepção do GDPR, reporta ao mais alto nível de gestão, não pode ser destituído por desempenhar o papel e é o ponto de contacto da autoridade de controlo.
- 3Responsabilidade do CISO/RSSI: estratégia de segurança da informação, registo de riscos, resposta a incidentes, reporte ao conselho. Mandato do executivo.
- 4Responsabilidade do DPO: supervisão da conformidade com o GDPR, revisão de DPIA, direitos dos titulares dos dados, diálogo com a autoridade de controlo. Mandato da regulamentação.
- 5Sobrepõem-se na segurança dos dados (Artigo 32 do GDPR) e na resposta a incidentes. Uma única pessoa não deveria acumular ambos os papéis em organizações de dimensão significativa; o DPO deve permanecer independente das decisões de tratamento de dados que o CISO opera.
Duas responsabilidades, um perímetro
A confusão entre estes papéis não é sobre títulos de cargo. É sobre a qual autoridade cada pessoa responde. O CISO e o RSSI gerem um programa em nome do executivo: são avaliados em função de se a organização está suficientemente segura para continuar a operar e de se o conselho compreende o risco residual que está a suportar. O DPO responde a um senhor inteiramente diferente. O papel existe porque o GDPR colocou uma função de conformidade independente dentro da organização, e essa função reporta ao mais alto nível de gestão mantendo-se fora das decisões operacionais que tem de avaliar. Um lado otimiza para o negócio. O outro lado tem de ser capaz de dizer ao negócio que ele está errado.
Em termos operacionais, o CISO e o RSSI constroem e defendem; o DPO revê e questiona. Quando uma equipa de marketing quer enriquecer uma base de dados de clientes com dados de terceiros, o CISO pergunta se pode ser feito de forma segura e o DPO pergunta se deveria sequer ser feito, à luz dos testes de licitude, minimização e limitação das finalidades. Ambas as perguntas são legítimas. Não são a mesma pergunta e, no momento em que as colapsa numa só pessoa, perde a segunda.
A comparação que realmente importa
A maioria das comparações publicadas fica-se pelas definições. A distinção que decide as disputas de organograma é a linha de reporte e a fonte do mandato, porque é isso que determina quem pode sobrepor-se a quem e quem assume a responsabilidade quando algo corre mal.
| Dimensão | CISO | DPO | RSSI |
|---|---|---|---|
| Mandato principal | Estratégia e programa de segurança da informação | Supervisão independente do tratamento de dados pessoais | Igual ao CISO (título francês) |
| Fonte de autoridade | Delegada pelo executivo | Exigida e protegida pelo GDPR | Delegada pelo executivo |
| Reporta a | CEO, conselho ou comité de risco | Mais alto nível de gestão, com independência | Direction générale ou DSI |
| Responsável por | Registo de riscos, controlos, resposta a incidentes, reporte ao conselho | Revisão de DPIA, direitos dos titulares dos dados, registos de tratamento, diálogo com a autoridade de controlo | Mesmo escopo que o CISO, no contexto regulatório francês |
| Pode ser destituído por exercer a função? | Sim, como qualquer executivo | Não, protegido contra destituição por desempenhar o papel | Sim, como qualquer executivo |
| Certificações de sinalização | CISM, PECB CCISO, Lead Cybersecurity Manager, CRISC | GDPR DPO, CDPSE, ISO 27701 Lead Implementer | Igual ao CISO, frequentemente acrescido do ISO 27001 do mercado francês |
A coluna das certificações é o sinal prático que um gestor de recrutamento lê. Um perfil de líder de segurança constrói-se sobre o CISM para a credencial de nível de gestão, o PECB Certified CISO para o enquadramento executivo e o Lead Cybersecurity Manager para a construção do programa. Um perfil de proteção de dados sinaliza através da credencial Certified Data Protection Officer e de uma camada de engenharia de privacidade como o CDPSE. As duas stacks não são intercambiáveis, e um CV que as mistura sem um papel principal claro normalmente sinaliza alguém que não fez nenhuma delas com profundidade.
Onde se sobrepõem genuinamente: Artigo 32 e incidentes
A sobreposição é real, e fingir o contrário é como as organizações acabam com lacunas. O Artigo 32 do GDPR exige medidas técnicas e organizativas adequadas para proteger os dados pessoais: cifragem, resiliência, a capacidade de restabelecer a disponibilidade e o teste regular dessas medidas. Isso é trabalho de segurança. O CISO é responsável pelos controlos que o concretizam. Mas o DPO tem de ser capaz de avaliar se essas medidas são adequadas ao risco para os titulares dos dados, o que é uma lente diferente de adequadas ao negócio.
A forma limpa de gerir isto: o CISO é responsável por implementar e operar as medidas do Artigo 32, e o DPO é responsável por formar uma opinião independente sobre a sua adequação. O CISO constrói a norma de cifragem em repouso; o DPO regista na DPIA que ela é suficiente para o tratamento em causa, ou assinala que não é. Nenhum dos dois aprova o seu próprio trabalho.
O ISO 27701 assenta exatamente nesta junção. Estende um ISMS ISO 27001 a um sistema de gestão de informações de privacidade, o que dá ao CISO e ao DPO um quadro de controlos partilhado em vez de dois vocabulários desconexos. O curso ISO 27701 Lead Implementer é a qualificação mais útil para a pessoa que tem de fazer o programa de segurança e o programa de privacidade falarem entre si.
A resposta a incidentes é a segunda sobreposição e aquela que cede sob pressão. O CISO conduz a resposta técnica: conter, erradicar, recuperar. O DPO conduz o relógio regulatório: o GDPR dá 72 horas para notificar a autoridade de controlo de uma violação de dados pessoais, e essa avaliação (é uma violação, é notificável, há risco para os titulares dos dados) é decisão do DPO, não do CISO. Se estas duas pessoas não estiverem na mesma sala na primeira hora de um incidente grave, ou notificará em excesso e queimará credibilidade junto do regulador, ou notificará a menos e ultrapassará o prazo.
Porque uma única pessoa não deveria acumular CISO e DPO
A razão é estrutural, não de carga de trabalho. O GDPR exige que o DPO esteja livre de qualquer conflito de interesses: o DPO não pode ocupar uma posição que envolva determinar as finalidades e os meios do tratamento de dados pessoais. Um CISO faz exatamente isso. O CISO decide que registos são conservados, quanto tempo vivem os backups, que monitorização inspeciona o tráfego dos colaboradores, que fornecedores tratam os dados. Essas são decisões de tratamento. Uma única pessoa que tanto as toma como é suposto auditá-las de forma independente não pode desempenhar a segunda função, porque a autoridade de controlo não aceitará a autorrevisão como supervisão independente.
Isto não é uma opinião da Cyber Academy. As autoridades de controlo europeias já multaram organizações por nomearem um DPO que acumulava também um papel operacional sobre o tratamento que era suposto supervisionar. Numa pequena organização pode genuinamente ter uma pessoa capaz que poderia fazer ambos. A resposta nesse caso não é combinar os papéis; é tornar essa pessoa o CISO e nomear o DPO externamente, ou vice-versa. Um DPO externo é uma solução reconhecida e muitas vezes mais limpa, precisamente porque a independência está incorporada.
A realidade da sala de auditoria
Quando um auditor ISO 27001 ou uma autoridade de controlo analisa isto, está a verificar uma única coisa: consegue demonstrar que as decisões de segurança e as decisões de privacidade foram tomadas por pessoas com a autoridade certa e a independência certa. A evidência que pretendem é banal e específica.
- Um RACI ou equivalente que nomeie quem é responsável pelo registo de riscos versus os registos de tratamento, sem que nenhuma pessoa acumule o papel de operar e o de supervisionar o mesmo controlo.
- Registos de incidentes que mostrem que o DPO foi envolvido na notificabilidade e o CISO na contenção, com carimbos de data e hora que se enquadrem na janela de 72 horas.
- DPIAs que incluam uma opinião independente do DPO sobre as medidas de segurança, e não uma validação de segurança reetiquetada como revisão de privacidade.
As competências de auditoria e garantia que tornam isto demonstrável pertencem, mais uma vez, a um perfil distinto. O CISA constrói a disciplina de auditoria e de evidência, e o CRISC constrói a linguagem de quantificação de risco que permite ao CISO apresentar o risco residual ao conselho em termos sobre os quais ele consegue efetivamente decidir. Estas são as credenciais que transformam uma estrutura defensável numa estrutura demonstrável.
Erros comuns a evitar
- Tratar CISO e RSSI como dois papéis a preencher separadamente. São o mesmo papel; o título segue a língua e o contexto regulatório, não o escopo.
- Deixar o DPO reportar ao CISO ou à função de TI. Isso destrói a independência que o GDPR exige e é uma constatação fácil para qualquer regulador.
- Presumir que a certificação de maior nível ganha. Um detentor de CISM não está, por isso, qualificado como DPO, e uma credencial forte de DPO não faz de alguém um líder de segurança. Faça corresponder a credencial ao mandato.
- Escrever um relatório para o conselho que mistura o risco de segurança e o risco de privacidade num único número. O conselho precisa de ver ambos, porque as consequências e as autoridades envolvidas são diferentes.
As organizações que acertam nisto não têm mais efetivos do que as que erram. Têm uma resposta clara a uma única pergunta: para qualquer decisão sobre dados pessoais, quem a constrói e quem a julga de forma independente. Mantenha essas duas respostas em duas pessoas diferentes, dê a cada uma a credencial que corresponde ao seu mandato, e o organograma deixa de ser uma fonte de constatações de auditoria.
Frequently asked questions
01A mesma pessoa pode ser CISO e DPO?
Tecnicamente sim em pequenas organizações, mas o EDPB desaconselha fortemente. O DPO deve permanecer independente das decisões de tratamento; o CISO opera essas decisões. Numa pequena organização onde a mesma pessoa toma a decisão, a independência é fictícia.
Em qualquer organização de dimensão relevante (mais de 50 colaboradores a tratar volumes significativos de dados pessoais), separe os papéis. O DPO pode estar na equipa jurídica, na equipa de risco ou reportar diretamente ao CEO. O CISO situa-se na organização de tecnologia ou de segurança.
02Quais certificações sinalizam um CISO?
O CISM (ISACA) é a credencial mais comum num currículo de CISO; cerca de 60% das vagas de CISO na Europa pedem-no. O ISO 27001 Lead Implementer ou Lead Auditor (PECB) é o seguinte mais comum. O CISSP é a alternativa tradicional de estilo norte-americano.
Para os papéis de RSSI franceses, as qualificações reconhecidas pela ANSSI (EBIOS Risk Manager, qualificações através dos programas SecNumCloud ou PASSI) têm peso, em complemento ou em substituição das credenciais internacionais.
03Quais certificações sinalizam um DPO?
O Certified Data Protection Officer (CDPO, emitido pela PECB, alinhado com o GDPR) é a referência europeia. O CIPP/E (IAPP) é a credencial internacional alternativa de privacidade, particularmente reconhecida em empresas com presença nos EUA.
Para DPOs técnicos (engenheiros de privacidade que operam dentro ou junto da equipa de segurança), o CDPSE (ISACA) é o complemento técnico. O ISO/IEC 27701 Lead Implementer (PECB) é a credencial de sistema de gestão para organizações que operam um ISMS de privacidade.
04Como se comparam os seus salários na Europa?
Grande variância por país e setor. Em França, em 2026, um CISO/RSSI experiente numa empresa do CAC 40 ganha 130.000 a 220.000 euros de base. Um DPO experiente na mesma empresa ganha 90.000 a 150.000 euros de base. Nos serviços financeiros, ambos os papéis tendem a ser 20% a 30% mais elevados. No mid-market, ambos os papéis tendem a ser 30% a 40% mais baixos.
A diferença salarial reflete o escopo: o CISO/RSSI é responsável por orçamento, efetivos, escolhas tecnológicas. O DPO é responsável por supervisão, independência, contacto regulatório.







