A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, trouxe mudanças profundas à forma como as empresas brasileiras lidam com dados pessoais. Uma das figuras centrais dessa legislação é o Encarregado pelo Tratamento de Dados Pessoais, conhecido também como DPO (Data Protection Officer).
Esse profissional atua como elo de comunicação entre três partes fundamentais:
- O controlador (quem decide sobre o tratamento dos dados);
- Os titulares dos dados (as pessoas a quem os dados pertencem);
- E a Autoridade Nacional de Proteção de Dados (ANPD).
O encarregado também deve orientar os colaboradores e contratados do agente de tratamento sobre boas práticas e conformidade com a legislação.
Quem deve indicar o Encarregado?
Conforme o art. 41 da LGPD, a indicação do encarregado é obrigatória para o controlador de dados pessoais. Para o operador, essa indicação é facultativa, sendo considerada uma boa prática de governança.
Entretanto, agentes de tratamento de pequeno porte não estão automaticamente dispensados da indicação. Continuam obrigados à designação caso:
- Realizem tratamento de dados de alto risco;
- Tenham receita bruta anual entre R$ 360.000,00 e R$ 4.800.000,00;
- No caso de startups, faturem até R$ 16.000.000,00 no ano anterior ou valor proporcional, conforme o tempo de atividade;
- Façam parte de grupo econômico com receita global que ultrapasse esses limites.
Mesmo que dispensado do encarregado, o agente deve manter um canal de comunicação claro e acessível com os titulares de dados.
Como indicar o Encarregado?
A nomeação deve ser feita por meio de ato formal — um documento escrito, datado e assinado — que registre a designação e especifique suas funções. No setor público, pode ocorrer por portaria ou outro ato administrativo. Já no setor privado, a indicação pode ser feita por contrato, inclusive com prestadores externos.
Esse ato deve ser mantido à disposição da ANPD e publicado no Diário Oficial no caso de órgãos públicos. A identidade e os contatos do encarregado devem ser divulgados publicamente, preferencialmente no site da empresa. Caso não possua website, a divulgação pode se dar por outros meios usuais.
Principais Funções do Encarregado
De acordo com a LGPD, são atribuições do encarregado:
- Receber e tratar demandas dos titulares;
- Atuar como ponto de contato da ANPD;
- Orientar colaboradores quanto à proteção de dados;
- Cumprir demais funções delegadas pelo controlador ou normativas complementares.
Além disso, o encarregado também auxilia na:
- Gestão de incidentes de segurança;
- Elaboração de relatórios de impacto e registros de tratamento;
- Adoção de medidas técnicas e administrativas para mitigação de riscos;
- Implementação de políticas internas e revisão de contratos com terceiros;
- Apoio em decisões estratégicas relacionadas à privacidade.
Importante destacar que o encarregado não tem poder decisório, mas exerce papel de assessoramento técnico com independência.
Terceirização: É permitida?
Sim. O encarregado pode ser pessoa natural (ex: colaborador interno) ou jurídica (empresa contratada). A escolha deve considerar o perfil da organização, a complexidade das operações de dados e a capacidade técnica da pessoa ou empresa indicada.
No setor público, é preferível a nomeação de servidores efetivos, embora a contratação de terceiros seja permitida com cautela, dada a relevância estratégica da função.
Conflito de Interesses
É essencial garantir que o encarregado atue de forma autônoma e isenta. Ele não pode ocupar cargos que impliquem em decisões estratégicas sobre dados pessoais, como gestores de TI, RH ou finanças.
Caso haja potencial conflito, a empresa deve adotar medidas para afastar os riscos, podendo inclusive substituir o encarregado.
É possível, ainda, que um mesmo encarregado atue em múltiplas organizações, desde que consiga cumprir suas funções sem prejuízo de independência e sem conflito de interesses.
Dicas Práticas para Empresas
- Avalie se há obrigatoriedade de nomeação do encarregado conforme seu porte e operações.
- Mantenha um canal de atendimento ao titular, mesmo se dispensado da nomeação.
- Considere a indicação do DPO como boa prática, mesmo quando facultativa.
- Decida entre profissional interno ou terceirizado, ponderando prós e contras.
- Evite conflito de interesse, especialmente acumulando com cargos estratégicos.
- Formalize a indicação com documentação adequada.
- Divulgue publicamente o nome e contato do encarregado.
- Garanta estrutura adequada de trabalho para o encarregado exercer suas funções.
- Assegure sua autonomia técnica e acesso à alta direção.
- Nomeie um substituto formalmente, assegurando continuidade.
