Entendendo o Encarregado de Dados Pessoais: Um Guia Essencial para Empresas

A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, trouxe mudanças profundas à forma como as empresas brasileiras lidam com dados pessoais. Uma das figuras centrais dessa legislação é o Encarregado pelo Tratamento de Dados Pessoais, conhecido também como DPO (Data Protection Officer).

Esse profissional atua como elo de comunicação entre três partes fundamentais:

• O controlador (quem decide sobre o tratamento dos dados);
• Os titulares dos dados (as pessoas a quem os dados pertencem);
• E a Autoridade Nacional de Proteção de Dados (ANPD).

O encarregado também deve orientar os colaboradores e contratados do agente de tratamento sobre boas práticas e conformidade com a legislação.

Quem deve indicar o Encarregado?

Conforme o art. 41 da LGPD, a indicação do encarregado é obrigatória para o controlador de dados pessoais. Para o operador, essa indicação é facultativa, sendo considerada uma boa prática de governança.

Entretanto, agentes de tratamento de pequeno porte não estão automaticamente dispensados da indicação. Continuam obrigados à designação caso:

• Realizem tratamento de dados de alto risco;
• Tenham receita bruta anual entre R$ 360.000,00 e R$ 4.800.000,00;
• No caso de startups, faturem até R$ 16.000.000,00 no ano anterior ou valor proporcional, conforme o tempo de atividade;
• Façam parte de grupo econômico com receita global que ultrapasse esses limites.

Mesmo que dispensado do encarregado, o agente deve manter um canal de comunicação claro e acessível com os titulares de dados.

Como indicar o Encarregado?

A nomeação deve ser feita por meio de ato formal — um documento escrito, datado e assinado — que registre a designação e especifique suas funções. No setor público, pode ocorrer por portaria ou outro ato administrativo. Já no setor privado, a indicação pode ser feita por contrato, inclusive com prestadores externos.

Esse ato deve ser mantido à disposição da ANPD e publicado no Diário Oficial no caso de órgãos públicos. A identidade e os contatos do encarregado devem ser divulgados publicamente, preferencialmente no site da empresa. Caso não possua website, a divulgação pode se dar por outros meios usuais.

Principais Funções do Encarregado

De acordo com a LGPD, são atribuições do encarregado:

• Receber e tratar demandas dos titulares;
• Atuar como ponto de contato da ANPD;
• Orientar colaboradores quanto à proteção de dados;
• Cumprir demais funções delegadas pelo controlador ou normativas complementares.

Além disso, o encarregado também auxilia na:

• Gestão de incidentes de segurança;
• Elaboração de relatórios de impacto e registros de tratamento;
• Adoção de medidas técnicas e administrativas para mitigação de riscos;
• Implementação de políticas internas e revisão de contratos com terceiros;
• Apoio em decisões estratégicas relacionadas à privacidade.

Importante destacar que o encarregado não tem poder decisório, mas exerce papel de assessoramento técnico com independência.

Terceirização: É permitida?

Sim. O encarregado pode ser pessoa natural (ex: colaborador interno) ou jurídica (empresa contratada). A escolha deve considerar o perfil da organização, a complexidade das operações de dados e a capacidade técnica da pessoa ou empresa indicada.

No setor público, é preferível a nomeação de servidores efetivos, embora a contratação de terceiros seja permitida com cautela, dada a relevância estratégica da função.

Conflito de Interesses

É essencial garantir que o encarregado atue de forma autônoma e isenta. Ele não pode ocupar cargos que impliquem em decisões estratégicas sobre dados pessoais, como gestores de TI, RH ou finanças.

Caso haja potencial conflito, a empresa deve adotar medidas para afastar os riscos, podendo inclusive substituir o encarregado.

É possível, ainda, que um mesmo encarregado atue em múltiplas organizações, desde que consiga cumprir suas funções sem prejuízo de independência e sem conflito de interesses.

Dicas Práticas para Empresas

1. Avalie se há obrigatoriedade de nomeação do encarregado conforme seu porte e operações.
2. Mantenha um canal de atendimento ao titular, mesmo se dispensado da nomeação.
3. Considere a indicação do DPO como boa prática, mesmo quando facultativa.
4. Decida entre profissional interno ou terceirizado, ponderando prós e contras.
5. Evite conflito de interesse, especialmente acumulando com cargos estratégicos.
6. Formalize a indicação com documentação adequada.
7. Divulgue publicamente o nome e contato do encarregado.
8. Garanta estrutura adequada de trabalho para o encarregado exercer suas funções.
9. Assegure sua autonomia técnica e acesso à alta direção.
10. Nomeie um substituto formalmente, assegurando continuidade.