Encarregado de Dados (DPO): Atribuicoes e Quando a Designacao e Obrigatoria
A Lei Geral de Proteção de Dados estabelece a figura do encarregado de dados como elo indispensável entre organizações, titulares e a Autoridade Nacional de Proteção de Dados, conferindo a esse agente atribuições operacionais e estratégicas que vão além da mera função representativa. Compreender o alcance dessas responsabilidades e os critérios que tornam a designação compulsória é condição para a conformidade efetiva das organizações ao regime jurídico da privacidade no Brasil.
A figura do encarregado de dados na Lei Geral de Proteção de Dados
O artigo 41 da Lei 13.709/2018 determina que o controlador deverá indicar um encarregado pelo tratamento de dados pessoais, pessoa natural ou jurídica que atua como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Essa figura corresponde, no plano internacional, ao denominado Data Protection Officer (DPO), adotado pelo Regulamento Geral sobre Proteção de Dados da União Europeia, embora o modelo brasileiro apresente características próprias.
A designação pode recair sobre empregado do próprio controlador ou sobre profissional externo, mediante contrato de prestação de serviços. A lei não impõe formação jurídica específica, mas a complexidade das funções exige domínio das normas de proteção de dados, capacidade para conduzir processos internos de conformidade e aptidão para interagir com a autoridade regulatória. O encarregado deve ter sua identidade e informações de contato divulgadas publicamente, de preferência no sítio eletrônico do controlador.
Importa distinguir o encarregado designado pelo controlador daquele que alguns operadores adotam voluntariamente: embora a lei mencione expressamente o controlador como responsável pela indicação, operadores que processam dados em larga escala ou que lidam com categorias sensíveis têm mantido essa figura em razão das responsabilidades solidárias e das exigências contratuais impostas pelos controladores com quem se relacionam.
Atribuições legais e escopo de atuação
O parágrafo segundo do artigo 41 da Lei 13.709/2018 enumera as atribuições mínimas do encarregado: aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da ANPD e adotar as medidas cabíveis; orientar os funcionários e os contratados da entidade a respeito das práticas relacionadas à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Na prática, essas competências se desdobram em atividades como a condução de mapeamentos de dados, a elaboração de relatórios de impacto à proteção de dados (RIPD), a gestão de incidentes de segurança com notificação à ANPD, o monitoramento do ciclo de vida dos dados e a capacitação contínua das equipes internas. O encarregado funciona, portanto, como ponto de convergência entre as exigências regulatórias e as práticas cotidianas de tratamento de dados da organização.
A posição do encarregado também tem dimensão estratégica: ao assessorar a alta direção sobre riscos associados ao tratamento de dados, esse agente contribui para que a privacidade seja incorporada desde a concepção dos processos e produtos, conforme o princípio do privacy by design. Esse enfoque preventivo reduz a exposição a sanções administrativas previstas no artigo 52 da LGPD, que podem atingir até dois por cento do faturamento do grupo econômico no Brasil, limitado a cinquenta milhões de reais por infração.
O encarregado de dados não é apenas uma exigência formal da lei, mas a engrenagem que transforma políticas de privacidade em cultura organizacional efetiva.
A ANPD detém competência para estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive quanto a requisitos de qualificação e à possibilidade de compartilhamento da função entre empresas do mesmo grupo econômico. Essa margem regulatória amplia a importância de acompanhar as resoluções editadas pela autoridade nacional, que têm densificado progressivamente o regime jurídico da proteção de dados no país.
Quando a designação do encarregado é obrigatória
A Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, estabeleceu regime diferenciado para agentes de tratamento de pequeno porte, categoria que abrange microempresas, empresas de pequeno porte, startups, microempreendedores individuais, pessoas jurídicas sem fins lucrativos com receita bruta anual de até um milhão de reais e pessoas físicas que realizam tratamento para fins econômicos. Esses agentes ficam desobrigados de indicar encarregado desde que o tratamento de dados não represente risco elevado aos titulares.
Para os demais controladores, a designação é obrigatória. Figuram nessa categoria as pessoas jurídicas de médio e grande porte, os órgãos e entidades da administração pública e qualquer organização que realize tratamento em larga escala de dados sensíveis, dados de crianças e adolescentes, dados de geolocalização ou operações de alto risco. A larga escala é avaliada por critérios como volume de dados processados, extensão geográfica do tratamento, duração e a natureza dos dados envolvidos.
A ausência de encarregado designado quando exigível configura infração administrativa, passível das sanções previstas no artigo 52 da LGPD. Além da multa, a ANPD pode determinar a publicização da infração, o bloqueio ou a eliminação dos dados tratados irregularmente e a suspensão do banco de dados por até seis meses, prorrogável por igual período. A conformidade nesse ponto não é recomendação de boas práticas, mas obrigação legal com consequências concretas e imediatas.
Perguntas Frequentes
Uma empresa de pequeno porte que trate dados de saúde de clientes precisa designar encarregado?
Sim. Mesmo que o agente de tratamento se enquadre como empresa de pequeno porte, o tratamento de dados sensíveis relacionados à saúde pode configurar risco elevado aos titulares, afastando a isenção prevista pela Resolução CD/ANPD nº 2/2022. Nesses casos, a obrigação de designação subsiste independentemente do porte econômico da organização, cabendo análise individualizada com base nos critérios de risco estabelecidos pela autoridade nacional.
O encarregado de dados pode acumular outra função dentro da mesma empresa?
A LGPD não proíbe a acumulação de funções, mas a prática exige cautela. A acumulação é admitida desde que não gere conflito de interesses capaz de comprometer a independência do encarregado. Funções como responsável pela segurança da informação ou pela gestão de tecnologia podem apresentar sobreposição sem conflito, ao passo que cargos com poder decisório direto sobre as finalidades do tratamento de dados tendem a criar situações de incompatibilidade que a autoridade nacional pode questionar.
Órgãos públicos também estão obrigados a designar encarregado de dados?
Sim. Os órgãos e entidades da administração pública estão expressamente sujeitos à obrigação de designação do encarregado, conforme o artigo 41 da LGPD e as normas complementares da ANPD. A resolução que estabeleceu o regime simplificado para agentes de pequeno porte não contempla órgãos públicos, que seguem o regime geral independentemente de seu porte ou do volume de dados tratados. A ANPD tem direcionado atenção especial à conformidade do setor público, com orientações e guias específicos voltados a essa categoria de controladores.
Receba novidades no WhatsApp e/ou e-mail
Cadastre-se gratuitamente para receber nossos novos artigos.
Seus dados estão protegidos conforme a LGPD.
Ficou com dúvidas? Fale com um advogado especialista.
📱 Falar pelo WhatsAppAs informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.
