Encarregado de dados: por que sua empresa precisa de um e o que ele faz
A Lei Geral de Proteção de Dados tornou o encarregado pelo tratamento de dados o elo obrigatório entre a empresa, os titulares e a Autoridade Nacional de Proteção de Dados. Ignorar essa designação expõe a organização a sanções e mina a confiança do mercado.
O encarregado como ponte entre três mundos
O encarregado pelo tratamento de dados pessoais nasceu com a Lei 13.709/2018, a Lei Geral de Proteção de Dados. O artigo 5º, inciso VIII, define a figura como a pessoa indicada pelo controlador e pelo operador para atuar como canal de comunicação entre a organização, os titulares dos dados e a autoridade fiscalizadora. Inspirada no modelo europeu, a função é conhecida internacionalmente pela sigla Data Protection Officer, ou DPO.
A palavra ponte descreve bem a posição. De um lado está a empresa que coleta e processa informações; de outro, os cidadãos cujos dados circulam; ao centro, a Autoridade Nacional de Proteção de Dados, que fiscaliza o cumprimento da lei. O encarregado ocupa o ponto de encontro entre esses três interesses, traduzindo obrigações legais em rotinas concretas e recebendo demandas de todas as direções.
O artigo 41 da mesma lei transforma essa figura em obrigação. O controlador deve indicar um encarregado e divulgar sua identidade e seus dados de contato de forma clara, preferencialmente no próprio site. Essa transparência não é detalhe burocrático: é o que permite ao titular saber a quem recorrer quando deseja acessar, corrigir ou excluir suas informações pessoais.
A escolha do termo encarregado, em vez do anglicismo, reflete a opção do legislador brasileiro por vocabulário próprio, embora a função dialogue diretamente com o regulamento europeu de proteção de dados. Essa origem comum explica por que muitas práticas adotadas no Brasil espelham o que já se consolidou na Europa, dos relatórios de impacto às rotinas de resposta a incidentes.
As responsabilidades que a lei impõe
O parágrafo 2º do artigo 41 lista as atribuições mínimas do encarregado. A primeira é aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências. Na prática, isso significa manter um canal ativo para quem questiona o uso de seus dados, com respostas dentro de prazos razoáveis e registro de cada solicitação.
A segunda atribuição é receber comunicações da autoridade nacional e tomar as medidas cabíveis. Quando a ANPD instaura fiscalização ou solicita informações, o encarregado é o interlocutor formal. A terceira função é orientar os funcionários e os contratados da entidade sobre as práticas de proteção de dados, papel que aproxima a figura de um agente interno de conformidade.
A lista legal não esgota o cargo. O mesmo dispositivo autoriza o controlador a atribuir outras tarefas, e a prática de mercado agregou funções como participar da elaboração de políticas internas, apoiar relatórios de impacto à proteção de dados e acompanhar incidentes de segurança. O encarregado, assim, transita entre o jurídico, a tecnologia da informação e a alta gestão.
A eficácia dessas atribuições depende de estrutura. Um endereço de e-mail divulgado sem ninguém para respondê-lo não cumpre a lei. A autoridade tem sinalizado que espera processos documentados, com registro de solicitações, definição de responsáveis e prazos internos de resposta, elementos que demonstram governança real e não apenas aparência de conformidade.
O relacionamento com os titulares merece atenção especial. A lei assegura ao cidadão direitos como confirmação do tratamento, acesso, correção e portabilidade dos dados. Cabe ao encarregado orquestrar as áreas internas para que esses pedidos sejam atendidos no prazo, evitando que uma solicitação simples se transforme em reclamação formal à autoridade ou em ação judicial.
Sem um encarregado atuante, a empresa perde o canal que traduz a lei em rotina e fica cega diante das demandas de titulares e da autoridade.
Esse conjunto de deveres explica por que a escolha de quem ocupará a função não pode ser aleatória nem meramente simbólica.
De um lado está a empresa que coleta e processa informações; de outro, os cidadãos cujos dados circulam; ao centro, a Autoridade Nacional de Proteção de Dados, que fiscaliza o cumprimento da lei.
O perfil exigido para a função
Designar qualquer pessoa apenas para cumprir a formalidade contraria o espírito da lei. O encarregado precisa reunir conhecimento jurídico sobre a Lei Geral de Proteção de Dados, noções sólidas de segurança da informação e capacidade de diálogo com áreas distintas. Deve compreender tanto o texto normativo quanto o fluxo real de dados dentro da organização.
A legislação não exige formação específica nem vínculo empregatício. O encarregado pode ser um colaborador interno ou um profissional externo contratado, modelo que o mercado apelidou de DPO como serviço. Empresas menores costumam optar pela terceirização, enquanto grandes grupos mantêm estruturas próprias, muitas vezes lideradas por advogados especializados em proteção de dados.
A autonomia é o atributo mais delicado. Para exercer o papel com credibilidade, o encarregado deve ter acesso à alta administração e liberdade para apontar falhas, ainda que incômodas. Colocar na função alguém sem independência, ou sobrecarregado por conflitos de interesse, esvazia a designação e fragiliza a defesa da empresa em eventual fiscalização.
Determinadas posições concentram poder de decisão sobre o tratamento de dados e, por isso, tendem a gerar conflito quando acumuladas com a função. Cargos que definem finalidades e meios do tratamento, como diretorias de marketing ou de tecnologia, exigem cautela redobrada. O desenho ideal preserva a capacidade do encarregado de fiscalizar sem julgar as próprias decisões.
Os riscos de ignorar a designação
A ausência de encarregado, ou sua designação apenas no papel, expõe a organização a sanções administrativas. O artigo 52 da Lei Geral de Proteção de Dados prevê penalidades que vão da advertência à multa de até 2% do faturamento, limitada a cinquenta milhões de reais por infração, além de publicização da penalidade e bloqueio ou eliminação dos dados envolvidos.
Em 2024, a autoridade editou regulamentação específica sobre a atuação do encarregado, detalhando deveres, garantias de autonomia e hipóteses de dispensa. Agentes de tratamento de pequeno porte não são obrigados a indicar formalmente o encarregado, mas precisam manter um canal de comunicação com titulares e autoridade. A dispensa, portanto, não elimina o dever de transparência.
A fiscalização brasileira amadureceu de forma gradual, priorizando orientação antes da punição severa. Esse cenário mudou com a estruturação da autoridade e a edição de normas sobre dosimetria de sanções. A tendência é de rigor crescente, o que torna imprudente a aposta de que a ausência do encarregado passará despercebida diante de uma reclamação ou de um incidente relevante.
O prejuízo, contudo, ultrapassa a multa. Vazamentos mal conduzidos, respostas ignoradas a titulares e falta de interlocutor durante uma fiscalização corroem a reputação e afastam clientes e parceiros. No ambiente digital, em que a confiança se tornou ativo econômico, a designação de um encarregado competente deixou de ser custo e passou a integrar a estratégia de quem trata dados pessoais.
Existe ainda o efeito preventivo pouco lembrado. Uma designação bem estruturada antecipa problemas, organiza a resposta a incidentes e cria trilha de auditoria que demonstra boa-fé perante a autoridade. Empresas que investiram cedo na função relatam menor exposição a conflitos e negociação mais favorável quando questionadas, porque conseguem comprovar diligência documentada.
A designação como parte da governança de dados
Encarar o encarregado como peça isolada é um erro comum. A função só produz resultado quando integrada a um programa mais amplo de governança, que inclua mapeamento de dados, bases legais bem definidas, políticas de retenção e treinamento periódico. O profissional coordena esse conjunto, mas depende do compromisso da organização inteira.
Nesse arranjo, a designação deixa de ser exigência avulsa e passa a sinalizar maturidade. Investidores, parceiros comerciais e grandes clientes têm incluído a existência de um encarregado atuante entre os critérios de due diligence. A figura, criada por obrigação legal, converteu-se em diferencial competitivo para quem trata dados pessoais com seriedade.
Perguntas Frequentes
Toda empresa é obrigada a designar um encarregado?
A regra geral do artigo 41 impõe a indicação a todo controlador de dados. A regulamentação da autoridade, porém, dispensou os agentes de tratamento de pequeno porte da designação formal, desde que mantenham um canal de comunicação acessível. Micro e pequenas empresas devem avaliar o volume e a natureza dos dados tratados antes de concluir que estão dispensadas dessa obrigação.
O encarregado precisa ser advogado?
A lei não exige formação jurídica nem profissão regulamentada. O ideal é reunir conhecimento sobre a legislação de proteção de dados e sobre segurança da informação. Muitas organizações escolhem advogados especializados justamente pela necessidade de interpretar a norma e conduzir o relacionamento com a autoridade, mas profissionais de tecnologia e de governança de dados também exercem a função com competência.
Uma pessoa jurídica pode ser indicada como encarregado?
Sim. A regulamentação admite que o encarregado seja pessoa natural ou jurídica, o que viabiliza a contratação de empresas especializadas na prestação do serviço. Nesse arranjo, a responsabilidade pelo tratamento continua com o controlador, mas a operação diária do canal e o cumprimento das atribuições legais ficam a cargo do prestador designado.
As informações deste artigo são de caráter informativo e não substituem a consulta a um advogado especializado. Cada caso possui particularidades que exigem análise individualizada.
Base legal citada
Leia o texto integral e atualizado no CM Legis:
Receba novidades no WhatsApp e/ou e-mail
Cadastre-se gratuitamente para receber nossos novos artigos.
Seus dados estão protegidos conforme a LGPD.
Ficou com dúvidas? Fale com um advogado especialista.
📱 Falar pelo WhatsAppAs informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.






