Encarregado de Dados no Setor Público: Peculiaridades
A nomeação do encarregado de dados no setor público exige atenção a peculiaridades que vão muito além das regras aplicáveis à iniciativa privada, com impactos diretos na conformidade dos órgãos à LGPD.
O Papel do Encarregado de Dados na Administração Pública
Desde a entrada em vigor da Lei Geral de Proteção de Dados (Lei nº 13.709/2018), a figura do encarregado de dados pessoais, também conhecido pela sigla DPO (Data Protection Officer), passou a ocupar posição central nas estratégias de conformidade de qualquer organização que trate dados pessoais. No setor público, essa função ganha contornos próprios que merecem análise detalhada, considerando as especificidades do regime jurídico administrativo e os princípios que regem a atuação estatal.
Quando analisa-se o artigo 41 da LGPD, verifica-se que a lei determina ao controlador a indicação de um encarregado pelo tratamento de dados pessoais. A norma não faz distinção entre controladores públicos e privados, o que significa que órgãos e entidades da administração pública direta e indireta também estão obrigados a realizar essa designação. No entanto, as condições de exercício dessa função no ambiente público apresentam diferenças substanciais em relação ao setor privado.
O encarregado de dados no setor público atua como canal de comunicação entre o órgão controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD). Suas atribuições incluem aceitar reclamações e comunicações dos titulares, prestar esclarecimentos, adotar providências, receber comunicações da ANPD, orientar funcionários e contratados sobre práticas de proteção de dados e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Peculiaridades da Nomeação e do Vínculo Funcional
Uma das questões mais relevantes que identificamos na prática administrativa diz respeito à forma de designação do encarregado no setor público. Diferentemente do que ocorre na iniciativa privada, onde a contratação pode se dar por vínculo empregatício ou por prestação de serviços, no setor público a nomeação do encarregado precisa observar as regras de direito administrativo aplicáveis. Isso envolve a publicação de ato formal (portaria, decreto ou resolução, conforme o caso) designando o servidor ou agente público para exercer a função.
A ANPD, por meio do Guia Orientativo sobre Tratamento de Dados Pessoais pelo Poder Público, reconheceu que o encarregado no setor público pode ser um servidor do próprio quadro funcional do órgão. Essa orientação tem relevância prática considerável, pois evita a necessidade de realização de concurso público específico ou de processo licitatório para contratação de terceiro, ao menos como regra geral. Contudo, a designação de servidor já pertencente ao quadro funcional levanta questões sobre acúmulo de funções, capacitação técnica e possíveis conflitos de interesse.
Verifica-se que muitos órgãos públicos têm optado por designar servidores da área de tecnologia da informação ou do jurídico para exercer cumulativamente a função de encarregado de dados. Embora essa prática seja compreensível do ponto de vista orçamentário, ela pode gerar conflitos de interesse quando o servidor designado também participa de decisões sobre o próprio tratamento de dados que deveria fiscalizar. A recomendação que fazemos é que o encarregado tenha independência funcional suficiente para exercer suas atribuições sem subordinação direta aos setores cujas atividades de tratamento de dados precisa avaliar.
A independência funcional do encarregado de dados no setor público é condição essencial para que a conformidade com a LGPD não se torne mera formalidade burocrática.
Outro ponto que merece destaque é a questão remuneratória. No setor privado, o DPO costuma receber remuneração compatível com a responsabilidade do cargo. No setor público, a designação de um servidor para acumular a função de encarregado nem sempre vem acompanhada de gratificação ou compensação financeira adicional, o que pode impactar a motivação e a dedicação ao exercício da função. Alguns entes federativos têm criado funções gratificadas ou cargos em comissão específicos para o encarregado de dados, prática que consideramos mais adequada para garantir a efetividade da atuação.
Conflitos de Interesse e Autonomia Funcional
A questão dos conflitos de interesse na atuação do encarregado de dados no setor público é um tema que exige atenção redobrada. Diferentemente do Regulamento Geral de Proteção de Dados europeu (GDPR), que expressamente veda que o DPO exerça funções que gerem conflito de interesse, a LGPD brasileira não traz disposição equivalente de forma explícita. Ainda assim, entendemos que a vedação ao conflito de interesse decorre dos próprios princípios da administração pública, notadamente os princípios da impessoalidade e da moralidade administrativa previstos no artigo 37 da Constituição Federal.
Na prática administrativa, observamos situações potencialmente conflituosas quando o encarregado de dados acumula funções de gestão de TI, chefia de departamentos que realizam tratamento intensivo de dados ou posições de assessoria jurídica que validam os atos de tratamento. Nesses casos, o servidor estaria na posição de avaliar a conformidade de atividades pelas quais ele próprio é responsável, o que compromete a imparcialidade necessária ao exercício da função.
Para mitigar esses riscos, recomenda-se que os órgãos públicos adotem algumas providências: (i) evitar a designação de ocupantes de cargos de chefia de áreas diretamente envolvidas no tratamento de dados pessoais, (ii) garantir que o encarregado tenha acesso direto à autoridade máxima do órgão, (iii) assegurar que o encarregado não sofra penalidades em razão do exercício regular de suas atribuições e (iv) documentar formalmente os limites de atuação e as garantias de independência do encarregado.
Capacitação Técnica e Estrutura de Apoio
Um desafio que identificamos com frequência no setor público é a insuficiência de capacitação técnica dos servidores designados como encarregados de dados. A função exige conhecimentos multidisciplinares que abrangem proteção de dados pessoais, segurança da informação, direito administrativo, gestão de riscos e governança corporativa. Nem sempre os servidores designados possuem formação ou experiência nessas áreas, o que pode comprometer a efetividade da atuação.
A capacitação do encarregado de dados no setor público deve ser encarada como investimento institucional, e não como custo. Programas de formação continuada, participação em eventos especializados, acesso a materiais técnicos produzidos pela ANPD e intercâmbio de experiências com outros órgãos são medidas que contribuem para o fortalecimento da cultura de proteção de dados na administração pública. A Escola Nacional de Administração Pública (ENAP) e outras escolas de governo têm oferecido cursos voltados para essa temática, o que representa um avanço significativo.
Além da capacitação individual do encarregado, cabe destacar a importância de constituir uma estrutura de apoio adequada. O encarregado de dados raramente consegue desempenhar suas atribuições de forma isolada, especialmente em órgãos de grande porte que realizam tratamento massivo de dados pessoais. A criação de comitês de privacidade e proteção de dados, com representantes de diferentes áreas do órgão, pode ser uma estratégia eficiente para descentralizar as atividades operacionais e permitir que o encarregado se concentre na coordenação e na supervisão geral da conformidade.
Observamos também que a estrutura organizacional do setor público, com suas hierarquias rígidas e processos decisórios formais, pode dificultar a atuação ágil do encarregado. Situações que demandam resposta rápida (como incidentes de segurança envolvendo dados pessoais) exigem que o encarregado tenha canais de comunicação direta com a alta administração, sem necessidade de percorrer toda a cadeia hierárquica do órgão.
Transparência, Publicidade e Interação com a ANPD
O princípio da publicidade, consagrado no artigo 37 da Constituição Federal, impõe ao setor público obrigações de transparência que vão além do exigido para o setor privado. No contexto da proteção de dados, isso significa que os órgãos públicos devem disponibilizar de forma clara e acessível as informações sobre o encarregado de dados designado, incluindo nome completo, dados de contato e as atribuições exercidas.
A LGPD determina que a identidade e as informações de contato do encarregado devem ser divulgadas publicamente, preferencialmente no sítio eletrônico do controlador. No caso de órgãos públicos, essa divulgação deve observar os padrões de acessibilidade digital previstos na legislação vigente, garantindo que a informação seja facilmente localizável por qualquer cidadão. Verifica-se que muitos órgãos ainda não cumprem adequadamente essa obrigação, mantendo informações desatualizadas ou de difícil localização em seus portais.
A interação entre o encarregado de dados do setor público e a ANPD possui características próprias. Os órgãos públicos estão sujeitos a um regime sancionatório diferenciado pela LGPD, que prevê sanções como advertência, publicização da infração, bloqueio e eliminação dos dados pessoais, mas não prevê a aplicação de multas pecuniárias a entes públicos. Isso não significa, contudo, que a atuação do encarregado possa ser negligenciada. A publicização de uma infração pode causar danos reputacionais significativos ao órgão, e o bloqueio de dados pode comprometer a prestação de serviços públicos essenciais.
Consideramos fundamental que o encarregado de dados no setor público mantenha registros atualizados das operações de tratamento realizadas pelo órgão, elabore relatórios de impacto à proteção de dados quando aplicável e implemente programas de governança em privacidade. Essas medidas, além de atenderem às exigências legais, fortalecem a posição do órgão em eventuais procedimentos de fiscalização conduzidos pela ANPD e demonstram o comprometimento institucional com a proteção dos dados dos cidadãos.
Perguntas Frequentes
O encarregado de dados no setor público precisa ser servidor efetivo?
A LGPD não exige que o encarregado de dados no setor público seja servidor efetivo. A função pode ser exercida por servidor comissionado, empregado público ou mesmo por terceiro contratado mediante processo licitatório. No entanto, a designação de servidor do próprio quadro funcional tem sido a prática mais comum, por facilitar a integração com a estrutura administrativa e evitar custos adicionais com contratação externa.
Quais são as sanções aplicáveis a órgãos públicos que não nomearem encarregado de dados?
Os órgãos públicos que não designarem encarregado de dados estão sujeitos às sanções administrativas previstas na LGPD para o setor público, que incluem advertência, publicização da infração, bloqueio e eliminação dos dados pessoais relacionados à infração. Embora multas pecuniárias não sejam aplicáveis diretamente aos entes públicos, a publicização da infração pode gerar danos reputacionais relevantes e responsabilização dos agentes públicos envolvidos.
Um mesmo encarregado pode atuar em mais de um órgão público?
A legislação brasileira não veda expressamente que um mesmo profissional atue como encarregado de dados em mais de um órgão público. Essa prática pode ser viável em municípios de pequeno porte ou em entidades com volume reduzido de tratamento de dados. Contudo, é necessário avaliar se a atuação simultânea em múltiplos órgãos não compromete a qualidade do trabalho e se há compatibilidade de horários e ausência de conflitos de interesse entre as instituições envolvidas.
As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.
Receba novidades no WhatsApp e/ou e-mail
Cadastre-se gratuitamente para receber nossos novos artigos.
Seus dados estão protegidos conforme a LGPD.
Servidor público com dúvidas? Fale com um advogado especialista.
📱 Falar pelo WhatsAppAs informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.
