O papel do encarregado de dados e quando a empresa precisa nomear um

A figura do encarregado pelo tratamento de dados ocupa posição central na estrutura de governança exigida pela Lei Geral de Proteção de Dados, funcionando como elo entre a organização, os titulares das informações e a autoridade fiscalizadora. Compreender suas funções e identificar em quais cenários sua indicação se torna recomendável ou verdadeiramente indispensável tornou-se questão estratégica para empresas, profissionais liberais e órgãos públicos que tratam dados pessoais em escala relevante.

O que é o encarregado e qual sua função na LGPD

A Lei nº 13.709/2018 define o encarregado como a pessoa indicada pelo controlador e pelo operador para atuar como canal de comunicação entre a organização, os titulares dos dados e a autoridade nacional de proteção de dados. Trata-se de uma função, não necessariamente de um cargo, o que abre espaço tanto para a designação de um profissional interno quanto para a contratação de um prestador externo especializado.

O papel é eminentemente articulador. O encarregado recebe reclamações e comunicações dos titulares, presta esclarecimentos, adota providências internas e orienta os colaboradores quanto às práticas a serem observadas no tratamento de dados pessoais. Não se confunde com o setor de tecnologia da informação nem com o departamento jurídico, embora dialogue permanentemente com ambos.

A lei atribui ao controlador o dever de divulgar a identidade e as informações de contato do encarregado de forma clara e acessível, preferencialmente no sítio eletrônico da organização. Essa transparência é o primeiro sinal externo de que a empresa estruturou sua governança de dados, e sua ausência costuma ser um dos primeiros pontos observados em fiscalizações.

Quando a indicação é recomendável ou indispensável

A redação original da lei sugeria a obrigatoriedade ampla de indicação do encarregado por parte do controlador. A evolução regulatória posterior, contudo, calibrou essa exigência conforme o porte e o risco da atividade, reconhecendo que agentes de menor escala não suportariam a mesma estrutura demandada de grandes operações.

Para organizações que tratam grandes volumes de dados, dados de crianças e adolescentes, dados sensíveis (como informações de saúde, biometria ou convicções) ou que realizam monitoramento sistemático de titulares, a indicação do encarregado deve ser tratada como indispensável. Nesses contextos, a complexidade do tratamento e a gravidade dos riscos tornam a função uma exigência prática, antes mesmo de qualquer leitura formalista do texto legal.

Já para microempreendedores e agentes de tratamento de pequeno porte, a regulamentação admitiu flexibilização. A dispensa, porém, não é automática nem incondicional: mesmo o pequeno negócio precisa manter um canal de comunicação disponível ao titular. A diferença está no grau de formalização da estrutura, não na supressão do dever de atendimento.

Há ainda um terreno intermediário que merece atenção redobrada. Empresas de médio porte que lidam com dados de clientes em bases de marketing, plataformas digitais com cadastro de usuários e prestadores de serviços que recebem dados de terceiros costumam subestimar sua exposição. Para esses agentes, a indicação formal de um encarregado é fortemente recomendável como medida de mitigação de risco, ainda que se entenda haver margem interpretativa quanto à obrigatoriedade.

A decisão sobre indicar ou não um encarregado, e sobre fazê-lo de forma interna ou terceirizada, deve nascer de um diagnóstico concreto do tratamento realizado. A pergunta correta não é apenas “a lei me obriga?”, mas “a estrutura de dados que mantenho gera risco suficiente para justificar um responsável formal?”. Na maioria dos casos relevantes, a resposta é afirmativa.

Essa mudança de perspectiva tem efeito direto na postura recomendada ao gestor. Tratar a indicação como mero cumprimento de checklist tende a produzir uma função vazia, sem autonomia e sem capacidade real de resposta. O encarregado eficaz é aquele dotado de acesso à alta administração e de recursos para investigar incidentes e implementar correções.

Responsabilidades e o canal de contato com os titulares

O conjunto de atribuições do encarregado começa no atendimento ao titular. Cabe a ele receber pedidos de acesso, correção, anonimização, portabilidade e eliminação de dados, encaminhando-os aos setores competentes e zelando pelo cumprimento dos prazos. Um canal de contato inoperante ou que não responde dentro de prazo razoável fragiliza toda a estrutura de conformidade.

Internamente, o encarregado orienta funcionários e contratados sobre as práticas de proteção de dados, contribui para a elaboração de políticas e participa da resposta a incidentes de segurança. Quando ocorre vazamento ou acesso não autorizado capaz de gerar risco aos titulares, é o encarregado quem articula a comunicação à autoridade e aos afetados, dentro dos parâmetros fixados pela regulamentação.

A escolha do canal de contato também é estratégica. Um endereço de correio eletrônico genérico, sem responsável definido, costuma falhar no momento mais crítico. O ideal é um canal nominalmente vinculado ao encarregado, com fluxo interno definido de triagem e resposta, e com registro documental de cada solicitação recebida e da providência adotada.

Esse registro tem valor probatório. Em eventual questionamento administrativo ou judicial, a organização que demonstra ter recebido, processado e respondido as solicitações dos titulares de forma rastreável apresenta-se em posição muito mais sólida do que aquela que apenas alega boa-fé. A documentação do fluxo é, portanto, parte indissociável da função.

A relação do encarregado com a autoridade fiscalizadora

A autoridade nacional de proteção de dados é o órgão incumbido de fiscalizar o cumprimento da legislação, editar regulamentos e aplicar sanções. O encarregado é o ponto de contato institucional entre a organização e essa autoridade, recebendo comunicações oficiais e prestando os esclarecimentos solicitados ao longo de procedimentos de fiscalização.

Essa interlocução exige preparo. O encarregado precisa conhecer não apenas a estrutura de dados da própria organização, mas também os deveres impostos pela legislação e pelos regulamentos da autoridade, inclusive aqueles que disciplinam a atuação do próprio encarregado e a comunicação de incidentes. A omissão ou a resposta desencontrada diante de um requerimento oficial pode agravar a situação da empresa.

A autoridade pode aplicar sanções que vão da advertência à multa, passando pela publicização da infração e pela suspensão ou proibição do tratamento de dados. A existência de um encarregado atuante, com governança documentada e respostas tempestivas, é fator que pesa favoravelmente na dosimetria, pois evidencia diligência e cooperação por parte do agente fiscalizado.

Convém destacar que a indicação do encarregado não transfere a ele a responsabilidade pelo tratamento. O controlador permanece responsável pelas decisões sobre a finalidade e os meios do tratamento de dados. O encarregado é peça de governança e de interlocução, não um escudo que isente a organização de seus deveres legais. Compreender essa distinção evita expectativas equivocadas sobre o alcance da função.

Do ponto de vista estratégico, a recomendação é integrar o encarregado à rotina decisória da organização desde cedo, e não apenas reagir após uma notificação. A maturidade em proteção de dados se constrói com política clara, canal de atendimento funcional, registro consistente e diálogo preparado com a autoridade. Esse arranjo reduz a exposição a sanções e protege a reputação do agente perante clientes e parceiros.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.