Encarregado/DPO na LGPD: o que a ANPD espera desse papel dentro das empresas

Encarregado/DPO na LGPD: o que a ANPD espera desse papel dentro das empresas

Muitas empresas já indicaram um Encarregado pelo Tratamento de Dados Pessoais. Algumas colocaram um e-mail na política de privacidade. Outras escolheram alguém do jurídico, do compliance, da TI ou até da diretoria para ocupar essa função.

O problema é que, em muitos casos, a estrutura parou aí.

Na prática, o Encarregado, também conhecido como DPO, não deve ser apenas um nome no rodapé do site. A Lei Geral de Proteção de Dados (LGPD) criou esse papel para funcionar como um ponto de contato entre a empresa, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD). Com a regulamentação da ANPD sobre o tema, ficou mais claro que esse papel precisa ter função real dentro da governança da organização.

Isso não significa que toda empresa precise criar uma área grande de privacidade ou contratar um DPO em tempo integral. Mas significa que a empresa precisa saber quem responde pelo tema, como os pedidos chegam, como são tratados, quais decisões precisam passar por análise de privacidade e como tudo isso é documentado.

A diferença entre “ter um DPO no papel” e “ter um DPO funcionando” é justamente onde mora o risco.

O que é o Encarregado/DPO na LGPD

A LGPD define o Encarregado como a pessoa indicada pelos agentes de tratamento para atuar como canal de comunicação entre três partes:

• o controlador ou operador;
• os titulares dos dados pessoais;
• a ANPD.

Em termos simples, é a pessoa ou estrutura responsável por receber demandas de privacidade, orientar internamente a organização e apoiar a empresa na aplicação prática da LGPD.

Há situações em que a regulação permite tratamento diferenciado, especialmente para agentes de tratamento de pequeno porte. Mesmo assim, a lógica continua importante: alguém precisa ser responsável por receber demandas de titulares, organizar respostas e orientar a empresa quando o assunto envolve dados pessoais.

Esse papel pode ser exercido por uma pessoa física, por uma pessoa jurídica ou por uma estrutura terceirizada, desde que a atuação seja compatível com as exigências legais e regulatórias. É justamente por isso que modelos como DPO as a Service se tornaram relevantes: muitas empresas precisam de suporte especializado, mas não possuem volume, orçamento ou maturidade para manter uma equipe interna dedicada exclusivamente à privacidade.

O ponto central é que a função precisa existir de verdade. Ela precisa ser conhecida internamente, ter responsabilidades definidas e estar acessível aos titulares e à ANPD.

O que a ANPD espera desse papel

A ANPD publicou a Resolução CD/ANPD nº 18/2024 para regulamentar a atuação do Encarregado. Depois, também lançou um guia orientativo para ajudar empresas e profissionais a interpretar a norma.

Na prática, a ANPD espera que o Encarregado tenha uma atuação organizada, documentada e compatível com o porte, o risco e a complexidade das atividades da empresa.

Isso envolve alguns pontos essenciais.

1. Indicação formal do Encarregado

Quando a indicação do Encarregado for exigida ou adotada pela empresa, ela precisa ser formalizada. Essa indicação não deve ser tratada como algo informal ou improvisado.

O ideal é que a organização registre a decisão em documento interno, deixando claro:

• quem foi indicado;
• qual é o escopo da atuação;
• quais são as responsabilidades;
• quais canais serão usados para contato;
• quais áreas devem apoiar o Encarregado;
• como será o fluxo de reporte para a liderança.

Esse registro ajuda a demonstrar responsabilidade e prestação de contas, dois pontos muito importantes na LGPD.

Quando a empresa contrata um DPO externo, esse escopo também deve estar bem definido em contrato. Não basta “ter alguém para responder e-mails”. É preciso deixar claro o que está incluído no serviço, quais atividades serão recorrentes e quais dependerão de demanda específica.

2. Divulgação da identidade e do canal de contato

O titular precisa saber como falar com o Encarregado.

Por isso, a empresa deve divulgar a identidade do Encarregado e as informações de contato de forma clara e acessível. Normalmente, isso aparece na política de privacidade, no site institucional e, quando fizer sentido, em outros canais usados pelos titulares.

O canal precisa funcionar. Parece óbvio, mas é um erro comum: empresas publicam um e-mail de privacidade que ninguém monitora, ou que cai em uma caixa genérica sem fluxo de resposta.

Se um titular solicita acesso aos seus dados, correção, exclusão ou informação sobre compartilhamento, a empresa precisa conseguir receber, analisar, encaminhar e responder. O Encarregado não precisa fazer tudo sozinho, mas precisa saber como acionar as áreas certas.

Um canal publicado e abandonado pode ser pior do que nenhum canal, porque cria aparência de conformidade sem operação por trás.

3. Atuação como ponte entre titulares, empresa e ANPD

O Encarregado atua como ponto de comunicação, mas essa comunicação não é só externa.

Ele também precisa circular internamente. Isso significa orientar áreas como RH, marketing, vendas, atendimento, tecnologia, produto, jurídico, segurança da informação e liderança.

Alguns exemplos práticos:

• RH quer implantar reconhecimento facial para controle de ponto;
• marketing quer subir uma nova campanha com base de leads antiga;
• vendas quer contratar uma nova ferramenta de CRM;
• produto quer lançar uma funcionalidade com IA;
• TI quer migrar dados para um fornecedor estrangeiro;
• atendimento recebe um pedido de exclusão de dados;
• a empresa identifica um possível incidente de segurança.

Em todos esses casos, o Encarregado pode ajudar a fazer as perguntas certas antes que a decisão vire problema.

A função não é travar o negócio. É ajudar a empresa a crescer com menos risco e mais clareza.

4. Orientação interna sobre boas práticas de proteção de dados

A LGPD não se cumpre apenas com documentos. Ela depende de rotina.

O Encarregado precisa apoiar a disseminação de boas práticas dentro da empresa. Isso pode envolver treinamentos, orientações pontuais, revisão de processos, apoio na criação de políticas internas e participação em decisões que envolvam dados pessoais.

Na prática, isso significa ajudar a empresa a responder perguntas como:

• quais dados realmente precisamos coletar?
• por quanto tempo esses dados devem ser mantidos?
• quem pode acessar cada base?
• com quais fornecedores compartilhamos dados?
• qual base legal justifica cada tratamento?
• como respondemos a pedidos dos titulares?
• o que fazemos se houver um vazamento?

Essas perguntas não são apenas jurídicas. Elas impactam operação, tecnologia, marketing, atendimento e gestão.

Por isso, o DPO precisa ter acesso às áreas e ser ouvido antes de decisões relevantes. Se ele só entra depois que o problema aconteceu, a empresa perde a chance de prevenir.

5. Atenção a conflitos de interesse

Um ponto sensível na regulamentação da ANPD é o conflito de interesse.

O Encarregado pode ocupar outras funções na empresa, mas essas funções não podem comprometer sua autonomia técnica nem colocá-lo na posição de fiscalizar decisões que ele mesmo tomou.

Imagine, por exemplo, uma pessoa que decide a estratégia comercial de uso de dados e, ao mesmo tempo, é responsável por avaliar se essa estratégia está adequada à LGPD. Dependendo do caso, pode haver conflito.

O mesmo cuidado vale para áreas que definem finalidades, meios de tratamento, arquitetura de sistemas, políticas de retenção ou modelos de monetização com dados. Não significa que essas pessoas nunca possam participar da função de privacidade, mas a empresa precisa avaliar riscos e deixar claro como evita interferências indevidas.

O importante é garantir que o Encarregado tenha condições de orientar a organização com independência, sem ser pressionado a validar automaticamente tudo o que o negócio deseja fazer.

6. Recursos e apoio da organização

Um DPO sem apoio interno vira um gargalo.

A empresa precisa oferecer condições mínimas para que o Encarregado exerça sua função. Isso inclui acesso a informações, participação em discussões relevantes, apoio das áreas internas e possibilidade de escalar temas para a liderança.

Não adianta nomear alguém se essa pessoa não consegue descobrir quais dados a empresa coleta, quais sistemas usa, quais fornecedores recebem informações ou quem decide sobre cada processo.

Privacidade exige colaboração. O Encarregado coordena, orienta e acompanha, mas a responsabilidade pela proteção de dados é da organização como um todo.

Erros comuns das empresas ao indicar um DPO

Alguns erros aparecem com frequência.

O primeiro é indicar alguém apenas para cumprir formalidade, sem treinamento, escopo ou apoio.

O segundo é colocar um e-mail de contato na política de privacidade e não criar nenhum fluxo por trás. O titular escreve, ninguém responde direito, a demanda se perde e o problema cresce.

O terceiro é tratar LGPD como assunto exclusivo do jurídico. A proteção de dados passa pelo jurídico, mas também passa por sistemas, contratos, campanhas, integrações, atendimento, segurança, RH e produto.

Outro erro comum é não documentar nada. A empresa até faz algumas ações, mas não registra decisões, bases legais, respostas a titulares, análises de fornecedores ou medidas adotadas. Em uma eventual fiscalização ou questionamento, fica difícil demonstrar conformidade.

Também há empresas que só lembram do DPO depois de um incidente. Quando há vazamento, acesso indevido ou denúncia, o tempo de reação fica curto. O ideal é ter o papel estruturado antes da crise.

O que um DPO deve acompanhar na rotina da empresa

A atuação do Encarregado pode variar conforme o porte e o risco da organização, mas alguns temas costumam ser recorrentes:

• atendimento a direitos dos titulares;
• revisão de políticas de privacidade;
• apoio ao registro das operações de tratamento;
• análise de bases legais;
• orientação sobre retenção e descarte de dados;
• avaliação de fornecedores e operadores;
• apoio em incidentes de segurança;
• revisão de campanhas de marketing que usam dados pessoais;
• suporte a projetos de tecnologia, IA, SaaS e automação;
• treinamentos internos;
• acompanhamento de mudanças regulatórias da ANPD.

Essa lista mostra por que a função não pode ser meramente simbólica. Mesmo em empresas menores, os dados circulam por várias áreas e ferramentas. Alguém precisa manter essa visão organizada.

Quando faz sentido contratar DPO as a Service

Nem toda empresa precisa de um DPO interno em tempo integral. Muitas não têm volume suficiente para justificar uma contratação exclusiva, mas ainda assim tratam dados pessoais e precisam cumprir a LGPD.

Nesses casos, o DPO as a Service pode ser uma alternativa prática.

O modelo permite que a empresa conte com apoio especializado de forma contínua, sem montar uma estrutura interna do zero. O serviço pode incluir orientação estratégica, atendimento a titulares, revisão de documentos, apoio a incidentes, análise de fornecedores, treinamentos e acompanhamento regulatório.

A principal vantagem é transformar privacidade em rotina. Em vez de buscar ajuda apenas quando surge uma urgência, a empresa passa a ter uma referência para consultar decisões do dia a dia.

Isso é especialmente útil para empresas em crescimento, startups, negócios digitais, organizações com pouco time jurídico interno ou empresas que precisam demonstrar maturidade para clientes e parceiros.

Checklist: sua empresa tem um DPO funcionando de verdade?

Algumas perguntas ajudam a avaliar a maturidade atual:

• existe uma indicação formal do Encarregado?
• o canal de contato está publicado e é monitorado?
• a empresa sabe como responder pedidos de titulares?
• as áreas internas sabem quando acionar o DPO?
• o DPO participa de decisões que envolvem dados pessoais?
• há registro das principais operações de tratamento?
• fornecedores são avaliados sob a ótica da LGPD?
• existe plano para incidentes de segurança?
• a liderança recebe orientação sobre riscos relevantes?
• a função tem independência e recursos mínimos para operar?

Se muitas respostas forem “não” ou “não sei”, a empresa provavelmente tem um DPO no papel, mas ainda não tem uma governança de privacidade funcionando.

O que muda quando o papel é bem estruturado

Quando o Encarregado atua de forma organizada, a empresa ganha previsibilidade.

Os pedidos dos titulares deixam de ser improvisados. As áreas passam a ter orientação antes de lançar campanhas, contratar ferramentas ou criar novos processos. A liderança entende melhor os riscos. Os fornecedores são avaliados com mais critério. As políticas deixam de ser textos genéricos e passam a refletir a operação real.

Isso não elimina todos os riscos, mas reduz bastante a chance de decisões ruins passarem despercebidas.

A LGPD exige responsabilidade. E responsabilidade, na prática, é conseguir explicar o que a empresa faz com dados pessoais, por que faz, com quem compartilha, por quanto tempo mantém e quais medidas adota para proteger essas informações.

O DPO ajuda a organizar essa resposta.

Como a TOGETHER pode apoiar

A TOGETHER atua com DPO as a Service e apoio contínuo em privacidade e proteção de dados. O objetivo é ajudar empresas que precisam cumprir a LGPD sem transformar o tema em um projeto pesado, distante da realidade do negócio.

Isso pode envolver desde a estruturação inicial do papel do Encarregado até o acompanhamento recorrente de demandas, revisão de documentos, orientação de áreas internas, análise de fornecedores e suporte em situações sensíveis.

Se sua empresa já indicou um DPO, mas ainda não tem processos claros, este é um bom momento para revisar a estrutura. Se ainda não indicou, vale fazer isso de forma correta desde o início.

Ter um Encarregado não deve ser apenas uma formalidade. Deve ser uma forma de trazer mais segurança, organização e confiança para o uso de dados pessoais dentro da empresa.

Fale com a TOGETHER para estruturar o papel do Encarregado/DPO com apoio prático, contínuo e adequado ao porte da sua empresa.