DPO e Carreira10 min de leitura

O DPO e a ANPD: obrigações de comunicação, registro e representação

Equipe Confidata·
Compartilhar

A relação entre o DPO e a ANPD é um dos aspectos mais práticos e menos discutidos da função de encarregado. Saber exatamente o que a lei exige — e o que ela não exige — evita tanto a omissão quanto o excesso de preocupação com obrigações que não existem.

Este guia organiza as obrigações do DPO em relação à ANPD: o que divulgar, quando comunicar, como responder a investigações e o que muda para organizações de pequeno porte.

A base legal: Art. 41 da LGPD

O Art. 41 da LGPD estrutura o papel do encarregado (DPO) em relação à ANPD:

Art. 41, §1º: "O encarregado atuará como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados."

Art. 41, §2º: O encarregado tem as seguintes atribuições: aceitar reclamações e comunicações dos titulares; prestar esclarecimentos e adotar providências; receber comunicações da ANPD e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Art. 41, §3º: O encarregado pode ser pessoa natural ou pessoa jurídica.

Art. 41, §4º: A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado.

Obrigação 1: Divulgar publicamente o DPO

O Art. 41, §1º determina que o DPO atue como canal de comunicação. Isso implica que os titulares e a ANPD devem conseguir contatar o DPO — o que pressupõe que a identidade e os dados de contato do DPO sejam públicos e acessíveis.

Como divulgar o DPO

A prática consolidada no mercado e orientada pelos guias da ANPD inclui:

  • Aviso/política de privacidade: mencionar o nome do DPO (ou da empresa DPO-as-a-Service), cargo e e-mail de contato
  • Site da organização: página específica de privacidade ou rodapé com link para contato com o DPO
  • E-mail dedicado: endereço do tipo privacidade@empresa.com.br ou dpo@empresa.com.br
  • Canal de atendimento a titulares: o canal deve ser acessível e monitorado

A ANPD não mantém um cadastro formal de DPOs no Brasil. No GDPR, controladores e operadores devem comunicar os dados de contato do DPO à autoridade supervisora (Art. 37, §7º), mas isso não equivale a um cadastro centralizado obrigatório. Portanto, no Brasil, não há registro formal junto à ANPD que o DPO precise fazer.

O que existe, desde a Resolução CD/ANPD nº 18/2024 (16 de julho de 2024), é a obrigação de indicação formal do encarregado: a nomeação deve ser feita por documento escrito, datado e assinado, que especifique as formas de atuação e as atividades do encarregado. A ANPD pode solicitar esse documento a qualquer momento — é evidência documental de que a função está formalmente exercida, mesmo sem cadastro centralizado.

Para pessoas jurídicas atuando como DPO

Quando uma empresa atua como DPO-as-a-Service (Art. 41, §3º), a divulgação pública deve incluir os dados de contato da empresa prestadora do serviço — o titular e a ANPD precisam ter acesso a um canal funcional, independente do modelo de exercício da função.

Obrigação 2: Notificar incidentes de segurança à ANPD

A comunicação de incidentes de segurança à ANPD é uma das obrigações mais urgentes e operacionalmente exigentes do programa de conformidade — e o DPO é o responsável central por este processo.

O regime legal: Art. 48 + Resolução CD/ANPD nº 15/2024

O Art. 48 da LGPD estabelece a obrigação de comunicação de incidentes que possam acarretar risco ou dano relevante aos titulares.

A Resolução CD/ANPD nº 15, de 24 de abril de 2024, regulamentou os prazos e o formato:

Notificação preliminar: deve ser enviada à ANPD em até 3 dias úteis contados do momento em que o controlador tomar conhecimento de que o incidente afetou dados pessoais. A notificação preliminar não precisa ser completa — deve conter as informações disponíveis no momento.

Relatório complementar: deve ser enviado em até 20 dias úteis da notificação preliminar. O relatório deve ser completo, com descrição técnica do incidente, medidas tomadas e avaliação de impacto.

O papel do DPO no processo de notificação

  1. Ser notificado internamente primeiro: o DPO deve ser comunicado sobre qualquer incidente de segurança com potencial envolvimento de dados pessoais. O plano de resposta a incidentes deve prever o DPO como destinatário obrigatório da notificação interna.

  2. Avaliar o incidente: o DPO avalia se o incidente atende ao critério de "risco ou dano relevante" que aciona a obrigação de notificação à ANPD.

  3. Coordenar a notificação: o DPO coordena a elaboração da notificação preliminar e do relatório complementar, envolvendo TI, Jurídico e demais áreas relevantes.

  4. Manter o canal com a ANPD: durante a investigação do incidente, a ANPD pode solicitar informações adicionais. O DPO é o ponto de contato para essas requisições.

Como fazer a notificação à ANPD

A ANPD disponibiliza um formulário eletrônico em seu portal (gov.br/anpd) para registro de incidentes. O DPO deve ter acesso a esse sistema e estar familiarizado com o formulário antes de um incidente ocorrer — não descobrir como funciona durante a crise.

Obrigação 3: Responder a investigações e requisições da ANPD

A ANPD conduz procedimentos de fiscalização, que podem ser iniciados por denúncias de titulares, investigações temáticas ou fiscalização de ofício. Em qualquer desses cenários, o DPO é o canal formal de comunicação.

O que pode chegar ao DPO

  • Notificações de abertura de processo administrativo: a ANPD informa o controlador sobre o início de um processo e solicita documentos e informações
  • Requisições de informações: pedidos específicos de dados, documentos, políticas e registros de tratamento
  • Convocações para audiências ou reuniões: o DPO pode ser convocado para prestar esclarecimentos pessoalmente ou por videoconferência
  • Determinações de medidas corretivas: ordens para adotar providências específicas dentro de prazo

Como o DPO deve responder

1. Não ignorar — jamais. Requisições da ANPD que ficam sem resposta agravam a situação regulatória e podem resultar em sanção adicional por descumprimento.

2. Verificar prazos imediatamente. As notificações da ANPD têm prazo para resposta. O não cumprimento do prazo, mesmo com boa justificativa posterior, é avaliado negativamente.

3. Envolver o Jurídico desde o início. O DPO é o canal de comunicação, não necessariamente o único responsável pela resposta. Em investigações formais, a participação de advogado é altamente recomendável.

4. Documentar tudo. Cada comunicação com a ANPD deve ser registrada e arquivada. O histórico de comunicações e das providências adotadas é evidência de boa-fé em eventual processo sancionatório.

5. Ser transparente, mas estratégico. Responder de forma incompleta ou evasiva é pior do que responder com mais informações. Ao mesmo tempo, não há obrigação de oferecer voluntariamente informações além do que foi solicitado.

Obrigação 4: Atender reclamações de titulares

O Art. 41, §2º, I da LGPD estabelece que o DPO deve aceitar reclamações e comunicações dos titulares e adotar providências. O Art. 19, §3º da LGPD prevê prazo de 15 dias para resposta quando o controlador não puder atendê-la imediatamente, podendo apresentar declaração completa ou justificada das razões que o impedem de fazê-lo.

Na prática, o DPO geralmente não atende titulares diretamente — o atendimento é feito por uma equipe de suporte, e o DPO supervisiona o processo e resolve casos complexos ou escalonados.

O que a ANPD monitora é se o canal funciona e se os prazos são cumpridos. Titulares que não recebem resposta têm direito de reclamar à ANPD (Art. 18, §1º), o que pode iniciar um processo de fiscalização.

O que muda para pequenos agentes

A Resolução CD/ANPD nº 2/2022 estabelece simplificações para microempresas, EPPs, MEIs, startups e pessoas jurídicas sem fins lucrativos de pequeno porte:

  • Divulgação do DPO simplificada: pode ser feita por canal de atendimento ou pelo próprio site, sem os requisitos formais de publicidade exigidos de grandes controladores
  • A própria liderança pode atuar como responsável: o fundador ou gestor principal pode exercer as funções do DPO

Importante: as simplificações se referem à divulgação e ao modelo de exercício da função — não às obrigações substantivas. A notificação de incidentes à ANPD, o atendimento a titulares e a resposta a requisições da autoridade continuam obrigatórias para todos os controladores, independente do porte.

Como se preparar antes de precisar

Checklist de preparação para interações com a ANPD

  • O DPO está identificado e com dados de contato publicados no aviso de privacidade e no site?
  • O e-mail do DPO é monitorado regularmente e tem SLA de resposta?
  • O DPO tem acesso ao portal da ANPD (gov.br/anpd) e sabe onde está o formulário de notificação de incidentes?
  • O plano de resposta a incidentes inclui o DPO como destinatário obrigatório da notificação interna?
  • Há advogado ou escritório jurídico de referência para ser acionado em caso de processo administrativo?
  • Os registros de tratamento (ROPA), os RIPDs e os DPAs estão documentados e atualizados (evidências para uma eventual requisição)?
  • A equipe de suporte conhece o SLA de 15 dias para resposta a titulares?

Conclusão

A relação do DPO com a ANPD é menos complexa do que parece — desde que o DPO esteja preparado antes de precisar agir. Divulgação pública correta, processo de notificação de incidentes documentado, canal de titulares funcionando e registros de conformidade organizados são os pilares que sustentam qualquer interação com a autoridade.

O DPO que enfrenta uma investigação da ANPD sem ter esses pilares em ordem enfrenta dois problemas ao mesmo tempo: o problema original (o incidente ou a infração) e o problema da ausência de evidências de conformidade. O DPO que os tem em ordem pode demonstrar boa-fé — o que é avaliado como circunstância atenuante pela ANPD.

A Confidata centraliza os registros de conformidade que o DPO precisa para responder a requisições da ANPD: ROPA, RIPDs, DPAs, registros de incidentes e solicitações de titulares — todos com trilha de auditoria que demonstra quando cada documento foi criado, revisado e aprovado.

Compartilhar
#DPO#ANPD#encarregado de dados#comunicação incidente#fiscalização#registro DPO

Artigos relacionados

DPO na Prática: Como Nomear e Estruturar o EncarregadoDPO e Carreira · 13 minEncarregado de Dados em 2026 — As Novas Exigências da Resolução ANPD 18/2024DPO e Carreira · 13 minCompetências e formação do DPO: o que o mercado brasileiro exige em 2026DPO e Carreira · 11 minDPO interno vs DPO externo (DPO-as-a-Service): prós, contras e quando usar cada umDPO e Carreira · 10 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista