DPO na Prática: Como Nomear e Estruturar o Encarregado

Em dezembro de 2024, a ANPD iniciou processo de fiscalização contra 20 grandes empresas privadas de setores como tecnologia, telecomunicações, educação, saúde e varejo. O motivo: ausência de indicação pública do Encarregado de Dados e canais de comunicação com titulares inexistentes ou não funcionais.

Não eram startups anônimas. Eram empresas com capital aberto, marcas reconhecidas e, em muitos casos, programas de compliance já estabelecidos. O que faltava era a figura mais básica e mais visível da LGPD: o DPO.

Este guia responde o que a lei exige, o que a ANPD já regulamentou e como estruturar a função de encarregado de forma que ela realmente funcione — não apenas no papel.

O que diz o Art. 41 da LGPD: a obrigação em quatro partes

Caput — A obrigação:

"O controlador deverá indicar encarregado pelo tratamento de dados pessoais."

§1º — Divulgação obrigatória:

"A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador."

§2º — Atribuições legais:

Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências
Receber comunicações da autoridade nacional (ANPD) e adotar providências
Orientar os funcionários e os contratados da entidade a respeito das práticas de proteção de dados pessoais
Executar as demais atribuições determinadas pelo controlador ou por norma complementar

§3º — Delegação regulatória:

"A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação."

Essa delegação foi exercida pela ANPD com a publicação da Resolução CD/ANPD Nº 18/2024.

Resolução CD/ANPD Nº 18/2024: o regulamento do encarregado

Publicada em 16 de julho de 2024, a Resolução 18/2024 é a norma mais atual e detalhada sobre o Encarregado. Seus pontos mais relevantes:

Designação formal: A nomeação deve ocorrer por "ato formal" do agente de tratamento, especificando os métodos de operação e as atividades atribuídas ao Encarregado.

Autonomia técnica: O Encarregado deve exercer suas funções com autonomia técnica, sem interferência indevida do controlador ou operador em suas decisões de conformidade.

Responsabilidade permanece do controlador: As atribuições do Encarregado não transferem para ele a responsabilidade pelo cumprimento da LGPD — essa responsabilidade permanece integralmente do controlador.

Acúmulo de funções: O Encarregado pode atuar para mais de um agente de tratamento, desde que não haja conflito de interesse e que seja possível o pleno atendimento das atribuições.

Em dezembro de 2024, a ANPD complementou a regulamentação com o Guia Orientativo sobre a Atuação do Encarregado, com orientações práticas sobre responsabilidades e requisitos da função.

Quem é obrigado a ter Encarregado — e quem pode ser dispensado

A regra geral: todos os controladores

O Art. 41 é claro: "o controlador deverá indicar encarregado". A obrigação vale para controladores de todos os portes e setores — empresa de tecnologia, indústria, serviço, saúde, comércio, entidade sem fins lucrativos, administração pública.

A exceção: agentes de pequeno porte (Resolução CD/ANPD Nº 2/2022)

A Resolução Nº 2/2022 dispensa da obrigação de indicar Encarregado os agentes de tratamento de pequeno porte:

Microempresas (receita bruta anual até R$ 360.000,00)
Empresas de Pequeno Porte (receita bruta entre R$ 360.000,01 e R$ 4.800.000,00)
Startups enquadradas como EPP
MEI (Microempreendedor Individual)
Pessoas físicas que realizam tratamento de dados
Entidades sem fins lucrativos de pequeno porte

Condição obrigatória para quem usa a dispensa: Manter um canal de comunicação funcional com os titulares para o exercício de seus direitos. Canal inexistente ou não funcional é infração — exatamente o que a ANPD fiscalizou em dezembro de 2024.

Quando a dispensa NÃO se aplica, mesmo para pequenos agentes: quando o tratamento é classificado como de alto risco (dados sensíveis em larga escala, dados de crianças e adolescentes). Nesses casos, o agente de pequeno porte deve indicar Encarregado obrigatoriamente.

Qualificações do Encarregado: o que a lei exige (e o que não exige)

A Resolução CD/ANPD Nº 18/2024 adotou uma abordagem principiológica, não cartorial:

O que a norma exige:

O agente de tratamento deve estabelecer as qualificações profissionais necessárias para o exercício da função do Encarregado, considerando o conhecimento sobre legislação de proteção de dados pessoais e o contexto, volume e risco das operações de tratamento.

O que a norma NÃO exige:

Não há registro obrigatório em nenhum órgão ou entidade
Não há certificação específica exigida pela lei brasileira
Não há formação acadêmica mínima definida

O que o mercado consolidou como boas práticas de qualificação:

Conhecimento aprofundado da LGPD e das regulamentações da ANPD
Familiaridade com direito de proteção de dados (inclusive GDPR, para operações internacionais)
Noções de gestão de riscos e segurança da informação
Capacidade de comunicação com diferentes públicos (titulares, DPO, alta direção, ANPD)
Visão multidisciplinar (jurídica, tecnológica e de negócios)

Certificações reconhecidas no mercado (sem caráter obrigatório):

CIPP/BR (Certified Information Privacy Professional / Brazil) — IAPP
CDPSE (Certified Data Privacy Solutions Engineer) — ISACA
DPO Certificado — ANPPD (Associação Nacional dos Profissionais de Privacidade de Dados)
EXIN Privacy and Data Protection

Interno vs. externo: como escolher o modelo certo

Uma das decisões centrais ao estruturar a função de Encarregado é se o cargo será ocupado por um profissional interno (colaborador da empresa) ou externo (DPO-as-a-Service, profissional contratado como autônomo ou empresa especializada).

Aspecto	DPO Interno	DPO Externo (DPO-as-a-Service)
Custo	Maior (salário, benefícios, encargos)	Menor (honorários ou contrato de serviço)
Integração	Alta — conhece a cultura e os processos da empresa	Média — depende de onboarding e acesso contínuo
Independência	Risco maior de pressão interna	Maior autonomia estrutural
Disponibilidade em crises	Imediata	Depende do SLA contratado
Atualização técnica	Depende de esforço individual	Especialistas costumam ter atualização contínua
Conflito de interesses	Maior risco se acumular funções incompatíveis	Risco de conflito entre clientes concorrentes
Recomendação de uso	Organizações com operações de dados complexas, grandes volumes ou dados sensíveis	PMEs, organizações com estrutura de dados moderada ou inicial

Para o modelo externo funcionar, o DPO-as-a-Service deve ter:

Acesso irrestrito às operações, sistemas e documentações relevantes
Autonomia técnica garantida em contrato
Cláusulas de confidencialidade e de conflito de interesses robustas
SLA claro para resposta a incidentes e fiscalizações da ANPD
Reportes periódicos à alta direção da organização contratante

Conflito de interesses: quem não pode ser DPO

A Resolução CD/ANPD Nº 18/2024 aborda diretamente o conflito de interesses. A regra é clara: o Encarregado pode acumular funções desde que inexista conflito de interesse — e o potencial conflito deve ser declarado formalmente.

Configura conflito de interesse quando o acúmulo envolve tomada de decisões estratégicas sobre o tratamento de dados pessoais pelo controlador. Quem define o que, como, quando e por que tratar dados não pode ser simultaneamente quem fiscaliza esse tratamento.

Cargos incompatíveis com a função de Encarregado

Cargo	Por que é incompatível
CEO / Diretor-Geral	Decide sobre todos os tratamentos de dados da organização
Diretor de TI / CTO	Decide sobre arquitetura de sistemas e coleta de dados
Diretor de Marketing	Decide sobre uso de dados para campanhas e segmentação
Diretor de RH	Decide sobre tratamento de dados de colaboradores
Diretor Jurídico	Quando responde pessoalmente por litígios envolvendo tratamento de dados
Qualquer diretor ou gerente	Quando aprova tratamentos de dados específicos como competência do cargo

Cargos geralmente compatíveis (avaliação caso a caso)

Analista jurídico sem poder de decisão sobre tratamento de dados
Consultor de segurança da informação sem poder de implementação autônoma
Profissional de privacidade dedicado exclusivamente à função de Encarregado

Referência europeia: Autoridades de proteção de dados europeias aplicaram multas significativas por conflito de interesses na função de DPO. A Bélgica multou €50.000 uma empresa em que o Compliance Officer exercia simultaneamente a função de DPO. O Brasil segue a mesma lógica.

A divulgação pública: o que exige o Art. 41, §1º

A LGPD é direta: as informações de contato do Encarregado devem ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no site do controlador.

O que divulgar:

Nome completo do Encarregado (ou razão social, se for pessoa jurídica)
E-mail de contato funcional (que efetivamente responda)
Outros canais: formulário web, endereço postal (recomendado)

Onde publicar:

Página específica de Privacidade no site institucional
Rodapé do site (link para a página de privacidade)
Política de privacidade pública
Contratos de prestação de serviços e termos de uso

Efetividade é obrigatória: A fiscalização de dezembro de 2024 da ANPD demonstrou que ter o contato publicado não é suficiente se o canal não funciona. E-mails que não recebem resposta ou formulários com erro técnico foram tratados como ausência de canal.

Como apoiar o DPO na prática

A maior causa de fracasso de programas de privacidade não é a falta de normas — é a falta de suporte organizacional ao Encarregado. A função exige:

1. Posição na estrutura organizacional

O Encarregado deve reportar diretamente à alta direção, sem subordinação operacional às áreas que fiscaliza. Um DPO subordinado ao Diretor de TI que precisa fiscalizar a TI, ou ao Diretor Jurídico que precisa avaliar contratos de fornecedores, não tem autonomia real.

2. Acesso irrestrito

O Encarregado precisa acessar:

Sistemas de informação que tratam dados pessoais
Contratos com fornecedores e operadores
Políticas internas e procedimentos operacionais
Incidentes de segurança (logs, relatórios de TI)
Documentação de processos de negócio

Sem acesso, o DPO trabalha com informações parciais e não consegue cumprir suas funções legais.

3. Orçamento e recursos

O programa de privacidade não se sustenta sem recursos. Provisione para:

Ferramentas de gestão de privacidade (inventário, RIPD, incidentes, solicitações de titulares)
Treinamentos e certificações
Consultoria jurídica especializada quando necessário
Auditorias externas periódicas

4. Autoridade para dizer "não"

O Encarregado precisa de autoridade real para suspender tratamentos não conformes, exigir revisão de contratos e negar aprovação a projetos que violem a LGPD. Sem esse poder, a função é decorativa.

5. Comunicação com a alta direção

O DPO deve apresentar à alta direção, ao menos trimestralmente:

Status do programa de conformidade
Riscos identificados e planos de mitigação
Incidentes ocorridos e medidas adotadas
Reclamações de titulares e resoluções
Atualização sobre novas regulamentações da ANPD

O DPO como interlocutor com a ANPD

O Encarregado é o ponto de contato oficial da organização com a ANPD. Suas responsabilidades de interação com o regulador incluem:

Receber comunicações da ANPD e encaminhar as providências necessárias internamente
Responder a demandas de fiscalização com documentação adequada e no prazo
Comunicar incidentes de segurança à ANPD via Super.GOV.BR (conforme Resolução 15/2024)
Representar a organização em processos administrativos perante a ANPD
Manter-se atualizado sobre novas resoluções, guias e orientações da ANPD e repassá-las à organização

Checklist para a função de Encarregado

Antes de declarar que a organização está em conformidade no que se refere ao Encarregado, verifique:

Erros comuns — e o que a ANPD encontrou

Erro	Consequência	Solução
Publicar nome sem canal de contato funcional	Infração autônoma — mesmo com nome publicado	Testar o canal periodicamente; SLA de resposta
DPO acumulando cargo de Diretor	Conflito de interesse; autonomia nula	Separar as funções ou nomear DPO externo
DPO sem acesso a sistemas críticos	Impossibilidade de cumprir atribuições legais	Acesso formal garantido e documentado
DPO sem orçamento	Programa de privacidade de fachada	Provisão orçamentária específica
Ausência de Encarregado por "ser startup"	A dispensa só vale para agentes de pequeno porte — e ainda requer canal de comunicação	Verificar enquadramento e, se dispensado, manter canal funcional
Nomeação para cumprir checklist, sem integração real	DPO isolado, sem informação, sem autoridade	Integração estrutural com acesso, autoridade e reporte à alta direção

Conclusão

O Encarregado de Dados é mais do que um cargo exigido por lei. É o arquiteto e o guardião do programa de privacidade da organização — o ponto de convergência entre titulares, a ANPD e a alta direção.

A fiscalização de dezembro de 2024, que atingiu 20 grandes empresas brasileiras, revelou que a exigência é real e monitorada. A Resolução CD/ANPD Nº 18/2024 detalhou os requisitos. Não há mais espaço para a interpretação de que a obrigação é letra morta.

O caminho é claro: nomeie o Encarregado com ato formal, publique suas informações de contato, garanta autonomia e acesso reais — e invista no programa de privacidade que a função coordena. Conformidade sem DPO estruturado não é conformidade.

A Confidata apoia o Encarregado de Dados com uma plataforma integrada de gestão de privacidade: inventário de dados, RIPD, gestão de incidentes, atendimento a titulares e relatórios de conformidade para a alta direção — tudo em um só lugar.