Encarregado de Dados em 2026 — As Novas Exigências da Resolução ANPD 18/2024
O encarregado pelo tratamento de dados pessoais — o DPO brasileiro — ganhou seu regulamento próprio em julho de 2024. A Resolução CD/ANPD nº 18, de 16 de julho de 2024, detalhou o que a LGPD deixou em aberto sobre a função: quem pode ser encarregado, como formalizar a nomeação, o que configura conflito de interesse, se pessoa jurídica pode exercer o papel, quando é necessário um substituto e quais são as atribuições expandidas.
Em dezembro de 2024, a ANPD reforçou a importância da função ao abrir processo de fiscalização contra 20 empresas de grande porte por ausência de encarregado nomeado e canal de comunicação adequado. A mensagem é inequívoca: DPO não é mais opcional para quem quer estar em conformidade.
O que a Resolução CD/ANPD nº 18/2024 regulamenta
A resolução aprova o Regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais e complementa o Art. 41 da LGPD, que estabelece a obrigação de indicação do encarregado mas não detalhava como. Os principais pontos regulamentados:
| Tema | O que a Resolução define |
|---|---|
| Forma de indicação | Ato formal, por escrito, datado e assinado |
| Pessoa jurídica | Permitida como encarregado |
| Substituto | Obrigatório para cobrir ausências |
| Conflito de interesse | Definido e regulamentado |
| Acúmulo de funções | Permitido, com ressalvas |
| Atribuições | Expandidas além do Art. 41 |
| Qualificação | Sem exigência de certificação, mas com critérios |
| Divulgação | Nome e contato em local de destaque no site |
| Responsabilidade | A conformidade é do controlador, não do DPO |
Indicação formal: como nomear o encarregado
A Resolução 18/2024 exige que a indicação do encarregado seja formalizada por meio de ato escrito, datado e assinado, demonstrando a intenção do agente de tratamento. Na prática, isso significa:
- Portaria (para órgãos públicos) — ato administrativo publicado em diário oficial ou boletim interno
- Ato de nomeação (para empresas privadas) — documento formal, com data e assinatura do representante legal
- Cláusula contratual (para DPO externo ou pessoa jurídica) — contrato de prestação de serviços com cláusula específica
O ato deve especificar:
- Nome completo do encarregado (pessoa física) ou nome empresarial e responsável (pessoa jurídica)
- Atividades a serem desempenhadas
- Forma de atuação
- Data de início
Para organizações que já tinham DPO nomeado informalmente
Se o DPO já atuava sem formalização, é necessário regularizar: elaborar o ato formal e garantir que as informações estejam publicadas no site. A resolução entrou em vigor na data de sua publicação (17 de julho de 2024).
Pessoa jurídica como encarregado: o DPO as a Service
A Resolução 18/2024 confirmou expressamente o que o mercado já praticava: pessoa jurídica pode exercer a função de encarregado. Isso formaliza o modelo de DPO as a Service — empresas especializadas que prestam o serviço de encarregado para múltiplos clientes.
Como funciona
| Aspecto | DPO interno (pessoa física) | DPO externo (pessoa jurídica) |
|---|---|---|
| Vínculo | Empregado ou designado | Contrato de prestação de serviço |
| Custo | Salário + benefícios | Fee mensal/anual |
| Dedicação | Integral ou parcial | Conforme contrato |
| Expertise | Depende do perfil contratado | Equipe especializada |
| Divulgação no site | Nome da pessoa física | Nome empresarial + responsável |
Quando o DPO as a Service faz sentido
- Organizações de pequeno e médio porte que não têm orçamento para DPO dedicado
- Organizações que precisam de expertise especializada (saúde, finanças, setor público)
- Fase inicial de adequação — o DPO externo estrutura o programa e depois pode transferir para interno
Para uma análise mais aprofundada entre as modalidades, veja nosso guia sobre DPO interno vs. DPO as a Service.
Encarregado substituto: nova exigência
A Resolução 18/2024 introduziu a obrigação de designar um encarregado substituto para cobrir ausências, impedimentos ou vacância. Essa é uma exigência nova — a LGPD original não mencionava substituto.
O que o substituto deve garantir
- Continuidade no atendimento a solicitações de titulares durante a ausência do titular da função
- Canal de comunicação operacional mesmo em período de férias, licença ou vacância
- Interlocução com a ANPD sem interrupção
Quem pode ser substituto
- Outro colaborador da organização (com conhecimento mínimo de proteção de dados)
- Membro da equipe do DPO externo (quando pessoa jurídica)
- Não precisa ter as mesmas qualificações do encarregado titular
Conflito de interesse: o que a Resolução define
A Resolução 18/2024 regulamentou detalhadamente o conflito de interesse — tema que gerava insegurança jurídica. O conflito é definido como qualquer situação que possa comprometer, influenciar ou afetar de forma indevida a objetividade e o juízo técnico do encarregado no desempenho de suas atribuições.
Três cenários de conflito
1. Conflito entre funções internas
O encarregado que acumula a função de DPO com outra função que envolve decisões estratégicas sobre tratamento de dados está em situação de conflito. Exemplos:
| Cargo | Conflito? | Por quê |
|---|---|---|
| Diretor de TI | Sim | Decide sobre sistemas que tratam dados |
| Diretor Jurídico | Sim | Decide sobre bases legais e contratos |
| Diretor de RH | Sim | Decide sobre tratamento de dados de funcionários |
| Diretor de Marketing | Sim | Decide sobre uso de dados para marketing |
| Gerente de Compliance | Possível | Avaliar caso a caso |
| Analista de TI | Não (em geral) | Executa, não decide |
| Auditor interno | Não (em geral) | Função de verificação |
2. Conflito entre múltiplos controladores
O encarregado pode atender múltiplos agentes de tratamento — a resolução permite isso expressamente. Mas há conflito quando os interesses de dois controladores atendidos pelo mesmo DPO são diametralmente opostos (ex: um controlador e seu operador em disputa).
3. Conflito entre a função de DPO e interesses pessoais
Situações em que o encarregado tem interesse pessoal direto em decisões sobre tratamento de dados que deveria fiscalizar.
Consequência do conflito
A Resolução estabelece que situações de conflito de interesse estão sujeitas a medidas específicas pela ANPD — embora não detalhe quais sanções se aplicam exclusivamente ao conflito, ele pode ser considerado no contexto de uma fiscalização mais ampla.
Acúmulo de funções: permitido, com ressalvas
A Resolução 18/2024 permite expressamente que o encarregado acumule a função de DPO com outras funções na organização. A condição é dupla:
- Que o acúmulo não gere conflito de interesse (conforme definido acima)
- Que o encarregado tenha condições efetivas de desempenhar suas atribuições — não basta nomear alguém sobrecarregado que não terá tempo para a função
Na prática, isso valida o que muitas organizações já fazem: designar um profissional de compliance, jurídico ou TI como DPO em acúmulo. O risco está em nomear alguém cuja função principal conflite com a supervisão independente de proteção de dados.
Atribuições expandidas do encarregado
O Art. 41 da LGPD listava as atribuições de forma genérica. A Resolução 18/2024 expandiu e detalhou:
Atribuições obrigatórias
- Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências
- Receber comunicações da ANPD e adotar providências
- Orientar funcionários e contratados sobre práticas de proteção de dados
- Executar as demais atribuições determinadas pelo agente de tratamento ou em normas complementares
Atribuições detalhadas pela Resolução
Além das obrigatórias, a resolução detalha que o encarregado deve auxiliar (não executar sozinho) em:
- Documentação e comunicação de incidentes de segurança
- Elaboração de RIPD (Relatório de Impacto à Proteção de Dados)
- Implementação de medidas de segurança adequadas
- Avaliação de transferências internacionais de dados
- Desenvolvimento de políticas de governança em privacidade
A palavra-chave é "auxiliar" — a responsabilidade pela conformidade permanece do controlador, não do encarregado.
Qualificação: sem certificação obrigatória, mas com critérios
A Resolução 18/2024 é explícita: o exercício da atividade de encarregado não exige inscrição em qualquer entidade, certificação ou formação profissional específica.
Porém, isso não significa "qualquer pessoa serve". A resolução determina que cabe ao agente de tratamento estabelecer as qualificações profissionais necessárias, considerando:
- Conhecimento sobre a legislação de proteção de dados pessoais
- Contexto das operações de tratamento realizadas
- Volume de dados tratados
- Risco das operações de tratamento
Na prática, o que o mercado exige
Embora não haja certificação obrigatória, o mercado de DPO no Brasil em 2026 valoriza:
- Conhecimento jurídico de LGPD e regulamentação da ANPD
- Experiência em compliance, auditoria ou segurança da informação
- Certificações internacionais (EXIN DPO, IAPP CIPP/E, CDPO) — como diferencial, não como requisito
- Conhecimento setorial (saúde, financeiro, público — cada setor tem regulamentação própria)
Para um panorama completo sobre formação e certificações, veja nosso guia sobre competências e formação do DPO em 2026.
Comunicação em português
A Resolução exige que o encarregado seja capaz de se comunicar de forma clara e precisa em português com os titulares de dados e com a ANPD. Para organizações multinacionais com DPO global, isso pode exigir a nomeação de um DPO local ou representante que atenda esse requisito.
Divulgação pública: nome e contato no site
A identidade e as informações de contato do encarregado devem ser divulgadas publicamente, de forma clara e objetiva, em local de destaque e fácil acesso no sítio eletrônico do agente de tratamento.
O que deve ser publicado
| Tipo de encarregado | Informações obrigatórias |
|---|---|
| Pessoa física | Nome completo + informações de contato (e-mail, telefone) |
| Pessoa jurídica | Nome empresarial + nome do responsável + informações de contato |
Onde publicar
- No site institucional, em local acessível (rodapé, página de privacidade, seção LGPD)
- Na política de privacidade
- Recomenda-se também incluir em avisos de privacidade setoriais
A fiscalização de dezembro de 2024 contra 20 empresas confirmou que a ANPD verifica ativamente se o encarregado está publicado no site. Não basta nomear internamente — a publicação é obrigatória.
Responsabilidade: do controlador, não do DPO
Um dos pontos mais importantes da Resolução 18/2024: o agente de tratamento é o único responsável pela conformidade legal perante a ANPD. O encarregado não pode ser responsabilizado pela ANPD pela conformidade (ou falta dela) do controlador.
Isso significa que:
- A ANPD não pode sancionar o DPO pessoalmente por falhas do controlador
- O DPO orienta, recomenda e monitora — mas a decisão final é do controlador
- Se o controlador ignora recomendações do DPO, a responsabilidade é do controlador
Na prática, essa disposição protege o DPO e fortalece sua autonomia: ele pode emitir pareceres desfavoráveis sem risco pessoal.
Quando a nomeação pode ser dispensada
A Resolução 18/2024 mantém a possibilidade de dispensa de nomeação de encarregado para agentes de tratamento de pequeno porte, nos termos da Resolução CD/ANPD nº 2/2022. Microempresas, empresas de pequeno porte, startups e organizações sem fins lucrativos que se enquadrem nos critérios podem ser dispensadas.
Porém, mesmo quando dispensado, o agente deve:
- Manter canal de comunicação para titulares
- Atender solicitações de titulares nos prazos legais
- Cumprir todas as demais obrigações da LGPD
A dispensa é da nomeação formal do encarregado, não das obrigações de conformidade.
Comparação com o DPO do GDPR
| Aspecto | LGPD (Resolução 18/2024) | GDPR (Art. 37-39) |
|---|---|---|
| Obrigatoriedade | Regra geral para todos os controladores | Apenas em casos específicos (autoridade pública, monitoramento em larga escala, dados sensíveis em larga escala) |
| Pessoa jurídica | Permitido | Permitido |
| Certificação | Não obrigatória | Não obrigatória |
| Conflito de interesse | Regulamentado | Regulamentado (Art. 38, §6º) |
| Responsabilidade | Do controlador | Do controlador |
| Dispensa | Para agentes de pequeno porte | Não aplicável (já é obrigatório apenas em casos específicos) |
| Publicidade | Nome e contato no site | Nome e contato + comunicação à autoridade |
| Substituto | Obrigatório | Não mencionado expressamente |
O impacto no mercado: demanda, salários e tendências
Demanda
A fiscalização da ANPD contra 20 empresas sem DPO em dezembro de 2024 gerou onda de contratações. A tendência para 2026 é de capilarização: a demanda se expande para setores que antes não priorizavam a função — saúde, educação, pequenos municípios.
Faixas salariais (2026)
| Nível | Faixa mensal |
|---|---|
| Júnior | R$ 6.000 – R$ 8.000 |
| Pleno | R$ 8.000 – R$ 12.000 |
| Sênior | R$ 12.000 – R$ 16.000+ |
| DPO as a Service (fee mensal) | R$ 3.000 – R$ 15.000 (depende do porte) |
Certificações valorizadas
Embora não obrigatórias, as certificações mais reconhecidas no mercado brasileiro são:
- EXIN Privacy & Data Protection Foundation / Practitioner / DPO
- IAPP CIPP/E (Certified Information Privacy Professional/Europe)
- CDPO (Certified Data Protection Officer)
- ISO 27001 Lead Implementer/Auditor (complementar)
Checklist: sua organização está em conformidade com a Resolução 18/2024?
Nomeação
- Encarregado indicado por ato formal (escrito, datado e assinado)
- Encarregado substituto designado
- Ato especifica atividades e forma de atuação
- Se pessoa jurídica: contrato com cláusula específica
Divulgação
- Nome e contato do encarregado publicados no site institucional
- Informação em local de destaque e fácil acesso
- Informação incluída na política de privacidade
- Se pessoa jurídica: nome empresarial + nome do responsável publicados
Autonomia e independência
- Avaliação de conflito de interesse realizada e documentada
- Encarregado não acumula função que envolva decisões sobre tratamento de dados
- Encarregado tem recursos e tempo adequados para exercer a função
- Canal de comunicação direto com a alta direção
Atribuições
- Canal de comunicação com titulares operacional (veja nosso guia sobre erros comuns)
- Processo para receber e encaminhar comunicações da ANPD
- Programa de orientação e treinamento de colaboradores
- Participação em processos de RIPD, incidentes e governança
Qualificação
- Qualificações do encarregado compatíveis com o contexto, volume e risco das operações
- Encarregado comunica-se em português com titulares e ANPD
Conclusão
A Resolução CD/ANPD nº 18/2024 transformou o encarregado de dados de uma figura genérica da LGPD em uma função regulamentada com requisitos claros. A exigência de formalização por ato escrito, a obrigatoriedade de substituto, a regulamentação do conflito de interesse e a confirmação de que pessoa jurídica pode exercer o papel eliminaram as principais dúvidas que o mercado tinha desde 2020.
Com a ANPD agora operando como agência reguladora (Lei nº 15.352/2026) e fiscalizando ativamente a presença de encarregados nomeados, a mensagem é direta: organizações que ainda não formalizaram seu DPO estão correndo risco regulatório concreto. A boa notícia é que a resolução oferece flexibilidade — DPO interno ou externo, pessoa física ou jurídica, acúmulo de funções permitido — para que cada organização encontre o modelo que funciona para sua realidade.
A Confidata oferece gestão centralizada da função do encarregado: canal do titular com SLA automatizado, painel de solicitações e prazos, registro de incidentes, gestão de RIPD e documentação de evidências — as ferramentas que o DPO precisa para cumprir suas atribuições com eficiência, conforme exige a Resolução 18/2024.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.