LGPD Comentada #21: O Encarregado (DPO) — Papel, Atribuições e o Mercado Brasileiro
Este post faz parte da série LGPD Comentada, que analisa todos os artigos da Lei Geral de Proteção de Dados. Veja todos os posts da série.
A LGPD criou uma figura central na governança de proteção de dados: o encarregado pelo tratamento de dados pessoais, mais conhecido pela sigla DPO (Data Protection Officer). Apesar de o Art. 41 dedicar poucos parágrafos ao tema, essa figura concentra responsabilidades que vão muito além do que o texto legal sugere à primeira leitura — e a regulamentação recente da ANPD expandiu significativamente o escopo de atuação e as obrigações associadas à função.
Este post analisa o Art. 41 da LGPD, a regulamentação complementar (Resolução CD/ANPD nº 18/2024 e Resolução CD/ANPD nº 2/2022), as atribuições práticas do encarregado, o debate entre DPO interno e externo, e o cenário atual do mercado profissional no Brasil.
O Art. 41: o que diz a lei
O Art. 41 da LGPD é breve, mas suas consequências são amplas:
Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
§ 2º As atividades do encarregado consistem em:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
Análise dos dispositivos
Caput — obrigatoriedade de indicação. A redação é imperativa: "deverá indicar". Não se trata de faculdade. Todo controlador — pessoa jurídica de direito público ou privado — deve designar um encarregado, salvo nas hipóteses de dispensa previstas pela ANPD (que veremos adiante). Note que a obrigação recai sobre o controlador, não sobre o operador. O operador pode — e, em muitos casos, deve — ter um encarregado próprio por boas práticas, mas a lei não o exige expressamente.
§ 1º — publicidade da identidade. O nome e as informações de contato do encarregado devem ser divulgados de forma clara e acessível. A lei recomenda o site do controlador como canal preferencial — mas não exclusivo. Na prática, a maioria das organizações publica essas informações na política de privacidade ou em uma página dedicada ("Encarregado de Dados" ou "DPO"). A omissão dessa publicação é, por si só, uma infração.
§ 2º — as quatro atribuições legais. O rol do § 2º é aberto: os incisos I a III descrevem atividades mínimas, e o inciso IV funciona como cláusula de abertura, remetendo tanto a atribuições definidas pelo controlador quanto a normas complementares da ANPD.
§ 3º — flexibilidade regulatória. Esse parágrafo antecipou que a ANPD poderia (e deveria) regulamentar hipóteses de dispensa e ampliar as atribuições do encarregado. É com base nele que foram editadas as Resoluções nº 2/2022 e nº 18/2024.
As atribuições na prática: muito além dos quatro incisos
O texto do Art. 41, § 2º, é minimalista. Mas quem atua como DPO sabe que a função envolve um conjunto de responsabilidades substancialmente maior. A Resolução CD/ANPD nº 18, de 16 de julho de 2024, e o Guia Orientativo da ANPD sobre Atuação do Encarregado, publicado em dezembro de 2024, detalharam essas atribuições.
Resolução CD/ANPD nº 18/2024: o regulamento do encarregado
Essa resolução é, até o momento, o principal marco regulatório sobre o DPO no Brasil. Seus pontos centrais:
Designação formal. O controlador deve formalizar a indicação do encarregado por meio de documento escrito que especifique suas atividades e modo de operação. Não basta uma comunicação verbal ou informal.
Substituto obrigatório. A organização deve designar um substituto formal para cobrir ausências, impedimentos ou vacâncias, garantindo continuidade no atendimento a titulares e à ANPD.
Qualificações. A resolução estabelece que a atividade de encarregado "não pressupõe registro junto a qualquer entidade nem qualquer certificação ou formação profissional específica". Contudo, exige que o controlador avalie as qualificações do encarregado com base no conhecimento de legislação de proteção de dados e no contexto, volume e risco das operações da organização.
Idioma. O encarregado deve ser capaz de se comunicar em português com titulares e com a ANPD — requisito relevante para organizações multinacionais que cogitam centralizar a função em outro país.
Responsabilidade limitada. O controlador é o responsável perante a ANPD pela conformidade do tratamento de dados. O encarregado não responde diretamente pela conformidade — atua como facilitador e orientador.
Conflito de interesses. A resolução identifica três fontes potenciais de conflito: (i) acúmulo de funções internas incompatíveis, (ii) atuação simultânea para múltiplas organizações sem independência, e (iii) sobreposição entre a função de DPO e a tomada de decisões estratégicas sobre tratamento de dados.
Guia Orientativo da ANPD (dezembro de 2024)
Publicado como complemento à Resolução nº 18/2024, o guia detalha boas práticas e inclui modelos de atos formais de designação. Pontos relevantes:
- A designação deve ser formalizada por ato formal detalhando atividades e modo de operação — não precisa ser comunicada à ANPD, mas deve ser mantida e apresentada quando solicitada.
- O DPO deve ter conhecimento aprofundado da LGPD e das normas da ANPD; é desejável conhecimento em gestão de riscos, segurança da informação, compliance e auditoria.
- As atividades incluem: auxiliar na elaboração de registros de incidentes, relatórios de impacto (RIPD), medidas de segurança e políticas internas, além de apoiar transferências internacionais de dados.
Na prática
O DPO moderno no Brasil atua em pelo menos seis frentes:
- Canal de comunicação — recebe e responde solicitações de titulares (acesso, correção, eliminação, portabilidade) e comunicações da ANPD
- Orientação interna — treina equipes, produz políticas internas, revisa processos de tratamento
- Gestão de incidentes — auxilia na comunicação de incidentes de segurança à ANPD e aos titulares (conforme Resolução CD/ANPD nº 15/2024)
- Relatórios de impacto — contribui para a elaboração do RIPD quando exigido
- Monitoramento de conformidade — acompanha o inventário de atividades de tratamento, verifica bases legais, monitora fornecedores
- Interface regulatória — acompanha resoluções e guias da ANPD, avalia impactos na organização
Dispensa de indicação: agentes de pequeno porte
O § 3º do Art. 41 delegou à ANPD a competência para estabelecer hipóteses de dispensa. A resposta veio com a Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, que regulamenta o tratamento de dados por agentes de pequeno porte.
Quem se qualifica como agente de pequeno porte
- Microempresas e empresas de pequeno porte (conforme LC 123/2006)
- Startups (conforme LC 182/2021)
- Pessoas jurídicas de direito privado sem fins lucrativos
- Pessoas naturais e entes privados despersonalizados que atuam como controladores ou operadores
O que a dispensa significa — e o que não significa
A dispensa se refere à obrigação de indicar formalmente um encarregado. Mas a organização continua obrigada a manter um canal de comunicação com titulares — claro, funcional e acessível — por meio do qual os titulares possam exercer seus direitos.
Em outras palavras: a organização pode não ter um DPO formalmente designado, mas precisa ter alguém que cumpra a função de receber e responder solicitações de titulares. A dispensa é da formalidade, não da função.
Limitação da dispensa
A ANPD pode, a qualquer momento, exigir que agentes de pequeno porte cumpram obrigações dispensadas, considerando a natureza ou volume das operações e os riscos aos titulares. Tratamento de dados sensíveis em larga escala, por exemplo, pode justificar essa exigência mesmo para uma microempresa.
DPO interno vs. externo (DPO as a Service)
A LGPD não exige que o encarregado seja empregado da organização. A Resolução nº 18/2024 confirmou que o DPO pode ser pessoa física ou jurídica — abrindo espaço para o modelo de DPO as a Service (DPOaaS), em que uma consultoria ou profissional autônomo assume a função externamente.
DPO interno
Vantagens:
- Conhecimento profundo dos processos, sistemas e cultura da organização
- Disponibilidade imediata e presença contínua
- Relacionamento mais próximo com as áreas de negócio
Desvantagens:
- Custo fixo elevado (salário, encargos, capacitação continuada)
- Risco de conflito de interesses quando acumula outras funções
- Isolamento técnico — pode faltar exposição a práticas de mercado
DPO externo (DPOaaS)
Vantagens:
- Equipe multidisciplinar (jurídico, TI, compliance) sem custo de contratação individual
- Menor risco de conflito de interesses — independência em relação à hierarquia interna
- Implantação rápida, especialmente para organizações que estão iniciando o programa de privacidade
Desvantagens:
- Menor conhecimento dos processos internos da organização
- Dependência de informações fornecidas pela equipe interna
- Risco de superficialidade se o contrato não previr dedicação adequada
Conflito de interesses: o ponto crítico
O conflito de interesses é uma das questões mais sensíveis na designação do DPO. A Resolução nº 18/2024 é explícita: o encarregado não pode acumular funções que envolvam a tomada de decisões sobre finalidades e meios do tratamento de dados.
Na prática, as seguintes acumulações são problemáticas:
- DPO + Diretor de TI — quem decide sobre sistemas é quem deveria fiscalizá-los
- DPO + Diretor Jurídico — quem orienta sobre bases legais é quem escolhe a estratégia de defesa
- DPO + Diretor de Marketing — quem define campanhas com dados pessoais é quem deveria limitar excessos
- DPO + CEO/sócio — concentração de poder que elimina a independência
O DPO precisa de independência funcional para cumprir seu papel. Se a pessoa que deveria questionar decisões sobre tratamento de dados é a mesma que toma essas decisões, a função se torna um teatro de conformidade.
O mercado de DPO no Brasil
Perfil profissional
O DPO brasileiro é, tipicamente, um profissional híbrido. Não há formação acadêmica específica exigida — a Resolução nº 18/2024 confirmou que não se exige certificação nem registro em conselho profissional. Na prática, os profissionais que atuam na função vêm de três áreas principais:
- Jurídico — advogados especializados em direito digital e proteção de dados
- TI/Segurança da Informação — profissionais com experiência em segurança, governança de TI e compliance
- Compliance/Governança — profissionais com experiência em programas de integridade, auditoria e gestão de riscos
Certificações como EXIN DPO, CIPM/CIPT (IAPP), CDPO e ISO 27701 Lead Implementer/Auditor são valorizadas pelo mercado, embora não obrigatórias.
Remuneração
Segundo dados do CAGED e portais especializados, a remuneração do DPO no Brasil varia significativamente conforme experiência, porte da organização e região:
- Piso salarial: a partir de R$ 7.800
- Média nacional: entre R$ 8.000 e R$ 12.000 para contratações CLT
- Sênior/grandes empresas: R$ 13.000 a R$ 20.000 ou mais
Para DPOs terceirizados (DPOaaS), os valores de contrato mensal variam entre R$ 3.000 (pequenas empresas) e R$ 25.000 ou mais (médio e grande porte), dependendo do escopo, volume de tratamento e complexidade regulatória.
Desafios do mercado
A demanda formal por DPOs no mercado de trabalho brasileiro apresenta sinais contraditórios. De um lado, a regulamentação crescente e a fiscalização ativa da ANPD deveriam impulsionar contratações. De outro, muitas organizações optaram pelo modelo terceirizado ou pela designação de profissionais internos que acumulam outras funções — o que reduz a demanda por vagas formais de DPO.
O cenário reflete a maturidade ainda em construção do ecossistema de proteção de dados no Brasil: muitas organizações cumprem a obrigação de indicar um encarregado, mas nem sempre investem na estrutura e na autonomia necessárias para que a função seja exercida com efetividade.
Publicação da identidade do DPO: como cumprir
O § 1º do Art. 41 exige que a identidade e informações de contato do encarregado sejam publicadas de forma "clara e objetiva". A fiscalização da ANPD em 2024 — que notificou 20 grandes empresas por ausência de DPO ou canal de comunicação — mostrou que essa obrigação é levada a sério.
O que publicar
- Nome completo do encarregado (pessoa física) ou razão social (pessoa jurídica)
- E-mail de contato dedicado (ex: dpo@empresa.com.br, encarregado@empresa.com.br)
- Telefone ou outro canal acessível (opcional, mas recomendado)
Onde publicar
- Site institucional — página dedicada ou política de privacidade (o canal mais comum e recomendado pela lei)
- Aplicativo — se a organização opera via app, incluir a informação nas configurações de privacidade
- Documentos oficiais — contratos, termos de uso e avisos de privacidade
Erros comuns
| Erro | Consequência | Correção |
|---|---|---|
| Publicar apenas um e-mail genérico sem identificar o DPO | Descumprimento do § 1º | Identificar nome do encarregado + e-mail dedicado |
| DPO designado, mas sem publicação no site | ANPD pode notificar e instaurar processo | Publicar imediatamente no site e na política de privacidade |
| Informação enterrada em documento jurídico extenso | Não é "clara e objetiva" | Criar seção visível e de fácil acesso |
| Não designar substituto | Descumprimento da Resolução nº 18/2024 | Formalizar substituto com ato escrito |
Erros mais comuns na designação e atuação do DPO
| Erro | Risco | Correção |
|---|---|---|
| Designar DPO apenas pro forma, sem autonomia nem recursos | DPO não consegue exercer a função; programa de privacidade é teatro | Garantir autonomia, acesso a informações e recursos adequados |
| DPO acumula função de Diretor de TI ou Jurídico | Conflito de interesses direto | Separar funções ou contratar DPO externo |
| Não formalizar a designação por escrito | Descumprimento da Resolução nº 18/2024 | Emitir ato formal de designação |
| Agente de pequeno porte dispensado de DPO, mas sem canal de comunicação | Infração à Resolução nº 2/2022 | Implementar canal acessível para titulares |
| DPO não participa de decisões sobre tratamento de dados | Função reduzida a responder e-mails | Incluir DPO em comitês de privacidade e processos decisórios |
| Não investir em capacitação continuada | DPO desatualizado diante de nova regulamentação | Plano de capacitação anual |
Conclusão
O Art. 41 da LGPD é um dos dispositivos mais curtos da lei, mas a função que ele cria — o encarregado pelo tratamento de dados pessoais — é uma das mais complexas do ecossistema regulatório brasileiro de proteção de dados. A regulamentação pela ANPD, especialmente a Resolução nº 18/2024 e o Guia Orientativo de dezembro de 2024, transformou o que era uma obrigação genérica em um conjunto detalhado de requisitos formais: designação por escrito, substituto obrigatório, vedação de conflito de interesses e avaliação de qualificações.
O DPO eficaz não é o que apenas responde e-mails de titulares — é o que monitora a conformidade, orienta a organização, dialoga com a ANPD e tem autonomia para questionar práticas inadequadas. A diferença entre uma organização que designa um DPO pro forma e uma que investe genuinamente na função é, muitas vezes, a diferença entre um programa de privacidade que funciona e um que existe apenas no papel.
A Confidata facilita a atuação do encarregado com inventário automatizado de atividades de tratamento, canal estruturado para atendimento a titulares e monitoramento contínuo de conformidade — tudo o que o DPO precisa para cumprir suas atribuições com eficiência. Conheça nossa plataforma.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.