Pular para o conteúdo
Privacidade e LGPD

Encarregado de dados (DPO) na LGPD: função e quando é obrigatório

Por equipe técnica da OpenSourceBrasil8 min de leituraAtualizado em

O encarregado pelo tratamento de dados, muitas vezes chamado de DPO, é a pessoa que faz a ponte entre a empresa, os titulares e a ANPD. É uma figura central da LGPD e cercada de dúvidas: toda empresa precisa ter um? Pode ser terceirizado? O que ele faz de verdade?

Este guia responde a essas perguntas de forma direta, explica a função e mostra as regras específicas para empresas de pequeno porte.

Conteúdo educativo sobre a LGPD, com base na Lei nº 13.709/2018 e em normas da ANPD. Não substitui orientação jurídica sobre um caso concreto.

O que é o encarregado

O encarregado é a pessoa indicada pelo controlador para atuar como canal de comunicação entre a empresa, os titulares dos dados e a ANPD. A LGPD define esse papel no artigo 41. Ele não precisa ser advogado nem especialista em tecnologia, mas precisa entender de proteção de dados e ter acesso à direção da empresa.

O que o encarregado faz

  • Recebe reclamações e comunicações dos titulares e presta esclarecimentos.
  • Recebe comunicações da ANPD e adota as providências necessárias.
  • Orienta os funcionários sobre as práticas de proteção de dados.
  • Ajuda a empresa a manter e revisar seus processos de tratamento.
  • Serve de referência interna quando surge uma dúvida sobre dados pessoais.

A indicação é obrigatória?

Como regra, sim. O artigo 41 diz que o controlador deve indicar um encarregado. A identidade e os dados de contato dessa pessoa precisam ser divulgados publicamente, em geral na política de privacidade ou no site.

Existe uma flexibilização importante. Pela regulamentação da ANPD para agentes de tratamento de pequeno porte, a indicação formal do encarregado é facultativa. Mas atenção: mesmo quem não indica um encarregado precisa manter um canal de comunicação com os titulares. A dispensa é da figura formal, não do dever de atender as pessoas.

Interno ou terceirizado

O encarregado pode ser um funcionário ou um serviço contratado, o chamado DPO as a service. Empresas maiores costumam ter alguém dedicado ou uma área. Empresas menores muitas vezes terceirizam ou acumulam a função com outra pessoa de confiança.

O que importa é evitar conflito de interesse e garantir autonomia. Colocar como encarregado alguém que decide sozinho sobre os tratamentos, sem independência para questioná-los, esvazia o papel. O encarregado precisa poder dizer que algo está errado.

Erros comuns com o encarregado

Atenção

  • Indicar um encarregado apenas no papel, sem tempo nem autonomia para o trabalho.
  • Não divulgar o contato do encarregado, deixando o titular sem saber a quem recorrer.
  • Achar que ter um encarregado resolve a LGPD sozinho, sem processo nem segurança.
  • Colocar na função alguém em conflito de interesse com as decisões de tratamento.
  • Confundir o encarregado com o operador ou com o setor de TI.

Como o encarregado se conecta à segurança

O encarregado não opera firewall nem configura servidor, mas depende de uma base técnica sólida para fazer o trabalho. Quando chega uma comunicação da ANPD sobre um incidente, é a equipe de segurança que fornece os fatos: o que aconteceu, quais dados foram afetados, quais controles existiam. Encarregado e segurança da informação trabalham em conjunto, principalmente na resposta a incidentes.

Base de proteção de dados para a equipe

O encarregado precisa de uma equipe que entenda o básico de proteção de dados, senão vira função solitária. O curso de LGPD Essencial do ValorFinal dá essa base a qualquer funcionário, de graça, e ajuda o encarregado a ter com quem contar. A aula de abertura mostra por que o cuidado com dados é responsabilidade de todos.

Guias relacionados

Continue aprofundando os temas de firewall, pfSense, VPN e segurança de redes.

Privacidade e LGPD

LGPD: guia completo para empresas

O guia de referência sobre a LGPD para empresas. Entenda a lei, as bases legais, os direitos do titular, o papel da ANPD, as sanções e como se adequar na prática.

Ler guia
Privacidade e LGPD

Como adequar a empresa à LGPD

Adequação à LGPD não é comprar um documento. Veja o passo a passo real, do mapeamento de dados à segurança técnica, sem prometer conformidade automática.

Ler guia
Privacidade e LGPD

Incidente de segurança na LGPD

Vazou dado? A LGPD tem regras claras. Veja quando comunicar a ANPD e os titulares, o prazo de 3 dias úteis e como se preparar antes que o incidente aconteça.

Ler guia

Dúvidas comuns

Perguntas frequentes

O que faz um encarregado de dados (DPO)?

Ele é o canal de comunicação entre a empresa, os titulares e a ANPD. Recebe reclamações e pedidos, responde às comunicações da autoridade, orienta os funcionários sobre proteção de dados e serve de referência interna sobre o tema.

Toda empresa precisa ter um encarregado?

Como regra, o controlador deve indicar um encarregado. Para agentes de tratamento de pequeno porte, a indicação formal é facultativa segundo a regulamentação da ANPD, mas mesmo nesse caso a empresa precisa manter um canal de comunicação com os titulares.

O encarregado precisa ser advogado?

Não. A lei não exige formação específica. O encarregado precisa entender de proteção de dados, ter acesso à direção e autonomia para atuar. Pode ser um funcionário ou um serviço terceirizado, desde que sem conflito de interesse.

O encarregado pode ser terceirizado?

Sim. É comum contratar o encarregado como serviço, o chamado DPO as a service, principalmente em empresas menores. O importante é garantir autonomia, ausência de conflito de interesse e um canal de contato divulgado aos titulares.

Próximo passo

Precisa de apoio especializado no seu ambiente?

Cada rede é diferente. Fale com um especialista em pfSense por e-mail e receba uma avaliação do seu cenário, sem compromisso.