O encarregado pelo tratamento de dados, muitas vezes chamado de DPO, é a pessoa que faz a ponte entre a empresa, os titulares e a ANPD. É uma figura central da LGPD e cercada de dúvidas: toda empresa precisa ter um? Pode ser terceirizado? O que ele faz de verdade?
Este guia responde a essas perguntas de forma direta, explica a função e mostra as regras específicas para empresas de pequeno porte.
Conteúdo educativo sobre a LGPD, com base na Lei nº 13.709/2018 e em normas da ANPD. Não substitui orientação jurídica sobre um caso concreto.
O que é o encarregado
O encarregado é a pessoa indicada pelo controlador para atuar como canal de comunicação entre a empresa, os titulares dos dados e a ANPD. A LGPD define esse papel no artigo 41. Ele não precisa ser advogado nem especialista em tecnologia, mas precisa entender de proteção de dados e ter acesso à direção da empresa.
O que o encarregado faz
- Recebe reclamações e comunicações dos titulares e presta esclarecimentos.
- Recebe comunicações da ANPD e adota as providências necessárias.
- Orienta os funcionários sobre as práticas de proteção de dados.
- Ajuda a empresa a manter e revisar seus processos de tratamento.
- Serve de referência interna quando surge uma dúvida sobre dados pessoais.
A indicação é obrigatória?
Como regra, sim. O artigo 41 diz que o controlador deve indicar um encarregado. A identidade e os dados de contato dessa pessoa precisam ser divulgados publicamente, em geral na política de privacidade ou no site.
Existe uma flexibilização importante. Pela regulamentação da ANPD para agentes de tratamento de pequeno porte, a indicação formal do encarregado é facultativa. Mas atenção: mesmo quem não indica um encarregado precisa manter um canal de comunicação com os titulares. A dispensa é da figura formal, não do dever de atender as pessoas.
Interno ou terceirizado
O encarregado pode ser um funcionário ou um serviço contratado, o chamado DPO as a service. Empresas maiores costumam ter alguém dedicado ou uma área. Empresas menores muitas vezes terceirizam ou acumulam a função com outra pessoa de confiança.
O que importa é evitar conflito de interesse e garantir autonomia. Colocar como encarregado alguém que decide sozinho sobre os tratamentos, sem independência para questioná-los, esvazia o papel. O encarregado precisa poder dizer que algo está errado.
Erros comuns com o encarregado
Atenção
- Indicar um encarregado apenas no papel, sem tempo nem autonomia para o trabalho.
- Não divulgar o contato do encarregado, deixando o titular sem saber a quem recorrer.
- Achar que ter um encarregado resolve a LGPD sozinho, sem processo nem segurança.
- Colocar na função alguém em conflito de interesse com as decisões de tratamento.
- Confundir o encarregado com o operador ou com o setor de TI.
Como o encarregado se conecta à segurança
O encarregado não opera firewall nem configura servidor, mas depende de uma base técnica sólida para fazer o trabalho. Quando chega uma comunicação da ANPD sobre um incidente, é a equipe de segurança que fornece os fatos: o que aconteceu, quais dados foram afetados, quais controles existiam. Encarregado e segurança da informação trabalham em conjunto, principalmente na resposta a incidentes.
Base de proteção de dados para a equipe
O encarregado precisa de uma equipe que entenda o básico de proteção de dados, senão vira função solitária. O curso de LGPD Essencial do ValorFinal dá essa base a qualquer funcionário, de graça, e ajuda o encarregado a ter com quem contar. A aula de abertura mostra por que o cuidado com dados é responsabilidade de todos.