Artigos | Postado no dia: 20 junho, 2025

Responsabilidades do DPO – Data Protection Officer [2025]

A proteção de dados pessoais se consolidou como uma das prioridades estratégicas nas organizações brasileiras, principalmente após a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD).

A figura do Encarregado pelo Tratamento de Dados Pessoais, também conhecido pela sigla internacional DPO (Data Protection Officer), ganhou protagonismo nesse cenário, sendo recentemente objeto de regulamentação específica pela Resolução CD/ANPD nº 18/2024, publicada pela Autoridade Nacional de Proteção de Dados (ANPD).

Este artigo propõe um exame aprofundado sobre a atuação do DPO à luz dessa nova regulamentação, destacando as obrigações, recomendações e boas práticas aplicáveis às empresas privadas no Brasil.

A obrigatoriedade da nomeação: nem sempre é preciso nomear um DPO?

De maneira geral, a LGPD determina que os controladores de dados pessoais devem indicar um Encarregado.

Contudo, a Resolução CD/ANPD nº 18/2024, em harmonia com a Resolução CD/ANPD nº 2/2022, trouxe exceções importantes, especialmente para os chamados agentes de tratamento de pequeno porte — como microempresas, empresas de pequeno porte, startups e organizações sem fins lucrativos —, os quais estão dispensados da nomeação obrigatória, desde que mantenham canal de comunicação ativo com os titulares para assegurar:

  • O recebimento de reclamações e solicitações dos titulares de dados;
  • O fornecimento de esclarecimentos e informações;
  • A adoção de providências relacionadas ao tratamento de dados.

Esse modelo visa equilibrar a proteção de dados com a não oneração excessiva dos pequenos negócios, preservando a proporcionalidade nas obrigações.

Por sua vez, os operadores de dados — empresas que tratam dados em nome dos controladores — não são obrigados a nomear um DPO, mas podem fazê-lo facultativamente. Embora seja opcional, tal nomeação pode fortalecer a estrutura de governança e mitigar riscos legais.

Importante ressaltar que, na prática, muitas organizações exercem simultaneamente as funções de controlador e operador, o que reforça a necessidade de avaliar criteriosamente a conveniência da nomeação do Encarregado.

  1. A Formalização da nomeação: mais que uma formalidade, uma garantia

A nomeação do DPO deve ser formalizada por meio de um ato escrito, datado e assinado, que explicite claramente:

  • O escopo das atividades que serão desempenhadas;
  • A forma de atuação;
  • O grau de autonomia conferido.

Esse documento pode ser exigido pela própria ANPD em procedimentos de fiscalização, sendo, portanto, fundamental para comprovar a boa-fé e o compromisso da organização com a conformidade legal.

Além disso, recomenda-se a indicação de um substituto oficial, para que a função de Encarregado não fique descoberta em casos de ausência, afastamento ou desligamento do titular do cargo.

  1. Quem pode ser DPO?

O Encarregado pode ser tanto:

  • Pessoa física: interna, como um colaborador da empresa, ou externa, contratada para prestar serviços.
  • Pessoa jurídica: geralmente uma consultoria especializada em proteção de dados, oferecendo serviços como DPO as a Service.

Independentemente da escolha, é indispensável garantir que o DPO atue com autonomia técnica, liberdade de orientação e isenção frente às demais estruturas da organização. A independência funcional é elemento central para a efetividade da atuação do Encarregado.

  1. Quais as qualificações necessárias para ser um DPO?

Um dos pontos mais interessantes da regulamentação é que ela não exige certificação formal ou registro profissional para que alguém exerça a função de DPO.

Cabe ao próprio agente de tratamento definir quais são as competências, habilidades e conhecimentos necessários, levando em consideração:

  • A complexidade das operações de tratamento;
  • O volume de dados processados;
  • O grau de risco envolvido.

Por exemplo, uma clínica médica, que lida com dados sensíveis, deverá priorizar profissionais com maior qualificação e experiência em proteção de dados e segurança da informação.

Já uma microempresa que apenas realiza cadastros simples pode, em tese, designar um colaborador com formação interna adequada.

O que não se admite é o improviso: o DPO deve possuir competência compatível com as funções que irá desempenhar.

  1. A Publicidade da identidade do encarregado

A Resolução determina que os agentes de tratamento devem divulgar, de maneira clara e acessível, a identidade e os dados de contato do DPO. Isso deve ser feito, preferencialmente, em local de destaque no site institucional da organização.

Na ausência de website, a divulgação pode ocorrer por outros canais tradicionalmente utilizados para a comunicação com os titulares, como murais físicos, aplicativos, ou materiais informativos.

O nível de informação requerido varia conforme a natureza do DPO:

  • Pessoa física: nome completo.
  • Pessoa jurídica: razão social ou nome empresarial e o nome completo do profissional responsável.

Além disso, devem ser informados os meios de contato que permitam o exercício dos direitos dos titulares e o recebimento de comunicações oficiais da ANPD.

  1. Deveres das organizações em relação ao DPO

O papel do agente de tratamento não se resume à nomeação. É fundamental que ele:

  • Disponibilize recursos técnicos, humanos e administrativos para o desempenho das funções do Encarregado;
  • Assegure a autonomia e independência técnica do DPO;
  • Garanta acesso direto aos níveis hierárquicos mais elevados e às áreas estratégicas da empresa;
  • Promova canais ágeis e eficazes para a comunicação entre titulares de dados e o Encarregado.

Tais medidas são indispensáveis para evitar que o DPO se torne uma figura meramente decorativa, sem influência real nas decisões corporativas.

  1. As atribuições regulamentadas do DPO: muito além de um canal de contato

Embora a LGPD já previsse algumas atribuições básicas para o Encarregado, a nova regulamentação ampliou o detalhamento dessas atribuições. Entre as principais funções agora regulamentadas destacam-se:

  • Apoio na elaboração de registros das operações de tratamento;
  • Participação na gestão de incidentes de segurança;
  • Contribuição para a elaboração de relatórios de impacto à proteção de dados;
  • Atuação na definição de medidas de segurança da informação;
  • Colaboração na implementação de programas de governança em privacidade e na disseminação de boas práticas.

Além disso, o DPO deve interagir com a ANPD sempre que necessário, adotando as medidas adequadas para encaminhamento e resposta às demandas do órgão regulador.

  1. O Encarregado e os limites de atuação

Um aspecto essencial da regulamentação é a delimitação da não responsabilidade do DPO quanto à conformidade legal das operações de tratamento. Ou seja, o Encarregado atua como orientador e facilitador, mas não responde, pessoalmente, por eventuais infrações cometidas pela organização.

Isso reforça a necessidade de as empresas estruturarem uma governança interna robusta, não transferindo ao DPO a responsabilidade exclusiva pela proteção de dados.

  1. O acúmulo de funções e o risco de conflito de interesses

O DPO pode acumular funções e atuar simultaneamente para mais de um agente de tratamento, desde que:

  • Consiga atender adequadamente a todas as obrigações;
  • Não haja conflito de interesses.

O conflito ocorre quando as atribuições do Encarregado podem comprometer sua imparcialidade e independência. Isso pode ocorrer, por exemplo, se o DPO também exercer funções de direção estratégica na empresa, com poder de decisão sobre o tratamento de dados.

Por isso, é fundamental que o agente de tratamento analise cuidadosamente a estrutura organizacional, para garantir que o DPO possa atuar de maneira isenta.

Além disso, o Encarregado tem o dever de comunicar formalmente qualquer situação que possa configurar conflito de interesses, responsabilizando-se pela veracidade dessas informações.

A importância estratégica da nomeação do DPO

A nomeação de um DPO não deve ser encarada apenas como um cumprimento burocrático, mas como uma estratégia essencial de governança e mitigação de riscos.

A presença de um Encarregado qualificado fortalece a confiança dos titulares, assegura maior segurança jurídica e prepara a organização para responder adequadamente a eventuais fiscalizações ou incidentes.

Além disso, a existência de um DPO ativo pode ser considerada um elemento atenuante em eventuais processos sancionatórios conduzidos pela ANPD, demonstrando a adoção de boas práticas e políticas de conformidade.

A importância de contar com uma assessoria jurídica

Contar com uma assessoria jurídica especializada é fundamental para garantir a correta interpretação e aplicação das normas que regulamentam a proteção de dados pessoais no Brasil.

Diante da constante evolução das legislações e das orientações da Autoridade Nacional de Proteção de Dados (ANPD), ter o suporte de profissionais qualificados proporciona segurança jurídica, minimiza riscos de sanções e assegura que as organizações adotem as melhores práticas de governança e conformidade.

Além disso, a assessoria jurídica orienta na elaboração de políticas internas, na nomeação do Encarregado (DPO) e na definição de procedimentos que atendam às exigências legais, protegendo, assim, os interesses da empresa e dos titulares de dados.

Conclusão

A regulamentação do DPO pela Resolução CD/ANPD nº 18/2024 representa um avanço significativo no amadurecimento do cenário regulatório brasileiro.

As empresas que compreenderem a importância dessa figura e investirem na estruturação de uma governança eficaz estarão mais preparadas para os desafios do tratamento de dados pessoais.

A atuação do Encarregado não se restringe ao cumprimento formal da legislação, mas integra um movimento mais amplo de valorização da privacidade, da transparência e do respeito aos direitos fundamentais.

Caso tenha alguma dúvida, entre em contato conosco. Estamos à disposição para orientar sua empresa na estruturação de um programa de privacidade robusto e eficaz.