Voltar para conteúdos
LGPD

Encarregado de Dados (DPO) na LGPD: quem precisa nomear, quais as atribuições e quando há dispensa

21 de maio de 20265 min de leituraLGPD

Encarregado de Dados (DPO) na LGPD: quem precisa nomear, quais as atribuições e quando há dispensa

Meta description (153 caracteres): Encarregado de Dados (DPO) na LGPD: quem é obrigado a nomear, atribuições, riscos e dispensas nas Resoluções 2/2022 e 18/2024 da ANPD. Slug: encarregado-dpo-lgpd-obrigacoes-empresas Categoria: LGPD & Compliance

Por que o tema do Encarregado voltou ao centro da agenda

A figura do Encarregado pelo Tratamento de Dados Pessoais — popularizada pela sigla DPO, do inglês Data Protection Officer — é uma das peças centrais da Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018). Apesar de constar da lei desde 2018, a definição prática de quem deve nomear, quais as atribuições e quais os riscos da omissão só ganhou contornos mais nítidos com a Resolução CD/ANPD nº 2/2022 (agentes de pequeno porte) e, sobretudo, com a Resolução CD/ANPD nº 18, de 16 de julho de 2024, que aprovou o Regulamento sobre a atuação do Encarregado.

A urgência aumentou em 2024 e se consolidou em 2025–2026. Em 13 de dezembro de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) deflagrou processo de fiscalização envolvendo 20 empresas de grande porte que não haviam indicado o contato do Encarregado, conforme exigido pelo art. 41 da LGPD. Entre os alvos publicamente nomeados na decisão estão ByteDance (TikTok), Telegram, Tinder, Uber, Telefônica (Vivo), X (Twitter), Dell, Latam, Serasa e BlueFit. A fiscalização se estendeu a organizações que disponibilizam canais inadequados ou inefetivos para os titulares de dados. GOV.BR + 3

A leitura prática é clara: a "fase educativa" da LGPD acabou para o tema. Quem ainda não nomeou um Encarregado, ou nomeou apenas formalmente sem estruturar a função, está sob risco crescente de sanção.

O que diz a LGPD sobre o Encarregado

O art. 5º, VIII, da LGPD define o Encarregado como "pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)". Brazilian Presidency +2

O art. 41 detalha que cabe ao controlador indicar o Encarregado, divulgar sua identidade e contato e atribuir-lhe minimamente as funções de:

  • Receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; Canaltech

  • Receber comunicações da ANPD e adotar providências;

  • Orientar funcionários e contratados sobre as práticas a serem tomadas em relação à proteção de dados;

  • Executar demais atribuições determinadas pelo controlador ou previstas em normas complementares. IBGE

Quem é obrigado a nomear o Encarregado em 2026

Setor público: obrigatoriedade ampla

Toda a Administração Pública direta e indireta — União, Estados, Distrito Federal, municípios e suas entidades — deve indicar Encarregado. A obrigação consta do art. 23, III, da LGPD e não admite as flexibilizações conferidas aos agentes privados de pequeno porte. A indicação deve ser feita por ato formal (portaria, decreto ou resolução) publicado em Diário Oficial.

Setor privado: regra e exceções

Como regra geral, todo controlador de dados pessoais deve nomear Encarregado. As exceções estão na Resolução CD/ANPD nº 2/2022, que dispensa da obrigação de nomeação os agentes de tratamento de pequeno porte — categoria que abrange:

  • Microempresas e empresas de pequeno porte;

  • Startups (na forma da LC nº 182/2021);

  • Pessoas jurídicas de direito privado sem fins lucrativos;

  • Pessoas físicas que exercem atividade econômica com tratamento de dados;

  • Entes despersonalizados privados (como condomínios).

Para se enquadrar nessa categoria e usufruir da dispensa, o agente não pode realizar tratamento de dados em alto risco e deve atender aos critérios financeiros da resolução. Mesmo dispensado, o agente de pequeno porte continua obrigado a manter canal efetivo de comunicação com os titulares — não basta apenas omitir-se. Get Privacy

Para operadores (quem trata dados em nome de outro), a Resolução CD/ANPD nº 18/2024 facultou a indicação do Encarregado. Embora não obrigatória, a nomeação é considerada boa prática de governança e pode ser fator atenuante em eventual sanção. IclgGet Privacy

O que mudou com a Resolução CD/ANPD nº 18/2024

Em vigor desde julho de 2024, o novo Regulamento detalhou aspectos práticos que vinham gerando insegurança. Entre os principais pontos:

Indicação formal e publicidade

A indicação do Encarregado deve ser formal, por documento escrito e inequívoco. A identidade e os dados de contato devem ser divulgados publicamente, preferencialmente em local de fácil acesso no site da organização. Lhlaw

Qualificação técnica

A Resolução não exige certificação obrigatória, inscrição em entidade de classe ou formação específica. Exige, no entanto, que o Encarregado tenha conhecimento de proteção de dados e práticas regulatórias aplicáveis à LGPD e seja capaz de se comunicar com titulares e com a ANPD em língua portuguesa, de forma clara e precisa.

Autonomia técnica e ausência de conflito de interesses

O Encarregado deve atuar com autonomia técnica, livre de interferências indevidas, e ter acesso direto às pessoas de maior nível hierárquico da organização. A Resolução veda situações de conflito de interesses — o que, na prática, recomenda cautela para que o Encarregado não acumule funções decisórias sobre o tratamento de dados (como dirigir TI ou marketing).

Encarregado externo e substituto

A função pode ser exercida por profissional externo (terceirizado), inclusive escritórios de advocacia, e um único Encarregado pode atender mais de um agente de tratamento, desde que não haja conflito. É obrigatória a indicação formal de um substituto para ausências, impedimentos ou vacância.

Responsabilidade

Um ponto fundamental: o desempenho das atribuições não confere ao Encarregado a responsabilidade pela conformidade do tratamento de dados realizado pelo controlador. A responsabilidade pela adequação à LGPD permanece, prioritariamente, com o controlador e seus dirigentes.

Atribuições práticas no dia a dia

Para além do texto legal, as atribuições do Encarregado, no dia a dia, costumam incluir:

  • Conduzir o programa de adequação à LGPD;

  • Manter atualizado o Registro das Operações de Tratamento (art. 37 da LGPD);

  • Elaborar e revisar Relatórios de Impacto à Proteção de Dados (RIPD);

  • Coordenar a resposta a incidentes de segurança e a comunicação à ANPD no prazo de 3 dias úteis (Resolução CD/ANPD nº 15/2024);

  • Atender solicitações dos titulares (acesso, correção, portabilidade, eliminação) no prazo previsto;

  • Promover treinamentos internos;

  • Orientar contratos com fornecedores e operadores, inclusive em licitações regidas pela Lei nº 14.133/2021;

  • Manter interlocução com a alta administração.

DPO interno x DPO externo: como decidir

A escolha entre Encarregado interno e externo depende de porte, complexidade do tratamento e nível de risco da organização. Algumas considerações:

Encarregado interno: vantagem do conhecimento do negócio, mas exige profissional dedicado, capacitado e com autonomia real. Risco de conflito de interesses se acumular funções operacionais. Custo recorrente alto para empresas médias.

Encarregado externo (terceirizado, frequentemente um escritório de advocacia especializado): vantagem do acesso a equipe multidisciplinar (direito, segurança da informação, processos), redução de custo fixo, isenção e independência técnica preservada. Adequado para micro, pequenas e médias empresas, e para municípios sem estrutura jurídica especializada.

Independentemente da escolha, a indicação meramente formal — o famoso "Encarregado-fantasma", apenas para constar no site — é, hoje, um dos principais alvos de fiscalização da ANPD. A função precisa ser real, com mandato, acesso à alta direção e canal efetivo de comunicação com os titulares.

Riscos de não nomear (ou nomear mal)

A ausência de Encarregado é, isoladamente, infração que pode ensejar sanção. Combinada a outras falhas — ausência de política de privacidade, canal inefetivo, falta de comunicação de incidente —, multiplica o risco. Entre as sanções previstas no art. 52 da LGPD: advertência; multa simples de até 2% do faturamento, limitada a R$ 50 milhões por infração; multa diária; publicização da infração; bloqueio e eliminação de dados; suspensão e proibição de atividades de tratamento. Get Privacy

Para o setor público, embora vedada a multa pecuniária, é plenamente aplicável a responsabilização dos gestores perante os Tribunais de Contas e o Ministério Público, com risco de improbidade administrativa em casos de negligência grave.

Conclusão

Nomear um Encarregado de Dados deixou de ser opcional ou meramente formal. Com a Resolução CD/ANPD nº 18/2024 e a postura fiscalizatória mais firme da ANPD a partir de dezembro de 2024 — alcançando empresas como TikTok, Uber, Vivo, Tinder, Telegram, X, Dell, Latam, Serasa e BlueFit —, a função se consolidou como peça central da governança em privacidade. Empresas e órgãos públicos precisam ir além da indicação no site: precisam estruturar a função, garantir autonomia técnica, capacitar o profissional indicado e integrar o Encarregado à governança corporativa ou à gestão pública.

A regra de ouro: trate o Encarregado como o que ele é — não um cargo burocrático, mas o principal articulador da conformidade da organização com a proteção de dados pessoais.

Quer avaliar se sua organização precisa nomear um Encarregado e qual o melhor modelo (interno ou externo)? Comece pelo Termômetro LGPD do escritório Felipe Piló Advogados Associados, um diagnóstico gratuito em poucos minutos: felipepilo.com.br/diagnostico-lgpd. Para conhecer nossas soluções de adequação à LGPD, entre em contato com nossa equipe em Belo Horizonte.

Este artigo tem caráter exclusivamente educativo e informativo. Não constitui consultoria jurídica. Para análise do caso concreto, consulte um advogado especializado.

Precisa de assessoria sobre este tema?

Nossa equipe de especialistas está pronta para auxiliar sua organização com soluções jurídicas estratégicas.

Falar pelo WhatsAppAgendar Consulta