DPO / Encarregado de Dados: Funções, Obrigações e Quando Nomear

---

title: "DPO / Encarregado de Dados: Funções, Obrigações e Quando Nomear" description: "DPO / Encarregado de Dados: Funções, Obrigações e Quando Nomear: guia completo e atualizado para advogados em 2026 com legislação, jurisprudência e aplicação prática." date: "2026-03-01" category: "Direito Digital" tags: ["direito digital", "tecnologia", "DPO", "encarregado", "funções"] author: "BeansTech" readingTime: "12 min" published: true featured: false

A Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018) trouxe mudanças significativas na forma como as empresas lidam com dados pessoais no Brasil. Entre as inovações mais impactantes, destaca-se a figura do Encarregado pelo Tratamento de Dados Pessoais, também conhecido internacionalmente como Data Protection Officer (DPO). Compreender as funções, obrigações e quando a nomeação desse profissional é exigida é fundamental para assegurar a conformidade legal e mitigar riscos de sanções.

O que é o DPO / Encarregado de Dados?

O Encarregado pelo Tratamento de Dados Pessoais (DPO) é a pessoa indicada pelo controlador e pelo operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). A figura do DPO é central na governança de privacidade de uma organização, sendo responsável por orientar, fiscalizar e garantir que as práticas de tratamento de dados estejam em conformidade com a LGPD.

A LGPD define o Encarregado em seu artigo 5º, inciso VIII, como: "pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)".

Perfil e Qualificações do DPO

A LGPD não estabelece requisitos específicos de formação acadêmica ou certificações obrigatórias para o exercício da função de DPO. No entanto, a complexidade das atribuições exige um perfil multidisciplinar, com conhecimentos sólidos em:

• Direito Digital e Privacidade: Profundo conhecimento da LGPD, normas da ANPD, GDPR e legislações correlatas.
• Segurança da Informação: Compreensão de frameworks de segurança (ex: ISO 27001), gestão de riscos e medidas técnicas para proteção de dados.
• Governança e Compliance: Capacidade de implementar políticas, procedimentos e processos de conformidade.
• Gestão de Projetos: Habilidade para liderar iniciativas de adequação e gerenciar incidentes de segurança.
• Comunicação: Excelente capacidade de comunicação para interagir com titulares, ANPD e a alta direção da empresa.

Funções e Obrigações do DPO

As atividades do Encarregado estão descritas no artigo 41, § 2º, da LGPD. Suas principais responsabilidades incluem:

1. Canal de Comunicação

O DPO atua como o principal ponto de contato para:

• Titulares dos Dados: Receber reclamações, solicitações (como acesso, correção, anonimização, portabilidade, exclusão) e prestar esclarecimentos sobre o tratamento de seus dados.
• Autoridade Nacional de Proteção de Dados (ANPD): Receber comunicações, atender requisições, colaborar em investigações e reportar incidentes de segurança (vazamento de dados).

2. Orientação e Treinamento

O DPO tem a obrigação de disseminar a cultura de privacidade na organização. Isso envolve:

• Orientar funcionários, terceiros e contratados sobre as práticas de proteção de dados e as diretrizes da LGPD.
• Elaborar e implementar programas de conscientização e treinamento contínuo.
• Fornecer diretrizes para o desenvolvimento de novos produtos, serviços ou processos que envolvam dados pessoais (Privacy by Design e Privacy by Default).

3. Monitoramento e Conformidade

O DPO deve garantir que a organização esteja em conformidade com a LGPD e suas políticas internas de privacidade. Suas atividades incluem:

• Monitorar o cumprimento das normas de proteção de dados.
• Realizar auditorias internas ou coordenar auditorias externas de privacidade.
• Avaliar os riscos associados ao tratamento de dados e recomendar medidas mitigadoras.
• Elaborar e manter atualizado o Relatório de Impacto à Proteção de Dados Pessoais (RIPD), quando necessário.
• Revisar contratos com fornecedores (operadores) para garantir a conformidade com a LGPD.

4. Gestão de Incidentes de Segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares (como um vazamento de dados), o DPO tem um papel crucial:

• Coordenar a resposta ao incidente, avaliando a gravidade e o impacto.
• Comunicar a ANPD e os titulares afetados, em prazo razoável, conforme exigido pelo artigo 48 da LGPD.
• Acompanhar a implementação de medidas de remediação e prevenção.

Quando a Nomeação do DPO é Obrigatória?

A regra geral, estabelecida no artigo 41, caput, da LGPD, é que todo controlador deverá indicar um encarregado pelo tratamento de dados pessoais.

No entanto, a LGPD permitiu que a ANPD estabelecesse normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados (art. 41, § 3º).

Regulamentação da ANPD: Agentes de Tratamento de Pequeno Porte

A Resolução CD/ANPD nº 2/2022 regulamentou a aplicação da LGPD para agentes de tratamento de pequeno porte (microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado sem fins lucrativos e entes privados despersonalizados).

De acordo com o artigo 11 desta Resolução, os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado (DPO).

Exceções à Dispensa (Quando a Nomeação Continua Obrigatória)

A dispensa de nomeação do DPO para agentes de pequeno porte não se aplica se o agente realizar tratamento de alto risco para os titulares. O artigo 16 da Resolução CD/ANPD nº 2/2022 define tratamento de alto risco como aquele que atende cumulativamente a pelo menos um critério geral e um critério específico:

Critérios Gerais:

• Tratamento de dados pessoais em larga escala.
• Tratamento de dados pessoais que possa afetar significativamente os interesses e os direitos fundamentais dos titulares.

Critérios Específicos:

• Uso de tecnologias emergentes ou inovadoras.
• Vigilância ou controle de zonas acessíveis ao público.
• Decisões tomadas unicamente com base em tratamento automatizado de dados pessoais.
• Tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

Portanto, mesmo uma microempresa ou startup, se realizar tratamento de dados em larga escala que envolva dados sensíveis (como uma clínica médica ou uma healthtech), estará obrigada a nomear um DPO.

Recomendação e Boas Práticas

Mesmo para as empresas dispensadas da nomeação formal, o artigo 11, § 1º, da Resolução CD/ANPD nº 2/2022 estabelece que o agente de tratamento de pequeno porte deve disponibilizar um canal de comunicação com o titular para atender suas requisições.

A ANPD recomenda expressamente, no § 2º do mesmo artigo, que os agentes de tratamento de pequeno porte indiquem um encarregado como boa prática de governança. A nomeação voluntária do DPO pode ser considerada pela ANPD como um fator atenuante na aplicação de sanções administrativas em caso de infração à LGPD.

Independência e Autonomia do DPO

Para que o DPO exerça suas funções com eficácia, é fundamental que ele possua independência e autonomia em relação à alta direção e às áreas de negócios da organização. Ele não deve sofrer retaliações por apontar falhas de conformidade ou por recomendar medidas que possam impactar os processos da empresa.

O DPO deve ter acesso direto à alta gestão e recursos adequados (orçamento, equipe e ferramentas) para desempenhar suas atividades. É recomendável que a identidade e as informações de contato do DPO sejam divulgadas publicamente, de forma clara e objetiva, preferencialmente no site da organização (art. 41, § 1º, LGPD).

DPO as a Service (DPOaaS)

A LGPD não exige que o DPO seja um funcionário contratado sob o regime CLT. O encarregado pode ser uma pessoa física ou jurídica, interna ou externa à organização.

A contratação de um DPO externo, modelo conhecido como DPO as a Service (DPOaaS), tornou-se uma prática comum no mercado brasileiro. Essa modalidade oferece diversas vantagens:

• Redução de Custos: Evita os custos de contratação de um funcionário em tempo integral.
• Especialização: Acesso a profissionais com alta expertise em privacidade e proteção de dados.
• Independência: Maior isenção e objetividade na avaliação das práticas da empresa.
• Flexibilidade: Adequação da carga horária e do escopo de serviços de acordo com as necessidades da organização.

Responsabilidade do DPO

A LGPD não estabelece a responsabilização direta ou pessoal do DPO pelas infrações cometidas pelo controlador ou operador. A responsabilidade por eventuais danos causados pelo tratamento irregular de dados recai sobre a organização (agente de tratamento).

No entanto, o DPO pode ser responsabilizado civil e trabalhista mente caso aja com negligência, imprudência ou dolo no exercício de suas funções, causando prejuízos à empresa ou aos titulares. A responsabilidade do DPO deve estar claramente definida em contrato (no caso de DPOaaS) ou nas políticas internas da empresa.

Conclusão

A figura do DPO é essencial para a efetividade da LGPD nas organizações. Mais do que um mero cumpridor de obrigações legais, o Encarregado é um parceiro estratégico na construção de uma cultura de privacidade, na mitigação de riscos e na proteção da reputação da empresa. A correta nomeação, quando exigida, e o suporte adequado às atividades do DPO são passos fundamentais para garantir a conformidade e a segurança no tratamento de dados pessoais.