O encarregado pelo tratamento de dados pessoais — comumente referido pela sigla DPO (Data Protection Officer) — é figura central no sistema de proteção de dados brasileiro. Previsto no artigo 41 da LGPD, o encarregado atua como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Atribuições Legais
O artigo 41, §2º, da LGPD estabelece as atividades mínimas do encarregado: aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da ANPD e adotar providências; orientar os funcionários e contratados da entidade sobre práticas de proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Na prática, essas atribuições mínimas se desdobram em um espectro amplo de responsabilidades que incluem a supervisão do programa de conformidade, a condução de treinamentos, a participação em avaliações de impacto e a interlocução com áreas técnicas e jurídicas da organização.
Qualificações e Independência
A LGPD não estabelece requisitos formais de qualificação para o encarregado, diferentemente do GDPR europeu, que exige conhecimento especializado em legislação de proteção de dados. Contudo, é evidente que o exercício adequado da função demanda conhecimento jurídico, compreensão de tecnologia da informação e habilidades de comunicação e gestão.
A independência funcional do encarregado é elemento essencial, ainda que não expressamente prevista na LGPD com o mesmo rigor do GDPR. O DPO deve poder exercer suas funções sem sofrer represálias por suas recomendações, e deve ter acesso direto à alta administração da organização.
DPO Interno vs. Externo
A LGPD permite que o encarregado seja pessoa física ou jurídica, interna ou externa à organização. O modelo de DPO as a Service (DPOaaS), em que uma empresa especializada assume a função, tem se difundido especialmente entre organizações de menor porte. Cada modelo possui vantagens e limitações que devem ser avaliadas conforme o contexto da organização.
O DPO interno tem a vantagem de conhecer profundamente os processos da empresa, enquanto o DPO externo pode oferecer maior especialização técnica e independência funcional. Em ambos os casos, é fundamental que o encarregado tenha recursos adequados e acesso às informações necessárias.
Responsabilidade Pessoal
É importante destacar que a LGPD não prevê responsabilidade pessoal do encarregado pelas operações de tratamento de dados da organização. A responsabilidade pelo cumprimento da legislação permanece com o controlador e o operador. Todavia, o encarregado deve atuar com diligência e documentar suas recomendações, especialmente quando estas não forem acatadas pela organização.
Dispensa para Agentes de Pequeno Porte
A Resolução CD/ANPD nº 2/2022 dispensa agentes de tratamento de pequeno porte da obrigação de nomear um encarregado, desde que disponibilizem um canal de comunicação com o titular. Essa dispensa, porém, não elimina a necessidade de a organização manter alguém responsável pelas questões de proteção de dados em sua estrutura.
Alessandro Casoretti Lavorante
Prof. Me. pela USP
Advogado especializado em Direito Digital, IA e Startups. Mestre em Direito Civil pela USP. Autor do livro "Responsabilidade Civil por Inteligência Artificial".