A figura do DPO na LGPD: saber legal, atuação prática e governança integrada

A Lei Geral de Proteção de Dados consagrou, em seu artigo 41, a obrigatoriedade da designação de um Encarregado pelo Tratamento de Dados Pessoais (DPO) pelas organizações sujeitas à legislação, salvo exceções regulamentadas pela Autoridade Nacional de Proteção de Dados (ANPD). Com a publicação da Resolução CD/ANPD nº 18/2024, foi estabelecido o regulamento específico sobre essa figura, determinando critérios para sua formalização, atuação, autonomia e estrutura de apoio.

A Resolução representa um avanço na consolidação da governança em privacidade no Brasil, ao reconhecer que a efetividade do programa de conformidade depende da atuação independente, acessível e tecnicamente respaldada do Encarregado. O desafio, no entanto, permanece na concretização dessas diretrizes na rotina das organizações públicas e privadas.

De acordo com a Resolução, a nomeação do Encarregado deve ocorrer por meio de instrumento formal, assinado e datado, com divulgação clara de sua identidade e canais de contato preferencialmente por meio do sítio eletrônico da organização. É obrigatória, ainda, a designação de um suplente, capaz de assegurar a continuidade da função em casos de ausência ou impedimento.

As atribuições legais do DPO permanecem conforme o §2º do artigo 41 da LGPD, complementadas pela Resolução:

• Aceitação de reclamações e comunicações dos titulares;
• Recebimento de comunicações da ANPD;
• Prestação de orientações aos colaboradores e contratados da organização;
• Execução de ações de conformidade relacionadas a tratamento, segurança e documentação.

A norma reconhece, ainda, a possibilidade de o Encarregado desempenhar outras atividades, desde que não conflitantes com sua missão institucional, conforme tratado a seguir.

Um dos pontos mais relevantes da Resolução é a vedação, expressa ou implícita, ao conflito de interesses. O DPO deve atuar com autonomia técnica e independência funcional, o que exclui a possibilidade de acumular funções que envolvam decisão final sobre o tratamento de dados como gestores de RH, diretores jurídicos, CTOs ou líderes operacionais que definam finalidades e meios de tratamento.

Esse cuidado é essencial para garantir que o DPO possa atuar de forma crítica e imparcial diante das práticas internas, inclusive questionando ou propondo mudanças em processos, contratos ou decisões estratégicas.

A autonomia deve ser garantida não apenas na teoria, mas por meio de:

• acesso direto à alta direção;
• liberdade para emitir pareceres técnicos;
• recursos humanos e tecnológicos suficientes;
• ausência de ingerência hierárquica que comprometa sua função supervisora.

A atuação do DPO deve ser respaldada por uma estrutura organizacional colaborativa. A Resolução sugere que o Encarregado deve contar com o apoio de diferentes áreas internas, tais como:

• Jurídico – Responsável por auxiliar na interpretação da LGPD, na elaboração e revisão de cláusulas contratuais, termos de consentimento, avisos de privacidade, além de responder a notificações administrativas e demandas judiciais. Contudo, não se recomenda que o DPO acumule funções de representação legal da organização, sob pena de prejudicar sua neutralidade.
• Tecnologia da Informação – Setor fundamental para a implementação de medidas de segurança, controle de acessos, inventário de sistemas, gestão de ativos de informação, análise de riscos, e apoio técnico em ações como Data Discovery, respostas a incidentes e avaliações de impacto.
• Comunicação – Responsável por construir canais com os titulares, divulgar as políticas de privacidade e os meios de contato com o DPO, além de apoiar campanhas internas de conscientização e garantir coerência na resposta pública a eventuais incidentes.
• Recursos Humanos – Executa o plano de treinamento e capacitação de colaboradores, gerencia políticas internas e códigos de conduta, além de cooperar no tratamento de dados pessoais de empregados e prestadores.

A existência de um comitê de privacidade é prática recomendável para reforçar a governança institucional da proteção de dados. Esse comitê deve reunir representantes das áreas mencionadas, sob coordenação do DPO, com o objetivo de:

• definir políticas e procedimentos internos;
• revisar relatórios de impacto (RIPD);
• deliberar sobre incidentes de segurança e medidas corretivas;
• acompanhar indicadores do programa de privacidade;
• articular a conformidade entre diferentes áreas.

A atuação colegiada permite uma visão sistêmica, fortalece a cultura de proteção de dados e legitima as decisões do Encarregado.

A atuação do Encarregado vai além da conformidade regulatória. Ele desempenha função essencial para a continuidade e resiliência organizacional, ao:

• orientar decisões baseadas em risco;
• garantir a resposta tempestiva e adequada a titulares e à ANPD;
• promover boas práticas de segurança da informação;
• reduzir a probabilidade e o impacto de incidentes.

A presença ativa do DPO contribui diretamente para a reputação institucional, a confiança de clientes e parceiros, e a sustentabilidade das operações em mercados cada vez mais orientados à proteção da privacidade.

A HDPO é uma consultoria especializada em proteção de dados, com larga experiência na estruturação e implementação de programas de conformidade com a LGPD, especialmente no setor da saúde. Oferecemos:

• apoio técnico e jurídico para designação do Encarregado e do comitê de privacidade;
• capacitação das áreas internas;
• suporte na construção do RoPA, RIPD e plano de ação;
• estruturação de canais de comunicação com titulares;
• acompanhamento da governança documental.

Além disso, atuamos como DPOaaS (Data Protection Officer as a Service), assumindo com formalidade e autonomia a função de Encarregado nas organizações que optam por terceirização qualificada, conforme admitido pela Resolução CD/ANPD nº 18/2024.

A Resolução CD/ANPD nº 18/2024 reafirma a importância da figura do Encarregado de Dados como um dos pilares do programa de privacidade das organizações. Sua atuação exige independência, capacitação e apoio institucional. Cabe ao agente de tratamento não apenas cumprir a formalidade da nomeação, mas investir na efetividade prática desse papel, como agente de conformidade, de orientação e de sustentabilidade da proteção de dados pessoais.

A HDPO está preparada para apoiar sua organização nessa jornada.