A LGPD trouxe um marco regulatório definitivo para a governança de dados no Brasil. Entre as suas exigências, está a nomeação do Encarregado de Proteção de Dados (DPO), figura central para a interlocução entre titulares, empresa e Autoridade Nacional de Proteção de Dados (ANPD). Mais do que uma obrigação legal, trata-se de um papel estratégico, que exige competência técnica, independência e capacidade de orientar a organização em um ambiente cada vez mais sensível à privacidade e à segurança da informação.
Mas a simples nomeação é suficiente? Muitos gestores acreditam que indicar um profissional interno ou contratar externamente resolve a questão. No entanto, é fundamental compreender que o trabalho do encarregado não se limita à função de “porta de entrada” de demandas. A Resolução nº 18/2024 da ANPD detalha atribuições que vão desde o recebimento de comunicações até o apoio na elaboração de relatórios de impacto (RIPD), gestão de incidentes, programas de governança e até mesmo suporte estratégico em decisões sobre transferência internacional de dados.
Outro ponto crítico é o risco de conflito de interesse. Como compatibilizar a atuação do encarregado com outras funções dentro da organização, sem comprometer sua autonomia técnica? A escolha inadequada pode não apenas fragilizar a governança de dados, como também expor a empresa a riscos jurídicos e reputacionais. Além disso, há a preocupação legítima com os custos operacionais da contratação de um DPO, sobretudo em empresas de médio e pequeno porte. É nesse ponto que soluções flexíveis, como o modelo DPO as a Service, ganham relevância.
Também não basta apenas criar o cargo. É preciso formalizar um Comitê de Proteção de Dados, definir métricas de acompanhamento, estabelecer critérios claros de mensuração de resultados e, principalmente, gerar evidências de conformidade. O mapeamento de dados e a nomeação do encarregado são apenas o início, a efetiva gestão passa por políticas vivas, treinamentos recorrentes, revisões de contratos, gestão de riscos e alinhamento contínuo com a estratégia da empresa.
Gestores e administradores precisam se perguntar:
Minha organização está preparada para demonstrar conformidade de forma transparente, em caso de auditoria ou questionamento da ANPD? Temos indicadores que comprovam a maturidade do nosso programa de privacidade? Ou ainda estamos restritos ao nível formal, sem integrar a proteção de dados à governança corporativa e às melhores práticas de gestão?
A nomeação do encarregado não é opcional: é uma obrigação legal e uma necessidade estratégica. A presença de um DPO estruturado garante segurança jurídica, fortalece a confiança dos clientes e prepara a organização para responder a incidentes e fiscalizações. A HDPO, com experiência em mais de 100 projetos de adequação, coloca-se como parceira nesse caminho: seja como DPOaaS, assumindo diretamente a função de encarregado, seja como suporte técnico e estratégico ao DPO interno e ao comitê de privacidade. Mais do que cumprir a lei, é hora de transformar a governança de dados em diferencial competitivo.
Referências:
⏩ https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-18-de-16-de-julho-de-2024-572632074
⏩ https://www.migalhas.com.br/depeso/364076/criterios-para-a-nomeacao-de-encarregado-pelo-dpo
Autor: João Gonçalves Advogado em Direito Digital, e Gestor em Saúde com mais de 25 anos de experiência em saúde, compliance e proteção de dados. CEO da HDPO LGPD em Saúde e Diretor da PROTEGON, lidera projetos estratégicos de governança, segurança da informação e adequação à LGPD em hospitais, operadoras de planos de saúde e empresas de tecnologia. Com forte atuação na implementação de programas de privacidade, João também ministra treinamentos e palestras sobre cibersegurança, inteligência artificial e privacidade de dados, sendo referência na área.
