Encarregado de dados (DPO) na LGPD: quem precisa e o que faz

Pesquise "DPO" no Google e você encontra dois tipos de conteúdo: o que ensina a seguir carreira na área, com salários e certificações, e o que tenta vender um DPO terceirizado para a sua empresa ainda hoje. Se a sua dúvida é outra, se você só quer saber se é obrigado a ter um, fica sem resposta.

Essa dúvida é mais comum do que parece. Em algum momento da adequação à Lei Geral de Proteção de Dados, toda empresa esbarra na figura do encarregado de dados, o tal do DPO. E a decisão tem consequência real: indicar alguém sem necessidade gera custo; ignorar a obrigação gera risco de sanção.

Neste guia, você vai entender o que é o encarregado de dados na LGPD, o que ele faz na prática, quando a indicação é obrigatória e quando a ANPD dispensa sua empresa. No final, um passo a passo simples para formalizar tudo do jeito certo.

O que é o encarregado de dados (DPO) da LGPD?

O encarregado de dados é a pessoa indicada pela empresa para atuar como canal de comunicação entre ela, os titulares dos dados e a ANPD, a Autoridade Nacional de Proteção de Dados. A definição está no artigo 5º, VIII, da Lei 13.709/2018, a LGPD.

O nome DPO vem do inglês Data Protection Officer, o papel equivalente na lei europeia (GDPR). O mercado brasileiro adotou a sigla, mas a lei daqui fala em "encarregado pelo tratamento de dados pessoais". Na prática, DPO e encarregado de dados são a mesma coisa.

Em tradução livre para o dia a dia: o encarregado é o rosto da privacidade da sua empresa. É quem o cliente procura quando quer saber o que você faz com os dados pessoais dele. E é quem a ANPD procura quando precisa falar com a empresa.

Repare no que a definição não diz. Não diz que precisa ser advogado, nem funcionário registrado, nem profissional certificado. Esse detalhe muda bastante a conversa, e voltamos a ele daqui a pouco.

O que faz o encarregado de dados na prática?

O artigo 41 da LGPD lista quatro atribuições para o encarregado de dados:

1. Receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências
2. Receber comunicações da ANPD e tomar as providências necessárias
3. Orientar funcionários e contratados sobre as práticas de proteção de dados da empresa
4. Executar as demais atribuições definidas pela empresa ou em normas complementares

No papel, parece abstrato. No cotidiano de uma pequena empresa, funciona assim: um cliente pede para excluir os dados dele, e o pedido cai com o encarregado. A ANPD envia uma notificação, e é ele quem responde. O time de marketing quer comprar uma lista de e-mails, e é ele quem explica que isso fere as bases legais da LGPD e propõe um caminho correto.

O Regulamento do Encarregado, aprovado pela ANPD em 2024, detalha ainda um papel de apoio: ajudar a empresa no registro das operações de tratamento, na comunicação de incidentes de segurança, no relatório de impacto e nas políticas internas de privacidade.

Um ponto importante para tirar peso das costas: o encarregado é o ponto focal, não o executor solitário da adequação. O próprio regulamento da ANPD diz que a responsabilidade pela conformidade continua sendo da empresa, não da pessoa indicada. Ele coordena e orienta; a empresa inteira cumpre.

Toda empresa precisa ter um DPO?

A regra geral do artigo 41 manda todo controlador indicar um encarregado. Porém, a Resolução CD/ANPD nº 2/2022 dispensa os agentes de tratamento de pequeno porte dessa obrigação, desde que mantenham um canal de comunicação com o titular dos dados.

"Agente de tratamento de pequeno porte" é o nome técnico para um grupo que inclui microempresas, empresas de pequeno porte e startups. Se a sua empresa se enquadra nesse perfil, a boa notícia é direta: você não é obrigado a indicar um DPO.

Mas existem duas condições que derrubam essa dispensa, e é aqui que muita gente escorrega:

• Tratamento de alto risco: a flexibilização não vale para quem trata dados em larga escala, lida com dados sensíveis ou dados de crianças e adolescentes de forma significativa, faz monitoramento sistemático ou usa decisões automatizadas com perfil. Uma clínica que processa prontuários todos os dias, por exemplo, dificilmente se beneficia da dispensa.
• Falta de comprovação: a dispensa não é automática nem presumida. Se a ANPD bater à porta, é a empresa que precisa demonstrar o enquadramento como pequeno porte e a ausência de alto risco.

O caso que ilustra isso é real. Em julho de 2023, a ANPD aplicou sua primeira sanção da história contra a Telekall Infoservice, uma microempresa. Além da multa de R$14.400 por tratar dados sem base legal, a empresa levou advertência por não ter encarregado. Ser pequena não a protegeu, porque ela não conseguiu comprovar que tinha direito à dispensa.

A lição: pequeno porte é uma vantagem real, mas precisa estar documentada. Vale entender em detalhe como a LGPD se aplica a pequenas empresas antes de decidir seu caminho.

Dispensado de indicar DPO? O canal de comunicação continua obrigatório

Aqui mora o mal-entendido mais perigoso do tema. A dispensa de pequeno porte vale para a indicação formal do encarregado. Ela não dispensa sua empresa de atender os titulares.

O artigo 11 da Resolução 2/2022 é explícito: quem não indica encarregado precisa disponibilizar um canal de comunicação com o titular. Na prática, sua empresa continua obrigada a:

• Oferecer um meio claro para o cliente pedir acesso, correção ou exclusão de dados
• Responder essas solicitações dentro dos prazos legais
• Manter registro do que foi pedido e do que foi feito

Ou seja: a estrutura de atendimento que o encarregado coordenaria precisa existir do mesmo jeito. Muda quem assina, não muda a obrigação. Para montar isso do zero, nosso guia de canal do titular LGPD mostra o formato, os prazos e os modelos de resposta.

E se a ideia de gerenciar pedidos por e-mail e planilha parece frágil, é porque é. O Canal do Titular do DataSafu cria esse canal pronto para a sua empresa: o titular envia a solicitação por um portal, o pedido ganha protocolo, e os prazos são controlados automaticamente. É a obrigação que permanece para os dispensados, resolvida sem time jurídico.

Um detalhe que joga a seu favor: a ANPD considera a indicação de encarregado por empresas dispensadas uma política de boas práticas. Se você puder designar alguém, mesmo sem obrigação, isso conta pontos em uma eventual fiscalização.

Quem pode ser o encarregado de dados?

Em julho de 2024, a ANPD aprovou o Regulamento do Encarregado (Resolução CD/ANPD nº 18/2024), que respondeu de vez as dúvidas sobre quem pode ocupar o papel. As regras são mais flexíveis do que o mercado costuma sugerir:

• Pessoa física ou jurídica: o encarregado pode ser alguém do seu time, um profissional externo ou até uma empresa contratada
• Sem certificação obrigatória: o regulamento afirma que a atividade não exige inscrição em entidade, certificação nem formação específica
• Sem vínculo obrigatório: não precisa ser funcionário registrado
• Comunicação em português: precisa conseguir se comunicar com clareza com titulares e com a ANPD

Quem define a qualificação necessária é a própria empresa, considerando o volume e o risco dos dados que trata. O que a ANPD espera, segundo o Guia de Atuação do Encarregado, é alguém com conhecimento da LGPD, tempo real para a função e liberdade para atuar.

Existe um cuidado chamado conflito de interesses: o encarregado orienta e fiscaliza as práticas de dados, então não é ideal que a mesma pessoa que decide tudo sobre o tratamento se autofiscalize. Em uma empresa grande, o diretor de marketing seria uma escolha ruim. Em uma pequena empresa, a régua é de proporcionalidade: o que não pode é a função virar faz de conta.

Um exemplo ilustrativo: Camila, sócia de um escritório de contabilidade com seis pessoas, assumiu o papel de encarregada. Ela formalizou a indicação em um documento simples, publicou seu contato no site do escritório e centralizou as solicitações de clientes. Acumula a função com o trabalho dela, estudou o básico da lei e tem autonomia para corrigir processos internos. Para o porte do escritório, é uma solução legítima e bem documentada.

DPO interno, DPO as a service ou dispensa: qual caminho escolher?

Com as regras na mesa, sobram três caminhos realistas. A comparação honesta fica assim:

O DPO as a service, modelo em que uma consultoria ou profissional externo assume a função por mensalidade, cresceu muito no Brasil. Ele resolve um problema real para quem precisa de encarregado e não tem perfil interno. O problema é quando vira resposta única, vendida até para quem está dispensado.

Foi o que quase aconteceu com Ricardo, dono de um e-commerce de suplementos com oito funcionários, em um cenário ilustrativo bem comum. Ele recebeu uma proposta de DPO terceirizado por R$2.500 mensais, R$30 mil por ano, com o argumento de que "toda empresa é obrigada".

Antes de assinar, Ricardo verificou o próprio enquadramento: empresa de pequeno porte, sem dados sensíveis, sem larga escala. Documentou a dispensa, estruturou o canal do titular e designou a gerente administrativa como ponto focal. Resultado: economia de R$30 mil por ano, sem descumprir nada.

Para a maioria das micro e pequenas empresas brasileiras, o terceiro caminho resolve. O dinheiro da mensalidade rende mais investido na adequação em si: mapeamento, documentos e atendimento ao titular funcionando.

Como indicar o encarregado na sua empresa: passo a passo

Decidiu indicar? O processo é mais simples do que parece, e o Regulamento do Encarregado define exatamente o que a ANPD espera:

1. Escolha o formato: alguém do time, profissional externo ou empresa especializada. Para a maioria das pequenas empresas, uma pessoa interna organizada e com apoio da direção dá conta.
2. Formalize por ato escrito: o regulamento exige documento escrito, datado e assinado, descrevendo a função e as atividades. Guarde esse documento: a ANPD pode solicitá-lo.
3. Publique no seu site: nome e contato do encarregado devem aparecer de forma clara, em local de destaque e fácil acesso. Sem site? A divulgação pode ser feita pelos canais que você usa com clientes.
4. Estruture o canal de atendimento: e-mail dedicado ou formulário, com processo definido de quem recebe, quem responde e em qual prazo.
5. Dê condições de trabalho: acesso às áreas da empresa, tempo na agenda e autonomia técnica. O regulamento também pede um substituto designado para férias e ausências.

No DataSafu, esse processo já vem pronto: a plataforma inclui a designação do Encarregado com os dados de contato, que aparecem automaticamente na sua Política de Privacidade e no portal de atendimento ao titular. Você cumpre o artigo 41 sem montar nada na mão.

Perguntas frequentes sobre o encarregado de dados

DPO e encarregado de dados são a mesma coisa?

Sim. Encarregado pelo tratamento de dados pessoais é o termo da lei brasileira; DPO (Data Protection Officer) é o nome equivalente no GDPR europeu, que o mercado adotou como sinônimo. Não existe diferença prática entre os dois no Brasil.

Quanto ganha um DPO?

Varia com porte e setor. Em levantamentos públicos de mercado, salários de DPO dedicado em empresas médias e grandes costumam ficar entre R$8 mil e R$20 mil mensais. Pequenas empresas raramente contratam alguém só para isso: usam a dispensa, acumulam a função internamente ou contratam o modelo terceirizado.

O encarregado responde pessoalmente pelas multas da LGPD?

Não. A responsabilidade pela conformidade e por eventuais sanções é dos agentes de tratamento, ou seja, da empresa (controlador ou operador). O encarregado orienta e comunica, mas não é o "culpado automático" por infrações.

MEI precisa indicar encarregado de dados?

Não. O MEI entra na categoria de agente de tratamento de pequeno porte e está dispensado da indicação, salvo se fizer tratamento de alto risco. A obrigação de manter um canal de comunicação com o titular, porém, continua valendo.

Preciso registrar o encarregado na ANPD?

Não existe cadastro ou registro de encarregado na ANPD. As obrigações são outras: formalizar a indicação por documento escrito e divulgar a identidade e o contato do encarregado no seu site.

Operador também precisa indicar encarregado?

A obrigação do artigo 41 recai sobre o controlador, quem decide sobre o tratamento. Para operadores, que tratam dados em nome de terceiros, a indicação é facultativa, mas a ANPD a considera política de boas práticas de governança.

Decidir sobre o DPO é mais simples do que parece

Recapitulando o essencial sobre o encarregado de dados na LGPD:

• Encarregado e DPO são o mesmo papel: o canal de comunicação entre empresa, titulares e ANPD
• A regra é indicar, mas há dispensa real: agentes de pequeno porte sem tratamento de alto risco não são obrigados, desde que documentem o enquadramento
• A dispensa não elimina o atendimento: o canal de comunicação com o titular é obrigatório para todo mundo
• Qualquer pessoa capacitada pode assumir: sem certificação obrigatória, sem exigência de vínculo, com formalização por escrito e contato publicado no site
• O caminho racional para a maioria das pequenas empresas: dispensa documentada, ponto focal interno e canal do titular funcionando

O encarregado de dados não precisa ser um cargo caro nem um mistério jurídico. Precisa ser uma decisão consciente, registrada e proporcional ao seu porte.

Quer saber qual caminho faz sentido para a sua realidade? Faça o diagnóstico da sua empresa no DataSafu e veja em poucos minutos se você se enquadra na dispensa, o que falta na sua adequação à LGPD e por onde começar.