Essa sigla – DPO – já não causa mais estranheza no mercado brasileiro como há sete anos, quando a LGPD foi publicada. Na época, era comum achar que isso era coisa de TI e de multinacionais europeias subordinadas ao GDPR, que havia iniciado a sua vigência três meses antes.
De lá para cá, muita água passou por baixo da ponte dos entendimentos enviesados, como o que defendia que somente advogados poderiam exercer a atividade de encarregado pelo tratamento de dados pessoais (o DPO). Ou, ainda, que essa seria uma função somente bem exercida pelos profissionais de segurança da informação.
Independentemente do entendimento de cada organização, os encarregados foram surgindo e ocupando os seus espaços. Timidamente, muito mais lentamente do que a Lei e a autoridade administrativa, a ANPD, exigiam, mas já se via um ou outro aqui e ali.
Pit stops para alinhamento
Quando a ANPD realizou os dois Encontros de Encarregados em Brasília, em 2024 e em 2025, o segundo com um público cerca de 60% maior do que o primeiro, ficou evidente a ansiedade do público-alvo em buscar respostas para temas como o uso de dados pessoais em processos de negócio com ferramentas de IA, a escalada das identificações com dados biométricos e o papel do DPO em meio a tudo isso.
Em dezembro de 2024, a Autoridade divulgou uma lista de vinte empresas de grande porte que estavam em processo de fiscalização por não indicarem um encarregado e não oferecerem um canal de comunicação funcional com os titulares. As empresas pertenciam a segmentos tão diversos quanto varejo, telefonia, aviação, tecnologia, saúde, energia e educação.
Com o objetivo de garantir que as empresas notificadas se adequassem às exigências legais, a ação da Autoridade causou impacto no mercado, fazendo com que, não apenas as organizações em processo fiscalizatório, mas também outras tomassem conhecimento da importância de estabelecer esse canal transparente de comunicação com os titulares.
Milestones de progresso
A ANPD, claramente, tem aberto espaço para o diálogo acerca das atribuições deste profissional, dos desafios (que não são poucos) e para a troca de boas práticas sobre a jornada do encarregado, seja no âmbito público ou privado.
Alguns marcos para o reconhecimento da função do encarregado, nestes sete anos, também foram estabelecidos. Houve, por exemplo, a definição do código de n.º 1421-35 do Código Brasileiro de Ocupações (CBO) do Ministério do Trabalho, que inclui a correspondência com a sigla inglesa DPO – Data Protection Officer.
Outro ponto importante foi a publicação do Regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais. Além das quatro atribuições já definidas na LGPD (incluindo a abertura para outras determinadas pelo controlador), o Regulamento trouxe mais 14, totalizando 18 atribuições que cabem, legalmente, ao DPO nas corporações.
Desafios e caminhos para a conformidade
O fato é que o papel estratégico do DPO já não é mais tão discutido nas empresas. Isso já está evidente e legalizado, como disposto no Art. 16, inciso XI, do Regulamento, que determina que cabe ao encarregado prestar assistência e orientação ao controlador e ao operador na “tomada de decisões estratégicas referentes ao tratamento de dados pessoais”.
É ele, o DPO, o elo que aplica a governança na cadeia de produção e da prestação de serviços, fazendo a ligação com os stakeholders em todo o ciclo de vida do dado pessoal.
Como falou o Diretor-Presidente da ANPD, Waldemar Gonçalves Ortunho Junior, no último Encontro dos Encarregados, eles são “os protagonistas no processo de atendimento ao direito fundamental da privacidade de cada cidadão brasileiro”. A organização que percebeu isso e colocou o seu DPO no cockpit já está na pole position.
Quer ler mais textos desse autor? Entenda porque a IA é para usar, não para temer, clicando aqui.
