Daniel Frederighi Advogados Associados
LGPDdireito digitalproteção de dadosAdvogado BH

DPO: o que é o Encarregado de Proteção de Dados e quando é obrigatório

Daniel Frederighi Advogados Associados
·18 De Maio De 2026·8 min de leitura

A figura do DPO (Data Protection Officer), denominado pela LGPD como Encarregado de Proteção de Dados, é um dos pilares da conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018). Embora a lei não torne a designação obrigatória para todas as empresas, a ausência do encarregado em organizações que tratam dados em larga escala ou dados sensíveis pode gerar responsabilidade perante a ANPD. Com a publicação da Resolução CD/ANPD nº 18/2024 e a abertura de fiscalizações formais contra empresas que descumpriram o art. 41 da LGPD, o tema ganhou urgência regulatória concreta. Entenda quem precisa nomear um DPO, o que ele faz e como estruturar esse papel.

Índice do artigo:

  1. O que é o DPO e o que diz a LGPD
  2. Quando o DPO é obrigatório: empresas que não podem dispensar
  3. Funções e atribuições do encarregado
  4. DPO interno vs. externo: como escolher
  5. Responsabilidade pessoal do DPO
  6. DPO e Inteligência Artificial: o novo desafio de 2025-2026
  7. Como implementar o papel do DPO na prática
  8. Perguntas Frequentes

O que é o DPO e o que diz a LGPD

A figura do DPO ( Data Protection Officer ), denominado pela LGPD como Encarregado de Proteção de Dados, é um dos pilares da conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018). Embora a lei não torne a designação obrigatória para todas as empresas, a ausência do encarregado em organizações que tratam dados em larga escala ou dados sensíveis pode gerar responsabilidade perante a ANPD.

O art. 41 da LGPD estabelece que o controlador — aquele que toma as decisões sobre o tratamento de dados — deverá indicar encarregado pelo tratamento de dados pessoais. A norma não especifica obrigatoriamente o cargo, mas a ANPD pode estabelecer hipóteses de dispensa.

A Resolução CD/ANPD nº 2/2022 dispensou agentes de tratamento de pequeno porte da designação obrigatória, embora recomende fortemente a nomeação. Para microempresas, MEIs e startups em fase inicial, há mais flexibilidade — mas isso não elimina as demais obrigações da LGPD.

Em julho de 2024, a ANPD publicou a Resolução CD/ANPD nº 18/2024, que aprovou o Regulamento específico sobre a atuação do encarregado pelo tratamento de dados pessoais. A norma detalha os requisitos para indicação formal do DPO, as qualificações profissionais exigidas, os deveres de autonomia e independência funcional, e os critérios para prevenção e identificação de conflitos de interesse. Trata-se do marco regulatório mais completo sobre a função desde a entrada em vigor da LGPD em 2020.

O DPO não precisa ser necessariamente um advogado ou especialista em TI. O que se exige é conhecimento em proteção de dados e privacidade, capacidade para orientar os colaboradores e interlocução eficiente com a ANPD e os titulares de dados.

Quando o DPO é obrigatório: empresas que não podem dispensar

A pergunta mais frequente nas consultas sobre LGPD é objetiva: minha empresa precisa ter um DPO? A resposta depende do porte do agente de tratamento e da natureza dos dados processados. A regra geral é clara — toda controladora deve indicar um encarregado — e as dispensas são exceções expressamente previstas.

São obrigadas a designar formalmente o encarregado, sem possibilidade de dispensa:

  • Empresas de médio e grande porte que tratam dados pessoais de clientes, colaboradores ou terceiros
  • Organizações que processam dados sensíveis: saúde, biometria, origem racial, convicção religiosa, opinião política ou dados de crianças e adolescentes
  • Empresas com tratamento de dados em larga escala, mesmo que formalmente enquadradas como pequeno porte
  • Órgãos públicos e entidades da administração pública em qualquer esfera
  • Empresas que realizam tratamento de alto risco, nos termos do art. 3º da Resolução CD/ANPD nº 2/2022

Em dezembro de 2024, a ANPD abriu processo de fiscalização contra vinte empresas de grande porte que não indicaram o contato do encarregado ou disponibilizaram canais de comunicação ineficazes. A ausência do DPO foi a causa direta das notificações — um sinal inequívoco de que a autoridade reguladora entrou na fase de enforcement ativo e sistemático.

Funções e atribuições do encarregado

O art. 41, §2º da LGPD lista as atribuições do encarregado: (i) aceitar reclamações e comunicações dos titulares; (ii) prestar esclarecimentos e adotar providências; (iii) receber comunicações da ANPD e adotar providências; (iv) orientar os funcionários sobre as práticas de proteção de dados; (v) executar as demais atribuições determinadas pelo controlador.

Na prática, o DPO é o ponto de contato entre a empresa, os titulares de dados e a ANPD. Ele monitora a conformidade com a LGPD, analisa novos projetos sob a ótica da privacidade ( Privacy by Design ), conduz treinamentos e coordena a resposta a incidentes.

A Resolução CD/ANPD nº 18/2024 ampliou o rol de atribuições do encarregado, acrescentando: apoio à criação e atualização dos registros das operações de tratamento (ROPA); participação na gestão de incidentes de segurança; auxílio na elaboração de relatórios de impacto à proteção de dados (DPIA); e contribuição para programas de governança em privacidade. O DPO também passou a ter dever expresso de manter sigilo sobre as informações acessadas no exercício de suas funções.

Empresas que processam dados em larga escala ou tratam categorias sensíveis devem ter um DPO ativo e com acesso direto à alta direção, pois a ANPD considera esse fator na avaliação de conformidade.

DPO interno vs. externo: como escolher

A LGPD permite que o encarregado seja pessoa física ou jurídica, interna ou externa à organização (art. 41, §3º). Empresas de médio e grande porte geralmente optam por DPO interno, pois o encarregado precisa de acesso contínuo às operações de tratamento de dados.

Para pequenas e médias empresas, o DPO externo (terceirizado) é uma opção custo-efetiva. Escritórios de advocacia especializados em privacidade e consultorias de compliance oferecem serviços de DPO-as-a-Service, nos quais o profissional ou equipe assume as funções mediante contrato.

Independentemente da escolha, o nome e os dados de contato do encarregado devem ser divulgados publicamente, preferencialmente no site da empresa e na política de privacidade. Essa transparência é requisito expresso do art. 41, §1º.

A Resolução CD/ANPD nº 18/2024 reforça que a indicação do DPO deve ser formalizada por ato escrito do controlador ou operador, com data e assinatura. A ausência dessa formalização pode ser considerada descumprimento do art. 41 da LGPD mesmo que o profissional exerça as funções na prática — o que significa que a informalidade, por si só, já configura risco regulatório.

Tem dúvidas sobre esse assunto?

FALE COM UM ADVOGADO ESPECIALISTA EM LGPD

FALAR COM ADVOGADO

Responsabilidade pessoal do DPO

Diferentemente do GDPR europeu, a LGPD não impõe responsabilidade pessoal direta ao DPO por infrações cometidas pela empresa. A responsabilidade legal recai sobre o controlador e o operador. O DPO pode responder pessoalmente apenas se agir com dolo ou grave negligência no exercício de suas funções.

Contudo, o DPO que omite informar a alta direção sobre riscos relevantes, ou que aprova projetos sabidamente não conformes, pode ser responsabilizado internamente pela empresa e, dependendo da conduta, por terceiros prejudicados.

Por isso, é essencial que o DPO documente suas recomendações, relatórios e comunicações internas. Essa documentação serve de prova de que o encarregado cumpriu suas obrigações, mesmo que a empresa tenha decidido de forma diversa.

DPO e Inteligência Artificial: o novo desafio de 2025-2026

A governança de dados no ecossistema de inteligência artificial tornou-se o principal desafio prático do DPO em 2025 e 2026. A ANPD incluiu sistemas de IA na agenda regulatória prioritária do biênio 2025-2026, com ênfase em aplicações que processam dados sensíveis ou afetam direitos fundamentais dos titulares.

A LGPD já prevê no art. 20 o direito do titular à revisão humana de decisões tomadas exclusivamente por sistemas automatizados — aprovação de crédito, precificação dinâmica, moderação de conteúdo e seleção de pessoas são exemplos diretos. O DPO é a figura responsável por garantir que esses fluxos estejam documentados, com base legal identificada e transparência assegurada na política de privacidade.

Para empresas que utilizam IA generativa ou sistemas de decisão automatizada, o DPO deve assegurar:

  1. Documentação de quais dados pessoais são usados no treinamento ou alimentação de modelos, com a finalidade de cada operação
  2. Identificação da base legal para cada operação de tratamento envolvendo IA (art. 7º ou art. 11 da LGPD, conforme o tipo de dado)
  3. Condução de DPIA para projetos que envolvam dados de alto risco ou decisões automatizadas com impacto relevante
  4. Garantia de transparência na política de privacidade sobre uso de dados em modelos de IA
  5. Canal claro para que o titular exerça o direito à revisão humana de decisões automatizadas

Como implementar o papel do DPO na prática

O primeiro passo é mapear as operações de tratamento de dados da organização (ROPA — Records of Processing Activities ). Sem entender quais dados são coletados, por quem, com qual finalidade e onde estão armazenados, o DPO não consegue exercer suas funções adequadamente.

Em seguida, o DPO deve revisar e atualizar a política de privacidade, garantindo que ela reflita fielmente as práticas reais de tratamento. Políticas genéricas copiadas da internet não atendem às exigências da LGPD e podem ser consideradas enganosas pela ANPD.

O DPO também deve estabelecer canais de atendimento a titulares (formulários no site, e-mail específico), treinar periodicamente os colaboradores e realizar avaliações de impacto à proteção de dados (DPIA) para novos projetos que envolvam dados de alto risco.

Checklist mínimo para implementação efetiva do DPO:

  1. Nomear o encarregado por ato formal escrito, com data e assinatura
  2. Publicar nome e canal de contato do DPO no site da empresa e na política de privacidade
  3. Realizar mapeamento de dados (ROPA) cobrindo todas as operações de tratamento
  4. Revisar e atualizar a política de privacidade com base no mapeamento real
  5. Criar canais de atendimento a titulares (formulário web e e-mail dedicado)
  6. Treinar colaboradores periodicamente sobre proteção de dados e LGPD
  7. Conduzir DPIA para novos projetos com dados sensíveis ou de alto risco
  8. Documentar todas as recomendações e pareceres do DPO com data e destinatário
  9. Revisar contratos com fornecedores que atuem como operadores de dados

Perguntas Frequentes

Toda empresa precisa ter um DPO? A LGPD prevê a indicação do encarregado pelo controlador, mas a ANPD dispensou agentes de pequeno porte (microempresas, MEI, startups). Para empresas médias e grandes, ou que tratam dados sensíveis, a designação é obrigatória — e a ANPD já iniciou fiscalizações formais por descumprimento.

O DPO precisa ser advogado? Não. A LGPD não exige formação específica. O importante é ter conhecimento em proteção de dados, privacidade e capacidade para orientar a organização e se comunicar com a ANPD e os titulares.

O DPO pode ser de fora da empresa? Sim. O art. 41, §3º da LGPD permite que o encarregado seja pessoa física ou jurídica, interna ou externa. O serviço de DPO externo (DPO-as-a-Service) é comum para PMEs e representa alternativa custo-efetiva ao DPO interno.

O DPO pode ser responsabilizado pessoalmente por vazamento de dados? A responsabilidade direta recai sobre o controlador e operador. O DPO só responde pessoalmente se agir com dolo ou grave negligência. Documentar suas recomendações é essencial para se proteger.

Onde devo publicar o nome e contato do DPO? No site da empresa (preferencialmente na política de privacidade) e em qualquer comunicação institucional sobre privacidade. O art. 41, §1º exige divulgação pública clara e objetiva do nome e contato do encarregado.

O que mudou com a Resolução CD/ANPD nº 18/2024? A Resolução CD/ANPD nº 18/2024 aprovada em julho de 2024 formalizou o Regulamento completo sobre atuação do DPO. Entre as principais novidades: indicação deve ser formalizada por ato escrito; o encarregado deve ter autonomia e acesso à alta administração; foram definidos critérios para conflito de interesse; e o sigilo profissional do DPO sobre informações acessadas passou a ser dever expresso.

Como o DPO deve atuar quando a empresa usa inteligência artificial? O DPO deve mapear quais dados pessoais alimentam os modelos de IA, identificar a base legal de cada operação, conduzir DPIA quando houver alto risco e garantir que os titulares tenham canal para exercer o direito à revisão humana de decisões automatizadas, conforme o art. 20 da LGPD. A ANPD incluiu IA como tema prioritário na Agenda Regulatória 2025-2026.

Sua empresa ainda não tem um DPO ou está em dúvida sobre a obrigatoriedade? A ausência do encarregado pode gerar sanções administrativas, multas e expor a organização a fiscalizações da ANPD. Não espere a notificação chegar.

Fale Agora com um Especialista

Precisa de orientação?

Fale com um advogado especialista

Consultar agora
WhatsApp São Paulo
SP
WhatsApp Belo Horizonte
MG