A responsabilidade do DPO, também conhecido como Data Protection Officer, tem ganhado uma importância crescente no mundo jurídico e empresarial brasileiro, especialmente desde a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD).
À medida que a cultura de privacidade e segurança da informação se firma no Brasil, torna-se cada vez mais urgente compreender o que faz um DPO e qual a real dimensão das suas atividades.
Afinal, não se trata de uma simples formalidade legal: as responsabilidades do DPO estão diretamente ligadas à credibilidade da empresa e à sua postura ética frente ao tratamento de dados pessoais.
Desde a sanção da LGPD, empresas de todos os portes, segmentos e estruturas jurídicas passaram a se questionar: quem precisa nomear um DPO? Essa obrigação se estende a pequenos negócios ou somente às grandes corporações?
Analogamente, surgem outras dúvidas igualmente relevantes: quais são, afinal, as responsabilidades do DPO? Qual é o limite da atuação do encarregado pelo tratamento de dados? E, sobretudo, quais são as obrigações da empresa com o DPO no cotidiano da gestão organizacional?
Considerando essas questões, este artigo tem como objetivo principal esclarecer, de forma acessível e embasada, as múltiplas facetas da função do DPO no Brasil.
Se você quer entender o que faz um DPO, quem precisa nomear um DPO, quais são as responsabilidades do DPO e quais são as obrigações da empresa com o DPO, continue a leitura.
A importância da proteção de dados no Brasil
Antes de aprofundarmos sobre a função do DPO, é fundamental compreender o cenário no qual a LGPD foi criada. O Brasil é um dos países com maior índice de crimes cibernéticos no mundo. Assim, surgiu a necessidade de uma lei robusta que protegesse os dados pessoais dos cidadãos.
Nessa esfera, a função do encarregado pelo tratamento de dados tornou-se fundamental para garantir proteção de dados adequada e o cumprimento das normas legais por parte dos agentes de tratamento.
A LGPD determina, entre outras obrigações, que toda organização indique um Data Protection Officer, seja este interno ou terceirizado.
Portanto, todas as pessoas jurídicas precisam de um DPO — inclusive estrangeiras — que realizem tratamento de dados pessoais no Brasil, com ou sem fins lucrativos.
Analogamente, pode-se afirmar que empresas que desejam manter a confiança do mercado precisam se adequar com urgência.
O que faz um DPO: o elo entre a empresa e a ANPD
Em termos práticos, um DPO atua como elo entre o agente de tratamento, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Segundo o artigo 41 da LGPD, entre as principais responsabilidades do DPO estão:
- Aceitar reclamações e comunicações dos titulares;
- Receber comunicações da ANPD e adotar providências;
- Orientar os funcionários e contratados da empresa sobre práticas relacionadas à proteção de dados;
- Executar demais atribuições determinadas pelo controlador ou previstas em regulamentações complementares.
Inegavelmente, o Data Protection Officer é peça-chave para a empresa cumprir sua missão legal e construir uma cultura de proteção de dados consistente e eficaz. Similarmente, sua atuação também fortalece a governança de dados e a imagem da empresa perante o público.
O DPO e os conflitos de interesse
Uma das inovações trazidas pela Resolução n.º 18 da ANPD foi a explicitação sobre conflitos de interesse. Embora a função do Data Protection Officer possa ser acumulada com outras atividades, é vedado o acúmulo com funções que envolvam a tomada de decisões sobre o tratamento de dados.
Isso porque uma das premissas da função do DPO é a imparcialidade e a independência técnica.
Por isso, quem precisa nomear um DPO deve garantir que a pessoa escolhida — seja ela empregada, contratada ou terceirizada — não ocupe cargos que concentrem o poder decisório, como gerentes, diretores ou o próprio CEO.
Caso contrário, pode haver conflito de interesse. Outrossim, a nomeação inadequada pode invalidar procedimentos de conformidade.
Obrigações da empresa com o DPO
Além de nomear um profissional qualificado, a legislação impõe diversas obrigações da empresa com o DPO.
Primeiramente, a organização deve fornecer os meios necessários para o desempenho das atribuições do Data Protection Officer, como infraestrutura, acesso a sistemas e documentos, apoio jurídico e tecnológico.
Ademais, é importante que os dados de contato do encarregado pelo tratamento de dados estejam claramente divulgados, preferencialmente no site da empresa. Isso garante transparência e facilita o exercício dos direitos dos titulares.
Analogamente, outras normas de países que já possuem legislações firmes sobre privacidade, como a GDPR na Europa, seguem esse mesmo princípio.
Conforme a LGPD, é dever da empresa manter uma comunicação contínua com o DPO, prestando todas as informações necessárias para o bom desempenho da função. Portanto, as obrigações da empresa com o DPO devem ser entendidas como compromisso ético e legal.
Responsabilidades do DPO: foco técnico e preventivo
Conquanto muitas pessoas ainda confundam o Data Protection Officer com um cargo executivo, sua atuação é predominantemente técnica e orientadora.
Isso significa que o encarregado pelo tratamento de dados não deve aprovar diretamente projetos ou operações de tratamento, mas sim recomendar e alertar sobre riscos envolvendo proteção de dados.
Entre as responsabilidades do DPO, destacam-se:
- Identificar riscos de privacidade;
- Participar de análises de impacto;
- Sugerir políticas de segurança da informação;
- Realizar treinamentos internos;
- Acompanhar notificações de incidentes de segurança;
- Elaborar relatórios periódicos sobre conformidade com a LGPD.
Sobretudo, é imprescindível destacar que, mesmo sendo um orientador, o Data Protection Officer pode ser responsabilizado tecnicamente em casos de má orientação.
Por isso, recomenda-se que empresas que terceirizam essa atividade incluam cláusulas específicas de responsabilidade no contrato com o prestador de serviço.
Quem precisa nomear um DPO: exceções legais
Embora a nomeação do Data Protection Officer seja, via de regra, obrigatória, existem exceções previstas para os chamados agentes de tratamento de pequeno porte.
A Resolução n.º 2 da ANPD, de janeiro de 2022, flexibilizou essa exigência para microempresas, empresas de pequeno porte, startups e outras entidades similares.
Contudo, essa flexibilização só é válida se essas organizações:
- Não realizarem tratamento de dados em larga escala;
- Não tratarem dados sensíveis ou de crianças, adolescentes e idosos;
- Não tomarem decisões automatizadas com impacto significativo;
- Não utilizarem tecnologias emergentes;
- Não fizerem vigilância de espaços públicos.
Portanto, mesmo pequenos negócios devem avaliar cuidadosamente se se enquadram nas hipóteses de dispensa.
Afinal, quem precisa nomear um DPO continua sendo a maioria das empresas que coletam, armazenam e processam dados pessoais regularmente. Semelhantemente, não cumprir essa obrigação pode resultar em sanções severas.
DPO as a Service: uma alternativa viável
Uma dúvida comum entre empresários é sobre a possibilidade de terceirizar essa função. Sim, é permitido contratar um DPO as a Service, ou seja, um prestador externo que atue como encarregado pelo tratamento de dados.
Essa prática vem crescendo, principalmente entre empresas que não possuem estrutura para manter um Data Protection Officer interno.
Contudo, ainda assim, as obrigações da empresa com o DPO permanecem. A empresa continua sendo responsável perante a ANPD e perante os titulares, mesmo que o DPO seja terceirizado.
Por isso, o contrato deve detalhar claramente as atribuições e responsabilidades do prestador.
Aliás, essa forma de contratação pode ser vantajosa por oferecer acesso a profissionais altamente especializados, com ampla vivência em proteção de dados e conhecimento técnico atualizado.
O que faz um DPO na prática
Na rotina empresarial, um DPO vai além de responder ofícios e atualizar políticas. Ele é quem treina colaboradores, audita processos, atualiza documentos, acompanha mudanças na legislação e atua em crises, como o vazamento de dados.
Ademais, o Data Protection Officer participa de reuniões com o jurídico, TI, compliance e RH, alinhando estratégias e mitigando riscos. Desse modo, suas ações impactam diretamente na governança de dados da empresa.
Enquanto monitora e orienta, o DPO também desenvolve indicadores de desempenho em proteção de dados, propõe planos de ação corretivos e acompanha as auditorias internas.
Analogamente, ele pode contribuir na elaboração de códigos de conduta e guias de boas práticas.
A valorização do cargo no Brasil
Nos últimos anos, diversas medidas reforçaram a importância do encarregado pelo tratamento de dados. Em março de 2022, a função foi incluída na Classificação Brasileira de Ocupações (CBO), atribuindo-lhe status oficial no mercado de trabalho.
Em fevereiro de 2023, entrou em vigor o regulamento da ANPD que aplica multas a empresas que não nomearem um DPO quando obrigadas.
Ignorar essa obrigação é uma postura arriscada. Afinal, além das penalidades legais, a ausência de um Data Protection Officer impacta negativamente a imagem da empresa e compromete sua conformidade com a LGPD.
Ademais, transmite a ideia de que a organização negligencia a proteção de dados dos seus clientes e colaboradores.
Conclusão
Com o avanço da cultura de proteção de dados no Brasil, torna-se cada vez mais evidente a necessidade de atenção à importância do Data Protection Officer. A nomeação adequada, a definição clara de atribuições, o fornecimento de condições de trabalho e o acompanhamento constante da legislação são ações indispensáveis.
Seja interno ou externo, o encarregado pelo tratamento de dados é uma figura estratégica, cuja atuação preventiva pode evitar multas, processos e danos à reputação da empresa.
Assim, compreender as responsabilidades do DPO e atender às obrigações da empresa com o DPO são passos fundamentais rumo à conformidade e à segurança jurídica.
Portanto, se você ainda não sabe quem precisa nomear um DPO ou está em dúvida sobre o que faz um DPO, é hora de agir. A adequação à LGPD não é só uma exigência legal, mas também uma demonstração de respeito aos direitos dos titulares e um diferencial competitivo no mercado.
Similarmente, tratar o DPO com seriedade é garantir uma governança de dados robusta, ética e segura.
Se você ficar com dúvidas, é só entrar em contato conosco!
