A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, trouxe um novo paradigma para o tratamento de dados no Brasil, exigindo das empresas a adaptação a rigorosos padrões de segurança e privacidade. Nesse contexto, a figura do Encarregado de Dados, frequentemente chamado pelo termo em inglês Data Protection Officer (DPO), emergiu como peça fundamental para a conformidade legal. Este artigo abordará as funções, a importância e as responsabilidades do DPO, com foco na legislação e na jurisprudência atualizadas até 2026.
O Papel do DPO na LGPD
O artigo 5º, inciso VIII, da LGPD define o Encarregado de Dados como a "pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)". Essa definição, embora concisa, abrange um leque amplo de responsabilidades, que vão além da mera comunicação. O DPO deve atuar de forma proativa na gestão do programa de privacidade da organização, garantindo que o tratamento de dados esteja em conformidade com a lei.
Funções e Responsabilidades
A LGPD detalha as atividades do Encarregado de Dados no artigo 41, § 2º:
- Aceitar reclamações e comunicações dos titulares: O DPO deve estar acessível para receber solicitações de acesso, correção, anonimização, bloqueio ou eliminação de dados, prestando esclarecimentos e adotando providências.
- Receber comunicações da ANPD: O DPO é o ponto focal da organização perante a autoridade fiscalizadora, devendo colaborar com a ANPD em investigações, auditorias e outras demandas.
- Orientar os funcionários e os contratados: O DPO deve promover a cultura de proteção de dados na organização, por meio de treinamentos, campanhas de conscientização e elaboração de políticas internas.
- Executar as demais atribuições determinadas pelo controlador: O controlador pode atribuir outras funções ao DPO, desde que não configurem conflito de interesses com suas atividades principais.
Independência e Conflito de Interesses
A LGPD não exige que o DPO seja um funcionário exclusivo da organização, permitindo a contratação de serviços terceirizados (DPO as a Service). No entanto, é fundamental garantir a independência do Encarregado, evitando conflitos de interesses. O DPO não deve acumular funções que envolvam a tomada de decisões sobre o tratamento de dados, como cargos de direção em áreas de marketing, recursos humanos ou tecnologia da informação. Essa independência é crucial para que o DPO possa exercer suas funções de forma imparcial e objetiva, atuando como um verdadeiro "advogado da privacidade" dentro da organização.
O DPO na Jurisprudência
A jurisprudência brasileira tem consolidado o entendimento de que a nomeação do DPO é obrigatória para a maioria das organizações, independentemente do porte ou do setor de atuação. O Superior Tribunal de Justiça (STJ) tem reiterado que a ausência de um DPO nomeado configura violação à LGPD, sujeitando a organização a sanções administrativas, como multas e advertências.
A Nomeação do DPO como Fator de Mitigação de Riscos
A presença de um DPO qualificado e atuante pode ser um fator atenuante na aplicação de sanções pela ANPD. Em decisões recentes, os Tribunais de Justiça estaduais têm considerado a atuação proativa do DPO na gestão de incidentes de segurança, como vazamentos de dados, como um elemento que demonstra o compromisso da organização com a proteção de dados. A rápida resposta do DPO, a comunicação transparente com os titulares e a adoção de medidas corretivas podem minimizar o impacto do incidente e reduzir o risco de penalidades.
Dicas Práticas para Advogados
A figura do DPO representa uma oportunidade de atuação para advogados especializados em Direito Digital e Proteção de Dados. A seguir, algumas dicas para os profissionais que desejam atuar nessa área:
- Especialização: A atuação como DPO exige conhecimento aprofundado da LGPD, das regulamentações da ANPD e das melhores práticas de segurança da informação. A busca por certificações, como a CIPP/E (Certified Information Privacy Professional/Europe) e a CIPM (Certified Information Privacy Manager), pode ser um diferencial no mercado.
- Habilidades Multidisciplinares: O DPO deve possuir habilidades que vão além do conhecimento jurídico, como capacidade de comunicação, negociação, gestão de projetos e conhecimento em tecnologia da informação.
- Atuação Proativa: O DPO não deve ser apenas um "bombeiro", apagando incêndios. A atuação proativa, com a implementação de programas de privacidade, a realização de auditorias e a promoção da cultura de proteção de dados, é fundamental para o sucesso da organização na conformidade com a LGPD.
- Atualização Constante: O Direito Digital é uma área em constante evolução. O DPO deve estar atualizado sobre as novas regulamentações, decisões judiciais e tendências tecnológicas que impactam a proteção de dados.
- Networking: A participação em eventos, grupos de estudo e associações profissionais, como a IAPP (International Association of Privacy Professionals), é essencial para o desenvolvimento profissional e a troca de experiências com outros DPOs.
Conclusão
O DPO é uma figura central na conformidade com a LGPD, atuando como um elo entre a organização, os titulares de dados e a ANPD. Sua atuação proativa e independente é fundamental para garantir a proteção dos dados pessoais e mitigar os riscos de sanções. A área de proteção de dados oferece oportunidades promissoras para advogados especializados, que podem atuar como DPOs internos ou consultores externos. A busca por especialização, o desenvolvimento de habilidades multidisciplinares e a atualização constante são essenciais para o sucesso nessa área.
Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse advogando.ai para mais recursos.