Durante anos, muitos conselhos de administração trataram a Lei Geral de Proteção de Dados (LGPD) como uma mera “checklist” burocrática. Para cumprir a obrigatoriedade do Encarregado de Dados (DPO), algumas empresas optaram pelo caminho mais arriscado: a nomeação figurativa. Escolhe-se um nome interno, de dentro da empresa, elabora-se uma Política de Privacidade de “Ctrl C / Ctrl V”, e espera-se que o “problema” da Conformidade e obrigação legal esteja resolvido.
No entanto, o rigor da lei é implacável. O Artigo 41 da Lei 13.709/18 é taxativo: o controlador deve indicar um Encarregado pelo tratamento de dados pessoais. Não se trata de uma recomendação, mas de uma obrigação legal que sustenta toda a estrutura de prestação de contas de uma organização, na sua Conformidade com a LGPD.
Uma publicação recente (Abril de 2026) no Diário Oficial da União (DOU) serve como um choque de realidade para o empresariado brasileiro. A Agência Nacional de Proteção de Dados (ANPD) acaba de elevar o tom da fiscalização, utilizando editais de intimação pública e eletrônica, para alcançar responsáveis por entidades que, por algum motivo, não foram localizados pelas vias tradicionais.
O caso mais recente, envolvendo a intimação do Encarregado de um clube de futebol, inclusive com a denominação de SAF, é emblemático e, mostra que a autoridade está de olho na ponta final dessa engrenagem.
Assim sendo a ANPD passou a intimar diretamente o Encarregado de dados no contexto de processos administrativos sancionadores.
Impactos da Intimação ao DPO
A intimação eletrônica tem implicações diretas:
- Responsabilização: Sinaliza que os profissionais de privacidade podem ser responsabilizados individualmente no âmbito da (não) Governança.
- Agilidade: A contagem de prazos para defesa inicia-se com a consulta ao documento eletrônico ou 10 dias após o envio.
- Processo não para: A falta de resposta do DPO à intimação não interrompe o andamento do processo administrativo.
Deveres do DPO segundo a ANPD (Resolução CD/ANPD nº 18/2024)
A Resolução nº 18/2024 detalhou o papel do DPO, reforçando suas obrigações:
• Identidade e contato: Devem ser públicos e claros no site da empresa.
• Aceitar reclamações: Receber comunicações dos titulares de dados e da ANPD, adotando providências.
• Orientar: Assessorar a organização nas melhores práticas de privacidade.
• Atuação independente: O DPO deve atuar com independência, evitando conflitos de interesse.
• Substituto: A nova regulação exige a indicação formal de um substituto para casos de ausência.
Consequências de DPO “Fantasma”
A Empresas sem um encarregado formalmente designado ou com DPOs “de fachada” ficam em maior situação de vulnerabilidade regulatória, sendo alvos de fiscalização.
Responsabilidade Compartilhada: Controlador e Operador
É fundamental que o empresário compreenda que a lei define papéis claros. Seja a sua empresa a Controladora (quem toma as decisões sobre o tratamento) ou a Operadora (quem executa o tratamento em nome do controlador), ambas possuem obrigações legais severas.
O Encarregado de Dados é o responsável pela Conformidade da empresa no quesito Lei Geral de Proteção de Dados (LGPD), atua como o fiel da balança, servindo de canal de comunicação entre a empresa, os titulares dos dados e a própria ANPD. Quando esse elo é fraco ou inexistente, toda a cadeia de comando — do CEO ao operacional — fica juridicamente exposta.
O Risco Financeiro: O Cifrão da Imprudência
Para os líderes que ainda acreditam que a conformidade é um custo, os números são alarmantes. As sanções previstas na LGPD podem atingir o teto de R$ 50 milhões por infração. Para muitas empresas, um único incidente de segurança ou uma falha grave de governança pode significar o fim da operação financeira.
A Mancha Indelével na Reputação
Embora o impacto financeiro seja imediato, o dano reputacional é o que frequentemente se torna irreversível. Em um mercado pautado pela confiança, ter o nome da sua organização estampado no Diário Oficial em um processo de fiscalização é um “acontecimento negativo” que o marketing mais caro do mundo teria dificuldade em apagar.
O “DPO Fake” não possui autonomia, não entende os fluxos de dados e não saberá responder tecnicamente quando a ANPD exigir o cumprimento das determinações legais. No momento de uma crise, a ausência de uma adequação séria deixa a empresa “nua” diante da autoridade.
O Recado da Autoridade
A mensagem da Agência Nacional de Proteção de Dados é clara: a fase educativa terminou. Estamos na era da execução. A indicação do Encarregado, conforme exige o Artigo 41, deve vir acompanhada de uma estrutura de Governança real.
Quanto ao Empresário, a pergunta não é mais se a sua empresa será fiscalizada, mas quando será!!!
E quando esse dia chegar, você quer ter ao seu lado um profissional de conformidade real ou apenas um nome em um papel que o Diário Oficial acabará por expor?
A proteção de dados deixou de ser uma questão de TI para se tornar uma questão de sobrevivência. O tempo do improviso acabou.
Em face do atual amadurecimento regulatório, a chancela da ANPD sobre a indicação do Encarregado de Dados (DPO) transmudou-se de uma formalidade administrativa
para o alicerce da responsabilidade civil e administrativa das organizações. A reiteração do rigor na fiscalização — agora materializada por intimações públicas e responsabilização direta — sepulta a prática temerária do “DPO de fachada”, configurando-a como nítida negligência de governança que atrai sanções pecuniárias severas e danos reputacionais irreversíveis.
A atuação deste profissional, pautada pela autonomia técnica e ausência de conflito de interesses, é condição sine qua non para a higidez do programa de conformidade, servindo como o elo fiduciário entre o agente de tratamento, o titular e a autoridade. Sob a ótica do Direito Digital moderno, a ausência de uma estrutura de Governança real e auditável não apenas vulnera o fluxo de dados, mas expõe toda a alta cúpula diretiva a riscos de accountability pessoal e solidária.
Em última análise, a conformidade estrita à LGPD deixou de ser um diferencial competitivo para tornar-se um imperativo ético e jurídico de sobrevivência institucional.
