Nos últimos anos, a Lei Geral de Proteção de Dados Pessoais (LGPD) consolidou-se como um dos principais marcos regulatórios da governança corporativa e da administração pública brasileira. Se, em um primeiro momento, muitas organizações compreenderam a proteção de dados como uma obrigação futura ou meramente documental, a realidade atual demonstra um cenário completamente diferente.
A Autoridade Nacional de Proteção de Dados (ANPD) vem intensificando suas atividades de monitoramento e fiscalização, especialmente quanto ao cumprimento de obrigações consideradas essenciais pela legislação. Entre elas, destaca-se a indicação formal do Encarregado pelo Tratamento de Dados Pessoais, conhecido internacionalmente como Data Protection Officer (DPO).
A ausência dessa formalização passou a representar um importante fator de risco regulatório, tanto para empresas privadas quanto para órgãos públicos.
O que determina a LGPD
O artigo 41 da Lei nº 13.709/2018 estabelece que o controlador deverá indicar um encarregado pelo tratamento de dados pessoais.
A própria redação legal demonstra que a indicação do encarregado constitui a regra geral do sistema brasileiro de proteção de dados. Embora a regulamentação da ANPD tenha flexibilizado determinadas exigências para agentes de pequeno porte, a dispensa não é automática e depende das características do tratamento realizado e dos riscos envolvidos.
Na prática, empresas, entidades privadas, associações, fundações, órgãos públicos, autarquias e empresas estatais podem estar sujeitas à obrigação de designação.
Mais do que uma exigência formal, a presença do encarregado tornou-se um dos pilares da governança em privacidade. A ANPD passou a fiscalizar a indicação do encarregado
As recentes ações da Autoridade Nacional de Proteção de Dados demonstram uma mudança significativa na atuação regulatória.
A ANPD instaurou procedimentos de monitoramento para verificar se organizações públicas e privadas:
• possuem encarregado formalmente designado;
• disponibilizam canais de comunicação aos titulares;
• permitem o exercício dos direitos previstos na LGPD;
• atendem às solicitações da autoridade.
Entre os agentes fiscalizados encontram-se órgãos públicos, empresas privadas e organizações que tratam grande volume de dados pessoais.
Parte das apurações teve origem em auditorias realizadas pelos órgãos de controle, inclusive pelo Tribunal de Contas da União, além de denúncias de titulares, petições encaminhadas à ANPD e ausência de resposta às comunicações oficiais da autoridade.
Os resultados demonstram que diversas organizações precisaram promover adequações após a atuação da ANPD, enquanto outras permaneceram em situação de desconformidade.
O encarregado não é apenas um nome na política de privacidade
Um dos equívocos mais comuns encontrados nas organizações é acreditar que basta inserir um endereço eletrônico ou mencionar um profissional na política de privacidade.
A regulamentação editada pela ANPD exige muito mais do que isso.
A indicação do encarregado deve ser formalizada internamente mediante ato administrativo, portaria, resolução, termo de designação ou instrumento equivalente.
Além disso, a organização deve:
• manter documentação comprobatória;
• divulgar as informações ao público;
• disponibilizar canal de contato;
• garantir condições adequadas para o exercício das atribuições.
Em eventual fiscalização, a ANPD pode exigir a apresentação dessa documentação.
A inexistência do ato formal ou a ausência de divulgação adequada pode caracterizar situação de desconformidade.
O papel estratégico do encarregado
O encarregado atua como elo entre três importantes atores:
• a organização;
• os titulares dos dados;
• a Autoridade Nacional de Proteção de Dados.
Sua atuação não se limita ao recebimento de e-mails ou ao atendimento de solicitações.
Entre suas atribuições estão:
• receber reclamações e solicitações dos titulares;
• prestar esclarecimentos sobre o tratamento de dados;
• atuar perante a ANPD;
• orientar colaboradores e gestores;
• apoiar programas de conformidade;
• participar da gestão de riscos;
• acompanhar incidentes de segurança;
• auxiliar na elaboração de relatórios de impacto;
• promover treinamentos e conscientização;
• apoiar a governança institucional.
Em organizações mais maduras, o encarregado participa diretamente dos processos de tomada de decisão relacionados à privacidade e proteção de dados.
Órgãos públicos também estão sujeitos à fiscalização
Existe ainda a equivocada percepção de que a LGPD se aplica de forma menos rigorosa à administração pública.
A realidade demonstra justamente o contrário.
A ANPD vem monitorando órgãos públicos das esferas federal, estadual e municipal, especialmente aqueles que tratam grande volume de dados pessoais.
Tribunais de contas, órgãos de controle interno e entidades de fiscalização também passaram a incluir a proteção de dados em auditorias, inspeções e avaliações de governança.
A inexistência do encarregado, a ausência de canais de atendimento e a falta de documentação comprobatória podem gerar recomendações, apontamentos, medidas corretivas e procedimentos sancionatórios.
Os números da fiscalização demonstram que a adequação deixou de ser voluntária
Os dados divulgados pela própria Autoridade Nacional de Proteção de Dados revelam uma mudança importante na atuação regulatória brasileira. A fiscalização da LGPD deixou de possuir caráter predominantemente orientativo e passou a envolver monitoramentos, processos fiscalizatórios, processos sancionadores e acompanhamento contínuo dos agentes de tratamento.
Em um dos mais recentes ciclos de monitoramento, a ANPD avaliou 56 agentes de tratamento, sendo 39 órgãos públicos e 17 empresas privadas, justamente para verificar a existência de encarregados formalmente indicados e de canais de comunicação destinados aos titulares de dados. Dos agentes fiscalizados, apenas 27 atenderam integralmente às exigências da autoridade, enquanto oito ainda apresentaram pendências e 21 sequer responderam às solicitações da ANPD, podendo ser submetidos a medidas sancionatórias.
As investigações tiveram origem em auditorias realizadas por órgãos de controle, denúncias, petições de titulares, comunicações não respondidas e monitoramentos realizados pela própria autoridade. O Tribunal de Contas da União, inclusive, encaminhou à ANPD informações relacionadas a entidades públicas que não possuíam encarregados formalmente designados.
Além do monitoramento da indicação do encarregado, a ANPD já instaurou procedimentos de fiscalização envolvendo empresas de grande porte dos setores de tecnologia, serviços digitais, transporte e telecomunicações em razão da ausência de encarregado e da inexistência de canais adequados para atendimento aos titulares. Em diversos casos, a atuação da autoridade resultou na regularização das obrigações legais pelas organizações fiscalizadas.
No âmbito sancionador, a autoridade já possui processos administrativos concluídos e decisões publicadas envolvendo órgãos públicos e entidades privadas, demonstrando que a aplicação das penalidades previstas na LGPD tornou-se efetivamente operacional. Atualmente, a ANPD mantém transparência ativa sobre processos de fiscalização, processos sancionadores e decisões administrativas, consolidando um ambiente regulatório cada vez mais rigoroso.
Esse cenário evidencia que a ausência de governança em proteção de dados, a inexistência do encarregado e a falta de mecanismos de atendimento aos titulares deixaram de representar apenas falhas de conformidade e passaram a constituir fatores concretos de risco regulatório, institucional e reputacional para empresas e órgãos públicos.
Os riscos da ausência de conformidade
A Lei Geral de Proteção de Dados prevê diversas medidas administrativas que podem ser aplicadas pela ANPD.
Entre elas destacam-se:
• advertências;
• determinação de medidas corretivas;
• publicização da infração;
• bloqueio de dados pessoais;
• eliminação de dados;
• suspensão das atividades de tratamento;
• restrições operacionais;
• multas administrativas.
Além das sanções previstas em lei, existem riscos reputacionais, contratuais, operacionais e institucionais.
Cada vez mais, parceiros comerciais, fornecedores, clientes e órgãos públicos exigem demonstrações concretas de conformidade.
A existência de um encarregado formalmente designado passou a representar um importante indicativo de maturidade em governança.
O que as organizações devem fazer
A simples nomeação do encarregado não encerra o processo de adequação.
Uma estrutura mínima de conformidade normalmente envolve:
• ato formal de designação;
• divulgação pública do encarregado;
• canal de atendimento aos titulares;
• política de privacidade;
• inventário de dados pessoais;
• revisão contratual;
• gestão de riscos;
• relatórios de impacto;
• procedimentos para incidentes;
• treinamentos periódicos;
• governança em privacidade.
A construção dessa estrutura permite que a organização demonstre efetivamente sua responsabilidade perante a legislação.
A importância da atuação especializada
O exercício da função de encarregado exige conhecimentos multidisciplinares que envolvem aspectos jurídicos, tecnológicos, regulatórios e de governança.
A atuação exige compreensão da LGPD, das regulamentações da ANPD, da segurança da informação, da gestão de riscos, da governança corporativa e dos procedimentos de fiscalização.
Por essa razão, muitas organizações optam pela contratação de profissionais ou escritórios especializados para exercer a função de Encarregado de Dados ou prestar apoio técnico às equipes internas.
Considerações finais
A proteção de dados deixou de ser uma pauta exclusivamente tecnológica e passou a integrar a agenda estratégica das organizações. As recentes ações da ANPD demonstram que a fiscalização já é uma realidade e que a indicação formal do encarregado tornou-se um dos principais pontos de atenção.
Empresas e órgãos públicos que ainda não implementaram suas estruturas de governança em privacidade encontram-se expostos a riscos regulatórios, operacionais e reputacionais.
Mais do que atender uma exigência legal, investir em proteção de dados representa fortalecer a governança, aumentar a confiança institucional e preparar a organização para um ambiente regulatório cada vez mais exigente.
O cenário atual demonstra que a conformidade em proteção de dados não deve ser tratada como um projeto temporário, mas como um compromisso permanente com a governança, a transparência e a responsabilidade institucional.
Conclui-se que, diante desse cenário, a questão que se impõe não é mais se a sua empresa ou órgão público precisa indicar um Encarregado de Dados, mas se a organização está efetivamente preparada para demonstrar essa conformidade perante a ANPD, os órgãos de controle, os titulares dos dados e a própria sociedade.
Se a fiscalização já alcança empresas privadas, autarquias e entidades públicas de todas as esferas, se a ausência de nomeação passou a integrar os programas de monitoramento da autoridade e se a governança em proteção de dados tornou-se um requisito institucional, resta uma reflexão inevitável: sua organização possui um encarregado formalmente designado, canais de atendimento efetivos, processos estruturados e condições de responder a uma eventual fiscalização?
O Encarregado de Dados (DPO) não é uma opção justamente porque a proteção de dados deixou de ser uma tendência e a pergunta que permanece é: sua organização está preparada para esse novo cenário regulatório ou continuará tratando a conformidade como uma obrigação futura enquanto a fiscalização já acontece no presente?
(*) EDUARDO MANZEPPI é Advogado Consultor de Privacidade e Proteção de Dados Formação em Data Protection Officer (DPO) pela FGV
Os artigos assinados são de responsabilidade dos autores e não refletem necessariamente a opinião do site de notícias www.hnt.com.br
Clique aqui e faça parte no nosso grupo para receber as últimas do HiperNoticias.
Clique aqui e faça parte do nosso grupo no Telegram.
Siga-nos no TWITTER ; INSTAGRAM e FACEBOOK e acompanhe as notícias em primeira mão.
