Em 14 de agosto de 2025, a Lei Geral de Proteção de Dados Pessoais (LGPD) completa sete anos de sua promulgação (Lei n.º 13.709/2018). Mais de 2.450 dias se passaram desde então. Apesar de a LGPD já estar em plena vigência e contar com regulamentações consolidadas, ainda é comum encontrar organizações que tratam a norma como uma “novidade”. Muitas seguem postergando sua implementação completa. E onde entra o Encarregado pelo Tratamento de Dados Pessoais nisso tudo? Em alguns casos, empresas vêm mascarando a conformidade por meio de práticas de privacy washing.
Por esse motivo, o recente processo de fiscalização da Autoridade Nacional de Proteção de Dados (ANPD), que envolveu 20 grandes empresas (incluindo TikTok, Uber, Telegram, Vivo e X/Twitter), mostra que o tempo para improvisos e discursos vagos terminou.
O que a ANPD encontrou: ausência de Encarregado pelo Tratamento de Dados Pessoais pelo Tratamento de Dados e canais fictícios
No processo n.º 00261.006718/2024-14, a ANPD registrou desconformidades graves. A ausência de nomeação formal de Encarregado pelo Tratamento de Dados Pessoais pelo Tratamento de Dados Pessoais foi um dos pontos críticos. Além disso, constatou-se que os canais de atendimento aos titulares estavam inoperantes, inexistentes ou mal estruturados. Em alguns casos, os formulários sequer estavam traduzidos para o português. Ou seja, nem mesmo um Encarregado pelo Tratamento de Dados Pessoais “de papel” foi nomeado.
Contudo, quando olhamos para o setor de telefonia, o contraste chama a atenção. Inúmeros reconhecimentos faciais são realizados diariamente em brasileiros de todos os estados para liberação de linhas telefônicas, sob o mote: “Isto é para a sua segurança”.
Essas falhas violam o artigo 41 da LGPD e a Resolução CD/ANPD n.º 18/2024, que estabelece o regulamento sobre a atuação do Encarregado pelo Tratamento de Dados Pessoais pelo Tratamento de Dados Pessoais. Além disso, dificultam o exercício de direitos fundamentais e limitam a capacidade fiscalizatória da ANPD.
“A ausência de um Encarregado pelo Tratamento de Dados Pessoais ou de um canal de comunicação eficaz impede que os titulares de dados exerçam seus direitos e compromete a transparência no tratamento de informações pessoais.”
— Fabrício Lopes, Coordenador-Geral de Fiscalização da ANPD
O papel estratégico do Encarregado pelo Tratamento de Dados Pessoais e o risco de uso simbólico
A atuação do Encarregado pelo Tratamento de Dados Pessoais pelo Tratamento de Dados Pessoais requer um alto grau de especialização. Esse profissional deve compreender profundamente a LGPD, os processos de tratamento de dados e as estruturas organizacionais. Ele também deve ter autonomia técnica para dialogar com os titulares, as lideranças da organização e a ANPD.
Ainda assim, infelizmente, algumas empresas adotam práticas problemáticas. Muitas utilizam o nome de um profissional apenas para cumprir formalidades. No entanto, deixam de oferecer as condições mínimas para que esse especialista atue de forma efetiva. Essa conduta esvazia o propósito da LGPD e configura um típico caso de privacy washing.
Com frequência, propostas sérias para atuação como Encarregado pelo Tratamento de Dados Pessoais são recusadas sob o argumento de custo elevado. Entretanto, o que algumas empresas realmente buscam é alguém para constar formalmente nos documentos, sem exercer funções de fato. Esse cenário inviabiliza a proteção efetiva dos dados pessoais.
Convém destacar que o artigo 10 da Resolução n.º 18 estabelece que os agentes de tratamento devem garantir ao Encarregado pelo Tratamento de Dados Pessoais acesso direto às lideranças e áreas estratégicas.
O Encarregado pelo Tratamento de Dados Pessoais não é um adorno institucional — é parte essencial da governança de dados
Mesmo em empresas que nomearam formalmente um Encarregado pelo Tratamento de Dados Pessoais pelo Tratamento de Dados Pessoais, observa-se que sua atuação é frequentemente ignorada. Em muitos casos, gestores tomam decisões sobre o tratamento de dados pessoais — inclusive dados sensíveis — sem consultar o Encarregado pelo Tratamento de Dados Pessoais.
Essa conduta representa risco jurídico significativo. Ela também compromete a governança de dados e rompe com os princípios estabelecidos pela LGPD. Permitir que pessoas sem formação técnica definam políticas de dados, enquanto um Encarregado pelo Tratamento de Dados Pessoais está formalmente nomeado, é incoerente e perigoso.
Portanto, é fundamental lembrar que essa função não é simbólica. Trata-se de uma posição estratégica, com grande responsabilidade técnica e legal. Cabe ao Encarregado pelo Tratamento de Dados Pessoais garantir que as decisões da organização estejam alinhadas com os direitos dos titulares, com os princípios da LGPD e com as boas práticas regulatórias.
Ignorar ou limitar a atuação do Encarregado pelo Tratamento de Dados Pessoais compromete a imagem institucional da empresa. Além disso, eleva o risco de sanções por parte de órgãos de controle e causa rupturas na confiança com parceiros e consumidores.
O Encarregado pelo Tratamento de Dados Pessoais deve possuir conhecimentos sólidos em privacidade, segurança da informação, compliance, gestão de riscos e governança corporativa. Além disso, é essencial que ele conheça legislações correlatas, como a Lei de Acesso à Informação (Lei n.º 12.527/2011), o Código de Defesa do Consumidor (CDC) e o Estatuto da Criança e do Adolescente (ECA).
LGPD: o fim da informalidade
O tempo da “boa vontade” institucional acabou. A ANPD demonstrou que seguirá fiscalizando, monitorando por ciclos de seis meses e reabrindo processos quando necessário. Essa atuação inclui a verificação de conflitos de interesse e de situações em que o Encarregado pelo Tratamento de Dados Pessoais não tem autonomia.
Diante disso, as organizações precisam abandonar soluções aparentes. É necessário construir programas de conformidade reais. Esses programas devem incluir revisão de fluxos, padronização de processos e a atuação efetiva do Encarregado pelo Tratamento de Dados Pessoais em todas as decisões relacionadas a dados pessoais.
Por que os C-Levels devem redobrar sua atenção
A proteção de dados não é apenas uma obrigação legal. Trata-se de um componente essencial da governança e da reputação corporativa. A negligência com essa pauta afeta diretamente:
- A possibilidade de fechar parcerias com empresas internacionais;
- A participação em licitações públicas e parcerias com o poder público;
- A confiança dos clientes, investidores e da imprensa;
- A capacidade de resposta diante de vazamentos e crises reputacionais.
Portanto, os executivos precisam tratar a LGPD com seriedade. A responsabilidade recai sobre a alta direção. Cada vez mais, ela será cobrada por órgãos de controle, stakeholders e pelo próprio mercado.
Conclusão: profissionalizar ou arcar com os riscos
A Resolução CD/ANPD n.º 18/2024 deixa claro: o Encarregado pelo Tratamento de Dados Pessoais deve ter voz, acesso direto às lideranças e autonomia técnica. Ele é responsável por orientar internamente, monitorar riscos, avaliar contratos e responder aos titulares e à ANPD. Sua atuação não pode ser simbólica.
A boa notícia é que ainda é possível fazer o certo. No entanto, a má notícia é que não há mais espaço para improvisos. Portanto, estruturar uma conformidade real e dar respaldo técnico ao Encarregado pelo Tratamento de Dados Pessoais é uma medida de sobrevivência institucional.