LGPD e a Nova Resolução nº 18/2024: Entenda as Regras para o Encarregado pelo Tratamento de Dados

A Lei Geral de Proteção de Dados (LGPD) transformou a forma como empresas e organizações tratam informações pessoais no Brasil. Em julho de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) aprovou a Resolução nº 18, que traz diretrizes claras e atualizadas sobre a atuação do Encarregado pelo Tratamento de Dados (DPO). Neste post, explicamos de forma simples e prática o que mudou e como sua empresa deve se adaptar.

O que é a LGPD?

A LGPD (Lei nº 13.709/2018) estabelece regras para o tratamento de dados pessoais de pessoas naturais, com o objetivo de proteger direitos fundamentais como privacidade, liberdade e o livre desenvolvimento da personalidade. Ela se aplica a qualquer operação que envolva coleta, armazenamento, uso ou compartilhamento de dados — inclusive por meios digitais.

Princípios fundamentais da LGPD:

• Finalidade: os dados devem ser usados apenas para propósitos legítimos e informados ao titular.
• Necessidade: só se coleta o mínimo essencial para atingir a finalidade.
• Transparência: o titular deve ter acesso claro às informações sobre o tratamento.
• Segurança: medidas técnicas e administrativas devem proteger os dados contra acessos não autorizados.
• Responsabilização: o agente de tratamento deve comprovar que cumpre a lei.

O que a Resolução nº 18/2024 da ANPD trouxe de novo?

A resolução regulamenta de forma detalhada a figura do Encarregado (DPO), definindo suas atribuições, forma de indicação, qualificações e regras para evitar conflitos de interesse. Veja os principais pontos:

1. Quem são os agentes de tratamento?

• Controlador: decide por que e como os dados serão tratados. É quem assume a responsabilidade legal perante a ANPD e os titulares.
• Operador: executa o tratamento dos dados em nome do controlador (ex.: agência de marketing, provedor de hospedagem).
• Encarregado (DPO): atua como ponte entre titulares, controlador e ANPD.

2. Atribuições do Encarregado

O DPO deve:

• Orientar funcionários e contratados sobre boas práticas de proteção de dados;
• Receber e tratar reclamações dos titulares;
• Comunicar-se com a ANPD e adotar providências em caso de incidentes;
• Auxiliar na elaboração de relatórios de impacto, registros de tratamento e políticas internas;
• Orientar sobre segurança, transferência internacional de dados e governança em privacidade.

3. Indicação formal e transparência

A indicação do encarregado deve ser feita por ato formal (documento escrito, datado e assinado) e não precisa ser enviada à ANPD, mas deve ser mantida em arquivo para eventual fiscalização.

Porém, o nome e os contatos do DPO devem ser divulgados publicamente, preferencialmente no site do controlador, em local de fácil acesso.

4. Qualificação e conflito de interesse

A boa notícia: não é obrigatória nenhuma certificação ou formação específica para ser DPO. A empresa define as qualificações conforme seu contexto, volume e risco das operações.

No entanto, o encarregado não pode acumular funções que gerem conflito de interesse, como:

• Cargo de chefia em áreas que decidem sobre o tratamento de dados (TI, RH, Finanças);
• Responsabilidade por estratégias comerciais que dependam diretamente do uso de dados pessoais.

O objetivo é garantir que o DPO atue com autonomia, imparcialidade e independência técnica.

5. Substituto e dispensa

É recomendável indicar um substituto do DPO para cobrir ausências. A indicação deve seguir os mesmos critérios do titular.

Empresas de pequeno porte (com receita bruta anual entre R$ 360 mil e R$ 4,8 milhões, ou startups com até R$ 16 milhões) podem ser dispensadas de nomear um DPO — mas devem manter um canal direto de comunicação com os titulares.

6. Responsabilidade do Encarregado

O DPO não responde legalmente por violações à LGPD. Sua função é consultiva e de supervisão. A responsabilidade civil e administrativa permanece com o controlador e o operador.

Conclusão

A Resolução nº 18/2024 traz mais clareza e segurança jurídica para empresas que precisam se adequar à LGPD. Ter um encarregado bem indicado, com autonomia e visibilidade, não é apenas uma obrigação legal — é um passo estratégico para construir confiança com clientes e evitar multas.

Se sua empresa ainda não tem um DPO ou precisa revisar sua governança de dados, agora é o momento ideal para agir com conformidade e responsabilidade.

Reescreva este material em formato HTML para criar um post para o blog.