07/07/2026
No final de junho de 2026, a Agência Nacional de Proteção de Dados (ANPD) concluiu a primeira fase de dois processos de monitoramento focados no Encarregado pelo tratamento de dados pessoais (“DPO”). O resultado: dezenas de organizações foram encaminhadas para a fase de sanção por não terem atendido às solicitações da Agência.
A notícia em si não surpreende quem acompanha a evolução da regulação. Mas ela oferece um bom momento para uma reflexão mais ampla, não sobre o caso específico, mas sobre o que ele sinaliza para o mercado como um todo.
Desde a Resolução CD/ANPD nº 18/2024, a Agência vem estabelecendo regras objetivas sobre a indicação do Encarregado, a publicidade do contato e os canais de comunicação com os titulares. O que o monitoramento recém-concluído mostra é que a fase de orientação e ajuste voluntário está dando lugar a um ciclo de fiscalização mais efetivo.
Para as organizações, a mensagem reforça que a manutenção de um Encarregado formalmente indicado, com condições reais de atuar não é mais uma recomendação de boas práticas, mas um requisito cujo descumprimento pode gerar consequências concretas. Entretanto, mais do que evitar uma sanção, o momento atual oferece uma oportunidade para que a estrutura de privacidade e proteção de dados pessoais da organização seja avaliada de forma mais ampla.
Alguns pontos que merecem atenção:
- A nomeação formal do encarregado é o primeiro passo, mas não o único. É preciso que ele tenha autonomia, acesso à alta direção e recursos para desempenhar suas funções. Um Encarregado sem condições reais de atuar pode gerar uma falsa sensação de conformidade.
- A comunicação com os titulares também merece revisão. O canal de contato do Encarregado deve ser acessível, público e efetivo, não apenas um endereço de e-mail genérico sem resposta.
- A governança como um todo. A maturidade em privacidade não se mede apenas pela existência de um DPO, mas pela integração da proteção de dados pessoais nos processos, sistemas e decisões estratégicas da organização.
Sinais de que sua estrutura pode precisar de atenção
A experiência mostra que, em muitas organizações, a função de Encarregado acaba sendo acumulada por profissionais de outras áreas, como jurídico, compliance ou TI, sem que haja dedicação suficiente ou independência para o cargo.
Alguns indicadores de que esse modelo pode estar chegando ao limite:
- O profissional responsável pela privacidade não participa das decisões estratégicas que envolvem tratamento de dados pessoais;
- As respostas a solicitações de titulares são tratadas como tarefa secundária, sem processo definido;
- A organização não sabe exatamente quais dados pessoais trata, por quanto tempo os armazena ou com quem os compartilha;
- Incidentes de privacidade são gerenciados de forma reativa, sem um plano de resposta estruturado;
- Projetos que envolvem dados pessoais seguem adiante sem qualquer avaliação prévia de impacto.
Nenhum desses sinais, isoladamente, indica necessariamente um problema grave. Mas, quando vários deles estão presentes, pode ser o momento de reavaliar a estrutura atual.
Considerações finais
O monitoramento da ANPD é um lembrete de que a regulação está em pleno curso de implementação. Mais do que apenas reagir a esse movimento, este é um momento oportuno para revisar a estrutura de privacidade de forma proativa, não pelo receio de uma sanção, mas porque uma governança bem estruturada em proteção de dados pessoais se torna, cada vez mais, um diferencial competitivo e um fator de confiança na relação com clientes e parceiros.
Autoria de: Denise de Araujo Berzin Reupke