*Por Ricardo Maravalhas
Desde quando a Lei Geral de Proteção de Dados (LGPD) entrou em vigor no Brasil, a figura do Encarregado de Dados, mais conhecido como DPO (Data Protection Officer), virou uma peça chave nas empresas. Mas, apesar dos avanços, ainda existe um abismo entre aquelas que tratam esse papel como simples canal de solicitações e as que o consideram um motor de governança, confiança e vantagem competitiva no mercado. Justamente as que caminham com consciência plena desse papel ganham destaque.
A legislação define o DPO como o profissional responsável por atuar como canal de comunicação entre titulares, controlador e a Autoridade Nacional de Proteção de Dados (ANPD), no entanto, os desafios vão muito além da formalidade. Em seu guia de atuação, a ANPD estabelece que esse profissional participe de processos internos, de avaliação de risco e de atendimento de incidentes, além do protocolo de pedidos de titulares. Vale ressaltar que não estamos falando apenas em responder e-mails, mas sim dar voz de maneira sistemática e operacional ao direito dos titulares de exercerem acesso, correção, eliminação, portabilidade, limitação ou questionamentos quanto aos seus dados.
Por isso, há uma diferença entre cumprir o mínimo e atuar de maneira estratégica, já no primeiro contato, com foco na qualidade do atendimento, antes mesmo de algo errado no grau de risco reputacional e normativo que a empresa representa. Em relação ao mercado, os dados revelam que ainda há muito o que precisa ser feito, segundo dados da pesquisa “Perfil do DPO no Brasil 2025”, realizada pela Opice Blum Advogados em parceria com a Rede Líderes, com 203 profissionais da área.
Para se ter uma ideia, apenas 27% dos encarregados atuam exclusivamente nesta função, enquanto em relação ao trabalho em equipe, 22% estão sozinhos e outros 69% possuem equipe com até cinco pessoas. Em empresas com mais de mil colaboradores, 74% destinam menos de R$600 mil por ano ao tema. Já as empresas globais do mesmo porte investem, em média, entre US$1 milhão e US$7 milhões anuais em proteção de dados.
Esses números revelam dois fatos relevantes: primeiro, a função está sempre presente ou indicada e o segundo aspecto é que a estrutura e apoio ainda estão muito aquém das melhores práticas globais. Nós temos uma das melhores leis de proteção de dados, reconhecida pela União Europeia, mas de nada adianta termos apenas na teoria, quando existe um descompasso na prática, algo que cria vulnerabilidades. Quando o atendimento aos titulares é lento, fragmentado ou mal documentado, os incidentes deixam de ser apenas operacionais e se transformam em problemas de confiança e regulação.
Um outro ponto que merece atenção é a resposta a incidentes: o DPO se torna um grande maestro ao estabelecer a comunicação entre segurança, jurídico, operações e o titular. Conforme relatórios recentes, inclusive de entidades como a International Association of Privacy Professionals (IAPP) e do Governo Federal, houve um crescimento expressivo de incidentes reportados, o que exige das empresas prontidão, clareza e processos definidos, antes mesmo dos problemas surgirem. Um DPO bem estruturado e apoiado pode ser o diferencial entre apagar um incêndio e uma falha que se alastra e vira escândalo, que pode ter consequências permanentes.
Por fim, acredito que o caminho para as empresas é enxergar o DPO como uma parte da estratégia do negócio, com um maior investimento em autonomia, estrutura, tecnologia e indicadores claros de desempenho. O nível hierárquico, equipe e recursos impactam diretamente na efetividade da função e quem ignorar esse fato poderá pagar um preço mais alto depois pela negligência e um atendimento aquém do ideal. Hoje a tecnologia permite a mensuração de indicadores como tempo médio de atendimento, percentuais de solicitações dentro do prazo e o número de incidentes. Ou seja, a maturidade dos processos deixa de ser um luxo e vira uma obrigação.
Portanto, o encarregado deixou de ser um mero requisito burocrático para ser um grande protagonista nas organizações. No Brasil, a combinação de uma legislação em amadurecimento, aumento da visibilidade de incidentes e os problemas estruturais em empresas cria um momento de inflexão entre aquelas que não apenas cumprirão a lei, mas ganharão a confiança do mercado e dos clientes. E você, está preparado para a mudança?
Ricardo Maravalhas é fundador e CEO da DPOnet, empresa com mais de 5.000 clientes, que nasceu com o propósito de democratizar, automatizar e simplificar a jornada de conformidade com a LGPD (Lei Geral de Proteção de Dados) por meio de uma plataforma SaaS completa de Gestão de Privacidade, Segurança e Governança de Dados, com serviço de DPO embarcado, atendimento de titulares, que utiliza o conceito de Business Process Outsourcing (BPO) e IA integrada (DPO Artificial Intelligence).
