O erro mais comum: nomear o CTO ou o CFO como encarregado
Founder em série A, equipe enxuta, dezenas de prioridades simultâneas. Na hora de preencher o campo “encarregado de dados” na política de privacidade, a solução mais rápida parece óbvia: atribuir a função ao CTO, ao CFO ou ao próprio advogado interno. Parece resolver o problema. Não resolve.
A Resolução CD/ANPD nº 18, de 16 de julho de 2024, regulamentou de forma detalhada a atuação do encarregado pelo tratamento de dados pessoais, colmatando a lacuna deixada pelo art. 41 da LGPD (Lei 13.709/2018). Uma das exigências centrais é a vedação ao conflito de interesse, e ela tem impacto direto sobre as escolhas mais frequentes feitas por startups e fintechs.
O que a Resolução CD/ANPD 18/2024 efetivamente exigiu
Antes da Resolução 18/2024, o art. 41 da LGPD determinava que o controlador indicasse um encarregado, mas não disciplinava quem poderia exercer o cargo, como formalizar a nomeação, quando haveria conflito de interesse ou se pessoa jurídica poderia atuar nessa função.
A Resolução 18/2024 preencheu todas essas lacunas. Seus pontos centrais são:
- Formalização por ato escrito: a nomeação deve ser feita por documento escrito, datado e assinado, com descrição clara das atribuições. O documento deve estar disponível para apresentação à ANPD quando solicitado (art. 3º, §§ 1º e 2º do Regulamento).
- Encarregado substituto obrigatório: nas ausências, impedimentos e vacâncias, a função deve ser exercida por substituto formalmente designado (art. 4º do Regulamento).
- Pessoa jurídica é permitida: o encarregado pode ser pessoa natural interna ou externa à organização, ou pessoa jurídica, ampliando as opções para contratação de serviços especializados (art. 12 do Regulamento).
- Comunicação em português: o encarregado deve se comunicar com os titulares e com a ANPD de forma clara e precisa em língua portuguesa.
- Divulgação pública obrigatória: a identidade e as informações de contato do encarregado devem ser divulgadas em local de destaque e fácil acesso no site do controlador.
- Vedação ao conflito de interesse: o agente de tratamento deve assegurar que o encarregado não exerça atribuições que possam acarretar conflito de interesse (art. 20 do Regulamento).
O que configura conflito de interesse para o regulador
A Resolução define conflito de interesse como a situação que possa comprometer, influenciar ou afetar a atuação independente do encarregado. A lógica é a mesma do art. 38(6) do GDPR europeu: quem define finalidades e meios do tratamento de dados não pode ser, ao mesmo tempo, quem fiscaliza esse tratamento.
Na prática de fintechs, três perfis concentram o maior risco:
- CFO como encarregado: o diretor financeiro frequentemente decide sobre orçamentos de tecnologia, armazenamento de dados e contratação de fornecedores de infraestrutura. Ao equilibrar a redução de custos com as exigências de proteção de dados, há tensão estrutural entre os dois papéis.
- Gerente de produto ou de marketing: quem define as estratégias de coleta e uso de dados dos usuários não pode ser o responsável por supervisionar a conformidade dessas mesmas estratégias com a LGPD.
- Advogado interno com atuação contenciosa em privacidade: o profissional que representa a organização em processos envolvendo proteção de dados enfrenta tensão entre defender os interesses da empresa e garantir a conformidade com a LGPD.
O CTO em uma fintech de crédito é outro caso sensível. Se ele define a arquitetura de dados, os modelos de decisão automatizada e os critérios de compartilhamento com parceiros, a função de encarregado seria incompatível: ele estaria auditando suas próprias decisões.
O sinal de alerta da ANPD: fiscalização em dezembro de 2024
A regulação não ficou no papel. Em 13 de dezembro de 2024, a ANPD notificou 20 grandes empresas por não indicar um encarregado nem disponibilizar canal eficiente de atendimento aos titulares. Entre as notificadas estavam TikTok, Dell, Vivo, Latam, Serasa, Uber e X (Twitter).
Todas as empresas notificadas ajustaram sua conduta. Mas o recado para o mercado é claro: a ANPD verifica ativamente se o encarregado está publicado no site e se o canal de comunicação funciona. Não basta nomear internamente.
Antes disso, em novembro de 2024, o próprio Ministério da Saúde recebeu sanção de advertência por ausência de encarregado nomeado à época de um incidente de segurança, configurando violação ao art. 23, inciso III, da LGPD.
Framework: como uma fintech deve estruturar a nomeação
O quadro abaixo sintetiza as alternativas mais frequentes e seu enquadramento sob a Resolução 18/2024:
| Perfil | Conflito de interesse? | Recomendação |
|---|---|---|
| CTO (define arquitetura de dados) | Alto risco | Não recomendado |
| CFO (decide orçamento de TI e fornecedores) | Alto risco | Não recomendado |
| Gerente de produto / marketing | Alto risco | Não recomendado |
| Advogado interno (contencioso de privacidade) | Risco médio-alto | Avaliar caso a caso |
| Analista de compliance sem poder decisório sobre dados | Risco baixo | Viável com verificação |
| Pessoa jurídica especializada (DPO as a service) | Sem conflito estrutural | Solução mais segura para startups early-stage |
Para fintechs em estágio inicial, a contratação de pessoa jurídica especializada tende a ser a estrutura mais segura: elimina o conflito de interesse estrutural, garante a continuidade (inclusive o substituto exigido pelo art. 4º) e permite escalar a função conforme o volume de tratamento cresce.
Para fintechs com equipe de compliance estruturada, a nomeação interna é viável desde que o profissional designado não tenha poder de decisão sobre finalidades e meios do tratamento. A segregação funcional precisa ser documentada.
Erros frequentes que a Resolução 18/2024 tornou custosos
1. Publicar apenas o e-mail genérico de privacidade, sem identificar o encarregado. A Resolução exige identificação pública do encarregado, não apenas do canal. Publicar “[email protected]” sem nomear o responsável não atende ao requisito.
2. Não designar o substituto. A exigência do art. 4º do Regulamento é objetiva: ausência, impedimento ou vacância exigem substituto formalmente designado. Fintechs que nomeiam um único encarregado sem substituto estão em inconformidade.
3. Confundir dispensa de nomeação com dispensa de conformidade. A Resolução 18/2024 mantém a possibilidade de dispensa de nomeação formal para agentes de tratamento de pequeno porte, nos termos da Resolução CD/ANPD 2/2022. Mas a dispensa é da nomeação formal, não das obrigações de conformidade. A startup dispensada ainda precisa disponibilizar canal de comunicação com os titulares.
4. Tratar o DPO como função puramente formal. O encarregado tem atribuições operacionais concretas: orientar a organização sobre práticas de tratamento, receber reclamações de titulares, comunicar incidentes à ANPD e atuar como ponto de contato com o regulador. Nomear alguém sem capacidade real de exercer essas funções cria risco de responsabilização.
5. Ignorar a sobreposição de papéis em rodadas de captação. Em due diligences de Series A e B, investidores institucionais e gestoras de venture capital têm verificado a estrutura de governança de dados, incluindo a existência e qualificação do encarregado. A ausência ou nomeação inadequada pode travar negociações.
O que muda na prática para sua fintech
A Resolução CD/ANPD 18/2024 converteu o encarregado de uma figura retórica da LGPD em uma função com requisitos formais verificáveis. A ANPD demonstrou, em 2024, que fiscaliza ativamente o cumprimento dessas exigências.
Para fintechs e startups, o ponto de partida é uma análise honesta de quem, na estrutura atual, poderia exercer a função sem conflito de interesse. Isso geralmente implica revisitar a decisão tomada no momento da adequação inicial à LGPD, quando a tendência foi atribuir o cargo ao executivo mais disponível, não ao mais adequado.
O Log.Law atua em proteção de dados e privacidade, com foco em fintechs e startups. Para avaliar um cenário particular, o contato está disponível no site.
Perguntas frequentes
Nossa fintech se enquadra como agente de tratamento de pequeno porte. Somos obrigados a ter DPO?
A Resolução CD/ANPD 18/2024, combinada com a Resolução CD/ANPD 2/2022, mantém a dispensa de nomeação formal do encarregado para agentes de tratamento de pequeno porte, categoria que pode incluir microempresas, empresas de pequeno porte e startups enquadradas nos critérios definidos. A dispensa, porém, não afasta a obrigação de disponibilizar um canal de comunicação com os titulares de dados. Além disso, fintechs que tratam dados sensíveis em escala (dados de saúde financeira, pontuação de crédito, biometria) devem avaliar se a dispensa é estrategicamente adequada, dado o perfil de risco das operações.
Podemos contratar um escritório de advocacia como encarregado?
Sim. O art. 12 do Regulamento aprovado pela Resolução 18/2024 permite expressamente que o encarregado seja pessoa jurídica. A contratação de pessoa jurídica especializada é, inclusive, a estrutura mais comum para startups que ainda não têm equipe de compliance estruturada, pois elimina o conflito de interesse estrutural e já contempla o substituto exigido pelo art. 4º. O contrato de prestação de serviços deve especificar claramente as atribuições do encarregado e a organização deve garantir que o profissional indicado pela pessoa jurídica tenha autonomia funcional.
O que acontece se a ANPD identificar conflito de interesse na nomeação do encarregado?
A Resolução é explícita ao atribuir ao agente de tratamento a responsabilidade de assegurar que o encarregado não exerça atribuições conflitantes. O descumprimento pode configurar infração à LGPD sujeita às sanções do art. 52, que incluem advertência, multa simples de até 2% do faturamento no último exercício, limitada a R$ 50 milhões por infração, e publicização da infração. A experiência europeia sob o GDPR, citada como referência pela própria Resolução 18/2024 na exposição de motivos, registra multas significativas a empresas que nomearam DPOs com funções incompatíveis com a independência exigida.
Nosso encarregado atual acumula a função com outras responsabilidades. Precisamos fazer algo?
A Resolução 18/2024 não proíbe a acumulação de funções em si, mas exige que o agente de tratamento verifique e documente que não existe conflito de interesse. O ponto crítico é a natureza das funções acumuladas: se o encarregado toma ou influencia decisões sobre finalidades e meios do tratamento de dados, há conflito configurado. A recomendação é realizar uma análise formal das atribuições do encarregado atual, documentar o resultado e, se identificado risco de conflito, redesenhar a estrutura antes de ser alvo de fiscalização.
Próximo passo
Tem dúvidas sobre o seu caso específico?
Fale diretamente com Renato Lellis Oliveira, Sócio-fundador do Log.Law