A Lei de Proteção de Dados Pessoais, no artigo 41 e parágrafos, introduziu a

figura do Encarregado do Tratamento Dados Pessoais que é o responsável por fazer

com que a organização use dados pessoais de acordo com as leis e regulamentos,
ou seja, aconselhar o controlador ou processador e os demais funcionários das
obrigações legais de proteção de dados, inclusive com treinamento.
Segundo o artigo 5° da LPDP, o DPO (Data Protection Officer) é indicado pelo
controlador e operador, como o canal de comunicação entre o controlador, os titulares
dos dados e a Autoridade Nacional de Proteção de Dados, devendo ser nominado
publicamente. O parágrafo 3° possibilita s.m.j. que esta função seja melhor
regulamentada pela Autoridade Nacional.
Vale apontar que, o § 4º do art. 41 foi que vetado, dizia o seguinte “Com
relação ao encarregado, o qual deverá ser detentor de conhecimento jurídico-
regulatório e ser apto a prestar serviços especializados em proteção de dados, ...”. A
justificativa para o veto foi pífia: “contraria o interesse público, na medida em que se
constitui em uma exigência com rigor excessivo que se reflete na interferência
desnecessária por parte do Estado na discricionariedade para a seleção dos quadros
do setor produtivo, bem como ofende direito fundamental, previsto no art. 5º, XIII da
Constituição da República, por restringir o livre exercício profissional a ponto de atingir
seu núcleo essencial.”.
Diz-se pífia, pois a própria lei determina que o DPO tenha conhecimento na
legislação sobre proteção de dados para que possa orientar e até educar os
envolvidos na pratica correta. É preciso ainda prévio conhecimento do processo civil
e até criminal para algumas situações.
Tratando-se de legislação nova, que demanda adaptação dos sujeitos aos
comandos, o Encarregado tem como desafio maior a conscientização da organização
desde a alta diretoria até os funcionários e dos colaboradores sobre a importância da
privacidade e proteção de dados pessoais. Agir em conformidade com a lei de
proteção de dados é uma responsabilidade corporativa, a princípio o DPO não é
responsável pela não implantação de suas diretrizes, visto que cabe ao controlador
essa obrigação. Certo é que muitas empresas não estão dando a devida importância
a proteção de dados, levando o Encarregado a ter uma equipe de auxiliares reduzida.
Outro desafio de grande importância é conseguir o engajamento das demais
áreas que dão suporte tecnológico, unindo-se no fortalecimento das diretrizes e das
práticas protecionistas dos dados pessoais.