O encarregado é definido pelo inciso VIII do art. 5º da Lei Geral de Proteção de Dados da seguinte forma: “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
O encarregado (ou encarregado pelo tratamento de dados pessoais) é a pessoa indicada pelo operador ou pelo controlador para exercer a função principal de ser o ponto de contato desses dois agentes de tratamento com os titulares dos dados pessoais e com a Autoridade Nacional de Proteção de Dados (ANPD), além de outras funções previstas na LGPD.
Desde a entrada em vigor da LGPD, todas as pessoas que realizarem operações de tratamento de dados pessoais reguladas por ela, têm o dever de designar um encarregado (art. 41, § 3º, da LGPD). A ANPD, na regulamentação da LGPD, poderá ampliar a definição e as atribuições do encarregado, além de definir hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte do controlador ou o volume de operações de tratamento de dados pessoais realizadas por ele (art. 41, § 3º, da LGPD). Portanto, até que a ANPD defina quais são as situações de dispensa, a nomeação do encarregado é um dever do controlador.
É também conhecido como DPO (data protection officer), designação utilizada nos arts. 37/39 da versão em inglês do GDPR (Regulamento Geral sobre a Proteção de Dados) da União Europeia.
Ao contrário das regras sobre o encarregado e o operador, a LGPD não especifica quem pode ser encarregado. Diante da ausência de limitação, o encarregado pode ser uma pessoa natural ou jurídica, mais de uma pessoa natural ou jurídica (encarregados) e, até mesmo, um órgão colegiado interno (ou seja, um encarregado, formado por um grupo de pessoas).
O controlador e o operador podem designar mais de um encarregado, para atuar de forma conjunta ou até mesmo para desempenhar suas funções de forma fracionada, em setores diferentes da organização (ex: administrativo, jurídico, tecnologia da informação, entre outros).
As principais atribuições do encarregado são (art. 41, §§ 2º e 3º, da LGPD):
1) O recebimento de reclamações e comunicações dos titulares, com as consequentes prestação de esclarecimentos e adoção de providências: o encarregado não se limita a ser um intermediário na comunicação entre as partes (controlador de um lado e titular de outro), mas deve ir além, para oferecer os esclarecimentos que entender adequados (em complemento àqueles prestados pelo controlador ou pelo operador) e participar internamente da adoção das providências adequadas na eventual necessidade de correção de falhas, alteração de processos, modificação ou acréscimo de medidas preventivas, entre outras;
2) O recebimento de comunicações da ANPD e a adoção de providências: o encarregado também é o ponto de contato entre o controlador e a ANPD, razão pela qual tem a atribuição de receber as comunicações (ofícios, notificações, autuações, entre outras) da ANPD e, a partir delas, executar as medidas e as providências adequadas para o controlador ou o operador cumprir eventuais atos indicados pela autoridade nacional;
3) A orientação dos funcionários e dos contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais: o encarregado tem um dever de educação da proteção de dados, isto é, de modificar a cultura organizacional para que todas as pessoas envolvidas nas atividades do controlador exerçam as suas atribuições com respeito às normas sobre a privacidade e a proteção de dados pessoais. Assim, o encarregado é o supervisor da proteção da privacidade dos dados pessoais na instituição;
4) A execução das demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares à LGPD: o encarregado deve agir de acordo com as normas externas (Constituição, leis, decretos, medidas provisórias etc.) e internas (Código de Conduta, Política de Privacidade, Política de Acesso de Dados etc.) na proteção dos dados pessoais,
5) O cumprimento das normas complementares expedidas pela ANPD: entre as normas externas que norteiam a conduta do encarregado, a LGPD ressalta especificamente o dever de observância dos atos da ANPD que regulamentarem a LGPD, o que compreende inclusive o acréscimo das atribuições do encarregado. Além disso, a ANPD pode, inclusive, prever hipóteses de dispensa de indicação do encarregado, de acordo com a natureza e o porte da entidade, ou com o volume de operações de tratamento de dados realizados por ela (art. 41, § 3º, da LGPD).
No Direito Comparado, os arts. 37/39 do GDPR (Regulamento Geral sobre a Proteção de Dados) da União Europeia contêm as regras sobre a designação do encarregado (data protection officer) e suas atribuições. O encarregado sempre deve ser designado quando o tratamento de dados for realizado por uma autoridade ou órgão público (exceto os tribunais no desempenho das funções jurisdicionais), ou quando as atividades de tratamento realizadas pelo responsável pelo tratamento (controlador na LGPD) ou do subcontratante (operador na LGPD) necessitarem de um controle regular e sistemático dos titulares dos dados em grande escala, ou as atividades principais do responsável pelo tratamento ou do subcontratante consistirem em operações de tratamento em grande escala de categorias especiais de dados previstas no art. 9º ou de dados pessoais relacionados com condenações penais e infrações previstas no art. 10 (art. 37).