O Encarregado de Dados — também chamado de DPO (Data Protection Officer) — é a figura obrigatória prevista no art. 41 da LGPD para as empresas que atuam como controladoras de dados pessoais. Suas principais atribuições são aceitar reclamações dos titulares, prestar esclarecimentos, receber comunicações da ANPD e orientar funcionários sobre boas práticas de proteção de dados. Formatos possíveis para PMEs O Encarregado pode ser uma pessoa física (colaborador interno ou freelancer) ou jurídica (empresa especializada em DPOaaS). Para PMEs, o modelo DPOaaS (R$ 3.000 a R$ 5.500/mês) costuma ser mais viável do que contratar um profissional dedicado. Independente do formato, o nome e os dados de contato do Encarregado devem ser publicados no site da empresa, geralmente na Política de Privacidade. Quando a obrigação pode ser flexibilizada A ANPD (Resolução nº 2/2022) flexibilizou a obrigação para microempresas e empresas de pequeno porte com tratamentos de baixo risco. Mas qualquer empresa que trate dados sensíveis ou de crianças mantém a obrigação plena — e toda empresa deve pelo menos designar internamente quem responde por privacidade de dados. O risco de não nomear um Encarregado Sem Encarregado nomeado, a empresa não tem canal formal de comunicação com titulares nem com a ANPD, o que agrava sanções em caso de incidente. Em fiscalizações, a ausência do Encarregado é um dos primeiros pontos verificados e pode transformar uma advertência em multa.