Desde sua publicação, a conformidade com a Lei Geral de Proteção de Dados (LGPD) no Brasil tem sido tratada por muitas empresas como um mero checklist jurídico. O entendimento, que ainda persiste, é que basta subir no site uma política de privacidade genérica, colocar um banner de cookies incompleto e nomear um colaborador como Encarregado pela Proteção de Dados (DPO). Esse profissional, muitas vezes acumula funções em TI, Jurídico ou até no RH, recebendo o título, mas raramente o orçamento, a autonomia ou a estrutura para atuar. Para agravar o cenário, não é incomum encontrar DPOs que não conhecem bem a própria lei. É o que chamamos “DPO de Linkedin”.
A percepção é que a LGPD é apenas uma mera formalidade e que na prática, ela não irá interferir no dia a dia da organização, mas quem acompanha de perto as iniciativas da Agência Nacional de Proteção de Dados (ANPD), vem notando seu amadurecimento em relação ao processo fiscalizatório e agora com a recente publicação do Edital de Intimação nº 1, de 23 de março de 2026, a ANPD estabelece mais um marco em sua evolução. Ao intimar publicamente o DPO do América Futebol Clube SAF por falta de resposta e dificuldade de contato, a agência reguladora demonstra que a função do Encarregado deve ser plenamente executada pelo seu responsável.
A Realidade das Trincheiras de Privacidade
Para quem atua na linha de frente da Segurança da Informação e Privacidade, a notícia não é apenas um marco regulatório; é a validação de um alerta que soamos há anos. A segurança não se faz com papelada, e a privacidade não se sustenta com e-mails institucionais que caem em caixas de entrada não monitoradas. A intimação expõe uma ferida aberta na governança corporativa brasileira. Quando a ANPD precisa recorrer a um edital público porque não consegue contatar o responsável pela proteção de dados de uma organização, o problema não é apenas de comunicação. É um indicativo de uma estrutura de governança inexistente ou disfuncional. O DPO não pode ser um escudo humano para absorver o impacto regulatório, ele deve ser o motivador da implantação de uma cultura real de proteção de dados.
Para as organizações que ainda tratam a LGPD como um projeto concluído, vale o reforço de que a lei está avançando e que em algum momento ela será testada, seja por uma agência fiscalizadora como a ANPD, seja pelo próprio cliente.
A ausência de um canal de comunicação efetivo com a ANPD e com os titulares dos dados não é um detalhe operacional; é uma infração que agrava substancialmente a posição da organização em um processo sancionador. A incapacidade de responder a uma simples notificação revela a ausência de processos básicos de resposta a incidentes e gestão de crises.
O Novo Padrão de Exigência
A partir deste edital, a ANPD estabeleceu um precedente que redefine as expectativas sobre o papel do DPO. Não basta estar nomeado; é preciso estar operante. Para os profissionais da área, isso significa que a exigência por recursos, orçamento e autonomia deixou de ser um pedido e passou a ser uma necessidade de sobrevivência profissional.
As empresas precisam entender que a governança de dados é um organismo vivo. Ela exige manutenção contínua, testes de eficácia e, acima de tudo, profissionais capacitados e empoderados para tomar decisões difíceis. O DPO precisa ter assento na mesa onde as decisões estratégicas são tomadas, não apenas ser chamado quando o problema já escalou.
A primeira intimação pública de um DPO pela ANPD é um divisor de águas. Ela encerra a fase de adaptação e inaugura a era da responsabilização efetiva. Para os profissionais de Segurança da Informação e Privacidade, é o momento de usar este precedente para alavancar as mudanças estruturais necessárias dentro de suas organizações. O tempo do “DPO de Linkedin” passou. Agora, a exigência é por governança real, responsividade e, acima de tudo, respeito aos dados dos titulares que nos são confiados.
