Transcorridos sete anos desde a promulgação da LGPD, o cenário da privacidade no Brasil evoluiu de uma corrida inicial pela adequação para um estágio de maturidade e governança contínua. Neste novo contexto, a figura do DPO - Encarregado pelo Tratamento de Dados Pessoais transcende a mera formalidade legal para se consolidar como um agente estratégico indispensável tanto no meio privado, quanto no setor público.
Com a aproximação do final de 2025, certas reflexões merecem ser feitas para compreender os complexos desafios práticos que estes profissionais enfrentam diariamente. Situados entre a rápida evolução tecnológica, notadamente da IA - inteligência artificial, e a consolidação de suas próprias responsabilidades perante uma autoridade nacional reguladora cada vez mais atuante, a atuação dos Encarregados vêm se tornando cada vez mais desafiadora.
Dentre os inúmeros desafios enfrentados, o principal e mais disruptivo que se impõe ao DPO em 2025 é, sem dúvida, a governança de dados no ecossistema de inteligência artificial, assunto inclusive debatido durante o 2º Encontro de Encarregados promovido pela ANPD no dia 07 de agosto de 2025, logo em sua primeira mesa de debates.
A LGPD, embora principiológica, não foi concebida para abarcar todas as especificidades dos modelos de IA generativa e de aprendizado de máquina, que operam com volumes industriais de dados para treinamento, cujos processos decisórios são, muitas vezes, “opacos”, para dizer o mínimo. Questões como a aplicação dos princípios da finalidade, necessidade e segurança em algoritmos de propósito amplo, a gestão do consentimento em cenários de reaproveitamento de dados para treinamento e a garantia de transparência e explicabilidade das decisões automatizadas colocam os DPOs diante de um vácuo normativo.
A inclusão do tema na Agenda Regulatória da ANPD para o biênio 2025-2026 sinaliza que a regulamentação é iminente, exigindo do Encarregado uma atuação proativa na interpretação de riscos e na construção de políticas de governança de IA que equilibrem inovação e conformidade. Soma-se a isso o PL 2.338/23, que busca regulamentar o uso de IA no Brasil, representando uma tentativa de normatizar uma das maiores revoluções tecnológicas dos últimos anos.
Paralelamente, 2025 marca a consolidação da autonomia e da responsabilidade do DPO, movimento impulsionado pela própria ANPD. A resolução CD/ANPD 18/24, ao reforçar a necessidade de independência e autonomia técnica do Encarregado, eleva o patamar de sua atuação para um papel fundamental no organograma de qualquer corporação.
Contudo, essa maior responsabilidade formal contrasta com uma realidade corporativa ainda desafiadora. Pesquisas recentes, como a PNPD25 - Pesquisa Nacional de Proteção de Dados 2025, realizada pela plataforma de governança e segurança de dados SimpleWay, indicam que a baixa prioridade da proteção de dados na estratégia da organização, o baixo engajamento da alta gestão e a falta de recursos financeiros, permanecem como as principais barreiras para a efetividade do programa de privacidade, fato que só pode ser alterado com o tempo e o aprimoramento da cultura organizacional.
O DPO se encontra, assim, em uma posição complexa, legalmente empoderado, mas, na prática, limitado em sua capacidade de execução, o que demanda uma habilidade de negociação e influência interna cada vez mais sofisticada. Agrava-se essa situação a falta de compreensão total do papel do Encarregado, frequentemente confundido com funções ligadas à tecnologia da informação. Ademais, persiste a ausência de entendimento de que o papel do Encarregado não é obstaculizar a assinatura de novos contratos ou parcerias, mas sim garantir a conformidade destes processos ao que determina a LGPD e as melhores práticas corporativas.
Essa conjuntura obriga a evolução do perfil do Encarregado para além do especialista técnico-jurídico. A função exige, cada vez mais, uma capacidade de gestão de pessoas e de fomento de uma cultura organizacional de privacidade, estreitamente vinculada aos princípios do compliance e do privacy by design em todas as camadas da organização. O DPO assume o papel de um verdadeiro agente de transformação cultural, cuja eficácia é medida não apenas pela conformidade de documentos, mas pela internalização da proteção de dados como um valor estratégico por todos os colaboradores.
Ainda é necessário expor que o DPO de 2025, que se prepara para entrar em 2026, deve navegar em um cenário de dupla via. De um lado, a ANPD avança em sua agenda regulatória e sancionatória, tornando as consequências da não conformidade mais tangíveis. De outro, o Poder Judiciário, embora cite a LGPD com maior frequência, ainda demonstra heterogeneidade na aplicação de seus conceitos, gerando insegurança jurídica nas atividades diárias. Compete ao Encarregado monitorar e interpretar as decisões de ambas as esferas, orientando a organização em um ambiente regulatório complexo e, por vezes, contraditório.
Merecem destaque também os desafios operacionais enfrentados cotidianamente, como a dificuldade de interação entre as diversas áreas organizacionais, a complexidade em criar mecanismos claros sobre o ciclo de vida dos dados, a implementação de políticas de mesa limpa e tela limpa, o mapeamento de dados em empresas que operam com grandes volumes de dados pessoais, a implementação de cláusulas contratuais alinhadas às melhores práticas de proteção e em conformidade com a resolução CD/ANPD 19/24, além da solicitação constante de parceiros comerciais para fornecimento de selos de adequação à LGPD que sequer são reconhecidos pela ANPD, dentre inúmeros outros desafios que apenas os Encarregados são capazes de compreender integralmente.
Em suma, o ano de 2025 solidifica o Encarregado de Dados como um profissional multifacetado, que atua como gestor de riscos, articulador político interno e externo, tecnólogo e agente de mudança cultural. Os desafios impostos pela inteligência artificial, pela consolidação de sua autonomia, pela necessidade de influência interna e pela complexidade do cenário de fiscalização exigem mais do que nunca uma visão estratégica do Encarregado. O sucesso do DPO e, por conseguinte, das organizações, dependerá da capacidade de transformar o peso da conformidade em uma vantagem competitiva, demonstrando que a proteção de dados, na era da IA, é um pilar fundamental da confiança e da sustentabilidade dos negócios.