Com o avanço acelerado da Inteligência Artificial (IA) nas empresas brasileiras, cresce também a responsabilidade do Encarregado de Dados (DPO) na supervisão ética e legal do tratamento de dados pessoais. A atuação do DPO não é apenas uma exigência formal da Lei Geral de Proteção de Dados (LGPD), mas uma função estratégica que exige conhecimento técnico, jurídico e ético profundo — especialmente diante dos riscos que a IA representa à privacidade e aos direitos fundamentais.
O DPO frente à IA: muito além da conformidade
A LGPD (Lei nº 13.709/2018) estabelece que o DPO é o responsável por atuar como canal de comunicação entre o controlador de dados, os titulares e a Autoridade Nacional de Proteção de Dados (ANPD). Quando o tratamento envolve sistemas de IA, essa responsabilidade se intensifica:
- O DPO deve garantir que algoritmos respeitem os princípios da LGPD, como finalidade, necessidade, transparência e segurança.
- É sua função conduzir Avaliações de Impacto à Proteção de Dados (RIPD) em projetos de IA, especialmente aqueles que envolvem decisões automatizadas.
- Deve atuar na prevenção de riscos como discriminação algorítmica, vazamentos de dados e uso indevido de informações sensíveis.
A Inteligência Artificial representa uma revolução tecnológica, mas também um desafio ético e jurídico. O DPO é o guardião da integridade nesse processo.
A ANPD tem reforçado seu papel como autoridade reguladora da IA no Brasil. Em notas técnicas e análises públicas, a entidade defende que sistemas de IA devem ser supervisionados por humanos, transparentes em suas decisões e submetidos a regras claras de governança.
O Projeto de Lei 2338/2023, atualmente em tramitação, propõe uma regulação específica para IA, classificando os sistemas por níveis de risco e exigindo supervisão reforçada nos casos de alto impacto — o que amplia ainda mais a responsabilidade do DPO.
ISO/IEC 42001:2023 — A nova norma internacional para IA
A publicação da ISO/IEC 42001:2023 marca um novo capítulo na governança da IA. Essa norma internacional, adotada no Brasil como ABNT NBR ISO/IEC 42001:2024, estabelece requisitos para a criação e manutenção de um Sistema de Gestão da Inteligência Artificial (SGIA). Ela exige que as organizações:
- Implementem políticas claras de governança algorítmica.
- Avaliem e mitiguem riscos específicos da IA.
- Garanta transparência e supervisão humana em decisões automatizadas.
- Monitorem continuamente o desempenho e os impactos dos sistemas de IA.
Essa norma é certificável e pode ser integrada a outras normas como ISO 9001 (qualidade) e ISO/IEC 27001 (segurança da informação), reforçando a necessidade de profissionais capacitados — especialmente o DPO — para garantir conformidade e responsabilidade.
Outras normas complementares incluem:
- ISO/IEC 23894:2023 – Gestão de riscos em IA
- ISO/IEC 22989:2023 – Conceitos e terminologia de IA
- ISO/IEC 38507:2023 – Governança de TI aplicada à IA
Essas normas oferecem uma estrutura robusta para que o DPO atue com segurança e precisão na supervisão de sistemas inteligentes.
Comparativo internacional: como outros países tratam o tema
A atuação do DPO frente à IA não é exclusividade brasileira. Países que já avançaram na regulação da IA reforçam a necessidade de profissionais altamente capacitados:
- União Europeia: O GDPR exige que o DPO tenha conhecimento especializado em legislação e práticas de proteção de dados. O AI Act, aprovado em 2024, impõe obrigações específicas para sistemas de alto risco, como auditorias, documentação técnica e supervisão humana — tudo sob responsabilidade do DPO.
- Estados Unidos: O NIST AI Risk Management Framework recomenda que empresas tenham profissionais capacitados para avaliar riscos éticos e técnicos da IA, mesmo sem uma lei federal única.
- Canadá: A CPPA propõe que empresas nomeiem responsáveis pela proteção de dados com conhecimento técnico e jurídico, especialmente em contextos de IA.
Esses modelos reforçam que o DPO não pode ser nomeado de forma aleatória ou apenas para cumprir formalidades. A função exige preparo técnico, visão estratégica e domínio das implicações legais da IA.
Os riscos da nomeação aleatória e da negligência
Infelizmente, muitas empresas brasileiras ainda tratam a nomeação do DPO como uma obrigação burocrática, delegando a função a profissionais sem formação adequada ou sem autonomia para atuar. Essa prática representa riscos sérios:
- Multas e sanções: A LGPD prevê penalidades que podem chegar a 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração.
- Danos reputacionais: Vazamentos de dados ou decisões automatizadas injustas podem gerar crises de imagem irreversíveis.
- Responsabilidade civil e criminal: O uso indevido de IA pode levar a processos judiciais, inclusive por discriminação ou violação de direitos fundamentais.
- Perda de competitividade: Empresas que não adotam práticas éticas e transparentes com IA tendem a perder espaço em mercados regulados ou exigentes.
A importância da capacitação e da escolha estratégica
Diante desse cenário, é urgente que empresas revejam suas práticas de nomeação de DPOs. O profissional ideal deve reunir:
- Conhecimento profundo da LGPD, GDPR e normas ISO aplicáveis à IA.
- Entendimento técnico sobre funcionamento de sistemas de IA, machine learning e algoritmos.
- Capacidade de dialogar com áreas jurídicas, técnicas e de negócios.
- Autonomia para implementar políticas de governança e conduzir auditorias internas.
Infelizmente, muitas empresas brasileiras ainda tratam a nomeação do DPO como uma obrigação burocrática, delegando a função a profissionais sem formação adequada ou sem autonomia para atuar.
A contratação de DPOs altamente capacitados não é apenas uma exigência legal — é um investimento em segurança, reputação e sustentabilidade empresarial.
A Inteligência Artificial representa uma revolução tecnológica, mas também um desafio ético e jurídico. O DPO é o guardião da integridade nesse processo.
Empresas que ignorarem essa realidade e continuarem nomeando profissionais sem preparo estarão expostas a riscos graves. Já aquelas que valorizarem a capacitação e a atuação estratégica do DPO estarão mais preparadas para inovar com responsabilidade e crescer com segurança — alinhadas às melhores práticas internacionais e às normas ISO que moldam o futuro da IA.