O exercício de direitos pelo titular de dados pessoais constitui um dos aspectos mais importantes do arcabouço regulatório de proteção de dados. Revela-se ainda fundamental para garantia do direito fundamental à proteção de dados e assegurar a autodeterminação informativa do titular, o que justifica, inclusive, que o tema possua Capítulo específico na Lei Geral de Proteção de Dados (LGPD).
Para o exercício desses direitos, uma figura é essencial: o Encarregado pelo tratamento de dados pessoais. A existência do Encarregado está prevista na LGPD, em seu art. 41, reforçado no inciso III do art. 23 para o Poder Público, assim como na Resolução CD/ANPD 18, de 16 de julho de 2024, conhecida como Regulamento do Encarregado.
Conheça o JOTA PRO Poder, plataforma de monitoramento que oferece transparência e previsibilidade para empresas
Além da prerrogativa de orientações ao controlador naquilo que concerne às atividades de tratamento de dados, um de seus papéis é atuar como canal de comunicação entre o agente de tratamento, os titulares e a ANPD, recebendo as comunicações dos titulares, inclusive aquelas referentes ao exercício de seus direitos. Para tanto, é necessário que as informações de contato e a identidade do Encarregado sejam divulgadas, permitindo que o titular saiba quem será o responsável pela atuação na qualidade de Encarregado, assim como qual será o mecanismo para comunicação.
Especificamente sobre a identidade do Encarregado, ressaltamos que, entendemos que a LGPD já possuía obrigação clara e expressa de que a identidade do Encarregado deveria ser pública, constando, preferencialmente, no site do controlador, nos termos do Art. 41, §1º, que assim dispõe: “A identidade e as informações de contato do Encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador”.
Neste mesmo sentido se posicionou o Regulamento do Encarregado, que em seu artigo 9º, foi além, esclarecendo padrões mínimos esperados de informação (i.e. o nome completo do Encarregado pessoa física ou do responsável pelo Encarregado pessoa jurídica) e determinar o site do controlador como local das informações[1].
De todo modo, após a publicação do Regulamento do Encarregado, com sua entrada em vigor imediata, a obrigação de apresentar a identidade do Encarregado de forma clara e expressa, preferencialmente no website do controlador, habitualmente em sua Política ou Aviso de Privacidade, passou a ser indiscutivelmente obrigatória, em especial pela leitura conjunta com o artigo 41 da LGPD.
Assim, estamos diante de uma obrigação clara e objetiva, disposta desde a entrada em vigor da LGPD e reforçada por Regulamento da Autoridade Brasileira há cerca de 10 meses. Ocorre que, infelizmente, tal premissa ainda não vem sendo propriamente endereçada por uma grande parcela dos controladores.
Tal fato foi constatado em pesquisa[2] divulgada recentemente pelo Centro de Tecnologia e Sociedade da FGV/RJ (CTS/FGV), da qual fomos coautores, onde verificamos o cumprimento da LGPD por parte dos principais serviços de IA generativa (ChatGPT, Claude, Copilot, DeepSeek, Gemini, Grok e Meta AI), por meio da análise de suas respectivas Políticas de Privacidade.
No referido estudo, a existência da publicação da identidade do Encarregado nos documentos foi um dos critérios avaliados, no qual constatamos que apenas 2 dos 7 serviços em tela (MetaAI e Gemini) cumpriam com o requisito e apresentavam a identidade do Encarregado em suas Políticas de Privacidade.
Esse panorama de preocupação é corroborado por outro estudo realizado pelo CTS/FGV, que também contou com a nossa participação e cujos resultados serão divulgados em breve. Nessa pesquisa, que vem sendo desenvolvida desde 2024, foram analisadas as políticas de privacidade das 17 principais plataformas sociais utilizadas no Brasil[3], buscando também averiguar o seu nível de cumprimento de obrigações mínimas da regulação de proteção de dados pessoais no país.
Um dos critérios avaliados foi igualmente a publicação da identidade do Encarregado, onde verificamos que, até agosto de 2024 – data de corte – todos os controladores falharam em cumprir este requisito, jamais apresentando a identidade de seus Encarregados em suas respectivas Políticas de Privacidade.
Da data de avaliação até a data de conclusão do presente artigo – 28 de maio de 2025 -, ressaltamos que houve uma tímida evolução sobre o tema. Das 17 plataformas avaliadas, apenas 7 delas – Facebook, Facebook Messenger, Instagram, Telegram, WhatsApp, X (antigo Twitter) e YouTube – passaram a incluir a identidade de seus Encarregados em suas Políticas de Privacidade.
Acrescente-se que a ANPD também encara o tema com a devida relevância, tendo instaurado, em novembro de 2024, um processo de monitoramento e fiscalização[4] em face de 20 empresas de diversos setores, justamente diante da evidência de ausência de indicação do Encarregado e de implementação de um canal adequado de comunicação disponível aos titulares.
Recentemente, em 24 de abril, a ANPD divulgou[5] que as empresas em questão haviam cumprido as determinações da Autoridade, encerrando o trâmite do processo de fiscalização. Contudo, ressaltamos que, em consulta ao processo no sistema da ANPD na data de submissão deste artigo, verificamos que a Nota Técnica nº 4 e o Despacho Decisório nº 2[6], que tratam do encerramento da fiscalização permanecem com acesso restrito, de maneira que não foi possível avaliar a fundamentação e o entendimento da Autoridade quanto ao cumprimento das obrigações por partes das empresas investigadas.
Salientamos que o aludido processo em curso na ANPD inclui três das plataformas alvo do estudo sobre plataformas sociais do CTS/FGV, destacando-se: Telegram, TikTok e X (antigo Twitter). Delas, como mencionamos, Telegram, em 12 de dezembro de 2024, e X, em 15 de novembro de 2024, fizeram alterações em suas Políticas de Privacidade para incluir a identidade do Encarregado.
Por outro lado, o TikTok, especificamente, até a data de submissão deste artigo, não havia alterado sua Política de Privacidade ou incluído a identidade do Encarregado em outra parte de seu site. Ademais, em sua manifestação no processo da ANPD[7], o TikTok alegou que, a despeito da previsão expressa da LGPD e do Regulamento do Encarregado, não deveria ser obrigatória a menção da identidade do Encarregado.
Os argumentos veiculados pela empresa foram, em suma: (i) deve ser feita uma interpretação sistemática da LGPD e do Regulamento; (ii) ordenamentos jurídicos estrangeiros permitem que o agente de tratamento decida por prever ou não a identidade do Encarregado; (iii) indicar a identidade do Encarregado geraria contatos por meios indevidos (LinkedIn, WhatsApp email etc.), sem ser os oficiais do TikTok, o que dificultaria o controle das comunicações; (iv) por ser uma empresa global, a previsão de vários nomes de encarregados para diferentes jurisdições geraria problemas; e (v) o formato atual de contato com o Encarregado do TikTok, por meio de um formulário disponível em site, é efetivo.
Ressaltamos que não temos qualquer objetivo de singularizar o TikTok ou sua conduta. Destacamos sua petição e seus argumentos porque entendemos que eles englobam alguns dos principais fundamentos utilizados para alegar que não seria necessária a previsão expressa da identidade do Encarregado.
Contudo, ousamos discordar deste entendimento. Uma interpretação sistemática, a nosso sentir, não pode implicar em uma interpretação contrária àquilo que prevê tanto a LGPD, art. 41, §1º, quanto o Regulamento do Encarregado, art. 9º. Ademais, a identificação do Encarregado juntamente com os canais de contato é a que funcionaliza com maior evidência o direito fundamental de dados pessoais previsto na Constituição Federal, art. 5º, inciso LXXIX.
Além disso, embora a análise de direito comparado seja válida e possa, eventualmente, trazer resultados positivos, existem diferenças fundamentais nos ordenamentos jurídicos citados que inviabilizam a aplicação ao Brasil, especificamente a previsão expressa na LGPD e no Regulamento do Encarregado de que a identidade do Encarregado deverá ser pública.
Quanto aos possíveis problemas levantados, de contatos por meios indevidos gerados pela indicação da identidade do Encarregado, eles podem ser mitigados com o redirecionamento dos contatos para o meio oficial de comunicação escolhido pelo controlador. Além disso, não nos parece razoável entender que haveria um risco de a ANPD considerar que contatos realizados por meios alheios ao canal de comunicação do controlador devem ser atendidos, desde que o canal cumpra com os requisitos estabelecidos pela Autoridade.
O fato de a empresa estar situada em diferentes jurisdições também não gera dificuldade considerável, uma vez que a existência de Política de Privacidade específica ou seção específica para o Brasil na Política de Privacidade geral permite que a identidade do Encarregado para os dados tratados sob o escopo da LGPD seja indicado de forma restrita aos titulares situados no país.
Por fim, questionamos o argumento de que a efetividade do canal de comunicação atual poderia afastar a obrigação de indicação da identidade do Encarregado, por duas razões. A primeira delas é que sua ratio se revela claramente contra legem, dada a ausência de amparo legal para tal afirmação, uma vez que não existe qualquer dispensa da obrigação neste sentido, seja na LGPD ou no Regulamento do Encarregado.
A segunda razão é, também, um spoiler: na pesquisa do CTS/FGV sobre as plataformas de rede social a ser divulgada, solicitamos aos controladores o exercício dos direitos de confirmação do tratamento e acesso aos dados tratados. Os resultados obtidos indicam que os mecanismos atuais de exercício dos direitos podem, em sua maioria, não dispor da eficácia suscitada, especialmente para os titulares de dados que têm seus dados tratados pelas plataformas, porém na qualidade de não usuários.
Embora o ramo de proteção de dados pessoais esteja em constante e rápida evolução, nos parece que, sob o prisma da atual redação da LGPD e do Regulamento do Encarregado, a identidade do Encarregado deve ser indicada pelo controlador em seu site, preferencialmente em sua Política de Privacidade. A sua ausência gera obstáculos para o exercício dos direitos e para a autodeterminação informativa do titular, bem como cria um enigma contemporâneo: quem será o misterioso Encarregado?
[1] Art. 9º A identidade e as informações de contato do Encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, em local de destaque e de fácil acesso, no sítio eletrônico do agente de tratamento, ressalvada a hipótese do § 3º deste artigo.
- 1º A divulgação da identidade do Encarregado abrangerá, no mínimo:
I – o nome completo, se for pessoa natural; ou
II – o nome empresarial ou o título do estabelecimento, bem como o nome completo da pessoa natural responsável, se pessoa jurídica.
[2] Disponível em: <https://repositorio.fgv.br/items/ddb2b6b5-d069-42d3-88c8-ac10b9ee3908>. Acesso em: 3 mai. 2025.
[3] As plataformas avaliadas foram: Discord, Facebook, Facebook Messenger, Instagram, Kwai, LinkedIn, Pinterest, Reddit, Signal, Snapchat, Steam, Telegram, TikTok, Twitch, WhatsApp, X – Twitter e YouTube.
[4] ANPD. ANPD fiscaliza 20 empresas por falta de Encarregado e canal de comunicação adequado. Disponível em: <https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-fiscaliza-20-empresas-por-falta-de-Encarregado-e-canal-de-comunicacao>. Acesso em: 3 mai. 2025. O número do processo é 00261.006718/2024-14.
[5] ANPD. Encarregado de dados: após fiscalização, empresas cumprem obrigações da LGPD. Disponível em: <https://www.gov.br/anpd/pt-br/assuntos/noticias/encarregado-de-dados-apos-fiscalizacao-empresas-cumprem-obrigacoes-da-lgpd>. Acesso em: 3 mai. 2025.
[6] Nota Técnica nº 4 (ID 0180686) e o Despacho Decisório nº 2 (ID 0182066), ambos de 23 de abril de 2025, do Processo Administrativo nº 00261.006718/2024-14.
[7] Petição (ID 0164800) protocolada em 14 de janeiro de 2025 no Processo Administrativo nº 00261.006718/2024-14.