Encarregado de Proteção de Dados — a função do EPD em Portugal
O Encarregado de Proteção de Dados (EPD), que informa, aconselha e fiscaliza a conformidade com o RGPD no ordenamento jurídico português, perante a CNPD, com independência estatutária.
A função
O Encarregado de Proteção de Dados é a figura a quem o Regulamento Geral sobre a Proteção de Dados confia uma missão precisa: informar e aconselhar a organização, fiscalizar a conformidade e cooperar com a autoridade de controlo. Não decide as finalidades nem os meios do tratamento — essa responsabilidade permanece no responsável —, mas assegura, com independência técnica, que a proteção de dados é levada a sério em toda a organização.
Funções
Funções — as funções legais do EPD, à luz do artigo 39.º do RGPD e do artigo 11.º da Lei n.º 58/2019.
Informar e Aconselhar
Informar e aconselhar o responsável pelo tratamento, o subcontratante e os trabalhadores que tratam dados sobre as suas obrigações nos termos do RGPD, da Lei n.º 58/2019 e das demais disposições, da União ou nacionais, em matéria de proteção de dados.
RGPD, art. 39.º, n.º 1, al. a)
Fiscalizar a Conformidade
Controlar a conformidade com o RGPD e com as políticas do responsável ou do subcontratante em matéria de proteção de dados, incluindo a repartição de responsabilidades, a sensibilização e a formação do pessoal implicado nas operações de tratamento.
RGPD, art. 39.º, n.º 1, al. b)
Aconselhar sobre a AIPD
Prestar aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controlar a sua realização nos termos do artigo 35.º do RGPD.
RGPD, art. 39.º, n.º 1, al. c)
Cooperar com a Autoridade
Cooperar com a autoridade de controlo e funcionar como ponto de contacto para questões relacionadas com o tratamento, incluindo a consulta prévia a que se refere o artigo 36.º, consultando-a, se for caso disso, sobre qualquer outro assunto.
RGPD, art. 39.º, n.º 1, als. d) e e)
Ponto de Contacto dos Titulares
Funcionar como ponto de contacto dos titulares dos dados para todas as questões relacionadas com o tratamento dos seus dados pessoais e com o exercício dos direitos que o Regulamento lhes confere.
RGPD, art. 38.º, n.º 4; Lei n.º 58/2019, art. 11.º, al. c)
Realizar Auditorias
Assegurar a realização de auditorias, periódicas ou não programadas — um dever expressamente acrescentado pela lei portuguesa ao regime dos artigos 37.º a 39.º do RGPD.
Lei n.º 58/2019, art. 11.º, al. a)
Deteção de Incidentes
Sensibilizar os utilizadores para a importância da deteção atempada de incidentes de segurança e para a necessidade de informar de imediato o responsável pela segurança.
Lei n.º 58/2019, art. 11.º, al. b)
Abordagem Baseada no Risco
No desempenho das suas funções, ter em devida consideração os riscos associados às operações de tratamento, tendo em conta a sua natureza, âmbito, contexto e finalidades.
RGPD, art. 39.º, n.º 2
Um programa que demonstra a conformidade
Registo de tratamentos, AIPD, contratos, segurança, violações e transferências.
Serviços
Setores
Setor Público & Autarquias
Para autoridades e organismos públicos a designação de EPD é obrigatória, e a lei portuguesa exige pelo menos um EPD por ministério ou área governativa, por secretaria regional e por município. O volume e a sensibilidade dos dados dos cidadãos fazem deste o teatro de obrigação mais denso.
Lei n.º 58/2019, art. 12.º
Saúde & Clínicas
O tratamento em grande escala de dados de saúde — categoria especial do artigo 9.º — desencadeia, em regra, a designação obrigatória de EPD e a realização de avaliações de impacto, com deveres reforçados de segurança e confidencialidade.
RGPD, arts. 9.º e 35.º; Lei n.º 58/2019, art. 13.º
Tecnologia & SaaS
As plataformas cuja atividade principal implica o controlo regular e sistemático de utilizadores em grande escala recaem na designação obrigatória, atuando frequentemente como subcontratantes e exigindo contratos rigorosos do artigo 28.º e mecanismos de transferência.
RGPD, art. 37.º, n.º 1, al. b); Lei n.º 58/2019, art. 13.º
Marketing & Dados
O marketing direto, a definição de perfis e a utilização de cookies suscitam deveres específicos de consentimento, transparência e direito de oposição, na interseção entre o RGPD e as regras de privacidade eletrónica.
RGPD, arts. 21.º e 22.º; Lei n.º 41/2004
Boletim de Proteção de Dados
O RGPD, a CNPD/CEPD e a prática do EPD, periodicamente.