A obrigatoriedade e a intensidade do trabalho do EPD variam com o perfil de tratamento de cada setor. Apresentam-se os quatro onde a designação é mais frequentemente exigida.
Setor Público & Autarquias
Para autoridades e organismos públicos a designação de EPD é obrigatória, e a lei portuguesa exige pelo menos um EPD por ministério ou área governativa, por secretaria regional e por município. O volume e a sensibilidade dos dados dos cidadãos fazem deste o teatro de obrigação mais denso.
Lei n.º 58/2019, art. 12.º
Saúde & Clínicas
O tratamento em grande escala de dados de saúde — categoria especial do artigo 9.º — desencadeia, em regra, a designação obrigatória de EPD e a realização de avaliações de impacto, com deveres reforçados de segurança e confidencialidade.
RGPD, arts. 9.º e 35.º; Lei n.º 58/2019, art. 13.º
Tecnologia & SaaS
As plataformas cuja atividade principal implica o controlo regular e sistemático de utilizadores em grande escala recaem na designação obrigatória, atuando frequentemente como subcontratantes e exigindo contratos rigorosos do artigo 28.º e mecanismos de transferência.
RGPD, art. 37.º, n.º 1, al. b); Lei n.º 58/2019, art. 13.º
Marketing & Dados
O marketing direto, a definição de perfis e a utilização de cookies suscitam deveres específicos de consentimento, transparência e direito de oposição, na interseção entre o RGPD e as regras de privacidade eletrónica.
RGPD, arts. 21.º e 22.º; Lei n.º 41/2004