Perguntas Frequentes
Catorze respostas, fundamentadas na lei, às dúvidas mais comuns sobre o Encarregado de Proteção de Dados.
É obrigatório designar um Encarregado de Proteção de Dados?
A designação é obrigatória em três situações previstas no artigo 37.º, n.º 1, do RGPD: quando o tratamento é efetuado por uma autoridade ou organismo público, com exceção dos tribunais no exercício da função jurisdicional; quando as atividades principais do responsável ou do subcontratante exigem um controlo regular e sistemático dos titulares em grande escala; ou quando consistem no tratamento, em grande escala, de categorias especiais de dados ou de dados relativos a condenações e infrações penais. Fora destes casos, a designação pode ser voluntária.
Quando é obrigatório para entidades privadas?
O artigo 13.º da Lei n.º 58/2019 reproduz, para as entidades privadas, os critérios do RGPD: há obrigação de designar um EPD quando a atividade principal implica operações que, pela sua natureza, âmbito ou finalidade, exigem o controlo regular e sistemático dos titulares em grande escala, ou o tratamento em grande escala de categorias especiais de dados ou de dados relativos a condenações e infrações penais.
E para as entidades públicas?
Nos termos do artigo 12.º da Lei n.º 58/2019, existe pelo menos um Encarregado de Proteção de Dados por cada ministério ou área governativa, por cada secretaria regional das regiões autónomas e por cada município. A designação cabe, respetivamente, ao ministro, ao secretário regional e à câmara municipal, com faculdade de delegação nos termos da lei.
O EPD pode ser externo à organização?
Sim. O artigo 37.º, n.º 6, do RGPD admite que o EPD exerça as suas funções com base num contrato de prestação de serviços. A CNPD, na Deliberação 2025/267 (2025), confirmou expressamente que o EPD pode estar ligado a uma entidade externa ao responsável pelo tratamento — é o fundamento do modelo de EPD externo.
Qual a diferença entre o EPD e o Compliance Officer?
São figuras distintas e complementares. O Compliance Officer assegura a conformidade geral da organização com o conjunto das normas que lhe são aplicáveis e pode deter responsabilidades de gestão e de eficiência. O EPD é uma figura específica, legalmente nomeada para a proteção de dados, com independência estatutária: não decide as finalidades nem os meios do tratamento, limita-se a informar, aconselhar e fiscalizar. Por isso, são papéis de segunda linha que se articulam, mas não se confundem.
O EPD pode acumular funções com a gestão ou com o CISO?
Apenas se não houver conflito de interesses. O artigo 38.º, n.º 6, do RGPD permite ao EPD exercer outras funções, mas o responsável deve assegurar que estas não geram conflito. As Diretrizes WP243 esclarecem que o EPD não pode ocupar posições que determinem as finalidades e os meios do tratamento — tipicamente, cargos de direção de topo, e em muitos casos o de responsável de sistemas de informação. A acumulação indevida já motivou coimas de autoridades de controlo europeias.
O EPD decide sobre o tratamento de dados?
Não. A responsabilidade pelo tratamento permanece no responsável (controlador). O EPD não determina as finalidades nem os meios e não responde, pessoalmente, pelo incumprimento; a sua função é informar, aconselhar e fiscalizar, com independência técnica e reporte ao mais alto nível da gestão.
O EPD pode ser destituído por exercer as suas funções?
Não. O artigo 38.º, n.º 3, do RGPD proíbe que o EPD seja destituído ou penalizado pelo responsável ou pelo subcontratante pelo facto de exercer as suas funções, garantindo a independência necessária ao desempenho do cargo.
Que qualificações deve ter o EPD?
O artigo 37.º, n.º 5, do RGPD exige que o EPD seja designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções previstas no artigo 39.º.
O que é uma Avaliação de Impacto sobre a Proteção de Dados (AIPD)?
É a avaliação que o responsável deve realizar, antes do tratamento, quando este for suscetível de implicar um risco elevado para os direitos e liberdades das pessoas singulares, nos termos do artigo 35.º do RGPD. Identifica os riscos e as medidas de mitigação e, se o risco residual se mantiver elevado, dá lugar à consulta prévia da autoridade (artigo 36.º).
O que é o registo das atividades de tratamento?
É o registo previsto no artigo 30.º do RGPD, que documenta as finalidades, as categorias de dados e de titulares, os destinatários, as transferências e os prazos de conservação. Constitui a base documental da responsabilização e o primeiro elemento que a autoridade solicita.
Como deve uma organização reagir a uma violação de dados pessoais?
Deve notificar a autoridade de controlo sem demora injustificada e, sempre que possível, no prazo de 72 horas após ter tido conhecimento da violação, nos termos do artigo 33.º. Quando a violação for suscetível de implicar um risco elevado para os direitos e liberdades dos titulares, estes devem também ser informados, nos termos do artigo 34.º.
Quais são os direitos dos titulares dos dados?
O capítulo III do RGPD confere os direitos de informação, acesso, retificação, apagamento, limitação do tratamento, portabilidade, oposição e o direito de não ficar sujeito a decisões exclusivamente automatizadas. A organização deve dispor de procedimentos que garantam o seu exercício dentro dos prazos legais.
Um grupo empresarial pode designar um único EPD?
Sim. O artigo 37.º, n.º 2, do RGPD permite que um grupo empresarial designe um único Encarregado de Proteção de Dados, desde que este seja facilmente contactável a partir de cada estabelecimento.
O EPD está sujeito a segredo profissional?
Sim. O artigo 38.º, n.º 5, do RGPD vincula o EPD à obrigação de segredo ou de confidencialidade no exercício das suas funções, em conformidade com o direito da União ou dos Estados-Membros.