• Cristina Paula Baptista

3 Coisas que deve saber sobre o Encarregado de Proteção de Dados (EPD|DPO)

Atualizado: 31 de Mai de 2018

O #RGPD prevê a figura encarregado de proteção de dados (na terminologia inglesa o #DPO), que já existia na legislação de outros países europeus onde o RGPD se inspirou.


Sobre o encarregado de proteção de dados há 3 coisas que devemos saber.


1- Qual a sua função?

O encarregado de proteção de dados assume a responsabilidade de desenvolver um conjunto de tarefas tendo em vista garantir o controlo de conformidade das operações de tratamento de dados pessoais com o disposto no RGPD.


De entre essas responsabilidades salientamos as seguintes:

  • Apoiar e aconselhar, com independência, o responsável pelo tratamento e, ou o subcontratante quanto às medidas e práticas a adoptar nas operações de tratamento de dados de forma a garantir a conformidade dos tratamentos com o disposto no RGPD;

  • No âmbito das avaliações de impacto de proteção de dados, o encarregado de proteção de dados pode solicitar a sua realização, participar na sua realização, acompanhar a sua realização e prestar apoio na implementação de medidas e procedimentos identificados como necessários;

  • É o encarregado de proteção de dados que, em primeira linha, tem a obrigação de cooperação com a autoridade de controlo (CNPD) tendo a função de "ponto de contacto" da CNPD junto da instituição pública ou privada;

  • O encarregado de proteção de dados no desempenho da sua atividade adopta uma abordagem baseado no risco, ou seja, adequa as medidas de proteção de dados aos riscos associados a cada um dos tratamentos de dados em causa;

  • A conservação dos registos das atividades de tratamento de dados é, também, uma função do encarregado de proteção de dados.

2 - Quem pode exercer estas funções?

O Encarregado de Proteção de Dados (EPD) é um especialista em legislação e prática de proteção de dados que assiste o responsável pelo tratamento de dados e o subcontratante no controlo das operações de tratamento de dados pessoais de forma a dar cumprimento ao disposto #RGPD a nível interno das instituições públicas ou privadas. O nível necessário de competências não é definido de forma rigorosa, mas deve coadunar-se com a sensibilidade, a complexidade e a quantidade de dados tratados por uma organização. A estas competências devem juntar-se a capacidade para o desempenho das funções, devendo interpretar-se estas capacidades como os atributos profissionais e pessoais e, também, a sua posição dentro da organização. Nesta matéria importa que as organizações evitem o exercício de funções de EPD com outras incompatíveis.


As funções de EPD podem ser desempenhadas por um profissional individual ou por uma empresa de fora do âmbito da atividade do encarregado pela proteção de dados, com base num contrato de prestação de serviços.


3 - Quando é obrigatória a sua nomeação?

O #RGPD exige a designação de um EPD em três situações específicas:

  1. Sempre que o tratamento seja efetuado por uma autoridade ou um organismo público;

  2. Sempre que as atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou

  3. Sempre que as atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados

Os EPD não são pessoalmente responsáveis em caso de incumprimento do disposto no RGPD. Na verdade, é ao responsável pelo tratamento ou ao subcontratante que cabe assegurar e poder comprovar que o tratamento é realizado em conformidade com o RGPD e com as suas disposições. Contudo, a não nomeação de um EPD nos casos em que a mesma é obrigatória configura uma situação de desconformidade com o RGPD e pode dar lugar à aplicação de sanções.


Se necessita de aconselhamento especializado sobre o RGPD e procedimentos de conformidade com o RGPD entre em contacto comigo.


#proteçãodedados #privacidade #encarregadodeproteçãodedados

347 visualizações