EPD - Encarregado de Proteção de Dados
O Encarregado de Proteção de Dados (EPD), também designado por DPO (Data Protection Officer), é uma função estabelecida pelo Regulamento Geral sobre a Proteção de Dados (RGPD) e transposta para o ordenamento jurídico português pela Lei n.º 58/2019, de 8 de agosto. Este profissional é responsável por supervisionar a estratégia de proteção de dados pessoais numa organização, assegurando o cumprimento das obrigações legais em matéria de privacidade. A sua nomeação é obrigatória para autoridades e organismos públicos, bem como para entidades cujas atividades principais envolvam o tratamento de dados em grande escala ou de categorias especiais de dados.
O que estabelece o Encarregado de Proteção de Dados?
O EPD tem como principais funções informar e aconselhar a organização e os seus trabalhadores sobre as obrigações decorrentes do RGPD e de outra legislação aplicável em matéria de proteção de dados. Deve controlar a conformidade com as normas de proteção de dados, realizar auditorias internas, formar o pessoal e cooperar com a Comissão Nacional de Proteção de Dados (CNPD). O encarregado funciona ainda como ponto de contacto entre a organização, os titulares dos dados e a autoridade de controlo, recebendo reclamações e prestando esclarecimentos. Deve dispor de conhecimentos especializados do direito e práticas de proteção de dados, sendo a sua independência garantida por lei, não podendo ser penalizado pelo exercício das suas funções.
Como funciona na prática?
O EPD é nomeado com base nas suas qualidades profissionais e conhecimentos especializados. A organização deve comunicar à CNPD os contactos do encarregado, que ficam publicamente disponíveis. Na prática, o EPD participa na conceção de políticas de privacidade, avalia o impacto de novos projetos sobre a proteção de dados, gere pedidos de exercício de direitos pelos titulares (acesso, retificação, apagamento) e investiga eventuais violações de dados pessoais. Pode exercer a função a tempo inteiro ou parcial, sendo possível a partilha de um EPD entre várias entidades, desde que facilmente acessível.
Quem é afetado?
A nomeação de EPD é obrigatória para todas as entidades públicas (ministérios, autarquias, hospitais públicos, escolas), excetuando tribunais no exercício da função jurisdicional. No sector privado, a obrigação aplica-se a empresas cujas atividades principais exijam controlo regular e sistemático de dados em grande escala (seguradoras, operadores de telecomunicações, plataformas digitais) ou que tratem dados sensíveis como informações de saúde, dados biométricos ou relativos a condenações penais. Mesmo quando não obrigatória, a nomeação voluntária é recomendada como boa prática de governação.