/ Proteção de Dados Pessoais

Encarregado Proteção de Dados

O Regulamento Geral sobre a Proteção de Dados[1] (RGPD) proporciona um quadro de cumprimento modernizado e assente na responsabilidade em matéria de proteção de dados na EU. Os encarregados da proteção de dados (EPD) assumem um papel central neste novo quadro normativo, facilitando o cumprimento das disposições do RGPD, mas não substituindo a competência do responsável pelo tratamento / subcontratante (RT/S), de assegurar e poder comprovar que o tratamento é realizado em conformidade com as suas disposições, conforme preconizado no art.º 24.º/1[2],[3].

O EPD oferece uma vantagem competitiva às empresas e servem de intermediários entre a autoridade de controlo (Comissão Nacional de Proteção de Dados – CNPD), os titulares de dados e as instituições. É nessa perspetiva que o RGPD reconhece o papel essencial do EPD enquanto participante no novo sistema de governação de dados e estabelece as condições aplicáveis à sua nomeação, posição e atribuições.

Para uma melhor perceção do seu papel nas organizações, responde-se às seguintes QUESTÕES:

[1] Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE.

[2] Artigos sem referência dizem respeito ao RGPD.

[3] Parcialmente adaptado de WP 243 (rev. 01) do Grupo do Artigo 29 (GT 29) para a proteção de dados, com “Orientações sobre os encarregados da proteção de dados (EPD)”.

[4] O art.º 12.º da Lei 58/2019 de 8 de agosto, que assegura a execução do RGPD em Portugal, (doravante designada como Lei 58) particulariza a designação de EPD em entidades públicas.

[5] Art.º 32.º da Diretiva (UE) 2016/680.

[6] Nos termos do art.º 9.º, estas categorias abrangem os dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

[7] O art.º 37.º/1, al. c), utiliza a conjunção «e». O motivo da utilização conjunção «ou» em vez de «e» deve-se ao facto não haver nenhuma razão estratégica para que os dois critérios tenham de ser aplicados simultaneamente.

[8] “Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas são revistas e atualizadas consoante as necessidades.” (art.º 24.º/1).

[9] A título de boa prática, o GT 29 recomenda que a organização informe os seus trabalhadores do nome e contactos do EPD, por exemplo, através da intranet da organização, nas listas telefónicas internas e em organogramas.

[10] O art.º 39.º/1, menciona as funções do EPD e indica que o EPD tem, «pelo menos», as seguintes funções. Por conseguinte, nada impede que o responsável pelo tratamento atribua ao EPD outras funções, além das explicitamente referidas no art.º 39.º/1, ou que especifique as tarefas de forma mais pormenorizada.

[11] O art.º 24.º/1, dispõe o seguinte: «Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas são revistas e atualizadas consoante as necessidades».

[12] Art.º 24.º/1, al. d), do Regulamento (CE) n.º 45/2001.