Encarregado Proteção de Dados

As “atividades principais” (al. b) e c) do art.º 37.º/1) podem entender-se como as operações essenciais para alcançar os objetivos do RT/S, as quais incluem também todas as atividades em que o tratamento de dados constitui parte indissociável das atividades do RT/S. Por exemplo, os hospitais devem nomear um EPD porque o tratamento de dados relativos à saúde deve ser considerado uma das atividades principais, ao contrário de determinadas atividades de apoio à atividade principal, como a remuneração dos seus trabalhadores ou atividades comuns de apoio informático (atividades de funções acessórias).

Entende-se por entidades públicas (art.º 12.º/2 da Lei 58):

• O Estado;
• As regiões autónomas;
• As autarquias locais e as entidades supranacionais previstas na lei;
• As entidades administrativas independentes e o Banco de Portugal;
• Os institutos públicos;
• As instituições de ensino superior públicas, independentemente da sua natureza;
• As empresas do setor empresarial do Estado e dos setores empresariais regionais e locais;
• As associações públicas.

Existe pelo menos um EPD (art.º 12.º/3 da Lei 58):

• Por cada ministério ou área governativa, no caso do Estado, sendo designado pelo respetivo ministro, com faculdade de delegação em qualquer secretário de Estado que o coadjuvar;
• Por cada secretaria regional, no caso das regiões autónomas, sendo designado pelo respetivo secretário regional, com faculdade de delegação em dirigente superior de 1.º grau;
• Por cada município, sendo designado pela câmara municipal, com faculdade de delegação no presidente e subdelegação em qualquer vereador;
• Nas freguesias em que tal se justifique, nomeadamente naquelas com mais de 750 habitantes, sendo designado pela junta de freguesia, com faculdade de delegação no presidente;
• Por cada entidade, no caso das demais entidades referidas no número anterior, sendo designada pelo respetivo órgão executivo, de administração ou gestão, com faculdade de delegação no respetivo presidente.

O RGPD não define o que constitui um tratamento de “grande escala”, mas o GT 29 recomenda que sejam tomados em consideração os seguintes fatores:

• o número de titulares de dados afetados – como número concreto ou em percentagem da população em causa;
• o volume de dados e/ou o alcance dos diferentes elementos de dados objeto de tratamento;
• a duração, ou permanência, da atividade de tratamento de dados;
• o âmbito geográfico da atividade de tratamento.

Consideram-se como exemplos de tratamento de grande escala:

• o tratamento de dados de doentes no exercício normal das atividades de um hospital;
• o tratamento de dados de viagem das pessoas que utilizam o sistema de transportes públicos de uma cidade;
• o tratamento em tempo real de dados de geolocalização de clientes de uma cadeia de restauração rápida internacional para fins estatísticos;
• o tratamento de dados de clientes no exercício normal das atividades de uma companhia de seguros ou de um banco;
• o tratamento de dados pessoais para fins de publicidade comportamental por um motor de busca;
• o tratamento de dados (conteúdo, tráfego, localização) por operadoras.

Como exemplos de não tratamento de grande escala, considera-se:

• o tratamento de dados de doentes pacientes por um médico;
• o tratamento de dados pessoais relacionados com condenações penais e infrações por um advogado.

A noção de “controlo regular e sistemático” (al. b) do art.º 37.º/1) dos titulares dos dados não está definida no RGPD, mas inclui claramente todas as formas de seguimento e de definição de perfis.

Na interpretação do GT 29, “regular” significa, neste caso, uma ou mais das seguintes características:

• Contínuo ou que ocorre a intervalos específicos num determinado período;
• Recorrente ou repetido em horários estipulados;
• Constante ou periódico.

Na interpretação do GT29, “sistemático” significa, neste caso, uma ou mais das seguintes características:

• Que ocorre de acordo com um sistema;
• Predefinido, organizado ou metódico;
• Realizado no âmbito de um plano geral de recolha de dados;
• Efetuado no âmbito de uma estratégia.

São exemplos de atividades que podem constituir um controlo regular e sistemático dos titulares de dados:

• a exploração de uma rede de telecomunicações;
• a prestação de serviços de telecomunicações;
• a reorientação de mensagens de correio eletrónico;
• as atividades de promoção comercial baseadas em dados;
• a definição de perfis e pontuação para fins de avaliação dos riscos;
• a localização;
• os programas de fidelização;
• a publicidade comportamental;
• o controlo de dados relativos ao bem-estar, à condição física e à saúde através de dispositivos usáveis;
• a televisão em circuito fechado;
• os dispositivos ligados por contadores inteligentes, automóveis inteligentes, domótica, etc.

Sim, pode ser designado um único EPD para várias autoridades ou organismos públicos, tendo em conta a respetiva estrutura organizacional e dimensão. Uma vez que o EPD tem a seu cargo um conjunto de funções, o RT/S deve assegurar que um único EPD, com a ajuda de uma equipa, se necessário, possa cumprir as suas funções de forma eficiente, apesar de ter sido nomeado para várias autoridades e organismos públicos (art.º 37.º, n.os 2 e 3).

O EPD deve estar “facilmente acessível a partir de cada estabelecimento”, i.e., as comunicações devem ser efetuadas na língua ou nas línguas utilizadas pelas autoridades de controlo e pelos titulares de dados em causa.

A disponibilidade de um EPD (quer fisicamente nas mesmas instalações que os trabalhadores, quer através de uma linha direta ou de outros meios de comunicação seguros) é essencial para garantir que os titulares dos dados possam contactá-lo (art.º 37.º/6).

Sim, o EPD pode ser um elemento do pessoal da entidade RT/S, ou exercer as suas funções com base num contrato de prestação de serviços.

Por motivos de clareza jurídica e de boa organização, e no sentido de prevenir conflitos de interesses dos membros das equipas, o GT 29 recomenda que o contrato de prestação de serviços preveja uma clara repartição das tarefas no seio da equipa do EPD externo e a designação de uma única pessoa como contacto principal e pessoa “responsável” do cliente (art.º 37.º/6).

No sentido de assegurar que o EPD esteja acessível, o GT 29 recomenda que o EPD esteja localizado na UE, independentemente de o RT/S estar ou não estabelecido na UE.

O art.º 37.º/5, dispõe que o EPD “é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções referidas no art.º 39.º”. O considerando 97 prevê que o nível necessário de conhecimentos especializados deverá ser determinado em função das operações de tratamento de dados realizadas e da proteção exigida para os dados pessoais objeto de tratamento.

O nível necessário de competências não é definido de forma rigorosa, mas deve coadunar-se com a sensibilidade, a complexidade e a quantidade de dados tratados por uma organização. Por exemplo, se a atividade de tratamento de dados for particularmente complexa, ou se estiver em causa uma grande quantidade de dados sensíveis, o EPD poderá́ necessitar de um nível de competências e de apoio mais elevado. Outra variação depende do facto de a organização transferir sistematicamente os dados pessoais para fora da UE ou de estas transferências serem ocasionais. Neste sentido, o EPD deve ser escolhido de forma criteriosa, tendo devidamente em conta as questões de proteção de dados suscitadas no âmbito da organização.

Embora o art.º 37.º/5, não explicite quais as qualidades profissionais que devem ser consideradas aquando da nomeação do EPD, como atributos pertinentes, os EPD devem ter competências no domínio da legislação nacional e comunitária em matéria de proteção de dados e um conhecimento profundo do RGPD. É igualmente conveniente que as autoridades de controlo promovam formações adequadas e regulares destinadas aos EPD. O EPD deve ter bons conhecimentos do setor empresarial e da organização do responsável pelo tratamento e também das operações de tratamento efetuadas, bem como dos sistemas de informação, da segurança dos dados e das necessidades de proteção de dados do responsável pelo tratamento.

No caso das autoridades ou organismos públicos, o EPD deve igualmente ter um conhecimento sólido das regras e dos procedimentos administrativos da organização.

A capacidade para desempenhar as funções atribuídas ao EPD deve ser interpretada como um atributo respeitante não só́ às suas qualidades e conhecimentos pessoais, mas também à sua posição no seio da organização. As qualidades pessoais devem incluir, por exemplo, a integridade e um elevado nível de ética profissional; a principal preocupação do EPD deve consistir em permitir o cumprimento do RGPD. O EPD desempenha um papel determinante na promoção de uma cultura de proteção de dados no seio da organização e contribui para dar cumprimento aos elementos essenciais do RGPD, tais como os princípios do tratamento de dados (Capítulo II), os direitos dos titulares de dados (Capítulo III), a proteção de dados desde a conceção e por defeito (art.º 25.º), os registos das atividades de tratamento (art.º 30.º), a segurança do tratamento (art.º 32.º) e a notificação e comunicação de violações de dados (art.os 33.º e 34.º).

As funções do EPD podem igualmente ser exercidas com base num contrato de prestação de serviços celebrado com uma pessoa ou uma organização fora do âmbito da organização do RT/S. Neste último caso, é essencial que cada membro da organização que exerça as funções de EPD cumpra todos os requisitos aplicáveis da Secção 4 do RGPD (p. ex., é essencial que nenhum interveniente tenha um conflito de interesses). É igualmente importante que cada um destes membros esteja protegido pelas disposições do RGPD (p. ex., garantindo a impossibilidade de rescisão abusiva do contrato de prestação de serviços para atividades enquanto EPD, ou de destituição abusiva de qualquer membro da organização que executa as tarefas de EPD). Simultaneamente, as competências e os pontos fortes individuais podem ser combinados de modo que várias pessoas, trabalhando em equipa, possam servir os seus clientes de forma mais eficiente.

Por motivos de clareza jurídica e de boa organização, e no sentido de prevenir conflitos de interesses dos membros das equipas, recomenda-se uma clara repartição das tarefas no seio da equipa do EPD e a designação de uma única pessoa como contacto principal e pessoa «responsável» para cada cliente.

Em suma, as competências e conhecimentos especializados pertinentes do EPD, devem incluir:

• Competências no domínio das normas e práticas de proteção de dados nacionais e europeias, incluindo um conhecimento profundo do RGPD;
• Conhecimento das operações de tratamento efetuadas;
• Conhecimento das tecnologias da informação e da segurança dos dados;
• Conhecimento do setor empresarial e da organização;
• Capacidade para promover uma cultura de proteção de dados no seio da organização (art.º 37.º/5).

O EPD “é designado com base nos requisitos previstos no art.º 37.º/5 do RGPD, não carecendo de certificação profissional para o efeito” (art.º 9.º/1 da Lei 58).

O art.º 38.º/3 estabelece determinadas garantias básicas no sentido de ajudar a assegurar que o EPD tenha condições para executar as suas tarefas com suficiente grau de autonomia no seio da sua organização. Concretamente, os RT/S devem assegurar que o EPD “não recebe instruções relativamente ao exercício das suas funções”. O considerando 97 refere, além disso, que os EPD, “sejam ou não empregados do responsável pelo tratamento, deverão estar em condições de desempenhar as suas funções e atribuições com independência”. Já o art.º 9.º/2 da Lei 58 refere que “independentemente da natureza da sua relação jurídica, o EPD exerce a sua função com autonomia técnica perante a entidade responsável pelo tratamento ou subcontratante”.

A autonomia dos EPD não implica, contudo, que lhes sejam conferidos poderes decisórios que extravasem as suas funções em conformidade com o art.º 39.º.

O RT/S permanece responsável pelo cumprimento das normas de proteção de dados e deve poder comprovar esse cumprimento. Se o RT/S tomar decisões incompatíveis com o RGPD e com o parecer do EPD, deve ser dada a possibilidade ao EPD de transmitir de forma clara o seu parecer divergente ao mais alto nível da direção e a quem tomou as decisões. A este respeito, nos termos do art.º 38.º/3, o EPD “informa diretamente a direção ao mais alto nível do responsável pelo tratamento ou do subcontratante”. Esta comunicação direta assegura que os quadros de gestão superiores têm conhecimento do parecer e das recomendações do EPD, no âmbito da missão do EPD de informar e aconselhar o RT/S. Outro exemplo de comunicação direta consiste na elaboração de um relatório anual de atividades do EPD, a apresentar ao mais alto nível da direção.

O EPD não é pessoalmente responsável pelo incumprimento dos requisitos de proteção de dados. Compete ao RT/S assegurar e comprovar que o tratamento respeita o Regulamento aplicável. O cumprimento das normas de proteção de dados é da competência do RT/S.

O art.º 37.º/7 não exige que os contactos publicados incluam o nome do EPD. Ainda que a publicação desta informação possa constituir uma boa prática^[9], cabe ao RT/S e ao EPD decidirem se tal é necessário ou útil nas circunstâncias concretas. No entanto, a comunicação do nome do EPD à autoridade de controlo é essencial para que o EPD possa funcionar como ponto de contacto entre a organização e a autoridade de controlo (al. e) do art.º 39.º/1).

Os contactos do EPD devem incluir informações que permitam aos titulares dos dados e às autoridades de controlo contactar facilmente o EPD (endereço postal, número de telefone e/ou endereço de correio eletrónico). Se necessário, para efeitos de comunicação com o público, podem igualmente ser disponibilizados outros meios de comunicação, por exemplo uma linha direta específica, ou um formulário específico de contacto do EPD, disponível no sítio Web da organização.

Sim, os dados do EPD têm de ser comunicados à CNPD, em formulário próprio.

O EPD está vinculado à obrigação de sigilo/confidencialidade no exercício das suas funções, em conformidade com o direito da União ou dos Estados-Membros (art.º 38.º/5). Esta confidencialidade é igualmente importante para que os trabalhadores possam apresentar queixas ao EPD (o art.º 10.º/1 da Lei 58 reforça essa obrigação de confidencialidade).

Nos termos do art.º 38.º, o RT/S deve assegurar que o EPD seja “envolvido, de forma adequada e em tempo útil, em todas as questões relacionadas com a proteção de dados pessoais”.

O RT/S deve assegurar que o EPD é informado e consultado durante a fase inicial, para facilitar o cumprimento do RGPD e promover uma abordagem de proteção da privacidade desde a conceção, devendo este ser o procedimento normal da governação da organização. Além disso, é importante que o EPD seja encarado como interlocutor no seio da organização e que faça parte dos grupos de trabalho incumbidos de gerir as atividades de tratamento de dados nessa organização.

Por conseguinte, a organização deve assegurar, por exemplo, que:

• O EPD é convidado a participar regularmente nas reuniões dos quadros de gestão médios e superiores;
• A sua presença é recomendada sempre que sejam adotadas decisões com implicações na proteção de dados;
• Todas as informações pertinentes sejam transmitidas oportunamente ao EPD, para que este possa prestar um aconselhamento adequado;
• O parecer do EPD é sempre devidamente ponderado. Em caso de desacordo, o GT 29 recomenda, como boa prática, que sejam enunciados os motivos para não seguir o parecer do EPD;
• O EPD é imediatamente consultado após a ocorrência de uma violação de dados ou outro incidente;
• Se for caso disso, o RT/S pode elaborar orientações ou programas em matéria de proteção de dados que definam em que momento o EPD deve ser consultado.

O art.º 38.º/2 exige que a organização apoie o seu EPD, “fornecendo-lhe os recursos necessários ao desempenho das suas funções e à manutenção dos seus conhecimentos, bem como dando-lhe acesso aos dados pessoais e às operações de tratamento”. Em função da natureza das operações de tratamento e das atividades e dimensão da organização, devem ser concedidos os seguintes recursos ao EPD:

• Apoio ativo às suas funções por parte dos quadros de gestão superiores;
• Tempo suficiente para que este possa desempenhar as suas tarefas;
• Apoio adequado em termos de recursos humanos, financeiros, infraestruturas (locais, instalações, equipamento), sempre que necessário;
• Comunicação oficial da sua nomeação a todo o pessoal, a fim de divulgar a sua existência e missão dentro da organização;
• Acesso a outros serviços no seio da organização, para que este possa receber apoio, contributos ou informações essenciais por parte destes outros serviços;
• Formação contínua que lhe possibilite manter-se atualizado no que diz respeito aos desenvolvimentos no domínio da proteção de dados. O objetivo deve ser uma melhoria permanente do nível das suas competências, incentivando-o a participar em cursos de formação sobre proteção de dados e noutras iniciativas de desenvolvimento profissional, tais como conferências sobre privacidade, seminários, etc.;
• Uma equipa do EPD, consoante a dimensão e a estrutura da organização. Nestes casos, a estrutura interna da equipa e as funções e responsabilidades de cada um dos seus membros devem estar claramente definidas. De igual modo, se a função do EPD for exercida por um prestador de serviços externo, um conjunto de pessoas que trabalham para essa entidade poderá́ exercer de modo eficaz as funções de EPD enquanto equipa, sob a responsabilidade de um contacto principal designado para o cliente.

De modo geral, quanto mais complexas e/ou sensíveis forem as operações de tratamento, mais recursos devem ser concedidos ao EPD. A missão de proteção de dados deve ser eficaz e dotada de recursos suficientes para o tratamento de dados efetuado.

O EPD tem pelo menos as seguintes funções (art.º 39.º/1):

• Informa e aconselha o RT/S, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos do presente regulamento e de outras disposições de proteção de dados da União ou dos Estados-Membros;
• “Controla a conformidade” com o presente regulamento, com outras disposições de proteção de dados da UE ou dos Estados-Membros e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes;
• Presta aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controla a sua realização nos termos do art.º 35.º;
• Coopera com a autoridade de controlo;
• Ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento, incluindo a consulta prévia a que se refere o art.º 36.º, e consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto.

E ainda (art.º 11.º da Lei 58):

• Assegura a realização de auditorias, quer periódicas, quer não programadas;
• Sensibiliza os utilizadores para a importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança;
• Assegura as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e pela legislação nacional em matéria de proteção de dados.

A al. b) do art.º 39.º/1, incumbe o EPD, entre outras funções, de controlar a conformidade com o RGPD. O considerando 97 especifica, por outro lado, que o EPD deve assistir "o responsável pelo tratamento [...] ou o subcontratante [...] no controlo do cumprimento do presente regulamento a nível interno".

No âmbito destas atribuições de controlo da conformidade, os EPD podem, nomeadamente:

• Recolher informações para identificar as atividades de tratamento;
• Analisar e verificar a conformidade das atividades de tratamento;
• Prestar informações e aconselhamento e formular recomendações ao RT/S.

O controlo da conformidade não significa que a responsabilidade pessoal do EPD seja imputada em caso de incumprimento. O RGPD esclarece que compete ao responsável pelo tratamento, e não ao EPD, aplicar “as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento” (art.º 24.º/1). O cumprimento das regras de proteção de dados é uma competência empresarial do responsável pelo tratamento de dados, e não do EPD.

Nos termos do art.º 35.º/1, cabe ao responsável pelo tratamento, e não ao EPD, proceder, quando necessário, a uma avaliação de impacto sobre a proteção de dados (AIPD). Todavia, o EPD pode desempenhar um papel importante e útil, prestando assistência ao responsável pelo tratamento. Aplicando o princípio da proteção de dados desde a conceção, o art.º 35/2, dispõe expressamente que, ao efetuar uma AIPD, o responsável pelo tratamento deve “solicitar o parecer” do EPD. Por sua vez, a al. c) do art.º 39.º/1, determina que o EPD deve “prestar aconselhamento, quando tal lhe for solicitado, no que respeita à AIPD, e controlar a sua realização nos termos do art.º 35.º”.

O GT 29 recomenda que o responsável pelo tratamento solicite o parecer do EPD sobre as seguintes questões, entre outras^[10]:

• Se deve ou não efetuar uma AIPD;
• Qual a metodologia a seguir na realização de uma AIPD;
• Se deve realizar a AIPD internamente ou externalizá-la;
• Quais as salvaguardas (incluindo medidas técnicas e organizativas) a aplicar no sentido de atenuar os eventuais riscos para os direitos e interesses dos titulares de dados;
• Se a avaliação de impacto sobre a proteção de dados foi ou não corretamente efetuada e se as suas conclusões (se o tratamento deve ou não ser realizado e quais as salvaguardas a aplicar) estão em conformidade com o RGPD.

Se o responsável pelo tratamento discordar do parecer emitido pelo EPD, a documentação da AIPD deve justificar especificamente, por escrito, os motivos pelos quais o parecer não foi tido em conta^[11].

O GT 29 recomenda, além disso, que o responsável pelo tratamento indique claramente, por exemplo, no contrato com o EPD, bem como nas informações prestadas aos trabalhadores e aos quadros de gestão (e a outras partes interessadas, se for caso disso), as tarefas específicas do EPD e o respetivo âmbito de aplicação, nomeadamente no que diz respeito à realização da AIPD.

O art.º 39.º/2, exige que o EPD tenha “em devida consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento”.

Este artigo alude a um princípio geral e assente no bom senso, que pode revelar-se pertinente em muitos aspetos do trabalho diário do EPD. Essencialmente, exige que os EPD estabeleçam prioridades nas suas atividades e centrem os seus esforços nas questões que apresentam maiores riscos em matéria de proteção de dados. Tal não implica que os EPD devam negligenciar o controlo da conformidade das operações de tratamento de dados que, em termos comparativos, acarretam um nível de risco mais reduzido, indiciando antes que devem centrar-se fundamentalmente nos domínios de maior risco.

Esta abordagem seletiva e pragmática deve apoiar os EPD na sua missão de prestar aconselhamento ao responsável pelo tratamento sobre:

• a metodologia a seguir na realização de uma AIPD;
• os domínios que devem ser objeto de auditorias internas ou externas sobre a proteção de dados;
• as ações de formação internas a disponibilizar ao pessoal ou aos quadros de gestão responsáveis pelas atividades de tratamento de dados;
• as operações de tratamento às quais o responsável pelo tratamento deve consagrar uma parte mais significativa do seu tempo e recursos.

Nos termos do art.º 30.º, n.os 1 e 2, é o RT/S, e não o EPD, que “conserva um registo de todas as atividades de tratamento sob a sua responsabilidade” ou “conserva um registo de todas as categorias de atividades de tratamento realizadas em nome de um responsável pelo tratamento”. Este instrumento permite ao responsável pelo tratamento e à autoridade de controlo, a pedido destes, obter uma perspetiva geral de todas as atividades de tratamento de dados pessoais levadas a cabo por uma organização. Trata-se, portanto, de um requisito prévio da conformidade e, como tal, constitui uma medida de responsabilização eficaz.

O art.º 39.º/1, prevê uma lista das funções mínimas que devem incumbir ao EPD. Por conseguinte, nada impede que o RT/S atribua ao EPD a função de conservar o registo das atividades de tratamento sob a responsabilidade do RT/S. Esses registos devem ser considerados um dos instrumentos que permitem ao EPD desempenhar as suas funções de controlo da conformidade e de prestação de informações e aconselhamento ao RT/S (art.º 39.º/1, al. c), e art.º 30.º).

Na prática e por norma, os EPD criam inventários e mantêm um registo das operações de tratamento baseado nas informações que recebem dos vários departamentos da sua organização que tratam dados pessoais. Esta prática foi estabelecida ao abrigo de muitas disposições legislativas nacionais em vigor e em conformidade com as normas de proteção de dados aplicáveis às instituições e aos órgãos da UE^[12].

O art.º 38.º/6, permite que o EPD possa “exercer outras funções e atribuições”. Porém, exige que a organização assegure que “essas funções e atribuições não resultam num conflito de interesses”. A ausência de conflitos de interesses está intimamente ligada ao requisito de independência dos EPD. Embora os EPD estejam autorizados a desempenhar outras tarefas, só podem ser incumbidos de outras funções e atribuições se estas não derem origem a conflitos de interesses. Deste modo, o EPD não pode exercer um cargo dentro da organização que o leve a determinar as finalidades e os meios do tratamento de dados pessoais. Devido à estrutura organizacional específica de cada organização, este aspeto deve ser apreciado caso a caso. Regra geral, os cargos suscetíveis de gerarem conflitos no seio da organização podem incluir os cargos de direção superiores, mas também outras funções em níveis inferiores da estrutura organizacional, se esses cargos ou funções levarem à determinação das finalidades e dos meios de tratamento. Além disso, pode igualmente surgir um conflito de interesses se, por exemplo, um EPD externo for chamado a representar o RT/S perante os tribunais no âmbito de processos respeitantes a questões de proteção de dados art.º 38.º, n.os 3 e 6). Consoante as atividades, a dimensão e a estrutura da organização, é aconselhável, como boa prática, que o RT/S: Identifique os cargos que se afigurariam incompatíveis com as funções de EPD; Aprove normas internas para o efeito, com o intuito de evitar conflitos de interesses; Inclua uma explicação mais geral sobre os conflitos de interesses; Declare que os respetivos EPD não têm conflitos de interesses no que se refere às suas funções enquanto EPD, como forma de divulgação deste requisito; Inclua salvaguardas no regulamento interno da organização e assegurem que o anúncio de vaga para o lugar de EPD ou o contrato de prestação de serviços seja suficientemente preciso e pormenorizado, com vista a evitar conflitos de interesses. Neste contexto, importa igualmente ter em conta que os conflitos de interesses podem assumir formas diferentes em função do vínculo laboral do EPD, enquanto colaborador interno ou externo.

Existem várias salvaguardas para permitir ao EPD atuar de forma independente, nomeadamente:

• O RT/S não dá instruções relativas ao exercício das funções do EPD;
• O RT/S não pode destituir nem penalizar o EPD pelo exercício das suas funções;
• Não existe conflito de interesses com outras possíveis funções e atribuições.

Nos termos do art.º 39.º/ 1, alíneas d) e e), o EPD “coopera com a autoridade de controlo” e serve de “ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento, incluindo a consulta prévia a que se refere o art.º 36.º, e consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto”.

Estas funções enquadram-se no papel ponto de contacto no sentido de facilitar (“facilitador”) o acesso da autoridade de controlo aos documentos e informações necessários para o desempenho das funções elencadas no art.º 57.º, bem como para o exercício dos seus poderes de investigação, de correção, consultivos e de autorização, tal como referidos no art.º 58.º. A obrigação de sigilo/confidencialidade não proíbe o EPD de contactar, consultar e solicitar o parecer da autoridade de controlo, conforme previsto na al. e) do art.º 39.º/1.

Em conformidade com o art.º 38.º/3, o EPD não pode ser destituído nem penalizado (sequer ameaçado) pelo RT/S pelo facto de exercer as suas funções. Este requisito beneficia o EPD de proteção suficiente no desempenho das suas funções, reforça a sua autonomia e ajuda-o a garantir uma atuação independente. Quanto mais garantias existirem contra a destituição abusiva, maior será a probabilidade de o EPD poder atuar de forma independente.