Este site utiliza cookies para lhe proporcionar uma melhor experiência de utilização. Ao navegar aceita a política de cookies.
OK, ACEITO

O Encarregado de Proteção de Dados[1]


47_triangulo_epdO Regulamento Geral sobre a Proteção de Dados [2] (RGPD) proporciona um quadro de cumprimento modernizado e assente na responsabilidade em matéria de proteção de dados na EU. Os encarregados da proteção de dados (EPD) assumem um papel central neste novo quadro normativo, facilitando o cumprimento das disposições do RGPD, mas não substituindo a competência do responsável pelo tratamento / subcontratante (RT/S), de assegurar e poder comprovar que o tratamento é realizado em conformidade com as suas disposições, conforme preconizado no art.º 24.º/1[3].
O EPD oferece uma vantagem competitiva às empresas e servem de intermediários entre a autoridade de controlo (Comissão Nacional de Proteção de Dados – CNPD), os titulares de dados e as instituições. É nessa perspetiva que o RGPD reconhece o papel essencial do EPD enquanto participante no novo sistema de governação de dados e estabelece as condições aplicáveis à sua nomeação, posição e atribuições.

Para uma melhor perceção do seu papel nas organizações, responde-se às seguintes QUESTÕES:

 

1. A designação do EPD é obrigatória?

2. Qual o significado de “atividade principais”?

3. Qual o significado de “entidades públicas”?

4. Qual o número mínimo de EPD nas entidades públicas?

5. Qual o significado de “grande escala”?

6. Qual o significado de ”controlo regular e sistemático”?

7. As organizações podem nomear conjuntamente um EPD?

8. É possível nomear um EPD externo?

9. Onde deve estar localizado o EPD?

10. Quais devem ser as qualidades profissionais do EPD?

11. O EDP precisa de uma certificação profissional?

12. O EPD pode receber instruções quanto à forma de tratar uma questão?

13. O EPD é pessoalmente responsável pelo incumprimento dos requisitos de proteção de dados?

14. Como é feita a publicação e comunicação dos contactos do EPD?

15. O EPD precisa de ser registado?

16. O EPD está obrigado ao dever de sigilo?

17. O EPD deve estar envolvido em todas as questões relativas à proteção de dados pessoais?

18. Que recursos o responsável pelo tratamento ou o subcontratante deve conceder ao EPD?

19. Quais as funções do EPD?

20. Como é feito o “controlo da conformidade” com o RGPD?

21. Qual o papel do EPD no âmbito da avaliação de impacto sobre a proteção de dados?

22. Como é que o EPD faz a abordagem baseada no risco?

23. Qual o papel do EPD na conservação do registo de atividades?

24. Qual o significado de «conflito de interesses»?

25. Que salvaguardas permitem que o EPD desempenhe as suas funções com independência?

26. Como é que o EPD faz a cooperação com a autoridade de controlo?

27. O EPD pode ser destituído ou penalizado pelo exercício das suas funções?

A designação do EPD é obrigatória? 

Sim, a designação do EPD é obrigatória sempre que:

  • Independentemente dos dados objeto de tratamento, este for efetuado por autoridade ou organismo público (al. a) do art.º 37.º/1)[4], à exceção dos tribunais no exercício da sua função jurisdicional[5];
  • As “atividades principais” do RT/S consistirem em operações de tratamento que exijam controlo regular e sistemático dos titulares dos dados em grande escala (al. b) do art.º 37.º/1, reforçada pela al. a) do art.º 13 da Lei 58);
  • As “atividades principais” do RT/S consistirem em operações de tratamento em grande escala de categorias especiais de dados[6] ou[7] de dados pessoais relacionados com condenações penais e infrações (al. c) do art.º 37/1 reforçada pela al. b) do art.º 13 da Lei 58);
  • Noutras situações em que o direito da União ou dos Estados-Membros o exija (art.º 37.º/4).

Excetuando os casos em que seja evidente que uma organização não é obrigada a designar um EPD, o GT 29 recomenda que o RT/S documente a análise interna efetuada no sentido de determinar se deve ou não ser nomeado um EPD, com vista a poder comprovar que os fatores pertinentes foram devidamente tomados em consideração[8]. Esta análise deve fazer parte da documentação no âmbito do princípio da responsabilidade e pode vir a ser solicitada pela autoridade de controlo, devendo ser atualizada sempre que necessário, por exemplo, caso os RT/S iniciem novas atividades ou prestem novos serviços que possam ser abrangidos pelo art.º 37.º/1 (designação do EPD).

Ademais, mesmo quando não é obrigatório designar um EPD, as organizações poderão considerar conveniente designá-lo a título voluntário. Nestes casos são extensíveis à sua nomeação, posição e atribuições os requisitos aplicáveis à designação obrigatória.

Qual o significado de “atividade principais”?

As “atividades principais” (al. b) e c) do art.º 37.º/1) podem entender-se como as operações essenciais para alcançar os objetivos do RT/S, as quais incluem também todas as atividades em que o tratamento de dados constitui parte indissociável das atividades do RT/S. Por exemplo, os hospitais devem nomear um EPD porque o tratamento de dados relativos à saúde deve ser considerado uma das atividades principais, ao contrário de determinadas atividades de apoio à atividade principal, como a remuneração dos seus trabalhadores ou atividades comuns de apoio informático (atividades de funções acessórias).

    

    Qual o significado de “entidades públicas”?

    Entende-se por entidades públicas (art.º 12.º/2 da Lei 58):

    • O Estado;
    • As regiões autónomas;
    • As autarquias locais e as entidades supranacionais previstas na lei;
    • As entidades administrativas independentes e o Banco de Portugal;
    • Os institutos públicos;
    • As instituições de ensino superior públicas, independentemente da sua natureza;
    • As empresas do setor empresarial do Estado e dos setores empresariais regionais e locais;
    • As associações públicas.

    Qual o número mínimo de EPD nas entidades públicas?

    Existe pelo menos um EPD (art.º 12.º/3 da Lei 58):

    • Por cada ministério ou área governativa, no caso do Estado, sendo designado pelo respetivo ministro, com faculdade de delegação em qualquer secretário de Estado que o coadjuvar;
    • Por cada secretaria regional, no caso das regiões autónomas, sendo designado pelo respetivo secretário regional, com faculdade de delegação em dirigente superior de 1.º grau;
    • Por cada município, sendo designado pela câmara municipal, com faculdade de delegação no presidente e subdelegação em qualquer vereador;
    • Nas freguesias em que tal se justifique, nomeadamente naquelas com mais de 750 habitantes, sendo designado pela junta de freguesia, com faculdade de delegação no presidente;
    • Por cada entidade, no caso das demais entidades referidas no número anterior, sendo designada pelo respetivo órgão executivo, de administração ou gestão, com faculdade de delegação no respetivo presidente.

    Qual o significado de “grande escala”?

    O RGPD não define o que constitui um tratamento de “grande escala”, mas o GT 29 recomenda que sejam tomados em consideração os seguintes fatores:

    • o número de titulares de dados afetados – como número concreto ou em percentagem da população em causa;
    • o volume de dados e/ou o alcance dos diferentes elementos de dados objeto de tratamento;
    • a duração, ou permanência, da atividade de tratamento de dados;
    • o âmbito geográfico da atividade de tratamento.

    Consideram-se como exemplos de tratamento de grande escala:

    • o tratamento de dados de doentes no exercício normal das atividades de um hospital;
    • o tratamento de dados de viagem das pessoas que utilizam o sistema de transportes públicos de uma cidade;
    • o tratamento em tempo real de dados de geolocalização de clientes de uma cadeia de restauração rápida internacional para fins estatísticos;
    • o tratamento de dados de clientes no exercício normal das atividades de uma companhia de seguros ou de um banco;
    • o tratamento de dados pessoais para fins de publicidade comportamental por um motor de busca;
    • o tratamento de dados (conteúdo, tráfego, localização) por operadoras.

    Como exemplos de não tratamento de grande escala, considera-se:

    • o tratamento de dados de doentes pacientes por um médico;
    • o tratamento de dados pessoais relacionados com condenações penais e infrações por um advogado.

    Qual o significado de controlo regular e sistemático”?

    A noção de “controlo regular e sistemático” (al. b) do art.º 37.º/1) dos titulares dos dados não está definida no RGPD, mas inclui claramente todas as formas de seguimento e de definição de perfis.

    Na interpretação do GT 29, “regular” significa, neste caso, uma ou mais das seguintes características:

    • Contínuo ou que ocorre a intervalos específicos num determinado período;
    • Recorrente ou repetido em horários estipulados;
    • Constante ou periódico.

    Na interpretação do GT29, “sistemático” significa, neste caso, uma ou mais das seguintes características:

    • Que ocorre de acordo com um sistema;
    • Predefinido, organizado ou metódico;
    • Realizado no âmbito de um plano geral de recolha de dados;
    • Efetuado no âmbito de uma estratégia.

    São exemplos de atividades que podem constituir um controlo regular e sistemático dos titulares de dados: 

    • a exploração de uma rede de telecomunicações; 
    • a prestação de serviços de telecomunicações; 
    • a reorientação de mensagens de correio eletrónico; 
    • as atividades de promoção comercial baseadas em dados; 
    • a definição de perfis e pontuação para fins de avaliação dos riscos; 
    • a localização; 
    • os programas de fidelização; 
    • a publicidade comportamental;
    • o controlo de dados relativos ao bem-estar, à condição física e à saúde através de dispositivos usáveis; 
    • a televisão em circuito fechado; 
    • os dispositivos ligados por contadores inteligentes, automóveis inteligentes, domótica, etc.

    As organizações podem nomear conjuntamente um EPD?

    Sim, pode ser designado um único EPD para várias autoridades ou organismos públicos, tendo em conta a respetiva estrutura organizacional e dimensão. Uma vez que o EPD tem a seu cargo um conjunto de funções, o RT/S deve assegurar que um único EPD, com a ajuda de uma equipa, se necessário, possa cumprir as suas funções de forma eficiente, apesar de ter sido nomeado para várias autoridades e organismos públicos (art.º 37.º, n.os 2 e 3).

    O EPD deve estar “facilmente acessível a partir de cada estabelecimento”, i.e., as comunicações devem ser efetuadas na língua ou nas línguas utilizadas pelas autoridades de controlo e pelos titulares de dados em causa.

    A disponibilidade de um EPD (quer fisicamente nas mesmas instalações que os trabalhadores, quer através de uma linha direta ou de outros meios de comunicação seguros) é essencial para garantir que os titulares dos dados possam contactá-lo (art.º 37.º/6).

    É possível nomear um EPD externo?

    Sim, o EPD pode ser um elemento do pessoal da entidade RT/S, ou exercer as suas funções com base num contrato de prestação de serviços.

    Por motivos de clareza jurídica e de boa organização, e no sentido de prevenir conflitos de interesses dos membros das equipas, o GT 29 recomenda que o contrato de prestação de serviços preveja uma clara repartição das tarefas no seio da equipa do EPD externo e a designação de uma única pessoa como contacto principal e pessoa “responsável” do cliente (art.º 37.º/6).

    Onde deve estar localizado o EPD?

    No sentido de assegurar que o EPD esteja acessível, o GT 29 recomenda que o EPD esteja localizado na UE, independentemente de o RT/S estar ou não estabelecido na UE.
    

    Quais devem ser as qualidades profissionais do EPD?

    O art.º 37.º/5, dispõe que o EPD “é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções referidas no art.º 39.º”. O considerando 97 prevê que o nível necessário de conhecimentos especializados deverá ser determinado em função das operações de tratamento de dados realizadas e da proteção exigida para os dados pessoais objeto de tratamento.

    nível necessário de competências não é definido de forma rigorosa, mas deve coadunar-se com a sensibilidade, a complexidade e a quantidade de dados tratados por uma organização. Por exemplo, se a atividade de tratamento de dados for particularmente complexa, ou se estiver em causa uma grande quantidade de dados sensíveis, o EPD poderá́ necessitar de um nível de competências e de apoio mais elevado. Outra variação depende do facto de a organização transferir sistematicamente os dados pessoais para fora da UE ou de estas transferências serem ocasionais. Neste sentido, o EPD deve ser escolhido de forma criteriosa, tendo devidamente em conta as questões de proteção de dados suscitadas no âmbito da organização.

    Embora o art.º 37.º/5, não explicite quais as qualidades profissionais que devem ser consideradas aquando da nomeação do EPD, como atributos pertinentes, os EPD devem ter competências no domínio da legislação nacional e comunitária em matéria de proteção de dados e um conhecimento profundo do RGPD. É igualmente conveniente que as autoridades de controlo promovam formações adequadas e regulares destinadas aos EPD. O EPD deve ter bons conhecimentos do setor empresarial e da organização do responsável pelo tratamento e também das operações de tratamento efetuadas, bem como dos sistemas de informação, da segurança dos dados e das necessidades de proteção de dados do responsável pelo tratamento.

    No caso das autoridades ou organismos públicos, o EPD deve igualmente ter um conhecimento sólido das regras e dos procedimentos administrativos da organização.

    capacidade para desempenhar as funções atribuídas ao EPD deve ser interpretada como um atributo respeitante não só́ às suas qualidades e conhecimentos pessoais, mas também à sua posição no seio da organização. As qualidades pessoais devem incluir, por exemplo, a integridade e um elevado nível de ética profissional; a principal preocupação do EPD deve consistir em permitir o cumprimento do RGPD. O EPD desempenha um papel determinante na promoção de uma cultura de proteção de dados no seio da organização e contribui para dar cumprimento aos elementos essenciais do RGPD, tais como os princípios do tratamento de dados (Capítulo II), os direitos dos titulares de dados (Capítulo III), a proteção de dados desde a conceção e por defeito (art.º 25.º), os registos das atividades de tratamento (art.º 30.º), a segurança do tratamento (art.º 32.º) e a notificação e comunicação de violações de dados (art.os 33.º e 34.º).

    As funções do EPD podem igualmente ser exercidas com base num contrato de prestação de serviços celebrado com uma pessoa ou uma organização fora do âmbito da organização do RT/S. Neste último caso, é essencial que cada membro da organização que exerça as funções de EPD cumpra todos os requisitos aplicáveis da Secção 4 do RGPD (p. ex., é essencial que nenhum interveniente tenha um conflito de interesses). É igualmente importante que cada um destes membros esteja protegido pelas disposições do RGPD (p. ex., garantindo a impossibilidade de rescisão abusiva do contrato de prestação de serviços para atividades enquanto EPD, ou de destituição abusiva de qualquer membro da organização que executa as tarefas de EPD). Simultaneamente, as competências e os pontos fortes individuais podem ser combinados de modo que várias pessoas, trabalhando em equipa, possam servir os seus clientes de forma mais eficiente.

    Por motivos de clareza jurídica e de boa organização, e no sentido de prevenir conflitos de interesses dos membros das equipas, recomenda-se uma clara repartição das tarefas no seio da equipa do EPD e a designação de uma única pessoa como contacto principal e pessoa «responsável» para cada cliente.

    Em suma, as competências e conhecimentos especializados pertinentes do EPD, devem incluir:

    • Competências no domínio das normas e práticas de proteção de dados nacionais e europeias, incluindo um conhecimento profundo do RGPD;
    • Conhecimento das operações de tratamento efetuadas;
    • Conhecimento das tecnologias da informação e da segurança dos dados;
    • Conhecimento do setor empresarial e da organização;
    • Capacidade para promover uma cultura de proteção de dados no seio da organização (art.º 37.º/5).
    

    O EDP precisa de uma certificação profissional?

    O EPD “é designado com base nos requisitos previstos no art.º 37.º/5 do RGPD, não carecendo de certificação profissional para o efeito” (art.º 9.º/1 da Lei 58).
    

    O EPD pode receber instruções quanto à forma de tratar uma questão?

    O art.º 38.º/3 estabelece determinadas garantias básicas no sentido de ajudar a assegurar que o EPD tenha condições para executar as suas tarefas com suficiente grau de autonomia no seio da sua organização. Concretamente, os RT/S devem assegurar que o EPD “não recebe instruções relativamente ao exercício das suas funções”. O considerando 97 refere, além disso, que os EPD, “sejam ou não empregados do responsável pelo tratamento, deverão estar em condições de desempenhar as suas funções e atribuições com independência”.  Já o art.º 9.º/2 da Lei 58 refere que “independentemente da natureza da sua relação jurídica, o EPD exerce a sua função com autonomia técnica perante a entidade responsável pelo tratamento ou subcontratante”.

    A autonomia dos EPD não implica, contudo, que lhes sejam conferidos poderes decisórios que extravasem as suas funções em conformidade com o art.º 39.º.

    O RT/S permanece responsável pelo cumprimento das normas de proteção de dados e deve poder comprovar esse cumprimento. Se o RT/S tomar decisões incompatíveis com o RGPD e com o parecer do EPD, deve ser dada a possibilidade ao EPD de transmitir de forma clara o seu parecer divergente ao mais alto nível da direção e a quem tomou as decisões. A este respeito, nos termos do art.º 38.º/3, o EPD “informa diretamente a direção ao mais alto nível do responsável pelo tratamento ou do subcontratante”. Esta comunicação direta assegura que os quadros de gestão superiores têm conhecimento do parecer e das recomendações do EPD, no âmbito da missão do EPD de informar e aconselhar o RT/S. Outro exemplo de comunicação direta consiste na elaboração de um relatório anual de atividades do EPD, a apresentar ao mais alto nível da direção.

    O EPD é pessoalmente responsável pelo incumprimento dos requisitos de proteção de dados?

    O EPD não é pessoalmente responsável pelo incumprimento dos requisitos de proteção de dados. Compete ao RT/S assegurar e comprovar que o tratamento respeita o Regulamento aplicável. O cumprimento das normas de proteção de dados é da competência do RT/S.
    

    Como é feita a publicação e comunicação dos contactos do EPD?

    O art.º 37.º/7 não exige que os contactos publicados incluam o nome do EPD. Ainda que a publicação desta informação possa constituir uma boa prática[9], cabe ao RT/S e ao EPD decidirem se tal é necessário ou útil nas circunstâncias concretas. No entanto, a comunicação do nome do EPD à autoridade de controlo é essencial para que o EPD possa funcionar como ponto de contacto entre a organização e a autoridade de controlo (al. e) do art.º 39.º/1).

    Os contactos do EPD devem incluir informações que permitam aos titulares dos dados e às autoridades de controlo contactar facilmente o EPD (endereço postal, número de telefone e/ou endereço de correio eletrónico). Se necessário, para efeitos de comunicação com o público, podem igualmente ser disponibilizados outros meios de comunicação, por exemplo uma linha direta específica, ou um formulário específico de contacto do EPD, disponível no sítio Web da organização.

    O EPD precisa de ser registado?

    Sim, os dados do EPD têm de ser comunicados à CNPD, em formulário próprio.
    

    O EPD está obrigado ao dever de sigilo?

    O EPD está vinculado à obrigação de sigilo/confidencialidade no exercício das suas funções, em conformidade com o direito da União ou dos Estados-Membros (art.º 38.º/5). Esta confidencialidade é igualmente importante para que os trabalhadores possam apresentar queixas ao EPD (o art.º 10.º/1 da Lei 58 reforça essa obrigação de confidencialidade).
    

    O EPD deve estar envolvido em todas as questões relativas à proteção de dados pessoais?

    Nos termos do art.º 38.º, o RT/S deve assegurar que o EPD seja “envolvido, de forma adequada e em tempo útil, em todas as questões relacionadas com a proteção de dados pessoais”.

    O RT/S deve assegurar que o EPD é informado e consultado durante a fase inicial, para facilitar o cumprimento do RGPD e promover uma abordagem de proteção da privacidade desde a conceção, devendo este ser o procedimento normal da governação da organização. Além disso, é importante que o EPD seja encarado como interlocutor no seio da organização e que faça parte dos grupos de trabalho incumbidos de gerir as atividades de tratamento de dados nessa organização.

    Por conseguinte, a organização deve assegurar, por exemplo, que:

    • O EPD é convidado a participar regularmente nas reuniões dos quadros de gestão médios e superiores;
    • A sua presença é recomendada sempre que sejam adotadas decisões com implicações na proteção de dados;
    • Todas as informações pertinentes sejam transmitidas oportunamente ao EPD, para que este possa prestar um aconselhamento adequado;
    • O parecer do EPD é sempre devidamente ponderado. Em caso de desacordo, o GT 29 recomenda, como boa prática, que sejam enunciados os motivos para não seguir o parecer do EPD;
    • O EPD é imediatamente consultado após a ocorrência de uma violação de dados ou outro incidente;
    • Se for caso disso, o RT/S pode elaborar orientações ou programas em matéria de proteção de dados que definam em que momento o EPD deve ser consultado.

    Que recursos o responsável pelo tratamento ou o subcontratante deve conceder ao EPD?

    O art.º 38.º/2 exige que a organização apoie o seu EPD, “fornecendo-lhe os recursos necessários ao desempenho das suas funções e à manutenção dos seus conhecimentos, bem como dando-lhe acesso aos dados pessoais e às operações de tratamento”. Em função da natureza das operações de tratamento e das atividades e dimensão da organização, devem ser concedidos os seguintes recursos ao EPD:

    • Apoio ativo às suas funções por parte dos quadros de gestão superiores;
    • Tempo suficiente para que este possa desempenhar as suas tarefas;
    • Apoio adequado em termos de recursos humanos, financeiros, infraestruturas (locais, instalações, equipamento), sempre que necessário;
    • Comunicação oficial da sua nomeação a todo o pessoal, a fim de divulgar a sua existência e missão dentro da organização;
    • Acesso a outros serviços no seio da organização, para que este possa receber apoio, contributos ou informações essenciais por parte destes outros serviços;
    • Formação contínua que lhe possibilite manter-se atualizado no que diz respeito aos desenvolvimentos no domínio da proteção de dados. O objetivo deve ser uma melhoria permanente do nível das suas competências, incentivando-o a participar em cursos de formação sobre proteção de dados e noutras iniciativas de desenvolvimento profissional, tais como conferências sobre privacidade, seminários, etc.;
    • Uma equipa do EPD, consoante a dimensão e a estrutura da organização. Nestes casos, a estrutura interna da equipa e as funções e responsabilidades de cada um dos seus membros devem estar claramente definidas. De igual modo, se a função do EPD for exercida por um prestador de serviços externo, um conjunto de pessoas que trabalham para essa entidade poderá́ exercer de modo eficaz as funções de EPD enquanto equipa, sob a responsabilidade de um contacto principal designado para o cliente.

    De modo geral, quanto mais complexas e/ou sensíveis forem as operações de tratamento, mais recursos devem ser concedidos ao EPD. A missão de proteção de dados deve ser eficaz e dotada de recursos suficientes para o tratamento de dados efetuado.

    Quais as funções do EPD?

    O EPD tem pelo menos as seguintes funções (art.º 39.º/1):

    • Informa e aconselha o RT/S, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos do presente regulamento e de outras disposições de proteção de dados da União ou dos Estados-Membros;
    • “Controla a conformidade” com o presente regulamento, com outras disposições de proteção de dados da UE ou dos Estados-Membros e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes;
    • Presta aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controla a sua realização nos termos do art.º 35.º;
    • Coopera com a autoridade de controlo;
    • Ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento, incluindo a consulta prévia a que se refere o art.º 36.º, e consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto.

    E ainda (art.º 11.º da Lei 58):

    • Assegura a realização de auditorias, quer periódicas, quer não programadas;
    • Sensibiliza os utilizadores para a importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança;
    • Assegura as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e pela legislação nacional em matéria de proteção de dados.

    Como é feito o “controlo da conformidade” com o RGPD?

    A al. b) do art.º 39.º/1, incumbe o EPD, entre outras funções, de controlar a conformidade com o RGPD. O considerando 97 especifica, por outro lado, que o EPD deve assistir "o responsável pelo tratamento [...] ou o subcontratante [...] no controlo do cumprimento do presente regulamento a nível interno".

    No âmbito destas atribuições de controlo da conformidade, os EPD podem, nomeadamente:

    • Recolher informações para identificar as atividades de tratamento;
    • Analisar e verificar a conformidade das atividades de tratamento;
    • Prestar informações e aconselhamento e formular recomendações ao RT/S.

    O controlo da conformidade não significa que a responsabilidade pessoal do EPD seja imputada em caso de incumprimento. O RGPD esclarece que compete ao responsável pelo tratamento, e não ao EPD, aplicar “as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento” (art.º 24.º/1). O cumprimento das regras de proteção de dados é uma competência empresarial do responsável pelo tratamento de dados, e não do EPD.

    Qual o papel do EPD no âmbito da avaliação de impacto sobre a proteção de dados?

    Nos termos do art.º 35.º/1, cabe ao responsável pelo tratamento, e não ao EPD, proceder, quando necessário, a uma avaliação de impacto sobre a proteção de dados (AIPD). Todavia, o EPD pode desempenhar um papel importante e útil, prestando assistência ao responsável pelo tratamento. Aplicando o princípio da proteção de dados desde a conceção, o art.º 35/2, dispõe expressamente que, ao efetuar uma AIPD, o responsável pelo tratamento deve “solicitar o parecer” do EPD. Por sua vez, a al. c) do art.º 39.º/1, determina que o EPD deve “prestar aconselhamento, quando tal lhe for solicitado, no que respeita à AIPD, e controlar a sua realização nos termos do art.º 35.º”.

    O GT 29 recomenda que o responsável pelo tratamento solicite o parecer do EPD sobre as seguintes questões, entre outras[10]:

    • Se deve ou não efetuar uma AIPD;
    • Qual a metodologia a seguir na realização de uma AIPD;
    • Se deve realizar a AIPD internamente ou externalizá-la;
    • Quais as salvaguardas (incluindo medidas técnicas e organizativas) a aplicar no sentido de atenuar os eventuais riscos para os direitos e interesses dos titulares de dados;
    • Se a avaliação de impacto sobre a proteção de dados foi ou não corretamente efetuada e se as suas conclusões (se o tratamento deve ou não ser realizado e quais as salvaguardas a aplicar) estão em conformidade com o RGPD.

    Se o responsável pelo tratamento discordar do parecer emitido pelo EPD, a documentação da AIPD deve justificar especificamente, por escrito, os motivos pelos quais o parecer não foi tido em conta[11].

    O GT 29 recomenda, além disso, que o responsável pelo tratamento indique claramente, por exemplo, no contrato com o EPD, bem como nas informações prestadas aos trabalhadores e aos quadros de gestão (e a outras partes interessadas, se for caso disso), as tarefas específicas do EPD e o respetivo âmbito de aplicação, nomeadamente no que diz respeito à realização da AIPD.

    Como é que o EPD faz a abordagem baseada no risco?

    O art.º 39.º/2, exige que o EPD tenha “em devida consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento”.

    Este artigo alude a um princípio geral e assente no bom senso, que pode revelar-se pertinente em muitos aspetos do trabalho diário do EPD. Essencialmente, exige que os EPD estabeleçam prioridades nas suas atividades e centrem os seus esforços nas questões que apresentam maiores riscos em matéria de proteção de dados. Tal não implica que os EPD devam negligenciar o controlo da conformidade das operações de tratamento de dados que, em termos comparativos, acarretam um nível de risco mais reduzido, indiciando antes que devem centrar-se fundamentalmente nos domínios de maior risco.

    Esta abordagem seletiva e pragmática deve apoiar os EPD na sua missão de prestar aconselhamento ao responsável pelo tratamento sobre:

    • metodologia a seguir na realização de uma AIPD;
    • os domínios que devem ser objeto de auditorias internas ou externas sobre a proteção de dados;
    • as ações de formação internas a disponibilizar ao pessoal ou aos quadros de gestão responsáveis pelas atividades de tratamento de dados;
    • as operações de tratamento às quais o responsável pelo tratamento deve consagrar uma parte mais significativa do seu tempo e recursos.

    Qual o papel do EPD na conservação do registo de atividades?

    Nos termos do art.º 30.º, n.os 1 e 2, é o RT/S, e não o EPD, que “conserva um registo de todas as atividades de tratamento sob a sua responsabilidade” ou “conserva um registo de todas as categorias de atividades de tratamento realizadas em nome de um responsável pelo tratamento”. Este instrumento permite ao responsável pelo tratamento e à autoridade de controlo, a pedido destes, obter uma perspetiva geral de todas as atividades de tratamento de dados pessoais levadas a cabo por uma organização. Trata-se, portanto, de um requisito prévio da conformidade e, como tal, constitui uma medida de responsabilização eficaz.

    O art.º 39.º/1, prevê uma lista das funções mínimas que devem incumbir ao EPD. Por conseguinte, nada impede que o RT/S atribua ao EPD a função de conservar o registo das atividades de tratamento sob a responsabilidade do RT/S. Esses registos devem ser considerados um dos instrumentos que permitem ao EPD desempenhar as suas funções de controlo da conformidade e de prestação de informações e aconselhamento ao RT/S (art.º 39.º/1, al. c), e art.º 30.º).

    Na prática e por norma, os EPD criam inventários e mantêm um registo das operações de tratamento baseado nas informações que recebem dos vários departamentos da sua organização que tratam dados pessoais. Esta prática foi estabelecida ao abrigo de muitas disposições legislativas nacionais em vigor e em conformidade com as normas de proteção de dados aplicáveis às instituições e aos órgãos da UE[12].

    Qual o significado de "conflito de interesses”?

    O art.º 38.º/6, permite que o EPD possa “exercer outras funções e atribuições”. Porém, exige que a organização assegure que “essas funções e atribuições não resultam num conflito de interesses”.

    A ausência de conflitos de interesses está intimamente ligada ao requisito de independência dos EPD. Embora os EPD estejam autorizados a desempenhar outras tarefas, só podem ser incumbidos de outras funções e atribuições se estas não derem origem a conflitos de interesses. Deste modo, o EPD não pode exercer um cargo dentro da organização que o leve a determinar as finalidades e os meios do tratamento de dados pessoais. Devido à estrutura organizacional específica de cada organização, este aspeto deve ser apreciado caso a caso.

    Regra geral, os cargos suscetíveis de gerarem conflitos no seio da organização podem incluir os cargos de direção superiores, mas também outras funções em níveis inferiores da estrutura organizacional, se esses cargos ou funções levarem à determinação das finalidades e dos meios de tratamento. Além disso, pode igualmente surgir um conflito de interesses se, por exemplo, um EPD externo for chamado a representar o RT/S perante os tribunais no âmbito de processos respeitantes a questões de proteção de dados art.º 38.º, n.os 3 e 6).

    Consoante as atividades, a dimensão e a estrutura da organização, é aconselhável, como boa prática, que o RT/S:

    • Identifique os cargos que se afigurariam incompatíveis com as funções de EPD;
    • Aprove normas internas para o efeito, com o intuito de evitar conflitos de interesses;
    • Inclua uma explicação mais geral sobre os conflitos de interesses;
    • Declare que os respetivos EPD não têm conflitos de interesses no que se refere às suas funções enquanto EPD, como forma de divulgação deste requisito;
    • Inclua salvaguardas no regulamento interno da organização e assegurem que o anúncio de vaga para o lugar de EPD ou o contrato de prestação de serviços seja suficientemente preciso e pormenorizado, com vista a evitar conflitos de interesses. Neste contexto, importa igualmente ter em conta que os conflitos de interesses podem assumir formas diferentes em função do vínculo laboral do EPD, enquanto colaborador interno ou externo.

    Que salvaguardas permitem que o EPD desempenhe as suas funções com independência?

    Existem várias salvaguardas para permitir ao EPD atuar de forma independente, nomeadamente:

    • O RT/S não dá instruções relativas ao exercício das funções do EPD;
    • O RT/S não pode destituir nem penalizar o EPD pelo exercício das suas funções;
    • Não existe conflito de interesses com outras possíveis funções e atribuições.

    Como é que o EPD faz a cooperação com a autoridade de controlo?

    Nos termos do art.º 39.º/ 1, alíneas d) e e), o EPD “coopera com a autoridade de controlo” e serve de “ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento, incluindo a consulta prévia a que se refere o art.º 36.º, e consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto”.

    Estas funções enquadram-se no papel ponto de contacto no sentido de facilitar (“facilitador”) o acesso da autoridade de controlo aos documentos e informações necessários para o desempenho das funções elencadas no art.º 57.º, bem como para o exercício dos seus poderes de investigação, de correção, consultivos e de autorização, tal como referidos no art.º 58.º. A obrigação de sigilo/confidencialidade não proíbe o EPD de contactar, consultar e solicitar o parecer da autoridade de controlo, conforme previsto na al. e) do art.º 39.º/1.

    O EPD pode ser destituído ou penalizado pelo exercício das suas funções?

    Em conformidade com o art.º 38.º/3, o EPD não pode ser destituído nem penalizado (sequer ameaçado) pelo RT/S pelo facto de exercer as suas funções. Este requisito beneficia o EPD de proteção suficiente no desempenho das suas funções, reforça a sua autonomia e ajuda-o a garantir uma atuação independente. Quanto mais garantias existirem contra a destituição abusiva, maior será a probabilidade de o EPD poder atuar de forma independente.
    
    

    [1] Parcialmente adaptado de WP 243 (rev. 01) do Grupo do Artigo 29 (GT 29) para a proteção de dados, com “Orientações sobre os encarregados da proteção de dados (EPD)”.

    [2] Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE.

    [3] Artigos sem referência dizem respeito ao RGPD.

    [4] O art.º 12.º da Lei 58/2019 de 8 de agosto, que assegura a execução do RGPD em Portugal, (doravante designada como Lei 58) particulariza a designação de EPD em entidades públicas.

    [5] Art.º 32.º da Diretiva (UE) 2016/680.

    [6] Nos termos do art.º 9.º, estas categorias abrangem os dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

    [7] O art.º 37.º/1, al. c), utiliza a conjunção «e». O motivo da utilização conjunção «ou» em vez de «e» deve-se ao facto não haver nenhuma razão estratégica para que os dois critérios tenham de ser aplicados simultaneamente.

    [8] “Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas são revistas e atualizadas consoante as necessidades.” (art.º 24.º/1).

    [9] A título de boa prática, o GT 29 recomenda que a organização informe os seus trabalhadores do nome e contactos do EPD, por exemplo, através da intranet da organização, nas listas telefónicas internas e em organogramas.

    [10] O art.º 39.º/1, menciona as funções do EPD e indica que o EPD tem, «pelo menos», as seguintes funções. Por conseguinte, nada impede que o responsável pelo tratamento atribua ao EPD outras funções, além das explicitamente referidas no art.º 39.º/1, ou que especifique as tarefas de forma mais pormenorizada.

    [11] O art.º 24.º/1, dispõe o seguinte: «Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas são revistas e atualizadas consoante as necessidades».

    [12] Art.º 24.º/1, al. d), do Regulamento (CE) n.º 45/2001.

    

    Lei n.º 58/2019, de 8 de agosto

    CAPÍTULO III - Encarregado de proteção de dados

    RGPD

    Secção 4 - Encarregado da proteção de dados

     
    Artigo 9.º - Disposição geral Artigo 37.º - Designação do EPD
    

    1. O responsável pelo tratamento e o subcontratante designam um EPD sempre que: 

    a) O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional; 

    b) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou 

    c) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados nos termos do artigo 9.º e ou de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10.º. 

    2.   Um grupo empresarial pode também designar um único EPD desde que haja um EPD que seja facilmente acessível a partir de cada estabelecimento. 

    3. Quando o responsável pelo tratamento ou o subcontratante for uma autoridade ou um organismo público, pode ser designado um único EPD para várias dessas autoridades ou organismos, tendo em conta a respetiva estrutura organizacional e dimensão. 

    4. Em casos diferentes dos visados no n.º 1, o responsável pelo tratamento ou o subcontratante ou as associações e outros organismos que representem categorias de responsáveis pelo tratamento ou de subcontratantes podem, ou, se tal lhes for exigido pelo direito da União ou dos Estados-Membros, designar um EPD. O EPD pode agir em nome das associações e de outros organismos que representem os responsáveis pelo tratamento ou os subcontratantes.

    1. O EPD é designado com base nos requisitos previstos no n.º 5 do artigo 37.º do RGPD, não carecendo de certificação profissional para o efeito. 5. O EPD é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções referidas no artigo 39.º.
     6. O EPD pode ser um elemento do pessoal da entidade responsável pelo tratamento ou do subcontratante, ou exercer as suas funções com base num contrato de prestação de serviços.
    7. O responsável pelo tratamento ou o subcontratante publica os contactos do EPD e comunica-os à autoridade de controlo.
    2. Independentemente da natureza da sua relação jurídica, o EPD exerce a sua função com autonomia técnica perante a entidade responsável pelo tratamento ou subcontratante. 
     
    Artigo 10.º - Dever de sigilo e confidencialidade Artigo 38.º - Posição do EPD
     
     1. O responsável pelo tratamento e o subcontratante asseguram que o EPD seja envolvido, de forma adequada e em tempo útil, a todas as questões relacionadas com a proteção de dados pessoais.
    2. O responsável pelo tratamento e o subcontratante apoia o EPD no exercício das funções a que se refere o artigo 39.º, fornecendo-lhe os recursos necessários ao desempenho dessas funções e à manutenção dos seus conhecimentos, bem como dando-lhe acesso aos dados pessoais e às operações de tratamento.
    3. O responsável pelo tratamento e o subcontratante asseguram que da proteção de dados não recebe instruções relativamente ao exercício das suas funções [The controller and processor shall ensure that the data protection officer does not receive any instructions regarding the exercise of those tasks.]. O encarregado não pode ser destituído nem penalizado pelo responsável pelo tratamento ou pelo subcontratante pelo facto de exercer as suas funções. O EPD informa diretamente a direção ao mais alto nível do responsável pelo tratamento ou do subcontratante.
    4. Os titulares dos dados podem contactar o EPD sobre todas questões relacionadas com o tratamento dos seus dados pessoais e com o exercício dos direitos que lhe são conferidos pelo presente regulamento.

    1. De acordo com o disposto no n.º 5 do artigo 38.º do RGPD, o EPD está obrigado a um dever de sigilo profissional em tudo o que diga respeito ao exercício dessas funções, que se mantém após o termo das funções que lhes deram origem.

    2 - O EPD, bem como os responsáveis pelo tratamento de dados, incluindo os subcontratantes, e todas as pessoas que intervenham em qualquer operação de tratamento de dados, estão obrigados a um dever de confidencialidade que acresce aos deveres de sigilo profissional previsto na lei.

    5. O EPD é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções referidas no artigo 39.º.
     6. O EPD pode exercer outras funções e atribuições. O responsável pelo tratamento ou o subcontratante assegura que essas funções e atribuições não resultam num conflito de interesses.
     
    Artigo 11.º - Funções do EPD Artigo 39.º - Funções do EPD
     
    Para além do disposto nos artigos 37.º a 39.º do RGPD, são funções do EPD: 1.   O EPD tem, pelo menos, as seguintes funções:
    a) Informa e aconselha o responsável pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos do presente regulamento e de outras disposições de proteção de dados da União ou dos Estados-Membros;
    b) Controla a conformidade com o presente regulamento, com outras disposições de proteção de dados da União ou dos Estados-Membros e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes;
    c) Presta aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controla a sua realização nos termos do artigo 35.º;
    d) Coopera com a autoridade de controlo;
    e) Ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento, incluindo a consulta prévia a que se refere o artigo 36.o, e consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto.
    2. No desempenho das suas funções, o EPD tem em devida consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento.
    a) Assegurar a realização de auditorias, quer periódicas, quer não programadas;
    b) Sensibilizar os utilizadores para a importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança;
    c) Assegurar as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e pela legislação nacional em matéria de proteção de dados.
    
     
    Artigo 12.º - EPD em entidades públicas 

    1. Nos termos da alínea a) do n.º 1 do artigo 37.º do RGPD, é obrigatória a designação de EPDs nas entidades públicas, de acordo com o disposto nos números seguintes.

    2. Para efeitos do número anterior, entende-se por entidades públicas:

    a) O Estado;

    b) As regiões autónomas;

    c) As autarquias locais e as entidades supranacionais previstas na lei;

    d) As entidades administrativas independentes e o Banco de Portugal;

    e) Os institutos públicos;

    f) As instituições de ensino superior públicas, independentemente da sua natureza;

    g) As empresas do setor empresarial do Estado e dos setores empresariais regionais e locais;

    h) As associações públicas.

    3. Independentemente de quem seja responsável pelo tratamento, existe pelo menos um EPD:

    a) Por cada ministério ou área governativa, no caso do Estado, sendo designado pelo respetivo ministro, com faculdade de delegação em qualquer secretário de Estado que o coadjuvar;

    b) Por cada secretaria regional, no caso das regiões autónomas, sendo designado pelo respetivo secretário regional, com faculdade de delegação em dirigente superior de 1.º grau;

    c) Por cada município, sendo designado pela câmara municipal, com faculdade de delegação no presidente e subdelegação em qualquer vereador;

    d) Nas freguesias em que tal se justifique, nomeadamente naquelas com mais de 750 habitantes, sendo designado pela junta de freguesia, com faculdade de delegação no presidente;

    e) Por cada entidade, no caso das demais entidades referidas no número anterior, sendo designada pelo respetivo órgão executivo, de administração ou gestão, com faculdade de delegação no respetivo presidente.

    4 - Nos termos do n.º 3 do artigo 37.º do RGPD, pode ser designado o mesmo EPD para vários ministérios ou áreas governativas, secretarias regionais, autarquias locais ou outras pessoas coletivas públicas.

    5 - Cabe a cada entidade a designação do EPD, não sendo obrigatório o exercício de funções em regime de exclusividade.

    6 - O EPD de uma entidade pública que tenha atribuições de regulação ou controlo não pode exercer essas funções simultaneamente em entidade sujeita ao controlo, ou inserida no perímetro regulatório daquela entidade.

    
    Artigo 13.º - EPD em entidades privadas 

    O responsável pelo tratamento e o subcontratante designam um EPD sempre que a atividade privada desenvolvida, a título principal, implique:

    a) Operações de tratamento que, devido à sua natureza, âmbito e ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou

    b) Operações de tratamento em grande escala das categorias especiais de dados nos termos do artigo 9.º do RGPD, ou de dados pessoais relacionados com condenações penais e contraordenacionais nos termos do artigo 10.º do RGPD.