- Registo de atividades de tratamento
- Violação de dados ou data breach
- Encarregado de proteção de dados
- Avaliação de impacto
ENCARREGADO DE PROTEÇÃO DE DADOS
É obrigatório ter um encarregado de proteção de dados? Só é obrigatório designar um EPD em alguns casos.
As entidades públicas estão sempre obrigadas a ter um EPD. O artigo 12.º da Lei 58/2019 regula mais concretamente a designação de EPD em entidades públicas.
Quanto às empresas, seja na qualidade de responsáveis pelos tratamentos ou de subcontratantes, só estão obrigadas a designar um EPD se tratarem dados sensíveis ou dados relativos a condenações penais e infrações, em larga escala (dados referidos no artigo 9.º e 10.º do RGPD) ou se realizarem tratamentos em larga escala relativos ao controlo regular e sistemático dos titulares dos dados.
É ao responsável pelo tratamento e ao subcontratante que compete avaliar, em cada situação, se os tratamentos de dados realizados pela sua organização exigem a designação de um EPD. A CNPD não se pronuncia sobre o caso concreto.
É preciso fazer algum registo do EPD?É necessário publicar os contactos do encarregado de proteção de dados e dar conhecimento aos titulares dos dados desses contactos quando lhes presta as informações referidas nos artigos 13.º e 14.º do RGPD.
Também é necessário comunicar à CNPD essa informação. Para o efeito, a CNPD disponibiliza um formulário próprio.
É possível várias empresas partilharem o mesmo encarregado de proteção de dados? Sim. O RGPD admite que associações ou outros organismos representativos de empresas possam designar um EPD comum. Também dentro do mesmo grupo empresarial, é possível designar um único EPD, desde que este esteja facilmente acessível a partir de cada estabelecimento.
É possível usar o mesmo formulário de notificação para comunicar à CNPD a designação de um EPD dentro do mesmo grupo? Não. Cada empresa do Grupo, com estabelecimento em Portugal, tendo a obrigação de designar um EPD, tem de comunicar individualmente à CNPD quem é o seu encarregado de proteção de dados.
A minha empresa está integrada num grupo empresarial europeu/internacional que designou um EPD comum que está sediado noutro Estado-Membro. É preciso comunicar à CNPD quem é o EPD? A empresa com estabelecimento em Portugal, que partilhe o EPD do Grupo, tem de notificar à CNPD quem é o seu EPD e os seus contactos.
Pode ser a empresa do Grupo, com estabelecimento no Estado-Membro onde está o EPD, a comunicar os contactos do encarregado de proteção de dados à CNPD? Não. A empresa com estabelecimento nesse Estado-Membro notifica a autoridade de controlo competente desse Estado-Membro que designou um encarregado de proteção de dados.
O Grupo empresarial a que pertence a minha empresa tem um EPD num outro país, mas em Portugal temos um delegado do EPD. Fazemos a notificação à CNPD dos contactos dessa pessoa? Não. Apenas é aceite a notificação quanto ao EPD. Independentemente de como o Grupo se organiza internamente, é em torno do EPD formalmente designado como tal que recaem as obrigações do RGPD, quanto às condições da sua designação, ao exercício das suas funções e à sua posição no interior da empresa.
Os EPD precisam de alguma certificação para desempenhar as suas funções? Não. Não é necessária certificação profissional para o desempenho das funções. O EPD deve ser designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados.
Pode consultar as Orientações do CEPD sobre os encarregados de proteção de dados