O Regulamento Geral sobre a Proteção de Dados (RGPD), em vigor desde 25 de maio de 2018, proporciona um quadro de cumprimento modernizado e assente na responsabilidade em matéria de proteção de dados na Europa.
O Encarregado de Proteção de Dados (EPD) assume um papel central neste quadro normativo, facilitando o cumprimento das disposições do RGPD, mas não substituindo a competência do Responsável pelo Tratamento / Subcontratante, de assegurar e poder comprovar que o tratamento é realizado em conformidade com as suas disposições. O EPD serve de intermediário entre a Autoridade de Controlo (Comissão Nacional de Proteção de Dados – CNPD), os titulares de dados e as organizações.
Nos termos do RGPD (art.º. 37) todas as autoridades e organismos públicos (independentemente do tipo de dados que tratam), estão obrigados a designar um EPD (excetuando os tribunais no exercício da sua função jurisdicional).
O EPD, fica sujeito ao dever e sigilo ou confidencialidade bem como ao dever de incompatibilidade, não podendo exercer quaisquer funções e atribuições que resultem de um conflito de interesses para o exercício das funções (art.º. 37.º, 38.º e 39.º do RGPD).
Em síntese, o EPD tem de desempenhar as seguintes funções:
- informar e aconselhar o responsável pelo tratamento ou o subcontratante, bem como os seus trabalhadores, sobre as respetivas obrigações nos termos da lei da proteção de dados;
- assegurar o cumprimento das políticas de privacidade e proteção de dados, em conformidade com o Regulamento Geral de Proteção de Dados;
- controlar o cumprimento, por parte da organização, de toda a legislação relacionada com a proteção de dados, nomeadamente em auditorias, atividades de sensibilização e formação do pessoal implicado nas operações de tratamento;
- atuar como ponto de contacto para pedidos de pessoas relativamente ao tratamento dos seus dados pessoais e ao exercício dos seus direitos;
- apoiar as abordagens de Privacidade por Desenho e por Padrão, nos projetos de desenvolvimento internos;
- avaliação na exposição aos riscos e violações de privacidade e implementação de ações de melhoria;
- manter atualizado os registos das atividades de tratamento de dados; sensibilização para a importância acrescida da gestão e controlo de dados pessoais, na organização.
De um modo geral, a função do EPD consiste em assegurar, de forma independente, a aplicação da lei de proteção de dados no IGFEJ.