Encarregado de Proteção de Dados
O Regulamento Geral sobre a Proteção de Dados (RGPD), entrou em vigor em 25 de maio de 2018, proporciona um quadro de cumprimento modernizado e assente na responsabilidade em matéria de proteção de dados na Europa. Os encarregados da proteção de dados (EPD) tem um papel central neste novo quadro normativo relativamente a um vasto número de organizações, facilitando o cumprimento das disposições do RGPD.
Nos termos do RGPD, determinados responsáveis pelo tratamento e subcontratantes devem obrigatoriamente designar um EPD (Encarregado de Proteção de Dados. É o caso de todas as autoridades e organismos públicos (independentemente do tipo de dados que tratam) e de outras organizações cuja atividade principal consista no controlo de pessoas de forma sistemática e em grande escala, ou que tratam de categorias especiais de dados pessoais em larga escala.
Mesmo quando o RGPD não exige especificamente a nomeação de um EPD, as organizações poderão, nalguns casos, considerar conveniente designar um EPD a título voluntário. O Grupo do Artigo 29.º para a Proteção de Dados (GT 29) é favorável a estas iniciativas voluntárias.
O conceito de EPD não é novo. A Diretiva 95/46/CE3 não obrigava nenhuma organização a nomear um EPD, mas, ainda assim, a prática da nomeação de EPD desenvolveu-se em vários Estados-Membros ao longo dos anos.
Já antes da adoção do RGPD, o GT 29 defendia que a figura do EPD é um pilar da responsabilidade e que a nomeação de um EPD pode facilitar a conformidade e, além disso, propiciar uma vantagem competitiva às empresas. Além de facilitar a conformidade através da implementação de instrumentos de responsabilização (p. ex., viabilizando avaliações de impacto sobre a proteção de dados e efetuando ou viabilizando auditorias), os EPD servem de intermediários entre as partes interessadas (p. ex., as autoridades de controlo, os titulares de dados e as unidades empresariais dentro de uma organização).
Os EPD não são pessoalmente responsáveis em caso de incumprimento do disposto no RGPD. O RGPD deixa bem explícito que compete ao responsável pelo tratamento ou ao subcontratante assegurar e poder comprovar que o tratamento é realizado em conformidade com as suas disposições.
_______________________________________________________________________________________________________________________________________________________________________________________________________