info@goldenblatt.co.uk
49 Russell Square, London, UK

News & MediaO Encarregado da Proteção de Dados (EPD/DPO) das entidades públicas na nova Lei Portuguesa de Proteção de Dados Pessoais

19 de August, 2019

A Lei n.º 58/2019, de 8 de agosto – que entrou em vigor no passado dia 9 de agosto – e que assegura a execução na ordem jurídica nacional do Regulamento (UE) 2016/679, de 27 de abril (Regulamento Geral sobre a Proteção de Dados ou “RGPD”), introduz algumas especificidades em relação ao próprio RGPD, entre elas, no que respeita à figura do Encarregado da Proteção de Dados (EPD), “Data Protection Officer” (DPO).

Fica claro que o EPD (DPO) não carece de certificação profissional para exercer as suas funções. Nos termos do RGPD, o EPD (DPO) “é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados”.

Nas funções a exercer pelo EPD (DPO), passam a incluir-se, para além das já previstas no RGPD:

·       Assegurar a realização de auditorias (periódicas e não programadas);

·       Sensibilizar para a deteção atempada de incidentes; e

·       Assegurar a relação com os titulares dos dados.

Não é obrigatório que a função de EPD (DPO) seja desempenhada em regime de exclusividade.

No que diz respeito à designação obrigatória do EPD (DPO) em entidades públicas, são estabelecidos os critérios que devem ser seguidos. Assim, independentemente de quem seja o responsável pelo tratamento, existe pelo menos um EPD (DPO):  

·       Por cada ministério ou área governativa, no caso do Estado, sendo designado pelo respetivo ministro, com faculdade de delegação em qualquer secretário de Estado que o coadjuvar;

·       Por cada secretaria regional, no caso das regiões autónomas, sendo designado pelo respetivo secretário regional, com faculdade de delegação em dirigente superior de 1.º grau;

·       Por cada município, sendo designado pela câmara municipal, com faculdade de delegação no presidente e subdelegação em qualquer vereador;

·       Nas freguesias em que tal se justifique, nomeadamente naquelas com mais de 750 habitantes, sendo designado pela junta de freguesia, com faculdade de delegação no presidente;

·       Por cada instituto público, entidade administrativa independente, Banco de Portugal, Instituição de ensino superior público, empresa do Estado e dos setores empresariais regionais e locais, e associação pública, sendo designado pelo respetivo órgão executivo, de administração ou gestão, com faculdade de delegação no respetivo presidente.

Pode ser designado o mesmo EPD (DPO) para vários ministérios ou áreas governativas, secretarias regionais, autarquias locais ou outras pessoas coletivas públicas.

O incumprimento desta obrigação em nomear um EPD (DPO) nos casos referidos, constitui contraordenação grave punida com coima de €1.000,00 a €10.000.000,00 ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais elevado.

Até 9 de agosto de 2022 a entidade pública arguida pode solicitar à CNPD, mediante pedido devidamente fundamentado, dispensa da aplicação da coima.

Em todo o caso as entidades públicas estão sujeitas aos poderes de correção da CNPD nos termos do RGPD e da Lei n.º 58/2019, de 8 de agosto.

A Lei n.º 58/2019, de 8 de agosto – que entrou em vigor no passado dia 9 de agosto – e que assegura a execução na ordem jurídica nacional do Regulamento (UE) 2016/679, de 27 de abril (Regulamento Geral sobre a Proteção de Dados ou “RGPD”), introduz algumas especificidades em relação ao próprio RGPD, entre elas, no que respeita à figura do Encarregado da Proteção de Dados (EPD), “Data Protection Officer” (DPO).

Fica claro que o EPD (DPO) não carece de certificação profissional para exercer as suas funções. Nos termos do RGPD, o EPD (DPO) “é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados”.

Nas funções a exercer pelo EPD (DPO), passam a incluir-se, para além das já previstas no RGPD:

·       Assegurar a realização de auditorias (periódicas e não programadas);

·       Sensibilizar para a deteção atempada de incidentes; e

·       Assegurar a relação com os titulares dos dados.

Não é obrigatório que a função de EPD (DPO) seja desempenhada em regime de exclusividade.

No que diz respeito à designação obrigatória do EPD (DPO) em entidades públicas, são estabelecidos os critérios que devem ser seguidos. Assim, independentemente de quem seja o responsável pelo tratamento, existe pelo menos um EPD (DPO):  

·       Por cada ministério ou área governativa, no caso do Estado, sendo designado pelo respetivo ministro, com faculdade de delegação em qualquer secretário de Estado que o coadjuvar;

·       Por cada secretaria regional, no caso das regiões autónomas, sendo designado pelo respetivo secretário regional, com faculdade de delegação em dirigente superior de 1.º grau;

·       Por cada município, sendo designado pela câmara municipal, com faculdade de delegação no presidente e subdelegação em qualquer vereador;

·       Nas freguesias em que tal se justifique, nomeadamente naquelas com mais de 750 habitantes, sendo designado pela junta de freguesia, com faculdade de delegação no presidente;

·       Por cada instituto público, entidade administrativa independente, Banco de Portugal, Instituição de ensino superior público, empresa do Estado e dos setores empresariais regionais e locais, e associação pública, sendo designado pelo respetivo órgão executivo, de administração ou gestão, com faculdade de delegação no respetivo presidente.

Pode ser designado o mesmo EPD (DPO) para vários ministérios ou áreas governativas, secretarias regionais, autarquias locais ou outras pessoas coletivas públicas.

O incumprimento desta obrigação em nomear um EPD (DPO) nos casos referidos, constitui contraordenação grave punida com coima de €1.000,00 a €10.000.000,00 ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais elevado.

Até 9 de agosto de 2022 a entidade pública arguida pode solicitar à CNPD, mediante pedido devidamente fundamentado, dispensa da aplicação da coima.

Em todo o caso as entidades públicas estão sujeitas aos poderes de correção da CNPD nos termos do RGPD e da Lei n.º 58/2019, de 8 de agosto.

https://adcecija.pt/wp-content/uploads/2020/06/logo_horizontal_b-768x75.png
LISBOA
Edifício Amoreiras Square
Rua Carlos Alberto da Mota Pinto, 17 - 2.º piso
1070-313 Lisboa
PORTO
Rua Eugénio de Castro, n.º 352, 2.º andar, sala 26
4100-225 Porto
BRAGA
Rua de Janes, n.º 20, 1.º andar, sala 101
4700-318 Braga

* Chamadas sem custos adicionais, sujeito apenas à tarifa de base.

SOCIAL