A Lei n.º 58/2019, de 8 de agosto – que entrou em vigor no passado dia 9 de agosto – e que assegura a execução na ordem jurídica nacional do Regulamento (UE) 2016/679, de 27 de abril (Regulamento Geral sobre a Proteção de Dados ou “RGPD”), introduz algumas especificidades em relação ao próprio RGPD, entre elas, no que respeita à figura do Encarregado da Proteção de Dados (EPD), “Data Protection Officer” (DPO).
Fica claro que o EPD (DPO) não carece de certificação profissional para exercer as suas funções. Nos termos do RGPD, o EPD (DPO) “é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados”.
Nas funções a exercer pelo EPD (DPO), passam a incluir-se, para além das já previstas no RGPD:
· Assegurar a realização de auditorias (periódicas e não programadas);
· Sensibilizar para a deteção atempada de incidentes; e
· Assegurar a relação com os titulares dos dados.
Não é obrigatório que a função de EPD (DPO) seja desempenhada em regime de exclusividade.
No que diz respeito à designação obrigatória do EPD (DPO) em entidades públicas, são estabelecidos os critérios que devem ser seguidos. Assim, independentemente de quem seja o responsável pelo tratamento, existe pelo menos um EPD (DPO):
· Por cada ministério ou área governativa, no caso do Estado, sendo designado pelo respetivo ministro, com faculdade de delegação em qualquer secretário de Estado que o coadjuvar;
· Por cada secretaria regional, no caso das regiões autónomas, sendo designado pelo respetivo secretário regional, com faculdade de delegação em dirigente superior de 1.º grau;
· Por cada município, sendo designado pela câmara municipal, com faculdade de delegação no presidente e subdelegação em qualquer vereador;
· Nas freguesias em que tal se justifique, nomeadamente naquelas com mais de 750 habitantes, sendo designado pela junta de freguesia, com faculdade de delegação no presidente;
· Por cada instituto público, entidade administrativa independente, Banco de Portugal, Instituição de ensino superior público, empresa do Estado e dos setores empresariais regionais e locais, e associação pública, sendo designado pelo respetivo órgão executivo, de administração ou gestão, com faculdade de delegação no respetivo presidente.
Pode ser designado o mesmo EPD (DPO) para vários ministérios ou áreas governativas, secretarias regionais, autarquias locais ou outras pessoas coletivas públicas.
O incumprimento desta obrigação em nomear um EPD (DPO) nos casos referidos, constitui contraordenação grave punida com coima de €1.000,00 a €10.000.000,00 ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais elevado.
Até 9 de agosto de 2022 a entidade pública arguida pode solicitar à CNPD, mediante pedido devidamente fundamentado, dispensa da aplicação da coima.
Em todo o caso as entidades públicas estão sujeitas aos poderes de correção da CNPD nos termos do RGPD e da Lei n.º 58/2019, de 8 de agosto.
A Lei n.º 58/2019, de 8 de agosto – que entrou em vigor no passado dia 9 de agosto – e que assegura a execução na ordem jurídica nacional do Regulamento (UE) 2016/679, de 27 de abril (Regulamento Geral sobre a Proteção de Dados ou “RGPD”), introduz algumas especificidades em relação ao próprio RGPD, entre elas, no que respeita à figura do Encarregado da Proteção de Dados (EPD), “Data Protection Officer” (DPO).
Fica claro que o EPD (DPO) não carece de certificação profissional para exercer as suas funções. Nos termos do RGPD, o EPD (DPO) “é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados”.
Nas funções a exercer pelo EPD (DPO), passam a incluir-se, para além das já previstas no RGPD:
· Assegurar a realização de auditorias (periódicas e não programadas);
· Sensibilizar para a deteção atempada de incidentes; e
· Assegurar a relação com os titulares dos dados.
Não é obrigatório que a função de EPD (DPO) seja desempenhada em regime de exclusividade.
No que diz respeito à designação obrigatória do EPD (DPO) em entidades públicas, são estabelecidos os critérios que devem ser seguidos. Assim, independentemente de quem seja o responsável pelo tratamento, existe pelo menos um EPD (DPO):
· Por cada ministério ou área governativa, no caso do Estado, sendo designado pelo respetivo ministro, com faculdade de delegação em qualquer secretário de Estado que o coadjuvar;
· Por cada secretaria regional, no caso das regiões autónomas, sendo designado pelo respetivo secretário regional, com faculdade de delegação em dirigente superior de 1.º grau;
· Por cada município, sendo designado pela câmara municipal, com faculdade de delegação no presidente e subdelegação em qualquer vereador;
· Nas freguesias em que tal se justifique, nomeadamente naquelas com mais de 750 habitantes, sendo designado pela junta de freguesia, com faculdade de delegação no presidente;
· Por cada instituto público, entidade administrativa independente, Banco de Portugal, Instituição de ensino superior público, empresa do Estado e dos setores empresariais regionais e locais, e associação pública, sendo designado pelo respetivo órgão executivo, de administração ou gestão, com faculdade de delegação no respetivo presidente.
Pode ser designado o mesmo EPD (DPO) para vários ministérios ou áreas governativas, secretarias regionais, autarquias locais ou outras pessoas coletivas públicas.
O incumprimento desta obrigação em nomear um EPD (DPO) nos casos referidos, constitui contraordenação grave punida com coima de €1.000,00 a €10.000.000,00 ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais elevado.
Até 9 de agosto de 2022 a entidade pública arguida pode solicitar à CNPD, mediante pedido devidamente fundamentado, dispensa da aplicação da coima.
Em todo o caso as entidades públicas estão sujeitas aos poderes de correção da CNPD nos termos do RGPD e da Lei n.º 58/2019, de 8 de agosto.