Esclarecimentos sobre Encarregados de Proteção de Dados (EPD)

No passado dia 1 de abril de 2025, a Comissão Nacional de Proteção de Dados (“CNPD”) aprovou a Deliberação 2025/267 em resposta a diversos pedidos de esclarecimento sobre a nomeação de Encarregados de Proteção de Dados (EPD) e questões diretamente relacionadas com esta nomeação. Através desta deliberação, a CNPD clarifica obrigações legais e procedimentos relacionados com a nomeação de EPDs.

Em que casos deve ser obrigatoriamente designado um EPD?

Nesta Deliberação, a CNPD vem esclarecer que de acordo com o Regulamento Geral sobre a Proteção de Dados (“RGPD”), a nomeação de um EPD é obrigatória em determinadas circunstâncias. O artigo 37.º, n.º 1 do RGPD especifica que tanto os responsáveis pelo tratamento de dados como os subcontratantes devem designar um EPD quando:

• O tratamento de dados é realizado por uma autoridade ou organismo público, excetuando os tribunais no exercício da sua função jurisdicional. 
• No caso das entidades privadas, as atividades principais do responsável pelo tratamento ou do subcontratante envolvem operações de tratamento que, pela sua natureza, âmbito e/ou finalidade, exigem um controlo regular e sistemático dos titulares dos dados em grande escala. 
• Ainda quanto às entidades privadas, as atividades principais do responsável pelo tratamento ou do subcontratante consistem em operações de tratamento em grande escala de categorias especiais de dados, como dados sensíveis ou dados pessoais relacionados com condenações penais e infrações. 

A Lei n.º 58/2019, de 8 de agosto (“Lei de Execução do RGPD” ou “LERGPD”) reforça esta obrigatoriedade para entidades públicas, como o Estado, regiões autónomas, autarquias locais, institutos públicos, instituições de ensino superior públicas, e empresas do setor empresarial do Estado, regionais ou locais. Para entidades privadas, a nomeação de um EPD é obrigatória apenas nas situações específicas mencionadas anteriormente.

Quais os requisitos a observar quanto ao perfil do EPD?

O RGPD estabelece que o EPD deve ser uma pessoa singular com qualidades profissionais e conhecimentos especializados em proteção de dados. A CNPD veio também clarificar que o EPD pode ser um funcionário da entidade responsável pelo tratamento ou do subcontratante, ou pode exercer as suas funções com base num contrato de prestação de serviços. Isto significa que o EPD pode estar vinculado a uma sociedade externa à entidade responsável pelo tratamento. 

Quais os deveres de comunicação à CNPD e de publicitação dos dados do EPD?

A comunicação do EPD à CNPD é um dever legal das entidades responsáveis pelo tratamento de dados e dos subcontratantes. O RGPD exige que os contactos do EPD sejam publicitados e comunicados à autoridade de controlo, mas não a sua identidade. No entanto, o nome do EPD deve ser conhecido pelo responsável pelo tratamento dos dados ou pelo subcontratante e deve constar nos registos das atividades de tratamento (RAT) e na comunicação à autoridade de controlo em caso de violação de dados pessoais.

O Grupo do Artigo 29.º para a Proteção de Dados, enquanto órgão consultivo europeu independente em matéria de proteção de dados, também já estabeleceu, em 2017, as “Orientações sobre os Encarregados de Proteção de Dados (EPD)” (https://www.cnpd.pt/media/meplvdie/wp243rev01_pt.pdf). Tais orientações vieram a ser assumidas pela Comissão Europeia de Proteção de Dados (CEPD).

Em suma, esta deliberação da CNPD estabelece que a constituição do EPD, por nomeação obrigatória ou ainda que de forma voluntária, bem como, a sua publicitação, tanto interna, como externa, e a sua comunicação à CNPD é um dever legal das entidades responsáveis pelo tratamento de dados e dos subcontratantes, pelo que, não recai sobre o próprio EPD.

• Recomendações Práticas:

1. Verificação de Obrigatoriedade: As entidades devem verificar se estão obrigadas a nomear um EPD de acordo com os critérios estabelecidos pelo RGPD e pela LERGPD.
2. Escolha do EPD: Assegurar que o EPD escolhido possui as qualidades profissionais e conhecimentos especializados necessários.
3. Contratação Externa: Considerar a possibilidade de contratar um EPD externo, caso não haja um funcionário interno qualificado.
4. Comunicação e Publicitação: Garantir que os contactos do EPD são devidamente comunicados à CNPD e publicitados conforme exigido pelo RGPD e atualizados quando necessário.
5. Manutenção de Registos: Manter registos das atividades de tratamento devidamente atualizados e assegurar que o nome e contactos do EPD constam nesses registos.

Para informações adicionais sobre este tema, contacte a nossa equipa de especialistas em Proteção de Dados.