Funções do Encarregado da Proteção de Dados

O encarregado da proteção de dados tem, pelo menos, as seguintes funções:

  • Informar e aconselhar o responsável pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos do RGPD e de outras disposições de proteção de dados da União ou dos Estados-Membros;
  • Controlar a conformidade com o RGPD, com outras disposições de proteção de dados da União ou dos Estados-Membros e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes;
  • Prestar aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controlar a sua realização nos termos do artigo 35.º;
  • Cooperar com a autoridade de controlo;
  • Servir de ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento, incluindo a consulta prévia a que se refere o artigo 36.º, e consultar, sendo caso disso, a autoridade sobre qualquer outro assunto.

No desempenho das suas funções, o encarregado da proteção de dados deve te em devida consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento.

Os EPD devem concentrar os seus esforços em questões que apresentam maiores riscos de proteção de dados. Isso não significa que devam negligenciar o acompanhamento da conformidade das operações de tratamento de dados que têm um nível menor de riscos, mas significa que se devem concentrar, principalmente, nas áreas de maior risco.

Nos termos do artigo 30.º, n.º 1 e 2, é o responsável pelo tratamento ou o subcontratante, não o EPD, que é obrigado a «manter um registo das operações de tratamento sob a sua responsabilidade» ou «manter um registo de todas as operações de tratamento realizadas em nome de um responsável pelo tratamento».

Na prática, o EPD criam inventários e mantêm um registo das operações de tratamento com base nas informações fornecidas pelos vários departamentos da organização responsável ​​pelo tratamento de dados pessoais. Esta prática foi estabelecida ao abrigo de muitas leis nacionais em vigor e de acordo com as regras de proteção de dados aplicáveis ​​às instituições e organismos da UE.