Qualificações profissionais de um Encarregado da Proteção de Dados

Embora o n.º 5 do artigo 37º não especifique as qualidades profissionais que devem ser consideradas na designação do EPD, é um elemento relevante que o Encarregado deva ter experiência em leis e práticas nacionais e europeias de proteção de dados e uma compreensão profunda do RGPD.

O nível exigido de especialização não é estritamente definido, mas deve ser proporcional à sensibilidade, complexidade e quantidade de dados que uma organização trata. Por exemplo, quando uma atividade de tratamento de dados é particularmente complexa ou quando uma grande quantidade de dados sensíveis estiver envolvida, o EPD pode precisar de um nível mais elevado de conhecimento. Há também uma diferença dependendo se a organização transfere sistematicamente dados pessoais para fora da União Europeia ou se tais transferências são ocasionais.

O EPD deve, portanto, ser escolhido cuidadosamente, com a devida atenção aos problemas de proteção de dados que surgem dentro da organização.

O EPD também deve ter conhecimento suficiente das operações de tratamento realizadas, bem como, dos sistemas de informação e das necessidades de segurança de dados e proteção de dados.

No caso de uma autoridade pública ou órgão, o EPD também deve ter um bom conhecimento das regras e procedimentos administrativos.

A capacidade de cumprir as tarefas que incumbem ao EPD deve ser interpretada como referindo-se tanto às suas qualidades e conhecimentos pessoais, como também à sua posição dentro da organização. Qualidades pessoais devem incluir, por exemplo, integridade e ética profissional; a principal preocupação do EPD deve ser a prossecução da conformidade com o RGPD. O EPD desempenha um papel fundamental na promoção de uma cultura de proteção de dados dentro da organização e ajuda a implementar elementos essenciais do RGPD, como os princípios de tratamento de dados, direitos dos titulares de dados, proteção de dados por design e por padrão.