Ir para o conteúdo principal

A minha empresa/organização tem de ter um encarregado da proteção de dados (EPD)?

Resposta

A sua empresa/organização tem de nomear um EPD, quer seja um responsável pelo tratamento, quer um subcontratante, se as suas atividades principais envolverem o tratamento de dados sensíveis em grande escala ou se as suas atividades principais envolverem o controlo sistemático, regular e em grande escala de pessoas. Neste contexto, o controlo do comportamento das pessoas inclui todas as formas de rastreamento e definição de perfis na internet, nomeadamente para efeitos de publicidade comportamental.

As administrações públicas têm sempre a obrigação de nomear um EPD (com exceção dos tribunais no exercício da sua função jurisdicional).

O EPD pode ser um funcionário da sua organização ou pode ser contratado externamente com base num contrato de prestação de serviços. O EPD pode ser uma pessoa ou uma organização.

Exemplos

EPD obrigatório
Um EPD é obrigatório, por exemplo, quando a sua empresa/organização é:

  • um hospital que efetua o tratamento de grandes conjuntos de dados sensíveis;
  • uma empresa de segurança responsável por vigiar centros comerciais e espaços públicos;
  • uma pequena empresa «caça-talentos» que define perfis de pessoas.

EPD não obrigatório
Um EPD não é obrigatório se:

  • se tratar de um médico da comunidade local que efetua o tratamento dos dados pessoais dos seus doentes;
  • se tratar de uma pequena sociedade de advogados que efetua o tratamento dos dados pessoais dos seus clientes.

Referências