Resposta
A sua empresa/organização tem de nomear um EPD, quer seja um responsável pelo tratamento, quer um subcontratante, se as suas atividades principais envolverem o tratamento de dados sensíveis em grande escala ou se as suas atividades principais envolverem o controlo sistemático, regular e em grande escala de pessoas. Neste contexto, o controlo do comportamento das pessoas inclui todas as formas de rastreamento e definição de perfis na internet, nomeadamente para efeitos de publicidade comportamental.
As administrações públicas têm sempre a obrigação de nomear um EPD (com exceção dos tribunais no exercício da sua função jurisdicional).
O EPD pode ser um funcionário da sua organização ou pode ser contratado externamente com base num contrato de prestação de serviços. O EPD pode ser uma pessoa ou uma organização.
Exemplos
EPD obrigatório
Um EPD é obrigatório, por exemplo, quando a sua empresa/organização é:
- um hospital que efetua o tratamento de grandes conjuntos de dados sensíveis;
- uma empresa de segurança responsável por vigiar centros comerciais e espaços públicos;
- uma pequena empresa «caça-talentos» que define perfis de pessoas.
EPD não obrigatório
Um EPD não é obrigatório se:
- se tratar de um médico da comunidade local que efetua o tratamento dos dados pessoais dos seus doentes;
- se tratar de uma pequena sociedade de advogados que efetua o tratamento dos dados pessoais dos seus clientes.