Page contents Page contents Resposta A sua empresa/organização tem de nomear um EPD, quer seja um responsável pelo tratamento, quer um subcontratante, se as suas atividades principais envolverem o tratamento de dados sensíveis em grande escala ou se as suas atividades principais envolverem o controlo sistemático, regular e em grande escala de pessoas. Neste contexto, o controlo do comportamento das pessoas inclui todas as formas de rastreamento e definição de perfis na internet, nomeadamente para efeitos de publicidade comportamental. As administrações públicas têm sempre a obrigação de nomear um EPD (com exceção dos tribunais no exercício da sua função jurisdicional). O EPD pode ser um funcionário da sua organização ou pode ser contratado externamente com base num contrato de prestação de serviços. O EPD pode ser uma pessoa ou uma organização. Exemplos EPD obrigatórioUm EPD é obrigatório, por exemplo, quando a sua empresa/organização é: um hospital que efetua o tratamento de grandes conjuntos de dados sensíveis; uma empresa de segurança responsável por vigiar centros comerciais e espaços públicos; uma pequena empresa «caça-talentos» que define perfis de pessoas. EPD não obrigatórioUm EPD não é obrigatório se: se tratar de um médico da comunidade local que efetua o tratamento dos dados pessoais dos seus doentes; se tratar de uma pequena sociedade de advogados que efetua o tratamento dos dados pessoais dos seus clientes. Referências Orientações do CEPD sobre os encarregados da proteção de dados (EPD) Artigos 37.º, 38.º, 39.º; considerando 97 do RGPD
