Perguntas Frequentes sobre a Função de EPD

A designação de um Encarregado da Protecção de Dados é obrigatória para organismos do setor público e para organizações privadas cujas atividades implicam monitorização sistemática em larga escala de indivíduos. Outras organizações podem voluntariamente designar um EPD para demonstrar conformidade com o RGPD.

Sim. O EPD pode ser um membro interno da organização, dedicado integralmente ou parcialmente a esta função. Alternativamente, pode ser externo, através de um prestador de serviços especializado. A escolha depende da dimensão, complexidade e recursos disponíveis na organização.

Sim. O RGPD permite que múltiplas organizações partilhem um único EPD, desde que o EPD esteja acessível a cada uma das entidades e possa exercer as suas funções efetivamente. Esta abordagem é comum em associações, grupos de empresas ou municípios associados.

A omissão na designação de um EPD quando obrigatório constitui uma violação do RGPD passível de coimas até 10 milhões de euros ou 2% da facturação global anual, consoante o valor superior. A Autoridade de Controlo (CNPD em Portugal) pode instaurar processo sancionatório.

O EPD interno é um colaborador da organização, com conhecimento profundo das operações e das atividades de tratamento. O EPD externo oferece independência, conhecimento especializado e pode servir várias organizações. A escolha depende de custos, disponibilidade de recursos internos e necessidades de expertise.

O modelo de internalização envolve a capacitação de um colaborador interno para exercer a função de EPD. Inclui diagnóstico inicial, programa de formação especializada, apoio na implementação de processos de conformidade e suporte continuado para manter a função atualizada com as mudanças regulatórias.

O custo depende da dimensão da organização, complexidade das operações e nível de suporte requerido. O modelo de internalização é geralmente mais económico a longo prazo comparado ao EPD externo permanente, especialmente para organizações de maior dimensão.

O programa de formação possui duração de 6 a 8 semanas, com módulos online e presenciais. A formação é intensiva e complementada com workshops práticos sobre implementação de conformidade, AIPD, violações de dados e relacionamento com autoridades de controlo.

O suporte continuado inclui acesso a uma plataforma de recursos atualizados, reuniões trimestrais de consultoria, alertas sobre mudanças regulatórias, apoio em questões específicas e participação em workshops temáticos com outros EPD internos.

O EPD interno deve ser um colaborador com conhecimento de direito, informática e regulação em protecção de dados. Recomenda-se formação prévia em compliance ou segurança da informação. Deve possuir autoridade e independência dentro da organização para exercer as suas funções sem conflitos de interesse.

Não existe uma resposta única. O EPD externo oferece especialização, independência e custo previsível. O EPD interno oferece conhecimento profundo da organização e envolvimento direto nas decisões. A escolha depende do perfil, dimensão e maturidade de compliance da organização.

A auditoria é um serviço complementar. O trabalho principal do EPD é consultoria de conformidade, gestão de risco e mitigação de violações. Oferecemos auditorias especializadas em RGPD, NIS2 e outras normas, sob contratação separada.

O suporte continuado é prestado através de contratos mensais ou anuais, com acesso direto a especialistas, reuniões regulares, análise de risco contínua e apoio em incidentes. A intensidade pode ser ajustada conforme as necessidades da organização.

Oferecemos consultoria em projetos específicos como implementação de AIPD, adequação a novos regulamentos (NIS2, AI Act), análise de transferências internacionais, resposta a incidentes de segurança e preparação para auditorias da CNPD.

O programa inclui módulos sobre RGPD, NIS2, direitos dos titulares, AIPD, gestão de incidentes, relacionamento com autoridades de controlo, conformidade por desenho, Data Act, AI Act e ferramentas de implementação prática.

Sim. Após conclusão do programa, o participante recebe certificado reconhecido que comprova domínio da função de EPD. Este certificado é valorizado no mercado e pode ser incluído em CV profissional.

O programa combina formação online (acesso a conteúdo em plataforma) com sessões presenciais em Lisboa (ou online por videoconferência). Esta abordagem híbrida permite flexibilidade sem sacrificar a qualidade da aprendizagem.

Sim. Oferecemos tanto o programa completo como módulos individuais. Os módulos podem ser contratados isoladamente para atualização temática ou especialização em áreas específicas conforme as necessidades.

A NIS2 não obriga à designação de um EPD especificamente, mas exige um responsável pela segurança da informação (CISO). Numa organização, EPD e CISO podem ser funções complementares ou exercidas pela mesma pessoa em pequenas entidades.

Sim. O AI Act (quando em vigência) criará obrigações adicionais em conformidade relacionadas com sistemas de IA, incluindo auditoria, transparência e documentação. O EPD deve estar preparado para integrar estes requisitos nas suas funções de conformidade.

O RGPC (Lei 58/2019) estabelece na lei portuguesa direitos adicionais dos cidadãos e reforça o papel do EPD na conformidade com a lei de protecção de dados nacional. A designação de EPD é recomendada para entidades sujeitas ao RGPC.

EPD (protecção de dados) e CISO (segurança da informação) complementam-se. O EPD assegura conformidade legal com RGPD, RGPC, etc. O CISO garante segurança técnica e operacional. Devem trabalhar em articulação, partilhando informações sobre riscos e incidentes.