Proteção de Dados

Encarregado de proteção de dados (EPD/DPO) 2026: funções e quando é obrigatório

Encarregado de proteção de dados (EPD/DPO): quando é obrigatório (art. 37.º), funções (art. 39.º), independência (art. 38.º) e modelo interno vs externo em 2026.

O encarregado de proteção de dados (EPD, também conhecido pela sigla inglesa DPO) é a pessoa — interna ou externa — designada para fiscalizar, de forma independente, o cumprimento do RGPD numa organização. O seu papel está definido nos artigos 37.º a 39.º do RGPD: o artigo 37.º indica quando a designação é obrigatória, o artigo 38.º protege a independência e a posição do encarregado, e o artigo 39.º enumera as suas funções. Um equívoco comum é pensar que o encarregado é responsável pela própria conformidade. Não é: o encarregado é uma função de aconselhamento e fiscalização, enquanto o responsável pelo tratamento suporta a responsabilidade legal. Este guia explica quando o encarregado é obrigatório, quais são as suas funções e como assegurar a sua independência. Note-se que a LGPD brasileira também usa o termo «encarregado» para esta função, o que facilita a governação em grupos lusófonos.

Quando é obrigatório designar um encarregado?

Nos termos do artigo 37.º, n.º 1, deve designar-se um encarregado em três situações:

  1. Autoridades e organismos públicos (exceto tribunais no exercício da função jurisdicional). Em Portugal, abrange municípios, hospitais públicos e serviços da administração central.
  2. Organizações cuja atividade principal consista no controlo regular e sistemático dos titulares em larga escala — por exemplo, publicidade comportamental, rastreio ou dados de localização.
  3. Organizações cuja atividade principal consista no tratamento em larga escala de categorias especiais de dados (art. 9.º) ou de dados relativos a condenações penais — por exemplo, hospitais ou grandes prestadores de cuidados de saúde.

Os conceitos-chave são atividade principal, larga escala e controlo regular e sistemático. Uma organização em dúvida deve documentar a sua avaliação — mesmo a decisão de não designar um encarregado deve poder ser fundamentada. A avaliação assenta diretamente nos tratamentos que constam do seu registo de atividades de tratamento. A Lei n.º 58/2019, fiscalizada pela CNPD, acrescenta especificidades nacionais à aplicação do regime. As organizações com operações também no Brasil encontram uma figura equivalente na LGPD, o encarregado — as diferenças entre os dois regimes estão no guia LGPD vs RGPD. Uma plataforma que documente estes tratamentos facilita, além disso, a posterior escolha de um software RGPD adequado.

Mesmo quando não é obrigatório, uma organização pode designar voluntariamente um encarregado. Fazendo-o, aplicam-se integralmente os mesmos requisitos dos artigos 38.º e 39.º.

Que funções tem o encarregado? (Artigo 39.º)

O artigo 39.º, n.º 1, enumera cinco funções:

  • Informar e aconselhar o responsável, o subcontratante e os trabalhadores sobre as suas obrigações no âmbito do RGPD.
  • Controlar a conformidade, incluindo a repartição de responsabilidades, a sensibilização, a formação e as auditorias correspondentes.
  • Aconselhar sobre avaliações de impacto (AIPD) e controlar a sua realização, nos termos do artigo 35.º.
  • Cooperar com a autoridade de controlo (a CNPD).
  • Ser o ponto de contacto da CNPD sobre questões relativas ao tratamento, incluindo a consulta prévia do artigo 36.º.

O artigo 39.º, n.º 2, acrescenta que o encarregado deve ter em consideração o risco — ou seja, concentrar esforços nos tratamentos de risco elevado para os titulares. Na prática, o encarregado apoia frequentemente também a manutenção do registo de tratamentos, embora tal não conste expressamente do artigo 39.º.

Independência e posição (Artigo 38.º)

O artigo 38.º estabelece várias proteções da independência do encarregado:

  • O encarregado não pode receber instruções sobre o modo de exercer as suas funções (art. 38.º, n.º 3).
  • O encarregado não pode ser destituído nem penalizado pelo exercício das suas funções.
  • O encarregado deve reportar diretamente à direção ao mais alto nível.
  • Os titulares devem poder contactar diretamente o encarregado.

O encarregado pode desempenhar outras funções na organização, mas apenas se não gerarem um conflito de interesses (art. 38.º, n.º 6). Na prática, quem determina as finalidades dos tratamentos — como o diretor de TI, o diretor de recursos humanos ou o administrador — não pode ser simultaneamente encarregado, pois estaria a fiscalizar o seu próprio trabalho. A ação coordenada do Comité Europeu para a Proteção de Dados em 2024, que reuniu mais de 17.000 respostas, identificou precisamente os conflitos de interesses e a falta de independência como problemas recorrentes.

Encarregado interno ou externo?

O encarregado pode ser um trabalhador ou um prestador externo (art. 37.º, n.º 6). Um encarregado interno conhece bem a organização, mas arrisca conflitos de interesses e exige atualização permanente de competências. Um encarregado externo oferece independência e especialização, mas precisa de acesso suficiente à organização. Em qualquer modelo, é exigível o que o artigo 38.º, n.º 2, prevê: recursos, tempo e acesso aos sistemas suficientes.

Muitas organizações combinam um encarregado externo com uma plataforma interna que documenta tratamentos, contratos de subcontratação e medidas. Ferramentas como a Legiscope fornecem ao encarregado o suporte e os registos rastreáveis necessários para fiscalizar a conformidade e demonstrá-la numa fiscalização. O trabalho do encarregado assenta fortemente em dois documentos: o registo de tratamentos e os contratos de subcontratação.

Recursos, reporte e documentação

O artigo 38.º, n.º 2, exige que o responsável forneça os recursos necessários para o encarregado desempenhar as suas funções: orçamento para formação, acesso aos sistemas de TI e tempo suficiente. A ação coordenada do Comité Europeu para a Proteção de Dados em 2024 identificou precisamente a falta de recursos — orçamentos reduzidos, tempo escasso e subdimensionamento das equipas — como um problema recorrente. Em organizações maiores, a carga de trabalho do encarregado excede, muitas vezes, a capacidade de uma só pessoa, o que torna necessária uma equipa de apoio.

O encarregado deve, ainda, reportar diretamente à direção ao mais alto nível (art. 38.º, n.º 3). Este reporte cumpre duas funções: assegura que as questões de proteção de dados chegam a quem decide e protege o encarregado de pressões de chefias intermédias. Na prática, o encarregado deve manter registo dos seus pareceres e avaliações, de modo a poder demonstrar o que recomendou e como a organização atuou. O encarregado está, além disso, sujeito a sigilo profissional (art. 38.º, n.º 5). Este suporte documental é mais fácil de manter com uma plataforma que conserve o registo de tratamentos e os contratos atualizados.

Perguntas frequentes

Todas as empresas precisam de um encarregado de proteção de dados?

Não. A obrigação abrange autoridades públicas e organizações cuja atividade principal implique controlo em larga escala ou tratamento em larga escala de dados sensíveis. Muitas PME não estão abrangidas, mas devem documentar a sua avaliação. Quem não é obrigado pode, ainda assim, designar um encarregado voluntariamente.

Quanto custa um encarregado de proteção de dados externo?

O custo varia com a dimensão da organização e a complexidade dos tratamentos, desde algumas centenas de euros por mês para empresas menores até valores bastante superiores para organizações com tratamento em larga escala. O custo reduz-se se o encarregado for apoiado por uma plataforma que mantenha registos e contratos atualizados; veja o nosso guia de preços.

O encarregado pode ser responsabilizado pessoalmente?

Não. A responsabilidade legal recai sobre o responsável pelo tratamento ou o subcontratante, não sobre o encarregado. Este pode, contudo, ser responsabilizado se participar ativamente numa violação, por exemplo dando conscientemente pareceres falsos.

Conclusão

O encarregado de proteção de dados é uma função independente de fiscalização e aconselhamento, e não um responsável pela conformidade. É obrigatório para autoridades públicas e para organizações com controlo em larga escala ou tratamento em larga escala de dados sensíveis — caso contrário, é voluntário, mas com os mesmos requisitos. As cinco funções do artigo 39.º giram em torno de informar, controlar e cooperar com a CNPD, e a independência do artigo 38.º exige que o encarregado não fiscalize o seu próprio trabalho. A base de um trabalho eficaz é um registo atualizado e o controlo dos contratos de subcontratação — documentação que uma ferramenta permite manter.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →