O encarregado de proteção de dados (EPD, também conhecido pela sigla inglesa DPO) é a pessoa — interna ou externa — designada para fiscalizar, de forma independente, o cumprimento do RGPD numa organização. O seu papel está definido nos artigos 37.º a 39.º do RGPD: o artigo 37.º indica quando a designação é obrigatória, o artigo 38.º protege a independência e a posição do encarregado, e o artigo 39.º enumera as suas funções. Um equívoco comum é pensar que o encarregado é responsável pela própria conformidade. Não é: o encarregado é uma função de aconselhamento e fiscalização, enquanto o responsável pelo tratamento suporta a responsabilidade legal. Este guia explica quando o encarregado é obrigatório, quais são as suas funções e como assegurar a sua independência. Note-se que a LGPD brasileira também usa o termo «encarregado» para esta função, o que facilita a governação em grupos lusófonos.
Quando é obrigatório designar um encarregado?
Nos termos do artigo 37.º, n.º 1, deve designar-se um encarregado em três situações:
- Autoridades e organismos públicos (exceto tribunais no exercício da função jurisdicional). Em Portugal, abrange municípios, hospitais públicos e serviços da administração central.
- Organizações cuja atividade principal consista no controlo regular e sistemático dos titulares em larga escala — por exemplo, publicidade comportamental, rastreio ou dados de localização.
- Organizações cuja atividade principal consista no tratamento em larga escala de categorias especiais de dados (art. 9.º) ou de dados relativos a condenações penais — por exemplo, hospitais ou grandes prestadores de cuidados de saúde.
Os conceitos-chave são atividade principal, larga escala e controlo regular e sistemático. Uma organização em dúvida deve documentar a sua avaliação — mesmo a decisão de não designar um encarregado deve poder ser fundamentada. A avaliação assenta diretamente nos tratamentos que constam do seu registo de atividades de tratamento. A Lei n.º 58/2019, fiscalizada pela CNPD, acrescenta especificidades nacionais à aplicação do regime. As organizações com operações também no Brasil encontram uma figura equivalente na LGPD, o encarregado — as diferenças entre os dois regimes estão no guia LGPD vs RGPD. Uma plataforma que documente estes tratamentos facilita, além disso, a posterior escolha de um software RGPD adequado.
Mesmo quando não é obrigatório, uma organização pode designar voluntariamente um encarregado. Fazendo-o, aplicam-se integralmente os mesmos requisitos dos artigos 38.º e 39.º.
Que funções tem o encarregado? (Artigo 39.º)
O artigo 39.º, n.º 1, enumera cinco funções:
- Informar e aconselhar o responsável, o subcontratante e os trabalhadores sobre as suas obrigações no âmbito do RGPD.
- Controlar a conformidade, incluindo a repartição de responsabilidades, a sensibilização, a formação e as auditorias correspondentes.
- Aconselhar sobre avaliações de impacto (AIPD) e controlar a sua realização, nos termos do artigo 35.º.
- Cooperar com a autoridade de controlo (a CNPD).
- Ser o ponto de contacto da CNPD sobre questões relativas ao tratamento, incluindo a consulta prévia do artigo 36.º.
O artigo 39.º, n.º 2, acrescenta que o encarregado deve ter em consideração o risco — ou seja, concentrar esforços nos tratamentos de risco elevado para os titulares. Na prática, o encarregado apoia frequentemente também a manutenção do registo de tratamentos, embora tal não conste expressamente do artigo 39.º.
Independência e posição (Artigo 38.º)
O artigo 38.º estabelece várias proteções da independência do encarregado:
- O encarregado não pode receber instruções sobre o modo de exercer as suas funções (art. 38.º, n.º 3).
- O encarregado não pode ser destituído nem penalizado pelo exercício das suas funções.
- O encarregado deve reportar diretamente à direção ao mais alto nível.
- Os titulares devem poder contactar diretamente o encarregado.
O encarregado pode desempenhar outras funções na organização, mas apenas se não gerarem um conflito de interesses (art. 38.º, n.º 6). Na prática, quem determina as finalidades dos tratamentos — como o diretor de TI, o diretor de recursos humanos ou o administrador — não pode ser simultaneamente encarregado, pois estaria a fiscalizar o seu próprio trabalho. A ação coordenada do Comité Europeu para a Proteção de Dados em 2024, que reuniu mais de 17.000 respostas, identificou precisamente os conflitos de interesses e a falta de independência como problemas recorrentes.
Encarregado interno ou externo?
O encarregado pode ser um trabalhador ou um prestador externo (art. 37.º, n.º 6). Um encarregado interno conhece bem a organização, mas arrisca conflitos de interesses e exige atualização permanente de competências. Um encarregado externo oferece independência e especialização, mas precisa de acesso suficiente à organização. Em qualquer modelo, é exigível o que o artigo 38.º, n.º 2, prevê: recursos, tempo e acesso aos sistemas suficientes.
Muitas organizações combinam um encarregado externo com uma plataforma interna que documenta tratamentos, contratos de subcontratação e medidas. Ferramentas como a Legiscope fornecem ao encarregado o suporte e os registos rastreáveis necessários para fiscalizar a conformidade e demonstrá-la numa fiscalização. O trabalho do encarregado assenta fortemente em dois documentos: o registo de tratamentos e os contratos de subcontratação.
Recursos, reporte e documentação
O artigo 38.º, n.º 2, exige que o responsável forneça os recursos necessários para o encarregado desempenhar as suas funções: orçamento para formação, acesso aos sistemas de TI e tempo suficiente. A ação coordenada do Comité Europeu para a Proteção de Dados em 2024 identificou precisamente a falta de recursos — orçamentos reduzidos, tempo escasso e subdimensionamento das equipas — como um problema recorrente. Em organizações maiores, a carga de trabalho do encarregado excede, muitas vezes, a capacidade de uma só pessoa, o que torna necessária uma equipa de apoio.
O encarregado deve, ainda, reportar diretamente à direção ao mais alto nível (art. 38.º, n.º 3). Este reporte cumpre duas funções: assegura que as questões de proteção de dados chegam a quem decide e protege o encarregado de pressões de chefias intermédias. Na prática, o encarregado deve manter registo dos seus pareceres e avaliações, de modo a poder demonstrar o que recomendou e como a organização atuou. O encarregado está, além disso, sujeito a sigilo profissional (art. 38.º, n.º 5). Este suporte documental é mais fácil de manter com uma plataforma que conserve o registo de tratamentos e os contratos atualizados.
Perguntas frequentes
Todas as empresas precisam de um encarregado de proteção de dados?
Não. A obrigação abrange autoridades públicas e organizações cuja atividade principal implique controlo em larga escala ou tratamento em larga escala de dados sensíveis. Muitas PME não estão abrangidas, mas devem documentar a sua avaliação. Quem não é obrigado pode, ainda assim, designar um encarregado voluntariamente.
Quanto custa um encarregado de proteção de dados externo?
O custo varia com a dimensão da organização e a complexidade dos tratamentos, desde algumas centenas de euros por mês para empresas menores até valores bastante superiores para organizações com tratamento em larga escala. O custo reduz-se se o encarregado for apoiado por uma plataforma que mantenha registos e contratos atualizados; veja o nosso guia de preços.
O encarregado pode ser responsabilizado pessoalmente?
Não. A responsabilidade legal recai sobre o responsável pelo tratamento ou o subcontratante, não sobre o encarregado. Este pode, contudo, ser responsabilizado se participar ativamente numa violação, por exemplo dando conscientemente pareceres falsos.
Conclusão
O encarregado de proteção de dados é uma função independente de fiscalização e aconselhamento, e não um responsável pela conformidade. É obrigatório para autoridades públicas e para organizações com controlo em larga escala ou tratamento em larga escala de dados sensíveis — caso contrário, é voluntário, mas com os mesmos requisitos. As cinco funções do artigo 39.º giram em torno de informar, controlar e cooperar com a CNPD, e a independência do artigo 38.º exige que o encarregado não fiscalize o seu próprio trabalho. A base de um trabalho eficaz é um registo atualizado e o controlo dos contratos de subcontratação — documentação que uma ferramenta permite manter.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial