investigação CLÍNICA.PT
Pedir Proposta

Início · Dados · EPD / DPO

PILAR 2 · FUNÇÃO REGULADA

EPD/DPO em Investigação Clínica

O Encarregado de Proteção de Dados — figura jurídica nuclear do RGPD para entidades públicas e organizações com tratamento sistemático de dados sensíveis em larga escala.

Obrigatoriedade

O Art. 37.º n.º 1 RGPD impõe a designação obrigatória de EPD em três situações: tratamento por autoridade pública, controlo regular e sistemático em larga escala, ou tratamento em larga escala de dados sensíveis. O Art. 12.º da Lei n.º 58/2019 reforça a obrigação para qualquer entidade pública, independentemente da dimensão.

Em investigação clínica

Hospitais públicos, ULS, IPO, centros académicos e investigadores no SNS estão sempre obrigados a designar EPD. Centros de investigação clínica privados estão obrigados sempre que efectuem tratamento sistemático em larga escala de dados sensíveis — situação típica em IC.

Funções do EPD (Art. 39.º RGPD)

  • Informar e aconselhar o responsável pelo tratamento e os colaboradores;
  • Controlar a conformidade com o RGPD e demais legislação;
  • Aconselhar sobre AIPDs e controlar a sua execução;
  • Cooperar com a autoridade de controlo;
  • Servir de ponto de contacto para a autoridade e para os titulares.

Garantias da função

O Art. 38.º RGPD estabelece garantias essenciais:

  • Envolvimento atempado em todas as questões de proteção de dados;
  • Recursos necessários para o desempenho da função;
  • Independência — não pode receber instruções sobre o exercício das funções;
  • Inamovibilidade — não pode ser destituído por questões relacionadas com o cargo;
  • Reporte directo ao mais alto nível da hierarquia;
  • Ausência de conflito de interesses — não pode acumular funções que determinem ele próprio finalidades e meios.

EPD externo

O Art. 37.º n.º 6 RGPD permite expressamente o EPD externo — através de contrato de prestação de serviços com SLA contratualizado. Este modelo é particularmente adequado em IC, onde a competência exigida é especializada e dificilmente sustentável internamente.

Deliberação CNPD 2025/267

Esta deliberação clarificou aspectos da designação de EPD, particularmente quanto à obrigação de comunicação à CNPD, ao perfil técnico exigível e à articulação com outras funções de conformidade na organização.

Necessita de apoio nesta matéria?

O Clinical Data Protection Officer assegura a aplicação especializada desta sub-área à investigação clínica.