PILAR 2 · FUNÇÃO REGULADA
EPD/DPO em Investigação Clínica
O Encarregado de Proteção de Dados — figura jurídica nuclear do RGPD para entidades públicas e organizações com tratamento sistemático de dados sensíveis em larga escala.
Obrigatoriedade
O Art. 37.º n.º 1 RGPD impõe a designação obrigatória de EPD em três situações: tratamento por autoridade pública, controlo regular e sistemático em larga escala, ou tratamento em larga escala de dados sensíveis. O Art. 12.º da Lei n.º 58/2019 reforça a obrigação para qualquer entidade pública, independentemente da dimensão.
Em investigação clínica
Hospitais públicos, ULS, IPO, centros académicos e investigadores no SNS estão sempre obrigados a designar EPD. Centros de investigação clínica privados estão obrigados sempre que efectuem tratamento sistemático em larga escala de dados sensíveis — situação típica em IC.
Funções do EPD (Art. 39.º RGPD)
- Informar e aconselhar o responsável pelo tratamento e os colaboradores;
- Controlar a conformidade com o RGPD e demais legislação;
- Aconselhar sobre AIPDs e controlar a sua execução;
- Cooperar com a autoridade de controlo;
- Servir de ponto de contacto para a autoridade e para os titulares.
Garantias da função
O Art. 38.º RGPD estabelece garantias essenciais:
- Envolvimento atempado em todas as questões de proteção de dados;
- Recursos necessários para o desempenho da função;
- Independência — não pode receber instruções sobre o exercício das funções;
- Inamovibilidade — não pode ser destituído por questões relacionadas com o cargo;
- Reporte directo ao mais alto nível da hierarquia;
- Ausência de conflito de interesses — não pode acumular funções que determinem ele próprio finalidades e meios.
EPD externo
O Art. 37.º n.º 6 RGPD permite expressamente o EPD externo — através de contrato de prestação de serviços com SLA contratualizado. Este modelo é particularmente adequado em IC, onde a competência exigida é especializada e dificilmente sustentável internamente.
Deliberação CNPD 2025/267
Esta deliberação clarificou aspectos da designação de EPD, particularmente quanto à obrigação de comunicação à CNPD, ao perfil técnico exigível e à articulação com outras funções de conformidade na organização.
Necessita de apoio nesta matéria?
O Clinical Data Protection Officer assegura a aplicação especializada desta sub-área à investigação clínica.