O Encarregado de Proteção de Dados (EPD), também conhecido como Data Protection Officer (DPO), é a figura central na promoção e supervisão da conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD) numa organização. Saiba quais as principais funções.

As funções do EPD estão definidas nos artigos 37.º a 39.º do RGPD, na Lei n.º 58/2019 e em orientações da CNPD.
Principais funções do Encarregado de Proteção de Dados

Informar e aconselhar o responsável pelo tratamento, o subcontratante e os colaboradores sobre as obrigações decorrentes do RGPD e demais legislação de proteção de dados.
Controlar e monitorizar a conformidade com o RGPD, outras normas aplicáveis e as políticas internas de proteção de dados, incluindo a atribuição de responsabilidades, sensibilização, formação de pessoal e realização de auditorias.
Aconselhar sobre avaliações de impacto relativas à proteção de dados (AIPD), acompanhando a sua realização e assegurando que são cumpridos os requisitos legais.
Atuar como ponto de contacto com a autoridade de controlo (em Portugal é a CNPD) em todas as questões relacionadas com o tratamento de dados pessoais, incluindo consultas prévias e notificação de incidentes.
Ser o ponto de contacto dos titulares de dados, esclarecendo dúvidas e facilitando o exercício dos seus direitos (acesso, retificação, apagamento, oposição, etc.).
Promover a sensibilização e formação dos colaboradores sobre boas práticas de proteção de dados e deteção de incidentes de segurança.
Assegurar a realização de auditorias, periódicas ou não programadas, para verificar o cumprimento das políticas e procedimentos de proteção de dados.
Manter registos das atividades de tratamento e apoiar na implementação de políticas de privacidade e proteção de dados.
Garantir o cumprimento das políticas de destruição e atualização de dados, bem como a aplicação de medidas de segurança adequadas.


No que diz respeito aos deveres, o EPD deve atuar com autonomia técnica e não pode sofrer instruções relativas ao desempenho das suas funções. Está sujeito a sigilo profissional e confidencialidade sobre todas as informações a que acede no exercício das suas funções, mesmo após cessar funções. Deve dispor dos meios e recursos necessários para o desempenho eficaz das suas funções.
O EPD deve também possuir conhecimentos especializados em legislação e práticas de proteção de dados, bem como capacidade para comunicar com diferentes áreas da organização e com entidades externas.