delegadodeprotecciondedatos.eu
ESPTEN

Perguntas Frequentes

Treze respostas, fundamentadas na lei espanhola, sobre o Delegado de Proteção de Dados.

Diagnóstico RGPD GratuitoContactar
É obrigatório nomear um Delegado de Proteção de Dados?

A designação é obrigatória nos três casos do artigo 37.º, n.º 1, do RGPD — autoridade ou organismo público; observação regular e sistemática em grande escala; tratamento em grande escala de categorias especiais ou de dados penais — e, além disso, na ampla lista de entidades do artigo 34.º da LOPDGDD.

Que entidades estão obrigadas pelo artigo 34.º da LOPDGDD?

Entre outras: ordens profissionais, centros de ensino e universidades, operadores de comunicações eletrónicas, instituições de crédito e seguradoras, empresas de investimento, distribuidoras de energia e gás, responsáveis por ficheiros de solvabilidade, centros de saúde, operadores de jogo e empresas de segurança privada.

É preciso comunicar a nomeação à AEPD?

Sim. O artigo 34.º, n.º 3, da LOPDGDD obriga a comunicar à AEPD — ou à autoridade autonómica competente — as designações, nomeações e cessações do DPD no prazo de dez dias, quer a designação seja obrigatória, quer voluntária. A AEPD mantém um registo público de DPD.

A certificação AEPD-DPD é obrigatória?

Não. O Esquema de Certificação AEPD-DPD é voluntário e acredita a qualificação profissional do DPD, mediante entidades acreditadas pela ENAC. Pode exercer-se como DPD sem certificação, mas esta confere segurança e confiança.

O DPD pode ser externo?

Sim. O artigo 37.º, n.º 6, do RGPD admite que o DPD exerça as funções mediante um contrato de prestação de serviços, externo à organização.

Qual a diferença entre o DPD e o Compliance Officer?

O Compliance Officer assegura o cumprimento geral da organização e pode ter responsabilidades de gestão; o DPD é uma figura específica de proteção de dados, com independência estatutária, que não decide os fins nem os meios do tratamento. Acumular ambos pode gerar conflito de interesses.

O DPD pode ser destituído por exercer as suas funções?

Não. O artigo 36.º, n.º 2, da LOPDGDD reforça a garantia do RGPD: o DPD não pode ser destituído nem sancionado por exercer as funções, salvo em casos de dolo ou negligência grave.

O que é a intervenção do DPD numa reclamação?

O artigo 37.º da LOPDGDD permite ao titular dirigir-se ao DPD antes de reclamar à AEPD; o DPD comunica a decisão no prazo máximo de dois meses.

Que qualificação deve ter o DPD?

O artigo 37.º, n.º 5, do RGPD exige conhecimentos especializados em direito e prática de proteção de dados; o artigo 35.º da LOPDGDD precisa que a qualificação pode ser acreditada, entre outros meios, por esquemas de certificação como o da AEPD.

O que é uma Avaliação de Impacto (AIPD)?

É a avaliação que o responsável deve realizar, antes do tratamento, quando este for suscetível de implicar um risco elevado para os direitos e liberdades, nos termos do artigo 35.º do RGPD.

Como se notifica uma violação de dados?

À AEPD sem demora injustificada e, se possível, em 72 horas (art. 33.º); se implicar risco elevado, deve comunicar-se também aos titulares (art. 34.º).

Quais são os direitos dos titulares?

Informação, acesso, retificação, apagamento, limitação, portabilidade, oposição e não ficar sujeito a decisões automatizadas, no capítulo III do RGPD, a par dos direitos digitais do Título X da LOPDGDD.

Existem autoridades de controlo autonómicas?

Sim. Além da AEPD, existem autoridades autonómicas: a APDCAT na Catalunha, a AVPD no País Basco e o Conselho de Transparência e Proteção de Dados da Andaluzia.

Um grupo empresarial pode designar um único DPD?

Sim. O artigo 37.º, n.º 2, do RGPD permite-o, desde que o DPD seja facilmente acessível a partir de cada estabelecimento.

Utilizamos cookies essenciais e, com o seu consentimento, cookies de análise. Consulte a Política de Cookies.