Sim, para qualquer autoridade ou organismo do Estado é sempre obrigatório nomear um EDP (Encarregado de Proteção de Dados). A única exceção são os tribunais.
Para entidades privadas, apenas é obrigatório para aquelas organizações que façam tratamento de dados pessoais que, devido à natureza, âmbito ou finalidade, exija um controlo regular e sistemático, ou quando há tratamento de dados sensíveis em grande escala (condenações penais e infrações).
No entanto, qualquer organização, querendo, pode voluntariamente nomear um.
É possível várias empresas partilharem o mesmo encarregado de proteção de dados?
Sim. O RGPD admite que associações ou outros organismos representativos de empresas possam designar um EPD comum. Também dentro do mesmo grupo empresarial, é possível designar um único EPD, desde que este esteja facilmente acessível a partir de cada estabelecimento.
Os EPD precisam de alguma certificação para desempenhar as suas funções?
Não. O EPD deve ser designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados.
É preciso fazer algum registo do EPD?
É necessário publicar os contactos do encarregado de proteção de dados e dar conhecimento aos titulares dos dados desses contactos, em especial quando os dados são recolhidos junto do mesmo.
Também é necessário comunicar à CNPD essa informação.
Referências: Artigo 9.º, 10.º, 13.º e 14.º do RGPD.