O Regulamento Geral de Proteção de Dados (RGPD) instituiu o Encarregado de Proteção de Dados (EPD) como figura central na garantia da privacidade, exigindo às entidades públicas a sua designação como obrigatória (art. 37.º, n.º 1, al. a)). Contudo, a flexibilidade conferida pelo legislador europeu – permitindo a nomeação de EPDs internos ou externos, singulares ou coletivos – gera dúvidas e ambiguidades na aplicação dos princípios de independência e ausência de conflitos de interesse. Partindo de uma análise crítica do estado da arte das funções e do estatuto do EPD, do rigor normativo do direito administrativo português e das lições da autoridade de controlo italiana, este artigo avalia os desafios práticos na implementação do modelo do EPD, cinco anos após a entrada em vigor do RGPD. Conclui-se que a ausência de critérios vinculativos para a designação do EPD – como a acumulação de funções ou a subordinação hierárquica – comprometem a segurança jurídica, exigindo maior harmonização normativa a nível nacional e europeu, sobretudo no que diz respeito à transparência dos procedimentos de seleção.

Almeida, M. A. (2022). Teoria do direito administrativo. Almedina.

Andrade, V. F. (2017). Lições de direito administrativo (5.ª ed.). Almedina.

Ente Italiano di Normazione. (2017). Attività professionali non regolamentate - Profili professionali relativi al trattamento e alla protezione dei dati personali - Requisiti di conoscenza, abilità e competenza (UNI 11697:2017). UNI. https://store.uni.com/uni-11697-2017

Ente Italiano di Normazione. (2024). Requisitos para perfis profissionais relacionados ao tratamento e proteção de dados pessoais (UNI CEI EN 17740:2024). UNI. https://store.uni.com/uni-cei-en-17740-2024

Fonseca, I. (Coord.). (2023). Cidades inteligentes e direito, governação digital e direitos: Mapeamento das cidades e código de conduta. Universidade do Minho. Disponível em https://repositorium.sdum.uminho.pt/bitstream/1822/87906/1/Cidades%20Inteligentes%20e%20Direito%2c%20Governa%C3%A7%C3%A3o%20Digital%20e%20Direitos.%20Mapeamento%20de%20cidades%20e%20c%C3%B3digo%20de%20conduta.pdf

Garante per la Protezione dei Dati Personali. (2021). Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in âmbito pubblico. https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9589104

Gonçalves, P. C. (2019). Manual de direito administrativo (3.ª ed.). Almedina.

Grupo de Trabalho do Artigo 29.º. (2017). Diretrizes sobre os encarregados de proteção de dados (DPO), segundo o Regulamento 2016/679. WP243. Disponível em https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=44100

Korff, D., & Georges, M. (2019). The DPO handbook: Guidance for data protection officers in the public and quasi-public sectors. SSRN. Disponível em https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3518386

Maçãs, M., & Calvão, A. (2020). O encarregado de proteção de dados nas pessoas coletivas públicas. Fórum de Proteção de Dados, 7, 23–36. Disponível em https://ciencia.ucp.pt/ws/portalfiles/portal/57283403/forum7_web_1_.pdf

Menezes Cordeiro, A. (2020). Autonomia da função de encarregado de proteção de dados e a independência. Revista da Ordem dos Advogados, 80(I-II). Ordem dos Advogados. Disponível em https://portal.oa.pt/media/130206/a-barreto-menezes-cordeiro_roa_i_ii-2018-revista-da-ordem-dos-advogados.pdf

Moniz, A. R. G. (2024). Lições de direito administrativo I. Almedina.

National Institute of Standards and Technology (NIST). (2013). Security and privacy controls for federal information systems and organizations (Special Publication 800-53, Rev. 4). U.S. Department of Commerce. Disponível em https://doi.org/10.6028/NIST.SP.800-53r4