O Provedor de Justiça Europeu,

Tendo em conta

(1) O Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.º 45/2001 e a Decisão n.º 1247/2002/CE (a seguir designado «o Regulamento») e, nomeadamente, o n.º 2 do seu artigo 45.º , e

O Documento de Posição da Autoridade Europeia para a Proteção de Dados (a seguir designada AEPD) sobre o papel dos encarregados da proteção de dados das instituições e dos organismos da UE,

Adotou a presente decisão:

Artigo 1.º - Designação do encarregado da proteção de dados

1. O Provedor de Justiça Europeu designa, de entre o seu pessoal, um encarregado da proteção de dados (a seguir designado «EPD»), com base nas suas qualidades pessoais e profissionais e, em particular, nos seus conhecimentos especializados no domínio do direito e das práticas em matéria de proteção de dados, bem como na sua capacidade para desempenhar as funções. Pode ser designado um EPD adjunto, após consulta do EPD.^[1] O EDP pode ter pessoal assistente.

2. O EPD é designado por um período de cinco anos, e o seu mandato é renovável.

3. Os dados de contacto do EPD são comunicados à AEPD e publicados no sítio Web do Provedor de Justiça Europeu.

4. O EPD que tiver deixado de preencher as condições exigidas para o exercício das suas funções só pode ser destituído pelo Provedor de Justiça Europeu com o acordo da AEPD. O Provedor de Justiça Europeu determina que o EPD deixa de preencher essas condições sob proposta do Secretário-Geral. A fim de obter o acordo da AEPD em relação a essa destituição, nos termos do artigo 44.º, n.º 8, do Regulamento, a AEPD é consultada por escrito. É transmitida uma cópia deste acordo ao EPD.

Artigo 2º - Estatuto do EPD

1. O EPD responde perante o Secretário-Geral e o Provedor de Justiça Europeu.

2. Sem prejuízo do disposto no n.º 1, o EPD deve agir de forma independente. O EPD não pode receber instruções no que diz respeito ao exercício das suas funções nem ser destituído nem penalizado pelo exercício das mesmas.

3. O Provedor de Justiça Europeu assegura que:

a) o EPD seja envolvido, de forma adequada e atempada, em todas as matérias relacionadas com a proteção de dados;

b) o EDP disponha do tempo e dos recursos necessários para desempenhar as suas funções e para manter os seus conhecimentos especializados; e

c) não haja conflito de interesses entre as funções e atribuições do EPD enquanto tal e quaisquer outras funções e atribuições oficiais que possa desempenhar.

4. O EPD e o respetivo pessoal assistente estão vinculados à obrigação de sigilo ou de confidencialidade no exercício das suas funções, em conformidade com o direito da União.

Artigo 3.º - Funções, atribuições e competências do EPD

1. O EPD informa e aconselha o Provedor de Justiça Europeu no que diz respeito às obrigações da instituição decorrentes do Regulamento e de outras disposições de proteção de dados da União.

2. O EPD garante, de forma independente, a aplicação interna do Regulamento e controla o cumprimento do Regulamento, de outras disposições aplicáveis do direito da União relativas à proteção de dados e das políticas do Provedor de Justiça Europeu em matéria de proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e a formação do pessoal envolvido nas operações de tratamento, e as auditorias correspondentes;

3. O EPD garante que os titulares dos dados sejam informados dos seus direitos e deveres nos termos do Regulamento.

4. O EPD presta aconselhamento, quando tal lhe for solicitado, sobre a necessidade

a) de notificar a AEPD e/ou comunicar ao titular dos dados uma violação de dados pessoais;

b) de realizar uma avaliação do impacto relativa à proteção de dados, controlar a sua realização e consultar a AEPD em caso de dúvida quanto à necessidade de uma avaliação de impacto relativa à proteção de dados; e

c) de uma consulta prévia da AEPD e de consulta da AEPD em caso de dúvida quanto à necessidade de uma consulta prévia.

5. O EPD responde aos pedidos da AEPD e, no âmbito da sua esfera de competência, coopera com a AEPD e consulta-a, a pedido desta ou por iniciativa própria.

6. O EPD assegura que as operações de tratamento pelas quais o Provedor de Justiça Europeu seja o responsável não atentem contra os direitos e as liberdades dos titulares dos dados.

7. O EPD conserva um registo central dos registos das operações de tratamento e de violações de dados pessoais sob a responsabilidade do Provedor de Justiça Europeu. O EPD assegura que o registo central dos registos das operações de tratamento seja acessível ao público, incluindo por via eletrónica. Mediante pedido, são colocados à disposição da AEPD os registos das atividades de tratamento do Provedor de Justiça Europeu.

8. O Provedor de Justiça Europeu, o comité do pessoal e qualquer pessoa podem consultar o EPD, sem ter de recorrer às vias oficiais, sobre qualquer questão relativa à interpretação ou aplicação do Regulamento, na medida em que esteja relacionada com atividades de tratamento pelas quais o Provedor de Justiça Europeu seja o responsável. Na medida do possível, o EPD fornece informações que são compreensíveis sem a necessidade de conhecimentos especializados.

9. O EPD pode emitir recomendações ao Provedor de Justiça Europeu a fim de melhorar concretamente a proteção de dados, e aconselhá-lo sobre matérias relativas à aplicação das disposições relativas à proteção dos dados e às atividades de tratamento pelas quais o Provedor de Justiça Europeu seja o responsável.

10. O EPD, por iniciativa própria ou a pedido do Provedor de Justiça Europeu, do Secretário-Geral, do comité do pessoal ou de qualquer pessoa, pode investigar questões e factos diretamente relacionados com as suas funções de que tenha tido conhecimento e informar a pessoa que solicitou a investigação ou o Provedor de Justiça Europeu. Os inquéritos respeitarão o princípio da lealdade e o direito das pessoas envolvidas a exprimirem as suas opiniões sobre factos que lhes digam respeito.

11. Os titulares dos dados podem contactar o EPD em relação a todas as questões relacionadas com o tratamento dos seus dados pessoais e o exercício dos seus direitos.

12. Ninguém pode ser prejudicado por uma questão levada ao conhecimento do EPD que constitua alegadamente uma violação do Regulamento.

13. No desempenho das suas funções, o EPD tem acesso, a qualquer momento, aos dados objeto de tratamento e a todos os locais, instalações de tratamento de dados e suportes de informação.

14. No exercício das suas funções em relação ao tratamento efetuado por outra instituição ou organismo da União em nome do Provedor de Justiça Europeu, o EPD pode cooperar com o encarregado da proteção de dados da instituição ou do órgão em causa.

Artigo 4.º - Entrada em vigor

A presente decisão entra em vigor na data da sua aprovação.

Feito em Estrasburgo, em 09/10/2019

Emily O’Reilly

[1] Sempre que seja designado um EPD adjunto nos termos deste procedimento, a expressão «EPD» deve ser entendida como abrangendo tanto o EPD como o EPD adjunto.