II SÉRIE-A — NÚMERO 89

34

Artigo 5.º

Composição e funcionamento

A composição, o modo de designação e o estatuto remuneratório dos membros da CNPD, bem como a

respetiva orgânica e quadro de pessoal, são aprovados por lei da Assembleia da República.

Artigo 6.º

Atribuições e competências

1 - Para além do disposto no artigo 57.º do RGPD, a CNPD prossegue as seguintes atribuições:

a) Pronunciar-se, a título não vinculativo, sobre as medidas legislativas e regulamentares relativas à proteção

de dados pessoais, bem como sobre instrumentos jurídicos em preparação, em instituições europeias ou

internacionais, relativos à mesma matéria;

b) Fiscalizar o cumprimento das disposições do RGPD e das demais disposições legais e regulamentares

relativas à proteção de dados pessoais e dos direitos, liberdades e garantias dos titulares dos dados, e corrigir

e sancionar o seu incumprimento;

c) Disponibilizar uma lista de tratamentos sujeitos à avaliação do impacto sobre a proteção de dados, nos

termos do n.º 4 do artigo 35.º do RGPD, definindo igualmente critérios que permitam densificar a noção de

elevado risco prevista nesse artigo;

d) Elaborar e apresentar ao Comité Europeu para a Proteção de Dados, previsto no RGPD, os projetos de

critérios para a acreditação dos organismos de monitorização de códigos de conduta e dos organismos de

certificação, nos termos dos artigos 41.º e 43.º do RGPD, e assegurar a posterior publicação dos critérios, caso

sejam aprovados;

e) Acreditar organismos para monitorizar códigos de conduta, nos termos do RGPD, bem como revogar a

acreditação sempre que os requisitos deixem de ser cumpridos ou as medidas adotadas violem as normas de

proteção de dados;

f) Cooperar com o Instituto Português de Acreditação, I.P. (IPAC, I.P.), relativamente à aplicação do disposto

no artigo 14.º da presente lei, bem como na definição de requisitos adicionais de acreditação, tendo em vista a

salvaguarda da coerência de aplicação do RGPD;

g) Promover ações de formação adequadas e regulares destinadas aos encarregados de proteção de dados.

2 - A CNPD exerce as competências previstas no artigo 58.º do RGPD.

Artigo 7.º

Avaliações prévias de impacto

1 - Nos termos do n.º 5 do artigo 35.º do RGPD, a CNPD difunde uma lista de tipos de tratamentos de dados

cuja avaliação prévia de impacto não é obrigatória.

2 - O disposto no número anterior não impede os responsáveis pelo tratamento de efetuar uma avaliação

prévia de impacto por iniciativa própria.

3 - As listas referidas nos n.ºs 4 e 5 do artigo 35.º do RGPD são publicitadas no sítio da CNPD na Internet.

Artigo 8.º

Dever de colaboração

1 - As entidades públicas e privadas devem prestar a sua colaboração à CNPD, facultando-lhe todas as

informações que por esta, no exercício das suas atribuições e competências, lhes sejam solicitadas.

2 - O dever de colaboração é assegurado, designadamente, quando a CNPD tiver necessidade, para o cabal

exercício das suas funções, de examinar o sistema informático e os ficheiros de dados pessoais, bem como toda

a documentação relativa ao tratamento e transmissão de dados pessoais.

3 - Os membros da CNPD, bem como técnicos por esta mandatados, estão obrigados ao dever de sigilo,

nomeadamente quanto ao segredo comercial a que tenham acesso no exercício das suas funções.