Este trabalho aborda os modelos de Estado até se chegar ao Estado de direito democrático, que garante direitos fundamentais, como o direito à proteção de dados pessoais. É, ainda, analisada a relação entre a Administração Pública e o poder político, e o caminho que foi necessário percorrer até se chegar ao atual modelo de Governança das organizações. Neste modelo, existe um Encarregado da Proteção de Dados, que controla o cumprimento das normas relativas à proteção de dados. Considerando que existiam dúvidas sobre se, o EPD, é responsável por violação de disposições previstas no RGPD, e na sua Lei de Execução (LE), e que é importante que este esteja bem informado sobre os tipos de responsabilidade que lhe podem ser imputados, por razões de transparência e de prevenção de riscos associados ao tratamento de dados pessoais, - no sentido de serem esclarecidas estas dúvidas, foi realizada uma análise a um conjunto de normas jurídicas do RGPD e da sua LE. O Estudo veio demonstrar que o responsável pelo tratamento ou o subcontratante é quem responde diretamente por violação de disposições previstas no RGPD e pelo pagamento de indemnizações ao titular dos dados. Do presente estudo resultou, ainda, que o Encarregado da Proteção de Dados é passível de responsabilidade criminal nos termos da LE, mas é irresponsável por contraordenações.

This work addresses the State models until reaching the democratic rule of law, which guarantees fundamental rights, such as the right to the protection of personal data. It also analyses the relationship between the Public Administration and the political power, and the path that had to be travelled to reach the current model of Governance of organisations. In this model, there is a Data Protection Officer, who controls compliance with data protection rules. Considering that there were doubts as to whether the DPO is responsible for violating the provisions of the GDPR and its Implementing Law (EL), and that it is important that he/she is well informed about the types of responsibility that can be attributed to him/her, for reasons of transparency and prevention of risks associated with the processing of personal data, - in order to clarify these doubts, an analysis was carried out on a set of legal rules of the GDPR and its EL. The study showed that the controller or processor is directly liable for violations of the provisions of the GDPR and for the payment of compensation to the data subject. This study also showed that the Data Protection Officer is liable for criminal offences under the GDPR, but is not liable for administrative offences.