|
Proposta de Lei da Protecção de Dados
Pessoais
EXPOSIÇÃO DE MOTIVOS
A proposta de Lei da Protecção de Dados
Pessoais responde à necessidade de transposição até 24 de Outubro de 1998 da Directiva
95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à
protecção das pessoas singulares no que diz respeito ao tratamento dos dados pessoais e
à livre circulação desses dados, transposição que se desenvolve no quadro aberto pela
revisão do artigo 35º da Constituição.
A proposta de lei dá também cumprimento
à medida 8.1 - rever a legislação de protecção de dados pessoais - do Livro Verde
para a Sociedade de Informação.
A Directiva visa assegurar a livre
circulação de dados pessoais no interior do espaço da União Europeia, o que exige uma
harmonização muito estreita das legislações nacionais. Por essa razão, e excluídas
as áreas em que o direito comunitário não é aplicável, a Directiva deixa estreita
discricionariedade aos Estados-membros na forma da sua transposição.
Assim:
1º - Âmbito de aplicação
As normas da protecção de dados
aplicam-se tanto ao tratamento de dados pessoais por meios total ou parcialmente
automatizados, como ao tratamento de dados pessoais contidos em ficheiros manuais ou a
eles destinados, ainda que uma disposição transitória permita aos Estados membros uma
derrogação parcial pelo prazo máximo de doze anos. Segundo o nº 7 do artigo 35º da
Constituição da República Portuguesa, "os dados pessoais constantes de ficheiros
manuais gozam de protecção idêntica à prevista nos números anteriores, nos termos da
lei".
É de notar que a Directiva se aplica
tanto ao sector público como ao sector privado, prevendo regime idêntico para ambos os
sectores, em resultado de emenda votada pelo Parlamento Europeu.
A presente proposta prevê que a lei se
aplique aos dados pessoais tratados em redes informáticas abertas, no seguimento de
recomendação do Conselho da União Europeia; a Directiva não se debruça sobre esta
matéria, já que a explosão do tratamento de dados pessoais na Internet se
verificou posteriormente à apresentação pela Comissão das Comunidades Europeias da
proposta de directiva, em final de 1990.
2º - Condições de tratamento dos
dados pessoais
A qualidade dos dados e as condições de
legitimidade do seu tratamento são pormenorizadamente regulamentadas na Directiva nos
artigos 6º e 7º. Por sua vez o tratamento dos dados sensíveis é regulado pela
Directiva também de forma pormenorizada no artigo 8º.
A proposta de lei respeita a Directiva,
incluindo todavia nos dados sensíveis a vida privada, nos termos previstos no nº 3 do
artigo 35º da Constituição. Na proposta de lei segue-se a redacção do citado artigo
35º, como não podia deixar de ser, ainda que seja ligeiramente diferente a redacção do
artigo 8º da Directiva.
Confere-se papel de relevo à Comissão
Nacional de Protecção de Dados na autorização do tratamento de dados sensíveis, nos
casos em que a possibilidade desse tratamento é prevista na Directiva. No que toca às
matérias não abrangidas pelo direito comunitário, e designadamente a protecção da
segurança do Estado, da defesa, da segurança pública e da prevenção e investigação
ou repressão de infracções penais, a proposta de lei opta por permitir o tratamento de
dados sensíveis para esses fins quando autorizados por lei ou decreto-lei e prévio
parecer da CNPD.
Por sua vez, a interconexão de dados
pessoais é prevista por forma a não poder implicar discriminação ou diminuição dos
direitos, liberdades e garantias dos titulares de dados, e fica sujeita a autorização da
CNPD.
3º - Direitos dos titulares dos
dados
O direito de informação dos titulares
dos dados, bem como o direito de acesso e o direito de oposição são, tal como as
decisões individuais automatizadas, previstas com detalhe na Directiva e são respeitadas
na proposta de lei.
4º - Tratamento de dados pessoais
para fins exclusivamente jornalísticos ou de expressão artística ou literária
A Directiva estabelece que devem ser
admitidas isenções ou derrogações para o tratamento de dados pessoais efectuados para
fins exclusivamente jornalísticos ou de expressão artística ou literária em matéria
referente às condições de legitimidade do tratamento de dados pessoais, à
transferência de dados para países fora da União Europeia e à intervenção de
autoridade independente de controlo, mas apenas na medida em que essas isenções ou
derrogações sejam necessárias para conciliar o direito à vida privada com as normas
que regem a liberdade de expressão.
Nesta matéria, a proposta de lei prevê
que a obrigação de informação do titular dos dados não se aplica ao tratamento
efectuado para os fins acima referidos, salvo quando estiverem em causa direitos,
liberdades e garantias dos titulares dos dados. Considera também que o direito de acesso
à informação é exercido, não directamente pelo titular dos dados, mas sim
indirectamente, através da Comissão Nacional de Protecção de Dados, por forma a ser
apenas verificado se foi dado cumprimento aos princípios da protecção de dados
pessoais, com a garantia de ponderação dos valores constitucionais relativos à
protecção da vida privada e à liberdade de imprensa.
O artigo 35º da Constituição não
prevê explicitamente qualquer isenção nesta matéria.
5º - Segurança e confidencialidade
do tratamento
A proposta de lei prevê as medidas de
segurança que são recomendadas pela Directiva, acrescentando algumas medidas especiais
aplicáveis ao tratamento de dados sensíveis, à semelhança do que se encontra previsto
em convenções de que Portugal é Parte Contratante, designadamente a Convenção de
Aplicação do Acordo de Schengen. Prevê-se ainda a possibilidade de obrigatoriedade de
transmissão encriptada de dados nos casos em que a circulação em rede de dados pessoais
possa pôr em risco direitos, liberdades e garantias dos seus titulares.
6º - Transferência de dados
pessoais
A proposta de lei respeita a disposição
da Directiva referente à liberdade de circulação de dados pessoais entre países da
União Europeia e o regime, muito detalhadamente definido, para a transferência de dados
pessoais para fora da União Europeia. É esta uma matéria em que a necessidade de
harmonização mais se faz sentir pelo que a proposta de lei segue rigorosamente a
disciplina prevista na Directiva.
7º - Comissão Nacional de
Protecção de Dados
A proposta de lei mantém a composição
da Comissão Nacional de Protecção de Dados Pessoais Informatizados, nos termos
actualmente previstos na Lei nº 10/91, de 29 de Abril, abreviando o seu nome para
Comissão Nacional de Protecção de Dados (CNPD).
A Directiva atribui às autoridades
independentes de controlo da protecção de dados poderes muito extensos que são
igualmente respeitados na presente proposta de lei. A proposta prevê ainda que a
Comissão Nacional de Protecção de Dados deva ser consultada sobre quaisquer
disposições legais, bem como sobre instrumentos jurídicos em preparação em
instituições comunitárias ou internacionais, relativos ao tratamento de dados pessoais.
Sendo certo que a presente proposta de lei admite que certos tratamentos possam ser
autorizados por via de diploma legal, parece adequado que se procure também a nível
nacional a garantia de que tal legislação respeita os princípios gerais da protecção
de dados e os princípios específicos aplicáveis ao sector regulamentado, como de resto
é exigido pela Directiva.
A Directiva deixa alguma
discricionariedade aos Estados membros no sentido de determinarem quais os tratamentos de
dados pessoais que devam ser notificados às autoridades de controlo ou mesmo isentos
dessa notificação. Considera todavia que devem ficar sujeitos a autorização prévia os
dados cujo tratamento possa implicar riscos específicos para os direitos e liberdades das
pessoas.
A presente proposta de lei opta, dentro
margem de escolha consentida pela Directiva, por uma aproximação pragmática, deixando
à Comissão Nacional de Protecção de Dados a definição dos casos em que a isenção
ou simplificação da notificação possa ser autorizada, tendo em conta a experiência
que vá sendo conseguida. As autorizações para a simplificação ou isenção da
notificação devem, nos termos da proposta, ficar sujeitos a publicação no Diário
da República, especificando as finalidades do tratamento, os dados ou categorias de
dados a tratar, a categoria ou categorias de titulares dos dados, os destinatários ou
categorias dos destinatários a quem podem ser comunicados os dados e o período de
conservação dos dados.
Por sua vez, entende-se que devem carecer
de autorização da CNPD:
- o tratamento de dados sensíveis, nos
casos em que tal tratamento é excepcionalmente permitido;
- o tratamento de dados que revelem a
situação patrimonial e financeira ou a solvabilidade dos seus titulares, uma vez que
esse tratamento pode implicar, de facto, riscos específicos para os indivíduos;
- a interconexão de dados pessoais.
Estabelece-se ainda que o tratamento dos
dados acima referidos, quando for autorizado por diploma legal, seja submetido a prévio
parecer da CNPD, como resulta da Directiva.
8º - Recursos judiciais,
responsabilidade civil e sanções
A criminalização da omissão ou
cumprimento defeituoso de disposições da protecção de dados, como se prevê na Lei nº
10/91, revelou-se excessiva e motivadora da dificuldade de actuação em muitos desses
casos. Entende-se por isso que seria não só mais realista mas sobretudo dinamizador do
cumprimento da lei o considerar, em regra, como contraordenações as omissões ou
comportamentos meramente negligentes e incriminar apenas as condutas intencionais de
omissão ou não cumprimento em termos similares aos previstos na Lei nº 10/91.
Anteprojecto de proposta de Lei da
Protecção de Dados Pessoais
A Assembleia da República decreta, nos
termos dos artigos 161º, alínea c), 165º, n.º 1, alíneas b), c) e d), e 166º, n.º
3, da Constituição o seguinte:
CAPÍTULO I
DISPOSIÇÕES GERAIS
Artigo 1º
(Princípio geral)
O tratamento de dados pessoais deve
processar-se de forma transparente e no estrito respeito pela reserva da vida privada e
familiar e pelos direitos, liberdades e garantias fundamentais do cidadão.
Artigo 2º
(Definições)
Para efeitos da presente lei, entende-se
por:
a) "Dados pessoais": qualquer
informação relativa a uma pessoa singular identificada ou identificável ("titular
dos dados"); é considerada identificável a pessoa que possa ser identificada
directa ou indirectamente, designadamente por referência a um número de identificação
ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica,
económica, cultural ou social;
b) "Tratamento de dados
pessoais" ("tratamento"): qualquer operação ou conjunto de operações
sobre dados pessoais, efectuadas com ou sem meios automatizados, tais como a recolha, o
registo, a organização, a conservação, a adaptação ou alteração, a recuperação,
a consulta, a utilização, a comunicação por transmissão, por difusão ou por qualquer
outra forma de colocação à disposição, com comparação ou interconexão, bem como o
bloqueio, apagamento ou destruição;
c) "Ficheiro de dados pessoais"
("ficheiro"): qualquer conjunto estruturado de dados pessoais, acessível
segundo critérios determinados, quer seja centralizado, descentralizado ou repartido de
modo funcional ou geográfico;
d) "Responsável pelo
tratamento": a pessoa singular ou colectiva, a autoridade pública, o serviço ou
qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as
finalidades e os meios de tratamento dos dados pessoais; sempre que as finalidades e os
meios do tratamento sejam determinadas por disposições legislativas ou regulamentares, o
responsável pelo tratamento deve ser indicado na lei orgânica ou no estatuto da entidade
legal ou estatutariamente competente para tratar os dados pessoais em causa;
e) "Subcontratante": a pessoa
singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que
trate os dados pessoais por conta do responsável pelo tratamento;
f) "Terceiro": a pessoa singular
ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que, não
sendo o titular dos dados, o responsável pelo tratamento, o subcontratante ou outra
pessoa sob autoridade directa do responsável pelo tratamento ou do subcontratante, esteja
habilitado a tratar os dados;
g) "Destinatário": a pessoa
singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo a
quem sejam comunicados dados pessoais, independentemente de se tratar ou não de um
terceiro, sem prejuízo de não serem consideradas destinatários as autoridades a quem
sejam comunicados dados no âmbito de uma disposição legal;
h) "Consentimento do titular dos
dados": qualquer manifestação de vontade, livre, específica e informada, nos
termos da qual o titular aceita que os seus dados pessoais sejam objecto de tratamento;
i) "Interconexão de dados":
forma de tratamento que consiste na possibilidade de correlação dos dados de um ficheiro
com os dados de um ficheiro ou ficheiros mantidos por outro ou outros responsáveis, ou
mantidos pelo mesmo responsável com outra finalidade.
Artigo 3º
(Âmbito de aplicação)
1 - A presente lei aplica-se ao tratamento
de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento
por meios não automatizados de dados pessoais contidos em ficheiros manuais ou a
estes destinados.
2 - A presente lei não se aplica ao
tratamento de dados pessoais efectuado por pessoa singular no exercício de actividades
exclusivamente pessoais ou domésticas.
3 - A presente lei aplica-se ao tratamento
de dados pessoais efectuado:
a) No âmbito das actividades de
estabelecimento do responsável do tratamento situado em território português;
b) Fora do território nacional, em local
onde a legislação portuguesa seja aplicável por força do direito internacional
público;
- Por responsável que, não estando estabelecido no
território da União Europeia, recorra, para tratamento de dados pessoais, a meios,
automatizados ou não, situados no território português, salvo se esses meios só forem
utilizados para trânsito através do território da União Europeia.
4 - A presente lei aplica-se ao tratamento
e difusão de sons e imagens que permitam identificar pessoas sempre que o responsável
pelo tratamento esteja domiciliado ou sediado em Portugal ou recorra a um fornecedor de
acesso a redes informáticas estabelecido em território português.
5 - No caso referido na alínea c) do n.º
3, o responsável pelo tratamento deve designar, mediante comunicação à Comissão
Nacional de Protecção de Dados (CNPD), um representante estabelecido em Portugal, que se
lhe substitua em todos os seus direitos e obrigações, sem prejuízo da sua própria
responsabilidade.
6 - O disposto no número anterior
aplica-se no caso de o responsável pelo tratamento estar abrangido por estatuto de
extraterritorialidade, de imunidade ou por qualquer outro que impeça o procedimento
criminal.
CAPÍTULO II
TRATAMENTO DE DADOS PESSOAIS
Secção I
Qualidade dos dados e legitimidade do seu
tratamento
Artigo 4º
(Qualidade dos dados)
1 - Os dados pessoais devem ser:
a) Tratados de forma leal e lícita;
b) Recolhidos para finalidades
determinadas, explícitas e legítimas, não sendo posteriormente tratados de forma
incompatível com essas finalidades;
c) Adequados, pertinentes e não
excessivos relativamente às finalidades para que são recolhidos e posteriormente
tratados;
d) Exactos e, se necessário,
actualizados, devendo ser tomadas as medidas adequadas para assegurar que sejam apagados
ou rectificados os dados inexactos ou incompletos, tendo em conta as finalidades para que
foram recolhidos ou para que são tratados posteriormente;
e) Conservados de forma a permitir a
identificação dos seus titulares apenas durante o período necessário para a
prossecução das finalidades da recolha ou do tratamento posterior.
2 - O tratamento posterior dos dados para
fins históricos, estatísticos ou científicos, bem como a sua conservação para os
mesmos fins por período superior ao referido na alínea e) do número anterior, podem ser
autorizados, mediante deliberação da CNPD, em caso de interesse legítimo do
responsável pelo tratamento, desde que não prevaleçam os direitos, liberdades e
garantias do titular de dados.
3 - Cabe ao responsável pelo tratamento
assegurar a observância do disposto nos números anteriores.
Artigo 5º
(Condições de legitimidade do tratamento
de dados)
O tratamento de dados pessoais só pode
ser efectuado se o seu titular tiver dado de forma inequívoca o seu consentimento ou se o
tratamento for necessário para:
a) Execução de contrato em que o titular
dos dados seja parte ou de diligências prévias efectuadas a seu pedido;
b) Cumprimento de obrigação legal a que
o responsável pelo tratamento esteja sujeito;
c) Protecção de interesses vitais do
titular dos dados, se este estiver física ou legalmente incapaz de dar o seu
consentimento;
d) Execução de uma missão de interesse
público ou no exercício de autoridade pública em que esteja investido o responsável
pelo tratamento ou um terceiro a quem os dados sejam comunicados;
e) Prossecução de interesses legítimos
do responsável pelo tratamento ou de terceiro a quem os dados sejam comunicados, desde
que não prevaleçam os interesses ou os direitos, liberdades e garantias do
titular dos dados.
Artigo 6º
(Tratamento de dados sensíveis)
1 - É proibido o tratamento de dados
pessoais referentes a convicções filosóficas ou políticas, filiação partidária ou
sindical, fé religiosa, vida privada e origem racial ou étnica, bem como o tratamento de
dados relativos à saúde e à vida sexual, incluindo os dados genéticos.
2 - Mediante disposição legal ou
autorização da CNPD, pode excepcionalmente ser permitido o tratamento dos dados
referidos no número anterior quando esse tratamento for indispensável ao exercício das
atribuições legais ou estatutárias do seu responsável, ou quando o titular dos dados
tiver dado o seu consentimento expresso para esse tratamento, em ambos os casos com
garantias de não discriminação e com as medidas de segurança previstas no artigo 14º.
3 - O tratamento dos dados referidos no
n.º 1 é ainda permitido quando se verificar uma das seguintes condições:
a) Ser necessário para proteger
interesses vitais do titular dos dados ou de uma outra pessoa e o titular dos dados
estiver física ou legalmente incapaz de dar o seu consentimento;
- Ser efectuado, no âmbito das suas actividades legítimas,
por fundação, associação ou organismo sem fins lucrativos de carácter político,
filosófico, religioso ou sindical, sob condição de o tratamento respeitar apenas aos
membros desse organismo ou às pessoas que com ele mantenham contactos periódicos ligados
às suas finalidades, e de os dados não serem comunicados a terceiros sem consentimento
dos seus titulares;
c) Dizer respeito a dados manifestamente
tornados públicos pelo seu titular;
d) Ser necessário à declaração,
exercício ou defesa de um direito em processo judicial, e for efectuado exclusivamente
com essa finalidade.
4 - O tratamento dos dados referentes à
saúde e à vida sexual, incluindo os dados genéticos, é permitido quando for
necessário para efeitos de medicina preventiva, de diagnóstico médico, de prestação
de cuidados ou tratamentos médicos ou de gestão de serviços de saúde desde que o
tratamento desses dados seja efectuado por um profissional de saúde obrigado ao segredo
profissional ou por outra pessoa igualmente sujeita a uma obrigação de segredo
equivalente, seja notificado à CNPD, nos termos do artigo 26º, e sejam garantidas
medidas adequadas de segurança da informação.
5 - O tratamento dos dados referidos no
n.º 1 pode ainda ser efectuado, mediante autorização prevista por lei ou decreto-lei
com garantias de não discriminação e medidas adequadas de segurança da informação e
prévio parecer da CNPD, quando se mostrar indispensável à protecção da segurança do
Estado, da defesa, da segurança pública e da prevenção, investigação ou repressão
de infracções penais.
Artigo 7º
(Actividades ilícitas, condenações
penais, medidas de segurança,
infracções e contra-ordenações)
1 - A criação e manutenção de registos
centrais relativos a condenações penais, medidas de segurança, infracções e
contra-ordenações só pode ser mantida por serviços públicos com competência
específica prevista na respectiva lei orgânica, observando normas de funcionamento e de
protecção de dados previstas em decreto-lei, com prévio parecer da CNPD.
2 - O tratamento de dados pessoais
relativo a actividades ilícitas, condenações penais, medidas de segurança,
infracções ou contra-ordenações pode ser autorizado pela CNPD, observadas as normas de
protecção de dados e de segurança da informação, quando tal tratamento for
necessário à execução de finalidades legítimas do seu responsável, desde que não
prevaleçam os direitos, liberdades e garantias do titular dos dados.
3 - O tratamento de dados pessoais para
fins de investigação policial deve limitar-se ao necessário para a prevenção de um
perigo concreto ou repressão de uma infracção penal determinada, para o exercício de
competências previstas no respectivo estatuto orgânico ou ainda nos termos de acordo ou
convenção internacional de que Portugal seja parte.
Artigo 8º
(Interconexão de dados pessoais)
1- A interconexão de dados pessoais deve
ser necessária à prossecução das finalidades legais ou estatutárias e de
interesses legítimos dos responsáveis dos tratamentos, não implicar discriminação ou
diminuição dos direitos, liberdades e garantias dos titulares dos dados e ser rodeada de
adequadas medidas de segurança.
2 - A interconexão de dados pessoais
está sujeita a autorização da CNPD solicitada em conjunto pelos correspondentes
responsáveis dos tratamentos, nos termos previstos no artigo 26º.
Secção II
Direitos do titular dos dados
Artigo 9º
(Direito de informação)
1 - Quando recolher dados pessoais
directamente do seu titular, o responsável pelo tratamento ou o seu representante deve
prestar-lhe, salvo se já dele forem conhecidas, as seguintes informações:
a) Identidade do responsável pelo
tratamento e, se for caso disso, do seu representante;
b) Finalidades do tratamento;
c) Os destinatários ou categorias de
destinatários dos dados;
d) O carácter obrigatório ou facultativo
da resposta, bem como as possíveis consequências se não responder;
- A existência e as condições do direito de acesso
e de rectificação.
2 - Os documentos que sirvam de base à
recolha de dados pessoais devem conter as informações constantes do número anterior.
3 - Se os dados não forem recolhidos
junto do seu titular, e salvo se dele já forem conhecidas, o responsável pelo
tratamento, ou o seu representante, deve prestar-lhe as informações previstas no número
anterior no momento do registo dos dados ou, se estiver prevista a comunicação a
terceiros, o mais tardar aquando da primeira comunicação desses dados.
4 - No caso de recolha de dados em redes
abertas, o titular dos dados deve ser informado, salvo se disso já tiver conhecimento,
que os seus dados pessoais podem circular na rede sem condições de segurança, correndo
o risco de ser vistos e utilizados por terceiros não autorizados.
5 - A obrigação de informação pode ser
dispensada, mediante deliberação da CNPD, por motivos de segurança do Estado e
prevenção ou investigação criminal, e bem assim quando, nomeadamente no caso do
tratamento de dados com finalidades estatísticas, históricas ou de investigação
científica, a informação do titular dos dados se revelar impossível ou implicar
esforços desproporcionados ou ainda quando a lei determinar expressamente o registo dos
dados ou a sua divulgação.
6 - A obrigação de informação não se
aplica ao tratamento de dados efectuado para fins exclusivamente jornalísticos ou de
expressão artística ou literária, salvo quando estiverem em causa direitos, liberdades
e garantias dos titulares dos dados.
Artigo 10º
(Direito de acesso)
1 - O titular dos dados tem o direito de
obter do responsável pelo tratamento, livremente e sem restrições, com periodicidade
razoável e sem demoras ou custos excessivos:
a) A confirmação de serem ou não
tratados dados que lhe digam respeito, bem como informação sobre as finalidades desse
tratamento, as categorias de dados sobre que incide e os destinatários ou categorias de
destinatários a quem são comunicados os dados;
b) A comunicação, sob forma
inteligível, dos seus dados sujeitos a tratamento e de quaisquer informações
disponíveis sobre a origem desses dados;
c) O conhecimento da lógica subjacente ao
tratamento automatizado dos dados que lhe digam respeito, no que se refere às decisões
automatizadas referidas no n.º 1 do artigo 12º;
d) A rectificação, o apagamento ou o
bloqueio dos dados cujo tratamento não cumpra o disposto na presente lei, nomeadamente
devido ao carácter incompleto ou inexacto desses dados;
e) A notificação aos terceiros a quem os
dados tenham sido comunicados de qualquer rectificação, apagamento ou bloqueio efectuado
nos termos da alínea d), salvo se isso for comprovadamente impossível ou implicar um
esforço desproporcionado.
2 - Nos casos previstos nos n.ºs 4 e 5 do
artigo 9º, o direito de acesso é exercido, nos termos constitucionais, através da CNPD
ou de outra autoridade independente a quem a lei atribua a verificação do cumprimento da
legislação de protecção de dados pessoais.
3 - O direito de acesso à informação
relativa a dados da saúde, incluindo os dados genéticos, é exercido por intermédio de
médico escolhido pelo titular dos dados.
4 - No caso de os dados não serem
utilizados para tomar medidas ou decisões em relação a pessoas determinadas, a lei pode
restringir o direito de acesso nos casos em que manifestamente não exista qualquer perigo
de violação do direito à vida privada do titular dos dados e estes forem exclusivamente
utilizados para fins de investigação científica ou conservados sob forma de dados
pessoais durante um período que não exceda o necessário à finalidade exclusiva de
elaborar estatísticas.
Artigo 11º
(Direito de oposição do titular dos
dados)
O titular dos dados tem o direito de:
a) Salvo disposição legal em contrário,
e pelo menos nos casos referidos nas alíneas d) e e) do artigo 5º, se opor em qualquer
altura, por razões preponderantes e legítimas relacionadas com a sua situação
particular, a que os dados que lhe digam respeito sejam objecto de tratamento, devendo, em
caso de oposição justificada, o tratamento efectuado pelo responsável deixar de poder
incidir sobre esses dados;
- Se opor, a seu pedido e gratuitamente, ao tratamento dos
dados pessoais que lhe digam respeito previsto pelo responsável pelo tratamento para
efeitos de mala directa ou qualquer outra forma de prospecção;
- Ser informado, antes de os dados pessoais serem
comunicados pela primeira vez a terceiros para os fins previstos na alínea anterior ou
utilizados por conta de terceiros, e de lhe ser expressamente facultado o direito de se
opor, sem despesas, a tais comunicações ou utilizações.
Artigo 12º
(Decisões individuais automatizadas)
1 - Qualquer pessoa tem o direito de não
ficar sujeita a uma decisão que produza efeitos na sua esfera jurídica ou que a afecte
de modo significativo, tomada exclusivamente com base num tratamento automatizado de dados
destinado a avaliar determinados aspectos da sua personalidade, designadamente a sua
capacidade profissional, o seu crédito, a confiança de que é merecedora ou o seu
comportamento.
2 - Sem prejuízo do cumprimento das
restantes disposições da presente lei, uma pessoa pode consentir em ser sujeita a uma
decisão tomada nos termos do n.º 1, desde que tal ocorra no âmbito da celebração ou
da execução de um contrato, e sob condição de o seu pedido de celebração ou
execução do contrato ter sido satisfeito, ou de existirem medidas adequadas que garantam
a defesa dos seus interesses legítimos, tais como a possibilidade de expor o seu ponto de
vista.
3 - Pode ainda ser permitida a tomada de
uma decisão nos termos do n.º 1 quando a CNPD o autorize, definindo medidas de garantia
da defesa dos interesses legítimos do titular dos dados.
Secção III
Segurança e confidencialidade do
tratamento
Artigo 13º
(Segurança do tratamento)
1 - O responsável pelo tratamento deve
pôr em prática as medidas técnicas e organizativas adequadas para proteger os dados
pessoais contra a destruição, acidental ou ilícita, a perda acidental, a alteração, a
difusão ou o acesso não autorizados, nomeadamente quando o tratamento implicar a sua
transmissão por rede, e contra qualquer outra forma de tratamento ilícito; estas medidas
devem assegurar, atendendo aos conhecimentos técnicos disponíveis e aos custos
resultantes da sua aplicação, um nível de segurança adequado em relação aos riscos
que o tratamento apresenta e à natureza dos dados a proteger.
2 - O responsável pelo tratamento, em
caso de tratamento por sua conta, deverá escolher um subcontratante que ofereça
garantias suficientes em relação às medidas de segurança técnica e de organização
do tratamento a efectuar, e deverá zelar pelo cumprimento dessas medidas.
3 - A realização de operações de
tratamento em subcontratação deve ser regida por um contrato ou acto jurídico que
vincule o subcontratante ao responsável pelo tratamento e que estipule, designadamente,
que o subcontratante apenas actua mediante instruções do responsável pelo tratamento e
que lhe incumbe igualmente o cumprimento das obrigações referidas no n.º 1.
4 - Para efeitos de conservação de
provas, os elementos do contrato ou do acto jurídico relativos à protecção dos dados,
bem como as exigências relativas às medidas referidas no n.º 1, são consignados por
escrito ou sob forma equivalente.
Artigo 14º
(Medidas especiais de segurança)
1 - Os responsáveis pelo tratamento dos
dados referidos nos n.ºs 2 e 5 do artigo 6º e no n.º 1 do artigo 7º devem tomar as
medidas adequadas para:
- Impedir o acesso de pessoa não autorizada às
instalações utilizadas para o tratamento desses dados (controlo da entrada nas
instalações);
- Impedir que suportes de dados possam ser lidos, copiados,
alterados ou retirados por pessoa não autorizada (controlo dos suportes de dados);
- Impedir a introdução não autorizada, bem como a tomada
de conhecimento, a alteração ou a eliminação não autorizadas de dados pessoais
inseridos (controlo da inserção);
- Impedir que sistemas de tratamento automatizados de dados
possam ser utilizados por pessoas não autorizadas através de instalações de
transmissão de dados (controlo da utilização);
- Garantir que as pessoas autorizadas só possam ter acesso
aos dados abrangidos pela autorização (controlo de acesso);
- Garantir a verificação das entidades a quem possam ser
transmitidos os dados pessoais através das instalações de transmissão de dados
(controlo da transmissão);
- Garantir que possa verificar-se a posteriori quais os dados
pessoais introduzidos quando e por quem (controlo da introdução);
- Impedir que, no momento da transmissão de dados pessoais,
bem como no momento do transporte do suporte de dados, os dados possam ser lidos,
copiados, alterados ou eliminados de forma não autorizada (controlo do transporte).
2 - Tendo em conta a natureza das
entidades responsáveis pelo tratamento e o tipo das instalações em que é efectuado, a
CNPD pode dispensar a existência de certas medidas de segurança, garantido que se mostre
o respeito pelos direitos, liberdades e garantias dos titulares dos dados.
3 - Os sistemas devem garantir a
separação lógica entre os dados referentes à saúde e à vida sexual, incluindo os
genéticos, dos restantes dados pessoais.
4 - A CNPD pode determinar a transmissão
encriptada de dados nos casos em que a circulação em rede de dados pessoais referidos
nos artigos 6º e 7º possa por em risco direitos, liberdades e garantias dos titulares
dos dados.
Artigo 15º
(Tratamento por subcontratante)
Qualquer pessoa que, agindo sob a
autoridade do responsável pelo tratamento ou do subcontratante, bem como o próprio
subcontratante, tenha acesso a dados pessoais, não pode proceder ao seu tratamento sem
instruções do responsável pelo tratamento, salvo por força de obrigações legais.
Artigo 16º
(Sigilo profissional)
1 - Os responsáveis do tratamento de
dados pessoais, bem como as pessoas que, no exercício das suas funções, tenham
conhecimento dos dados pessoais tratados, ficam obrigados a sigilo profissional, mesmo
após o termo das suas funções.
2 - Igual obrigação recai sobre os
membros da CNPD, mesmo após o termo do mandato.
3 - O disposto nos números anteriores
não exclui o dever do fornecimento das informações obrigatórias, nos termos legais,
excepto quando constem de ficheiros organizados para fins estatísticos.
4 - Os funcionários, agentes ou técnicos
que exerçam funções de assessoria à CNPD ou aos seus vogais estão sujeitos à mesma
obrigação de sigilo profissional.
CAPÍTULO III
TRANSFERÊNCIA DE DADOS PESSOAIS
Secção I
Transferência de dados pessoais na União
Europeia
Artigo 17º
(Princípio)
É livre a circulação de dados pessoais
entre países da União Europeia.
Secção II
Transferência de dados pessoais para fora
da União Europeia
Artigo 18º
(Princípios)
1 - Sem prejuízo do disposto no artigo
seguinte, a transferência, para um país que não pertença à União Europeia, de dados
pessoais que sejam objecto de tratamento ou que se destinem a sê-lo, só pode realizar-se
com o respeito das disposições da presente lei e se o país para onde são transferidos
assegurar um nível de protecção adequado.
2 - A adequação do nível de protecção
num país que não pertença à União Europeia é apreciada em função de todas as
circunstâncias que rodeiem a transferência ou o conjunto de transferências de dados; em
especial, devem ser tidas em consideração a natureza dos dados, a finalidade e a
duração do tratamento ou tratamentos projectados, os países de origem e de destino
final, as regras de direito, gerais ou sectoriais, em vigor no país em causa, bem como as
regras profissionais e as medidas de segurança que são respeitadas nesse país.
3 - Cabe à CNPD decidir se um país que
não pertença à União Europeia assegura um nível de protecção adequado.
4 - A CNPD comunica, através do
Ministério dos Negócios Estrangeiros, à Comissão da Comunidade Europeia os casos em
que tenha considerado que um país não assegura um nível de protecção adequado.
5 - Não é permitida a transferência de
dados pessoais de natureza idêntica aos que a Comissão da Comunidade Europeia tiver
considerado que não gozam de protecção adequada no país a que se destinam.
Artigo 19º
(Derrogações)
1 - A transferência de dados pessoais
para um país que não assegure um nível de protecção adequado na acepção do n.º 2
do artigo 18º pode ser permitida pela CNPD se o titular dos dados tiver dado de forma
inequívoca o seu consentimento à transferência ou se essa transferência:
a) For necessária para a execução de um
contrato entre o titular dos dados e o responsável pelo tratamento ou de diligências
prévias à formação do contrato decididas a pedido do titular dos dados;
b) For necessária para a execução ou
celebração de um contrato celebrado ou a celebrar, no interesse do titular dos dados,
entre o responsável pelo tratamento e um terceiro; ou
c) For necessária ou legalmente exigida
para a protecção de um interesse público importante, ou para a declaração, o
exercício ou a defesa de um direito num processo judicial; ou
d) For necessária para proteger os
interesses vitais do titular dos dados; ou
- For realizada a partir de um registo público que, nos
termos de disposições legislativas ou regulamentares, se destine à informação do
público e se encontre aberto à consulta do público em geral ou de qualquer pessoa que
possa provar um interesse legítimo, desde que as condições estabelecidas na lei para a
consulta sejam cumpridas no caso concreto.
2 - Sem prejuízo do disposto no n.º 1, a
CNPD pode autorizar uma transferência ou um conjunto de transferências de dados pessoais
para um país que não assegure um nível de protecção adequado na acepção do n.º 2
do artigo 18º, desde que o responsável pelo tratamento apresente garantias suficientes
de protecção da vida privada e dos direitos e liberdades fundamentais das pessoas, assim
como do exercício dos respectivos direitos, designadamente, mediante cláusulas
contratuais adequadas.
3 - A CNPD informa a Comissão da
Comunidade Europeia, através do Ministério dos Negócios Estrangeiros, bem como as
autoridades competentes dos restantes países da União Europeia das autorizações que
conceder nos termos do n.º 2.
4 - A CNPD deve orientar-se, na concessão
ou derrogação das autorizações previstas no n.º 2, pelas decisões tomadas, através
do processo próprio, pela Comissão da Comunidade Europeia.
5 - Sempre que a Comissão da Comunidade
Europeia decidir, nos termos do procedimento próprio, que certas cláusulas
contratuais-tipo oferecem as garantias suficientes referidas no n.º 2, a CNPD autoriza a
transferência de dados pessoais a efectuar ao abrigo dessas cláusulas.
6 - A transferência de dados pessoais que
constitua medida necessária à protecção da segurança do Estado, da defesa, da
segurança pública e da prevenção, investigação e representação das infracções
penais é regida por disposições legais específicas ou pelas convenções e acordos
internacionais em que Portugal é parte.
CAPÍTULO IV
COMISSÃO NACIONAL DE PROTECÇÃO DE DADOS
Secção I
Natureza, atribuições e competências
Artigo 20º
(Natureza)
1 - A Comissão Nacional de Protecção de
Dados (CNPD) é uma entidade administrativa independente, com poderes de autoridade, que
funciona junto da Assembleia da República.
2 - A CNPD, independentemente do direito
nacional aplicável a cada tratamento de dados em concreto, exerce as suas competências
em todo o território nacional.
3 - A CNPD pode ser solicitada a exercer
os seus poderes por uma autoridade de controlo de protecção de dados de outro país
membro da União Europeia ou do Conselho da Europa.
4 - A CNPD coopera com as autoridades de
controlo de protecção de dados de outros países na difusão do direito e das
regulamentações nacionais em matéria de protecção de dados pessoais, bem como na
defesa e no exercício dos direitos de pessoas residentes no estrangeiro.
Artigo 21º
(Atribuições e poderes)
1 - A CNPD é a autoridade nacional que
tem como atribuição controlar e fiscalizar o cumprimento das disposições legais e
regulamentares em matéria de protecção de dados pessoais, em rigoroso respeito pelos
direitos do homem e pelas liberdades e garantias consagradas na Constituição e na lei.
2 - A CNPD deve ser consultada sobre
quaisquer disposições legais, bem como sobre instrumentos jurídicos em preparação em
instituições comunitárias ou internacionais, relativos ao tratamento de dados pessoais.
3 - A CNPD dispõe:
- De poderes de investigação e de inquérito, podendo
aceder aos dados objecto de tratamento e recolher todas as informações necessárias ao
desempenho das suas funções de controlo;
- De poderes de autoridade, e designadamente os de emitir
pareceres prévios ao tratamentos de dados pessoais, assegurando a sua publicitação, os
de ordenar o bloqueio, apagamento ou destruição dos dados, bem como os de proibir,
temporária ou definitivamente, o tratamento de dados pessoais incluindo em redes abertas
de transmissão de dados a partir de servidores situados em território português.
4 - Em caso de reiterado não cumprimento
das disposições legais em matéria de dados pessoais, a CNPD pode advertir ou censurar
publicamente o responsável pelo tratamento, bem como suscitar a questão, de acordo com
as respectivas competências, à Assembleia da República, ao Governo ou a outros órgãos
ou autoridades.
5 - A CNPD tem legitimidade para intervir
em processos judiciais no caso de violação das disposições da presente lei ou de
participar ao Ministério Público as infracções justificativas de procedimento
judicial.
6 - A CNPD está isenta de custas nos
processos em que intervenha e é neles representada pelo Ministério Público.
Artigo 22º
(Competências)
1 - Compete em especial à CNPD:
- Emitir parecer sobre disposições legais, bem como sobre
instrumentos jurídicos em preparação em instituições comunitárias e internacionais,
relativos ao tratamento de dados pessoais;
- Autorizar ou registar, consoante os casos, os tratamentos
de dados pessoais;
- Autorizar excepcionalmente a utilização de dados pessoais
para finalidades não determinantes da recolha, com respeito pelos princípios definidos
no artigo 4º;
- Autorizar, nos casos previstos no artigo 8º, a
interconexão de tratamentos automatizados de dados pessoais;
- Autorizar a transferência de dados pessoais nos casos
previstos no artigo 19º;
- Fixar o tempo da conservação dos dados pessoais em
função da finalidade, podendo emitir directivas para determinados sectores de
actividade;
- Fazer assegurar o direito de acesso à informação, bem
como do exercício do direito de rectificação e actualização;
- Autorizar a fixação de custos ou de periodicidade para o
exercício do direito de acesso, bem como fixar os prazos máximos de cumprimento, em cada
sector de actividade, das obrigações que, por força dos artigos 10º a 12º, incumbem
aos responsáveis pelo tratamento de dados pessoais;
- Dar seguimento ao pedido efectuado por qualquer pessoa, ou
por associação que a represente, para protecção dos seus direitos e liberdades no que
diz respeito ao tratamento de dados pessoais e informá-la do resultado;
- Efectuar, a pedido de qualquer pessoa, a verificação da
licitude de um tratamento de dados, sempre que esse tratamento esteja sujeito a
restrições de acesso ou de informação, e informá-la da realização da verificação;
- Apreciar as reclamações, queixas ou petições dos
particulares;
- Dispensar a execução de certas medidas de segurança, nos
termos previstos no n.º 2 do artigo 14º, podendo emitir directivas para determinados
sectores de actividade;
- Assegurar a representação junto de instâncias comuns de
controlo e em reuniões comunitárias e internacionais de entidades independentes de
controlo da protecção de dados pessoais, bem como participar em reuniões internacionais
no âmbito das suas competências genéricas;
- Deliberar sobre a aplicação de coimas;
- Promover e apreciar códigos de conduta;
- Promover a divulgação e esclarecimento dos direitos
relativos à protecção de dados e dar publicidade periódica à sua actividade,
nomeadamente através da publicação de um relatório anual.
2 - No exercício das suas competências
de emissão de directivas ou de apreciação de códigos de conduta, a CNPD deve promover
a audição das associações de defesa dos interesses em causa.
3 - No exercício das suas funções, a
CNPD profere decisões com força obrigatória, passíveis de reclamação e de recurso
para o Supremo Tribunal Administrativo.
4 - A CNPD pode sugerir à Assembleia da
República as providências que entender úteis à prossecução das suas atribuições e
ao exercício das suas competências.
Artigo 23º
(Dever de colaboração)
1 - As entidades públicas e privadas
devem dispensar a sua colaboração à CNPD, facultando-lhe todas as informações que por
esta, no exercício das suas competências, lhe forem solicitadas.
2 - O dever de colaboração é,
designadamente, assegurado quando a CNPD tiver necessidade, para o cabal exercício das
suas funções, de examinar o sistema informático e os ficheiros de dados pessoais, bem
como toda a documentação relativa ao tratamento e transmissão de dados pessoais.
3 - A CNPD ou os seus vogais, bem como os
técnicos por ela mandatados, têm direito de acesso aos sistemas informáticos que sirvam
de suporte ao tratamento dos dados, bem como à documentação referida no número
anterior, no âmbito dos seus poderes e competências.
Secção II
Composição e funcionamento
Artigo 24º
(Composição e mandato)
1 - A CNPD é composta por sete membros de
integridade e mérito reconhecidos, dos quais o presidente e dois dos vogais são eleitos
pela Assembleia da República segundo o método da média mais alta de Hondt.
2 - Os restantes vogais são:
a) Dois magistrados com mais de 10 anos de
carreira, sendo um magistrado judicial, designado pelo Conselho Superior de Magistratura,
e um magistrado do Ministério Público, designado pelo Conselho Superior do Ministério
Público;
- Duas personalidades de reconhecida competência na
matéria, designadas pelo Governo
3 - A CNPD mantém-se em funções pelo
prazo de cinco anos e até à posse dos novos membros designados.
4 - Os membros da CNPD tomam posse perante
o Presidente da Assembleia da República nos 10 dias seguintes ao da publicação na 1ª
série do Diário da República da lista dos seus membros.
Artigo 25º
(Funcionamento)
1 - São aprovados por lei da Assembleia
da República:
- O regulamento e o quadro de pessoal da CNPD;
- O regime de incompatibilidades, de impedimentos, de
suspeições e de perda de mandato, bem como o estatuto remuneratório dos membros da
CNPD.
2 - A Comissão dispõe de quadro próprio
para apoio técnico e administrativo, beneficiando os seus funcionários e agentes do
estatuto e regalias do pessoal da Assembleia da República.
Secção III
Notificação
Artigo 26º
(Obrigação de notificação à CNPD)
1 - O responsável pelo tratamento ou, se
for caso disso, o seu representante deve notificar a CNPD antes da realização de um
tratamento ou conjunto de tratamentos, total ou parcialmente automatizados, destinados à
prossecução de uma ou mais finalidades interligadas.
2 - A CNPD pode autorizar a
simplificação ou a isenção da notificação para determinadas categorias de
tratamentos que, atendendo aos dados a tratar, não sejam susceptíveis de por em causa os
direitos e liberdades dos titulares dos dados.
3 - A autorização, que está sujeita a
publicação no Diário da República, deve especificar as finalidades do
tratamento, os dados ou categorias de dados a tratar, a categoria ou categorias de
titulares dos dados, os destinatários ou categorias de destinatários a quem podem ser
comunicados os dados e o período de conservação dos dados.
4 - Estão isentos de notificação os
tratamentos cuja única finalidade seja a manutenção de registos que, nos termos de
disposições legislativas ou regulamentares, se destinem a informação do público e
possam ser consultados pelo público em geral ou por qualquer pessoa que provar um
interesse legítimo.
5 - Os tratamentos não automatizados dos
dados pessoais previstos no n.º 1 do artigo 6º estão sujeitos a notificação quando
tratados ao abrigo da alínea a) do n.º 2 do mesmo artigo.
Artigo 27º
(Controlo prévio)
1 - Carecem de autorização da CNPD:
- O tratamento dos dados pessoais a que se refere o n.º 2 do
artigo 6º e o n.º 2 do artigo 7º;
- O tratamento dos dados pessoais que revelem a situação
patrimonial e financeira ou a solvabilidade dos seus titulares;
- A interconexão de dados pessoais prevista no artigo 8º.
2 - O diploma legal que autorizar os
tratamentos a que se refere o número anterior carece de prévio parecer da CNPD.
Artigo 28º
(Conteúdo dos pedidos de parecer ou de
autorização e da notificação)
Os pedidos de parecer ou de autorização,
bem como as notificações, remetidos à CNPD, devem conter as seguintes informações:
a) Nome e endereço do responsável pelo
tratamento e, se for o caso, do seu representante;
b) A ou as finalidades do tratamento;
c) Descrição da ou das categorias de
titulares dos dados e dos dados ou categorias de dados pessoais que lhes respeitem;
d) Destinatários ou categorias de
destinatários a quem os dados podem ser comunicados e em que condições;
e) Entidade encarregada do processamento
da informação, se não for o próprio responsável do tratamento;
f) Eventuais interconexões de tratamentos
de dados pessoais;
g) Tempo de conservação dos dados
pessoais;
h) Forma e condições como os titulares
dos dados podem ter conhecimento ou fazer corrigir os dados pessoais que lhes respeitem;
i) Transferências de dados previstas para
países terceiros;
j) Descrição geral que permita avaliar
de forma preliminar a adequação das medidas tomadas para garantir a segurança do
tratamento em aplicação dos artigos 13º e 14º.
Artigo 29º
(Indicações obrigatórias)
1 - Os diplomas legais referidos nos n.ºs
2 e 5 do artigo 6º e no n.º 1 do artigo 7º, bem como as autorizações da CNPD e os
registos de tratamentos de dados pessoais devem, pelo menos indicar:
a) O responsável do ficheiro e, se for
caso disso, o seu representante;
b) As categorias de dados pessoais
tratados;
c) A ou as finalidades a que se destinam
os dados e as categorias de entidades a quem podem ser transmitidos;
- A forma de exercício do direito de acesso e de
rectificação.
- Eventuais interconexões de tratamentos de dados pessoais;
- Transferências de dados previstas para países terceiros.
2 - Qualquer alteração das indicações
constantes do n.º 1 está sujeita aos procedimentos previstos nos artigos 26º e 27º.
Artigo 30º
(Publicidade dos tratamentos)
1 - O tratamento dos dados pessoais,
quando não for objecto de diploma legal e dever ser autorizado ou notificado, consta de
registo na CNPD aberto à consulta por qualquer pessoa.
2 - O registo contém as informações
enumeradas nas alíneas a) a d) e i) do artigo 28º.
3 - O responsável por tratamento de dados
não sujeito a notificação está obrigado a prestar de forma adequada, a qualquer pessoa
que lho solicite, pelo menos as informações referidas no n.º 1 do artigo 29º.
4 - O disposto no presente artigo não se
aplica a tratamentos cuja única finalidade seja a manutenção de registos que, nos
termos de disposições legislativas ou regulamentares, se destinem à informação do
público e se encontrem abertos à consulta do público em geral ou de qualquer pessoa que
possa provar um interesse legítimo.
CAPÍTULO V
CÓDIGOS DE CONDUTA
Artigo 31º
(Códigos de conduta)
1 - A CNPD apoia a elaboração de
códigos de conduta destinados a contribuir, em função das características dos
diferentes sectores, para a boa execução das disposições da presente lei.
2 - As associações profissionais e
outras organizações representativas de categorias de responsáveis pelo tratamento de
dados que tenham elaborado projectos de códigos de conduta podem submetê-los à
apreciação da CNPD.
3 - A CNPD pode declarar a conformidade
dos projectos com as disposições legais e regulamentares vigentes em matéria de
protecção de dados pessoais.
CAPÍTULO VI
RECURSOS JUDICIAIS, RESPONSABILIDADE CIVIL
E SANÇÕES
Secção I
Recursos e responsabilidade civil
Artigo 32º
(Recursos)
Sem prejuízo do direito de apresentação
de queixa à CNPD, qualquer pessoa pode recorrer contenciosamente da violação dos
direitos garantidos pela presente lei.
Artigo 33º
(Responsabilidade civil)
1 - Qualquer pessoa que tiver sofrido um
prejuízo devido ao tratamento ilícito de dados ou a qualquer outro acto incompatível
com as disposições legais em matéria de protecção de dados pessoais tem o direito de
obter do responsável pelo tratamento a reparação pelo prejuízo sofrido.
2 - O responsável pelo tratamento pode
ser parcial ou totalmente exonerado desta responsabilidade se provar que o facto que
causou o dano lhe não é imputável.
Secção II
Contra-ordenações
Artigo 34º
(Legislação subsidiária)
Às infracções previstas na presente
secção é subsidiariamente aplicável o regime geral das contra-ordenações, com as
adaptações constantes nos artigos seguintes.
Artigo 35º
(Cumprimento do dever omitido)
Sempre que a contra-ordenação resulte de
omissão de um dever, a aplicação da sanção e o pagamento da coima não dispensam o
infractor do seu cumprimento, se este ainda for possível.
Artigo 36º
(Omissão ou defeituoso cumprimento de
obrigações)
1 - As entidades que, por negligência,
não cumpram a obrigação de notificação à CNPD do tratamento de dados pessoais a que
se referem os n.ºs 1 e 5 do artigo 26º, prestem falsas informações ou cumpram a
obrigação de notificação com inobservância dos termos previstos no artigo 28º, ou
ainda quando, depois de notificadas pela CNPD, mantiverem o acesso às redes abertas de
transmissão de dados a responsáveis por tratamento de dados pessoais que não cumpram as
disposições da presente lei, praticam contra-ordenação punível com as seguintes
coimas:
a) Tratando-se de pessoa singular, no
mínimo de 50 000$ e no máximo de 200 000$;
b) Tratando-se de pessoa colectiva ou de
entidade sem personalidade jurídica, no mínimo de 200 000$ e no máximo de 2 000 000$.
2 - A coima é agravada para o dobro dos
seus limites quando se trate de dados sujeitos a controlo prévio, nos termos do artigo
27º.
Artigo 37º
(Contra-ordenações)
1 - Praticam contra-ordenação punível
com a coima mínima de 50 000$00 e máxima de 500 000$00, as entidades que não cumprirem
alguma das seguintes disposições da presente lei:
- Designar representante nos termos previstos no n.º 5 do
artigo 3º;
- Observar as obrigações estabelecidas nos artigos 4º,
9º, 10º, 11º, 12º, 14º, 15º e 30º, n.º 3.
2 - A pena é agravada para o dobro dos
seus limites quando não forem cumpridas as obrigações constantes dos artigos 5º, 6º,
7º, 8º, 18º e 19º.
Artigo 38º
(Concurso de infracções)
1 - Se o mesmo facto constituir,
simultaneamente, crime e contra-ordenação, o agente é punido sempre a título de crime.
2 - As sanções aplicadas às
contra-ordenações em concurso são sempre cumuladas materialmente.
Artigo 39º
(Punição da negligência e da tentativa)
1 - A negligência é sempre punida nas
contra-ordenações previstas no artigo 37º.
2 - A tentativa é sempre punível nas
contra-ordenações previstas nos artigos 36º e 37º.
Artigo 40º
(Aplicação das coimas)
1 - A aplicação das coimas previstas na
presente lei compete ao Presidente da CNPD, sob prévia deliberação da Comissão.
2 - A deliberação da CNPD, depois de
homologada pelo Presidente, constitui título executivo, no caso de não ser impugnada no
prazo legal.
Artigo 41º
(Destino das receitas cobradas)
O montante das importâncias cobradas, em
resultado da aplicação das coimas, reverte, em partes iguais, para o Estado e
para a CNPD.
Secção III
Crimes
Artigo 42º
(Não cumprimento de obrigações relativas
a protecção de dados)
1 - É punido com prisão até 1 ano ou
multa até 120 dias quem intencionalmente:
- Omitir a notificação ou o pedido de autorização a que
se referem os artigos 26º e 27º;
- Fornecer falsas informações na notificação ou nos
pedidos de autorização para o tratamento de dados pessoais ou neste proceder a
modificações não consentidas pelo instrumento de legalização;
- Desviar ou utilizar dados pessoais de forma incompatível
com a finalidade determinante da recolha ou com o instrumento de legalização;
- Promover ou efectuar uma interconexão ilegal de dados
pessoais;
- Depois de ultrapassado o prazo que lhes tiver sido fixado
pela CNPD para cumprimento das obrigações previstas na presente lei ou em outra
legislação de protecção de dados, as não cumprir;
- Depois de notificado pela CNPD para o não fazer, mantiver
o acesso a redes abertas de transmissão de dados a responsáveis pelo tratamento de dados
pessoais que não cumpram as disposições da presente lei.
2 - A pena é agravada para o dobro dos
seus limites quando se tratar de dados pessoais a que se referem os artigos 6º e 7º.
Artigo 43º
(Acesso indevido)
1 - Quem, sem a devida autorização, por
qualquer modo, aceder a dados pessoais cujo acesso lhe está vedado, é punido com prisão
até 1 ano ou multa até 120 dias.
2 - A pena é agravada para o dobro dos
seus limites quando o acesso:
a) For conseguido através de violação
de regras técnicas de segurança;
b) Tiver possibilitado ao agente ou a
terceiros o conhecimento de dados pessoais;
c) Tiver proporcionado ao agente ou a
terceiros, benefício ou vantagem patrimonial.
3 - No caso do n.º 1, o procedimento
criminal depende de queixa.
Artigo 44º
(Viciação ou destruição de dados
pessoais)
1 - Quem, sem a devida autorização,
apagar, destruir, danificar, suprimir ou modificar dados pessoais, tornando-os
inutilizáveis ou afectando a sua capacidade de uso, é punido com prisão até 2 anos ou
multa até 240 dias.
2 - A pena é agravada para o dobro nos
seus limites se o dano produzido for particularmente grave.
3 - Se o agente actuar com negligência, a
pena é, em ambos os casos, de prisão até 1 ano ou multa até 120 dias.
Artigo 45º
(Desobediência qualificada)
1 - Quem, depois de notificado para o
efeito, não interromper, cessar ou bloquear o tratamento de dados pessoais é punido com
a pena correspondente ao crime de desobediência qualificada.
2 - Na mesma pena incorre quem, depois de
notificado:
a) Recusar, sem justa causa, a
colaboração que concretamente lhe for exigida nos termos do artigo 23º;
- Não proceder ao apagamento, destruição total ou parcial
de dados pessoais;
- Não proceder à destruição de dados pessoais, findo o
prazo de conservação previsto no artigo 4º.
Artigo 46º
(Violação do dever de sigilo)
1 - Quem, obrigado a sigilo profissional,
nos termos da lei, sem justa causa e sem o devido consentimento, revelar ou divulgar no
todo ou em parte, dados pessoais é punido com prisão até 2 anos ou multa até 240 dias.
2 - A pena é agravada de metade dos seus
limites se o agente:
a) For funcionário público ou
equiparado, nos termos da lei penal;
- For determinado pela intenção de obter qualquer vantagem
patrimonial ou outro benefício ilegítimo;
- Puser em perigo a reputação, a honra e
consideração ou a intimidade da vida privada de outrem.
3 - A negligência é punível com prisão
até 6 meses ou multa até 120 dias.
4 - Fora dos casos previstos no n.º 2, o
procedimento criminal depende de queixa.
Artigo 47º
(Punição da tentativa)
Nos crimes previstos nas disposições
anteriores, a tentativa é sempre punível.
Artigo 48º
(Pena acessória)
1 - Conjuntamente com as coimas e penas
aplicadas pode, acessoriamente, ser ordenada:
a) A proibição temporária ou definitiva
do tratamento, o bloqueio, o apagamento ou a destruição total ou parcial dos dados;
b) A publicidade da sentença
condenatória;
c) A advertência ou censura públicas do
responsável pelo tratamento, nos termos do nº 4 do artigo 21º.
2 - A publicidade da decisão
condenatória faz-se, a expensas do condenado, em publicação periódica editada na área
da comarca da prática da infracção ou, na sua falta, em publicação periódica da
comarca mais próxima, bem como através da afixação de edital, por período não
inferior a 30 dias.
3 - A publicação é feita por extracto
de que constem os elementos da infracção e as sanções aplicadas, bem como a
identificação do agente.
CAPÍTULO VII
DISPOSIÇÕES FINAIS
Artigo 49º
(Disposição transitória)
1 - Os tratamentos de dados existentes em
ficheiros manuais à data da entrada em vigor da presente lei devem cumprir o disposto nos
artigos 6º, 7º, 9º e 10º no prazo de cinco anos.
2 - Em qualquer caso, o titular dos dados
pode obter, a seu pedido e, nomeadamente, aquando do exercício do direito de acesso, a
rectificação, o apagamento ou o bloqueio dos dados incompletos, inexactos ou conservados
de modo incompatível com os fins legítimos prosseguidos pelo responsável pelo
tratamento.
3 - A CNPD pode autorizar que os dados
existentes em ficheiros manuais e conservados unicamente com finalidades de investigação
histórica não tenham que cumprir os artigos 6º, 7º e 8º, desde que não sejam em
nenhum caso reutilizados para finalidade diferente.
Artigo 50º
(Disposição revogatória)
São revogadas a Lei n.º 10/91, de 29 de
Abril, e a Lei n.º 28/94, de 29 de Agosto.
Artigo 51º
(Entrada em vigor)
A presente lei, que transpõe para a ordem
jurídica interna a directiva n.º 95/46/CE do Parlamento Europeu e do Conselho, de 24 de
Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao
tratamento de dados pessoais e à livre circulação desses dados, entra em vigor no dia 1
de .......... de 1998 .
|
