ASSEMBLEE DE LA REPUBLIQUE

Loi n° 67/98
du 26 octobre 1998

Loi relative à la protection des données à caractère personnel (transpose dans l’ordre juridique portugais la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données)

Conformément à l'alinéa c) de l'article 161, aux alinéas b) et c), paragraphe 1 de l'article 165 et au paragraphe 3 de l'article 166 de la Constitution, l'Assemblée de la République déclare le texte suivant loi générale de la République :

CHAPITRE I
Dispositions générales

Article premier
Objet

La présente loi transpose dans l'ordre juridique interne la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Article 2
Principe général

Le traitement des données à caractère personnel doit se faire dans la transparence et dans le strict respect de la vie privée ainsi que des garanties, libertés et droits fondamentaux.

Article 3
Définitions

Aux fins de la présente loi on entend par

"données à caractère personnel" : toute information, de quelque nature qu'elle soit et indépendamment de son support, y compris le son et l'image, concernant une personne physique identifiée ou identifiable ("personne concernée"); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques de son identité physique, physiologique, psychique, économique, culturelle ou sociale;
"traitement de données à caractère personnel" ("traitement") : toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation et l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion ainsi que le verrouillage, l'effacement ou la destruction;
"fichier de données à caractère personnel" ("fichier") : tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;
"responsable du traitement" : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires, le responsable du traitement doit être indiqué dans la loi d'organisation et de fonctionnement ou dans le statut de l'entité légalement ou statutairement compétente pour traiter les données à caractère personnel en cause;
"sous-traitant" : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;
"tiers" : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données;
"destinataire" : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données, qu'il s'agisse ou non d'un tiers; les autorités qui sont susceptibles de recevoir communication de données dans le cadre d'une disposition légale ne sont pas considérées comme destinataires;
"consentement de la personne concernée" : toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que les données à caractère personnel la concernant fassent l'objet d'un traitement;
"interconnexion de données" : forme de traitement qui consiste à établir un rapport entre les données d'un fichier et les données d'un fichier ou de plusieurs fichiers tenus par un autre ou par d'autres responsables, ou tenus par le même responsable mais dans un autre but.

Article 4
Champ d'application

1. La présente loi s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans des fichiers manuels;

2. La présente loi ne s'applique pas au traitement de données à caractère personnel effectué par une personne physique pour l'exercice d'activités exclusivement personnelles ou domestiques.

3. La présente loi s'applique au traitement de données à caractère personnel effectué :

dans le cadre des activités d'un établissement du responsable du traitement sur le territoire portugais;
en dehors du territoire national en un lieu où la législation portugaise s'applique en vertu du droit international public;
lorsque le responsable n'est pas établi sur le territoire du l'Union européenne et recourt, à des fins de traitement des données à caractère personnel, à des moyens automatisés ou non, situés sur le territoire portugais, sauf si ces moyens ne sont utilisés qu'à des fins de transit sur le territoire de l'Union européenne.

4. La présente loi s'applique à la vidéosurveillance et aux autres formes de captage, traitement et diffusion de sons et d'images qui permettent d'identifier des personnes dès lors que le responsable du traitement est domicilié ou installé au Portugal ou utilise un fournisseur donnant accès aux réseaux informatiques et télématiques établi sur le territoire portugais.

5. Dans le cas visé à l'alinéa c) du paragraphe 3, le responsable du traitement doit désigner, par communication à la commission nationale de protection des données (CNPD), un représentant installé au Portugal qui se substitue à lui dans tous ses droits et obligations, sans préjudice de sa propre responsabilité.

6. Les dispositions du paragraphe qui précède s'appliquent dans le cas où le responsable du traitement est couvert par un statut d'extraterritorialité, d'immunité ou par tout autre statut qui empêche les poursuites judiciaires.

7. La présente loi s'applique au traitement de données à caractère personnel qui ont pour objectif la sécurité publique, la défense nationale et la sûreté de l'Etat, sans préjudice des dispositions spéciales contenues dans les instruments de droit international qui lient le Portugal et des textes législatifs spécifiques visant ces domaines respectifs.

CHAPITRE II
Traitement de données à caractère personnel

SECTION I
Qualité des données et légitimité de leur traitement

Article 5
Qualité des données

1. Les données à caractère personnel doivent être :

traitées loyalement et licitement;
collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités;
adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement;
exactes et, si nécessaires, mises à jour; toutes les mesures raisonnables doivent être prises pour que les données exactes ou incomplètes, au regard des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées;
conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement.

2. Sur demande du responsable du traitement, et s'il existe un intérêt légitime, la CNPD peut autoriser la conservation de données à des fins historiques, statistiques ou scientifiques au-delà de la période citée à l'alinéa e) du paragraphe précédent.

3. Il incombe au responsable du traitement d'assurer le respect des dispositions des paragraphes qui précèdent.

Article 6
Conditions de légitimité du traitement de données

Le traitement de données de caractère personnel ne peut être effectué que si la personne concernée a indubitablement donné son consentement ou si le traitement est nécessaire :

à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;
au respect d'une obligation légale à laquelle le responsable du traitement est soumis;
à la sauvegarde d'intérêts vitaux de la personne concernée, si elle est physiquement ou juridiquement dans l'incapacité de donner son consentement;
à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées;
à la réalisation d'intérêts légitimes poursuivis par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée.

Article 7
Traitement de données sensibles

1. Le traitement de données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement de données relatives à la santé et à la vie sexuelle, y compris les données génétiques, sont interdits.

2. Par disposition légale ou autorisation de la CNPD, le traitement des données visées au paragraphe précédent peut être autorisé lorsque, pour des motifs d'intérêt public important, il est indispensable à l'exercice des fonctions légales ou statutaires de son responsable ou lorsque la personne concernée a donné son consentement exprès au traitement, dans les deux cas avec des garanties de non-discrimination et moyennant les mesures de sécurité prévues à l'article 15.

3. Le traitement des données visées au paragraphe 1 est autorisé aussi dans les cas où :

le traitement est nécessaire à la défense d'intérêts vitaux de la personne concernée ou d'une autre personne et si la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement;
le traitement est effectué, avec le consentement de la personne concernée, par une fondation, une association ou un organisme sans but lucratif de caractère politique, philosophique, religieux ou syndical, dans le cadre de ses activités légitimes, à condition que le traitement concerne les seuls membres de cet organisme ou les personnes qui entretiennent avec lui des contacts réguliers liés à sa finalité et que les données ne soient pas communiquées à des tiers sans le consentement des personnes concernées;
le traitement porte sur des données manifestement rendues publiques par la personne concernée, dès lors que son consentement au traitement des données peut légitimement être déduit de ses déclarations;
le traitement est nécessaire à la reconnaissance, l'exercice ou la défense d'un droit en justice et est effectué exclusivement à cette fin.

4. Le traitement de données relatives à la santé et à la vie sexuelle, y compris les données génétiques, est permis lorsqu'il est nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements ou de la gestion des services de santé et que le traitement de ces données est effectué par un praticien de la santé soumis au secret professionnel ou par une autre personne également soumise à une obligation de secret et qu'il est notifié à la CNPD, conformément aux dispositions de l'article 27, et à condition aussi que des mesures adéquates de protection de l'information soient garanties.

Article 8
Soupçons d'activités illicites, de délits et d'infractions administratives

1. La création et la tenue de registres centraux concernant les personnes soupçonnées d'activités illicites, de délits et d'infractions administratives et les décisions prévoyant des peines, des mesures de sécurité, des amendes et des sanctions accessoires relèvent des seuls services publics qui ont une compétence expresse en vertu de la loi d'organisation et de fonctionnement et qui doivent respecter les règles de procédure et de protection des données prévues par le texte légal, après avis de la CNPD.

2. Le traitement de données à caractère personnel relatives à des soupçons d'activités illicites, délits, infractions administratives, décisions infligeant des peines, mesures de sécurité, amendes et sanctions accessoires peut être autorisé par la CNPD, moyennant respect des règles relatives à la protection des données et à la sécurité de l'information, si ce traitement est nécessaire pour atteindre les objectifs légitimes du responsable et dès lors que les droits, libertés et garanties de la personne concernée sont respectés.

3. Le traitement de données à caractère personnel à des fins d'enquête policière doit se limiter à ce qui est nécessaire pour prévenir un danger réel, réprimer une infraction déterminée et exercer les compétences prévues par le statut organique ou par toute autre disposition légale, conformément aux dispositions d'accords ou conventions internationaux auxquels le Portugal est partie.

Article 9
Interconnexion de données à caractère personnel

1. L'interconnexion de données à caractère personnel qui n'est pas prévue par les dispositions légales doit faire l'objet d'une autorisation de la CNPD, demandée par le responsable ou conjointement par les correspondants responsables des traitements, conformément aux dispositions de l'article 27.

2. L'interconnexion de données à caractère personnel doit permettre d'atteindre des objectifs légaux ou statutaires présentant un intérêt légitime pour les responsables des traitements, ne pas entraîner de discrimination ou de réduction des droits, libertés et garanties pour les personnes concernées, être assortie de mesures de sécurité appropriées et tenir compte du type de données faisant l'objet de l'interconnexion.

SECTION II
Droits de la personne concernée

Article 10
Droit à l'information

En collectant des données à caractère personnel directement auprès de la personne concernée, le responsable du traitement ou son représentant doit lui fournir les informations suivantes, sauf si la personne en a déjà connaissance :

l'identité du responsable du traitement et, le cas échéant, de son représentant;
les finalités du traitement;
toute autre information supplémentaire telle que :

les destinataires ou les catégories de destinataires des données,
le fait de savoir si la réponse aux questions est obligatoire ou facultative ainsi que les conséquences éventuelles d'un défaut de réponse,
l'existence d'un droit d'accès aux données la concernant et de rectification de ces données, dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l'égard de la personne concernée un traitement loyal des données.

2. Les documents qui servent de base à la collecte des données à caractère personnel doivent contenir les informations visées au paragraphe précédent.

3. Lorsque les données n'ont pas été collectées auprès de la personne concernée, le responsable du traitement ou son représentant doit, dès l'enregistrement des données ou, si une communication de données à un tiers est envisagée, au plus tard lors de la première communication de données, fournir à la personne concernée au moins les informations visées au paragraphe 1, sauf si la personne en a déjà connaissance.

4. En cas de collecte de données en réseaux ouverts, la personne concernée doit être informée, sauf si elle sait déjà que les données à caractère personnel la concernant peuvent circuler sur les réseaux sans garanties de sécurité et qu'elles risquent d'être lues et utilisées par des tiers non autorisés.

5. L'obligation d'informer peut être levée, par disposition légale ou par décision de la CNPD, pour des motifs concernant la sûreté de l'Etat, la prévention ou répression du crime et aussi lorsque, notamment en cas de traitement de données à des fins statistiques, historiques ou scientifiques, l'information de la personne concernée se révèle impossible ou nécessite des efforts disproportionnés ou encore si la législation prévoit expressément l'enregistrement ou la communication des données.

6. L'obligation d'informer, dans les conditions prévues à l'article précédent, ne s'applique pas au traitement de données effectuées à des fins exclusivement journalistiques, artistiques ou littéraires.

Article 11
Droit d'accès

1. La personne concernée a le droit d'obtenir du responsable du traitement, sans contrainte et sans restriction, à des intervalles raisonnables et sans délais ou frais excessifs :

la confirmation que les données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquelles les données sont communiquées;
la communication, sous une forme intelligible, des données faisant l'objet des traitements, ainsi que de toute information disponible sur l'origine des données;
la connaissance de la logique qui sous-tend tout traitement automatisé des données la concernant;
la rectification, l'effacement ou le verrouillage des données dont le traitement n'est pas conforme à la présente loi, notamment en raison du caractère incomplet et inexact de ces données;
la notification aux tiers auxquels les données ont été communiquées de toute rectification, tout effacement ou tout verrouillage effectué conformément à l'alinéa b), si cela ne s'avère pas impossible.

2. En cas de traitement de données à caractère personnel intéressant la sûreté de l'Etat, la prévention ou la répression du crime le droit d'accès est exercé par l'intermédiaire de la CNPD ou d'une autre autorité indépendante que la loi charge de vérifier le respect de la législation relative à la protection des données de caractère personnel.

3. Dans le cas visé au paragraphe 6 de l'article précédent, le droit d'accès est exercé par l'intermédiaire de la CNPD, dans le respect des règles constitutionnelles applicables en la matière, notamment celles qui garantissent la liberté d'expression et d'information, la liberté de la presse, l'indépendance et le secret professionnel des journalistes.

4. Dans les cas visés aux paragraphes 2 et 3, si la communication des données à la personne concernée peut porter atteinte à la sûreté de l'Etat, à la prévention ou à la répression du crime, à la liberté d'expression et d'information ou à la liberté de la presse, la CNPD se borne à informer la personne concernée des démarches effectuées.

5. Le droit d'accès à l'information concernant des données sur la santé, y compris les données génétiques, est exercé par l'intermédiaire du médecin choisi par la personne concernée.

6. Lorsque les données ne peuvent pas être utilisées aux fins de mesures ou de décisions se rapportant à des personnes précises, la loi peut limiter le droit d'accès dans les cas où il n'existe manifestement aucun risque d'atteinte aux droits, aux libertés et aux garanties de la personne concernée, notamment au respect de sa vie privée, et si les données sont traitées exclusivement aux fins de la recherche scientifique ou sont stockées sous la forme de données à caractère personnel pendant une durée n'excédant pas celle nécessaire à la seule finalité d'établissement des statistiques.

Article 12
Droit d'opposition de la personne concernée

La personne concernée a le droit :

sauf disposition légale contraire et au moins dans les cas visés aux alinéas d) et e) de l'article 6, de s'opposer à tout moment, pour des raisons prépondérantes et légitimes tenant à sa situation particulière, à ce que des données la concernant fassent l'objet d'un traitement et, en cas d'opposition justifiée, le traitement mis en oeuvre par un responsable du traitement ne plus porter sur ces données;

de s'opposer, sur demande et gratuitement, au traitement des données à caractère personnel la concernant envisagé par le responsable du traitement à des fins de marketing direct ou de toute autre forme de prospection ou d'être informée avant que les données à caractère personnel soient pour la première fois communiquées à des tiers à des fins de marketing direct ou utilisées pour le compte de tiers, et de pouvoir s'opposer, gratuitement, à ladite communication ou utilisation.

Article 13
Décisions individuelles automatisées

1. Toute personne a le droit de ne pas être soumise à une décision produisant des effets juridiques à son égard ou l'affectant de manière significative, prise sur le seul fondement d'un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité, tels que son rendement professionnel, son crédit, sa fiabilité, son mérite ou son comportement.

2. Sous réserve des autres dispositions de la présente loi, une personne peut être soumise à une décision prise en application du paragraphe 1 si cette décision est prise dans le cadre de la conclusion et de l'exécution d'un contrat, à condition que la demande de conclusion ou d'exécution du contrat, introduite par la personne concernée, ait été satisfaite ou que des mesures appropriées, telles que la possibilité de faire valoir son point de vue, garantissent la sauvegarde de son intérêt légitime.

3. Une décision peut aussi être prise conformément au paragraphe 1 lorsque la CNPD l'autorise, en précisant les mesures garantissant la sauvegarde de l'intérêt légitime de la personne concernée.

SECTION III
Confidentialité et sécurité des traitements

Article 14
Sécurité des traitements

1. Le responsable du traitement doit mettre en oeuvre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite; ces mesures doivent assurer, compte tenu de l'état de l'art et des coûts liés à leur mise en oeuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.

2. Le responsable du traitement, lorsque le traitement est effectué pour son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements à effectuer et il doit veiller au respect de ces mesures.

3. La réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que le sous-traitant n'agit que sous la seule instruction du responsable du traitement et que les obligations visées au paragraphe 1 lui incombent également.

4. Aux fins de la conservation des preuves, les éléments du contrat ou de l'acte juridique relatifs à la protection des données et les exigences portant sur les mesures visées au paragraphe 1 sont consignés par écrit ou sous une autre forme équivalente.

Article 15
Mesures de sécurité spéciales

1. Les responsables du traitement des données visées au paragraphe 2 de l'article 7 et au paragraphe 1 de l'article 8 doivent prendre les mesures appropriées pour :

empêcher l'accès de toute personne non autorisée aux installations utilisées pour le traitement de ces données (contrôle de l'entrée dans les installations);
empêcher que les supports de données puissent être lus, copiés, modifiés ou retirés par des personnes non autorisées (contrôle des supports de données);
empêcher l'introduction non autorisée, ainsi que la prise de connaissance, la modification ou l'élimination non autorisées de données à caractère personnel introduites (contrôle de l'insertion);
empêcher que les systèmes de traitement de données automatisés puissent être utilisés par des personnes non autorisées au moyen d'installations de transmission de données (contrôle de l'utilisation);
garantir que seules les personnes autorisées puissent avoir accès aux données visées par l'autorisation (contrôle de l'accès);
garantir la vérification des entités auxquelles les données à caractère personnel peuvent être transmises par des installations de transmission de données (contrôle de la transmission);
garantir qu'il soit possible de vérifier a posteriori, dans un délai approprié en fonction de la nature du traitement, à fixer dans la réglementation applicable à chaque secteur particulier, quelles données à caractère personnel sont introduites, quand elles l'ont été et pour qui (contrôle de l'introduction);
empêcher que lors de la transmission de données à caractère personnel et du transport des supports, les données puissent être lues, reproduites, modifiées ou éliminées sans autorisation (contrôle du transport).

2. Suivant la nature des organismes responsables du traitement et du type d'installations avec lequel il est effectué, la CNPD peut dispenser de certaines mesures de sécurité, à condition que le respect des droits, libertés et garanties des personnes concernées soit assuré.

3. Les systèmes doivent garantir la séparation logique entre les données concernant la santé et la vie sexuelle, y compris les données génétiques, et les autres données à caractère personnel.

4. La CNPD peut décider que la transmission doit être codée dans les cas où la circulation en réseau des données à caractère personnel visées aux articles 7 et 8 peut comporter un risque pour les droits, libertés et garanties des personnes concernées.

Article 16
Traitement par sous-traitance

Toute personne agissant sous l'autorité du responsable du traitement ou celle du sous-traitant, ainsi que le sous-traitant lui-même, qui accède à des données à caractère personnel ne peut les traiter que sur instruction du responsable du traitement, sauf en vertu d'obligations légales.

Article 17
Secret professionnel

1. Le responsable du traitement de données à caractère personnel, ainsi que les personnes qui, dans l'exercice de leurs fonctions, ont connaissance de données à caractère personnel traitées, sont tenues de respecter le secret professionnel, même après avoir cessé d'exercer leurs fonctions.

2. Les membres de la CNPD sont soumis à la même obligation, même après la fin de leur mandat.

3. Les dispositions des paragraphes précédents n'exemptent pas de l'obligation de fournir des informations, conformément aux dispositions légales, sauf lorsqu'elles proviennent de fichiers constitués à des fins statistiques.

4. Les fonctionnaires, agents ou techniciens qui exercent des fonctions à la CNPD ou auprès de ses membres sont également soumis à l'obligation de respecter le secret professionnel.

CHAPITRE III
Transfert de données à caractère personnel

SECTION I
Transfert de données à caractère personnel dans l'Union européenne

Article 18
Principe

La circulation des données à caractère personnel est libre entre les Etats membres de l'Union européenne, sans préjudice des actes communautaires de nature fiscale et douanière.

SECTION II
Transfert de données à caractère personnel vers des pays tiers

Article 19
Principes

1. Sans préjudice des dispositions de l'article suivant, le transfert vers un pays tiers de données à caractère personnel faisant l'objet d'un traitement, ou destinées à faire l'objet d'un traitement après leur transfert, ne peut avoir lieu que dans le respect des dispositions de la présente loi et que si l'Etat vers lequel les données sont transmises assure un niveau de protection adéquat.

2. Le caractère adéquat du niveau de protection offert par un pays qui n'appartient pas à l'Union européenne s'apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, le pays d'origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées.

3. Il appartient à la CNPD d'apprécier si un Etat qui n'appartient pas à l'Union européenne assure un niveau de protection adéquat.

4. La CNPD notifie à la Commission européenne, par l'intermédiaire du ministère des affaires étrangères, les cas dans lesquels elle estime qu'un Etat n'assure pas un niveau de protection adéquat.

5. Le transfert de données à caractère personnel de même nature que celles pour lesquelles la Commission a estimé qu'elles ne bénéficiaient pas d'une protection adéquate dans le pays auquel elles sont destinées n'est pas autorisé.

Article 20
Dérogations

1. Le transfert de données à caractère personnel vers un pays tiers n'assurant pas un niveau de protection adéquat au sens du paragraphe 2 de l'article 19 peut toutefois être autorisé par la CNPD, à condition que la personne concernée ait indubitablement donné son consentement au transfert envisagé ou que :

le transfert soit nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à l'exécution de mesures précontractuelles prises à la demande de la personne concernée; ou
le transfert soit nécessaire à la conclusion ou à l'exécution d'un contrat conclu ou à conclure, dans l'intérêt de la personne concernée, entre le responsable du traitement et un tiers; ou
le transfert soit nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d'un intérêt public important, ou pour la constatation, l'exercice ou la défense d'un droit en justice; ou
le transfert soit nécessaire à la sauvegarde des intérêts vitaux de la personne concernée; ou
le transfert intervienne au départ d'un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation du public ou de toute autre personne justifiant d'un intérêt légitime, dans la mesure où les conditions légales pour la conclusion sont remplies dans le cas particulier.

2. Sans préjudice du paragraphe 1, la CNPD peut autoriser un transfert, ou un ensemble de transferts, de données à caractère personnel vers un pays tiers n'assurant pas un niveau de protection adéquat au sens du paragraphe 2 de l'article 19, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de vie privée, des libertés et droits fondamentaux des personnes, ainsi qu'à l'égard de l'exercice des droits correspondants; ces garanties peuvent notamment résulter de clauses contractuelles appropriées.

3. La CNPD informe la Commission européenne, par l'intermédiaire du ministère des affaires étrangères, ainsi que les autorités compétentes des autres Etats membres de l'Union européenne, des autorisations qu'elle accorde en application du paragraphe 2.

4. L'octroi des autorisations ou la dérogation visés au paragraphe 2 sont accordés par la CNPD suivant une procédure appropriée et conformément aux décisions de la Commission européenne.

5. Lorsqu'il existe des clauses contractuelles types approuvées par la Commission européenne selon une procédure appropriée et offrant les garanties suffisantes visées au paragraphe 2, la CNPD autorise le transfert de données à caractère personnel qui est alors effectué conformément à ces clauses.

6. Le transfert de données à caractère personnel qui constitue une mesure nécessaire à la sauvegarde de la sûreté de l'Etat, de la défense, de la sécurité publique, de la prévention, de la recherche et de la répression des délits passibles de sanctions pénales est régi par des dispositions légales efficaces ou par les conventions et accords internationaux auxquels le Portugal est partie.

CHAPITRE IV
Commission nationale de protection des données (CNPD)

SECTION I
Nature, attributions et compétences

Article 21
Nature

1. La CNPD est une entité administrative indépendante, dotée de pouvoirs d'autorité, qui fonctionne auprès de l'Assemblée de la République.

2. La CNPD exerce ses compétences sur tout le territoire national, indépendamment du droit national applicable concrètement à chaque traitement de données.

3. La CNPD peut être invitée à exercer ses pouvoirs par une autorité chargée du contrôle de la protection des données dans un autre Etat membre de l'Union européenne et du Conseil de l'Europe.

4. La CNPD coopère avec les autorités chargées du contrôle de la protection des données d'autres Etats à la diffusion du droit et des réglementations nationales en matière de protection des données à caractère personnel, ainsi que dans la défense et à l'exercice des droits des personnes résidant à l'étranger.

Article 22
Attributions

1. La CNPD est l'autorité nationale qui a pour attribution de contrôler et de vérifier le respect des dispositions légales et réglementaires en matière de protection des données à caractère personnel, dans le respect rigoureux des droits de l'homme ainsi que des libertés et garanties inscrites dans la Constitution et dans les lois.

2. La CNPD doit être consultée sur toute disposition légale ainsi que sur les instruments juridiques concernant le traitement de données à caractère personnel en préparation dans les institutions communautaires ou internationales.

3. La CNPD dispose :

de pouvoirs d'investigation et d'enquête; elle peut avoir accès aux données faisant l'objet de traitement et recueillir toutes les informations nécessaires pour remplir ses fonctions de contrôle;
de pouvoirs d'autorité, notamment celui d'ordonner le verrouillage, l'effaçage ou la destruction de données et celui d'interdire, provisoirement ou définitivement, le traitement de données à caractère personnel, même de celles incluses dans des réseaux ouverts de transmission de données à partir de serveurs situés sur le territoire portugais;
du pouvoir d'émettre des avis préalables au traitement de données à caractère personnel, en garantissant que les intéressés en sont informés.

4. En cas de manquements réitérés aux dispositions légales en matière de données à caractère personnel, la CNPD peut mettre en garde ou critiquer publiquement le responsable du traitement et soulever la question devant l'Assemblée de la République, le gouvernement ou d'autres organes ou autorités, en fonction de leurs compétences respectives.

5. La CNPD peut légitimement intervenir dans des procédures judiciaires en cas de violation des dispositions de la présente loi; elle doit dénoncer au ministère public les infractions et délits passibles de sanctions pénales dont elle prend connaissance dans l'exercice de ses fonctions et, suite à ces délits, prendre les mesures de précaution nécessaires et urgentes pour garantir les moyens de preuve.

6. La CNPD est représentée en justice par le ministère public et elle est exonérée des frais dans les procédures dans lesquelles elle intervient.

Article 23
Compétences

1. La CNPD a compétence pour :

émettre un avis sur les dispositions légales et les instruments juridiques concernant le traitement de données à caractère personnel en préparation dans les institutions communautaires et internationales;
autoriser ou enregistrer, selon les cas, les traitements de données à caractère personnel;
autoriser exceptionnellement l'utilisation de données à caractère personnel à d'autres fins que celles pour lesquelles elles ont été recueillies, mais en respectant les principes définis à l'article 5;
autoriser, dans les cas prévus à l'article 9, l'interconnexion de traitements automatisés de données à caractère personnel;
autoriser le transfert de données à caractère personnel dans les cas prévus à l'article 20;
fixer la durée de conservation des données à caractère personnel en fonction de l'objectif et émettre des directives pour certains secteurs d'activités;
faire respecter le droit d'accès à l'information ainsi que l'exercice du droit de rectification et de mise à jour;
autoriser la fixation des coûts ou de la périodicité pour l'exercice du droit d'accès et fixer dans chaque secteur d'activité les délais d'exécution des obligations qui, en vertu des articles 11 à 13, incombent au responsable du traitement des données à caractère personnel;
donner suite à la demande adressée par toute personne ou par l'association qui la représente pour sauvegarder ses droits et libertés en ce qui concerne le traitement de données à caractère personnel et l'informer du résultat;
vérifier, à la demande de toute personne, la licéité d'un traitement de données, à moins que ce traitement ne fasse l'objet de restrictions concernant l'accès ou l'information, et l'informer de l'exécution de cette vérification;
examiner les réclamations, plaintes ou pétitions des particuliers;
exempter de l'exécution de mesures de sécurité, conformément aux dispositions prévues au paragraphe 2 de l'article 15, et émettre des directives pour des secteurs d'activité déterminés;
assurer la représentation auprès d'instances de contrôle communes et dans les réunions communautaires et internationales d'entités indépendantes chargées du contrôle de la protection des données à caractère personnel, participer à des réunions internationales dans le cadre de ses compétences, notamment exercer des fonctions de représentation et de vérification dans le cadre du système de Schengen et d'Europol, conformément aux dispositions applicables en la matière;
décider des amendes à infliger;
promouvoir et apprécier des codes de conduite;
promouvoir la divulgation et la clarification des droits relatifs à la protection des données et faire connaître périodiquement ses activités, notamment par la publication d'un rapport annuel;
exercer d'autres compétences prévues par la loi.

2. Dans l'exercice de ses compétences en matière de la publication de directives et d'appréciation de codes de conduite, la CNPD doit auditionner les associations de défense des intérêts en cause.

3. Dans l'exercice de ses fonctions, la CNPD prend des décisions ayant force exécutoire qui peuvent faire l'objet d'une réclamation ou d'un recours devant le tribunal central administratif (Tribunal Central Administrativo).

4. La CNPD peut suggérer à l'Assemblée de la République les mesures qu'elle juge utiles à la poursuite de sa tâche et à l'exercice de ses compétences.

Article 24
Obligation de collaborer

1. Les entités publiques et privées doivent apporter leur collaboration à la CNPD en lui fournissant toutes les informations qu'elle leur demande dans l'exercice de ses compétences.

2. L'obligation de collaborer vaut notamment lorsque la CNPD a besoin, ne serait-ce que pour exercer ses fonctions, d'examiner le système informatique et les fichiers de données à caractère personnel ainsi que toute la documentation relative au traitement et à la transmission de ces données.

3. La CNPD ou ses membres, ainsi que les techniciens mandatés par elle, ont droit d'accès aux systèmes informatiques qui servent de support au traitement des données ainsi qu'à la documentation visée au paragraphe précédent, dans le cadre de ses attributions et de ses compétences.

SECTION II
Composition et fonctionnement

Article 25
Composition et mandat

1. La CNPD est composée de sept membres dont l'intégrité et les mérites sont reconnus; son président et deux de ses membres sont élus par l'Assemblée de la République, selon la méthode de la moyenne la plus élevée de Hondt.

2. Les autres membres sont :

deux magistrats ayant plus de 10 ans d'expérience, l'un étant un magistrat judiciaire désigné par le conseil supérieur de la magistrature, l'autre un magistrat du ministère public désigné par le conseil supérieur du ministère public;
deux personnalités dont la compétence est reconnue et qui sont nommées par le gouvernement.

3. Le mandat des membres de la CNPD est de 5 ans et il prend fin avec la prise de fonctions des nouveaux membres.

4. La liste des membres de la CNPD est publiée dans la première série du Diário da República.

5. Les membres de la CNPD prennent leurs fonctions devant le président de l'Assemblée de la République dans un délai de 10 jours à compter de la publication de la liste mentionnée au paragraphe précédent.

Article 26
Fonctionnement

1. Sont approuvés par une loi de l'Assemblée de la République :

la loi organique et les effectifs du personnel de la CNPD;
le régime des incompatibilités, empêchements, soupçons et pertes de mandat ainsi que les rémunérations des membres de la CNPD.

2. Le statut des membres de la CNPD leur garantit l'indépendance dans l'exercice de leurs fonctions.

3. La commission dispose de son personnel technique et administratif propre, ses fonctionnaires et agents bénéficient du même statut et des mêmes avantages que le personnel de l'Assemblée de la République.

SECTION III
Notification

Article 27
Obligation de notifier à la CNPD

1. Le responsable du traitement ou, s'il y a lieu, son représentant, doit notifier à la CNPD, avant réalisation, d’un traitement ou d’un ensemble de traitements, totalement ou partiellement automatisés et destinés à atteindre un ou plusieurs objectifs ayant des rapports entre eux.

2. La CNPD peut autoriser la simplification ou l'exemption de la notification pour certaines catégories de traitement qui, compte tenu des données à traiter, ne sont guère susceptibles de mettre en cause les droits et libertés des personnes concernées et prennent en compte des critères de sécurité, d'économie et d'efficacité.

3. L'autorisation, qui doit être publiée au Diário da República, précise les objectifs du traitement, les données et catégories de données à traiter, la catégorie ou les catégories de personnes concernées, les destinataires ou catégories de destinataires auxquels les données peuvent être communiquées et la durée de conservation de ces données.

4. Sont exempts de notification les traitements dont l'unique but est la tenue de registres qui, conformément aux dispositions législatives et réglementaires, sont destinés à l'information du public et peuvent être consultés par le public en général ou par toute personne qui peut prouver un intérêt légitime.

5. Les traitements non automatisés des données à caractère personnel visées au paragraphe 1 de l'article 7 doivent faire l'objet d'une notification lorsqu'elles sont traitées en application de l'alinéa a) du paragraphe 3 de ce même article.

Article 28
Contrôle préalable

1. L'autorisation de la CNPD est nécessaire pour :

le traitement des données à caractère personnel auxquelles se réfèrent le paragraphe 2 de l'article 7 et le paragraphe 2 de l'article 8;
le traitement des données à caractère personnel concernant le crédit et la solvabilité des personnes concernées;
l'interconnexion de données à caractère personnel visée à l'article 9;
l'utilisation de données à caractère personnel à d'autres fins que celles pour lesquelles elles ont été collectées.

2. Les traitements auxquels se réfère le paragraphe précédent peuvent être autorisés par un texte légal; dans ce cas l'autorisation de la CNPD n'est pas nécessaire.

Article 29
Contenu des demandes d'avis ou d'autorisation et de la notification

Les demandes d'avis ou d'autorisation ainsi que les notifications adressées à la CNPD doivent comporter les informations suivantes :

nom et adresse du responsable du traitement et, s'il y a lieu, de son représentant;
objectifs du traitement;
description de la catégorie ou des catégories de personnes concernées et des données ou catégories de données à caractère personnel qui les concernent;
destinataires ou catégories de destinataires auxquels les données peuvent être communiquées et à quelles conditions;
entité chargée du traitement de l'information si ce n'est pas le responsable du traitement des données lui-même;
interconnexions éventuelles des traitements de données à caractère personnel;
durée de conservation des données à caractère personnel;
façon dont et conditions auxquelles les personnes concernées peuvent prendre connaissance des données à caractère personnel qui les concernent ou les faire corriger;
transferts de données prévus vers les pays tiers;
description générale permettant d'évaluer préalablement l'adéquation des mesures prises pour garantir la sécurité du traitement en application des articles 14 et 15.

Article 30
Indications obligatoires

1. Les textes légaux visés au paragraphe 2 de l'article 7 et au paragraphe 1 de l'article 8, ainsi que les autorisations de la CNPD et les enregistrements de traitements de données à caractère personnel, doivent indiquer au moins :

le responsable du fichier et; s'il y a lieu, son représentant;
les catégories de données à caractère personnel traitées;
les destinations des données et les catégories d'organismes et d'entités auxquels elles peuvent être communiquées;
la forme d'exercice du droit d'accès et de rectification;
les éventuelles interconnexions de traitements de données à caractère personnel;
les transferts de données prévus vers les pays tiers.

2. Toute modification des indications figurant au paragraphe 1 est soumise aux procédures prévues aux articles 27 et 28.

Article 31
Publicité des traitements

1. Le traitement des données à caractère personnel, s'il ne fait pas l'objet d'un texte légal et s'il ne doit pas être autorisé ou notifié, est consigné dans le registre de la CNPD qui peut être consulté par quiconque.

2. Le registre contient les informations énumérées aux alinéas a) à d) et i) de l'article 29.

3. Le responsable du traitement de données non assujetti à notification est tenu de fournir, de manière adéquate, à toute personne qui lui en fait la demande, au moins les informations énumérées au paragraphe 1 de l'article 30.

4. Le présent article ne s'applique pas au traitement dont le seul but est la tenue de registres qui, conformément aux dispositions législatives ou réglementaires, sont destinés à l'information du public et peuvent être consultés par le public en général ou par toute personne qui peut prouver un intérêt légitime.

5. La CNPD doit publier dans son rapport annuel tous les avis et toutes les autorisations élaborées ou accordées en application de la présente loi, notamment les autorisations visées au paragraphe 2 de l'article 7 et au paragraphe 2 de l'article 9.

CHAPITRE V
Codes de conduite

Article 32
Codes de conduite

1. La CNPD encourage l'élaboration de codes de conduite destinés à contribuer, en fonction de la spécificité des secteurs, à la bonne application des dispositions de la présente loi.

2. Les associations professionnelles et les autres organisations représentant d'autres catégories de responsables du traitement qui ont élaboré des projets de codes de conduite peuvent les soumettre à l'examen de la CNPD.

3. La CNPD peut déclarer que les projets sont conformes aux dispositions légales et réglementaires en vigueur en matière de protection de données à caractère personnel.

CHAPITRE VI
Protection administrative et juridictionnelle

SECTION I
Protection administrative et juridictionnelle

Article 33
Protection administrative et juridictionnelle

Sans préjudice du droit d'adresser une plainte à la CNPD, toute personne peut, conformément à la loi, recourir à des moyens administratifs ou juridictionnels pour garantir le respect des dispositions légales en matière de protection des données à caractère personnel.

Article 34
Responsabilité civile

1. Toute personne qui a subi un préjudice dû au traitement illicite de données ou à tout autre acte qui viole les dispositions légales en matière de protection des données à caractère personnel a le droit d'obtenir du responsable la réparation du préjudice subi.

2. Le responsable du traitement des données peut être partiellement ou totalement exonéré de cette responsabilité s'il est prouvé que le fait qui a causé le préjudice ne lui est pas imputable.

SECTION II
Infractions administratives

Article 35
Législation subsidiaire

Le régime général des infractions administratives est applicable subsidiairement aux infractions visées dans la présente section, avec les adaptations prévues aux articles suivants.

Article 36
Manquement aux obligations

Dans tous les cas où l'infraction administrative résulte d'un manquement à une obligation, l'application de la sanction et le paiement de l'amende ne dispensent pas le contrevenant de remplir son obligation si c'est encore possible.

Article 37
Omission ou exécution incomplète des obligations

1. Les entités qui, par négligence, manquent à l'obligation de notifier à la CNPD le traitement de données à caractère personnel visées aux paragraphes 1 et 5 de l'article 27, fournissent des informations erronées, remplissent leur obligation de notification hors des délais prévus à l'article 29 ou qui, après avoir été mis en garde par la CNPD, continuent à donner accès aux réseaux ouverts de transmission de données à des responsables du traitement de données à caractère personnel qui ne remplissent pas les conditions prévues par la présente loi, commettent une infraction administrative passible des amendes suivantes :

s'agissant d'un particulier, 50 000 ESC au minimum et 500 000 ESC au maximum;
s'agissant d'une personne morale ou d'une entité sans personnalité juridique, 300 000 ESC au minimum et 3 000 000 ESC au maximum.

2. Le montant de l'amende est doublé lorsqu'il s'agit de données soumises à contrôle préalable, conformément à l'article 28.

Article 38
Infractions administratives

1. Les entités et organismes qui ne respectent pas l'une des dispositions suivantes de la présente loi :

désigner le représentant conformément aux dispositions du paragraphe 5 de l'article 4;
remplir les obligations prévues aux articles 5, 10, 11, 12, 13, 15, 16 et 31, paragraphe 3,

commettent une infraction administrative passible d'une amende de 100 000 ESC au minimum et 1 000 000 ESC au maximum

2. Le montant de l'amende est doublé lorsque les obligations prévues aux articles 6, 7, 8, 9, 19 et 20 ne sont pas respectées.

Article 39
Concours d'infractions

1. Si le même fait constitue, simultanément, un délit et une infraction administrative, le coupable est toujours passible de la peine prévue pour le délit.

2. Les sanctions infligées pour les infractions administratives commises simultanément s'additionnent toujours.

Article 40
Punition de la négligence et de la tentative

1. La négligence est toujours sanctionnée comme les infractions administratives visées à l'article 38.

2. La tentative est toujours sanctionnée comme les infractions administratives visées aux articles 37 et 38.

Article 41
Application des amendes

1. C'est au président de la CNPD qu'il incombe d'infliger les amendes prévues par la présente loi, après décision préalable de la commission.

2. Après avoir été homologuée par le président, la décision de la CNPD est exécutoire si elle n'a pas été contestée dans le délai légal.

Article 42
Destination des recettes perçues

Le montant des recettes perçues à la suite de l'application des amendes revient, à parts égales, à l'Etat et à la CNPD.

SECTION III
Délits

Article 43
Non-respect d'obligations relatives à la protection des données

1. Quiconque, intentionnellement :

omet de notifier ou de demander une autorisation, conformément aux articles 27 et 28;
fournit de fausses informations dans la notification ou les demandes d'autorisation de traitement de données à caractère personnel ou encore procède à des modifications non permises par l'instrument de légalisation;
détourne ou utilise des données à caractère personnel d'une manière incompatible avec l'objectif pour lesquelles elles ont été recueillies ou avec l'instrument de légalisation;
favorise ou réalise une interconnexion illégale de données à caractère personnel;
ne respecte pas les obligations prévues par la présente loi ou par tout autre acte législatif concernant la protection des données après l'expiration du délai qui lui avait été imparti par la CNPD pour s'y conformer;
maintient l'accès aux réseaux ouverts de transmission de données à des responsables de traitements de données à caractère personnel qui ne respectent pas les dispositions de la présente loi, après avoir été invité à y mettre fin par la CNPD,

est passible d'un emprisonnement pouvant aller jusqu'à un an ou d'une pénalité pouvant atteindre 120 jours.

2. La peine est doublée lorsqu'il s'agit de données à caractère personnel auxquelles se réfèrent les articles 7 et 8.

Article 44
Accès indu

1. Quiconque, sans y être dûment autorisé et de quelque façon que ce soit, accède à des données à caractère personnel dont l'accès lui est interdit, est passible d'un emprisonnement d'un an ou d'une pénalité pouvant atteindre 120 jours.

2. La peine est doublée lorsque l'accès :

a été obtenu en violant les règles techniques de sécurité;
a permis à l'agent ou à des tiers de prendre connaissance de données à caractère personnel;
a permis à l'agent ou à des tiers d'en tirer un bénéfice ou un avantage matériel.

3. Dans le cas visé au paragraphe 1 l'ouverture d'une procédure judiciaire est subordonnée au dépôt d'une plainte.

Article 45
Falsification ou destruction de données à caractère personnel

1. Quiconque, sans y avoir été dûment autorisé, efface, détruit, falsifie, supprime ou modifie des données à caractère personnel en les rendant inutilisables ou en rendant leur utilisation plus difficile, est passible d'un emprisonnement pouvant aller jusqu'à deux ans ou d'une pénalité pouvant atteindre 240 jours.

2. La peine est doublée si le préjudice causé est particulièrement grave.

3. Si le coupable a agi par négligence, dans les deux cas il est passible d'un emprisonnement pouvant aller jusqu'à un an ou d'une pénalité pouvant atteindre 120 jours.

Article 46
Désobéissance qualifiée

1. Quiconque, après y avoir été invité, n'interrompt pas, ne cesse pas ou ne verrouille pas le traitement de données à caractère personnel, est passible de la peine prévue pour le délit de désobéissance qualifiée.

2. Quiconque, après y avoir été invité :

refuse, sans raison valable, la collaboration qu'il est tenu d'apporter conformément à l'article 24;
n'a procédé ni à l'effacement, ni à la destruction, totale ou partielle, de données à caractère personnel;
n'a pas procédé à la destruction de données à caractère personnel à la fin de la période de conservation prévue à l'article 5,

encourt la même peine.

Article 47
Violation de l'obligation de secret

1. Quiconque, tenu au respect du secret professionnel conformément à la loi, révèle ou divulgue, sans raison valable et sans y avoir été dûment autorisé, la totalité ou une partie de données à caractère personnel, est passible d'un emprisonnement de deux ans ou d'une pénalité pouvant atteindre 240 jours.

2. La peine est aggravée de moitié si le coupable :

est fonctionnaire public ou assimilé, conformément aux dispositions de la loi pénale;
est motivé par le désir d'obtenir un quelconque avantage matériel ou autre bénéfice illégitime;
porte atteinte à la réputation, à l'honneur, à la considération ou à la vie privée d'autrui.

3. La négligence est passible d'un emprisonnement pouvant aller jusqu'à six mois ou d'une pénalité pouvant aller jusqu'à 120 jours.

4. En dehors des cas visés au paragraphe 2, l'ouverture d'une procédure judiciaire est subordonnée au dépôt d'une plainte.

Article 48
Punition de la tentative

Dans le cas des délits visés par les dispositions précédentes, la tentative est toujours passible d'une sanction.

Article 49
Peine accessoire

1. Outre les amendes et peines infligées :

l'interdiction provisoire ou définitive du traitement, le verrouillage, l'effaçage ou la destruction totale ou partielle de données;
la publicité de la condamnation;
la mise en garde ou la critique publiques du responsable du traitement, conformément aux dispositions du paragraphe 4 de l'article 22,

peuvent être ordonnés.

2. La publicité donnée à la condamnation se fait aux frais du condamné, dans un périodique de grande diffusion publié dans la zone où l'infraction a été commise ou, à défaut, dans une publication périodique de la zone la plus proche ainsi que par l'affichage d'un avis en un lieu approprié, pendant une période non inférieure à 30 jours.

3. La publication indique en quoi consiste l'infraction, les sanctions infligées et l'identité du coupable.

CHAPITRE VII
Dispositions finales

Article 50
Dispositions transitoires

1. Les traitements de données existant dans des fichiers manuels à la date d'entrée en vigueur de la présente loi doivent se conformer aux dispositions des articles 7, 8, 10 et 11 dans un délai de cinq ans.

2. En toute hypothèse, la personne concernée peut obtenir, sur demande, et notamment en ce qui concerne l'exercice du droit d'accès, la rectification, l'effaçage ou le verrouillage des données incomplètes, inexactes ou conservées d'une manière incompatible avec les objectifs légitimes visés par les responsables du traitement.

3. La CNPD peut permettre que les données conservées dans des fichiers manuels et uniquement à des fins de recherches historiques soient dispensées de respecter les articles 7, 8 et 9, dès lors qu'elles ne sont en aucun cas réutilisées à des fins différentes.

Article 51
Disposition révocatoire

Les lois n°s 10/91, du 29 avril 1991, et 28/94, du 29 août 1994, sont abrogées.

Article 52
Entrée en vigueur

La présente loi entre en vigueur le lendemain de sa publication.

Approuvé le 24 septembre 1998

Le président de l'assemblée de la République, António de Almeida Santos

Promulguée le 7 octobre 1998

Le président de la République, Jorge Sampaio

..........

Le premier ministre, António Manuel de Oliveira Guterres



Rua de São Bento n.º 148-3º 1200-821 Lisboa - Tel: +351 213928400 - Fax: +351 213976832 - e-mail: geral@cnpd.pt