
Lei n.º 67/98
de 26 de Outubro
Lei da Protecção de Dados Pessoais
(transpõe para a ordem jurídica portuguesa a Directiva n.º 95/46/CE,
do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995,
relativa à protecção das pessoas singulares no que diz respeito
ao tratamento dos dados pessoais e à livre circulação desses
dados). A Assembleia da República decreta, nos termos da alínea
c) do artigo 161.º, das alíneas b) e c) do n.º 1 do artigo 165.º
e do n.º 3 do artigo 166.º da Constituição, para valer como
lei geral da República, o seguinte:
CAPÍTULO I
Disposições gerais
Artigo 1.º
Objecto
A presente lei transpõe para a
ordem jurídica interna a Directiva n.º 95/46/CE, do Parlamento
Europeu e do Conselho, de 24 de Outubro de 1995, relativa à
protecção das pessoas singulares no que diz respeito ao tratamento
de dados pessoais e à livre circulação desses dados.
Artigo 2.º
Princípio geral
O tratamento de dados pessoais
deve processar-se de forma transparente e no estrito respeito
pela reserva da vida privada, bem como pelos direitos, liberdades
e garantias fundamentais.
Artigo 3.º
Definições
Para efeitos da presente lei, entende-se
por:
a) «Dados pessoais»: qualquer informação,
de qualquer natureza e independentemente do respectivo suporte,
incluindo som e imagem, relativa a uma pessoa singular identificada
ou identificável («titular dos dados»); é considerada identificável
a pessoa que possa ser identificada directa ou indirectamente,
designadamente por referência a um número de identificação ou
a um ou mais elementos específicos da sua identidade física,
fisiológica, psíquica, económica, cultural ou social;
b) «Tratamento de dados pessoais»
(«tratamento»): qualquer operação ou conjunto de operações sobre
dados pessoais, efectuadas com ou sem meios automatizados, tais
como a recolha, o registo, a organização, a conservação, a adaptação
ou alteração, a recuperação, a consulta, a utilização, a comunicação
por transmissão, por difusão ou por qualquer outra forma de
colocação à disposição, com comparação ou interconexão, bem
como o bloqueio, apagamento ou destruição;
c) «Ficheiro de dados pessoais»
(«ficheiro»): qualquer conjunto estruturado de dados pessoais,
acessível segundo critérios determinados, quer seja centralizado,
descentralizado ou repartido de modo funcional ou geográfico;
d) «Responsável pelo tratamento»:
a pessoa singular ou colectiva, a autoridade pública, o serviço
ou qualquer outro organismo que, individualmente ou em conjunto
com outrem, determine as finalidades e os meios de tratamento
dos dados pessoais; sempre que as finalidades e os meios do
tratamento sejam determinados por disposições legislativas ou
regulamentares, o responsável pelo tratamento deve ser indicado
na lei de organização e funcionamento ou no estatuto da entidade
legal ou estatutariamente competente para tratar os dados pessoais
em causa;
e) «Subcontratante»: a pessoa singular
ou colectiva, a autoridade pública, o serviço ou qualquer outro
organismo que trate os dados pessoais por conta do responsável
pelo tratamento;
f) «Terceiro»: a pessoa singular
ou colectiva, a autoridade pública, o serviço ou qualquer outro
organismo que, não sendo o titular dos dados, o responsável
pelo tratamento, o subcontratante ou outra pessoa sob autoridade
directa do responsável pelo tratamento ou do subcontratante,
esteja habilitado a tratar os dados;
g) «Destinatário»: a pessoa singular
ou colectiva, a autoridade pública, o serviço ou qualquer outro
organismo a quem sejam comunicados dados pessoais, independentemente
de se tratar ou não de um terceiro, sem prejuízo de não serem
consideradas destinatários as autoridades a quem sejam comunicados
dados no âmbito de uma disposição legal;
h) «Consentimento do titular dos
dados»: qualquer manifestação de vontade, livre, específica
e informada, nos termos da qual o titular aceita que os seus
dados pessoais sejam objecto de tratamento;
i) «Interconexão de dados»: forma
de tratamento que consiste na possibilidade de relacionamento
dos dados de um ficheiro com os dados de um ficheiro ou ficheiros
mantidos por outro ou outros responsáveis, ou mantidos pelo
mesmo responsável com outra finalidade.
Artigo 4.º
Âmbito de aplicação
1 - A presente lei aplica-se ao
tratamento de dados pessoais por meios total ou parcialmente
automatizados, bem como ao tratamento por meios não automatizados
de dados pessoais contidos em ficheiros manuais ou a estes destinados.
2 - A presente lei não se aplica
ao tratamento de dados pessoais efectuado por pessoa singular
no exercício de actividades exclusivamente pessoais ou domésticas.
3 - A presente lei aplica-se ao
tratamento de dados pessoais efectuado:
a) No âmbito das actividades de
estabelecimento do responsável do tratamento situado em território
português;
b) Fora do território nacional,
em local onde a legislação portuguesa seja aplicável por força
do direito internacional;
c) Por responsável que, não estando
estabelecido no território da União Europeia, recorra, para
tratamento de dados pessoais, a meios, automatizados ou não,
situados no território português, salvo se esses meios só forem
utilizados para trânsito através do território da União Europeia.
4 - A presente lei aplica-se à
videovigilância e outras formas de captação, tratamento e difusão
de sons e imagens que permitam identificar pessoas sempre que
o responsável pelo tratamento esteja domiciliado ou sediado
em Portugal ou utilize um fornecedor de acesso a redes informáticas
e telemáticas estabelecido em território português.
5 - No caso referido na alínea
c) do n.º 3, o responsável pelo tratamento deve designar, mediante
comunicação à Comissão Nacional de Protecção de Dados (CNPD),
um representante estabelecido em Portugal, que se lhe substitua
em todos os seus direitos e obrigações, sem prejuízo da sua
própria responsabilidade.
6 - O disposto no número anterior
aplica-se no caso de o responsável pelo tratamento estar abrangido
por estatuto de extraterritorialidade, de imunidade ou por qualquer
outro que impeça o procedimento criminal.
7 - A presente lei aplica-se ao
tratamento de dados pessoais que tenham por objectivo a segurança
pública, a defesa nacional e a segurança do Estado, sem prejuízo
do disposto em normas especiais constantes de instrumentos de
direito internacional a que Portugal se vincule e de legislação
específica atinente aos respectivos sectores.
CAPÍTULO II
Tratamento de dados pessoais
SECÇÃO I
Qualidade dos dados e legitimidade do seu tratamento
Artigo 5.º
Qualidade dos dados
1 - Os dados pessoais devem ser:
a) Tratados de forma lícita e com
respeito pelo princípio da boa fé;
b) Recolhidos para finalidades
determinadas, explícitas e legítimas, não podendo ser posteriormente
tratados de forma incompatível com essas finalidades;
c) Adequados, pertinentes e não
excessivos relativamente às finalidades para que são recolhidos
e posteriormente tratados;
d) Exactos e, se necessário, actualizados,
devendo ser tomadas as medidas adequadas para assegurar que
sejam apagados ou rectificados os dados inexactos ou incompletos,
tendo em conta as finalidades para que foram recolhidos ou para
que são tratados posteriormente;
e) Conservados de forma a permitir
a identificação dos seus titulares apenas durante o período
necessário para a prossecução das finalidades da recolha ou
do tratamento posterior.
2 - Mediante requerimento do responsável
pelo tratamento, e caso haja interesse legítimo, a CNPD pode
autorizar a conservação de dados para fins históricos, estatísticos
ou científicos por período superior ao referido na alínea e)
do número anterior.
3 - Cabe ao responsável pelo tratamento
assegurar a observância do disposto nos números anteriores.
Artigo 6.º
Condições de legitimidade do tratamento de dados
O tratamento de dados pessoais
só pode ser efectuado se o seu titular tiver dado de forma inequívoca
o seu consentimento ou se o tratamento for necessário para:
a) Execução de contrato ou contratos
em que o titular dos dados seja parte ou de diligências prévias
à formação do contrato ou declaração da vontade negocial efectuadas
a seu pedido;
b) Cumprimento de obrigação legal
a que o responsável pelo tratamento esteja sujeito;
c) Protecção de interesses vitais
do titular dos dados, se este estiver física ou legalmente incapaz
de dar o seu consentimento;
d) Execução de uma missão de interesse
público ou no exercício de autoridade pública em que esteja
investido o responsável pelo tratamento ou um terceiro a quem
os dados sejam comunicados;
e) Prossecução de interesses legítimos
do responsável pelo tratamento ou de terceiro a quem os dados
sejam comunicados, desde que não devam prevalecer os interesses
ou os direitos, liberdades e garantias do titular dos dados.
Artigo 7.º
Tratamento de dados sensíveis
1 - É proibido o tratamento de
dados pessoais referentes a convicções filosóficas ou políticas,
filiação partidária ou sindical, fé religiosa, vida privada
e origem racial ou étnica, bem como o tratamento de dados relativos
à saúde e à vida sexual, incluindo os dados genéticos.
2 - Mediante disposição legal ou
autorização da CNPD, pode ser permitido o tratamento dos dados
referidos no número anterior quando por motivos de interesse
público importante esse tratamento for indispensável ao exercício
das atribuições legais ou estatutárias do seu responsável, ou
quando o titular dos dados tiver dado o seu consentimento expresso
para esse tratamento, em ambos os casos com garantias de não
discriminação e com as medidas de segurança previstas no artigo
15.º
3 - O tratamento dos dados referidos
no n.º 1 é ainda permitido quando se verificar uma das seguintes
condições:
a) Ser necessário para proteger
interesses vitais do titular dos dados ou de uma outra pessoa
e o titular dos dados estiver física ou legalmente incapaz de
dar o seu consentimento;
b) Ser efectuado, com o consentimento
do titular, por fundação, associação ou organismo sem fins lucrativos
de carácter político, filosófico, religioso ou sindical, no
âmbito das suas actividades legítimas, sob condição de o tratamento
respeitar apenas aos membros desse organismo ou às pessoas que
com ele mantenham contactos periódicos ligados às suas finalidades,
e de os dados não serem comunicados a terceiros sem consentimento
dos seus titulares;
c) Dizer respeito a dados manifestamente
tornados públicos pelo seu titular, desde que se possa legitimamente
deduzir das suas declarações o consentimento para o tratamento
dos mesmos;
d) Ser necessário à declaração,
exercício ou defesa de um direito em processo judicial e for
efectuado exclusivamente com essa finalidade.
4 - O tratamento dos dados referentes
à saúde e à vida sexual, incluindo os dados genéticos, é permitido
quando for necessário para efeitos de medicina preventiva, de
diagnóstico médico, de prestação de cuidados ou tratamentos
médicos ou de gestão de serviços de saúde, desde que o tratamento
desses dados seja efectuado por um profissional de saúde obrigado
a sigilo ou por outra pessoa sujeita igualmente a segredo profissional,
seja notificado à CNPD, nos termos do artigo 27.º, e sejam garantidas
medidas adequadas de segurança da informação.
Artigo 8.º
Suspeitas de actividades ilícitas, infracções penais e contra-ordenações
1 - A criação e a manutenção de
registos centrais relativos a pessoas suspeitas de actividades
ilícitas, infracções penais, contra-ordenações e decisões que
apliquem penas, medidas de segurança, coimas e sanções acessórias
só podem ser mantidas por serviços públicos com competência
específica prevista na respectiva lei de organização e funcionamento,
observando normas procedimentais e de protecção de dados previstas
em diploma legal, com prévio parecer da CNPD.
2 - O tratamento de dados pessoais
relativos a suspeitas de actividades ilícitas, infracções penais,
contra-ordenações e decisões que apliquem penas, medidas de
segurança, coimas e sanções acessórias pode ser autorizado pela
CNPD, observadas as normas de protecção de dados e de segurança
da informação, quando tal tratamento for necessário à execução
de finalidades legítimas do seu responsável, desde que não prevaleçam
os direitos, liberdades e garantias do titular dos dados.
3 - O tratamento de dados pessoais
para fins de investigação policial deve limitar-se ao necessário
para a prevenção de um perigo concreto ou repressão de uma infracção
determinada, para o exercício de competências previstas no respectivo
estatuto orgânico ou noutra disposição legal e ainda nos termos
de acordo ou convenção internacional de que Portugal seja parte.
Artigo 9.º
Interconexão de dados pessoais
1 - A interconexão de dados pessoais
que não esteja prevista em disposição legal está sujeita a autorização
da CNPD solicitada pelo responsável ou em conjunto pelos correspondentes
responsáveis dos tratamentos, nos termos previstos no artigo
27.º
2 - A interconexão de dados pessoais
deve ser adequada à prossecução das finalidades legais ou estatutárias
e de interesses legítimos dos responsáveis dos tratamentos,
não implicar discriminação ou diminuição dos direitos, liberdades
e garantias dos titulares dos dados, ser rodeada de adequadas
medidas de segurança e ter em conta o tipo de dados objecto
de interconexão.
SECÇÃO II
Direitos do titular dos dados
Artigo 10.º
Direito de informação
1 - Quando recolher dados pessoais
directamente do seu titular, o responsável pelo tratamento ou
o seu representante deve prestar-lhe, salvo se já dele forem
conhecidas, as seguintes informações:
a) Identidade do responsável pelo
tratamento e, se for caso disso, do seu representante;
b) Finalidades do tratamento;
c) Outras informações, tais como:
Os destinatários ou categorias
de destinatários dos dados; O carácter obrigatório ou facultativo
da resposta, bem como as possíveis consequências se não responder;
A existência e as condições do direito de acesso e de rectificação,
desde que sejam necessárias, tendo em conta as circunstâncias
específicas da recolha dos dados, para garantir ao seu titular
um tratamento leal dos mesmos.
2 - Os documentos que sirvam de
base à recolha de dados pessoais devem conter as informações
constantes do número anterior.
3 - Se os dados não forem recolhidos
junto do seu titular, e salvo se dele já forem conhecidas, o
responsável pelo tratamento, ou o seu representante, deve prestar-lhe
as informações previstas no n.º 1 no momento do registo dos
dados ou, se estiver prevista a comunicação a terceiros, o mais
tardar aquando da primeira comunicação desses dados.
4 - No caso de recolha de dados
em redes abertas, o titular dos dados deve ser informado, salvo
se disso já tiver conhecimento, de que os seus dados pessoais
podem circular na rede sem condições de segurança, correndo
o risco de serem vistos e utilizados por terceiros não autorizados.
5 - A obrigação de informação pode
ser dispensada, mediante disposição legal ou deliberação da
CNPD, por motivos de segurança do Estado e prevenção ou investigação
criminal, e, bem assim, quando, nomeadamente no caso do tratamento
de dados com finalidades estatísticas, históricas ou de investigação
científica, a informação do titular dos dados se revelar impossível
ou implicar esforços desproporcionados ou ainda quando a lei
determinar expressamente o registo dos dados ou a sua divulgação.
6 - A obrigação de informação,
nos termos previstos no presente artigo, não se aplica ao tratamento
de dados efectuado para fins exclusivamente jornalísticos ou
de expressão artística ou literária.
Artigo 11.º
Direito de acesso
1 - O titular dos dados tem o direito
de obter do responsável pelo tratamento, livremente e sem restrições,
com periodicidade razoável e sem demoras ou custos excessivos:
a) A confirmação de serem ou não
tratados dados que lhe digam respeito, bem como informação sobre
as finalidades desse tratamento, as categorias de dados sobre
que incide e os destinatários ou categorias de destinatários
a quem são comunicados os dados;
b) A comunicação, sob forma inteligível,
dos seus dados sujeitos a tratamento e de quaisquer informações
disponíveis sobre a origem desses dados;
c) O conhecimento da lógica subjacente
ao tratamento automatizado dos dados que lhe digam respeito;
d) A rectificação, o apagamento
ou o bloqueio dos dados cujo tratamento não cumpra o disposto
na presente lei, nomeadamente devido ao carácter incompleto
ou inexacto desses dados;
e) A notificação aos terceiros
a quem os dados tenham sido comunicados de qualquer rectificação,
apagamento ou bloqueio efectuado nos termos da alínea d), salvo
se isso for comprovadamente impossível.
2 - No caso de tratamento de dados
pessoais relativos à segurança do Estado e à prevenção ou investigação
criminal, o direito de acesso é exercido através da CNPD ou
de outra autoridade independente a quem a lei atribua a verificação
do cumprimento da legislação de protecção de dados pessoais.
3 - No caso previsto no n.º 6 do
artigo anterior, o direito de acesso é exercido através da CNPD
com salvaguarda das normas constitucionais aplicáveis, designadamente
as que garantem a liberdade de expressão e informação, a liberdade
de imprensa e a independência e sigilo profissionais dos jornalistas.
4 - Nos casos previstos nos n.os
2 e 3, se a comunicação dos dados ao seu titular puder prejudicar
a segurança do Estado, a prevenção ou a investigação criminal
ou ainda a liberdade de expressão e informação ou a liberdade
de imprensa, a CNPD limita-se a informar o titular dos dados
das diligências efectuadas.
5 - O direito de acesso à informação
relativa a dados da saúde, incluindo os dados genéticos, é exercido
por intermédio de médico escolhido pelo titular dos dados.
6 - No caso de os dados não serem
utilizados para tomar medidas ou decisões em relação a pessoas
determinadas, a lei pode restringir o direito de acesso nos
casos em que manifestamente não exista qualquer perigo de violação
dos direitos, liberdades e garantias do titular dos dados, designadamente
do direito à vida privada, e os referidos dados forem exclusivamente
utilizados para fins de investigação científica ou conservados
sob forma de dados pessoais durante um período que não exceda
o necessário à finalidade exclusiva de elaborar estatísticas.
Artigo 12.º
Direito de oposição do titular dos dados
O titular dos dados tem o direito
de:
a) Salvo disposição legal em contrário,
e pelo menos nos casos referidos nas alíneas d) e e) do artigo
6.º, se opor em qualquer altura, por razões ponderosas e legítimas
relacionadas com a sua situação particular, a que os dados que
lhe digam respeito sejam objecto de tratamento, devendo, em
caso de oposição justificada, o tratamento efectuado pelo responsável
deixar de poder incidir sobre esses dados;
b) Se opor, a seu pedido e gratuitamente,
ao tratamento dos dados pessoais que lhe digam respeito previsto
pelo responsável pelo tratamento para efeitos de marketing directo
ou qualquer outra forma de prospecção, ou de ser informado,
antes de os dados pessoais serem comunicados pela primeira vez
a terceiros para fins de marketing directo ou utilizados por
conta de terceiros, e de lhe ser expressamente facultado o direito
de se opor, sem despesas, a tais comunicações ou utilizações.
Artigo 13.º
Decisões individuais automatizadas
1 - Qualquer pessoa tem o direito
de não ficar sujeita a uma decisão que produza efeitos na sua
esfera jurídica ou que a afecte de modo significativo, tomada
exclusivamente com base num tratamento automatizado de dados
destinado a avaliar determinados aspectos da sua personalidade,
designadamente a sua capacidade profissional, o seu crédito,
a confiança de que é merecedora ou o seu comportamento.
2 - Sem prejuízo do cumprimento
das restantes disposições da presente lei, uma pessoa pode ficar
sujeita a uma decisão tomada nos termos do n.º 1, desde que
tal ocorra no âmbito da celebração ou da execução de um contrato,
e sob condição de o seu pedido de celebração ou execução do
contrato ter sido satisfeito, ou de existirem medidas adequadas
que garantam a defesa dos seus interesses legítimos, designadamente
o seu direito de representação e expressão.
3 - Pode ainda ser permitida a
tomada de uma decisão nos termos do n.º 1 quando a CNPD o autorize,
definindo medidas de garantia da defesa dos interesses legítimos
do titular dos dados.
SECÇÃO III
Segurança e confidencialidade do tratamento
Artigo 14.º
Segurança do tratamento
1 - O responsável pelo tratamento
deve pôr em prática as medidas técnicas e organizativas adequadas
para proteger os dados pessoais contra a destruição, acidental
ou ilícita, a perda acidental, a alteração, a difusão ou o acesso
não autorizados, nomeadamente quando o tratamento implicar a
sua transmissão por rede, e contra qualquer outra forma de tratamento
ilícito; estas medidas devem assegurar, atendendo aos conhecimentos
técnicos disponíveis e aos custos resultantes da sua aplicação,
um nível de segurança adequado em relação aos riscos que o tratamento
apresenta e à natureza dos dados a proteger.
2 - O responsável pelo tratamento,
em caso de tratamento por sua conta, deverá escolher um subcontratante
que ofereça garantias suficientes em relação às medidas de segurança
técnica e de organização do tratamento a efectuar, e deverá
zelar pelo cumprimento dessas medidas.
3 - A realização de operações de
tratamento em subcontratação deve ser regida por um contrato
ou acto jurídico que vincule o subcontratante ao responsável
pelo tratamento e que estipule, designadamente, que o subcontratante
apenas actua mediante instruções do responsável pelo tratamento
e que lhe incumbe igualmente o cumprimento das obrigações referidas
no n.º 1.
4 - Os elementos de prova da declaração
negocial, do contrato ou do acto jurídico relativos à protecção
dos dados, bem como as exigências relativas às medidas referidas
no n.º 1, são consignados por escrito em documento em suporte
com valor probatório legalmente reconhecido.
Artigo 15.º
Medidas especiais de segurança
1 - Os responsáveis pelo tratamento
dos dados referidos no n.º 2 do artigo 7.º e no n.º 1 do artigo
8.º devem tomar as medidas adequadas para:
a) Impedir o acesso de pessoa não
autorizada às instalações utilizadas para o tratamento desses
dados (controlo da entrada nas instalações);
b) Impedir que suportes de dados
possam ser lidos, copiados, alterados ou retirados por pessoa
não autorizada (controlo dos suportes de dados);
c) Impedir a introdução não autorizada,
bem como a tomada de conhecimento, a alteração ou a eliminação
não autorizadas de dados pessoais inseridos (controlo da inserção);
d) Impedir que sistemas de tratamento
automatizados de dados possam ser utilizados por pessoas não
autorizadas através de instalações de transmissão de dados (controlo
da utilização);
e) Garantir que as pessoas autorizadas
só possam ter acesso aos dados abrangidos pela autorização (controlo
de acesso);
f) Garantir a verificação das entidades
a quem possam ser transmitidos os dados pessoais através das
instalações de transmissão de dados (controlo da transmissão);
g) Garantir que possa verificar-se
a posteriori, em prazo adequado à natureza do tratamento, a
fixar na regulamentação aplicável a cada sector, quais os dados
pessoais introduzidos quando e por quem (controlo da introdução);
h) Impedir que, na transmissão
de dados pessoais, bem como no transporte do seu suporte, os
dados possam ser lidos, copiados, alterados ou eliminados de
forma não autorizada (controlo do transporte).
2 - Tendo em conta a natureza das
entidades responsáveis pelo tratamento e o tipo das instalações
em que é efectuado, a CNPD pode dispensar a existência de certas
medidas de segurança, garantido que se mostre o respeito pelos
direitos, liberdades e garantias dos titulares dos dados.
3 - Os sistemas devem garantir
a separação lógica entre os dados referentes à saúde e à vida
sexual, incluindo os genéticos, dos restantes dados pessoais.
4 - A CNPD pode determinar que,
nos casos em que a circulação em rede de dados pessoais referidos
nos artigos 7.º e 8.º possa pôr em risco direitos, liberdades
e garantias dos respectivos titulares, a transmissão seja cifrada.
Artigo 16.º
Tratamento por subcontratante
Qualquer pessoa que, agindo sob
a autoridade do responsável pelo tratamento ou do subcontratante,
bem como o próprio subcontratante, tenha acesso a dados pessoais
não pode proceder ao seu tratamento sem instruções do responsável
pelo tratamento, salvo por força de obrigações legais.
Artigo 17.º
Sigilo profissional
l - Os responsáveis do tratamento
de dados pessoais, bem como as pessoas que, no exercício das
suas funções, tenham conhecimento dos dados pessoais tratados,
ficam obrigados a sigilo profissional, mesmo após o termo das
suas funções.
2 - Igual obrigação recai sobre
os membros da CNPD, mesmo após o termo do mandato.
3 - O disposto nos números anteriores
não exclui o dever do fornecimento das informações obrigatórias,
nos termos legais, excepto quando constem de ficheiros organizados
para fins estatísticos.
4 - Os funcionários, agentes ou
técnicos que exerçam funções de assessoria à CNPD ou aos seus
vogais estão sujeitos à mesma obrigação de sigilo profissional.
CAPÍTULO III
Transferência de dados pessoais
SECÇÃO I
Transferência de dados pessoais na União Europeia
Artigo 18.º
Princípio
É livre a circulação de dados pessoais
entre Estados membros da União Europeia, sem prejuízo do disposto
nos actos comunitários de natureza fiscal e aduaneira.
SECÇÃO II
Transferência de dados pessoais para fora da União Europeia
Artigo 19.º
Princípios
1 - Sem prejuízo do disposto no
artigo seguinte, a transferência, para um Estado que não pertença
à União Europeia, de dados pessoais que sejam objecto de tratamento
ou que se destinem a sê-lo só pode realizar-se com o respeito
das disposições da presente lei e se o Estado para onde são
transferidos assegurar um nível de protecção adequado.
2 - A adequação do nível de protecção
num Estado que não pertença à União Europeia é apreciada em
função de todas as circunstâncias que rodeiem a transferência
ou o conjunto de transferências de dados; em especial, devem
ser tidas em consideração a natureza dos dados, a finalidade
e a duração do tratamento ou tratamentos projectados, os países
de origem e de destino final, as regras de direito, gerais ou
sectoriais, em vigor no Estado em causa, bem como as regras
profissionais e as medidas de segurança que são respeitadas
nesse Estado.
3 - Cabe à CNPD decidir se um Estado
que não pertença à União Europeia assegura um nível de protecção
adequado.
4 - A CNPD comunica, através do
Ministério dos Negócios Estrangeiros, à Comissão Europeia os
casos em que tenha considerado que um Estado não assegura um
nível de protecção adequado.
5 - Não é permitida a transferência
de dados pessoais de natureza idêntica aos que a Comissão Europeia
tiver considerado que não gozam de protecção adequada no Estado
a que se destinam.
Artigo 20.º
Derrogações
1 - A transferência de dados pessoais
para um Estado que não assegure um nível de protecção adequado
na acepção do n.º 2 do artigo 19.º pode ser permitida pela CNPD
se o titular dos dados tiver dado de forma inequívoca o seu
consentimento à transferência ou se essa transferência:
a) For necessária para a execução
de um contrato entre o titular dos dados e o responsável pelo
tratamento ou de diligências prévias à formação do contrato
decididas a pedido do titular dos dados;
b) For necessária para a execução
ou celebração de um contrato celebrado ou a celebrar, no interesse
do titular dos dados, entre o responsável pelo tratamento e
um terceiro; ou
c) For necessária ou legalmente
exigida para a protecção de um interesse público importante,
ou para a declaração, o exercício ou a defesa de um direito
num processo judicial; ou
d) For necessária para proteger
os interesses vitais do titular dos dados; ou
e) For realizada a partir de um
registo público que, nos termos de disposições legislativas
ou regulamentares, se destine à informação do público e se encontre
aberto à consulta do público em geral ou de qualquer pessoa
que possa provar um interesse legítimo, desde que as condições
estabelecidas na lei para a consulta sejam cumpridas no caso
concreto.
2 - Sem prejuízo do disposto no
n.º 1, a CNPD pode autorizar uma transferência ou um conjunto
de transferências de dados pessoais para um Estado que não assegure
um nível de protecção adequado na acepção do n.º 2 do artigo
19.º desde que o responsável pelo tratamento assegure mecanismos
suficientes de garantia de protecção da vida privada e dos direitos
e liberdades fundamentais das pessoas, bem como do seu exercício,
designadamente, mediante cláusulas contratuais adequadas.
3 - A CNPD informa a Comissão Europeia,
através do Ministério dos Negócios Estrangeiros, bem como as
autoridades competentes dos restantes Estados da União Europeia,
das autorizações que conceder nos termos do n.º 2.
4 - A concessão ou derrogação das
autorizações previstas no n.º 2 efectua-se pela CNPD nos termos
de processo próprio e de acordo com as decisões da Comissão
Europeia.
5 - Sempre que existam cláusulas
contratuais tipo aprovadas pela Comissão Europeia, segundo procedimento
próprio, por oferecerem as garantias suficientes referidas no
n.º 2, a CNPD autoriza a transferência de dados pessoais que
se efectue ao abrigo de tais cláusulas. 6 - A transferência
de dados pessoais que constitua medida necessária à protecção
da segurança do Estado, da defesa, da segurança pública e da
prevenção, investigação e repressão das infracções penais é
regida por disposições legais específicas ou pelas convenções
e acordos internacionais em que Portugal é parte.
CAPÍTULO IV
Comissão Nacional de Protecção de Dados
SECÇÃO I
Natureza, atribuições e competências
Artigo 21.º
Natureza
1 - A CNPD é uma entidade administrativa
independente, com poderes de autoridade, que funciona junto
da Assembleia da República.
2 - A CNPD, independentemente do
direito nacional aplicável a cada tratamento de dados em concreto,
exerce as suas competências em todo o território nacional.
3 - A CNPD pode ser solicitada
a exercer os seus poderes por uma autoridade de controlo de
protecção de dados de outro Estado membro da União Europeia
ou do Conselho da Europa. 4 - A CNPD coopera com as autoridades
de controlo de protecção de dados de outros Estados na difusão
do direito e das regulamentações nacionais em matéria de protecção
de dados pessoais, bem como na defesa e no exercício dos direitos
de pessoas residentes no estrangeiro.
Artigo 22.º
Atribuições
1 - A CNPD é a autoridade nacional
que tem como atribuição controlar e fiscalizar o cumprimento
das disposições legais e regulamentares em matéria de protecção
de dados pessoais, em rigoroso respeito pelos direitos do homem
e pelas liberdades e garantias consagradas na Constituição e
na lei.
2 - A CNPD deve ser consultada
sobre quaisquer disposições legais, bem como sobre instrumentos
jurídicos em preparação em instituições comunitárias ou internacionais,
relativos ao tratamento de dados pessoais.
3 - A CNPD dispõe:
a) De poderes de investigação e
de inquérito, podendo aceder aos dados objecto de tratamento
e recolher todas as informações necessárias ao desempenho das
suas funções de controlo;
b) De poderes de autoridade, designadamente
o de ordenar o bloqueio, apagamento ou destruição dos dados,
bem como o de proibir, temporária ou definitivamente, o tratamento
de dados pessoais, ainda que incluídos em redes abertas de transmissão
de dados a partir de servidores situados em território português;
c) Do poder de emitir pareceres
prévios ao tratamento de dados pessoais, assegurando a sua publicitação.
4 - Em caso de reiterado não cumprimento
das disposições legais em matéria de dados pessoais, a CNPD
pode advertir ou censurar publicamente o responsável pelo tratamento,
bem como suscitar a questão, de acordo com as respectivas competências,
à Assembleia da República, ao Governo ou a outros órgãos ou
autoridades.
5 - A CNPD tem legitimidade para
intervir em processos judiciais no caso de violação das disposições
da presente lei e deve denunciar ao Ministério Público as infracções
penais de que tiver conhecimento, no exercício das suas funções
e por causa delas, bem como praticar os actos cautelares necessários
e urgentes para assegurar os meios de prova.
6 - A CNPD é representada em juízo
pelo Ministério Público e está isenta de custas nos processos
em que intervenha.
Artigo 23.º
Competências
1 - Compete em especial à CNPD:
a) Emitir parecer sobre disposições
legais, bem como sobre instrumentos jurídicos em preparação
em instituições comunitárias e internacionais, relativos ao
tratamento de dados pessoais;
b) Autorizar ou registar, consoante
os casos, os tratamentos de dados pessoais;
c) Autorizar excepcionalmente a
utilização de dados pessoais para finalidades não determinantes
da recolha, com respeito pelos princípios definidos no artigo
5.º;
d) Autorizar, nos casos previstos
no artigo 9.º, a interconexão de tratamentos automatizados de
dados pessoais;
e) Autorizar a transferência de
dados pessoais nos casos previstos no artigo 20.º;
f) Fixar o tempo da conservação
dos dados pessoais em função da finalidade, podendo emitir directivas
para determinados sectores de actividade;
g) Fazer assegurar o direito de
acesso à informação, bem como do exercício do direito de rectificação
e actualização;
h) Autorizar a fixação de custos
ou de periodicidade para o exercício do direito de acesso, bem
como fixar os prazos máximos de cumprimento, em cada sector
de actividade, das obrigações que, por força dos artigos 11.º
a 13.º, incumbem aos responsáveis pelo tratamento de dados pessoais;
i) Dar seguimento ao pedido efectuado
por qualquer pessoa, ou por associação que a represente, para
protecção dos seus direitos e liberdades no que diz respeito
ao tratamento de dados pessoais e informá-la do resultado;
j) Efectuar, a pedido de qualquer
pessoa, a verificação de licitude de um tratamento de dados,
sempre que esse tratamento esteja sujeito a restrições de acesso
ou de informação, e informá-la da realização da verificação;
k) Apreciar as reclamações, queixas
ou petições dos particulares;
l) Dispensar a execução de medidas
de segurança, nos termos previstos no n.º 2 do artigo 15.º,
podendo emitir directivas para determinados sectores de actividade;
m) Assegurar a representação junto
de instâncias comuns de controlo e em reuniões comunitárias
e internacionais de entidades independentes de controlo da protecção
de dados pessoais, bem como participar em reuniões internacionais
no âmbito das suas competências, designadamente exercer funções
de representação e fiscalização no âmbito dos sistemas Schengen
e Europol, nos termos das disposições aplicáveis;
n) Deliberar sobre a aplicação
de coimas;
o) Promover e apreciar códigos
de conduta;
p) Promover a divulgação e esclarecimento
dos direitos relativos à protecção de dados e dar publicidade
periódica à sua actividade, nomeadamente através da publicação
de um relatório anual;
q) Exercer outras competências
legalmente previstas.
2 - No exercício das suas competências
de emissão de directivas ou de apreciação de códigos de conduta,
a CNPD deve promover a audição das associações de defesa dos
interesses em causa.
3 - No exercício das suas funções,
a CNPD profere decisões com força obrigatória, passíveis de
reclamação e de recurso para o Tribunal Central Administrativo.
4 - A CNPD pode sugerir à Assembleia
da República as providências que entender úteis à prossecução
das suas atribuições e ao exercício das suas competências.
Artigo 24.º
Dever de colaboração
1 - As entidades públicas e privadas
devem prestar a sua colaboração à CNPD, facultando-lhe todas
as informações que por esta, no exercício das suas competências,
lhes forem solicitadas.
2 - O dever de colaboração é assegurado,
designadamente, quando a CNPD tiver necessidade, para o cabal
exercício das suas funções, de examinar o sistema informático
e os ficheiros de dados pessoais, bem como toda a documentação
relativa ao tratamento e transmissão de dados pessoais.
3 - A CNPD ou os seus vogais, bem
como os técnicos por ela mandatados, têm direito de acesso aos
sistemas informáticos que sirvam de suporte ao tratamento dos
dados, bem como à documentação referida no número anterior,
no âmbito das suas atribuições e competências.
SECÇÃO II
Composição e funcionamento
Artigo 25.º
Composição e mandato
1 - A CNPD é composta por sete
membros de integridade e mérito reconhecidos, dos quais o presidente
e dois dos vogais são eleitos pela Assembleia da República segundo
o método da média mais alta de Hondt.
2 - Os restantes vogais são:
a) Dois magistrados com mais de
10 anos de carreira, sendo um magistrado judicial, designado
pelo Conselho Superior da Magistratura, e um magistrado do Ministério
Público, designado pelo Conselho Superior do Ministério Público;
b) Duas personalidades de reconhecida
competência designadas pelo Governo.
3 - O mandato dos membros da CNPD
é de cinco anos e cessa com a posse dos novos membros.
4 - Os membros da CNPD constam
de lista publicada na 1.ª série do Diário da República. 5 -
Os membros da CNPD tomam posse perante o Presidente da Assembleia
da República nos 10 dias seguintes à publicação da lista referida
no número anterior.
Artigo 26.º
Funcionamento
1 - São aprovados por lei da Assembleia
da República:
a) A lei orgânica e o quadro de
pessoal da CNPD;
b) O regime de incompatibilidades,
de impedimentos, de suspeições e de perda de mandato, bem como
o estatuto remuneratório dos membros da CNPD.
2 - O estatuto dos membros da CNPD
garante a independência do exercício das suas funções.
3 - A Comissão dispõe de quadro
próprio para apoio técnico e administrativo, beneficiando os
seus funcionários e agentes do estatuto e regalias do pessoal
da Assembleia da República.
SECÇÃO III
Notificação
Artigo 27.º
Obrigação de notificação à CNPD
1 - O responsável pelo tratamento
ou, se for caso disso, o seu representante deve notificar a
CNPD antes da realização de um tratamento ou conjunto de tratamentos,
total ou parcialmente autorizados, destinados à prossecução
de uma ou mais finalidades interligadas.
2 - A CNPD pode autorizar a simplificação
ou a isenção da notificação para determinadas categorias de
tratamentos que, tendendo aos dados a tratar, não sejam susceptíveis
de pôr em causa os direitos e liberdades dos titulares dos dados
e tenham em conta critérios de celeridade, economia e eficiência.
3 - A autorização, que está sujeita
a publicação no Diário da República, deve especificar as finalidades
do tratamento, os dados ou categorias de dados a tratar, a categoria
ou categorias de titulares dos dados, os destinatários ou categorias
de destinatários a quem podem ser comunicados os dados e o período
de conservação dos dados.
4 - Estão isentos de notificação
os tratamentos cuja única finalidade seja a manutenção de registos
que, nos termos de disposições legislativas ou regulamentares,
se destinem a informação do público e possam ser consultados
pelo público em geral ou por qualquer pessoa que provar um interesse
legítimo.
5 - Os tratamentos não automatizados
dos dados pessoais previstos no n.º 1 do artigo 7.º estão sujeitos
a notificação quando tratados ao abrigo da alínea a) do n.º
3 do mesmo artigo.
Artigo 28.º
Controlo prévio
1 - Carecem de autorização da CNPD:
a) O tratamento dos dados pessoais
a que se referem o n.º 2 do artigo 7.º e o n.º 2 do artigo 8.º;
b) O tratamento dos dados pessoais
relativos ao crédito e à solvabilidade dos seus titulares;
c) A interconexão de dados pessoais
prevista no artigo 9.º;
d) A utilização de dados pessoais
para fins não determinantes da recolha. 2 - Os tratamentos a
que se refere o número anterior podem ser autorizados por diploma
legal, não carecendo neste caso de autorização da CNPD.
Artigo 29.º
Conteúdo dos pedidos de parecer ou de autorização e da notificação
Os pedidos de parecer ou de autorização,
bem como as notificações, remetidos à CNPD devem conter as seguintes
informações:
a) Nome e endereço do responsável
pelo tratamento e, se for o caso, do seu representante; b) As
finalidades do tratamento;
c) Descrição da ou das categorias
de titulares dos dados e dos dados ou categorias de dados pessoais
que lhes respeitem;
d) Destinatários ou categorias
de destinatários a quem os dados podem ser comunicados e em
que condições;
e) Entidade encarregada do processamento
da informação, se não for o próprio responsável do tratamento;
f) Eventuais interconexões de tratamentos
de dados pessoais;
g) Tempo de conservação dos dados
pessoais;
h) Forma e condições como os titulares
dos dados podem ter conhecimento ou fazer corrigir os dados
pessoais que lhes respeitem;
i) Transferências de dados previstas
para países terceiros;
j) Descrição geral que permita
avaliar de forma preliminar a adequação das medidas tomadas
para garantir a segurança do tratamento em aplicação dos artigos
14.º e 15.º
Artigo 30.º
Indicações obrigatórias
1 - Os diplomas legais referidos
no n.º 2 do artigo 7.º e no n.º 1 do artigo 8.º, bem como as
autorizações da CNPD e os registos de tratamentos de dados pessoais,
devem, pelo menos, indicar:
a) O responsável do ficheiro e,
se for caso disso, o seu representante;
b) As categorias de dados pessoais
tratados;
c) As finalidades a que se destinam
os dados e as categorias de entidades a quem podem ser transmitidos;
d) A forma de exercício do direito
de acesso e de rectificação;
e) Eventuais interconexões de tratamentos
de dados pessoais;
f) Transferências de dados previstas
para países terceiros.
2 - Qualquer alteração das indicações
constantes do n.º 1 está sujeita aos procedimentos previstos
nos artigos 27.º e 28.º
Artigo 31.º
Publicidade dos tratamentos
1 - O tratamento dos dados pessoais,
quando não for objecto de diploma legal e dever ser autorizado
ou notificado, consta de registo na CNPD, aberto à consulta
por qualquer pessoa.
2 - O registo contém as informações
enumeradas nas alíneas a) a d) e i) do artigo 29.º
3 - O responsável por tratamento
de dados não sujeito a notificação está obrigado a prestar,
de forma adequada, a qualquer pessoa que lho solicite, pelo
menos as informações referidas no n.º 1 do artigo 30.º
4 - O disposto no presente artigo
não se aplica a tratamentos cuja única finalidade seja a manutenção
de registos que, nos termos de disposições legislativas ou regulamentares,
se destinem à informação do público e se encontrem abertos à
consulta do público em geral ou de qualquer pessoa que possa
provar um interesse legítimo.
5 - A CNPD deve publicar no seu
relatório anual todos os pareceres e autorizações elaborados
ou concedidas ao abrigo da presente lei, designadamente as autorizações
previstas no n.º 2 do artigo 7.º e no n.º 2 do artigo 9.º
CAPÍTULO V
Códigos de conduta
Artigo 32.º
Códigos de conduta
1 - A CNPD apoia a elaboração de
códigos de conduta destinados a contribuir, em função das características
dos diferentes sectores, para a boa execução das disposições
da presente lei.
2 - As associações profissionais
e outras organizações representativas de categorias de responsáveis
pelo tratamento de dados que tenham elaborado projectos de códigos
de conduta podem submetê-los à apreciação da CNPD.
3 - A CNPD pode declarar a conformidade
dos projectos com as disposições legais e regulamentares vigentes
em matéria de protecção de dados pessoais.
CAPÍTULO VI
Tutela administrativa e jurisdicional
SECÇÃO I
Tutela administrativa e jurisdicional
Artigo 33.º
Tutela administrativa e jurisdicional
Sem prejuízo do direito de apresentação
de queixa à CNPD, qualquer pessoa pode, nos termos da lei, recorrer
a meios administrativos ou jurisdicionais para garantir o cumprimento
das disposições legais em matéria de protecção de dados pessoais.
Artigo 34.º
Responsabilidade civil
1 - Qualquer pessoa que tiver sofrido
um prejuízo devido ao tratamento ilícito de dados ou a qualquer
outro acto que viole disposições legais em matéria de protecção
de dados pessoais tem o direito de obter do responsável a reparação
pelo prejuízo sofrido.
2 - O responsável pelo tratamento
pode ser parcial ou totalmente exonerado desta responsabilidade
se provar que o facto que causou o dano lhe não é imputável.
SECÇÃO II
Contra-ordenações
Artigo 35.º
Legislação subsidiária
Às infracções previstas na presente
secção é subsidiariamente aplicável o regime geral das contra-ordenações,
com as adaptações constantes dos artigos seguintes.
Artigo 36.º
Cumprimento do dever omitido
Sempre que a contra-ordenação resulte
de omissão de um dever, a aplicação da sanção e o pagamento
da coima não dispensam o infractor do seu cumprimento, se este
ainda for possível.
Artigo 37.º
Omissão ou defeituoso cumprimento de obrigações
1 - As entidades que, por negligência,
não cumpram a obrigação de notificação à CNPD do tratamento
de dados pessoais a que se referem os n.os 1 e 5 do artigo 27.º,
prestem falsas informações ou cumpram a obrigação de notificação
com inobservância dos termos previstos no artigo 29.º, ou ainda
quando, depois de notificadas pela CNPD, mantiverem o acesso
às redes abertas de transmissão de dados a responsáveis por
tratamento de dados pessoais que não cumpram as disposições
da presente lei, praticam contra-ordenação punível com as seguintes
coimas:
a) Tratando-se de pessoa singular,
no mínimo de 50 000$00 e no máximo de 500 000$00; b) Tratando-se
de pessoa colectiva ou de entidade sem personalidade jurídica,
no mínimo de 300 000$00 e no máximo de 3 000 000$00.
2 - A coima é agravada para o dobro
dos seus limites quando se trate de dados sujeitos a controlo
prévio, nos termos do artigo 28.º
Artigo 38.º
Contra-ordenações
1 - Praticam contra-ordenação punível
com a coima mínima de 100 000$00 e máxima de 1 000 000$00, as
entidades que não cumprirem alguma das seguintes disposições
da presente lei:
a) Designar representante nos termos
previstos no n.º 5 do artigo 4.º;
b) Observar as obrigações estabelecidas
nos artigos 5.º, 10.º, 11.º, 12.º, 13.º, 15.º, 16.º e 31.º,
n.º 3.
2 - A pena é agravada para o dobro
dos seus limites quando não forem cumpridas as obrigações constantes
dos artigos 6.º, 7.º, 8.º, 9.º, 19.º e 20.º
Artigo 39.º
Concurso de infracções
1 - Se o mesmo facto constituir,
simultaneamente, crime e contra-ordenação, o agente é punido
sempre a título de crime.
2 - As sanções aplicadas às contra-ordenações
em concurso são sempre cumuladas materialmente.
Artigo 40.º
Punição de negligência e da tentativa
1 - A negligência é sempre punida
nas contra-ordenações previstas no artigo 38.º
2 - A tentativa é sempre punível
nas contra-ordenações previstas nos artigos 37.º e 38.º
Artigo 41.º
Aplicação das coimas
1 - A aplicação das coimas previstas
na presente lei compete ao presidente da CNPD, sob prévia deliberação
da Comissão.
2 - A deliberação da CNPD, depois
de homologada pelo presidente, constitui título executivo, no
caso de não ser impugnada no prazo legal.
Artigo 42.º
Destino das receitas cobradas
O montante das importâncias cobradas,
em resultado da aplicação das coimas, reverte, em partes iguais,
para o Estado e para a CNPD.
SECÇÃO III
Crimes
Artigo 43.º
Não cumprimento de obrigações relativas a protecção de dados
1 - É punido com prisão até um
ano ou multa até 120 dias quem intencionalmente:
a) Omitir a notificação ou o pedido
de autorização a que se referem os artigos 27.º e 28.º;
b) Fornecer falsas informações
na notificação ou nos pedidos de autorização para o tratamento
de dados pessoais ou neste proceder a modificações não consentidas
pelo instrumento de legalização;
c) Desviar ou utilizar dados pessoais,
de forma incompatível com a finalidade determinante da recolha
ou com o instrumento de legalização;
d) Promover ou efectuar uma interconexão
ilegal de dados pessoais;
e) Depois de ultrapassado o prazo
que lhes tiver sido fixado pela CNPD para cumprimento das obrigações
previstas na presente lei ou em outra legislação de protecção
de dados, as não cumprir;
f) Depois de notificado pela CNPD
para o não fazer, mantiver o acesso a redes abertas de transmissão
de dados a responsáveis pelo tratamento de dados pessoais que
não cumpram as disposições da presente lei.
2 - A pena é agravada para o dobro
dos seus limites quando se tratar de dados pessoais a que se
referem os artigos 7.º e 8.º
Artigo 44.º
Acesso indevido
1 - Quem, sem a devida autorização,
por qualquer modo, aceder a dados pessoais cujo acesso lhe está
vedado é punido com prisão até um ano ou multa até 120 dias.
2 - A pena é agravada para o dobro
dos seus limites quando o acesso:
a) For conseguido através de violação
de regras técnicas de segurança;
b) Tiver possibilitado ao agente
ou a terceiros o conhecimento de dados pessoais;
c) Tiver proporcionado ao agente
ou a terceiros benefício ou vantagem patrimonial.
3 - No caso do n.º 1 o procedimento
criminal depende de queixa.
Artigo 45.º
Viciação ou destruição de dados pessoais
1 - Quem, sem a devida autorização,
apagar, destruir, danificar, suprimir ou modificar dados pessoais,
tornando-os inutilizáveis ou afectando a sua capacidade de uso,
é punido com prisão até dois anos ou multa até 240 dias.
2 - A pena é agravada para o dobro
nos seus limites se o dano produzido for particularmente grave.
3 - Se o agente actuar com negligência,
a pena é, em ambos os casos, de prisão até um ano ou multa até
120 dias.
Artigo 46.º
Desobediência qualificada
1 - Quem, depois de notificado
para o efeito, não interromper, cessar ou bloquear o tratamento
de dados pessoais é punido com a pena correspondente ao crime
de desobediência qualificada.
2 - Na mesma pena incorre quem,
depois de notificado:
a) Recusar, sem justa causa, a
colaboração que concretamente lhe for exigida nos termos do
artigo 24.º;
b) Não proceder ao apagamento,
destruição total ou parcial de dados pessoais;
c) Não proceder à destruição de
dados pessoais, findo o prazo de conservação previsto no artigo
5.º
Artigo 47.º
Violação do dever de sigilo
1 - Quem, obrigado a sigilo profissional,
nos termos da lei, sem justa causa e sem o devido consentimento,
revelar ou divulgar no todo ou em parte dados pessoais é punido
com prisão até dois anos ou multa até 240 dias.
2 - A pena é agravada de metade
dos seus limites se o agente:
a) For funcionário público ou equiparado,
nos termos da lei penal;
b) For determinado pela intenção
de obter qualquer vantagem patrimonial ou outro benefício ilegítimo;
c) Puser em perigo a reputação,
a honra e consideração ou a intimidade da vida privada de outrem.
3 - A negligência é punível com
prisão até seis meses ou multa até 120 dias.
4 - Fora dos casos previstos no
n.º 2, o procedimento criminal depende de queixa.
Artigo 48.º
Punição da tentativa
Nos crimes previstos nas disposições
anteriores, a tentativa é sempre punível.
Artigo 49.º
Pena acessória
1 - Conjuntamente com as coimas
e penas aplicadas pode, acessoriamente, ser ordenada:
a) A proibição temporária ou definitiva
do tratamento, o bloqueio, o apagamento ou a destruição total
ou parcial dos dados;
b) A publicidade da sentença condenatória;
c) A advertência ou censura públicas
do responsável pelo tratamento, nos termos do n.º 4 do artigo
22.º
2 - A publicidade da decisão condenatória
faz-se a expensas do condenado, na publicação periódica de maior
expansão editada na área da comarca da prática da infracção
ou, na sua falta, em publicação periódica da comarca mais próxima,
bem como através da afixação de edital em suporte adequado,
por período não inferior a 30 dias.
3 - A publicação é feita por extracto
de que constem os elementos da infracção e as sanções aplicadas,
bem como a identificação do agente.
CAPÍTULO VII
Disposições finais
Artigo 50.º
Disposição transitória
1 - Os tratamentos de dados existentes
em ficheiros manuais à data da entrada em vigor da presente
lei devem cumprir o disposto nos artigos 7.º, 8.º, 10.º e 11.º
no prazo de cinco anos.
2 - Em qualquer caso, o titular
dos dados pode obter, a seu pedido e, nomeadamente, aquando
do exercício do direito de acesso, a rectificação, o apagamento
ou o bloqueio dos dados incompletos, inexactos ou conservados
de modo incompatível com os fins legítimos prosseguidos pelo
responsável pelo tratamento.
3 - A CNPD pode autorizar que os
dados existentes em ficheiros manuais e conservados unicamente
com finalidades de investigação histórica não tenham que cumprir
os artigos 7.º, 8.º e 9.º, desde que não sejam em nenhum caso
reutilizados para finalidade diferente.
Artigo 51.º
Disposição revogatória
São revogadas as Leis n.os 10/91,
de 29 de Abril, e 28/94, de 29 de Agosto.
Artigo 52.º
Entrada em vigor
A presente lei entra em vigor no
dia seguinte ao da sua publicação. Aprovada em 24 de Setembro
de 1998. O Presidente da Assembleia da República, António
de Almeida Santos. Promulgada em 7 de Outubro de 1998. Publique-se.
O Presidente da República, JORGE SAMPAIO. Referendada
em 14 de Outubro de 1998. O Primeiro-Ministro, António Manuel
de Oliveira Guterres.
|