|
Lei n.º 32/2008, de 17 de Julho CONSERVAÇÃO DE DADOS GERADOS OU TRATADOS NO CONTEXTO OFERTA DE SERVIÇOS DE COMUNICAÇÕES ELECTRÓNICAS(versão actualizada) |
|
|
Contém as seguintes alterações: |
Ver versões do diploma:
|
|
|
|
|
| SUMÁRIO Transpõe para a ordem jurídica interna a Directiva n.º 2006/24/CE, do Parlamento Europeu e do Conselho, de 15 de Março, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações electrónicas publicamente disponíveis ou de redes públicas de comunicações _____________________ |
|
Artigo 7.º
Proteção e segurança dos dados |
1 - As entidades referidas no n.º 1 do artigo 4.º devem:
a) Conservar os dados referentes às categorias previstas no artigo 4.º por forma a que possam ser transmitidos imediatamente, mediante despacho fundamentado do juiz, às autoridades competentes;
b) Garantir que os dados conservados sejam da mesma qualidade e estejam sujeitos a um nível de proteção e segurança nunca inferior aos dados na rede;
c) Tomar as medidas técnicas e organizativas adequadas à proteção dos dados previstos no artigo 4.º contra a destruição acidental ou ilícita, a perda ou a alteração acidental e o armazenamento, tratamento, acesso ou divulgação não autorizado ou ilícito;
d) Tomar as medidas técnicas e organizativas adequadas para garantir que apenas pessoas especialmente autorizadas tenham acesso aos dados referentes às categorias previstas no artigo 4.º;
e) Destruir os dados no final do período de conservação, exceto os dados que tenham sido preservados por ordem do juiz;
f) Destruir os dados que tenham sido preservados, quando tal lhe seja determinado por ordem do juiz.
2 - Os dados referentes às categorias previstas no artigo 4.º, com exceção dos dados relativos ao nome e endereço dos assinantes, devem permanecer bloqueados desde o início da sua conservação, só sendo alvo de desbloqueio para efeitos de transmissão, nos termos da presente lei, às autoridades competentes.
3 - A transmissão dos dados referentes às categorias previstas no artigo 4.º processa-se mediante comunicação eletrónica, nos termos das condições técnicas e de segurança fixadas em portaria conjunta dos membros do Governo responsáveis pelas áreas da administração interna, da justiça e das comunicações, que devem observar um grau de codificação e proteção o mais elevado possível, de acordo com o estado da técnica ao momento da transmissão, incluindo métodos de codificação, encriptação ou outros adequados.
4 - As medidas técnicas e organizativas adequadas para assegurar um nível de segurança são aplicadas tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares.
5 - Na avaliação do nível de segurança adequado devem ser considerados, designadamente, os riscos apresentados pelo tratamento, em particular devido à destruição, perda e alteração acidentais ou ilícitas e à divulgação ou ao acesso não autorizados, de dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
6 - O disposto nos números anteriores não prejudica a observação dos princípios nem o cumprimento das regras relativos à qualidade e à salvaguarda da confidencialidade e da segurança dos dados, previstos no Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, e nas Leis n.os 41/2004, de 18 de agosto, 46/2018, de 13 de agosto, que estabelece o regime jurídico da segurança do ciberespaço, transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União, e 58/2019, de 8 de agosto, e respetiva regulamentação.
7 - A autoridade pública competente para o controlo da aplicação do disposto no presente artigo é a Comissão Nacional de Proteção de Dados (CNPD). |
Contém as alterações dos seguintes diplomas:
- Lei n.º 18/2024, de 05/02
|
Consultar versões anteriores deste artigo:
-1ª versão: Lei n.º 32/2008, de 17/07
|
|
|
|
Artigo 8.º
Registo de pessoas especialmente autorizadas |
1 - A CNPD deve manter um registo electrónico permanentemente actualizado das pessoas especialmente autorizadas a aceder aos dados, nos termos da alínea d) do n.º 1 do artigo anterior.
2 - Para os efeitos previstos no número anterior, os fornecedores de serviços de comunicações electrónicas ou de uma rede pública de comunicações devem remeter à CNPD, por via exclusivamente electrónica, os dados necessários à identificação das pessoas especialmente autorizadas a aceder aos dados. |
| |
|
|
|
|
Artigo 9.º
Transmissão dos dados |
1 - A transmissão dos dados referentes às categorias previstas no artigo 4.º só pode ser autorizada, por despacho fundamentado do juiz de instrução, se houver razões para crer que a diligência é indispensável para a descoberta da verdade ou que a prova seria, de outra forma, impossível ou muito difícil de obter no âmbito da investigação, deteção e repressão de crimes graves.
2 - A autorização prevista no número anterior só pode ser requerida pelo Ministério Público.
3 - Só pode ser autorizada a transmissão de dados relativos:
a) Ao suspeito ou arguido;
b) A pessoa que sirva de intermediário, relativamente à qual haja fundadas razões para crer que recebe ou transmite mensagens destinadas ou provenientes de suspeito ou arguido; ou
c) A vítima de crime, mediante o respetivo consentimento, efetivo ou presumido.
4 - A decisão judicial de transmitir os dados deve respeitar os princípios da adequação, necessidade e proporcionalidade, designadamente no que se refere à definição das categorias de dados a transmitir e das autoridades competentes com acesso aos dados e à proteção do segredo profissional, nos termos legalmente previstos.
5 - O disposto nos números anteriores não prejudica a obtenção de dados sobre a localização celular necessários para afastar perigo para a vida ou de ofensa à integridade física grave, nos termos do artigo 252.º-A do Código de Processo Penal.
6 - As entidades referidas no n.º 1 do artigo 4.º devem elaborar registos da extração dos dados transmitidos às autoridades competentes e enviá-los trimestralmente à CNPD.
7 - Sem prejuízo do disposto no número seguinte, o despacho que autoriza a transmissão dos dados referentes às categorias previstas no n.º 1 do artigo 4.º é notificado ao titular dos dados no prazo máximo de 10 dias a contar da sua prolação.
8 - Se, em inquérito, o Ministério Público considerar que a notificação referida no número anterior comporta risco de pôr em causa a investigação, dificultar a descoberta da verdade ou criar perigo para a vida, para a integridade física ou psíquica ou para a liberdade dos participantes processuais, das vítimas do crime ou de outras pessoas devidamente identificadas, pode solicitar ao juiz de instrução criminal que protele a notificação, a qual é realizada logo que a razão do protelamento deixar de existir ou, o mais tardar, no prazo máximo de 10 dias a contar da data em que for proferido despacho de encerramento desta fase processual.
9 - A transmissão dos dados referentes às categorias previstas no n.º 1 do artigo 4.º a autoridades de outros Estados só pode ocorrer no âmbito da cooperação judiciária internacional em matéria penal, de acordo com as regras fixadas na respetiva lei e desde que esses Estados garantam o mesmo nível de proteção de dados pessoais vigente no território da União Europeia. |
Contém as alterações dos seguintes diplomas:
- Lei n.º 18/2024, de 05/02
|
Consultar versões anteriores deste artigo:
-1ª versão: Lei n.º 32/2008, de 17/07
|
|
|
|
Artigo 10.º
Condições técnicas da transmissão dos dados |
| A transmissão dos dados referentes às categorias previstas no artigo 4.º processa-se mediante comunicação electrónica, nos termos das condições técnicas e de segurança previstas no n.º 3 do artigo 7.º |
| |
|
|
|
|
Artigo 11.º
Destruição dos dados |
1 - O juiz determina, oficiosamente ou a requerimento de qualquer interessado, a destruição dos dados na posse das autoridades competentes, bem como dos dados preservados pelas entidades referidas no n.º 1 do artigo 4.º, logo que os mesmos deixem de ser estritamente necessários para os fins a que se destinam.
2 - Considera-se que os dados deixam de ser estritamente necessários para o fim a que se destinam logo que ocorra uma das seguintes circunstâncias:
a) Arquivamento definitivo do processo penal;
b) Absolvição, transitada em julgado;
c) Condenação, transitada em julgado;
d) Prescrição do procedimento penal;
e) Amnistia. |
| |
|
|
|
|
Artigo 12.º
Contra-ordenações |
1 - Sem prejuízo da responsabilidade criminal a que haja lugar nos termos da lei, constitui contra-ordenação:
a) A não conservação das categorias dos dados previstas no artigo 4.º;
b) O incumprimento do prazo de conservação previsto no artigo 6.º;
c) A não transmissão dos dados às autoridades competentes, quando autorizada nos termos do disposto no artigo 9.º;
d) O não envio dos dados necessários à identificação das pessoas especialmente autorizadas, nos termos do n.º 2 do artigo 8.º
2 - As contra-ordenações previstas no número anterior são puníveis com coimas de (euro) 1500 a (euro) 50 000 ou de (euro) 5000 a (euro) 10 000 000 consoante o agente seja uma pessoa singular ou colectiva.
3 - A tentativa e a negligência são puníveis. |
| |
|
|
|
|
1 - Constituem crime, punido com pena de prisão até dois anos ou multa até 240 dias:
a) O incumprimento de qualquer das regras relativas à protecção e à segurança dos dados previstas no artigo 7.º;
b) O não bloqueio dos dados, nos termos previstos no n.º 2 do artigo 7.º;
c) O acesso aos dados por pessoa não especialmente autorizada nos termos do n.º 1 do artigo 8.º
2 - A pena é agravada para o dobro dos seus limites quando o crime:
a) For cometido através de violação de regras técnicas de segurança;
b) Tiver possibilitado ao agente ou a terceiros o conhecimento de dados pessoais; ou
c) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial.
3 - A tentativa e a negligência são puníveis. |
| |
|
|
|
|
Artigo 14.º
Processos de contra-ordenação e aplicação das coimas |
1 - Compete à CNPD a instrução dos processos de contra-ordenação e a respectiva aplicação de coimas relativas às condutas previstas no artigo anterior.
2 - O montante das importâncias cobradas em resultado da aplicação das coimas é distribuído da seguinte forma:
a) 60 % para o Estado;
b) 40 % para a CNPD. |
| |
|
|
|
|
Artigo 15.º
Aplicabilidade dos regimes sancionatórios previstos nas Leis n.os 58/2019, de 8 de agosto, e 41/2004, de 18 de agosto |
| O disposto nos artigos 12.º a 14.º não prejudica a aplicação do regime sancionatório estabelecido na Lei n.º 58/2019, de 8 de agosto, aplicável por incumprimento das obrigações previstas no Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, bem como do disposto no capítulo iii da Lei n.º 41/2004, de 18 de agosto. |
Contém as alterações dos seguintes diplomas:
- Lei n.º 18/2024, de 05/02
|
Consultar versões anteriores deste artigo:
-1ª versão: Lei n.º 32/2008, de 17/07
|
|
|
|
1 - A CNPD transmite anualmente à Comissão Europeia as estatísticas sobre a conservação dos dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de uma rede pública de comunicações.
2 - Tendo em vista o cumprimento do disposto no número anterior, as entidades referidas no n.º 1 do artigo 4.º devem, até 1 de março de cada ano, remeter à CNPD as seguintes informações, relativas ao ano civil anterior:
a) O número de casos em que foram transmitidos dados às autoridades competentes;
b) O período de tempo decorrido entre a data a partir da qual os dados foram conservados e a data em que as autoridades competentes solicitaram a sua transmissão; e
c) O número de casos em que as solicitações das autoridades competentes não puderam ser satisfeitas.
3 - As informações previstas no número anterior não podem conter quaisquer dados pessoais. |
Contém as alterações dos seguintes diplomas:
- Lei n.º 18/2024, de 05/02
|
Consultar versões anteriores deste artigo:
-1ª versão: Lei n.º 32/2008, de 17/07
|
|
|
|
1 - No final de cada biénio, a CNPD, em colaboração com a Autoridade Nacional de Comunicações, procede à avaliação de todos os procedimentos previstos na presente lei e elabora um relatório detalhado sobre a sua aplicação, que deve destacar os aspetos que carecem de aperfeiçoamento e incluir recomendações para superar constrangimentos detetados.
2 - O relatório previsto no número anterior deve ser remetido à Assembleia da República e ao Governo até 30 de junho do ano seguinte ao termo do período a que respeita. |
Contém as alterações dos seguintes diplomas:
- Lei n.º 18/2024, de 05/02
|
Consultar versões anteriores deste artigo:
-1ª versão: Lei n.º 32/2008, de 17/07
|
|
|
|
|