|
Lei n.º 59/2019, de 08 de Agosto DADOS PESSOAIS PARA PREVENÇÃO, DETEÇÃO, INVESTIGAÇÃO OU REPRESSÃO DE INFRAÇÕES PENAIS(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, transpondo a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 _____________________ |
|
Artigo 2.º
Âmbito de aplicação |
1 - A presente lei é aplicável ao tratamento de dados pessoais para os efeitos previstos no artigo anterior, nos termos da lei processual penal e demais legislação aplicável.
2 - A presente lei aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento de dados pessoais contidos num ficheiro ou a ele destinados por meios não automatizados.
3 - A presente lei não se aplica ao tratamento de dados pessoais relacionados com a segurança nacional.
4 - O intercâmbio de dados pessoais entre autoridades competentes na União Europeia, quando legalmente exigido, não é limitado nem proibido por razões relacionadas com a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais. |
| |
|
|
|
|
1 - Para os efeitos do disposto na presente lei, entende-se por:
a) «Estado-Membro», Estado-Membro da União Europeia;
b) «País terceiro», Estado que não integra a União Europeia;
c) «Dados pessoais», informações relativas a uma pessoa singular identificada ou identificável («titular dos dados»);
d) «Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, por difusão ou por qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;
e) «Limitação do tratamento», a inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro;
f) «Definição de perfis», qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, a sua saúde, as suas preferências pessoais, os seus interesses, a sua fiabilidade, o seu comportamento, a sua localização ou as suas deslocações;
g) «Pseudonimização», o tratamento de dados pessoais para que deixem de poder ser atribuídos a um titular de dados específico sem recurso a informações suplementares, desde que estas sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável;
h) «Ficheiro», um conjunto estruturado de dados pessoais acessíveis segundo critérios específicos, centralizado, descentralizado ou repartido de modo funcional ou geográfico;
i) «Autoridade competente», uma autoridade pública responsável pela prevenção, investigação, deteção ou repressão de infrações penais ou de execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública, ou qualquer outro organismo ou entidade que exerça, nos termos da lei, a autoridade pública e os poderes públicos para os referidos efeitos;
j) «Responsável pelo tratamento», a entidade competente que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento dos dados pessoais, ou, no caso em que estes são determinados por lei, a autoridade nela indicada;
k) «Subcontratante», a pessoa singular ou coletiva, a autoridade pública, o serviço ou outro organismo que trata dados pessoais por conta do responsável pelo tratamento;
l) «Destinatário», a pessoa singular ou coletiva, a autoridade pública, o serviço ou outro organismo que recebe comunicações de dados pessoais, independentemente de ser ou não um terceiro, com exceção das autoridades públicas que recebem dados pessoais no âmbito de inquéritos específicos nos termos da lei, as quais, não sendo destinatários, observam as regras de proteção de dados pessoais, em função das finalidades do tratamento;
m) «Violação de dados pessoais», uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação não autorizada de dados pessoais transmitidos, conservados ou tratados de outro modo, ou o acesso não autorizado a esses dados;
n) «Dados genéticos», dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular, que forneçam informações únicas sobre a sua fisiologia ou sobre a sua saúde que resultem, designadamente, da análise de uma amostra biológica da pessoa singular em causa;
o) «Dados biométricos», dados pessoais resultantes de um tratamento técnico específico, relativos às características físicas, fisiológicas ou comportamentais de uma pessoa singular, que permitam ou confirmem a sua identificação única, tais como imagens faciais ou dados dactiloscópicos;
p) «Dados relativos à saúde», dados pessoais relativos à saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde;
q) «Autoridade de controlo», a Comissão Nacional de Proteção de Dados (CNPD), nos termos do disposto no artigo 43.º;
r) «Organização internacional», uma organização internacional e os organismos de direito internacional público por ela tutelados, ou outro organismo criado por um acordo celebrado entre dois ou mais países ou com base num acordo dessa natureza.
2 - Para os efeitos do disposto na alínea c) do número anterior, considera-se identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador como o nome, o número de identificação, dados de localização, identificadores em linha ou um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa.
3 - Para os efeitos do disposto na alínea i) do n.º 1, são autoridades competentes as forças e os serviços de segurança, os órgãos de polícia criminal, as autoridades judiciárias e os serviços prisionais e de reinserção social, no âmbito das suas atribuições de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, nos termos previstos nos respetivos estatutos e nas leis de segurança interna, de organização da investigação criminal e do processo penal. |
| |
|
|
|
|
CAPÍTULO II
Princípios relativos ao tratamento de dados pessoais
| Artigo 4.º
Princípios gerais de proteção de dados |
1 - O tratamento de dados pessoais deve processar-se no estrito respeito pelos direitos, liberdades e garantias das pessoas singulares, em especial pelo direito à proteção dos dados pessoais.
2 - Os dados pessoais são:
a) Objeto de um tratamento lícito e leal;
b) Recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser tratados de forma incompatível com essas finalidades;
c) Adequados, pertinentes e limitados ao mínimo necessário à prossecução das finalidades para as quais são tratados;
d) Exatos e atualizados sempre que necessário, devendo ser tomadas todas as medidas razoáveis para que os dados inexatos sejam apagados ou retificados sem demora;
e) Conservados de forma a permitir a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados;
f) Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidentais, recorrendo a medidas técnicas ou organizativas adequadas.
3 - O responsável pelo tratamento deve adotar as medidas que lhe permitam comprovar que o tratamento de dados pessoais é realizado em conformidade com os princípios enunciados no número anterior. |
| |
|
|
|
|
Artigo 5.º
Licitude do tratamento |
1 - O tratamento de dados pessoais só é lícito se estiver previsto na lei e na medida em que for necessário para o exercício de uma atribuição da autoridade competente para os efeitos previstos no artigo 1.º, sem prejuízo do disposto no n.º 3.
2 - A lei indica, pelo menos, os objetivos do tratamento, os dados pessoais a tratar e as finalidades do tratamento.
3 - Caso não esteja autorizado por lei, o tratamento dos dados pessoais apenas pode ser realizado se for necessário para a proteção dos interesses vitais do titular dos dados ou de outra pessoa singular. |
| |
|
|
|
|
Artigo 6.º
Tratamento de categorias especiais de dados pessoais |
1 - O tratamento dos dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas ou a filiação sindical, bem como dos dados genéticos, dos dados biométricos destinados a identificar uma pessoa singular de forma inequívoca, dos dados relativos à saúde ou dos dados relativos à vida sexual ou à orientação sexual, só pode ser efetuado se for estritamente necessário, se estiver sujeito a garantias adequadas de proteção dos direitos e liberdades do titular dos dados, e se:
a) For autorizado por lei;
b) Se destinar a proteger os interesses vitais do titular dos dados ou de outra pessoa singular; ou
c) Estiver relacionado com dados manifestamente tornados públicos pelo titular dos dados.
2 - São proibidas as definições de perfis que conduzam à discriminação de pessoas singulares com base nas categorias especiais de dados pessoais previstos no número anterior. |
| |
|
|
|
|
Artigo 7.º
Finalidades do tratamento |
1 - É permitido o tratamento dos dados pessoais, pelo mesmo ou por outro responsável pelo tratamento, para finalidades diferentes daquelas para as quais os dados pessoais foram recolhidos, desde que essas outras finalidades se enquadrem nos fins previstos no artigo 1.º e que:
a) O responsável pelo tratamento esteja autorizado por lei a tratar os dados pessoais para essa finalidade; e
b) O tratamento seja necessário e proporcional a essa outra finalidade, nos termos da lei.
2 - O tratamento pelo mesmo ou por outro responsável inclui o arquivo de interesse público e a utilização científica, estatística ou histórica dos dados para os efeitos previstos no artigo 1.º, sob reserva de garantias adequadas dos direitos, liberdades e garantias do titular dos dados. |
| |
|
|
|
|
Artigo 8.º
Condições específicas de tratamento |
1 - Os dados pessoais recolhidos pelas autoridades competentes para os fins previstos no artigo 1.º não podem ser tratados para fins diferentes, salvo se esse tratamento for autorizado por lei, sendo neste caso aplicável ao tratamento de dados para esses e outros fins o disposto no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, e na Lei n.º 58/2019, de 8 de agosto.
2 - Nos casos em que as autoridades competentes exerçam atribuições para efeitos diversos dos previstos no artigo 1.º, é aplicável ao tratamento de dados para esses outros fins, incluindo os de arquivo de interesse público, de investigação científica ou histórica ou fins estatísticos, o disposto no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, e na Lei n.º 58/2019, de 8 de agosto.
3 - Se a autoridade competente proceder a uma transmissão de dados cujo tratamento esteja sujeito a condições específicas, a autoridade transmissora informa o destinatário dos dados pessoais dessas condições e da obrigação de as cumprir.
4 - Na transmissão de dados à Eurojust, à Europol e a outros organismos de cooperação judiciária e policial em matéria penal criados no âmbito da União Europeia, bem como às autoridades competentes de outros Estados-Membros, não podem ser aplicadas condições específicas diferentes das previstas para as transmissões de dados similares entre autoridades nacionais. |
| |
|
|
|
|
Artigo 9.º
Distinção entre diferentes categorias de titulares de dados |
O responsável pelo tratamento deve estabelecer, se aplicável e sempre que possível, uma distinção clara entre os dados pessoais de diferentes categorias de titulares de dados, tais como:
a) Pessoas relativamente às quais existem motivos fundados para crer que cometeram ou estão prestes a cometer uma infração penal;
b) Pessoas condenadas pela prática de uma infração penal;
c) Vítimas de uma infração penal ou pessoas relativamente às quais certos factos levam a crer que possam vir a ser vítimas de uma infração penal; e
d) Terceiros envolvidos numa infração penal, tais como pessoas que possam ser chamadas a testemunhar em processo penal, pessoas que possam fornecer informações sobre infrações penais, ou contactos ou associados de uma das pessoas a que se referem as alíneas a) e b). |
| |
|
|
|
|
Artigo 10.º
Distinção entre dados pessoais e verificação da qualidade dos dados pessoais |
1 - Sempre que possível, os dados pessoais baseados em factos devem ser distinguidos dos dados pessoais baseados em apreciações pessoais.
2 - Não podem ser transmitidos nem disponibilizados dados pessoais inexatos, incompletos, desatualizados ou não confiáveis.
3 - Para os efeitos previstos no número anterior, as autoridades competentes verificam, sempre que possível, a qualidade dos dados pessoais antes de estes serem transmitidos ou disponibilizados.
4 - Nos casos de transmissão de dados pessoais, as autoridades competentes que os transferem devem fornecer, sempre que possível, as informações necessárias para que as autoridades competentes que os recebem possam apreciar se os dados são exatos, completos, atuais e fiáveis.
5 - Se se verificar que foram transmitidos dados inexatos ou que foram transmitidos dados pessoais de forma ilícita, o destinatário deve ser informado sem demora, devendo proceder-se à retificação ou ao apagamento dos dados em causa ou à limitação do seu tratamento, nos termos do artigo 17.º |
| |
|
|
|
|
Artigo 11.º
Decisões individuais automatizadas |
1 - São proibidas as decisões tomadas exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, que produzam efeitos adversos na esfera jurídica do titular dos dados ou que o afetem de forma significativa, exceto quando autorizadas por lei, desde que seja previsto o direito de o titular dos dados obter a intervenção humana do responsável pelo tratamento.
2 - As decisões a que se refere o número anterior não podem basear-se nas categorias especiais de dados pessoais previstos no artigo 6.º |
| |
|
|
|
|
Artigo 12.º
Prazos para conservação e avaliação |
1 - Os dados pessoais só podem ser tratados durante o período necessário para a prossecução das finalidades da recolha, ou do tratamento posterior autorizado nos termos do artigo 7.º, findo o qual devem ser apagados, sem prejuízo da sua pseudonimização logo que as finalidades do tratamento o permitam.
2 - O responsável pelo tratamento avalia periodicamente a necessidade de conservar os dados pessoais tratados, de acordo com procedimentos internos adotados para esse efeito, nos quais se deve fixar, nomeadamente, a periodicidade da avaliação.
3 - A periodicidade de avaliação da necessidade de conservar os dados pessoais deve ser determinada em função das diferentes categorias de titulares de dados previstos no artigo 9.º, bem como da necessidade de conservação dos dados em causa para as finalidades do tratamento.
4 - A decisão de conservar os dados pessoais por períodos adicionais ao prazo de conservação original deve ser documentada, justificada e notificada aos titulares dos dados, sem prejuízo do disposto no artigo 16.º
5 - As autoridades competentes devem utilizar sistemas informáticos que facilitem a avaliação periódica da necessidade de conservar os dados e o seu apagamento ou pseudonimização, nomeadamente através de alertas e de medidas de proteção automáticas, tais como a limitação de acesso ou a ocultação dos dados. |
| |
|
|
|
|
|