|
Lei n.º 59/2019, de 08 de Agosto DADOS PESSOAIS PARA PREVENÇÃO, DETEÇÃO, INVESTIGAÇÃO OU REPRESSÃO DE INFRAÇÕES PENAIS(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, transpondo a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 _____________________ |
|
Artigo 7.º
Finalidades do tratamento |
1 - É permitido o tratamento dos dados pessoais, pelo mesmo ou por outro responsável pelo tratamento, para finalidades diferentes daquelas para as quais os dados pessoais foram recolhidos, desde que essas outras finalidades se enquadrem nos fins previstos no artigo 1.º e que:
a) O responsável pelo tratamento esteja autorizado por lei a tratar os dados pessoais para essa finalidade; e
b) O tratamento seja necessário e proporcional a essa outra finalidade, nos termos da lei.
2 - O tratamento pelo mesmo ou por outro responsável inclui o arquivo de interesse público e a utilização científica, estatística ou histórica dos dados para os efeitos previstos no artigo 1.º, sob reserva de garantias adequadas dos direitos, liberdades e garantias do titular dos dados. |
| |
|
|
|
|
Artigo 8.º
Condições específicas de tratamento |
1 - Os dados pessoais recolhidos pelas autoridades competentes para os fins previstos no artigo 1.º não podem ser tratados para fins diferentes, salvo se esse tratamento for autorizado por lei, sendo neste caso aplicável ao tratamento de dados para esses e outros fins o disposto no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, e na Lei n.º 58/2019, de 8 de agosto.
2 - Nos casos em que as autoridades competentes exerçam atribuições para efeitos diversos dos previstos no artigo 1.º, é aplicável ao tratamento de dados para esses outros fins, incluindo os de arquivo de interesse público, de investigação científica ou histórica ou fins estatísticos, o disposto no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, e na Lei n.º 58/2019, de 8 de agosto.
3 - Se a autoridade competente proceder a uma transmissão de dados cujo tratamento esteja sujeito a condições específicas, a autoridade transmissora informa o destinatário dos dados pessoais dessas condições e da obrigação de as cumprir.
4 - Na transmissão de dados à Eurojust, à Europol e a outros organismos de cooperação judiciária e policial em matéria penal criados no âmbito da União Europeia, bem como às autoridades competentes de outros Estados-Membros, não podem ser aplicadas condições específicas diferentes das previstas para as transmissões de dados similares entre autoridades nacionais. |
| |
|
|
|
|
Artigo 9.º
Distinção entre diferentes categorias de titulares de dados |
O responsável pelo tratamento deve estabelecer, se aplicável e sempre que possível, uma distinção clara entre os dados pessoais de diferentes categorias de titulares de dados, tais como:
a) Pessoas relativamente às quais existem motivos fundados para crer que cometeram ou estão prestes a cometer uma infração penal;
b) Pessoas condenadas pela prática de uma infração penal;
c) Vítimas de uma infração penal ou pessoas relativamente às quais certos factos levam a crer que possam vir a ser vítimas de uma infração penal; e
d) Terceiros envolvidos numa infração penal, tais como pessoas que possam ser chamadas a testemunhar em processo penal, pessoas que possam fornecer informações sobre infrações penais, ou contactos ou associados de uma das pessoas a que se referem as alíneas a) e b). |
| |
|
|
|
|
Artigo 10.º
Distinção entre dados pessoais e verificação da qualidade dos dados pessoais |
1 - Sempre que possível, os dados pessoais baseados em factos devem ser distinguidos dos dados pessoais baseados em apreciações pessoais.
2 - Não podem ser transmitidos nem disponibilizados dados pessoais inexatos, incompletos, desatualizados ou não confiáveis.
3 - Para os efeitos previstos no número anterior, as autoridades competentes verificam, sempre que possível, a qualidade dos dados pessoais antes de estes serem transmitidos ou disponibilizados.
4 - Nos casos de transmissão de dados pessoais, as autoridades competentes que os transferem devem fornecer, sempre que possível, as informações necessárias para que as autoridades competentes que os recebem possam apreciar se os dados são exatos, completos, atuais e fiáveis.
5 - Se se verificar que foram transmitidos dados inexatos ou que foram transmitidos dados pessoais de forma ilícita, o destinatário deve ser informado sem demora, devendo proceder-se à retificação ou ao apagamento dos dados em causa ou à limitação do seu tratamento, nos termos do artigo 17.º |
| |
|
|
|
|
Artigo 11.º
Decisões individuais automatizadas |
1 - São proibidas as decisões tomadas exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, que produzam efeitos adversos na esfera jurídica do titular dos dados ou que o afetem de forma significativa, exceto quando autorizadas por lei, desde que seja previsto o direito de o titular dos dados obter a intervenção humana do responsável pelo tratamento.
2 - As decisões a que se refere o número anterior não podem basear-se nas categorias especiais de dados pessoais previstos no artigo 6.º |
| |
|
|
|
|
Artigo 12.º
Prazos para conservação e avaliação |
1 - Os dados pessoais só podem ser tratados durante o período necessário para a prossecução das finalidades da recolha, ou do tratamento posterior autorizado nos termos do artigo 7.º, findo o qual devem ser apagados, sem prejuízo da sua pseudonimização logo que as finalidades do tratamento o permitam.
2 - O responsável pelo tratamento avalia periodicamente a necessidade de conservar os dados pessoais tratados, de acordo com procedimentos internos adotados para esse efeito, nos quais se deve fixar, nomeadamente, a periodicidade da avaliação.
3 - A periodicidade de avaliação da necessidade de conservar os dados pessoais deve ser determinada em função das diferentes categorias de titulares de dados previstos no artigo 9.º, bem como da necessidade de conservação dos dados em causa para as finalidades do tratamento.
4 - A decisão de conservar os dados pessoais por períodos adicionais ao prazo de conservação original deve ser documentada, justificada e notificada aos titulares dos dados, sem prejuízo do disposto no artigo 16.º
5 - As autoridades competentes devem utilizar sistemas informáticos que facilitem a avaliação periódica da necessidade de conservar os dados e o seu apagamento ou pseudonimização, nomeadamente através de alertas e de medidas de proteção automáticas, tais como a limitação de acesso ou a ocultação dos dados. |
| |
|
|
|
|
CAPÍTULO III
Direitos do titular dos dados
| Artigo 13.º
Comunicações e exercício dos direitos do titular dos dados |
1 - O responsável pelo tratamento facilita o exercício dos direitos do titular dos dados nos termos dos artigos 11.º e 15.º a 19.º
2 - O responsável pelo tratamento fornece ao titular dos dados as informações a que se refere o artigo 14.º e efetua as comunicações relativas aos artigos 11.º, 15.º a 19.º e 33.º de uma forma concisa, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, e pelos meios adequados, incluindo meios eletrónicos, e, sempre que possível, com recurso ao meio utilizado no pedido.
3 - O responsável pelo tratamento informa o titular dos dados do seguimento dado ao seu pedido, por escrito, e sem demora injustificada, num prazo não superior a 30 dias, que pode ser renovado por mais 30 dias, em caso de motivo justificado.
4 - A prestação de informações e o exercício dos direitos são gratuitos, sem prejuízo do disposto no número seguinte.
5 - Nos casos em que o pedido do titular dos dados seja manifestamente infundado ou excessivo, designadamente devido ao seu caráter repetitivo, o responsável pelo tratamento, mediante decisão fundamentada, pode:
a) Exigir o pagamento de uma taxa de montante a fixar por portaria do membro do Governo responsável pela área da justiça, tendo em conta os custos administrativos associados; ou
b) Recusar dar seguimento ao pedido.
6 - Se tiver dúvidas razoáveis quanto à identidade da pessoa que apresenta o pedido ao abrigo dos artigos 15.º e 17.º, o responsável pelo tratamento pode solicitar ao requerente que lhe sejam fornecidas as informações adicionais necessárias para confirmar a sua identidade. |
| |
|
|
|
|
Artigo 14.º
Informações a disponibilizar ou a fornecer pelo responsável pelo tratamento |
1 - O responsável pelo tratamento disponibiliza publicamente e de forma permanentemente acessível as informações sobre:
a) A identidade e os contactos do responsável pelo tratamento;
b) Os contactos do encarregado da proteção de dados;
c) As finalidades do tratamento a que os dados pessoais se destinam;
d) O direito de apresentar queixa à autoridade de controlo e os contactos dessa autoridade;
e) O direito de solicitar ao responsável pelo tratamento acesso aos dados pessoais que lhe dizem respeito, bem como a sua retificação ou o seu apagamento e a limitação do tratamento.
2 - Para além das informações a que se refere o número anterior, e sem prejuízo do disposto no número seguinte, o responsável pelo tratamento fornece ao titular dos dados as seguintes informações adicionais a fim de lhe permitir exercer os seus direitos:
a) O fundamento jurídico do tratamento;
b) O prazo de conservação dos dados pessoais, os critérios utilizados para o definir ou os procedimentos previstos para revisão periódica da necessidade de conservação;
c) As categorias de destinatários dos dados pessoais, se for o caso, inclusivamente nos países terceiros ou nas organizações internacionais;
d) Se necessário, outras informações adicionais, especialmente se os dados pessoais tiverem sido recolhidos sem o conhecimento do seu titular.
3 - A prestação de informações a que se refere o número anterior pode ser adiada, limitada ou recusada se e enquanto tal for necessário e proporcional para:
a) Evitar prejuízo para investigações, inquéritos ou processos judiciais;
b) Evitar prejuízo para a prevenção, deteção, investigação ou repressão de infrações penais ou para a execução de sanções penais;
c) Proteger a segurança pública;
d) Proteger a segurança nacional; ou
e) Proteger os direitos, liberdades e garantias de terceiros. |
| |
|
|
|
|
Artigo 15.º
Direito de acesso do titular dos dados aos seus dados pessoais |
1 - Sem prejuízo do disposto no artigo seguinte, o titular dos dados tem direito a obter do responsável pelo tratamento, com periodicidade razoável, informação sobre se os dados pessoais que lhe dizem respeito estão ou não a ser objeto de tratamento.
2 - Em caso afirmativo, o titular dos dados tem o direito de aceder aos seus dados pessoais e às informações sobre:
a) As finalidades e o fundamento jurídico do tratamento;
b) As categorias dos dados pessoais em causa;
c) Os destinatários ou as categorias de destinatários aos quais os dados pessoais foram transmitidos, especialmente se se tratar de destinatários de países terceiros ou de organizações internacionais;
d) Sempre que possível, o prazo previsto de conservação dos dados pessoais ou, se não for possível, os critérios utilizados para fixar esse prazo;
e) O direito de solicitar ao responsável pelo tratamento a retificação ou o apagamento dos dados pessoais ou a limitação do tratamento dos dados pessoais que lhe dizem respeito;
f) O direito de apresentar queixa à autoridade de controlo e de obter os contactos dessa autoridade;
g) A comunicação dos dados pessoais sujeitos a tratamento, bem como as informações disponíveis sobre a origem dos mesmos. |
| |
|
|
|
|
Artigo 16.º
Limitações do direito de acesso |
1 - O responsável pelo tratamento pode recusar ou restringir o direito de acesso do titular dos dados enquanto tal limitação constituir uma medida necessária e proporcional para:
a) Evitar prejuízo para investigações, inquéritos ou processos judiciais;
b) Evitar prejuízo para a prevenção, deteção, investigação ou repressão de infrações penais ou para a execução de sanções penais;
c) Proteger a segurança pública;
d) Proteger a segurança nacional; ou
e) Proteger os direitos, liberdades e garantias de terceiros.
2 - Nos casos previstos no número anterior, o responsável pelo tratamento informa o titular dos dados, por escrito e sem demora injustificada, dos motivos da recusa ou da limitação do acesso.
3 - A informação a que se refere o número anterior pode ser omitida apenas na medida em que a sua prestação possa prejudicar uma das finalidades enunciadas no n.º 1.
4 - Nos casos previstos no número anterior, o responsável pelo tratamento informa o titular dos dados do direito que lhe assiste de apresentar um pedido de verificação à autoridade de controlo nos termos do artigo 18.º, ou de intentar a competente ação judicial.
5 - O responsável pelo tratamento disponibiliza à autoridade de controlo informação sobre os motivos de facto e de direito que fundamentam a decisão de recusa ou de limitação do direito de acesso, bem como da omissão de informação ao titular dos dados. |
| |
|
|
|
|
Artigo 17.º
Direito de retificação ou apagamento dos dados pessoais e de limitação do tratamento |
1 - O titular dos dados tem o direito de obter do responsável pelo tratamento, sem demora injustificada, a retificação dos dados pessoais inexatos que lhe digam respeito, bem como o direito a que os seus dados pessoais incompletos sejam completados, nomeadamente por meio de declaração adicional.
2 - O titular dos dados tem o direito de obter do responsável pelo tratamento, sem demora injustificada, o apagamento dos dados pessoais que lhe digam respeito nos casos em que o tratamento não respeite o disposto nos artigos 4.º a 7.º ou nos casos em que o apagamento seja exigido para dar cumprimento a uma obrigação legal a que o responsável pelo tratamento esteja sujeito.
3 - Em vez de proceder ao apagamento, o responsável pelo tratamento limita o tratamento, no caso de:
a) O titular dos dados contestar a exatidão dos dados pessoais e a sua exatidão ou inexatidão não puder ser apurada;
b) Os dados pessoais deverem ser conservados para efeitos de prova.
4 - Nos casos previstos na alínea a) do número anterior, o responsável pelo tratamento informa o titular dos dados antes de pôr termo à limitação do tratamento.
5 - A limitação do tratamento implica que os dados só possam ser tratados para as finalidades que impediram o seu apagamento, devendo o responsável pelo tratamento adotar as medidas técnicas e organizativas adequadas para assegurar que a limitação é respeitada.
6 - O titular dos dados é informado, por escrito, da decisão de recusa do pedido de retificação ou de apagamento ou da limitação do tratamento e dos respetivos fundamentos.
7 - A informação a que se refere o número anterior pode ser omitida ou limitada pelo responsável pelo tratamento na medida em que tal omissão ou limitação constitua uma medida necessária e proporcional para:
a) Evitar prejuízo para investigações, inquéritos, ou processos judiciais;
b) Evitar prejuízo para a prevenção, deteção, investigação ou repressão de infrações penais ou a execução de sanções penais;
c) Proteger a segurança pública;
d) Proteger a segurança nacional; ou
e) Proteger os direitos e as liberdades de terceiros.
8 - Nos casos previstos no número anterior, o responsável pelo tratamento informa o titular dos dados do direito de apresentar um pedido de verificação à autoridade de controlo nos termos do artigo 18.º, ou de intentar a competente ação judicial.
9 - A retificação dos dados pessoais é comunicada à autoridade competente de origem dos dados inexatos.
10 - Em caso de transmissão de dados, o responsável pelo tratamento informa os destinatários da retificação ou do apagamento ou da limitação do tratamento, devendo estes retificar ou apagar os dados ou limitar o tratamento em conformidade com essa informação. |
| |
|
|
|
|
|