|
Lei n.º 59/2019, de 08 de Agosto DADOS PESSOAIS PARA PREVENÇÃO, DETEÇÃO, INVESTIGAÇÃO OU REPRESSÃO DE INFRAÇÕES PENAIS(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, transpondo a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 _____________________ |
|
Artigo 15.º
Direito de acesso do titular dos dados aos seus dados pessoais |
1 - Sem prejuízo do disposto no artigo seguinte, o titular dos dados tem direito a obter do responsável pelo tratamento, com periodicidade razoável, informação sobre se os dados pessoais que lhe dizem respeito estão ou não a ser objeto de tratamento.
2 - Em caso afirmativo, o titular dos dados tem o direito de aceder aos seus dados pessoais e às informações sobre:
a) As finalidades e o fundamento jurídico do tratamento;
b) As categorias dos dados pessoais em causa;
c) Os destinatários ou as categorias de destinatários aos quais os dados pessoais foram transmitidos, especialmente se se tratar de destinatários de países terceiros ou de organizações internacionais;
d) Sempre que possível, o prazo previsto de conservação dos dados pessoais ou, se não for possível, os critérios utilizados para fixar esse prazo;
e) O direito de solicitar ao responsável pelo tratamento a retificação ou o apagamento dos dados pessoais ou a limitação do tratamento dos dados pessoais que lhe dizem respeito;
f) O direito de apresentar queixa à autoridade de controlo e de obter os contactos dessa autoridade;
g) A comunicação dos dados pessoais sujeitos a tratamento, bem como as informações disponíveis sobre a origem dos mesmos. |
| |
|
|
|
|
Artigo 16.º
Limitações do direito de acesso |
1 - O responsável pelo tratamento pode recusar ou restringir o direito de acesso do titular dos dados enquanto tal limitação constituir uma medida necessária e proporcional para:
a) Evitar prejuízo para investigações, inquéritos ou processos judiciais;
b) Evitar prejuízo para a prevenção, deteção, investigação ou repressão de infrações penais ou para a execução de sanções penais;
c) Proteger a segurança pública;
d) Proteger a segurança nacional; ou
e) Proteger os direitos, liberdades e garantias de terceiros.
2 - Nos casos previstos no número anterior, o responsável pelo tratamento informa o titular dos dados, por escrito e sem demora injustificada, dos motivos da recusa ou da limitação do acesso.
3 - A informação a que se refere o número anterior pode ser omitida apenas na medida em que a sua prestação possa prejudicar uma das finalidades enunciadas no n.º 1.
4 - Nos casos previstos no número anterior, o responsável pelo tratamento informa o titular dos dados do direito que lhe assiste de apresentar um pedido de verificação à autoridade de controlo nos termos do artigo 18.º, ou de intentar a competente ação judicial.
5 - O responsável pelo tratamento disponibiliza à autoridade de controlo informação sobre os motivos de facto e de direito que fundamentam a decisão de recusa ou de limitação do direito de acesso, bem como da omissão de informação ao titular dos dados. |
| |
|
|
|
|
Artigo 17.º
Direito de retificação ou apagamento dos dados pessoais e de limitação do tratamento |
1 - O titular dos dados tem o direito de obter do responsável pelo tratamento, sem demora injustificada, a retificação dos dados pessoais inexatos que lhe digam respeito, bem como o direito a que os seus dados pessoais incompletos sejam completados, nomeadamente por meio de declaração adicional.
2 - O titular dos dados tem o direito de obter do responsável pelo tratamento, sem demora injustificada, o apagamento dos dados pessoais que lhe digam respeito nos casos em que o tratamento não respeite o disposto nos artigos 4.º a 7.º ou nos casos em que o apagamento seja exigido para dar cumprimento a uma obrigação legal a que o responsável pelo tratamento esteja sujeito.
3 - Em vez de proceder ao apagamento, o responsável pelo tratamento limita o tratamento, no caso de:
a) O titular dos dados contestar a exatidão dos dados pessoais e a sua exatidão ou inexatidão não puder ser apurada;
b) Os dados pessoais deverem ser conservados para efeitos de prova.
4 - Nos casos previstos na alínea a) do número anterior, o responsável pelo tratamento informa o titular dos dados antes de pôr termo à limitação do tratamento.
5 - A limitação do tratamento implica que os dados só possam ser tratados para as finalidades que impediram o seu apagamento, devendo o responsável pelo tratamento adotar as medidas técnicas e organizativas adequadas para assegurar que a limitação é respeitada.
6 - O titular dos dados é informado, por escrito, da decisão de recusa do pedido de retificação ou de apagamento ou da limitação do tratamento e dos respetivos fundamentos.
7 - A informação a que se refere o número anterior pode ser omitida ou limitada pelo responsável pelo tratamento na medida em que tal omissão ou limitação constitua uma medida necessária e proporcional para:
a) Evitar prejuízo para investigações, inquéritos, ou processos judiciais;
b) Evitar prejuízo para a prevenção, deteção, investigação ou repressão de infrações penais ou a execução de sanções penais;
c) Proteger a segurança pública;
d) Proteger a segurança nacional; ou
e) Proteger os direitos e as liberdades de terceiros.
8 - Nos casos previstos no número anterior, o responsável pelo tratamento informa o titular dos dados do direito de apresentar um pedido de verificação à autoridade de controlo nos termos do artigo 18.º, ou de intentar a competente ação judicial.
9 - A retificação dos dados pessoais é comunicada à autoridade competente de origem dos dados inexatos.
10 - Em caso de transmissão de dados, o responsável pelo tratamento informa os destinatários da retificação ou do apagamento ou da limitação do tratamento, devendo estes retificar ou apagar os dados ou limitar o tratamento em conformidade com essa informação. |
| |
|
|
|
|
Artigo 18.º
Exercício dos direitos do titular dos dados e verificação pela autoridade de controlo |
1 - Em caso de recusa de informação, acesso, retificação, apagamento ou limitação de tratamento com fundamento no disposto no n.º 3 do artigo 14.º, no n.º 1 do artigo 16.º ou no n.º 7 do artigo anterior, o titular dos dados pode solicitar à autoridade de controlo que verifique a licitude do tratamento.
2 - O responsável pelo tratamento informa o titular dos dados do direito que lhe assiste nos termos do número anterior.
3 - Nos casos referidos no n.º 1, a autoridade de controlo informa o titular dos dados de que procedeu a todas as verificações necessárias ou a um reexame do tratamento e do direito que lhe assiste de intentar a competente ação judicial. |
| |
|
|
|
|
Artigo 19.º
Direitos do titular dos dados em casos especiais |
| Os direitos de informação, de acesso, de retificação, de apagamento e de limitação do tratamento de dados pessoais constantes de um processo penal, de uma decisão judicial ou do registo criminal são exercidos nos termos da lei processual penal e da demais legislação aplicável. |
| |
|
|
|
|
CAPÍTULO IV
Responsável pelo tratamento e subcontratante
| Artigo 20.º
Obrigações do responsável pelo tratamento |
1 - O responsável pelo tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos, liberdades e garantias das pessoas, adota as medidas técnicas e organizativas adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com a presente lei.
2 - As medidas adotadas nos termos do número anterior são regularmente avaliadas e atualizadas. |
| |
|
|
|
|
Artigo 21.º
Requisitos mínimos da proteção de dados |
1 - O responsável pelo tratamento adota as medidas técnicas e organizativas que assegurem de forma eficaz o respeito pelos princípios da proteção de dados, bem como as garantias necessárias para satisfazer os requisitos estabelecidos na presente lei e para proteger os direitos dos titulares dos dados.
2 - O responsável pelo tratamento aplica as medidas técnicas e organizativas adequadas que assegurem que apenas são tratados os dados pessoais necessários para cada finalidade específica do tratamento.
3 - Para os efeitos do número anterior, o responsável pelo tratamento avalia o volume de dados pessoais recolhidos, a extensão do tratamento, o prazo de conservação e a acessibilidade, devendo assegurar que, por defeito, os dados pessoais não são disponibilizados a um número indeterminado de pessoas sem o consentimento do respetivo titular dos dados.
4 - As medidas referidas no n.º 1 são asseguradas tanto nos momentos da conceção, do desenvolvimento e da aplicação dos meios de tratamento como no momento do próprio tratamento, de modo a permitir, designadamente, a pseudonimização e a minimização dos dados. |
| |
|
|
|
|
Artigo 22.º
Responsáveis conjuntos pelo tratamento |
1 - Para os efeitos da presente lei, quando dois ou mais responsáveis pelo tratamento de dados determinam conjuntamente as finalidades e os meios do tratamento, ambos são responsáveis conjuntos pelo tratamento.
2 - Os responsáveis conjuntos determinam as respetivas responsabilidades por mútuo acordo, de forma transparente e devidamente documentada a fim de garantir o cumprimento da presente lei, nomeadamente no que diz respeito ao exercício dos direitos do titular dos dados e aos deveres de facultar a informação a que se refere o artigo 14.º, salvo nos casos em que a responsabilidade seja determinada por lei.
3 - O acordo previsto no número anterior identifica qual dos responsáveis é o ponto de contacto dos titulares dos dados para o exercício dos seus direitos, sem prejuízo de a pretensão poder ser dirigida a qualquer deles. |
| |
|
|
|
|
Artigo 23.º
Tratamento dos dados por subcontratante |
1 - O responsável pelo tratamento pode recorrer a subcontratantes que apresentem garantias suficientes de adoção de medidas técnicas e organizativas adequadas de modo a que o tratamento satisfaça os requisitos estabelecidos na presente lei e assegure a proteção dos direitos do titular dos dados.
2 - O subcontratante não pode recorrer a outro subcontratante sem a autorização prévia específica ou geral, por escrito, do responsável pelo tratamento, com exceção dos casos em que a subcontratação esteja prevista na lei.
3 - Em caso de autorização geral, o subcontratante informa o responsável pelo tratamento de todas as alterações pretendidas quanto à contratação de outros subcontratantes, podendo o responsável pelo tratamento opor-se a essas alterações.
4 - O tratamento de dados em subcontratação é regulado por contrato escrito ou por lei que estabeleça o objeto, a duração, a natureza e a finalidade do tratamento, o tipo de dados pessoais e as categorias de titulares de dados a tratar, bem como as obrigações e os direitos do responsável pelo tratamento.
5 - O contrato ou a lei referidos no número anterior preveem, designadamente, que o subcontratante:
a) Só aja de acordo com as instruções do responsável pelo tratamento;
b) Assegure que as pessoas autorizadas a tratar os dados pessoais assumem um compromisso de confidencialidade ou se encontram sujeitas a obrigações legais de confidencialidade;
c) Preste assistência ao responsável pelo tratamento por todos os meios adequados de modo a assegurar o cumprimento das disposições relativas aos direitos do titular dos dados;
d) Após concluir os serviços de tratamento, apague de forma definitiva ou devolva os dados ao responsável pelo tratamento, consoante a escolha deste, e apague as cópias existentes, a menos que a sua conservação seja exigida por lei;
e) Disponibilize ao responsável pelo tratamento as informações necessárias para demonstrar o cumprimento do disposto no presente artigo;
f) Respeite as condições referidas nos n.os 2 e 3 no que respeita à contratação de outro subcontratante;
g) Adote as medidas técnicas e organizativas adequadas que assegurem a proteção dos dados pessoais, em conformidade com o exigido na presente lei, devendo considerar o princípio da proteção de dados desde a conceção e por defeito. |
| |
|
|
|
|
Artigo 24.º
Tratamento sob a autoridade do responsável pelo tratamento ou do subcontratante |
| O subcontratante, bem como qualquer pessoa que, agindo sob a autoridade deste ou do responsável pelo tratamento, tenha acesso a dados pessoais, não pode efetuar o respetivo tratamento sem instruções do responsável pelo tratamento. |
| |
|
|
|
|
Artigo 25.º
Dever de sigilo |
| Os responsáveis pelo tratamento, os subcontratantes, bem como qualquer outra pessoa que, no exercício das suas funções, tenha acesso aos dados pessoais, ficam obrigados a sigilo profissional, mesmo após o termo das suas funções. |
| |
|
|
|
|
|