|
Lei n.º 59/2019, de 08 de Agosto DADOS PESSOAIS PARA PREVENÇÃO, DETEÇÃO, INVESTIGAÇÃO OU REPRESSÃO DE INFRAÇÕES PENAIS(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, transpondo a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 _____________________ |
|
Artigo 19.º
Direitos do titular dos dados em casos especiais |
| Os direitos de informação, de acesso, de retificação, de apagamento e de limitação do tratamento de dados pessoais constantes de um processo penal, de uma decisão judicial ou do registo criminal são exercidos nos termos da lei processual penal e da demais legislação aplicável. |
| |
|
|
|
|
CAPÍTULO IV
Responsável pelo tratamento e subcontratante
| Artigo 20.º
Obrigações do responsável pelo tratamento |
1 - O responsável pelo tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos, liberdades e garantias das pessoas, adota as medidas técnicas e organizativas adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com a presente lei.
2 - As medidas adotadas nos termos do número anterior são regularmente avaliadas e atualizadas. |
| |
|
|
|
|
Artigo 21.º
Requisitos mínimos da proteção de dados |
1 - O responsável pelo tratamento adota as medidas técnicas e organizativas que assegurem de forma eficaz o respeito pelos princípios da proteção de dados, bem como as garantias necessárias para satisfazer os requisitos estabelecidos na presente lei e para proteger os direitos dos titulares dos dados.
2 - O responsável pelo tratamento aplica as medidas técnicas e organizativas adequadas que assegurem que apenas são tratados os dados pessoais necessários para cada finalidade específica do tratamento.
3 - Para os efeitos do número anterior, o responsável pelo tratamento avalia o volume de dados pessoais recolhidos, a extensão do tratamento, o prazo de conservação e a acessibilidade, devendo assegurar que, por defeito, os dados pessoais não são disponibilizados a um número indeterminado de pessoas sem o consentimento do respetivo titular dos dados.
4 - As medidas referidas no n.º 1 são asseguradas tanto nos momentos da conceção, do desenvolvimento e da aplicação dos meios de tratamento como no momento do próprio tratamento, de modo a permitir, designadamente, a pseudonimização e a minimização dos dados. |
| |
|
|
|
|
Artigo 22.º
Responsáveis conjuntos pelo tratamento |
1 - Para os efeitos da presente lei, quando dois ou mais responsáveis pelo tratamento de dados determinam conjuntamente as finalidades e os meios do tratamento, ambos são responsáveis conjuntos pelo tratamento.
2 - Os responsáveis conjuntos determinam as respetivas responsabilidades por mútuo acordo, de forma transparente e devidamente documentada a fim de garantir o cumprimento da presente lei, nomeadamente no que diz respeito ao exercício dos direitos do titular dos dados e aos deveres de facultar a informação a que se refere o artigo 14.º, salvo nos casos em que a responsabilidade seja determinada por lei.
3 - O acordo previsto no número anterior identifica qual dos responsáveis é o ponto de contacto dos titulares dos dados para o exercício dos seus direitos, sem prejuízo de a pretensão poder ser dirigida a qualquer deles. |
| |
|
|
|
|
Artigo 23.º
Tratamento dos dados por subcontratante |
1 - O responsável pelo tratamento pode recorrer a subcontratantes que apresentem garantias suficientes de adoção de medidas técnicas e organizativas adequadas de modo a que o tratamento satisfaça os requisitos estabelecidos na presente lei e assegure a proteção dos direitos do titular dos dados.
2 - O subcontratante não pode recorrer a outro subcontratante sem a autorização prévia específica ou geral, por escrito, do responsável pelo tratamento, com exceção dos casos em que a subcontratação esteja prevista na lei.
3 - Em caso de autorização geral, o subcontratante informa o responsável pelo tratamento de todas as alterações pretendidas quanto à contratação de outros subcontratantes, podendo o responsável pelo tratamento opor-se a essas alterações.
4 - O tratamento de dados em subcontratação é regulado por contrato escrito ou por lei que estabeleça o objeto, a duração, a natureza e a finalidade do tratamento, o tipo de dados pessoais e as categorias de titulares de dados a tratar, bem como as obrigações e os direitos do responsável pelo tratamento.
5 - O contrato ou a lei referidos no número anterior preveem, designadamente, que o subcontratante:
a) Só aja de acordo com as instruções do responsável pelo tratamento;
b) Assegure que as pessoas autorizadas a tratar os dados pessoais assumem um compromisso de confidencialidade ou se encontram sujeitas a obrigações legais de confidencialidade;
c) Preste assistência ao responsável pelo tratamento por todos os meios adequados de modo a assegurar o cumprimento das disposições relativas aos direitos do titular dos dados;
d) Após concluir os serviços de tratamento, apague de forma definitiva ou devolva os dados ao responsável pelo tratamento, consoante a escolha deste, e apague as cópias existentes, a menos que a sua conservação seja exigida por lei;
e) Disponibilize ao responsável pelo tratamento as informações necessárias para demonstrar o cumprimento do disposto no presente artigo;
f) Respeite as condições referidas nos n.os 2 e 3 no que respeita à contratação de outro subcontratante;
g) Adote as medidas técnicas e organizativas adequadas que assegurem a proteção dos dados pessoais, em conformidade com o exigido na presente lei, devendo considerar o princípio da proteção de dados desde a conceção e por defeito. |
| |
|
|
|
|
Artigo 24.º
Tratamento sob a autoridade do responsável pelo tratamento ou do subcontratante |
| O subcontratante, bem como qualquer pessoa que, agindo sob a autoridade deste ou do responsável pelo tratamento, tenha acesso a dados pessoais, não pode efetuar o respetivo tratamento sem instruções do responsável pelo tratamento. |
| |
|
|
|
|
Artigo 25.º
Dever de sigilo |
| Os responsáveis pelo tratamento, os subcontratantes, bem como qualquer outra pessoa que, no exercício das suas funções, tenha acesso aos dados pessoais, ficam obrigados a sigilo profissional, mesmo após o termo das suas funções. |
| |
|
|
|
|
Artigo 26.º
Registos das atividades de tratamento |
1 - O responsável pelo tratamento conserva um registo de todas as categorias de atividades de tratamento sob a sua responsabilidade.
2 - O registo deve conter:
a) O nome e os contactos do responsável pelo tratamento e, se for o caso, dos responsáveis conjuntos pelo tratamento e do encarregado da proteção de dados;
b) As finalidades do tratamento;
c) As categorias de destinatários aos quais os dados pessoais são divulgados ou facultados, incluindo os destinatários estabelecidos em países terceiros ou organizações internacionais;
d) A descrição das categorias de titulares de dados e das categorias de dados pessoais;
e) A utilização da definição de perfis, se for caso disso;
f) As categorias de transferências de dados pessoais para um país terceiro ou para uma organização internacional, se for caso disso;
g) A indicação do fundamento jurídico do tratamento, incluindo das transferências, a que os dados pessoais se destinam;
h) Se possível, os prazos de conservação das diferentes categorias de dados pessoais ou os procedimentos previstos para revisão periódica da necessidade de conservação;
i) Uma descrição geral das medidas técnicas e organizativas em matéria de segurança referidas no artigo 31.º;
j) Os pedidos apresentados pelos titulares dos dados e a respetiva tramitação, bem como as decisões do responsável pelo tratamento com a correspondente fundamentação.
3 - O subcontratante conserva um registo de todas as categorias de atividades de tratamento realizadas em nome do responsável pelo tratamento, do qual constam:
a) O nome e os contactos do subcontratante ou subcontratantes, de cada responsável pelo tratamento em nome do qual atua o subcontratante e do encarregado da proteção de dados, se for caso disso;
b) As categorias de tratamentos de dados efetuados em nome de cada responsável pelo tratamento;
c) Se for caso disso, as transferências de dados pessoais para um país terceiro ou para uma organização internacional e as instruções do responsável pelo tratamento para as transferências, incluindo a identificação desse país terceiro ou dessa organização internacional;
d) Uma descrição geral das medidas técnicas e organizativas em matéria de segurança referidas no artigo 31.º
4 - Os registos a que se referem os números anteriores são conservados por escrito e em suporte duradouro, designadamente em formato eletrónico.
5 - O responsável pelo tratamento e o subcontratante facultam os registos previstos nos números anteriores à autoridade de controlo, a pedido desta. |
| |
|
|
|
|
Artigo 27.º
Registo cronológico |
1 - O responsável pelo tratamento e o subcontratante conservam em sistemas de tratamento automatizado registos cronológicos das seguintes operações de tratamento:
a) Recolha;
b) Alteração;
c) Consulta;
d) Divulgação, incluindo transferências;
e) Interconexão;
f) Apagamento; e
g) Limitação do tratamento, incluindo as datas de início e de cessação da limitação.
2 - Os registos cronológicos das operações de consulta e de divulgação devem permitir determinar o motivo, a data e a hora dessas operações, a identificação da pessoa que consultou ou divulgou dados pessoais e, sempre que possível, a identidade dos destinatários desses dados pessoais.
3 - Os registos cronológicos são utilizados exclusivamente para efeitos de verificação da licitude do tratamento, autocontrolo, exercício do poder disciplinar e garantia da integridade e segurança dos dados pessoais, bem como no âmbito e para efeitos de processo penal.
4 - O responsável pelo tratamento e o subcontratante disponibilizam os registos cronológicos à autoridade de controlo, a pedido desta.
5 - As leis específicas reguladoras das operações de tratamento dos dados para as finalidades previstas no artigo 1.º definem os períodos de conservação aplicáveis aos registos cronológicos.
6 - O responsável pelo tratamento e o subcontratante adotam medidas técnicas que garantam a integridade dos registos cronológicos. |
| |
|
|
|
|
Artigo 28.º
Dever de colaboração |
| O responsável pelo tratamento e o subcontratante colaboram plenamente com a autoridade de controlo no exercício das suas atribuições. |
| |
|
|
|
|
Artigo 29.º
Avaliação de impacto |
1 - No caso de um certo tipo de tratamento ser suscetível de representar um elevado risco para os direitos, liberdades e garantias das pessoas, o responsável pelo mesmo deve efetuar uma avaliação do impacto das operações que o compõem antes de lhe dar início.
2 - Tendo em conta os direitos, liberdades e garantias das pessoas, a avaliação do impacto inclui:
a) Uma descrição geral das operações de tratamento previstas;
b) Uma avaliação dos riscos para os direitos, liberdades e garantias dos titulares dos dados;
c) As medidas previstas para fazer face aos riscos mencionados na alínea anterior;
d) As garantias, as medidas de segurança e os mecanismos para assegurar a proteção dos dados pessoais e demonstrar a conformidade do tratamento com a presente lei. |
| |
|
|
|
|
|