|
Lei n.º 59/2019, de 08 de Agosto DADOS PESSOAIS PARA PREVENÇÃO, DETEÇÃO, INVESTIGAÇÃO OU REPRESSÃO DE INFRAÇÕES PENAIS(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, transpondo a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 _____________________ |
|
Artigo 21.º
Requisitos mínimos da proteção de dados |
1 - O responsável pelo tratamento adota as medidas técnicas e organizativas que assegurem de forma eficaz o respeito pelos princípios da proteção de dados, bem como as garantias necessárias para satisfazer os requisitos estabelecidos na presente lei e para proteger os direitos dos titulares dos dados.
2 - O responsável pelo tratamento aplica as medidas técnicas e organizativas adequadas que assegurem que apenas são tratados os dados pessoais necessários para cada finalidade específica do tratamento.
3 - Para os efeitos do número anterior, o responsável pelo tratamento avalia o volume de dados pessoais recolhidos, a extensão do tratamento, o prazo de conservação e a acessibilidade, devendo assegurar que, por defeito, os dados pessoais não são disponibilizados a um número indeterminado de pessoas sem o consentimento do respetivo titular dos dados.
4 - As medidas referidas no n.º 1 são asseguradas tanto nos momentos da conceção, do desenvolvimento e da aplicação dos meios de tratamento como no momento do próprio tratamento, de modo a permitir, designadamente, a pseudonimização e a minimização dos dados. |
| |
|
|
|
|
Artigo 22.º
Responsáveis conjuntos pelo tratamento |
1 - Para os efeitos da presente lei, quando dois ou mais responsáveis pelo tratamento de dados determinam conjuntamente as finalidades e os meios do tratamento, ambos são responsáveis conjuntos pelo tratamento.
2 - Os responsáveis conjuntos determinam as respetivas responsabilidades por mútuo acordo, de forma transparente e devidamente documentada a fim de garantir o cumprimento da presente lei, nomeadamente no que diz respeito ao exercício dos direitos do titular dos dados e aos deveres de facultar a informação a que se refere o artigo 14.º, salvo nos casos em que a responsabilidade seja determinada por lei.
3 - O acordo previsto no número anterior identifica qual dos responsáveis é o ponto de contacto dos titulares dos dados para o exercício dos seus direitos, sem prejuízo de a pretensão poder ser dirigida a qualquer deles. |
| |
|
|
|
|
Artigo 23.º
Tratamento dos dados por subcontratante |
1 - O responsável pelo tratamento pode recorrer a subcontratantes que apresentem garantias suficientes de adoção de medidas técnicas e organizativas adequadas de modo a que o tratamento satisfaça os requisitos estabelecidos na presente lei e assegure a proteção dos direitos do titular dos dados.
2 - O subcontratante não pode recorrer a outro subcontratante sem a autorização prévia específica ou geral, por escrito, do responsável pelo tratamento, com exceção dos casos em que a subcontratação esteja prevista na lei.
3 - Em caso de autorização geral, o subcontratante informa o responsável pelo tratamento de todas as alterações pretendidas quanto à contratação de outros subcontratantes, podendo o responsável pelo tratamento opor-se a essas alterações.
4 - O tratamento de dados em subcontratação é regulado por contrato escrito ou por lei que estabeleça o objeto, a duração, a natureza e a finalidade do tratamento, o tipo de dados pessoais e as categorias de titulares de dados a tratar, bem como as obrigações e os direitos do responsável pelo tratamento.
5 - O contrato ou a lei referidos no número anterior preveem, designadamente, que o subcontratante:
a) Só aja de acordo com as instruções do responsável pelo tratamento;
b) Assegure que as pessoas autorizadas a tratar os dados pessoais assumem um compromisso de confidencialidade ou se encontram sujeitas a obrigações legais de confidencialidade;
c) Preste assistência ao responsável pelo tratamento por todos os meios adequados de modo a assegurar o cumprimento das disposições relativas aos direitos do titular dos dados;
d) Após concluir os serviços de tratamento, apague de forma definitiva ou devolva os dados ao responsável pelo tratamento, consoante a escolha deste, e apague as cópias existentes, a menos que a sua conservação seja exigida por lei;
e) Disponibilize ao responsável pelo tratamento as informações necessárias para demonstrar o cumprimento do disposto no presente artigo;
f) Respeite as condições referidas nos n.os 2 e 3 no que respeita à contratação de outro subcontratante;
g) Adote as medidas técnicas e organizativas adequadas que assegurem a proteção dos dados pessoais, em conformidade com o exigido na presente lei, devendo considerar o princípio da proteção de dados desde a conceção e por defeito. |
| |
|
|
|
|
Artigo 24.º
Tratamento sob a autoridade do responsável pelo tratamento ou do subcontratante |
| O subcontratante, bem como qualquer pessoa que, agindo sob a autoridade deste ou do responsável pelo tratamento, tenha acesso a dados pessoais, não pode efetuar o respetivo tratamento sem instruções do responsável pelo tratamento. |
| |
|
|
|
|
Artigo 25.º
Dever de sigilo |
| Os responsáveis pelo tratamento, os subcontratantes, bem como qualquer outra pessoa que, no exercício das suas funções, tenha acesso aos dados pessoais, ficam obrigados a sigilo profissional, mesmo após o termo das suas funções. |
| |
|
|
|
|
Artigo 26.º
Registos das atividades de tratamento |
1 - O responsável pelo tratamento conserva um registo de todas as categorias de atividades de tratamento sob a sua responsabilidade.
2 - O registo deve conter:
a) O nome e os contactos do responsável pelo tratamento e, se for o caso, dos responsáveis conjuntos pelo tratamento e do encarregado da proteção de dados;
b) As finalidades do tratamento;
c) As categorias de destinatários aos quais os dados pessoais são divulgados ou facultados, incluindo os destinatários estabelecidos em países terceiros ou organizações internacionais;
d) A descrição das categorias de titulares de dados e das categorias de dados pessoais;
e) A utilização da definição de perfis, se for caso disso;
f) As categorias de transferências de dados pessoais para um país terceiro ou para uma organização internacional, se for caso disso;
g) A indicação do fundamento jurídico do tratamento, incluindo das transferências, a que os dados pessoais se destinam;
h) Se possível, os prazos de conservação das diferentes categorias de dados pessoais ou os procedimentos previstos para revisão periódica da necessidade de conservação;
i) Uma descrição geral das medidas técnicas e organizativas em matéria de segurança referidas no artigo 31.º;
j) Os pedidos apresentados pelos titulares dos dados e a respetiva tramitação, bem como as decisões do responsável pelo tratamento com a correspondente fundamentação.
3 - O subcontratante conserva um registo de todas as categorias de atividades de tratamento realizadas em nome do responsável pelo tratamento, do qual constam:
a) O nome e os contactos do subcontratante ou subcontratantes, de cada responsável pelo tratamento em nome do qual atua o subcontratante e do encarregado da proteção de dados, se for caso disso;
b) As categorias de tratamentos de dados efetuados em nome de cada responsável pelo tratamento;
c) Se for caso disso, as transferências de dados pessoais para um país terceiro ou para uma organização internacional e as instruções do responsável pelo tratamento para as transferências, incluindo a identificação desse país terceiro ou dessa organização internacional;
d) Uma descrição geral das medidas técnicas e organizativas em matéria de segurança referidas no artigo 31.º
4 - Os registos a que se referem os números anteriores são conservados por escrito e em suporte duradouro, designadamente em formato eletrónico.
5 - O responsável pelo tratamento e o subcontratante facultam os registos previstos nos números anteriores à autoridade de controlo, a pedido desta. |
| |
|
|
|
|
Artigo 27.º
Registo cronológico |
1 - O responsável pelo tratamento e o subcontratante conservam em sistemas de tratamento automatizado registos cronológicos das seguintes operações de tratamento:
a) Recolha;
b) Alteração;
c) Consulta;
d) Divulgação, incluindo transferências;
e) Interconexão;
f) Apagamento; e
g) Limitação do tratamento, incluindo as datas de início e de cessação da limitação.
2 - Os registos cronológicos das operações de consulta e de divulgação devem permitir determinar o motivo, a data e a hora dessas operações, a identificação da pessoa que consultou ou divulgou dados pessoais e, sempre que possível, a identidade dos destinatários desses dados pessoais.
3 - Os registos cronológicos são utilizados exclusivamente para efeitos de verificação da licitude do tratamento, autocontrolo, exercício do poder disciplinar e garantia da integridade e segurança dos dados pessoais, bem como no âmbito e para efeitos de processo penal.
4 - O responsável pelo tratamento e o subcontratante disponibilizam os registos cronológicos à autoridade de controlo, a pedido desta.
5 - As leis específicas reguladoras das operações de tratamento dos dados para as finalidades previstas no artigo 1.º definem os períodos de conservação aplicáveis aos registos cronológicos.
6 - O responsável pelo tratamento e o subcontratante adotam medidas técnicas que garantam a integridade dos registos cronológicos. |
| |
|
|
|
|
Artigo 28.º
Dever de colaboração |
| O responsável pelo tratamento e o subcontratante colaboram plenamente com a autoridade de controlo no exercício das suas atribuições. |
| |
|
|
|
|
Artigo 29.º
Avaliação de impacto |
1 - No caso de um certo tipo de tratamento ser suscetível de representar um elevado risco para os direitos, liberdades e garantias das pessoas, o responsável pelo mesmo deve efetuar uma avaliação do impacto das operações que o compõem antes de lhe dar início.
2 - Tendo em conta os direitos, liberdades e garantias das pessoas, a avaliação do impacto inclui:
a) Uma descrição geral das operações de tratamento previstas;
b) Uma avaliação dos riscos para os direitos, liberdades e garantias dos titulares dos dados;
c) As medidas previstas para fazer face aos riscos mencionados na alínea anterior;
d) As garantias, as medidas de segurança e os mecanismos para assegurar a proteção dos dados pessoais e demonstrar a conformidade do tratamento com a presente lei. |
| |
|
|
|
|
Artigo 30.º
Consulta prévia da autoridade de controlo |
1 - O responsável pelo tratamento ou o subcontratante consultam a autoridade de controlo antes de proceder ao tratamento de dados pessoais a integrar em ficheiro a criar nos casos em que:
a) A avaliação de impacto prevista no artigo anterior indique que o tratamento resultaria num elevado risco, na ausência de medidas adequadas para atenuar esse risco; ou
b) O tipo de tratamento envolva um elevado risco para os direitos, liberdades e garantias dos titulares dos dados, designadamente se utilizar novas tecnologias.
2 - A autoridade de controlo é consultada durante a elaboração de instrumentos jurídicos em preparação na União Europeia ou em instituições internacionais e durante a elaboração de acordos bilaterais ou multilaterais a celebrar entre o Estado Português e outros Estados, bem como de propostas legislativas e regulamentares referentes ao tratamento de dados pessoais, podendo, igualmente, emitir pareceres, por iniciativa própria, sobre qualquer questão relacionada com a proteção de dados pessoais.
3 - A autoridade de controlo pode elaborar e publicitar uma lista das operações de tratamento sujeitas a consulta prévia nos termos do n.º 1.
4 - O responsável pelo tratamento fornece à autoridade de controlo a avaliação de impacto prevista no artigo anterior e, quando solicitado, qualquer outra informação que lhe permita avaliar a conformidade do tratamento com a presente lei, os riscos para a proteção dos dados pessoais e as respetivas garantias.
5 - Caso considere que o tratamento previsto no n.º 1 viola o disposto na presente lei, especialmente se o responsável pelo tratamento não tiver identificado ou atenuado de forma suficiente os riscos, a autoridade de controlo dá orientações por escrito ao responsável pelo tratamento ou ao subcontratante no prazo de seis semanas a contar da receção do pedido de consulta, sem prejuízo de poder adotar outras medidas da sua competência.
6 - O prazo previsto no número anterior pode ser prorrogado por um mês, tendo em conta a complexidade do tratamento em causa, devendo a autoridade de controlo informar o responsável pelo tratamento ou o subcontratante dessa prorrogação e dos respetivos fundamentos. |
| |
|
|
|
|
Artigo 31.º
Segurança do tratamento |
1 - O responsável pelo tratamento e o subcontratante adotam as medidas técnicas e organizativas apropriadas a fim de assegurarem um nível de segurança adequado ao risco, em particular no que diz respeito ao tratamento das categorias especiais de dados pessoais referidos no artigo 6.º
2 - No que respeita ao tratamento automatizado de dados, o responsável pelo tratamento ou o subcontratante, tendo em conta a avaliação dos riscos, devem aplicar medidas que:
a) Impeçam o acesso de pessoas não autorizadas ao equipamento utilizado para o tratamento (controlo de acesso ao equipamento);
b) Impeçam que os suportes de dados sejam lidos, copiados, alterados ou retirados sem autorização (controlo dos suportes de dados);
c) Impeçam a introdução não autorizada de dados pessoais, bem como qualquer operação não autorizada relativamente a dados pessoais conservados (controlo da conservação);
d) Impeçam que os sistemas de tratamento automatizado sejam utilizados por pessoas não autorizadas por meio de equipamento de comunicação de dados (controlo dos utilizadores);
e) Assegurem que as pessoas autorizadas a utilizar um sistema de tratamento automatizado só tenham acesso aos dados pessoais abrangidos pela sua autorização de acesso (controlo do acesso aos dados);
f) Assegurem que possa ser verificado e determinado a que organismos os dados pessoais foram ou podem ser transmitidos ou facultados utilizando equipamento de comunicação de dados (controlo da comunicação);
g) Assegurem que possa ser verificado e determinado a posteriori quais os dados pessoais introduzidos nos sistemas de tratamento automatizado, quando e por quem foram introduzidos (controlo da introdução);
h) Impeçam que, durante as transferências de dados pessoais ou o transporte de suportes de dados, os dados pessoais possam ser lidos, copiados, alterados ou suprimidos sem autorização (controlo do transporte);
i) Assegurem que os sistemas utilizados possam ser restaurados em caso de interrupção (recuperação);
j) Assegurem que as funções do sistema funcionam, que os erros de funcionamento sejam assinalados (fiabilidade) e que os dados pessoais conservados não possam ser falseados por funcionamento defeituoso do sistema (integridade).
3 - O disposto no número anterior é aplicável, com as devidas adaptações, ao tratamento manual de dados contidos ou destinados a um ficheiro estruturado. |
| |
|
|
|
|
|