|
Lei n.º 59/2019, de 08 de Agosto DADOS PESSOAIS PARA PREVENÇÃO, DETEÇÃO, INVESTIGAÇÃO OU REPRESSÃO DE INFRAÇÕES PENAIS(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, transpondo a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 _____________________ |
|
Artigo 23.º
Tratamento dos dados por subcontratante |
1 - O responsável pelo tratamento pode recorrer a subcontratantes que apresentem garantias suficientes de adoção de medidas técnicas e organizativas adequadas de modo a que o tratamento satisfaça os requisitos estabelecidos na presente lei e assegure a proteção dos direitos do titular dos dados.
2 - O subcontratante não pode recorrer a outro subcontratante sem a autorização prévia específica ou geral, por escrito, do responsável pelo tratamento, com exceção dos casos em que a subcontratação esteja prevista na lei.
3 - Em caso de autorização geral, o subcontratante informa o responsável pelo tratamento de todas as alterações pretendidas quanto à contratação de outros subcontratantes, podendo o responsável pelo tratamento opor-se a essas alterações.
4 - O tratamento de dados em subcontratação é regulado por contrato escrito ou por lei que estabeleça o objeto, a duração, a natureza e a finalidade do tratamento, o tipo de dados pessoais e as categorias de titulares de dados a tratar, bem como as obrigações e os direitos do responsável pelo tratamento.
5 - O contrato ou a lei referidos no número anterior preveem, designadamente, que o subcontratante:
a) Só aja de acordo com as instruções do responsável pelo tratamento;
b) Assegure que as pessoas autorizadas a tratar os dados pessoais assumem um compromisso de confidencialidade ou se encontram sujeitas a obrigações legais de confidencialidade;
c) Preste assistência ao responsável pelo tratamento por todos os meios adequados de modo a assegurar o cumprimento das disposições relativas aos direitos do titular dos dados;
d) Após concluir os serviços de tratamento, apague de forma definitiva ou devolva os dados ao responsável pelo tratamento, consoante a escolha deste, e apague as cópias existentes, a menos que a sua conservação seja exigida por lei;
e) Disponibilize ao responsável pelo tratamento as informações necessárias para demonstrar o cumprimento do disposto no presente artigo;
f) Respeite as condições referidas nos n.os 2 e 3 no que respeita à contratação de outro subcontratante;
g) Adote as medidas técnicas e organizativas adequadas que assegurem a proteção dos dados pessoais, em conformidade com o exigido na presente lei, devendo considerar o princípio da proteção de dados desde a conceção e por defeito. |
| |
|
|
|
|
Artigo 24.º
Tratamento sob a autoridade do responsável pelo tratamento ou do subcontratante |
| O subcontratante, bem como qualquer pessoa que, agindo sob a autoridade deste ou do responsável pelo tratamento, tenha acesso a dados pessoais, não pode efetuar o respetivo tratamento sem instruções do responsável pelo tratamento. |
| |
|
|
|
|
Artigo 25.º
Dever de sigilo |
| Os responsáveis pelo tratamento, os subcontratantes, bem como qualquer outra pessoa que, no exercício das suas funções, tenha acesso aos dados pessoais, ficam obrigados a sigilo profissional, mesmo após o termo das suas funções. |
| |
|
|
|
|
Artigo 26.º
Registos das atividades de tratamento |
1 - O responsável pelo tratamento conserva um registo de todas as categorias de atividades de tratamento sob a sua responsabilidade.
2 - O registo deve conter:
a) O nome e os contactos do responsável pelo tratamento e, se for o caso, dos responsáveis conjuntos pelo tratamento e do encarregado da proteção de dados;
b) As finalidades do tratamento;
c) As categorias de destinatários aos quais os dados pessoais são divulgados ou facultados, incluindo os destinatários estabelecidos em países terceiros ou organizações internacionais;
d) A descrição das categorias de titulares de dados e das categorias de dados pessoais;
e) A utilização da definição de perfis, se for caso disso;
f) As categorias de transferências de dados pessoais para um país terceiro ou para uma organização internacional, se for caso disso;
g) A indicação do fundamento jurídico do tratamento, incluindo das transferências, a que os dados pessoais se destinam;
h) Se possível, os prazos de conservação das diferentes categorias de dados pessoais ou os procedimentos previstos para revisão periódica da necessidade de conservação;
i) Uma descrição geral das medidas técnicas e organizativas em matéria de segurança referidas no artigo 31.º;
j) Os pedidos apresentados pelos titulares dos dados e a respetiva tramitação, bem como as decisões do responsável pelo tratamento com a correspondente fundamentação.
3 - O subcontratante conserva um registo de todas as categorias de atividades de tratamento realizadas em nome do responsável pelo tratamento, do qual constam:
a) O nome e os contactos do subcontratante ou subcontratantes, de cada responsável pelo tratamento em nome do qual atua o subcontratante e do encarregado da proteção de dados, se for caso disso;
b) As categorias de tratamentos de dados efetuados em nome de cada responsável pelo tratamento;
c) Se for caso disso, as transferências de dados pessoais para um país terceiro ou para uma organização internacional e as instruções do responsável pelo tratamento para as transferências, incluindo a identificação desse país terceiro ou dessa organização internacional;
d) Uma descrição geral das medidas técnicas e organizativas em matéria de segurança referidas no artigo 31.º
4 - Os registos a que se referem os números anteriores são conservados por escrito e em suporte duradouro, designadamente em formato eletrónico.
5 - O responsável pelo tratamento e o subcontratante facultam os registos previstos nos números anteriores à autoridade de controlo, a pedido desta. |
| |
|
|
|
|
Artigo 27.º
Registo cronológico |
1 - O responsável pelo tratamento e o subcontratante conservam em sistemas de tratamento automatizado registos cronológicos das seguintes operações de tratamento:
a) Recolha;
b) Alteração;
c) Consulta;
d) Divulgação, incluindo transferências;
e) Interconexão;
f) Apagamento; e
g) Limitação do tratamento, incluindo as datas de início e de cessação da limitação.
2 - Os registos cronológicos das operações de consulta e de divulgação devem permitir determinar o motivo, a data e a hora dessas operações, a identificação da pessoa que consultou ou divulgou dados pessoais e, sempre que possível, a identidade dos destinatários desses dados pessoais.
3 - Os registos cronológicos são utilizados exclusivamente para efeitos de verificação da licitude do tratamento, autocontrolo, exercício do poder disciplinar e garantia da integridade e segurança dos dados pessoais, bem como no âmbito e para efeitos de processo penal.
4 - O responsável pelo tratamento e o subcontratante disponibilizam os registos cronológicos à autoridade de controlo, a pedido desta.
5 - As leis específicas reguladoras das operações de tratamento dos dados para as finalidades previstas no artigo 1.º definem os períodos de conservação aplicáveis aos registos cronológicos.
6 - O responsável pelo tratamento e o subcontratante adotam medidas técnicas que garantam a integridade dos registos cronológicos. |
| |
|
|
|
|
Artigo 28.º
Dever de colaboração |
| O responsável pelo tratamento e o subcontratante colaboram plenamente com a autoridade de controlo no exercício das suas atribuições. |
| |
|
|
|
|
Artigo 29.º
Avaliação de impacto |
1 - No caso de um certo tipo de tratamento ser suscetível de representar um elevado risco para os direitos, liberdades e garantias das pessoas, o responsável pelo mesmo deve efetuar uma avaliação do impacto das operações que o compõem antes de lhe dar início.
2 - Tendo em conta os direitos, liberdades e garantias das pessoas, a avaliação do impacto inclui:
a) Uma descrição geral das operações de tratamento previstas;
b) Uma avaliação dos riscos para os direitos, liberdades e garantias dos titulares dos dados;
c) As medidas previstas para fazer face aos riscos mencionados na alínea anterior;
d) As garantias, as medidas de segurança e os mecanismos para assegurar a proteção dos dados pessoais e demonstrar a conformidade do tratamento com a presente lei. |
| |
|
|
|
|
Artigo 30.º
Consulta prévia da autoridade de controlo |
1 - O responsável pelo tratamento ou o subcontratante consultam a autoridade de controlo antes de proceder ao tratamento de dados pessoais a integrar em ficheiro a criar nos casos em que:
a) A avaliação de impacto prevista no artigo anterior indique que o tratamento resultaria num elevado risco, na ausência de medidas adequadas para atenuar esse risco; ou
b) O tipo de tratamento envolva um elevado risco para os direitos, liberdades e garantias dos titulares dos dados, designadamente se utilizar novas tecnologias.
2 - A autoridade de controlo é consultada durante a elaboração de instrumentos jurídicos em preparação na União Europeia ou em instituições internacionais e durante a elaboração de acordos bilaterais ou multilaterais a celebrar entre o Estado Português e outros Estados, bem como de propostas legislativas e regulamentares referentes ao tratamento de dados pessoais, podendo, igualmente, emitir pareceres, por iniciativa própria, sobre qualquer questão relacionada com a proteção de dados pessoais.
3 - A autoridade de controlo pode elaborar e publicitar uma lista das operações de tratamento sujeitas a consulta prévia nos termos do n.º 1.
4 - O responsável pelo tratamento fornece à autoridade de controlo a avaliação de impacto prevista no artigo anterior e, quando solicitado, qualquer outra informação que lhe permita avaliar a conformidade do tratamento com a presente lei, os riscos para a proteção dos dados pessoais e as respetivas garantias.
5 - Caso considere que o tratamento previsto no n.º 1 viola o disposto na presente lei, especialmente se o responsável pelo tratamento não tiver identificado ou atenuado de forma suficiente os riscos, a autoridade de controlo dá orientações por escrito ao responsável pelo tratamento ou ao subcontratante no prazo de seis semanas a contar da receção do pedido de consulta, sem prejuízo de poder adotar outras medidas da sua competência.
6 - O prazo previsto no número anterior pode ser prorrogado por um mês, tendo em conta a complexidade do tratamento em causa, devendo a autoridade de controlo informar o responsável pelo tratamento ou o subcontratante dessa prorrogação e dos respetivos fundamentos. |
| |
|
|
|
|
Artigo 31.º
Segurança do tratamento |
1 - O responsável pelo tratamento e o subcontratante adotam as medidas técnicas e organizativas apropriadas a fim de assegurarem um nível de segurança adequado ao risco, em particular no que diz respeito ao tratamento das categorias especiais de dados pessoais referidos no artigo 6.º
2 - No que respeita ao tratamento automatizado de dados, o responsável pelo tratamento ou o subcontratante, tendo em conta a avaliação dos riscos, devem aplicar medidas que:
a) Impeçam o acesso de pessoas não autorizadas ao equipamento utilizado para o tratamento (controlo de acesso ao equipamento);
b) Impeçam que os suportes de dados sejam lidos, copiados, alterados ou retirados sem autorização (controlo dos suportes de dados);
c) Impeçam a introdução não autorizada de dados pessoais, bem como qualquer operação não autorizada relativamente a dados pessoais conservados (controlo da conservação);
d) Impeçam que os sistemas de tratamento automatizado sejam utilizados por pessoas não autorizadas por meio de equipamento de comunicação de dados (controlo dos utilizadores);
e) Assegurem que as pessoas autorizadas a utilizar um sistema de tratamento automatizado só tenham acesso aos dados pessoais abrangidos pela sua autorização de acesso (controlo do acesso aos dados);
f) Assegurem que possa ser verificado e determinado a que organismos os dados pessoais foram ou podem ser transmitidos ou facultados utilizando equipamento de comunicação de dados (controlo da comunicação);
g) Assegurem que possa ser verificado e determinado a posteriori quais os dados pessoais introduzidos nos sistemas de tratamento automatizado, quando e por quem foram introduzidos (controlo da introdução);
h) Impeçam que, durante as transferências de dados pessoais ou o transporte de suportes de dados, os dados pessoais possam ser lidos, copiados, alterados ou suprimidos sem autorização (controlo do transporte);
i) Assegurem que os sistemas utilizados possam ser restaurados em caso de interrupção (recuperação);
j) Assegurem que as funções do sistema funcionam, que os erros de funcionamento sejam assinalados (fiabilidade) e que os dados pessoais conservados não possam ser falseados por funcionamento defeituoso do sistema (integridade).
3 - O disposto no número anterior é aplicável, com as devidas adaptações, ao tratamento manual de dados contidos ou destinados a um ficheiro estruturado. |
| |
|
|
|
|
Artigo 32.º
Notificação de uma violação de dados pessoais à autoridade de controlo |
1 - Caso se verifique uma violação de dados pessoais, o responsável pelo tratamento notifica a autoridade de controlo no prazo de 72 horas após ter conhecimento da situação, a menos que a violação não seja suscetível de resultar num risco para os direitos, liberdades e garantias das pessoas singulares.
2 - Nos casos em que não seja possível efetuar a notificação no prazo de 72 horas, o responsável pelo tratamento deve indicar os motivos do atraso.
3 - A notificação a que se refere o n.º 1 é confidencial e deve, no mínimo:
a) Descrever a natureza da violação de dados pessoais, incluindo, se possível e adequado, as categorias e o número aproximado de titulares dos dados afetados e as categorias e o número aproximado de registos de dados pessoais em causa;
b) Comunicar o nome e os contactos do encarregado da proteção de dados ou de outro ponto de contacto, para efeitos de prestação de informações adicionais;
c) Descrever as consequências prováveis da violação de dados pessoais;
d) Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação de dados pessoais, nomeadamente, se for caso disso, para atenuar os seus eventuais efeitos negativos.
4 - Nos casos em que não seja possível serem prestadas em simultâneo, as informações referidas no número anterior podem ser fornecidas posteriormente à notificação, sem demora injustificada.
5 - O responsável pelo tratamento documenta qualquer violação de dados pessoais, incluindo os factos com ela relacionados, os seus efeitos e as medidas de reparação adotadas, de modo a permitir à autoridade de controlo verificar o cumprimento do disposto no presente artigo.
6 - Caso a violação de dados envolva dados pessoais que tenham sido transmitidos pelo ou ao responsável pelo tratamento de outro Estado-Membro, as informações referidas no n.º 3 são-lhe comunicadas, sem demora injustificada.
7 - Nos casos de subcontratação, o subcontratante notifica o responsável pelo tratamento de qualquer violação de dados pessoais de que tenha conhecimento, sem demora injustificada.
8 - A notificação prevista nos números anteriores não prejudica a comunicação de incidentes às autoridades competentes. |
| |
|
|
|
|
Artigo 33.º
Comunicação de uma violação de dados pessoais ao titular dos dados |
1 - Caso se verifique uma violação de dados pessoais suscetível de resultar num elevado risco para os direitos, liberdades e garantias do titular dos dados, o responsável pelo tratamento comunica-lhe a violação, sem demora injustificada.
2 - A comunicação ao titular dos dados descreve, numa linguagem clara e simples, a natureza da violação dos dados pessoais e inclui as informações e as medidas referidas nas alíneas b), c) e d) do n.º 3 do artigo anterior.
3 - A comunicação é dispensada nos casos em que:
a) O responsável pelo tratamento tiver adotado medidas de proteção adequadas, tanto tecnológicas como organizativas, e estas tiverem sido aplicadas aos dados afetados pela violação de dados pessoais, designadamente a cifragem;
b) O responsável pelo tratamento tiver tomado medidas subsequentes que assegurem que a concretização do elevado risco referido no n.º 1 deixou de ser provável; ou
c) Implicar um esforço desproporcionado, devendo, neste caso, o responsável pelo tratamento informar os titulares dos dados de outra forma igualmente eficaz, nomeadamente através de comunicação pública.
4 - Se o responsável pelo tratamento não tiver comunicado a violação de dados pessoais ao titular dos dados, a autoridade de controlo, caso considere que da violação de dados pessoais resulta um elevado risco para os seus direitos, liberdades e garantias, pode exigir ao responsável que proceda a essa comunicação ou dispensá-la pelos motivos indicados no número anterior.
5 - A comunicação prevista no n.º 1 pode ser adiada, limitada ou omitida sob reserva das condições e pelos motivos enunciados no n.º 5 do artigo 13.º |
| |
|
|
|
|
|