|
Lei n.º 59/2019, de 08 de Agosto DADOS PESSOAIS PARA PREVENÇÃO, DETEÇÃO, INVESTIGAÇÃO OU REPRESSÃO DE INFRAÇÕES PENAIS(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, transpondo a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 _____________________ |
|
Artigo 27.º
Registo cronológico |
1 - O responsável pelo tratamento e o subcontratante conservam em sistemas de tratamento automatizado registos cronológicos das seguintes operações de tratamento:
a) Recolha;
b) Alteração;
c) Consulta;
d) Divulgação, incluindo transferências;
e) Interconexão;
f) Apagamento; e
g) Limitação do tratamento, incluindo as datas de início e de cessação da limitação.
2 - Os registos cronológicos das operações de consulta e de divulgação devem permitir determinar o motivo, a data e a hora dessas operações, a identificação da pessoa que consultou ou divulgou dados pessoais e, sempre que possível, a identidade dos destinatários desses dados pessoais.
3 - Os registos cronológicos são utilizados exclusivamente para efeitos de verificação da licitude do tratamento, autocontrolo, exercício do poder disciplinar e garantia da integridade e segurança dos dados pessoais, bem como no âmbito e para efeitos de processo penal.
4 - O responsável pelo tratamento e o subcontratante disponibilizam os registos cronológicos à autoridade de controlo, a pedido desta.
5 - As leis específicas reguladoras das operações de tratamento dos dados para as finalidades previstas no artigo 1.º definem os períodos de conservação aplicáveis aos registos cronológicos.
6 - O responsável pelo tratamento e o subcontratante adotam medidas técnicas que garantam a integridade dos registos cronológicos. |
| |
|
|
|
|
Artigo 28.º
Dever de colaboração |
| O responsável pelo tratamento e o subcontratante colaboram plenamente com a autoridade de controlo no exercício das suas atribuições. |
| |
|
|
|
|
Artigo 29.º
Avaliação de impacto |
1 - No caso de um certo tipo de tratamento ser suscetível de representar um elevado risco para os direitos, liberdades e garantias das pessoas, o responsável pelo mesmo deve efetuar uma avaliação do impacto das operações que o compõem antes de lhe dar início.
2 - Tendo em conta os direitos, liberdades e garantias das pessoas, a avaliação do impacto inclui:
a) Uma descrição geral das operações de tratamento previstas;
b) Uma avaliação dos riscos para os direitos, liberdades e garantias dos titulares dos dados;
c) As medidas previstas para fazer face aos riscos mencionados na alínea anterior;
d) As garantias, as medidas de segurança e os mecanismos para assegurar a proteção dos dados pessoais e demonstrar a conformidade do tratamento com a presente lei. |
| |
|
|
|
|
Artigo 30.º
Consulta prévia da autoridade de controlo |
1 - O responsável pelo tratamento ou o subcontratante consultam a autoridade de controlo antes de proceder ao tratamento de dados pessoais a integrar em ficheiro a criar nos casos em que:
a) A avaliação de impacto prevista no artigo anterior indique que o tratamento resultaria num elevado risco, na ausência de medidas adequadas para atenuar esse risco; ou
b) O tipo de tratamento envolva um elevado risco para os direitos, liberdades e garantias dos titulares dos dados, designadamente se utilizar novas tecnologias.
2 - A autoridade de controlo é consultada durante a elaboração de instrumentos jurídicos em preparação na União Europeia ou em instituições internacionais e durante a elaboração de acordos bilaterais ou multilaterais a celebrar entre o Estado Português e outros Estados, bem como de propostas legislativas e regulamentares referentes ao tratamento de dados pessoais, podendo, igualmente, emitir pareceres, por iniciativa própria, sobre qualquer questão relacionada com a proteção de dados pessoais.
3 - A autoridade de controlo pode elaborar e publicitar uma lista das operações de tratamento sujeitas a consulta prévia nos termos do n.º 1.
4 - O responsável pelo tratamento fornece à autoridade de controlo a avaliação de impacto prevista no artigo anterior e, quando solicitado, qualquer outra informação que lhe permita avaliar a conformidade do tratamento com a presente lei, os riscos para a proteção dos dados pessoais e as respetivas garantias.
5 - Caso considere que o tratamento previsto no n.º 1 viola o disposto na presente lei, especialmente se o responsável pelo tratamento não tiver identificado ou atenuado de forma suficiente os riscos, a autoridade de controlo dá orientações por escrito ao responsável pelo tratamento ou ao subcontratante no prazo de seis semanas a contar da receção do pedido de consulta, sem prejuízo de poder adotar outras medidas da sua competência.
6 - O prazo previsto no número anterior pode ser prorrogado por um mês, tendo em conta a complexidade do tratamento em causa, devendo a autoridade de controlo informar o responsável pelo tratamento ou o subcontratante dessa prorrogação e dos respetivos fundamentos. |
| |
|
|
|
|
Artigo 31.º
Segurança do tratamento |
1 - O responsável pelo tratamento e o subcontratante adotam as medidas técnicas e organizativas apropriadas a fim de assegurarem um nível de segurança adequado ao risco, em particular no que diz respeito ao tratamento das categorias especiais de dados pessoais referidos no artigo 6.º
2 - No que respeita ao tratamento automatizado de dados, o responsável pelo tratamento ou o subcontratante, tendo em conta a avaliação dos riscos, devem aplicar medidas que:
a) Impeçam o acesso de pessoas não autorizadas ao equipamento utilizado para o tratamento (controlo de acesso ao equipamento);
b) Impeçam que os suportes de dados sejam lidos, copiados, alterados ou retirados sem autorização (controlo dos suportes de dados);
c) Impeçam a introdução não autorizada de dados pessoais, bem como qualquer operação não autorizada relativamente a dados pessoais conservados (controlo da conservação);
d) Impeçam que os sistemas de tratamento automatizado sejam utilizados por pessoas não autorizadas por meio de equipamento de comunicação de dados (controlo dos utilizadores);
e) Assegurem que as pessoas autorizadas a utilizar um sistema de tratamento automatizado só tenham acesso aos dados pessoais abrangidos pela sua autorização de acesso (controlo do acesso aos dados);
f) Assegurem que possa ser verificado e determinado a que organismos os dados pessoais foram ou podem ser transmitidos ou facultados utilizando equipamento de comunicação de dados (controlo da comunicação);
g) Assegurem que possa ser verificado e determinado a posteriori quais os dados pessoais introduzidos nos sistemas de tratamento automatizado, quando e por quem foram introduzidos (controlo da introdução);
h) Impeçam que, durante as transferências de dados pessoais ou o transporte de suportes de dados, os dados pessoais possam ser lidos, copiados, alterados ou suprimidos sem autorização (controlo do transporte);
i) Assegurem que os sistemas utilizados possam ser restaurados em caso de interrupção (recuperação);
j) Assegurem que as funções do sistema funcionam, que os erros de funcionamento sejam assinalados (fiabilidade) e que os dados pessoais conservados não possam ser falseados por funcionamento defeituoso do sistema (integridade).
3 - O disposto no número anterior é aplicável, com as devidas adaptações, ao tratamento manual de dados contidos ou destinados a um ficheiro estruturado. |
| |
|
|
|
|
Artigo 32.º
Notificação de uma violação de dados pessoais à autoridade de controlo |
1 - Caso se verifique uma violação de dados pessoais, o responsável pelo tratamento notifica a autoridade de controlo no prazo de 72 horas após ter conhecimento da situação, a menos que a violação não seja suscetível de resultar num risco para os direitos, liberdades e garantias das pessoas singulares.
2 - Nos casos em que não seja possível efetuar a notificação no prazo de 72 horas, o responsável pelo tratamento deve indicar os motivos do atraso.
3 - A notificação a que se refere o n.º 1 é confidencial e deve, no mínimo:
a) Descrever a natureza da violação de dados pessoais, incluindo, se possível e adequado, as categorias e o número aproximado de titulares dos dados afetados e as categorias e o número aproximado de registos de dados pessoais em causa;
b) Comunicar o nome e os contactos do encarregado da proteção de dados ou de outro ponto de contacto, para efeitos de prestação de informações adicionais;
c) Descrever as consequências prováveis da violação de dados pessoais;
d) Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação de dados pessoais, nomeadamente, se for caso disso, para atenuar os seus eventuais efeitos negativos.
4 - Nos casos em que não seja possível serem prestadas em simultâneo, as informações referidas no número anterior podem ser fornecidas posteriormente à notificação, sem demora injustificada.
5 - O responsável pelo tratamento documenta qualquer violação de dados pessoais, incluindo os factos com ela relacionados, os seus efeitos e as medidas de reparação adotadas, de modo a permitir à autoridade de controlo verificar o cumprimento do disposto no presente artigo.
6 - Caso a violação de dados envolva dados pessoais que tenham sido transmitidos pelo ou ao responsável pelo tratamento de outro Estado-Membro, as informações referidas no n.º 3 são-lhe comunicadas, sem demora injustificada.
7 - Nos casos de subcontratação, o subcontratante notifica o responsável pelo tratamento de qualquer violação de dados pessoais de que tenha conhecimento, sem demora injustificada.
8 - A notificação prevista nos números anteriores não prejudica a comunicação de incidentes às autoridades competentes. |
| |
|
|
|
|
Artigo 33.º
Comunicação de uma violação de dados pessoais ao titular dos dados |
1 - Caso se verifique uma violação de dados pessoais suscetível de resultar num elevado risco para os direitos, liberdades e garantias do titular dos dados, o responsável pelo tratamento comunica-lhe a violação, sem demora injustificada.
2 - A comunicação ao titular dos dados descreve, numa linguagem clara e simples, a natureza da violação dos dados pessoais e inclui as informações e as medidas referidas nas alíneas b), c) e d) do n.º 3 do artigo anterior.
3 - A comunicação é dispensada nos casos em que:
a) O responsável pelo tratamento tiver adotado medidas de proteção adequadas, tanto tecnológicas como organizativas, e estas tiverem sido aplicadas aos dados afetados pela violação de dados pessoais, designadamente a cifragem;
b) O responsável pelo tratamento tiver tomado medidas subsequentes que assegurem que a concretização do elevado risco referido no n.º 1 deixou de ser provável; ou
c) Implicar um esforço desproporcionado, devendo, neste caso, o responsável pelo tratamento informar os titulares dos dados de outra forma igualmente eficaz, nomeadamente através de comunicação pública.
4 - Se o responsável pelo tratamento não tiver comunicado a violação de dados pessoais ao titular dos dados, a autoridade de controlo, caso considere que da violação de dados pessoais resulta um elevado risco para os seus direitos, liberdades e garantias, pode exigir ao responsável que proceda a essa comunicação ou dispensá-la pelos motivos indicados no número anterior.
5 - A comunicação prevista no n.º 1 pode ser adiada, limitada ou omitida sob reserva das condições e pelos motivos enunciados no n.º 5 do artigo 13.º |
| |
|
|
|
|
Artigo 34.º
Designação do encarregado da proteção de dados |
1 - O responsável pelo tratamento designa um encarregado de proteção de dados para o assistir no controlo do cumprimento das obrigações decorrentes da presente lei, incluindo no tratamento dos dados efetuado por sua conta pelo subcontratante.
2 - A obrigação prevista no número anterior não se aplica aos tribunais nem ao Ministério Público, no exercício das suas competências processuais.
3 - O encarregado da proteção de dados é designado com base nas suas qualidades profissionais, em especial nos seus conhecimentos especializados no domínio da legislação e das práticas de proteção de dados e na sua capacidade para desempenhar as funções referidas no artigo seguinte.
4 - Pode ser designado um único encarregado da proteção de dados para várias autoridades competentes, tendo em conta a sua dimensão e estrutura organizativa.
5 - Sem prejuízo do disposto na alínea b) do n.º 1 do artigo 14.º, o responsável pelo tratamento comunica à autoridade de controlo os contactos do encarregado da proteção de dados. |
| |
|
|
|
|
Artigo 35.º
Funções do encarregado da proteção de dados |
Ao encarregado da proteção de dados compete, designadamente:
a) Informar e aconselhar o responsável pelo tratamento e os trabalhadores que efetuam o tratamento quanto às obrigações que lhes incumbem por força da presente lei e de outras disposições legais relativas à proteção de dados pessoais;
b) Fiscalizar o cumprimento da presente lei e de outras disposições legais sobre proteção de dados pessoais, bem como das orientações do responsável pelo tratamento em matéria de proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e a formação do pessoal envolvido nas operações de tratamento e as auditorias correspondentes;
c) Prestar aconselhamento, quando solicitado, no que respeita à avaliação de impacto e controlar a sua realização, nos termos do artigo 29.º;
d) Cooperar com a autoridade de controlo;
e) Ser ponto de contacto e apoiar a autoridade de controlo nos assuntos relacionados com o tratamento de dados, incluindo a consulta prévia a que se refere o artigo 29.º |
| |
|
|
|
|
Artigo 36.º
Exercício de funções pelo encarregado da proteção de dados |
1 - O responsável pelo tratamento assegura que o encarregado da proteção de dados é envolvido, de forma adequada e em tempo útil, em todas as questões relacionadas com a proteção de dados pessoais.
2 - O responsável pelo tratamento apoia o encarregado da proteção de dados no desempenho das suas funções, concedendo-lhe acesso aos dados pessoais e às operações de tratamento, e fornecendo-lhe os recursos necessários para esse efeito e para a atualização dos seus conhecimentos.
3 - O responsável pelo tratamento e o subcontratante asseguram que o encarregado da proteção de dados não recebe instruções relativamente ao exercício das suas funções e que não pode ser destituído nem penalizado pelo facto de as exercer.
4 - O encarregado da proteção de dados não está impedido de exercer outras funções, desde que o responsável pelo tratamento ou o subcontratante assegurem que do seu exercício não resulta um conflito de interesses. |
| |
|
|
|
|
CAPÍTULO V
Transferências de dados pessoais para países terceiros ou para organizações internacionais
| Artigo 37.º
Princípios gerais aplicáveis às transferências de dados pessoais |
1 - Sem prejuízo de outras condições exigidas na lei, as autoridades competentes só podem transferir dados pessoais para um país terceiro ou para uma organização internacional, inclusivamente dados que se destinem a transferências ulteriores para outro país terceiro ou para outra organização internacional, se:
a) A transferência for necessária para a prossecução das finalidades previstas no artigo 1.º;
b) Os dados pessoais forem transferidos para um responsável pelo tratamento no país terceiro ou na organização internacional com competência para os efeitos previstos no artigo 1.º, sem prejuízo do disposto no artigo 41.º;
c) No caso de os dados pessoais terem sido transmitidos ou disponibilizados por outro Estado-Membro, esse Estado tiver dado o seu consentimento prévio à transferência, sem prejuízo do disposto no número seguinte;
d) Tiver sido adotada uma decisão de adequação, nos termos do disposto no artigo 38.º, ou tiverem sido apresentadas garantias adequadas, nos termos do artigo 39.º, ou forem aplicáveis as derrogações previstas no artigo 40.º;
e) No caso de uma transferência ulterior para um país terceiro ou para uma organização internacional, a autoridade competente que realizou a transferência inicial ou outra autoridade competente do mesmo Estado-Membro autorizar a transferência ulterior, após ter em conta todos os fatores pertinentes, nomeadamente a gravidade da infração penal, a finalidade para que os dados pessoais foram inicialmente transferidos e o nível de proteção no país terceiro ou na organização internacional para os quais os dados pessoais forem ulteriormente transferidos; e
f) A transferência não comprometer o nível de proteção das pessoas assegurado pela presente lei.
2 - As transferências sem o consentimento prévio a que alude a alínea c) do número anterior apenas são permitidas se forem necessárias para prevenir uma ameaça imediata e grave à segurança pública de um Estado-Membro ou de um país terceiro, ou aos interesses essenciais de um Estado-Membro, e o consentimento prévio não puder ser obtido em tempo útil.
3 - No caso previsto no número anterior, a autoridade responsável por dar o consentimento é informada sem demora. |
| |
|
|
|
|
|