|
Lei n.º 59/2019, de 08 de Agosto DADOS PESSOAIS PARA PREVENÇÃO, DETEÇÃO, INVESTIGAÇÃO OU REPRESSÃO DE INFRAÇÕES PENAIS(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, transpondo a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 _____________________ |
|
Artigo 34.º
Designação do encarregado da proteção de dados |
1 - O responsável pelo tratamento designa um encarregado de proteção de dados para o assistir no controlo do cumprimento das obrigações decorrentes da presente lei, incluindo no tratamento dos dados efetuado por sua conta pelo subcontratante.
2 - A obrigação prevista no número anterior não se aplica aos tribunais nem ao Ministério Público, no exercício das suas competências processuais.
3 - O encarregado da proteção de dados é designado com base nas suas qualidades profissionais, em especial nos seus conhecimentos especializados no domínio da legislação e das práticas de proteção de dados e na sua capacidade para desempenhar as funções referidas no artigo seguinte.
4 - Pode ser designado um único encarregado da proteção de dados para várias autoridades competentes, tendo em conta a sua dimensão e estrutura organizativa.
5 - Sem prejuízo do disposto na alínea b) do n.º 1 do artigo 14.º, o responsável pelo tratamento comunica à autoridade de controlo os contactos do encarregado da proteção de dados. |
| |
|
|
|
|
Artigo 35.º
Funções do encarregado da proteção de dados |
Ao encarregado da proteção de dados compete, designadamente:
a) Informar e aconselhar o responsável pelo tratamento e os trabalhadores que efetuam o tratamento quanto às obrigações que lhes incumbem por força da presente lei e de outras disposições legais relativas à proteção de dados pessoais;
b) Fiscalizar o cumprimento da presente lei e de outras disposições legais sobre proteção de dados pessoais, bem como das orientações do responsável pelo tratamento em matéria de proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e a formação do pessoal envolvido nas operações de tratamento e as auditorias correspondentes;
c) Prestar aconselhamento, quando solicitado, no que respeita à avaliação de impacto e controlar a sua realização, nos termos do artigo 29.º;
d) Cooperar com a autoridade de controlo;
e) Ser ponto de contacto e apoiar a autoridade de controlo nos assuntos relacionados com o tratamento de dados, incluindo a consulta prévia a que se refere o artigo 29.º |
| |
|
|
|
|
Artigo 36.º
Exercício de funções pelo encarregado da proteção de dados |
1 - O responsável pelo tratamento assegura que o encarregado da proteção de dados é envolvido, de forma adequada e em tempo útil, em todas as questões relacionadas com a proteção de dados pessoais.
2 - O responsável pelo tratamento apoia o encarregado da proteção de dados no desempenho das suas funções, concedendo-lhe acesso aos dados pessoais e às operações de tratamento, e fornecendo-lhe os recursos necessários para esse efeito e para a atualização dos seus conhecimentos.
3 - O responsável pelo tratamento e o subcontratante asseguram que o encarregado da proteção de dados não recebe instruções relativamente ao exercício das suas funções e que não pode ser destituído nem penalizado pelo facto de as exercer.
4 - O encarregado da proteção de dados não está impedido de exercer outras funções, desde que o responsável pelo tratamento ou o subcontratante assegurem que do seu exercício não resulta um conflito de interesses. |
| |
|
|
|
|
CAPÍTULO V
Transferências de dados pessoais para países terceiros ou para organizações internacionais
| Artigo 37.º
Princípios gerais aplicáveis às transferências de dados pessoais |
1 - Sem prejuízo de outras condições exigidas na lei, as autoridades competentes só podem transferir dados pessoais para um país terceiro ou para uma organização internacional, inclusivamente dados que se destinem a transferências ulteriores para outro país terceiro ou para outra organização internacional, se:
a) A transferência for necessária para a prossecução das finalidades previstas no artigo 1.º;
b) Os dados pessoais forem transferidos para um responsável pelo tratamento no país terceiro ou na organização internacional com competência para os efeitos previstos no artigo 1.º, sem prejuízo do disposto no artigo 41.º;
c) No caso de os dados pessoais terem sido transmitidos ou disponibilizados por outro Estado-Membro, esse Estado tiver dado o seu consentimento prévio à transferência, sem prejuízo do disposto no número seguinte;
d) Tiver sido adotada uma decisão de adequação, nos termos do disposto no artigo 38.º, ou tiverem sido apresentadas garantias adequadas, nos termos do artigo 39.º, ou forem aplicáveis as derrogações previstas no artigo 40.º;
e) No caso de uma transferência ulterior para um país terceiro ou para uma organização internacional, a autoridade competente que realizou a transferência inicial ou outra autoridade competente do mesmo Estado-Membro autorizar a transferência ulterior, após ter em conta todos os fatores pertinentes, nomeadamente a gravidade da infração penal, a finalidade para que os dados pessoais foram inicialmente transferidos e o nível de proteção no país terceiro ou na organização internacional para os quais os dados pessoais forem ulteriormente transferidos; e
f) A transferência não comprometer o nível de proteção das pessoas assegurado pela presente lei.
2 - As transferências sem o consentimento prévio a que alude a alínea c) do número anterior apenas são permitidas se forem necessárias para prevenir uma ameaça imediata e grave à segurança pública de um Estado-Membro ou de um país terceiro, ou aos interesses essenciais de um Estado-Membro, e o consentimento prévio não puder ser obtido em tempo útil.
3 - No caso previsto no número anterior, a autoridade responsável por dar o consentimento é informada sem demora. |
| |
|
|
|
|
Artigo 38.º
Transferências com base numa decisão de adequação |
1 - A transferência de dados pessoais para um país terceiro ou para uma organização internacional pode ser efetuada com base numa decisão de adequação da Comissão Europeia que determine que o país terceiro, território ou um ou mais setores específicos desse país terceiro, ou a organização internacional em causa, asseguram um nível de proteção adequado.
2 - A transferência de dados pessoais com base numa decisão de adequação dispensa uma autorização específica.
3 - Os atos da Comissão Europeia que revoguem, alterem ou suspendam a decisão de adequação não prejudicam as transferências de dados pessoais para o país terceiro, território ou setor específico do país terceiro, ou para a organização internacional em causa, efetuadas nos termos dos artigos 39.º e 40.º |
| |
|
|
|
|
Artigo 39.º
Transferências sujeitas a garantias adequadas |
1 - Na falta de decisão de adequação, ou nos casos de revogação ou suspensão de decisões de adequação, os dados pessoais podem ser transferidos para um país terceiro ou para uma organização internacional se:
a) Tiverem sido apresentadas garantias adequadas no que diz respeito à proteção de dados pessoais mediante um instrumento juridicamente vinculativo; ou
b) O responsável pelo tratamento tiver avaliado todas as circunstâncias inerentes à transferência de dados pessoais e concluído que existem garantias adequadas no que diz respeito à proteção desses dados.
2 - O responsável pelo tratamento informa a autoridade de controlo sobre as categorias de transferências abrangidas pela alínea b) do número anterior.
3 - As transferências baseadas na alínea b) do n.º 1 são documentadas, devendo o responsável pelo tratamento disponibilizar à autoridade de controlo, a pedido desta, toda a documentação pertinente, incluindo informações sobre a data e a hora da transferência, a autoridade competente que as recebe, a justificação da transferência e os dados pessoais transferidos. |
| |
|
|
|
|
Artigo 40.º
Derrogações aplicáveis em situações específicas |
1 - Na falta, revogação ou suspensão de uma decisão de adequação ou de garantias adequadas nos termos dos artigos anteriores, a transferência ou as categorias de transferências de dados pessoais para um país terceiro ou para uma organização internacional só podem ser efetuadas se forem necessárias:
a) Para proteger os interesses vitais do titular dos dados ou de outra pessoa;
b) Para salvaguardar os legítimos interesses do titular dos dados;
c) Para prevenir uma ameaça imediata e grave contra a segurança pública de um Estado-Membro ou de um país terceiro;
d) Em casos específicos, para a prossecução das finalidades estabelecidas no artigo 1.º; ou
e) Em casos específicos, para declarar, exercer ou defender, no âmbito de um processo judicial, um direito relacionado com as finalidades estabelecidas no artigo 1.º
2 - Ainda que se verifiquem os fundamentos previstos na alínea d) ou na alínea e) do número anterior, os dados pessoais não são transferidos se a autoridade competente para proceder à transferência considerar que os direitos, liberdades e garantias fundamentais do titular dos dados em causa prevalecem sobre as finalidades que motivariam a transferência por interesse público.
3 - As transferências de dados efetuadas nos termos do n.º 1 são limitadas aos dados estritamente necessários para a finalidade prosseguida.
4 - O responsável pelo tratamento documenta a informação pertinente referente às transferências realizadas ao abrigo do n.º 1, devendo disponibilizar a documentação à autoridade de controlo, a pedido desta, incluindo informações sobre a data e a hora da transferência, a autoridade competente que as recebe, a justificação da transferência e os dados pessoais transferidos. |
| |
|
|
|
|
Artigo 41.º
Transferências de dados pessoais para destinatários estabelecidos em países terceiros |
1 - Em derrogação do disposto na alínea b) do n.º 1 do artigo 37.º e sem prejuízo de um acordo internacional tal como definido no número seguinte, uma autoridade pública com poderes de prevenção, investigação, deteção ou repressão de infrações penais ou de execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública, pode, em casos específicos, transferir dados pessoais diretamente para destinatários estabelecidos em países terceiros, desde que, respeitadas as disposições da presente lei, estejam preenchidas as seguintes condições cumulativas:
a) A transferência ser estritamente necessária a uma função desempenhada pela autoridade competente que efetua a transferência e prevista por lei, tendo em vista as finalidades indicadas no artigo 1.º;
b) A autoridade competente que efetua a transferência considerar que os direitos, liberdades e garantias fundamentais do titular dos dados em causa não prevalecem sobre as finalidades que exigem a transferência no caso em apreço;
c) A autoridade competente que efetua a transferência considerar que a transferência para uma autoridade competente para os efeitos referidos no artigo 1.º, no país terceiro, se revela ineficaz ou desadequada, nomeadamente por não ser possível efetuá-la em tempo útil;
d) A autoridade competente para os efeitos referidos no artigo 1.º, no país terceiro, ser informada sem demora injustificada, a menos que tal se revele ineficaz ou inadequado; e
e) A autoridade competente que efetua a transferência informar o destinatário da finalidade ou das finalidades específicas para as quais deve tratar os dados pessoais, desde que o tratamento seja necessário.
2 - Para os efeitos previstos no número anterior, por acordo internacional entende-se um acordo internacional bilateral ou multilateral em vigor entre os Estados-Membros e países terceiros no domínio da cooperação judiciária em matéria penal e da cooperação policial.
3 - A autoridade competente que efetuar a transferência informa a autoridade de controlo sobre as transferências abrangidas pelo presente artigo.
4 - As transferências efetuadas nos termos do presente artigo devem ser documentadas pelo responsável pelo tratamento. |
| |
|
|
|
|
Artigo 42.º
Cooperação internacional no domínio da proteção de dados pessoais |
Em relação a países terceiros e a organizações internacionais, os responsáveis pelo tratamento adotam as medidas necessárias destinadas a:
a) Estabelecer procedimentos internacionais de cooperação que visem facilitar a aplicação efetiva da legislação em matéria de proteção de dados pessoais;
b) Prestar assistência mútua no domínio da aplicação da legislação de proteção de dados pessoais, nomeadamente através da notificação, da transmissão de queixas, da assistência na investigação e do intercâmbio de informações, sob reserva das garantias adequadas para a proteção dos dados pessoais e dos outros direitos e liberdades fundamentais;
c) Associar as partes interessadas aos debates e às atividades que visem promover a cooperação internacional no âmbito da aplicação da legislação relativa à proteção de dados pessoais;
d) Promover o intercâmbio e a documentação da legislação e das práticas em matéria de proteção de dados pessoais, inclusivamente sobre conflitos jurisdicionais com países terceiros. |
| |
|
|
|
|
CAPÍTULO VI
Autoridade de controlo
| Artigo 43.º
Autoridade de controlo |
1 - Incumbe à CNPD a garantia e fiscalização do cumprimento da presente lei.
2 - O disposto do número anterior não se aplica ao tratamento de dados pessoais efetuado pelos tribunais e pelo Ministério Público no exercício das suas competências processuais.
3 - Para efeitos do n.º 1, a CNPD integra um magistrado judicial, designado pelo Conselho Superior da Magistratura, e um magistrado do Ministério Público, designado pelo Conselho Superior do Ministério Público.
4 - Cabe exclusivamente aos magistrados a que se refere o número anterior, sem prejuízo das competências do presidente da CNPD, o exercício das atribuições da CNPD que impliquem o acesso a dados objeto de tratamento ou aos registos cronológicos das operações de tratamento.
5 - A designação dos membros da CNPD a que se refere o n.º 3 é efetuada em comissão de serviço. |
| |
|
|
|
|
1 - No exercício das funções a que se refere o n.º 1 do artigo anterior, compete à CNPD:
a) Fiscalizar o cumprimento e fazer aplicar o disposto na presente lei;
b) Promover a sensibilização e a compreensão do público relativamente aos riscos, às regras, às garantias e aos direitos associados ao tratamento de dados pessoais;
c) Propor e emitir parecer sobre medidas legislativas e administrativas relacionadas com a proteção dos direitos e liberdades das pessoas em matéria de tratamento de dados pessoais;
d) Promover a sensibilização dos responsáveis pelo tratamento e dos subcontratantes para as obrigações que lhes incumbem nos termos da presente lei;
e) Prestar informações aos titulares de dados, se tal lhe for solicitado, sobre o exercício dos seus direitos nos termos da presente lei;
f) Tratar e decidir as queixas apresentadas pelos titulares dos dados ou por um organismo, organização ou associação sem fins lucrativos, nos termos dos artigos 47.º e 50.º, e investigar, na medida do necessário, o conteúdo da queixa, informando o seu autor do andamento e do resultado da investigação num prazo razoável, especialmente se forem necessárias operações de investigação ou de coordenação complementares com outra autoridade de controlo;
g) Verificar a licitude do tratamento e, num prazo razoável, informar o titular dos dados do resultado da verificação, nos termos do disposto no artigo 18.º, ou dos motivos que impediram a sua realização;
h) Cooperar, nomeadamente partilhando informações, e prestar assistência mútua a outras autoridades de controlo, tendo em vista assegurar a coerência da aplicação e da execução da presente lei;
i) Conduzir investigações sobre a aplicação da presente lei, nomeadamente com base em informações recebidas de outra autoridade de controlo ou de outra autoridade pública;
j) Acompanhar os desenvolvimentos relevantes, em particular ao nível da evolução das tecnologias da informação e comunicação, na medida em que tenham incidência na proteção de dados pessoais;
k) Prestar aconselhamento sobre as operações de tratamento referidas no artigo 30.º;
l) Contribuir para as atividades do Comité criado pelo Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, no âmbito das atribuições a que se refere o artigo 51.º da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.
2 - A CNPD facilita a apresentação de queixas previstas na alínea f) do n.º 1, nomeadamente disponibilizando formulários para preenchimento e apresentação eletrónica, sem excluir outros meios de comunicação.
3 - O exercício das atribuições da CNPD é gratuito para o titular de dados e para o encarregado da proteção de dados.
4 - Nos casos em que o pedido do titular dos dados seja manifestamente infundado ou excessivo, designadamente devido ao seu caráter repetitivo, o responsável pelo tratamento, mediante decisão fundamentada, pode:
a) Exigir o pagamento de uma taxa de montante a fixar por portaria do membro do Governo responsável pela área da justiça, tendo em conta os custos administrativos associados; ou
b) Recusar dar seguimento ao pedido.
5 - Nos casos previstos no número anterior, a decisão da CNPD deve ser devidamente fundamentada e demonstrar o caráter manifestamente infundado ou excessivo do pedido. |
| |
|
|
|
|
|