|
Lei n.º 59/2019, de 08 de Agosto DADOS PESSOAIS PARA PREVENÇÃO, DETEÇÃO, INVESTIGAÇÃO OU REPRESSÃO DE INFRAÇÕES PENAIS(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, transpondo a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 _____________________ |
|
Artigo 44.º
Atribuições |
1 - No exercício das funções a que se refere o n.º 1 do artigo anterior, compete à CNPD:
a) Fiscalizar o cumprimento e fazer aplicar o disposto na presente lei;
b) Promover a sensibilização e a compreensão do público relativamente aos riscos, às regras, às garantias e aos direitos associados ao tratamento de dados pessoais;
c) Propor e emitir parecer sobre medidas legislativas e administrativas relacionadas com a proteção dos direitos e liberdades das pessoas em matéria de tratamento de dados pessoais;
d) Promover a sensibilização dos responsáveis pelo tratamento e dos subcontratantes para as obrigações que lhes incumbem nos termos da presente lei;
e) Prestar informações aos titulares de dados, se tal lhe for solicitado, sobre o exercício dos seus direitos nos termos da presente lei;
f) Tratar e decidir as queixas apresentadas pelos titulares dos dados ou por um organismo, organização ou associação sem fins lucrativos, nos termos dos artigos 47.º e 50.º, e investigar, na medida do necessário, o conteúdo da queixa, informando o seu autor do andamento e do resultado da investigação num prazo razoável, especialmente se forem necessárias operações de investigação ou de coordenação complementares com outra autoridade de controlo;
g) Verificar a licitude do tratamento e, num prazo razoável, informar o titular dos dados do resultado da verificação, nos termos do disposto no artigo 18.º, ou dos motivos que impediram a sua realização;
h) Cooperar, nomeadamente partilhando informações, e prestar assistência mútua a outras autoridades de controlo, tendo em vista assegurar a coerência da aplicação e da execução da presente lei;
i) Conduzir investigações sobre a aplicação da presente lei, nomeadamente com base em informações recebidas de outra autoridade de controlo ou de outra autoridade pública;
j) Acompanhar os desenvolvimentos relevantes, em particular ao nível da evolução das tecnologias da informação e comunicação, na medida em que tenham incidência na proteção de dados pessoais;
k) Prestar aconselhamento sobre as operações de tratamento referidas no artigo 30.º;
l) Contribuir para as atividades do Comité criado pelo Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, no âmbito das atribuições a que se refere o artigo 51.º da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.
2 - A CNPD facilita a apresentação de queixas previstas na alínea f) do n.º 1, nomeadamente disponibilizando formulários para preenchimento e apresentação eletrónica, sem excluir outros meios de comunicação.
3 - O exercício das atribuições da CNPD é gratuito para o titular de dados e para o encarregado da proteção de dados.
4 - Nos casos em que o pedido do titular dos dados seja manifestamente infundado ou excessivo, designadamente devido ao seu caráter repetitivo, o responsável pelo tratamento, mediante decisão fundamentada, pode:
a) Exigir o pagamento de uma taxa de montante a fixar por portaria do membro do Governo responsável pela área da justiça, tendo em conta os custos administrativos associados; ou
b) Recusar dar seguimento ao pedido.
5 - Nos casos previstos no número anterior, a decisão da CNPD deve ser devidamente fundamentada e demonstrar o caráter manifestamente infundado ou excessivo do pedido. |
| |
|
|
|
|
1 - No exercício das suas atribuições, a CNPD detém poderes de investigação e de correção.
2 - Os poderes de investigação a que se refere o número anterior incluem o poder de obter do responsável pelo tratamento de dados e do subcontratante autorização de acesso a todos os dados pessoais objeto de tratamento e a todas as informações necessárias ao exercício das suas atribuições.
3 - No exercício dos poderes de correção, a CNPD pode:
a) Advertir o responsável pelo tratamento de dados ou o subcontratante de que as operações de tratamento previstas são suscetíveis de violar o disposto na presente lei;
b) Ordenar ao responsável pelo tratamento de dados ou ao subcontratante que conforme as operações de tratamento às disposições da presente lei, se necessário de determinada forma e num prazo determinado, e, em especial, ordenar a retificação ou o apagamento dos dados pessoais ou a limitação de tratamento nos termos do artigo 17.º;
c) Impor uma limitação temporária ou definitiva ao tratamento.
4 - O exercício dos poderes conferidos à autoridade de controlo nos termos dos números anteriores está sujeito a garantias processuais adequadas nos termos da lei, incluindo o direito à ação judicial e a um processo justo e equitativo.
5 - A CNPD comunica as violações das disposições da presente lei às autoridades judiciárias e aos órgãos com competência disciplinar e, se adequado, pode intentar ações judiciais ou intervir em processos judiciais, nos termos da lei.
6 - As comunicações de violações da presente lei ou com elas relacionadas estão sujeitas a sigilo. |
| |
|
|
|
|
Artigo 46.º
Relatório de actividades |
1 - A CNPD elabora um relatório anual de atividades sobre a fiscalização da aplicação e do cumprimento da presente lei, o qual pode incluir uma lista dos tipos de violações notificadas e dos tipos de sanções aplicadas, devendo nas matérias respeitantes aos tribunais e ao Ministério Público ser acautelada a necessária reserva.
2 - O relatório é apresentado à Assembleia da República e enviado ao membro do Governo responsável pela área da justiça, ao Conselho Superior da Magistratura, à Procuradoria-Geral da República e aos demais organismos e entidades responsáveis pela gestão de dados, nos termos da Lei n.º 34/2009, de 14 de julho, na sua redação atual.
3 - O relatório é disponibilizado ao público, à Comissão Europeia e ao Comité a que se refere a alínea l) do n.º 1 do artigo 44.º |
| |
|
|
|
|
CAPÍTULO VII
Meios de tutela e responsabilidade
| Artigo 47.º
Direito de apresentar queixa à autoridade de controlo |
1 - Sem prejuízo de outros meios de tutela legalmente previstos, o titular dos dados tem o direito de apresentar queixa à autoridade de controlo, com o fundamento de que o tratamento dos seus dados pessoais viola disposições da presente lei.
2 - Se a queixa não for apresentada à autoridade de controlo competente nos termos do n.º 1 do artigo 43.º, a autoridade de controlo a que é apresentada transmite-a, sem demora injustificada, à autoridade de controlo competente, informando o titular dos dados dessa transmissão e prestando-lhe, caso este o solicite, assistência complementar.
3 - O titular dos dados é informado pela autoridade de controlo do andamento e do resultado da queixa, nomeadamente da possibilidade de intentar ação judicial nos termos do artigo seguinte. |
| |
|
|
|
|
Artigo 48.º
Direito de intentar ação judicial contra a autoridade de controlo |
1 - Sem prejuízo de outros meios de tutela legalmente previstos, qualquer pessoa singular ou coletiva tem o direito de intentar uma ação judicial contra qualquer decisão juridicamente vinculativa que lhe diga respeito tomada pela autoridade de controlo.
2 - Os titulares dos dados têm o direito de intentar ação judicial nos casos em que a autoridade de controlo não apreciar a queixa apresentada ou não informar o titular dos dados, no prazo de três meses, do andamento ou do resultado da queixa apresentada. |
| |
|
|
|
|
Artigo 49.º
Direito de intentar ação judicial contra um responsável pelo tratamento ou um subcontratante |
| Sem prejuízo de outros meios de tutela legalmente previstos, nomeadamente do direito de apresentar queixa à autoridade de controlo, os titulares dos dados têm o direito de intentar ação judicial contra o responsável pelo tratamento ou contra o subcontratante com fundamento em violação dos direitos conferidos pela presente lei. |
| |
|
|
|
|
Artigo 50.º
Representação dos titulares dos dados |
| O titular dos dados tem o direito de mandatar um organismo, organização ou associação sem fins lucrativos, devidamente constituído nos termos da lei, cujos objetivos estatutários sejam de interesse público e cuja atividade abranja a proteção dos direitos e liberdades dos titulares de dados no que respeita à proteção dos seus dados pessoais, para apresentar queixa ou intentar ação judicial em seu nome, ao abrigo dos artigos anteriores, sem prejuízo da obrigatoriedade de representação por advogado, nos termos da legislação aplicável. |
| |
|
|
|
|
Artigo 51.º
Direito de indemnização |
| Qualquer pessoa que tenha sofrido danos, patrimoniais ou não patrimoniais, causados por uma violação das disposições da presente lei tem direito a receber do responsável pelo tratamento ou de qualquer outra autoridade competente uma indemnização pelos danos sofridos, nos termos do regime da responsabilidade civil extracontratual do Estado e demais entidades públicas. |
| |
|
|
|
|
CAPÍTULO VIII
Sanções
SECÇÃO I
Contraordenações
| Artigo 52.º
Contraordenações |
1 - Sem prejuízo do regime sancionatório estabelecido na Lei n.º 58/2019, de 8 de agosto, aplicável por incumprimento das obrigações previstas no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, no âmbito de aplicação da presente lei constituem contraordenações muito graves as seguintes condutas:
a) O recurso a outro subcontratante sem autorização prévia do responsável pelo tratamento de dados pessoais, em violação do n.º 2 do artigo 23.º;
b) O recurso a outro subcontratante em oposição à vontade manifestada pelo responsável pelo tratamento de dados, ainda que exista a autorização geral a que se refere o n.º 3 do artigo 23.º;
c) O processamento dos dados pessoais em violação ou para além das instruções do responsável pelo tratamento de dados, em incumprimento da obrigação prevista na alínea a) do n.º 5 do artigo 23.º;
d) O incumprimento da obrigação de eliminação de forma definitiva ou de devolução dos dados pessoais ao responsável, consoante a escolha deste, após a conclusão dos serviços de processamento dos dados, prevista na alínea d) do n.º 5 do artigo 23.º;
e) O incumprimento da obrigação de conservação dos registos cronológicos previstos no n.º 1 do artigo 27.º;
f) A conservação de registos cronológicos que não abranjam a totalidade das operações de tratamento previstas no n.º 1 do artigo 27.º ou que não cumpram os requisitos previstos nos n.os 2 e 6 do mesmo artigo;
g) A utilização dos registos cronológicos para efeitos não previstos no n.º 3 do artigo 27.º;
h) O incumprimento da obrigação de adoção de medidas técnicas e organizativas adequadas à proteção dos dados pessoais, em violação das exigências previstas nos n.os 2 e 3 do artigo 31.º
2 - Sem prejuízo do regime sancionatório estabelecido pela Lei n.º 58/2019, de 8 de agosto, aplicável por incumprimento das obrigações previstas no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, no âmbito de aplicação da presente lei constituem contraordenações graves as seguintes condutas:
a) O incumprimento da obrigação de informar previamente o responsável pelo tratamento de dados das alterações à contratação de outros subcontratantes, prevista no n.º 3 do artigo 23.º;
b) O incumprimento da obrigação de notificar o responsável pelo tratamento, sem demora justificada, em caso de violação de dados pessoais, prevista no n.º 7 do artigo 32.º;
c) O incumprimento da obrigação de conservar um registo de atividades ou a conservação de um registo de atividades que não cumpra a totalidade das exigências previstas nos n.os 3 e 4 do artigo 26.º
3 - A prática das contraordenações previstas no n.º 1 é punida com coima:
a) De 5000 (euro) a 20 000 000 (euro) ou 4 /prct. do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de grande empresa;
b) De 2000 (euro) a 2 000 000 (euro) ou 4 /prct. do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de pequena e média empresa;
c) De 1000 (euro) a 500 000 (euro), tratando-se de pessoa singular.
4 - A prática das contraordenações previstas no n.º 2 é punida com coima:
a) De 2500 (euro) a 10 000 000 (euro) ou 2 /prct. do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de grande empresa;
b) De 1000 (euro) a 1 000 000 (euro) ou 2 /prct. do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de pequena e média empresa;
c) De 500 (euro) a 250 000 (euro), tratando-se de pessoa singular.
5 - O disposto nos números anteriores aplica-se de igual modo às entidades públicas e privadas, sem prejuízo de as entidades públicas, mediante pedido devidamente fundamentado, poderem solicitar à CNPD a dispensa da aplicação de coimas durante o prazo de três anos a contar da entrada em vigor da presente lei. |
| |
|
|
|
|
SECÇÃO II
Crimes
| Artigo 53.º
Acesso indevido aos dados |
1 - Quem, sem a devida autorização ou justificação, aceder, por qualquer modo, a dados pessoais tratados ao abrigo da presente lei, é punido com pena de prisão até um ano ou com pena de multa até 120 dias.
2 - A pena é agravada para o dobro nos seus limites quando o acesso:
a) For conseguido através de violação de regras técnicas de segurança;
b) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial; ou
c) Tiver prejudicado inquéritos, investigações, processos judiciais ou a execução de sanções penais. |
| |
|
|
|
|
Artigo 54.º
Desvio de dados |
1 - Quem copiar, subtrair, ceder ou transferir, a título oneroso ou gratuito, dados pessoais tratados ao abrigo da presente lei, sem previsão legal ou consentimento, é punido com pena de prisão até 2 anos ou com pena de multa até 240 dias.
2 - A pena é agravada para o dobro nos seus limites quando a conduta:
a) For conseguida através de violação de regras técnicas de segurança;
b) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial; ou
c) Tiver prejudicado inquéritos, investigações, processos judiciais ou a execução de sanções penais. |
| |
|
|
|
|
|