Lei n.º 59/2019, de 08 de Agosto DADOS PESSOAIS PARA PREVENÇÃO, DETEÇÃO, INVESTIGAÇÃO OU REPRESSÃO DE INFRAÇÕES PENAIS(versão actualizada) O diploma ainda não sofreu alterações |
|
SUMÁRIO Aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, transpondo a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 _____________________ |
|
Artigo 51.º
Direito de indemnização |
Qualquer pessoa que tenha sofrido danos, patrimoniais ou não patrimoniais, causados por uma violação das disposições da presente lei tem direito a receber do responsável pelo tratamento ou de qualquer outra autoridade competente uma indemnização pelos danos sofridos, nos termos do regime da responsabilidade civil extracontratual do Estado e demais entidades públicas. |
|
|
|
|
|
CAPÍTULO VIII
Sanções
SECÇÃO I
Contraordenações
| Artigo 52.º
Contraordenações |
1 - Sem prejuízo do regime sancionatório estabelecido na Lei n.º 58/2019, de 8 de agosto, aplicável por incumprimento das obrigações previstas no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, no âmbito de aplicação da presente lei constituem contraordenações muito graves as seguintes condutas:
a) O recurso a outro subcontratante sem autorização prévia do responsável pelo tratamento de dados pessoais, em violação do n.º 2 do artigo 23.º;
b) O recurso a outro subcontratante em oposição à vontade manifestada pelo responsável pelo tratamento de dados, ainda que exista a autorização geral a que se refere o n.º 3 do artigo 23.º;
c) O processamento dos dados pessoais em violação ou para além das instruções do responsável pelo tratamento de dados, em incumprimento da obrigação prevista na alínea a) do n.º 5 do artigo 23.º;
d) O incumprimento da obrigação de eliminação de forma definitiva ou de devolução dos dados pessoais ao responsável, consoante a escolha deste, após a conclusão dos serviços de processamento dos dados, prevista na alínea d) do n.º 5 do artigo 23.º;
e) O incumprimento da obrigação de conservação dos registos cronológicos previstos no n.º 1 do artigo 27.º;
f) A conservação de registos cronológicos que não abranjam a totalidade das operações de tratamento previstas no n.º 1 do artigo 27.º ou que não cumpram os requisitos previstos nos n.os 2 e 6 do mesmo artigo;
g) A utilização dos registos cronológicos para efeitos não previstos no n.º 3 do artigo 27.º;
h) O incumprimento da obrigação de adoção de medidas técnicas e organizativas adequadas à proteção dos dados pessoais, em violação das exigências previstas nos n.os 2 e 3 do artigo 31.º
2 - Sem prejuízo do regime sancionatório estabelecido pela Lei n.º 58/2019, de 8 de agosto, aplicável por incumprimento das obrigações previstas no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, no âmbito de aplicação da presente lei constituem contraordenações graves as seguintes condutas:
a) O incumprimento da obrigação de informar previamente o responsável pelo tratamento de dados das alterações à contratação de outros subcontratantes, prevista no n.º 3 do artigo 23.º;
b) O incumprimento da obrigação de notificar o responsável pelo tratamento, sem demora justificada, em caso de violação de dados pessoais, prevista no n.º 7 do artigo 32.º;
c) O incumprimento da obrigação de conservar um registo de atividades ou a conservação de um registo de atividades que não cumpra a totalidade das exigências previstas nos n.os 3 e 4 do artigo 26.º
3 - A prática das contraordenações previstas no n.º 1 é punida com coima:
a) De 5000 (euro) a 20 000 000 (euro) ou 4 /prct. do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de grande empresa;
b) De 2000 (euro) a 2 000 000 (euro) ou 4 /prct. do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de pequena e média empresa;
c) De 1000 (euro) a 500 000 (euro), tratando-se de pessoa singular.
4 - A prática das contraordenações previstas no n.º 2 é punida com coima:
a) De 2500 (euro) a 10 000 000 (euro) ou 2 /prct. do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de grande empresa;
b) De 1000 (euro) a 1 000 000 (euro) ou 2 /prct. do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de pequena e média empresa;
c) De 500 (euro) a 250 000 (euro), tratando-se de pessoa singular.
5 - O disposto nos números anteriores aplica-se de igual modo às entidades públicas e privadas, sem prejuízo de as entidades públicas, mediante pedido devidamente fundamentado, poderem solicitar à CNPD a dispensa da aplicação de coimas durante o prazo de três anos a contar da entrada em vigor da presente lei. |
|
|
|
|
|
SECÇÃO II
Crimes
| Artigo 53.º
Acesso indevido aos dados |
1 - Quem, sem a devida autorização ou justificação, aceder, por qualquer modo, a dados pessoais tratados ao abrigo da presente lei, é punido com pena de prisão até um ano ou com pena de multa até 120 dias.
2 - A pena é agravada para o dobro nos seus limites quando o acesso:
a) For conseguido através de violação de regras técnicas de segurança;
b) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial; ou
c) Tiver prejudicado inquéritos, investigações, processos judiciais ou a execução de sanções penais. |
|
|
|
|
|
Artigo 54.º
Desvio de dados |
1 - Quem copiar, subtrair, ceder ou transferir, a título oneroso ou gratuito, dados pessoais tratados ao abrigo da presente lei, sem previsão legal ou consentimento, é punido com pena de prisão até 2 anos ou com pena de multa até 240 dias.
2 - A pena é agravada para o dobro nos seus limites quando a conduta:
a) For conseguida através de violação de regras técnicas de segurança;
b) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial; ou
c) Tiver prejudicado inquéritos, investigações, processos judiciais ou a execução de sanções penais. |
|
|
|
|
|
Artigo 55.º
Utilização de dados de forma incompatível com a finalidade da recolha |
Quem utilizar dados pessoais tratados ao abrigo da presente lei de forma incompatível com a finalidade determinante da respetiva recolha é punido com pena de prisão até 2 anos ou com pena de multa até 240 dias. |
|
|
|
|
|
Artigo 56.º
Interconexão ilegal de dados |
Quem, intencionalmente, promover ou efetuar uma interconexão ilegal de dados pessoais tratados ao abrigo da presente lei, é punido com pena de prisão até 2 anos ou com pena de multa até 240 dias. |
|
|
|
|
|
Artigo 57.º
Viciação ou destruição de dados |
1 - Quem, sem a devida autorização ou justificação, apagar, destruir, danificar, ocultar, suprimir ou modificar dados pessoais tratados ao abrigo da presente lei, tornando-os inutilizáveis ou afetando o seu potencial de utilização, é punido com pena de prisão até 2 anos ou com pena de multa até 240 dias.
2 - A pena é agravada para o dobro nos seus limites se o dano produzido for particularmente grave.
3 - Nas situações previstas nos números anteriores, se o agente atuar com negligência, é punido:
a) Com pena de prisão até 1 ano ou com pena de multa até 120 dias, no caso previsto no n.º 1;
b) Com pena de prisão até 2 anos ou multa até 240 dias, no caso previsto no n.º 2. |
|
|
|
|
|
Artigo 58.º
Violação do dever de sigilo |
1 - Quem, obrigado a sigilo profissional nos termos da lei, sem justa causa e sem o devido consentimento, revelar ou divulgar, no todo ou em parte, dados pessoais tratados ao abrigo da presente lei, é punido com pena de prisão até 2 anos ou com pena de multa até 240 dias.
2 - A pena é agravada para o dobro nos seus limites se o agente:
a) For funcionário ou equiparado, nos termos da lei penal, advogado ou solicitador;
b) For encarregado de proteção de dados;
c) For determinado pela intenção de obter qualquer vantagem patrimonial ou outro benefício ilegítimo;
d) Puser em perigo a reputação, a honra ou a intimidade da vida privada de terceiros; ou
e) Tiver prejudicado inquéritos, investigações, processos judiciais ou a execução de sanções penais.
3 - A negligência é punível com pena de prisão até 6 meses ou com pena de multa até 120 dias. |
|
|
|
|
|
Artigo 59.º
Desobediência qualificada |
1 - Quem não cumprir as obrigações previstas na presente lei, depois de ultrapassado o prazo que tiver sido fixado pela autoridade de controlo para o respetivo cumprimento é punido com a pena correspondente ao crime de desobediência qualificada.
2 - Incorre na mesma pena do número anterior quem, depois de notificado:
a) Não disponibilizar os registos cronológicos à CNPD, nos termos do n.º 4 do artigo 27.º;
b) Recusar, sem justa causa, a colaboração que concretamente lhe for exigida nos termos do artigo 28.º;
c) Recusar o acesso previsto no n.º 2 do artigo 45.º;
d) Não cumprir ordem dada nos termos da alínea b) do n.º 3 do artigo 45.º, em especial não proceder ao apagamento ou retificação de dados pessoais;
e) Não respeitar a imposição de limitação temporária ou definitiva ao tratamento de dados pessoais, nos termos da alínea c) do n.º 3 do artigo 45.º |
|
|
|
|
|
Artigo 60.º
Inserção de dados falsos |
1 - Quem inserir ou facilitar a inserção de dados pessoais falsos, com a intenção de obter vantagem indevida para si ou para terceiro, ou para causar prejuízo, é punido com pena de prisão até 2 anos ou com pena de multa até 240 dias.
2 - A pena é agravada para o dobro nos seus limites se da inserção referida no número anterior resultar um prejuízo efetivo. |
|
|
|
|
|
Artigo 61.º
Punibilidade da tentativa |
Nos crimes previstos no presente capítulo, a tentativa é sempre punível. |
|
|
|
|
|
|