|
Lei n.º 21/2019, de 25 de Fevereiro REGULA A TRANSFERÊNCIA DOS DADOS DOS REGISTOS DE IDENTIFICAÇÃO DOS PASSAGEIROS(versão actualizada) |
|
|
Contém as seguintes alterações: |
Ver versões do diploma:
|
|
|
|
|
| SUMÁRIO Regula a transferência, pelas transportadoras aéreas, dos dados dos registos de identificação dos passageiros, bem como o tratamento desses dados, transpondo a Diretiva (UE) 2016/681 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, e procede à terceira alteração à Lei n.º 53/2008, de 29 de agosto, que aprova a Lei de Segurança Interna _____________________ |
|
Artigo 11.º
Prazo de conservação e anonimização dos dados |
1 - Os dados PNR fornecidos pelas transportadoras aéreas ao GIP são conservados na base de dados a que se refere o n.º 1 do artigo 5.º por um prazo de cinco anos contados a partir da sua transferência, nos termos do artigo 4.º
2 - Decorrido um prazo de seis meses após a transferência, todos os dados PNR são anonimizados, tornando-se invisíveis os seguintes elementos de dados suscetíveis de identificar diretamente o passageiro ao qual dizem respeito:
a) Nome(s), incluindo os nomes de outros passageiros mencionados nos PNR e o número de passageiros nos PNR que viajam em conjunto;
b) Endereço e informações de contacto;
c) Todas as informações sobre os meios de pagamento, incluindo o endereço de faturação, na medida em que contenham informações suscetíveis de identificar diretamente o passageiro ao qual os PNR dizem respeito ou quaisquer outras pessoas;
d) Informação de passageiro frequente;
e) Observações gerais, na medida em que contenham informações suscetíveis de permitir identificar diretamente o passageiro ao qual os PNR dizem respeito; e
f) Quaisquer dados API que tenham sido recolhidos.
3 - Decorrido o prazo de seis meses referido no número anterior, só é permitida a divulgação de dados integrais PNR caso essa divulgação seja:
a) Considerada necessária, com base em motivos razoáveis, para os fins referidos na alínea b) do n.º 2 do artigo 5.º; e
b) Se for caso disso, autorizada pela autoridade judiciária competente.
4 - Os dados PNR são apagados de forma definitiva no termo do prazo referido no n.º 1, sem prejuízo dos casos em que dados PNR específicos tenham sido transferidos para uma autoridade competente e sejam utilizados no âmbito de um caso concreto para efeitos de prevenção, deteção, investigação ou repressão das infrações terroristas ou da criminalidade grave, caso em que a conservação dos dados pela autoridade competente se rege pela lei processual ou de proteção de dados pessoais que lhe for aplicável.
5 - O resultado do tratamento a que se refere a alínea a) do n.º 2 do artigo 5.º só é conservado pelo GIP durante o período necessário para informar as autoridades competentes e as unidades de informações de passageiros de outros Estados-Membros, nos termos do artigo 8.º
6 - Caso se constate, na sequência de uma verificação individual por meios não automatizados, nos termos do n.º 4 do artigo 6.º, que o resultado do tratamento automatizado é negativo, este pode, ainda assim, ser conservado a fim de evitar falsos resultados positivos no futuro, desde que os dados que lhe serviram de base não sejam apagados nos termos do n.º 4. |
| |
|
|
|
|
Artigo 12.º
Proteção de dados pessoais |
1 - Ao tratamento de dados pessoais nos termos da presente lei aplica-se o disposto no regime jurídico relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública, que transpõe para a ordem jurídica interna a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, nomeadamente quanto ao direito de acesso, retificação, apagamento e limitação, direito a indemnização e a recurso judicial, confidencialidade do tratamento e segurança dos dados.
2 - O disposto no número anterior não prejudica a aplicação do Regulamento Geral sobre a Proteção de Dados, aprovado pelo Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, ao tratamento de dados pessoais pelas transportadoras aéreas, especialmente no que se refere às suas obrigações de tomarem as medidas técnicas e organizativas adequadas para proteger a segurança e confidencialidade dos dados pessoais.
3 - É proibido o tratamento de dados PNR que revelem a raça ou origem étnica da pessoa, as suas opiniões políticas, religião ou convicções filosóficas, filiação sindical, saúde, vida ou orientação sexual.
4 - Se receber dados PNR que revelem as informações a que se refere o número anterior, o GIP procede ao seu apagamento imediato.
5 - Ao tratamento, pelas autoridades competentes, de dados PNR transferidos para essas entidades, a que se refere o artigo 7.º, é aplicável o disposto na lei processual penal e no regime jurídico referido no n.º 1. |
| |
|
|
|
|
Artigo 13.º
Controlo do tratamento de dados PNR |
1 - O GIP conserva a documentação relativa a todos os sistemas e procedimentos de tratamento de dados sob a sua responsabilidade, incluindo, pelo menos:
a) O nome e os contactos da organização e do pessoal do GIP a quem é confiado o tratamento de dados PNR e os diferentes níveis de autorização de acesso;
b) Os pedidos apresentados pelas autoridades competentes, pelas unidades de informações de passageiros de outros Estados-Membros e pela Europol;
c) Todos os pedidos e transferências de dados PNR para um país terceiro.
2 - O PUC-CPI conserva cópia da documentação relativa às alíneas b) e c) do número anterior.
3 - O GIP conserva, pelo menos, registos da recolha, consulta, divulgação e apagamento dos dados.
4 - Os registos das operações de consulta e de divulgação indicam, em especial, a finalidade, a data e a hora dessas operações, a identidade da pessoa que consultou ou divulgou os dados PNR e, se possível, o destino da informação, incluindo a identidade dos seus destinatários.
5 - Os registos e os documentos a que se referem os números anteriores só podem ser utilizados para efeitos de verificação e de autocontrolo, para garantir a integridade e a segurança dos dados e para efeitos de auditoria.
6 - O GIP disponibiliza a documentação e os registos referidos nos números anteriores à autoridade de controlo, a pedido desta.
7 - Os registos a que se referem os n.os 2 e 3 são conservados durante um prazo de cinco anos.
8 - O GIP adota e aplica as medidas técnicas e de organização e os procedimentos adequados para garantir um elevado nível de segurança, adaptado aos riscos que o tratamento representa e à natureza dos dados PNR.
9 - Em caso de violação de dados pessoais que seja suscetível de resultar num elevado risco para a proteção dos dados ou de prejudicar a privacidade do seu titular, o GIP comunica tal facto ao titular dos dados e à autoridade nacional a que se refere o artigo seguinte, sem demora injustificada. |
| |
|
|
|
|
Artigo 14.º
Autoridade de controlo |
| A fiscalização da aplicação da presente lei compete à CNPD, enquanto autoridade de controlo a que se refere o regime jurídico relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública, que transpõe para a ordem jurídica interna a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016. |
| |
|
|
|
|
Artigo 15.º
Responsável pela proteção de dados |
| O Coordenador do GIP é o responsável pelo tratamento de dados PNR a que se refere a presente lei. |
| |
|
|
|
|
Artigo 16.º
Encarregado de proteção de dados |
1 - O Coordenador do GIP designa um encarregado de proteção de dados, incumbido de controlar o tratamento de dados PNR e de aplicar as salvaguardas relevantes.
2 - À designação, cargo e funções do encarregado de proteção de dados é aplicável o disposto no regime jurídico relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública, que transpõe para a ordem jurídica interna a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.
3 - O encarregado de proteção de dados é o ponto de contacto único dos titulares dos dados, que têm o direito de o contactar para todos os assuntos respeitantes ao tratamento de dados PNR.
4 - O encarregado de proteção de dados tem acesso a todos os dados tratados pelo GIP, remetendo o caso para a autoridade de controlo quando considerar que o tratamento de dados não foi efetuado em conformidade com a lei. |
| |
|
|
|
|
Artigo 17.º
Protocolos comuns e formatos de dados reconhecidos |
1 - As transferências de dados a que se refere o artigo 4.º são efetuadas por meios eletrónicos que ofereçam garantias suficientes de segurança no que respeita às medidas técnicas e de organização aplicáveis ao tratamento dos dados.
2 - Um ano após a adoção pela Comissão Europeia dos protocolos comuns e dos formatos de dados reconhecidos, todas as transferências de dados PNR pelas transportadoras aéreas para o GIP passam a ser efetuadas eletronicamente através de métodos seguros conformes com esses protocolos comuns.
3 - Os dados PNR são transferidos num formato de dados reconhecido, a fim de assegurar a sua legibilidade por todas as partes envolvidas.
4 - As transportadoras aéreas são obrigadas a selecionar e a identificar junto do GIP o protocolo comum e o formato de dados que tencionam utilizar para as suas transferências.
5 - É aplicável o disposto no n.º 1 enquanto os protocolos comuns e os formatos de dados reconhecidos não estiverem disponíveis. |
| |
|
|
|
|
Artigo 18.º
Sigilo profissional |
1 - Os responsáveis pelo tratamento de dados pessoais, bem como as pessoas que, no exercício das suas funções, tenham conhecimento dos dados pessoais recolhidos, transferidos ou tratados, ficam obrigados a sigilo profissional, mesmo após o termo das suas funções.
2 - A violação do dever de sigilo é punida nos termos previstos no artigo 383.º do Código Penal. |
| |
|
|
|
|
Artigo 19.º
Violação das obrigações impostas às transportadoras aéreas |
1 - As transportadoras que não tenham transferido os dados PNR a que estão obrigadas de acordo com o artigo 4.º ou que os tenham transmitido de forma incorreta, incompleta, falsificada ou após o prazo, são punidas, por cada viagem, com coima de 20 000 (euro) a 100 000 (euro).
2 - Se for efetuada em formato diferente do requerido nos termos do n.º 5 do artigo 4.º e do artigo 17.º, a transferência é punível com coimas de 10 000 (euro) a 50 000 (euro).
3 - A negligência é punível.
4 - A aplicação das coimas é da competência da Polícia de Segurança Pública.
5 - O produto das coimas reverte em 60 /prct. para o Estado e em 40 /prct. para a Polícia de Segurança Pública.
6 - É subsidiariamente aplicável o disposto no regime geral do ilícito de mera ordenação social.
7 - O não cumprimento da obrigação de transferência de dados API indicados no n.º 18 do anexo I, a efetuar conjuntamente com os restantes dados PNR, é sancionado somente nos termos dos artigos 42.º a 44.º e 196.º da Lei n.º 23/2007, de 4 de julho. |
Contém as alterações dos seguintes diplomas:
- DL n.º 41/2023, de 02/06
|
Consultar versões anteriores deste artigo:
-1ª versão: Lei n.º 21/2019, de 25/02
|
|
|
|
Artigo 20.º
Violação das disposições relativas à proteção de dados pessoais |
| À violação das disposições relativas à proteção de dados pessoais aplica-se o regime contraordenacional previsto no regime jurídico relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública, que transpõe para a ordem jurídica interna a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016. |
| |
|
|
|
|
Artigo 21.º
Comunicação de dados estatísticos |
1 - São anualmente comunicadas à Comissão Europeia as seguintes informações sobre os dados PNR comunicados ao GIP:
a) Número total de passageiros cujos dados PNR foram objeto de recolha e de intercâmbio;
b) Número de passageiros identificados sujeitos a medidas de polícia, medidas especiais de polícia ou medidas cautelares e de polícia.
2 - As informações a que se refere o número anterior não podem incluir dados pessoais. |
| |
|
|
|
|
|