|
Lei n.º 21/2019, de 25 de Fevereiro REGULA A TRANSFERÊNCIA DOS DADOS DOS REGISTOS DE IDENTIFICAÇÃO DOS PASSAGEIROS(versão actualizada) |
|
|
Contém as seguintes alterações: |
Ver versões do diploma:
|
|
|
|
|
| SUMÁRIO Regula a transferência, pelas transportadoras aéreas, dos dados dos registos de identificação dos passageiros, bem como o tratamento desses dados, transpondo a Diretiva (UE) 2016/681 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, e procede à terceira alteração à Lei n.º 53/2008, de 29 de agosto, que aprova a Lei de Segurança Interna _____________________ |
|
Artigo 12.º
Proteção de dados pessoais |
1 - Ao tratamento de dados pessoais nos termos da presente lei aplica-se o disposto no regime jurídico relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública, que transpõe para a ordem jurídica interna a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, nomeadamente quanto ao direito de acesso, retificação, apagamento e limitação, direito a indemnização e a recurso judicial, confidencialidade do tratamento e segurança dos dados.
2 - O disposto no número anterior não prejudica a aplicação do Regulamento Geral sobre a Proteção de Dados, aprovado pelo Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, ao tratamento de dados pessoais pelas transportadoras aéreas, especialmente no que se refere às suas obrigações de tomarem as medidas técnicas e organizativas adequadas para proteger a segurança e confidencialidade dos dados pessoais.
3 - É proibido o tratamento de dados PNR que revelem a raça ou origem étnica da pessoa, as suas opiniões políticas, religião ou convicções filosóficas, filiação sindical, saúde, vida ou orientação sexual.
4 - Se receber dados PNR que revelem as informações a que se refere o número anterior, o GIP procede ao seu apagamento imediato.
5 - Ao tratamento, pelas autoridades competentes, de dados PNR transferidos para essas entidades, a que se refere o artigo 7.º, é aplicável o disposto na lei processual penal e no regime jurídico referido no n.º 1. |
| |
|
|
|
|
Artigo 13.º
Controlo do tratamento de dados PNR |
1 - O GIP conserva a documentação relativa a todos os sistemas e procedimentos de tratamento de dados sob a sua responsabilidade, incluindo, pelo menos:
a) O nome e os contactos da organização e do pessoal do GIP a quem é confiado o tratamento de dados PNR e os diferentes níveis de autorização de acesso;
b) Os pedidos apresentados pelas autoridades competentes, pelas unidades de informações de passageiros de outros Estados-Membros e pela Europol;
c) Todos os pedidos e transferências de dados PNR para um país terceiro.
2 - O PUC-CPI conserva cópia da documentação relativa às alíneas b) e c) do número anterior.
3 - O GIP conserva, pelo menos, registos da recolha, consulta, divulgação e apagamento dos dados.
4 - Os registos das operações de consulta e de divulgação indicam, em especial, a finalidade, a data e a hora dessas operações, a identidade da pessoa que consultou ou divulgou os dados PNR e, se possível, o destino da informação, incluindo a identidade dos seus destinatários.
5 - Os registos e os documentos a que se referem os números anteriores só podem ser utilizados para efeitos de verificação e de autocontrolo, para garantir a integridade e a segurança dos dados e para efeitos de auditoria.
6 - O GIP disponibiliza a documentação e os registos referidos nos números anteriores à autoridade de controlo, a pedido desta.
7 - Os registos a que se referem os n.os 2 e 3 são conservados durante um prazo de cinco anos.
8 - O GIP adota e aplica as medidas técnicas e de organização e os procedimentos adequados para garantir um elevado nível de segurança, adaptado aos riscos que o tratamento representa e à natureza dos dados PNR.
9 - Em caso de violação de dados pessoais que seja suscetível de resultar num elevado risco para a proteção dos dados ou de prejudicar a privacidade do seu titular, o GIP comunica tal facto ao titular dos dados e à autoridade nacional a que se refere o artigo seguinte, sem demora injustificada. |
| |
|
|
|
|
Artigo 14.º
Autoridade de controlo |
| A fiscalização da aplicação da presente lei compete à CNPD, enquanto autoridade de controlo a que se refere o regime jurídico relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública, que transpõe para a ordem jurídica interna a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016. |
| |
|
|
|
|
Artigo 15.º
Responsável pela proteção de dados |
| O Coordenador do GIP é o responsável pelo tratamento de dados PNR a que se refere a presente lei. |
| |
|
|
|
|
Artigo 16.º
Encarregado de proteção de dados |
1 - O Coordenador do GIP designa um encarregado de proteção de dados, incumbido de controlar o tratamento de dados PNR e de aplicar as salvaguardas relevantes.
2 - À designação, cargo e funções do encarregado de proteção de dados é aplicável o disposto no regime jurídico relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública, que transpõe para a ordem jurídica interna a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.
3 - O encarregado de proteção de dados é o ponto de contacto único dos titulares dos dados, que têm o direito de o contactar para todos os assuntos respeitantes ao tratamento de dados PNR.
4 - O encarregado de proteção de dados tem acesso a todos os dados tratados pelo GIP, remetendo o caso para a autoridade de controlo quando considerar que o tratamento de dados não foi efetuado em conformidade com a lei. |
| |
|
|
|
|
Artigo 17.º
Protocolos comuns e formatos de dados reconhecidos |
1 - As transferências de dados a que se refere o artigo 4.º são efetuadas por meios eletrónicos que ofereçam garantias suficientes de segurança no que respeita às medidas técnicas e de organização aplicáveis ao tratamento dos dados.
2 - Um ano após a adoção pela Comissão Europeia dos protocolos comuns e dos formatos de dados reconhecidos, todas as transferências de dados PNR pelas transportadoras aéreas para o GIP passam a ser efetuadas eletronicamente através de métodos seguros conformes com esses protocolos comuns.
3 - Os dados PNR são transferidos num formato de dados reconhecido, a fim de assegurar a sua legibilidade por todas as partes envolvidas.
4 - As transportadoras aéreas são obrigadas a selecionar e a identificar junto do GIP o protocolo comum e o formato de dados que tencionam utilizar para as suas transferências.
5 - É aplicável o disposto no n.º 1 enquanto os protocolos comuns e os formatos de dados reconhecidos não estiverem disponíveis. |
| |
|
|
|
|
Artigo 18.º
Sigilo profissional |
1 - Os responsáveis pelo tratamento de dados pessoais, bem como as pessoas que, no exercício das suas funções, tenham conhecimento dos dados pessoais recolhidos, transferidos ou tratados, ficam obrigados a sigilo profissional, mesmo após o termo das suas funções.
2 - A violação do dever de sigilo é punida nos termos previstos no artigo 383.º do Código Penal. |
| |
|
|
|
|
Artigo 19.º
Violação das obrigações impostas às transportadoras aéreas |
1 - As transportadoras que não tenham transferido os dados PNR a que estão obrigadas de acordo com o artigo 4.º ou que os tenham transmitido de forma incorreta, incompleta, falsificada ou após o prazo, são punidas, por cada viagem, com coima de 20 000 (euro) a 100 000 (euro).
2 - Se for efetuada em formato diferente do requerido nos termos do n.º 5 do artigo 4.º e do artigo 17.º, a transferência é punível com coimas de 10 000 (euro) a 50 000 (euro).
3 - A negligência é punível.
4 - A aplicação das coimas é da competência da Polícia de Segurança Pública.
5 - O produto das coimas reverte em 60 /prct. para o Estado e em 40 /prct. para a Polícia de Segurança Pública.
6 - É subsidiariamente aplicável o disposto no regime geral do ilícito de mera ordenação social.
7 - O não cumprimento da obrigação de transferência de dados API indicados no n.º 18 do anexo I, a efetuar conjuntamente com os restantes dados PNR, é sancionado somente nos termos dos artigos 42.º a 44.º e 196.º da Lei n.º 23/2007, de 4 de julho. |
Contém as alterações dos seguintes diplomas:
- DL n.º 41/2023, de 02/06
|
Consultar versões anteriores deste artigo:
-1ª versão: Lei n.º 21/2019, de 25/02
|
|
|
|
Artigo 20.º
Violação das disposições relativas à proteção de dados pessoais |
| À violação das disposições relativas à proteção de dados pessoais aplica-se o regime contraordenacional previsto no regime jurídico relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública, que transpõe para a ordem jurídica interna a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016. |
| |
|
|
|
|
Artigo 21.º
Comunicação de dados estatísticos |
1 - São anualmente comunicadas à Comissão Europeia as seguintes informações sobre os dados PNR comunicados ao GIP:
a) Número total de passageiros cujos dados PNR foram objeto de recolha e de intercâmbio;
b) Número de passageiros identificados sujeitos a medidas de polícia, medidas especiais de polícia ou medidas cautelares e de polícia.
2 - As informações a que se refere o número anterior não podem incluir dados pessoais. |
| |
|
|
|
|
Artigo 22.º
Alteração à Lei n.º 53/2008, de 29 de agosto |
O artigo 23.º-A da Lei n.º 53/2008, de 29 de agosto, que aprova a Lei de Segurança Interna, alterada pela Lei n.º 59/2015, de 24 de junho, e pelo Decreto-Lei n.º 49/2017, de 24 de maio, passa a ter a seguinte redação:
«Artigo 23.º-A
[...]
1 - ...
2 - ...
3 - ...
4 - ...
5 - ...
6 - O PUC-CPI reúne, sob a mesma gestão, o Gabinete Nacional Sirene, o Gabinete Nacional da Interpol, a Unidade Nacional da Europol, a coordenação dos oficiais de ligação nacionais e estrangeiros, a coordenação dos Centros de Cooperação Policial e Aduaneira, os pontos de contacto decorrentes das Decisões Prüm e o Gabinete de Informações de Passageiros.
7 - ...
8 - ...
9 - ...
10 - ...
11 - ...
12 - ...» |
| |
|
|
|
|
|