|
Lei n.º 58/2019, de 08 de Agosto LEI DA PROTEÇÃO DE DADOS PESSOAIS(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados _____________________ |
|
Lei n.º 58/2019, de 8 de agosto
Assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados
A Assembleia da República decreta, nos termos da alínea c) do artigo 161.º da Constituição, o seguinte:
|
CAPÍTULO I
Disposições gerais
| Artigo 1.º
Objeto |
| A presente lei assegura a execução, na ordem jurídica interna, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, doravante designado abreviadamente por Regulamento Geral de Proteção de Dados (RGPD). |
| |
|
|
|
|
Artigo 2.º
Âmbito de aplicação |
1 - A presente lei aplica-se aos tratamentos de dados pessoais realizados no território nacional, independentemente da natureza pública ou privada do responsável pelo tratamento ou do subcontratante, mesmo que o tratamento de dados pessoais seja efetuado em cumprimento de obrigações legais ou no âmbito da prossecução de missões de interesse público, aplicando-se todas as exclusões previstas no artigo 2.º do RGPD.
2 - A presente lei aplica-se ainda aos tratamentos de dados pessoais realizados fora do território nacional quando:
a) Sejam efetuados no âmbito da atividade de um estabelecimento situado no território nacional; ou
b) Afetem titulares de dados que se encontrem no território nacional, quando as atividades de tratamento estejam subordinadas ao disposto no n.º 2 do artigo 3.º do RGPD; ou
c) Afetem dados que estejam inscritos nos postos consulares de que sejam titulares portugueses residentes no estrangeiro.
3 - A presente lei não se aplica aos ficheiros de dados pessoais constituídos e mantidos sob a responsabilidade do Sistema de Informações da República Portuguesa, que se rege por disposições específicas, nos termos da lei. |
| |
|
|
|
|
CAPÍTULO II
Comissão Nacional de Proteção de Dados
| Artigo 3.º
Autoridade de controlo nacional |
| A Comissão Nacional de Proteção de Dados (CNPD) é a autoridade de controlo nacional para efeitos do RGPD e da presente lei. |
| |
|
|
|
|
Artigo 4.º
Natureza e independência |
1 - A CNPD é uma entidade administrativa independente, com personalidade jurídica de direito público e poderes de autoridade, dotada de autonomia administrativa e financeira, que funciona junto da Assembleia da República.
2 - A CNPD controla e fiscaliza o cumprimento do RGPD e da presente lei, bem como das demais disposições legais e regulamentares em matéria de proteção de dados pessoais, a fim de defender os direitos, liberdades e garantias das pessoas singulares no âmbito dos tratamentos de dados pessoais.
3 - A CNPD age com independência na prossecução das suas atribuições e no exercício dos poderes que lhe são atribuídos pela presente lei.
4 - Os membros da CNPD ficam sujeitos ao regime de incompatibilidades estabelecido para os titulares de altos cargos públicos, não podendo, durante o seu mandato, desempenhar outra atividade, remunerada ou não, com exceção da atividade de docência no ensino superior e de investigação. |
| |
|
|
|
|
Artigo 5.º
Composição e funcionamento |
| A composição, o modo de designação e o estatuto remuneratório dos membros da CNPD, bem como a respetiva orgânica e quadro de pessoal, são aprovados por lei da Assembleia da República. |
| |
|
|
|
|
Artigo 6.º
Atribuições e competências |
1 - Para além do disposto no artigo 57.º do RGPD, a CNPD prossegue as seguintes atribuições:
a) Pronunciar-se, a título não vinculativo, sobre as medidas legislativas e regulamentares relativas à proteção de dados pessoais, bem como sobre instrumentos jurídicos em preparação, em instituições europeias ou internacionais, relativos à mesma matéria;
b) Fiscalizar o cumprimento das disposições do RGPD e das demais disposições legais e regulamentares relativas à proteção de dados pessoais e dos direitos, liberdades e garantias dos titulares dos dados, e corrigir e sancionar o seu incumprimento;
c) Disponibilizar uma lista de tratamentos sujeitos à avaliação do impacto sobre a proteção de dados, nos termos do n.º 4 do artigo 35.º do RGPD, definindo igualmente critérios que permitam densificar a noção de elevado risco prevista nesse artigo;
d) Elaborar e apresentar ao Comité Europeu para a Proteção de Dados, previsto no RGPD, os projetos de critérios para a acreditação dos organismos de monitorização de códigos de conduta e dos organismos de certificação, nos termos dos artigos 41.º e 43.º do RGPD, e assegurar a posterior publicação dos critérios, caso sejam aprovados;
e) Cooperar com o Instituto Português de Acreditação, I. P. (IPAC, I. P.), relativamente à aplicação do disposto no artigo 14.º da presente lei, bem como na definição de requisitos adicionais de acreditação, tendo em vista a salvaguarda da coerência de aplicação do RGPD;
2 - A CNPD exerce as competências previstas no artigo 58.º do RGPD. |
| |
|
|
|
|
Artigo 7.º
Avaliações prévias de impacto |
1 - Nos termos do n.º 5 do artigo 35.º do RGPD, a CNPD difunde uma lista de tipos de tratamentos de dados cuja avaliação prévia de impacto não é obrigatória.
2 - O disposto no número anterior não impede os responsáveis pelo tratamento de efetuar uma avaliação prévia de impacto por iniciativa própria.
3 - As listas referidas nos n.os 4 e 5 do artigo 35.º do RGPD são publicitadas no sítio da CNPD na Internet. |
| |
|
|
|
|
Artigo 8.º
Dever de colaboração |
1 - As entidades públicas e privadas devem prestar a sua colaboração à CNPD, facultando-lhe todas as informações que por esta lhes sejam solicitadas, no exercício das suas atribuições e competências.
2 - O dever de colaboração é assegurado, designadamente, quando a CNPD tiver necessidade, para o cabal exercício das suas funções, de examinar o sistema informático e os ficheiros de dados pessoais, bem como toda a documentação relativa ao tratamento e transmissão de dados pessoais.
3 - Os membros da CNPD, bem como os seus trabalhadores, prestadores de serviços ou pessoas por si mandatadas, estão obrigados ao dever de sigilo profissional, nomeadamente quanto aos dados pessoais, segredo profissional, segredo industrial ou comercial ou informações confidenciais a que tenham acesso no exercício das suas funções.
4 - O dever de sigilo mantém-se após o termo das respetivas funções.
5 - O dever de colaboração previsto nos números anteriores, bem como os poderes de fiscalização da CNPD, não prejudicam o dever de segredo a que o responsável pelo tratamento esteja obrigado nos termos da lei ou de normas internacionais. |
| |
|
|
|
|
CAPÍTULO III
Encarregado de proteção de dados
| Artigo 9.º
Disposição geral |
1 - O encarregado de proteção de dados é designado com base nos requisitos previstos no n.º 5 do artigo 37.º do RGPD, não carecendo de certificação profissional para o efeito.
2 - Independentemente da natureza da sua relação jurídica, o encarregado de proteção de dados exerce a sua função com autonomia técnica perante a entidade responsável pelo tratamento ou subcontratante. |
| |
|
|
|
|
|