|
Lei n.º 58/2019, de 08 de Agosto LEI DA PROTEÇÃO DE DADOS PESSOAIS(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados _____________________ |
|
Artigo 36.º
Legitimidade da CNPD |
| A CNPD tem legitimidade para intervir em processos judiciais no caso de violação das disposições do RGPD e da presente lei, e deve denunciar ao Ministério Público as infrações penais de que tiver conhecimento, no exercício das suas funções e por causa delas, bem como praticar os atos cautelares necessários e urgentes para assegurar os meios de prova. |
| |
|
|
|
|
SECÇÃO II
Contraordenações
| Artigo 37.º
Contraordenações muito graves |
1 - Constituem contraordenações muito graves:
a) Os tratamentos de dados pessoais com inobservância dolosa dos princípios consagrados no artigo 5.º do RGDP;
b) Os tratamentos de dados pessoais que não tenham por base o consentimento ou outra condição de legitimidade, nos termos do artigo 6.º do RGPD ou de norma nacional;
c) O incumprimento das regras relativas à prestação do consentimento previstas no artigo 7.º do RGPD;
d) Os tratamentos de dados pessoais previstos no n.º 1 do artigo 9.º do RGPD sem que se verifique uma das circunstâncias previstas no n.º 2 do mesmo artigo;
e) Os tratamentos de dados pessoais previstos no artigo 10.º do RGPD que contrariem as regras aí previstas;
f) A exigência do pagamento de uma quantia em dinheiro fora dos casos previstos no n.º 5 do artigo 12.º do RGPD;
g) A exigência do pagamento de uma quantia em dinheiro, nos casos previstos no n.º 5 do artigo 12.º do RGPD, que exceda os custos necessários para satisfazer o direito do titular dos dados;
h) A não prestação de informação relevante nos termos dos artigos 13.º e 14.º do RGPD, o que ocorre nas seguintes circunstâncias:
i) Omissão de informação das finalidades a que se destina o tratamento;
ii) Omissão de informação acerca dos destinatários ou categorias de destinatários dos dados pessoais;
iii) Omissão de informação acerca do direito de retirar o consentimento nos casos previstos na alínea a) do n.º 1 do artigo 6.º e na alínea a) do n.º 2 do artigo 9.º do RGPD;
i) Não permitir, não assegurar ou dificultar o exercício dos direitos previstos nos artigos 15.º a 22.º do RGPD;
j) A transferência internacional de dados pessoais em violação do disposto nos artigos 44.º a 49.º do RGPD;
k) O incumprimento das decisões da autoridade de controlo previstas no n.º 2 do artigo 58.º do RGPD, ou recusa da colaboração que lhe seja exigida pela CNPD, no exercício dos seus poderes;
l) A violação das regras previstas no capítulo vi da presente lei.
2 - As contraordenações referidas no número anterior são punidas com coima:
a) De 5000 (euro) a 20 000 000 (euro) ou 4 /prct. do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de grande empresa;
b) De 2000 (euro) a 2 000 000 (euro) ou 4 /prct. do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de PME;
c) De 1000 (euro) a 500 000 (euro), no caso de pessoas singulares. |
| |
|
|
|
|
Artigo 38.º
Contraordenações graves |
1 - Constituem contraordenações graves:
a) A violação do disposto no artigo 8.º do RGPD;
b) A não prestação da restante informação prevista nos artigos 13.º e 14.º do RGPD;
c) A violação do disposto nos artigos 24.º e 25.º do RGPD;
d) A violação das obrigações previstas no artigo 26.º do RGPD;
e) A violação do disposto no artigo 27.º do RGPD;
f) A violação das obrigações previstas no artigo 28.º do RGPD;
g) A violação do disposto no artigo 29.º do RGPD;
h) A ausência de registo dos tratamentos de dados pessoais em violação do disposto no artigo 30.º do RGPD;
i) A violação das regras de segurança previstas no artigo 32.º do RGPD;
j) O incumprimento dos deveres previstos no artigo 33.º do RGPD;
k) O incumprimento do dever de informar o titular dos dados pessoais nas situações previstas no artigo 34.º do RGPD;
l) O incumprimento da obrigação de realizar avaliações de impacto nos casos previstos no artigo 35.º do RGPD;
m) O incumprimento da obrigação de consultar a autoridade de controlo previamente à realização de operações de tratamento de dados nos casos previstos no artigo 36.º do RGPD;
n) O incumprimento dos deveres previstos no artigo 37.º do RGPD;
o) A violação do disposto no artigo 38.º do RGPD, nomeadamente no que respeita às garantias de independência do encarregado de proteção de dados;
p) O incumprimento dos deveres previstos no artigo 39.º do RGPD;
q) A prática de atos de supervisão de códigos de conduta por organismos não acreditados pela autoridade de controlo nos termos do artigo 41.º do RGPD;
r) O incumprimento, por parte dos organismos de supervisão de códigos de conduta, do previsto no n.º 4 do artigo 41.º do RGPD;
s) A utilização de selos ou marcas de proteção de dados que não tinham sido emitidos por organismos de certificação devidamente acreditados nos termos dos artigos 42.º e 43.º do RGPD;
t) O incumprimento, por parte dos organismos de certificação, dos deveres previstos no artigo 43.º do RGPD;
u) A violação do disposto no artigo 19.º da presente lei.
2 - As contraordenações referidas no número anterior são punidas com coima de:
a) De 2500 (euro) a 10 000 000 (euro) ou 2 /prct. do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de grande empresa;
b) De 1000 (euro) a 1 000 000 (euro) ou 2 /prct. do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de PME;
c) De 500 (euro) a 250 000 (euro), no caso de pessoas singulares. |
| |
|
|
|
|
Artigo 39.º
Determinação da medida da coima |
1 - Na determinação da medida da coima, a CNPD tem em conta, para além dos critérios estabelecidos no n.º 2 do artigo 83.º do RGPD:
a) A situação económica do agente, no caso de pessoa singular, ou o volume de negócios e o balanço anual, no caso de pessoa coletiva;
b) O caráter continuado da infração;
c) A dimensão da entidade, tendo em conta o número de trabalhadores e a natureza dos serviços prestados.
2 - Para efeitos da aplicação do disposto nos artigos anteriores, os conceitos de pequenas e médias empresas (PME) e grande empresa são os definidos na Recomendação n.º 2003/361/CE, da Comissão Europeia, de 6 de maio de 2003.
3 - Exceto em caso de dolo, a instauração de processo de contraordenação depende de prévia advertência do agente, por parte da CNPD, para cumprimento da obrigação omitida ou reintegração da proibição violada em prazo razoável. |
| |
|
|
|
|
Artigo 40.º
Prescrição do procedimento por contraordenação |
O procedimento por contraordenação extingue-se por efeito da prescrição logo que sobre a prática da contraordenação hajam decorrido os seguintes prazos:
a) Três anos, quando se trate de contraordenação muito grave;
b) Dois anos, quando se trate de contraordenação grave. |
| |
|
|
|
|
Artigo 41.º
Prazo de prescrição das coimas |
As coimas previstas na presente lei prescrevem nos seguintes prazos:
a) Três anos, no caso de coimas de montante superior a 100 000 (euro);
b) Dois anos, no caso de coimas de montante igual ou inferior a 100 000 (euro). |
| |
|
|
|
|
Artigo 42.º
Destino das coimas |
| O montante das coimas cobradas reverte em 60 /prct. para o Estado e em 40 /prct. para a CNPD. |
| |
|
|
|
|
Artigo 43.º
Cumprimento do dever omitido |
| Sempre que a contraordenação resulte da omissão de um dever, a aplicação da sanção e o pagamento da coima não dispensam o infrator do seu cumprimento se este ainda for possível. |
| |
|
|
|
|
Artigo 44.º
Âmbito de aplicação das contraordenações |
1 - As coimas previstas no RGPD e na presente lei aplicam-se de igual modo às entidades públicas e privadas.
2 - Nos termos do disposto no n.º 7 do artigo 83.º do RGPD, as entidades públicas, mediante pedido devidamente fundamentado, podem solicitar à CNPD a dispensa da aplicação de coimas durante o prazo de três anos a contar da entrada em vigor da presente lei.
3 - As entidades públicas estão sujeitas aos poderes de correção da CNPD, tal como previstos no RGPD e na presente lei, com exceção da aplicação de coimas nos termos definidos no número anterior. |
| |
|
|
|
|
Artigo 45.º
Regime subsidiário |
| Em tudo o que não esteja previsto na presente lei em matéria contraordenacional, aplica-se o disposto no regime geral do ilícito de mera ordenação social. |
| |
|
|
|
|
SECÇÃO III
Crimes
| Artigo 46.º
Utilização de dados de forma incompatível com a finalidade da recolha |
1 - Quem utilizar dados pessoais de forma incompatível com a finalidade determinante da recolha é punido com pena de prisão até um ano ou com pena de multa até 120 dias.
2 - A pena é agravada para o dobro nos seus limites quando se tratar dos dados pessoais a que se referem os artigos 9.º e 10.º do RGPD. |
| |
|
|
|
|
|