|
Lei n.º 58/2019, de 08 de Agosto LEI DA PROTEÇÃO DE DADOS PESSOAIS(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados _____________________ |
|
Artigo 38.º
Contraordenações graves |
1 - Constituem contraordenações graves:
a) A violação do disposto no artigo 8.º do RGPD;
b) A não prestação da restante informação prevista nos artigos 13.º e 14.º do RGPD;
c) A violação do disposto nos artigos 24.º e 25.º do RGPD;
d) A violação das obrigações previstas no artigo 26.º do RGPD;
e) A violação do disposto no artigo 27.º do RGPD;
f) A violação das obrigações previstas no artigo 28.º do RGPD;
g) A violação do disposto no artigo 29.º do RGPD;
h) A ausência de registo dos tratamentos de dados pessoais em violação do disposto no artigo 30.º do RGPD;
i) A violação das regras de segurança previstas no artigo 32.º do RGPD;
j) O incumprimento dos deveres previstos no artigo 33.º do RGPD;
k) O incumprimento do dever de informar o titular dos dados pessoais nas situações previstas no artigo 34.º do RGPD;
l) O incumprimento da obrigação de realizar avaliações de impacto nos casos previstos no artigo 35.º do RGPD;
m) O incumprimento da obrigação de consultar a autoridade de controlo previamente à realização de operações de tratamento de dados nos casos previstos no artigo 36.º do RGPD;
n) O incumprimento dos deveres previstos no artigo 37.º do RGPD;
o) A violação do disposto no artigo 38.º do RGPD, nomeadamente no que respeita às garantias de independência do encarregado de proteção de dados;
p) O incumprimento dos deveres previstos no artigo 39.º do RGPD;
q) A prática de atos de supervisão de códigos de conduta por organismos não acreditados pela autoridade de controlo nos termos do artigo 41.º do RGPD;
r) O incumprimento, por parte dos organismos de supervisão de códigos de conduta, do previsto no n.º 4 do artigo 41.º do RGPD;
s) A utilização de selos ou marcas de proteção de dados que não tinham sido emitidos por organismos de certificação devidamente acreditados nos termos dos artigos 42.º e 43.º do RGPD;
t) O incumprimento, por parte dos organismos de certificação, dos deveres previstos no artigo 43.º do RGPD;
u) A violação do disposto no artigo 19.º da presente lei.
2 - As contraordenações referidas no número anterior são punidas com coima de:
a) De 2500 (euro) a 10 000 000 (euro) ou 2 /prct. do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de grande empresa;
b) De 1000 (euro) a 1 000 000 (euro) ou 2 /prct. do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de PME;
c) De 500 (euro) a 250 000 (euro), no caso de pessoas singulares. |
| |
|
|
|
|
Artigo 39.º
Determinação da medida da coima |
1 - Na determinação da medida da coima, a CNPD tem em conta, para além dos critérios estabelecidos no n.º 2 do artigo 83.º do RGPD:
a) A situação económica do agente, no caso de pessoa singular, ou o volume de negócios e o balanço anual, no caso de pessoa coletiva;
b) O caráter continuado da infração;
c) A dimensão da entidade, tendo em conta o número de trabalhadores e a natureza dos serviços prestados.
2 - Para efeitos da aplicação do disposto nos artigos anteriores, os conceitos de pequenas e médias empresas (PME) e grande empresa são os definidos na Recomendação n.º 2003/361/CE, da Comissão Europeia, de 6 de maio de 2003.
3 - Exceto em caso de dolo, a instauração de processo de contraordenação depende de prévia advertência do agente, por parte da CNPD, para cumprimento da obrigação omitida ou reintegração da proibição violada em prazo razoável. |
| |
|
|
|
|
Artigo 40.º
Prescrição do procedimento por contraordenação |
O procedimento por contraordenação extingue-se por efeito da prescrição logo que sobre a prática da contraordenação hajam decorrido os seguintes prazos:
a) Três anos, quando se trate de contraordenação muito grave;
b) Dois anos, quando se trate de contraordenação grave. |
| |
|
|
|
|
Artigo 41.º
Prazo de prescrição das coimas |
As coimas previstas na presente lei prescrevem nos seguintes prazos:
a) Três anos, no caso de coimas de montante superior a 100 000 (euro);
b) Dois anos, no caso de coimas de montante igual ou inferior a 100 000 (euro). |
| |
|
|
|
|
Artigo 42.º
Destino das coimas |
| O montante das coimas cobradas reverte em 60 /prct. para o Estado e em 40 /prct. para a CNPD. |
| |
|
|
|
|
Artigo 43.º
Cumprimento do dever omitido |
| Sempre que a contraordenação resulte da omissão de um dever, a aplicação da sanção e o pagamento da coima não dispensam o infrator do seu cumprimento se este ainda for possível. |
| |
|
|
|
|
Artigo 44.º
Âmbito de aplicação das contraordenações |
1 - As coimas previstas no RGPD e na presente lei aplicam-se de igual modo às entidades públicas e privadas.
2 - Nos termos do disposto no n.º 7 do artigo 83.º do RGPD, as entidades públicas, mediante pedido devidamente fundamentado, podem solicitar à CNPD a dispensa da aplicação de coimas durante o prazo de três anos a contar da entrada em vigor da presente lei.
3 - As entidades públicas estão sujeitas aos poderes de correção da CNPD, tal como previstos no RGPD e na presente lei, com exceção da aplicação de coimas nos termos definidos no número anterior. |
| |
|
|
|
|
Artigo 45.º
Regime subsidiário |
| Em tudo o que não esteja previsto na presente lei em matéria contraordenacional, aplica-se o disposto no regime geral do ilícito de mera ordenação social. |
| |
|
|
|
|
SECÇÃO III
Crimes
| Artigo 46.º
Utilização de dados de forma incompatível com a finalidade da recolha |
1 - Quem utilizar dados pessoais de forma incompatível com a finalidade determinante da recolha é punido com pena de prisão até um ano ou com pena de multa até 120 dias.
2 - A pena é agravada para o dobro nos seus limites quando se tratar dos dados pessoais a que se referem os artigos 9.º e 10.º do RGPD. |
| |
|
|
|
|
Artigo 47.º
Acesso indevido |
1 - Quem, sem a devida autorização ou justificação, aceder, por qualquer modo, a dados pessoais é punido com pena de prisão até 1 ano ou com pena de multa até 120 dias.
2 - A pena é agravada para o dobro nos seus limites quando se tratar dos dados pessoais a que se referem os artigos 9.º e 10.º do RGPD.
3 - A pena é também agravada para o dobro nos seus limites quando o acesso:
a) For conseguido através de violação de regras técnicas de segurança; ou
b) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial. |
| |
|
|
|
|
Artigo 48.º
Desvio de dados |
1 - Quem copiar, subtrair, ceder ou transferir, a título oneroso ou gratuito, dados pessoais sem previsão legal ou consentimento, independentemente da finalidade prosseguida, é punido com pena de prisão até 1 ano ou com pena de multa até 120 dias.
2 - A pena é agravada para o dobro nos seus limites quando se tratar dos dados pessoais a que se referem os artigos 9.º e 10.º do RGPD.
3 - A pena é também agravada para o dobro nos seus limites quando o acesso:
a) For conseguido através de violação de regras técnicas de segurança; ou
b) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial. |
| |
|
|
|
|
|