Procuradoria-Geral Distrital de Lisboa
Actualidade | Jurisprudência | Legislação pesquisa:

Início  legislação  Exibe diploma

    Legislação
  Lei n.º 59/2019, de 08 de Agosto
  DADOS PESSOAIS PARA PREVENÇÃO, DETEÇÃO, INVESTIGAÇÃO OU REPRESSÃO DE INFRAÇÕES PENAIS(versão actualizada)
O diploma ainda não sofreu alterações

       
Procurar no presente diploma:
A expressão exacta

Ir para o art.:
 Todos
      Nº de artigos :  11      


 Ver índice sistemático do diploma Abre  janela autónoma para impressão mais amigável  Imprimir todo o diploma
SUMÁRIO
Aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, transpondo a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016
_____________________

CAPÍTULO IV
Responsável pelo tratamento e subcontratante
  Artigo 20.º
Obrigações do responsável pelo tratamento
1 - O responsável pelo tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos, liberdades e garantias das pessoas, adota as medidas técnicas e organizativas adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com a presente lei.
2 - As medidas adotadas nos termos do número anterior são regularmente avaliadas e atualizadas.

  Artigo 21.º
Requisitos mínimos da proteção de dados
1 - O responsável pelo tratamento adota as medidas técnicas e organizativas que assegurem de forma eficaz o respeito pelos princípios da proteção de dados, bem como as garantias necessárias para satisfazer os requisitos estabelecidos na presente lei e para proteger os direitos dos titulares dos dados.
2 - O responsável pelo tratamento aplica as medidas técnicas e organizativas adequadas que assegurem que apenas são tratados os dados pessoais necessários para cada finalidade específica do tratamento.
3 - Para os efeitos do número anterior, o responsável pelo tratamento avalia o volume de dados pessoais recolhidos, a extensão do tratamento, o prazo de conservação e a acessibilidade, devendo assegurar que, por defeito, os dados pessoais não são disponibilizados a um número indeterminado de pessoas sem o consentimento do respetivo titular dos dados.
4 - As medidas referidas no n.º 1 são asseguradas tanto nos momentos da conceção, do desenvolvimento e da aplicação dos meios de tratamento como no momento do próprio tratamento, de modo a permitir, designadamente, a pseudonimização e a minimização dos dados.

  Artigo 22.º
Responsáveis conjuntos pelo tratamento
1 - Para os efeitos da presente lei, quando dois ou mais responsáveis pelo tratamento de dados determinam conjuntamente as finalidades e os meios do tratamento, ambos são responsáveis conjuntos pelo tratamento.
2 - Os responsáveis conjuntos determinam as respetivas responsabilidades por mútuo acordo, de forma transparente e devidamente documentada a fim de garantir o cumprimento da presente lei, nomeadamente no que diz respeito ao exercício dos direitos do titular dos dados e aos deveres de facultar a informação a que se refere o artigo 14.º, salvo nos casos em que a responsabilidade seja determinada por lei.
3 - O acordo previsto no número anterior identifica qual dos responsáveis é o ponto de contacto dos titulares dos dados para o exercício dos seus direitos, sem prejuízo de a pretensão poder ser dirigida a qualquer deles.

  Artigo 23.º
Tratamento dos dados por subcontratante
1 - O responsável pelo tratamento pode recorrer a subcontratantes que apresentem garantias suficientes de adoção de medidas técnicas e organizativas adequadas de modo a que o tratamento satisfaça os requisitos estabelecidos na presente lei e assegure a proteção dos direitos do titular dos dados.
2 - O subcontratante não pode recorrer a outro subcontratante sem a autorização prévia específica ou geral, por escrito, do responsável pelo tratamento, com exceção dos casos em que a subcontratação esteja prevista na lei.
3 - Em caso de autorização geral, o subcontratante informa o responsável pelo tratamento de todas as alterações pretendidas quanto à contratação de outros subcontratantes, podendo o responsável pelo tratamento opor-se a essas alterações.
4 - O tratamento de dados em subcontratação é regulado por contrato escrito ou por lei que estabeleça o objeto, a duração, a natureza e a finalidade do tratamento, o tipo de dados pessoais e as categorias de titulares de dados a tratar, bem como as obrigações e os direitos do responsável pelo tratamento.
5 - O contrato ou a lei referidos no número anterior preveem, designadamente, que o subcontratante:
a) Só aja de acordo com as instruções do responsável pelo tratamento;
b) Assegure que as pessoas autorizadas a tratar os dados pessoais assumem um compromisso de confidencialidade ou se encontram sujeitas a obrigações legais de confidencialidade;
c) Preste assistência ao responsável pelo tratamento por todos os meios adequados de modo a assegurar o cumprimento das disposições relativas aos direitos do titular dos dados;
d) Após concluir os serviços de tratamento, apague de forma definitiva ou devolva os dados ao responsável pelo tratamento, consoante a escolha deste, e apague as cópias existentes, a menos que a sua conservação seja exigida por lei;
e) Disponibilize ao responsável pelo tratamento as informações necessárias para demonstrar o cumprimento do disposto no presente artigo;
f) Respeite as condições referidas nos n.os 2 e 3 no que respeita à contratação de outro subcontratante;
g) Adote as medidas técnicas e organizativas adequadas que assegurem a proteção dos dados pessoais, em conformidade com o exigido na presente lei, devendo considerar o princípio da proteção de dados desde a conceção e por defeito.

  Artigo 24.º
Tratamento sob a autoridade do responsável pelo tratamento ou do subcontratante
O subcontratante, bem como qualquer pessoa que, agindo sob a autoridade deste ou do responsável pelo tratamento, tenha acesso a dados pessoais, não pode efetuar o respetivo tratamento sem instruções do responsável pelo tratamento.

  Artigo 25.º
Dever de sigilo
Os responsáveis pelo tratamento, os subcontratantes, bem como qualquer outra pessoa que, no exercício das suas funções, tenha acesso aos dados pessoais, ficam obrigados a sigilo profissional, mesmo após o termo das suas funções.

  Artigo 26.º
Registos das atividades de tratamento
1 - O responsável pelo tratamento conserva um registo de todas as categorias de atividades de tratamento sob a sua responsabilidade.
2 - O registo deve conter:
a) O nome e os contactos do responsável pelo tratamento e, se for o caso, dos responsáveis conjuntos pelo tratamento e do encarregado da proteção de dados;
b) As finalidades do tratamento;
c) As categorias de destinatários aos quais os dados pessoais são divulgados ou facultados, incluindo os destinatários estabelecidos em países terceiros ou organizações internacionais;
d) A descrição das categorias de titulares de dados e das categorias de dados pessoais;
e) A utilização da definição de perfis, se for caso disso;
f) As categorias de transferências de dados pessoais para um país terceiro ou para uma organização internacional, se for caso disso;
g) A indicação do fundamento jurídico do tratamento, incluindo das transferências, a que os dados pessoais se destinam;
h) Se possível, os prazos de conservação das diferentes categorias de dados pessoais ou os procedimentos previstos para revisão periódica da necessidade de conservação;
i) Uma descrição geral das medidas técnicas e organizativas em matéria de segurança referidas no artigo 31.º;
j) Os pedidos apresentados pelos titulares dos dados e a respetiva tramitação, bem como as decisões do responsável pelo tratamento com a correspondente fundamentação.
3 - O subcontratante conserva um registo de todas as categorias de atividades de tratamento realizadas em nome do responsável pelo tratamento, do qual constam:
a) O nome e os contactos do subcontratante ou subcontratantes, de cada responsável pelo tratamento em nome do qual atua o subcontratante e do encarregado da proteção de dados, se for caso disso;
b) As categorias de tratamentos de dados efetuados em nome de cada responsável pelo tratamento;
c) Se for caso disso, as transferências de dados pessoais para um país terceiro ou para uma organização internacional e as instruções do responsável pelo tratamento para as transferências, incluindo a identificação desse país terceiro ou dessa organização internacional;
d) Uma descrição geral das medidas técnicas e organizativas em matéria de segurança referidas no artigo 31.º
4 - Os registos a que se referem os números anteriores são conservados por escrito e em suporte duradouro, designadamente em formato eletrónico.
5 - O responsável pelo tratamento e o subcontratante facultam os registos previstos nos números anteriores à autoridade de controlo, a pedido desta.

  Artigo 27.º
Registo cronológico
1 - O responsável pelo tratamento e o subcontratante conservam em sistemas de tratamento automatizado registos cronológicos das seguintes operações de tratamento:
a) Recolha;
b) Alteração;
c) Consulta;
d) Divulgação, incluindo transferências;
e) Interconexão;
f) Apagamento; e
g) Limitação do tratamento, incluindo as datas de início e de cessação da limitação.
2 - Os registos cronológicos das operações de consulta e de divulgação devem permitir determinar o motivo, a data e a hora dessas operações, a identificação da pessoa que consultou ou divulgou dados pessoais e, sempre que possível, a identidade dos destinatários desses dados pessoais.
3 - Os registos cronológicos são utilizados exclusivamente para efeitos de verificação da licitude do tratamento, autocontrolo, exercício do poder disciplinar e garantia da integridade e segurança dos dados pessoais, bem como no âmbito e para efeitos de processo penal.
4 - O responsável pelo tratamento e o subcontratante disponibilizam os registos cronológicos à autoridade de controlo, a pedido desta.
5 - As leis específicas reguladoras das operações de tratamento dos dados para as finalidades previstas no artigo 1.º definem os períodos de conservação aplicáveis aos registos cronológicos.
6 - O responsável pelo tratamento e o subcontratante adotam medidas técnicas que garantam a integridade dos registos cronológicos.

  Artigo 28.º
Dever de colaboração
O responsável pelo tratamento e o subcontratante colaboram plenamente com a autoridade de controlo no exercício das suas atribuições.

  Artigo 29.º
Avaliação de impacto
1 - No caso de um certo tipo de tratamento ser suscetível de representar um elevado risco para os direitos, liberdades e garantias das pessoas, o responsável pelo mesmo deve efetuar uma avaliação do impacto das operações que o compõem antes de lhe dar início.
2 - Tendo em conta os direitos, liberdades e garantias das pessoas, a avaliação do impacto inclui:
a) Uma descrição geral das operações de tratamento previstas;
b) Uma avaliação dos riscos para os direitos, liberdades e garantias dos titulares dos dados;
c) As medidas previstas para fazer face aos riscos mencionados na alínea anterior;
d) As garantias, as medidas de segurança e os mecanismos para assegurar a proteção dos dados pessoais e demonstrar a conformidade do tratamento com a presente lei.

  Artigo 30.º
Consulta prévia da autoridade de controlo
1 - O responsável pelo tratamento ou o subcontratante consultam a autoridade de controlo antes de proceder ao tratamento de dados pessoais a integrar em ficheiro a criar nos casos em que:
a) A avaliação de impacto prevista no artigo anterior indique que o tratamento resultaria num elevado risco, na ausência de medidas adequadas para atenuar esse risco; ou
b) O tipo de tratamento envolva um elevado risco para os direitos, liberdades e garantias dos titulares dos dados, designadamente se utilizar novas tecnologias.
2 - A autoridade de controlo é consultada durante a elaboração de instrumentos jurídicos em preparação na União Europeia ou em instituições internacionais e durante a elaboração de acordos bilaterais ou multilaterais a celebrar entre o Estado Português e outros Estados, bem como de propostas legislativas e regulamentares referentes ao tratamento de dados pessoais, podendo, igualmente, emitir pareceres, por iniciativa própria, sobre qualquer questão relacionada com a proteção de dados pessoais.
3 - A autoridade de controlo pode elaborar e publicitar uma lista das operações de tratamento sujeitas a consulta prévia nos termos do n.º 1.
4 - O responsável pelo tratamento fornece à autoridade de controlo a avaliação de impacto prevista no artigo anterior e, quando solicitado, qualquer outra informação que lhe permita avaliar a conformidade do tratamento com a presente lei, os riscos para a proteção dos dados pessoais e as respetivas garantias.
5 - Caso considere que o tratamento previsto no n.º 1 viola o disposto na presente lei, especialmente se o responsável pelo tratamento não tiver identificado ou atenuado de forma suficiente os riscos, a autoridade de controlo dá orientações por escrito ao responsável pelo tratamento ou ao subcontratante no prazo de seis semanas a contar da receção do pedido de consulta, sem prejuízo de poder adotar outras medidas da sua competência.
6 - O prazo previsto no número anterior pode ser prorrogado por um mês, tendo em conta a complexidade do tratamento em causa, devendo a autoridade de controlo informar o responsável pelo tratamento ou o subcontratante dessa prorrogação e dos respetivos fundamentos.

Páginas:    
   Contactos      Índice      Links      Direitos      Privacidade  Copyright© 2001-2023 Procuradoria-Geral Distrital de Lisboa