Procuradoria-Geral Distrital de Lisboa
Actualidade | Jurisprudência | Legislação pesquisa:

Início  legislação  Exibe diploma

    Legislação
  Lei n.º 41/2004, de 18 de Agosto
  PROTECÇÃO DE DADOS PESSOAIS E PRIVACIDADE NAS TELECOMUNICAÇÕES(versão actualizada)

    Contém as seguintes alterações:     Ver versões do diploma:
   - Lei n.º 16/2022, de 16/08
   - Lei n.º 46/2012, de 29/08
- 3ª versão - a mais recente (Lei n.º 16/2022, de 16/08)
     - 2ª versão (Lei n.º 46/2012, de 29/08)
     - 1ª versão (Lei n.º 41/2004, de 18/08)
Procurar no presente diploma:
A expressão exacta

Ir para o art.:
 Todos
      Nº de artigos :  8      


 Ver índice sistemático do diploma Abre  janela autónoma para impressão mais amigável  Imprimir todo o diploma
SUMÁRIO
Transpõe para a ordem jurídica nacional a Directiva n.º 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de Julho, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas
_____________________

Transpõe para a ordem jurídica nacional a Directiva n.º 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de Julho, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas.
A Assembleia da República decreta, nos termos da alínea c) do artigo 161.º da Constituição, para valer como lei geral da República, o seguinte:

CAPÍTULO I
Objeto e âmbito
  Artigo 1.º
Objeto e âmbito de aplicação
1 - A presente lei transpõe para a ordem jurídica nacional a Diretiva n.º 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de julho, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas, com as alterações determinadas pelo artigo 2.º da Diretiva n.º 2009/136/CE, do Parlamento Europeu e do Conselho, de 25 de novembro.
2 - A presente lei aplica-se ao tratamento de dados pessoais no contexto da prestação de serviços de comunicações eletrónicas acessíveis ao público em redes de comunicações públicas, nomeadamente nas redes públicas de comunicações que sirvam de suporte a dispositivos de recolha de dados e de identificação, especificando e complementando as disposições da Lei n.º 67/98, de 26 de outubro (Lei da Proteção de Dados Pessoais).
3 - As disposições da presente lei asseguram a proteção dos interesses legítimos dos assinantes que sejam pessoas coletivas na medida em que tal proteção seja compatível com a sua natureza.
4 - As exceções à aplicação da presente lei que se mostrem estritamente necessárias para a proteção de atividades relacionadas com a segurança pública, a defesa, a segurança do Estado e a prevenção, investigação e repressão de infrações penais são definidas em legislação especial.
5 - Nas situações previstas no número anterior, as empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público devem estabelecer procedimentos internos que permitam responder aos pedidos de acesso a dados pessoais dos utilizadores apresentados pelas autoridades judiciárias competentes, em conformidade com a referida legislação especial.
  Contém as alterações dos seguintes diplomas:
   - Lei n.º 46/2012, de 29/08
  Consultar versões anteriores deste artigo:
   -1ª versão: Lei n.º 41/2004, de 18/08

  Artigo 2.º
Definições
1 - Para efeitos da presente lei, entende-se por:
a) «Comunicação» qualquer informação trocada ou enviada entre um número finito de partes mediante a utilização de um serviço de comunicações eletrónicas acessível ao público;
b) «Correio eletrónico» qualquer mensagem textual, vocal, sonora ou gráfica enviada através de uma rede pública de comunicações que possa ser armazenada na rede ou no equipamento terminal do destinatário até que este a recolha;
c) «Utilizador» qualquer pessoa singular que utilize um serviço de comunicações eletrónicas acessível ao público para fins privados ou comerciais, não sendo necessariamente assinante desse serviço;
d) «Dados de tráfego» quaisquer dados tratados para efeitos do envio de uma comunicação através de uma rede de comunicações eletrónicas ou para efeitos da faturação da mesma;
e) «Dados de localização» quaisquer dados tratados numa rede de comunicações eletrónicas ou no âmbito de um serviço de comunicações eletrónicas que indiquem a posição geográfica do equipamento terminal de um utilizador de um serviço de comunicações eletrónicas acessível ao público;
f) «Serviços de valor acrescentado» todos aqueles que requeiram o tratamento de dados de tráfego ou de dados de localização que não sejam dados de tráfego, para além do necessário à transmissão de uma comunicação ou à faturação da mesma;
g) «Violação de dados pessoais» uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizado a dados pessoais transmitidos, armazenados ou de outro modo tratados no contexto da prestação de serviços de comunicações eletrónicas acessíveis ao público.
2 - É excluída da alínea a) do número anterior toda a informação difundida ao público em geral, através de uma rede de comunicações eletrónicas, que não possa ser relacionada com o assinante de um serviço de comunicações eletrónicas ou com qualquer utilizador identificável que receba a informação.
3 - Salvo definição específica da presente lei, são aplicáveis as definições constantes da Lei de Proteção de Dados Pessoais e da Lei n.º 5/2004, de 10 de fevereiro, na redação que lhe foi dada pela Lei n.º 51/2011, de 13 de setembro (Lei das Comunicações Eletrónicas).
  Contém as alterações dos seguintes diplomas:
   - Lei n.º 46/2012, de 29/08
  Consultar versões anteriores deste artigo:
   -1ª versão: Lei n.º 41/2004, de 18/08

CAPÍTULO II
Segurança e confidencialidade
  Artigo 3.º
Segurança do processamento
1 - As empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público devem adotar as medidas técnicas e organizacionais adequadas para garantir a segurança dos seus serviços, se necessário, no que respeita à segurança de rede, em conjunto com o fornecedor da rede pública de comunicações.
2 - O fornecedor de rede pública de comunicações que sirva de suporte a serviços de comunicações eletrónicas acessíveis ao público, prestados por outra empresa deve satisfazer os pedidos que esta lhe apresente e que sejam necessários para o cumprimento do regime fixado na presente lei.
3 - As medidas referidas no n.º 1 devem ser adequadas à prevenção dos riscos existentes, tendo em conta a proporcionalidade dos custos da sua aplicação e o estado da evolução tecnológica.
4 - O ICP - Autoridade Nacional de Comunicações (ICP-ANACOM) deve emitir recomendações sobre as melhores práticas relativas ao nível de segurança que essas medidas devem alcançar.
5 - O ICP-ANACOM deve, diretamente ou através de entidade independente, auditar as medidas adotadas nos termos dos números anteriores.
6 - O ICP-ANACOM deve estabelecer o plano dessas auditorias, de modo a abranger, nomeadamente, a determinação dos procedimentos e normas de referência a aplicar-lhes e os requisitos exigíveis aos auditores.
7 - Pode ainda o ICP-ANACOM, ou uma entidade independente por si designada, realizar auditorias de segurança extraordinárias.
8 - Para efeitos da aplicação dos n.os 4 a 7 do presente artigo, caso estejam em causa medidas que possam envolver matérias de proteção de dados pessoais, deve o ICP-ANACOM solicitar parecer à Comissão Nacional de Protecção de Dados (CNPD).
9 - Sem prejuízo do disposto na Lei da Proteção de Dados Pessoais, as medidas referidas nos n.os 1 a 3 devem, no mínimo, incluir:
a) Medidas que assegurem que somente o pessoal autorizado possa ter acesso aos dados pessoais, e apenas para fins legalmente autorizados;
b) A proteção dos dados pessoais transmitidos, armazenados ou de outro modo tratados, contra a destruição, a perda, a alteração, a divulgação ou o acesso não autorizados ou acidentais;
c) Medidas que assegurem a aplicação de uma política de segurança no tratamento dos dados pessoais.
10 - Em caso de risco especial de violação da segurança da rede, as empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público devem informar gratuitamente os assinantes desses serviços da existência do risco e, sempre que o risco se situe fora do âmbito das medidas a tomar pelo prestador do serviço, das soluções possíveis para evitá-lo e dos custos prováveis daí decorrentes.
  Contém as alterações dos seguintes diplomas:
   - Lei n.º 46/2012, de 29/08
  Consultar versões anteriores deste artigo:
   -1ª versão: Lei n.º 41/2004, de 18/08

  Artigo 3.º-A
Notificação de violação de dados pessoais
1 - As empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público devem, sem demora injustificada, notificar a CNPD da ocorrência de violação de dados pessoais.
2 - Quando a violação de dados pessoais referida no número anterior possa afetar negativamente os dados pessoais do assinante ou utilizador, as empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público devem ainda, sem demora injustificada, notificar a violação ao assinante ou ao utilizador, para que estes possam tomar as precauções necessárias.
3 - Uma violação de dados pessoais afeta negativamente os dados ou a privacidade do assinante ou utilizador sempre que possa resultar, designadamente, em usurpação ou fraude de identidade, danos físicos, humilhação significativa ou danos para a reputação, quando associados à prestação e utilização de serviços de comunicações eletrónicas acessíveis ao público.
4 - O regime previsto no n.º 2 não se aplica nos casos em que as empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público comprovem perante a CNPD, e esta reconheça, que adotaram as medidas tecnológicas de proteção adequadas e que essas medidas foram aplicadas aos dados a que a violação diz respeito.
5 - As medidas a que se refere o número anterior devem tornar os dados incompreensíveis para todas as pessoas não autorizadas a aceder-lhes.
6 - Sem prejuízo da obrigação de notificação a que se refere o n.º 2, quando a empresa que oferece serviços de comunicações eletrónicas acessíveis ao público não tiver ainda notificado a violação de dados pessoais ao assinante ou ao utilizador, a CNPD pode exigir a realização da mesma notificação, tendo em conta a probabilidade de efeitos adversos decorrentes da violação.
7 - Constituem elementos mínimos da notificação a que se refere o n.º 2 a identificação da natureza da violação dos dados pessoais e dos pontos de contato onde possam ser obtidas informações complementares, bem como a recomendação de medidas destinadas a limitar eventuais efeitos adversos da referida violação.
8 - Na notificação à CNPD prevista no n.º 1, a empresa que oferece serviços de comunicações eletrónicas acessíveis ao público deve, além dos elementos constantes do número anterior, indicar as consequências da violação de dados pessoais e as medidas por si propostas ou tomadas para fazer face à violação.
9 - A CNPD pode, em conformidade com as decisões da Comissão Europeia, emitir orientações ou instruções sobre as circunstâncias em que as empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público estão obrigadas a notificar a violação de dados pessoais, bem como sobre a forma e o procedimento aplicáveis a essas notificações.
10 - Para a verificação, pela CNPD, do cumprimento das obrigações estabelecidas no presente artigo, as empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público devem constituir e manter um registo das situações de violação de dados pessoais, com indicação dos factos que lhes dizem respeito, dos seus efeitos e das medidas adotadas, incluindo as notificações efetuadas e as medidas de reparação tomadas.

Aditado pelo seguinte diploma: Lei n.º 46/2012, de 29 de Agosto

  Artigo 4.º
Inviolabilidade das comunicações eletrónicas
1 - As empresas que oferecem redes e ou serviços de comunicações eletrónicas devem garantir a inviolabilidade das comunicações e respetivos dados de tráfego realizadas através de redes públicas de comunicações e de serviços de comunicações eletrónicas acessíveis ao público.
2 - É proibida a escuta, a instalação de dispositivos de escuta, o armazenamento ou outros meios de interceção ou vigilância de comunicações e dos respetivos dados de tráfego por terceiros sem o consentimento prévio e expresso dos utilizadores, com exceção dos casos previstos na lei.
3 - O disposto no presente artigo não impede as gravações legalmente autorizadas de comunicações e dos respetivos dados de tráfego, quando realizadas no âmbito de práticas comerciais lícitas, para o efeito de prova de uma transação comercial nem de qualquer outra comunicação feita no âmbito de uma relação contratual, desde que o titular dos dados tenha sido disso informado e dado o seu consentimento.
4 - São autorizadas as gravações de comunicações de e para serviços públicos destinados a prover situações de emergência de qualquer natureza.

  Artigo 5.º
Armazenamento e acesso à informação
1 - O armazenamento de informações e a possibilidade de acesso à informação armazenada no equipamento terminal de um assinante ou utilizador apenas são permitidos se estes tiverem dado o seu consentimento prévio, com base em informações claras e completas nos termos da Lei de Proteção de Dados Pessoais, nomeadamente quanto aos objetivos do processamento.
2 - O disposto no presente artigo e no artigo anterior não impede o armazenamento técnico ou o acesso:
a) Que tenha como única finalidade transmitir uma comunicação através de uma rede de comunicações eletrónicas;
b) Estritamente necessário ao fornecedor para fornecer um serviço da sociedade de informação solicitado expressamente pelo assinante ou utilizador.
  Contém as alterações dos seguintes diplomas:
   - Lei n.º 46/2012, de 29/08
  Consultar versões anteriores deste artigo:
   -1ª versão: Lei n.º 41/2004, de 18/08

  Artigo 6.º
Dados de tráfego
1 - Sem prejuízo do disposto nos números seguintes, os dados de tráfego relativos aos assinantes e utilizadores tratados e armazenados pelas empresas que oferecem redes e ou serviços de comunicações eletrónicas devem ser eliminados ou tornados anónimos quando deixem de ser necessários para efeitos da transmissão da comunicação.
2 - É permitido o tratamento de dados de tráfego necessários à faturação dos assinantes e ao pagamento de interligações, designadamente:
a) Número ou identificação, endereço e tipo de posto do assinante;
b) Número total de unidades a cobrar para o período de contagem, bem como o tipo, hora de início e duração das chamadas efetuadas ou o volume de dados transmitidos;
c) Data da chamada ou serviço e número chamado;
d) Outras informações relativas a pagamentos, tais como pagamentos adiantados, pagamentos a prestações, cortes de ligação e avisos.
3 - O tratamento referido no número anterior apenas é lícito até final do período durante o qual a fatura pode ser legalmente contestada ou o pagamento reclamado.
4 - As empresas que oferecem serviços de comunicações eletrónicas só podem tratar os dados referidos no n.º 1 se o assinante ou utilizador a quem os dados digam respeito tiver dado o seu consentimento prévio e expresso, que pode ser retirado a qualquer momento, e apenas na medida do necessário e pelo tempo necessário à comercialização de serviços de comunicações eletrónicas ou à prestação de serviços de valor acrescentado.
5 - Nos casos previstos no n.º 2 e, antes de ser obtido o consentimento dos assinantes ou utilizadores, nos casos previstos no n.º 4, as empresas que oferecem serviços de comunicações eletrónicas devem fornecer-lhes informações exatas e completas sobre o tipo de dados que são tratados, os fins e a duração desse tratamento, bem como sobre a sua eventual disponibilização a terceiros para efeitos da prestação de serviços de valor acrescentado.
6 - O tratamento dos dados de tráfego deve ser limitado aos trabalhadores e colaboradores das empresas que oferecem redes e ou serviços de comunicações eletrónicas acessíveis ao público encarregados da faturação ou da gestão do tráfego, das informações a clientes, da deteção de fraudes, da comercialização dos serviços de comunicações eletrónicas acessíveis ao público, ou da prestação de serviços de valor acrescentado, restringindo-se ao necessário para efeitos das referidas atividades.
7 - O disposto nos números anteriores não prejudica o direito de os tribunais e as demais autoridades competentes obterem informações relativas aos dados de tráfego, nos termos da legislação aplicável, com vista à resolução de litígios, em especial daqueles relativos a interligações ou à faturação.
  Contém as alterações dos seguintes diplomas:
   - Lei n.º 46/2012, de 29/08
  Consultar versões anteriores deste artigo:
   -1ª versão: Lei n.º 41/2004, de 18/08

  Artigo 7.º
Dados de localização
1 - Nos casos em que sejam processados dados de localização, para além dos dados de tráfego, relativos a assinantes ou utilizadores das redes públicas de comunicações ou de serviços de comunicações eletrónicas acessíveis ao público, o tratamento destes dados é permitido apenas se os mesmos forem tornados anónimos.
2 - É permitido o registo, o tratamento e a disponibilização de dados de localização, nomeadamente da informação sobre a localização do chamador, às organizações com competência legal para receber ou tratar comunicações de emergência, para efeitos de resposta a essas comunicações.
3 - Do mesmo modo, o tratamento de dados de localização é permitido na medida e pelo tempo necessários para a prestação de serviços de valor acrescentado, desde que seja obtido consentimento prévio e expresso dos assinantes ou utilizadores.
4 - As empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público devem, designadamente, informar os utilizadores ou assinantes, antes de obterem o seu consentimento, sobre o tipo de dados de localização que serão tratados, a duração e os fins do tratamento e a eventual transmissão dos dados a terceiros para efeitos de fornecimento de serviços de valor acrescentado.
5 - As empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público devem garantir aos assinantes e utilizadores a possibilidade de, através de um meio simples e gratuito:
a) Retirar a qualquer momento o consentimento anteriormente concedido para o tratamento dos dados de localização referidos nos números anteriores;
b) Recusar temporariamente o tratamento desses dados para cada ligação à rede ou para cada transmissão de uma comunicação.
6 - O tratamento dos dados de localização deve ser limitado aos trabalhadores e colaboradores das empresas que oferecem redes e ou serviços de comunicações eletrónicas acessíveis ao público ou de terceiros que forneçam o serviço de valor acrescentado, devendo restringir-se ao necessário para efeitos da referida atividade.
  Contém as alterações dos seguintes diplomas:
   - Lei n.º 46/2012, de 29/08
   - Lei n.º 16/2022, de 16/08
  Consultar versões anteriores deste artigo:
   -1ª versão: Lei n.º 41/2004, de 18/08
   -2ª versão: Lei n.º 46/2012, de 29/08

Páginas:    
   Contactos      Índice      Links      Direitos      Privacidade  Copyright© 2001-2024 Procuradoria-Geral Distrital de Lisboa