Lei de Protecção de Dados Pessoais 67/98

5536 DIÁRIO DA REPÚBLICA — I SÉRIE-A N.o 247 — 26-10-1998

ASSEMBLEIA DA REPÚBLICA

Lei n.o 67/98

de 26 de Outubro

Lei da Protecção de Dados Pessoais (transpõe para a ordem jurí-dica portuguesa a Directiva n.o 95/46/CE, do Parlamento Euro-peu e do Conselho, de 24 de Outubro de 1995, relativa à pro-tecção das pessoas singulares no que diz respeito ao tratamentodos dados pessoais e à livre circulação desses dados).

A Assembleia da República decreta, nos termos daalínea c) do artigo 161.o, das alíneas b) e c) do n.o 1do artigo 165.o e do n.o 3 do artigo 166.o da Constituição,para valer como lei geral da República, o seguinte:

CAPÍTULO I

Disposições gerais

Artigo 1.o

Objecto

A presente lei transpõe para a ordem jurídica internaa Directiva n.o 95/46/CE, do Parlamento Europeu e doConselho, de 24 de Outubro de 1995, relativa à pro-tecção das pessoas singulares no que diz respeito aotratamento de dados pessoais e à livre circulação dessesdados.

Artigo 2.o

Princípio geral

O tratamento de dados pessoais deve processar-sede forma transparente e no estrito respeito pela reservada vida privada, bem como pelos direitos, liberdadese garantias fundamentais.

Artigo 3.o

Definições

Para efeitos da presente lei, entende-se por:

a) «Dados pessoais»: qualquer informação, de qual-quer natureza e independentemente do respec-tivo suporte, incluindo som e imagem, relativaa uma pessoa singular identificada ou identi-ficável («titular dos dados»); é considerada iden-tificável a pessoa que possa ser identificadadirecta ou indirectamente, designadamente porreferência a um número de identificação ou aum ou mais elementos específicos da sua iden-tidade física, fisiológica, psíquica, económica,cultural ou social;

b) «Tratamento de dados pessoais» («tratamento»):qualquer operação ou conjunto de operaçõessobre dados pessoais, efectuadas com ou semmeios automatizados, tais como a recolha, oregisto, a organização, a conservação, a adap-tação ou alteração, a recuperação, a consulta,a utilização, a comunicação por transmissão, pordifusão ou por qualquer outra forma de colo-cação à disposição, com comparação ou inter-conexão, bem como o bloqueio, apagamento oudestruição;

c) «Ficheiro de dados pessoais» («ficheiro»): qual-quer conjunto estruturado de dados pessoais,acessível segundo critérios determinados, querseja centralizado, descentralizado ou repartidode modo funcional ou geográfico;

d) «Responsável pelo tratamento»: a pessoa singu-lar ou colectiva, a autoridade pública, o serviçoou qualquer outro organismo que, individual-mente ou em conjunto com outrem, determineas finalidades e os meios de tratamento dosdados pessoais; sempre que as finalidades e osmeios do tratamento sejam determinados pordisposições legislativas ou regulamentares, oresponsável pelo tratamento deve ser indicadona lei de organização e funcionamento ou noestatuto da entidade legal ou estatutariamentecompetente para tratar os dados pessoais emcausa;

e) «Subcontratante»: a pessoa singular ou colec-tiva, a autoridade pública, o serviço ou qualqueroutro organismo que trate os dados pessoaispor conta do responsável pelo tratamento;

f) «Terceiro»: a pessoa singular ou colectiva, aautoridade pública, o serviço ou qualquer outroorganismo que, não sendo o titular dos dados,o responsável pelo tratamento, o subcontratanteou outra pessoa sob autoridade directa do res-ponsável pelo tratamento ou do subcontratante,esteja habilitado a tratar os dados;

g) «Destinatário»: a pessoa singular ou colectiva,a autoridade pública, o serviço ou qualqueroutro organismo a quem sejam comunicadosdados pessoais, independentemente de se tratarou não de um terceiro, sem prejuízo de nãoserem consideradas destinatários as autoridadesa quem sejam comunicados dados no âmbitode uma disposição legal;

h) «Consentimento do titular dos dados»: qualquermanifestação de vontade, livre, específica einformada, nos termos da qual o titular aceitaque os seus dados pessoais sejam objecto detratamento;

i) «Interconexão de dados»: forma de tratamentoque consiste na possibilidade de relacionamentodos dados de um ficheiro com os dados de umficheiro ou ficheiros mantidos por outro ououtros responsáveis, ou mantidos pelo mesmoresponsável com outra finalidade.

Artigo 4.o

Âmbito de aplicação

1 — A presente lei aplica-se ao tratamento de dadospessoais por meios total ou parcialmente automatizados,bem como ao tratamento por meios não automatizadosde dados pessoais contidos em ficheiros manuais ou aestes destinados.

2 — A presente lei não se aplica ao tratamento dedados pessoais efectuado por pessoa singular no exer-cício de actividades exclusivamente pessoais ou domés-ticas.

3 — A presente lei aplica-se ao tratamento de dadospessoais efectuado:

a) No âmbito das actividades de estabelecimentodo responsável do tratamento situado em ter-ritório português;

5537N.o 247 — 26-10-1998 DIÁRIO DA REPÚBLICA — I SÉRIE-A

b) Fora do território nacional, em local onde alegislação portuguesa seja aplicável por forçado direito internacional;

c) Por responsável que, não estando estabelecidono território da União Europeia, recorra, paratratamento de dados pessoais, a meios, auto-matizados ou não, situados no território por-tuguês, salvo se esses meios só forem utilizadospara trânsito através do território da UniãoEuropeia.

4 — A presente lei aplica-se à videovigilância e outrasformas de captação, tratamento e difusão de sons e ima-gens que permitam identificar pessoas sempre que oresponsável pelo tratamento esteja domiciliado ousediado em Portugal ou utilize um fornecedor de acessoa redes informáticas e telemáticas estabelecido em ter-ritório português.

5 — No caso referido na alínea c) do n.o 3, o res-ponsável pelo tratamento deve designar, mediantecomunicação à Comissão Nacional de Protecção deDados (CNPD), um representante estabelecido em Por-tugal, que se lhe substitua em todos os seus direitose obrigações, sem prejuízo da sua própria respon-sabilidade.

6 — O disposto no número anterior aplica-se no casode o responsável pelo tratamento estar abrangido porestatuto de extraterritorialidade, de imunidade ou porqualquer outro que impeça o procedimento criminal.

7 — A presente lei aplica-se ao tratamento de dadospessoais que tenham por objectivo a segurança pública,a defesa nacional e a segurança do Estado, sem prejuízodo disposto em normas especiais constantes de instru-mentos de direito internacional a que Portugal se vinculee de legislação específica atinente aos respectivossectores.

CAPÍTULO II

Tratamento de dados pessoais

SECÇÃO I

Qualidade dos dados e legitimidade do seu tratamento

Artigo 5.o

Qualidade dos dados

1 — Os dados pessoais devem ser:

a) Tratados de forma lícita e com respeito peloprincípio da boa fé;

b) Recolhidos para finalidades determinadas, explí-citas e legítimas, não podendo ser posterior-mente tratados de forma incompatível com essasfinalidades;

c) Adequados, pertinentes e não excessivos rela-tivamente às finalidades para que são recolhidose posteriormente tratados;

d) Exactos e, se necessário, actualizados, devendoser tomadas as medidas adequadas para asse-gurar que sejam apagados ou rectificados osdados inexactos ou incompletos, tendo em contaas finalidades para que foram recolhidos ou paraque são tratados posteriormente;

e) Conservados de forma a permitir a identificaçãodos seus titulares apenas durante o períodonecessário para a prossecução das finalidadesda recolha ou do tratamento posterior.

2 — Mediante requerimento do responsável pelo tra-tamento, e caso haja interesse legítimo, a CNPD podeautorizar a conservação de dados para fins históricos,estatísticos ou científicos por período superior ao refe-rido na alínea e) do número anterior.

3 — Cabe ao responsável pelo tratamento assegurara observância do disposto nos números anteriores.

Artigo 6.o

Condições de legitimidade do tratamento de dados

O tratamento de dados pessoais só pode ser efectuadose o seu titular tiver dado de forma inequívoca o seuconsentimento ou se o tratamento for necessário para:

a) Execução de contrato ou contratos em que otitular dos dados seja parte ou de diligênciasprévias à formação do contrato ou declaraçãoda vontade negocial efectuadas a seu pedido;

b) Cumprimento de obrigação legal a que o res-ponsável pelo tratamento esteja sujeito;

c) Protecção de interesses vitais do titular dosdados, se este estiver física ou legalmente inca-paz de dar o seu consentimento;

d) Execução de uma missão de interesse públicoou no exercício de autoridade pública em queesteja investido o responsável pelo tratamentoou um terceiro a quem os dados sejam comu-nicados;

e) Prossecução de interesses legítimos do respon-sável pelo tratamento ou de terceiro a quemos dados sejam comunicados, desde que nãodevam prevalecer os interesses ou os direitos,liberdades e garantias do titular dos dados.

Artigo 7.o

Tratamento de dados sensíveis

1 — É proibido o tratamento de dados pessoais refe-rentes a convicções filosóficas ou políticas, filiação par-tidária ou sindical, fé religiosa, vida privada e origemracial ou étnica, bem como o tratamento de dados rela-tivos à saúde e à vida sexual, incluindo os dadosgenéticos.

2 — Mediante disposição legal ou autorização daCNPD, pode ser permitido o tratamento dos dados refe-ridos no número anterior quando por motivos de inte-resse público importante esse tratamento for indispen-sável ao exercício das atribuições legais ou estatutáriasdo seu responsável, ou quando o titular dos dados tiverdado o seu consentimento expresso para esse trata-mento, em ambos os casos com garantias de não dis-criminação e com as medidas de segurança previstasno artigo 15.o

3 — O tratamento dos dados referidos no n.o 1 é aindapermitido quando se verificar uma das seguintes con-dições:

a) Ser necessário para proteger interesses vitais dotitular dos dados ou de uma outra pessoa e otitular dos dados estiver física ou legalmenteincapaz de dar o seu consentimento;

b) Ser efectuado, com o consentimento do titular,por fundação, associação ou organismo sem finslucrativos de carácter político, filosófico, reli-gioso ou sindical, no âmbito das suas actividadeslegítimas, sob condição de o tratamento respei-


tar apenas aos membros desse organismo ouàs pessoas que com ele mantenham contactosperiódicos ligados às suas finalidades, e de osdados não serem comunicados a terceiros semconsentimento dos seus titulares;

c) Dizer respeito a dados manifestamente tornadospúblicos pelo seu titular, desde que se possalegitimamente deduzir das suas declarações oconsentimento para o tratamento dos mesmos;

d) Ser necessário à declaração, exercício ou defesade um direito em processo judicial e for efec-tuado exclusivamente com essa finalidade.

4 — O tratamento dos dados referentes à saúde eà vida sexual, incluindo os dados genéticos, é permitidoquando for necessário para efeitos de medicina pre-ventiva, de diagnóstico médico, de prestação de cuidadosou tratamentos médicos ou de gestão de serviços desaúde, desde que o tratamento desses dados seja efec-tuado por um profissional de saúde obrigado a sigiloou por outra pessoa sujeita igualmente a segredo pro-fissional, seja notificado à CNPD, nos termos doartigo 27.o, e sejam garantidas medidas adequadas desegurança da informação.

Artigo 8.o

Suspeitas de actividades ilícitas, infracções penaise contra-ordenações

1 — A criação e a manutenção de registos centraisrelativos a pessoas suspeitas de actividades ilícitas,infracções penais, contra-ordenações e decisões queapliquem penas, medidas de segurança, coimas e sançõesacessórias só podem ser mantidas por serviços públicoscom competência específica prevista na respectiva leide organização e funcionamento, observando normasprocedimentais e de protecção de dados previstas emdiploma legal, com prévio parecer da CNPD.

2 — O tratamento de dados pessoais relativos a sus-peitas de actividades ilícitas, infracções penais, contra--ordenações e decisões que apliquem penas, medidasde segurança, coimas e sanções acessórias pode ser auto-rizado pela CNPD, observadas as normas de protecçãode dados e de segurança da informação, quando taltratamento for necessário à execução de finalidades legí-timas do seu responsável, desde que não prevaleçamos direitos, liberdades e garantias do titular dos dados.

3 — O tratamento de dados pessoais para fins deinvestigação policial deve limitar-se ao necessário paraa prevenção de um perigo concreto ou repressão deuma infracção determinada, para o exercício de com-petências previstas no respectivo estatuto orgânico ounoutra disposição legal e ainda nos termos de acordoou convenção internacional de que Portugal seja parte.

Artigo 9.o

Interconexão de dados pessoais

1 — A interconexão de dados pessoais que não estejaprevista em disposição legal está sujeita a autorizaçãoda CNPD solicitada pelo responsável ou em conjuntopelos correspondentes responsáveis dos tratamentos,nos termos previstos no artigo 27.o

2 — A interconexão de dados pessoais deve ser ade-quada à prossecução das finalidades legais ou estatu-

tárias e de interesses legítimos dos responsáveis dos tra-tamentos, não implicar discriminação ou diminuição dosdireitos, liberdades e garantias dos titulares dos dados,ser rodeada de adequadas medidas de segurança e terem conta o tipo de dados objecto de interconexão.

SECÇÃO II

Direitos do titular dos dados

Artigo 10.o

Direito de informação

1 — Quando recolher dados pessoais directamente doseu titular, o responsável pelo tratamento ou o seu repre-sentante deve prestar-lhe, salvo se já dele forem conhe-cidas, as seguintes informações:

a) Identidade do responsável pelo tratamento e,se for caso disso, do seu representante;

b) Finalidades do tratamento;c) Outras informações, tais como:

Os destinatários ou categorias de destinatá-rios dos dados;

O carácter obrigatório ou facultativo da res-posta, bem como as possíveis consequên-cias se não responder;

A existência e as condições do direito deacesso e de rectificação, desde que sejamnecessárias, tendo em conta as circunstân-cias específicas da recolha dos dados, paragarantir ao seu titular um tratamento lealdos mesmos.

2 — Os documentos que sirvam de base à recolhade dados pessoais devem conter as informações cons-tantes do número anterior.

3 — Se os dados não forem recolhidos junto do seutitular, e salvo se dele já forem conhecidas, o responsávelpelo tratamento, ou o seu representante, deve prestar--lhe as informações previstas no n.o 1 no momento doregisto dos dados ou, se estiver prevista a comunicaçãoa terceiros, o mais tardar aquando da primeira comu-nicação desses dados.

4 — No caso de recolha de dados em redes abertas,o titular dos dados deve ser informado, salvo se dissojá tiver conhecimento, de que os seus dados pessoaispodem circular na rede sem condições de segurança,correndo o risco de serem vistos e utilizados por terceirosnão autorizados.

5 — A obrigação de informação pode ser dispensada,mediante disposição legal ou deliberação da CNPD, pormotivos de segurança do Estado e prevenção ou inves-tigação criminal, e, bem assim, quando, nomeadamenteno caso do tratamento de dados com finalidades esta-tísticas, históricas ou de investigação científica, a infor-mação do titular dos dados se revelar impossível ouimplicar esforços desproporcionados ou ainda quandoa lei determinar expressamente o registo dos dados oua sua divulgação.

6 — A obrigação de informação, nos termos previstosno presente artigo, não se aplica ao tratamento de dadosefectuado para fins exclusivamente jornalísticos ou deexpressão artística ou literária.


Artigo 11.o

Direito de acesso

1 — O titular dos dados tem o direito de obter doresponsável pelo tratamento, livremente e sem restri-ções, com periodicidade razoável e sem demoras ou cus-tos excessivos:

a) A confirmação de serem ou não tratados dadosque lhe digam respeito, bem como informaçãosobre as finalidades desse tratamento, as cate-gorias de dados sobre que incide e os desti-natários ou categorias de destinatários a quemsão comunicados os dados;

b) A comunicação, sob forma inteligível, dos seusdados sujeitos a tratamento e de quaisquerinformações disponíveis sobre a origem dessesdados;

c) O conhecimento da lógica subjacente ao tra-tamento automatizado dos dados que lhe digamrespeito;

d) A rectificação, o apagamento ou o bloqueio dosdados cujo tratamento não cumpra o dispostona presente lei, nomeadamente devido ao carác-ter incompleto ou inexacto desses dados;

e) A notificação aos terceiros a quem os dadostenham sido comunicados de qualquer rectifi-cação, apagamento ou bloqueio efectuado nostermos da alínea d), salvo se isso for compro-vadamente impossível.

2 — No caso de tratamento de dados pessoais rela-tivos à segurança do Estado e à prevenção ou inves-tigação criminal, o direito de acesso é exercido atravésda CNPD ou de outra autoridade independente a quema lei atribua a verificação do cumprimento da legislaçãode protecção de dados pessoais.

3 — No caso previsto no n.o 6 do artigo anterior, odireito de acesso é exercido através da CNPD com sal-vaguarda das normas constitucionais aplicáveis, desig-nadamente as que garantem a liberdade de expressãoe informação, a liberdade de imprensa e a independênciae sigilo profissionais dos jornalistas.

4 — Nos casos previstos nos n.os 2 e 3, se a comu-nicação dos dados ao seu titular puder prejudicar a segu-rança do Estado, a prevenção ou a investigação criminalou ainda a liberdade de expressão e informação ou aliberdade de imprensa, a CNPD limita-se a informaro titular dos dados das diligências efectuadas.

5 — O direito de acesso à informação relativa a dadosda saúde, incluindo os dados genéticos, é exercido porintermédio de médico escolhido pelo titular dos dados.

6 — No caso de os dados não serem utilizados paratomar medidas ou decisões em relação a pessoas deter-minadas, a lei pode restringir o direito de acesso noscasos em que manifestamente não exista qualquer perigode violação dos direitos, liberdades e garantias do titulardos dados, designadamente do direito à vida privada,e os referidos dados forem exclusivamente utilizadospara fins de investigação científica ou conservados sobforma de dados pessoais durante um período que nãoexceda o necessário à finalidade exclusiva de elaborarestatísticas.

Artigo 12.o

Direito de oposição do titular dos dados

O titular dos dados tem o direito de:

a) Salvo disposição legal em contrário, e pelomenos nos casos referidos nas alíneas d) e e)do artigo 6.o, se opor em qualquer altura, porrazões ponderosas e legítimas relacionadas coma sua situação particular, a que os dados quelhe digam respeito sejam objecto de tratamento,devendo, em caso de oposição justificada, o tra-tamento efectuado pelo responsável deixar depoder incidir sobre esses dados;

b) Se opor, a seu pedido e gratuitamente, ao tra-tamento dos dados pessoais que lhe digam res-peito previsto pelo responsável pelo tratamentopara efeitos de marketing directo ou qualqueroutra forma de prospecção, ou de ser informado,antes de os dados pessoais serem comunicadospela primeira vez a terceiros para fins de mar-keting directo ou utilizados por conta de ter-ceiros, e de lhe ser expressamente facultado odireito de se opor, sem despesas, a tais comu-nicações ou utilizações.

Artigo 13.o

Decisões individuais automatizadas

1 — Qualquer pessoa tem o direito de não ficar sujeitaa uma decisão que produza efeitos na sua esfera jurídicaou que a afecte de modo significativo, tomada exclu-sivamente com base num tratamento automatizado dedados destinado a avaliar determinados aspectos da suapersonalidade, designadamente a sua capacidade pro-fissional, o seu crédito, a confiança de que é merecedoraou o seu comportamento.

2 — Sem prejuízo do cumprimento das restantes dis-posições da presente lei, uma pessoa pode ficar sujeitaa uma decisão tomada nos termos do n.o 1, desde quetal ocorra no âmbito da celebração ou da execução deum contrato, e sob condição de o seu pedido de cele-bração ou execução do contrato ter sido satisfeito, oude existirem medidas adequadas que garantam a defesados seus interesses legítimos, designadamente o seudireito de representação e expressão.

3 — Pode ainda ser permitida a tomada de uma deci-são nos termos do n.o 1 quando a CNPD o autorize,definindo medidas de garantia da defesa dos interesseslegítimos do titular dos dados.

SECÇÃO III

Segurança e confidencialidade do tratamento

Artigo 14.o

Segurança do tratamento

1 — O responsável pelo tratamento deve pôr em prá-tica as medidas técnicas e organizativas adequadas paraproteger os dados pessoais contra a destruição, acidentalou ilícita, a perda acidental, a alteração, a difusão ouo acesso não autorizados, nomeadamente quando o tra-tamento implicar a sua transmissão por rede, e contraqualquer outra forma de tratamento ilícito; estas medi-das devem assegurar, atendendo aos conhecimentos téc-nicos disponíveis e aos custos resultantes da sua apli-


cação, um nível de segurança adequado em relação aosriscos que o tratamento apresenta e à natureza dos dadosa proteger.

2 — O responsável pelo tratamento, em caso de tra-tamento por sua conta, deverá escolher um subcontra-tante que ofereça garantias suficientes em relação àsmedidas de segurança técnica e de organização do tra-tamento a efectuar, e deverá zelar pelo cumprimentodessas medidas.

3 — A realização de operações de tratamento em sub-contratação deve ser regida por um contrato ou actojurídico que vincule o subcontratante ao responsávelpelo tratamento e que estipule, designadamente, queo subcontratante apenas actua mediante instruções doresponsável pelo tratamento e que lhe incumbe igual-mente o cumprimento das obrigações referidas no n.o 1.

4 — Os elementos de prova da declaração negocial,do contrato ou do acto jurídico relativos à protecçãodos dados, bem como as exigências relativas às medidasreferidas no n.o 1, são consignados por escrito em docu-mento em suporte com valor probatório legalmentereconhecido.

Artigo 15.o

Medidas especiais de segurança

1 — Os responsáveis pelo tratamento dos dados refe-ridos no n.o 2 do artigo 7.o e no n.o 1 do artigo 8.odevem tomar as medidas adequadas para:

a) Impedir o acesso de pessoa não autorizada àsinstalações utilizadas para o tratamento dessesdados (controlo da entrada nas instalações);

b) Impedir que suportes de dados possam ser lidos,copiados, alterados ou retirados por pessoa nãoautorizada (controlo dos suportes de dados);

c) Impedir a introdução não autorizada, bem comoa tomada de conhecimento, a alteração ou aeliminação não autorizadas de dados pessoaisinseridos (controlo da inserção);

d) Impedir que sistemas de tratamento automa-tizados de dados possam ser utilizados por pes-soas não autorizadas através de instalações detransmissão de dados (controlo da utilização);

e) Garantir que as pessoas autorizadas só possamter acesso aos dados abrangidos pela autoriza-ção (controlo de acesso);

f) Garantir a verificação das entidades a quem pos-sam ser transmitidos os dados pessoais atravésdas instalações de transmissão de dados (con-trolo da transmissão);

g) Garantir que possa verificar-se a posteriori, emprazo adequado à natureza do tratamento, afixar na regulamentação aplicável a cada sector,quais os dados pessoais introduzidos quando epor quem (controlo da introdução);

h) Impedir que, na transmissão de dados pessoais,bem como no transporte do seu suporte, osdados possam ser lidos, copiados, alterados oueliminados de forma não autorizada (controlodo transporte).

2 — Tendo em conta a natureza das entidades res-ponsáveis pelo tratamento e o tipo das instalações emque é efectuado, a CNPD pode dispensar a existênciade certas medidas de segurança, garantido que se mostre

o respeito pelos direitos, liberdades e garantias dos titu-lares dos dados.

3 — Os sistemas devem garantir a separação lógicaentre os dados referentes à saúde e à vida sexual,incluindo os genéticos, dos restantes dados pessoais.

4 — A CNPD pode determinar que, nos casos emque a circulação em rede de dados pessoais referidosnos artigos 7.o e 8.o possa pôr em risco direitos, liber-dades e garantias dos respectivos titulares, a transmissãoseja cifrada.

Artigo 16.o

Tratamento por subcontratante

Qualquer pessoa que, agindo sob a autoridade doresponsável pelo tratamento ou do subcontratante, bemcomo o próprio subcontratante, tenha acesso a dadospessoais não pode proceder ao seu tratamento sem ins-truções do responsável pelo tratamento, salvo por forçade obrigações legais.

Artigo 17.o

Sigilo profissional

l — Os responsáveis do tratamento de dados pessoais,bem como as pessoas que, no exercício das suas funções,tenham conhecimento dos dados pessoais tratados,ficam obrigados a sigilo profissional, mesmo após otermo das suas funções.

2 — Igual obrigação recai sobre os membros daCNPD, mesmo após o termo do mandato.

3 — O disposto nos números anteriores não excluio dever do fornecimento das informações obrigatórias,nos termos legais, excepto quando constem de ficheirosorganizados para fins estatísticos.

4 — Os funcionários, agentes ou técnicos que exerçamfunções de assessoria à CNPD ou aos seus vogais estãosujeitos à mesma obrigação de sigilo profissional.

CAPÍTULO III

Transferência de dados pessoais

SECÇÃO I

Transferência de dados pessoais na União Europeia

Artigo 18.o

Princípio

É livre a circulação de dados pessoais entre Estadosmembros da União Europeia, sem prejuízo do dispostonos actos comunitários de natureza fiscal e aduaneira.

SECÇÃO II

Transferência de dados pessoais para fora da União Europeia

Artigo 19.o

Princípios

1 — Sem prejuízo do disposto no artigo seguinte, atransferência, para um Estado que não pertença à UniãoEuropeia, de dados pessoais que sejam objecto de tra-


tamento ou que se destinem a sê-lo só pode realizar-secom o respeito das disposições da presente lei e se oEstado para onde são transferidos assegurar um nívelde protecção adequado.

2 — A adequação do nível de protecção num Estadoque não pertença à União Europeia é apreciada emfunção de todas as circunstâncias que rodeiem a trans-ferência ou o conjunto de transferências de dados; emespecial, devem ser tidas em consideração a naturezados dados, a finalidade e a duração do tratamento outratamentos projectados, os países de origem e de des-tino final, as regras de direito, gerais ou sectoriais, emvigor no Estado em causa, bem como as regras pro-fissionais e as medidas de segurança que são respeitadasnesse Estado.

3 — Cabe à CNPD decidir se um Estado que nãopertença à União Europeia assegura um nível de pro-tecção adequado.

4 — A CNPD comunica, através do Ministério dosNegócios Estrangeiros, à Comissão Europeia os casosem que tenha considerado que um Estado não asseguraum nível de protecção adequado.

5 — Não é permitida a transferência de dados pes-soais de natureza idêntica aos que a Comissão Europeiativer considerado que não gozam de protecção adequadano Estado a que se destinam.

Artigo 20.o

Derrogações

1 — A transferência de dados pessoais para umEstado que não assegure um nível de protecção ade-quado na acepção do n.o 2 do artigo 19.o pode ser per-mitida pela CNPD se o titular dos dados tiver dadode forma inequívoca o seu consentimento à transferênciaou se essa transferência:

a) For necessária para a execução de um contratoentre o titular dos dados e o responsável pelotratamento ou de diligências prévias à formaçãodo contrato decididas a pedido do titular dosdados;

b) For necessária para a execução ou celebraçãode um contrato celebrado ou a celebrar, no inte-resse do titular dos dados, entre o responsávelpelo tratamento e um terceiro; ou

c) For necessária ou legalmente exigida para a pro-tecção de um interesse público importante, oupara a declaração, o exercício ou a defesa deum direito num processo judicial; ou

d) For necessária para proteger os interesses vitaisdo titular dos dados; ou

e) For realizada a partir de um registo público que,nos termos de disposições legislativas ou regu-lamentares, se destine à informação do públicoe se encontre aberto à consulta do público emgeral ou de qualquer pessoa que possa provarum interesse legítimo, desde que as condiçõesestabelecidas na lei para a consulta sejam cum-pridas no caso concreto.

2 — Sem prejuízo do disposto no n.o 1, a CNPD podeautorizar uma transferência ou um conjunto de trans-ferências de dados pessoais para um Estado que nãoassegure um nível de protecção adequado na acepçãodo n.o 2 do artigo 19.o desde que o responsável pelotratamento assegure mecanismos suficientes de garantia

de protecção da vida privada e dos direitos e liberdadesfundamentais das pessoas, bem como do seu exercício,designadamente, mediante cláusulas contratuais ade-quadas.

3 — A CNPD informa a Comissão Europeia, atravésdo Ministério dos Negócios Estrangeiros, bem como asautoridades competentes dos restantes Estados daUnião Europeia, das autorizações que conceder nos ter-mos do n.o 2.

4 — A concessão ou derrogação das autorizações pre-vistas no n.o 2 efectua-se pela CNPD nos termos deprocesso próprio e de acordo com as decisões da Comis-são Europeia.

5 — Sempre que existam cláusulas contratuais tipoaprovadas pela Comissão Europeia, segundo procedi-mento próprio, por oferecerem as garantias suficientesreferidas no n.o 2, a CNPD autoriza a transferência dedados pessoais que se efectue ao abrigo de tais cláusulas.

6 — A transferência de dados pessoais que constituamedida necessária à protecção da segurança do Estado,da defesa, da segurança pública e da prevenção, inves-tigação e repressão das infracções penais é regida pordisposições legais específicas ou pelas convenções eacordos internacionais em que Portugal é parte.

CAPÍTULO IV

Comissão Nacional de Protecção de Dados

SECÇÃO I

Natureza, atribuições e competências

Artigo 21.o

Natureza

1 — A CNPD é uma entidade administrativa inde-pendente, com poderes de autoridade, que funcionajunto da Assembleia da República.

2 — A CNPD, independentemente do direito nacio-nal aplicável a cada tratamento de dados em concreto,exerce as suas competências em todo o territórionacional.

3 — A CNPD pode ser solicitada a exercer os seuspoderes por uma autoridade de controlo de protecçãode dados de outro Estado membro da União Europeiaou do Conselho da Europa.

4 — A CNPD coopera com as autoridades de controlode protecção de dados de outros Estados na difusãodo direito e das regulamentações nacionais em matériade protecção de dados pessoais, bem como na defesae no exercício dos direitos de pessoas residentes noestrangeiro.

Artigo 22.o

Atribuições

1 — A CNPD é a autoridade nacional que tem comoatribuição controlar e fiscalizar o cumprimento das dis-posições legais e regulamentares em matéria de pro-tecção de dados pessoais, em rigoroso respeito pelosdireitos do homem e pelas liberdades e garantias con-sagradas na Constituição e na lei.

2 — A CNPD deve ser consultada sobre quaisquerdisposições legais, bem como sobre instrumentos jurí-dicos em preparação em instituições comunitárias ou


internacionais, relativos ao tratamento de dados pes-soais.

3 — A CNPD dispõe:

a) De poderes de investigação e de inquérito,podendo aceder aos dados objecto de trata-mento e recolher todas as informações neces-sárias ao desempenho das suas funções decontrolo;

b) De poderes de autoridade, designadamente ode ordenar o bloqueio, apagamento ou destrui-ção dos dados, bem como o de proibir, tem-porária ou definitivamente, o tratamento dedados pessoais, ainda que incluídos em redesabertas de transmissão de dados a partir de ser-vidores situados em território português;

c) Do poder de emitir pareceres prévios ao tra-tamento de dados pessoais, assegurando a suapublicitação.

4 — Em caso de reiterado não cumprimento das dis-posições legais em matéria de dados pessoais, a CNPDpode advertir ou censurar publicamente o responsávelpelo tratamento, bem como suscitar a questão, de acordocom as respectivas competências, à Assembleia da Repú-blica, ao Governo ou a outros órgãos ou autoridades.

5 — A CNPD tem legitimidade para intervir em pro-cessos judiciais no caso de violação das disposições dapresente lei e deve denunciar ao Ministério Público asinfracções penais de que tiver conhecimento, no exer-cício das suas funções e por causa delas, bem comopraticar os actos cautelares necessários e urgentes paraassegurar os meios de prova.

6 — A CNPD é representada em juízo pelo MinistérioPúblico e está isenta de custas nos processos em queintervenha.

Artigo 23.o

Competências

1 — Compete em especial à CNPD:

a) Emitir parecer sobre disposições legais, bemcomo sobre instrumentos jurídicos em prepa-ração em instituições comunitárias e interna-cionais, relativos ao tratamento de dados pes-soais;

b) Autorizar ou registar, consoante os casos, ostratamentos de dados pessoais;

c) Autorizar excepcionalmente a utilização dedados pessoais para finalidades não determinan-tes da recolha, com respeito pelos princípiosdefinidos no artigo 5.o;

d) Autorizar, nos casos previstos no artigo 9.o, ainterconexão de tratamentos automatizados dedados pessoais;

e) Autorizar a transferência de dados pessoais noscasos previstos no artigo 20.o;

f) Fixar o tempo da conservação dos dados pes-soais em função da finalidade, podendo emitirdirectivas para determinados sectores de acti-vidade;

g) Fazer assegurar o direito de acesso à informa-ção, bem como do exercício do direito de rec-tificação e actualização;

h) Autorizar a fixação de custos ou de periodi-cidade para o exercício do direito de acesso,bem como fixar os prazos máximos de cumpri-mento, em cada sector de actividade, das obri-

gações que, por força dos artigos 11.o a 13.o,incumbem aos responsáveis pelo tratamento dedados pessoais;

i) Dar seguimento ao pedido efectuado por qual-quer pessoa, ou por associação que a represente,para protecção dos seus direitos e liberdadesno que diz respeito ao tratamento de dados pes-soais e informá-la do resultado;

j) Efectuar, a pedido de qualquer pessoa, a veri-ficação de licitude de um tratamento de dados,sempre que esse tratamento esteja sujeito a res-trições de acesso ou de informação, e informá-lada realização da verificação;

k) Apreciar as reclamações, queixas ou petiçõesdos particulares;

l) Dispensar a execução de medidas de segurança,nos termos previstos no n.o 2 do artigo 15.o,podendo emitir directivas para determinadossectores de actividade;

m) Assegurar a representação junto de instânciascomuns de controlo e em reuniões comunitáriase internacionais de entidades independentes decontrolo da protecção de dados pessoais, bemcomo participar em reuniões internacionais noâmbito das suas competências, designadamenteexercer funções de representação e fiscalizaçãono âmbito dos sistemas Schengen e Europol,nos termos das disposições aplicáveis;

n) Deliberar sobre a aplicação de coimas;o) Promover e apreciar códigos de conduta;p) Promover a divulgação e esclarecimento dos

direitos relativos à protecção de dados e darpublicidade periódica à sua actividade, nomea-damente através da publicação de um relatórioanual;

q) Exercer outras competências legalmente pre-vistas.

2 — No exercício das suas competências de emissãode directivas ou de apreciação de códigos de conduta,a CNPD deve promover a audição das associações dedefesa dos interesses em causa.

3 — No exercício das suas funções, a CNPD proferedecisões com força obrigatória, passíveis de reclamaçãoe de recurso para o Tribunal Central Administra-tivo.

4 — A CNPD pode sugerir à Assembleia da Repú-blica as providências que entender úteis à prossecuçãodas suas atribuições e ao exercício das suas compe-tências.

Artigo 24.o

Dever de colaboração

1 — As entidades públicas e privadas devem prestara sua colaboração à CNPD, facultando-lhe todas asinformações que por esta, no exercício das suas com-petências, lhes forem solicitadas.

2 — O dever de colaboração é assegurado, designa-damente, quando a CNPD tiver necessidade, para ocabal exercício das suas funções, de examinar o sistemainformático e os ficheiros de dados pessoais, bem comotoda a documentação relativa ao tratamento e trans-missão de dados pessoais.

3 — A CNPD ou os seus vogais, bem como os técnicospor ela mandatados, têm direito de acesso aos sistemasinformáticos que sirvam de suporte ao tratamento dos


dados, bem como à documentação referida no númeroanterior, no âmbito das suas atribuições e competências.

SECÇÃO II

Composição e funcionamento

Artigo 25.o

Composição e mandato

1 — A CNPD é composta por sete membros de inte-gridade e mérito reconhecidos, dos quais o presidentee dois dos vogais são eleitos pela Assembleia da Repú-blica segundo o método da média mais alta de Hondt.

2 — Os restantes vogais são:

a) Dois magistrados com mais de 10 anos de car-reira, sendo um magistrado judicial, designadopelo Conselho Superior da Magistratura, e ummagistrado do Ministério Público, designadopelo Conselho Superior do Ministério Público;

b) Duas personalidades de reconhecida competên-cia designadas pelo Governo.

3 — O mandato dos membros da CNPD é de cincoanos e cessa com a posse dos novos membros.

4 — Os membros da CNPD constam de lista publi-cada na 1.a série do Diário da República.

5 — Os membros da CNPD tomam posse perante oPresidente da Assembleia da República nos 10 diasseguintes à publicação da lista referida no númeroanterior.

Artigo 26.o

Funcionamento

1 — São aprovados por lei da Assembleia da Repú-blica:

a) A lei orgânica e o quadro de pessoal da CNPD;b) O regime de incompatibilidades, de impedimen-

tos, de suspeições e de perda de mandato, bemcomo o estatuto remuneratório dos membrosda CNPD.

2 — O estatuto dos membros da CNPD garante aindependência do exercício das suas funções.

3 — A Comissão dispõe de quadro próprio para apoiotécnico e administrativo, beneficiando os seus funcio-nários e agentes do estatuto e regalias do pessoal daAssembleia da República.

SECÇÃO III

Notificação

Artigo 27.o

Obrigação de notificação à CNPD

1 — O responsável pelo tratamento ou, se for casodisso, o seu representante deve notificar a CNPD antesda realização de um tratamento ou conjunto de tra-tamentos, total ou parcialmente autorizados, destinadosà prossecução de uma ou mais finalidades interligadas.

2 — A CNPD pode autorizar a simplificação ou aisenção da notificação para determinadas categorias detratamentos que, tendendo aos dados a tratar, não sejamsusceptíveis de pôr em causa os direitos e liberdades

dos titulares dos dados e tenham em conta critériosde celeridade, economia e eficiência.

3 — A autorização, que está sujeita a publicação noDiário da República, deve especificar as finalidades dotratamento, os dados ou categorias de dados a tratar,a categoria ou categorias de titulares dos dados, os des-tinatários ou categorias de destinatários a quem podemser comunicados os dados e o período de conservaçãodos dados.

4 — Estão isentos de notificação os tratamentos cujaúnica finalidade seja a manutenção de registos que, nostermos de disposições legislativas ou regulamentares,se destinem a informação do público e possam ser con-sultados pelo público em geral ou por qualquer pessoaque provar um interesse legítimo.

5 — Os tratamentos não automatizados dos dadospessoais previstos no n.o 1 do artigo 7.o estão sujeitosa notificação quando tratados ao abrigo da alínea a)do n.o 3 do mesmo artigo.

Artigo 28.o

Controlo prévio

1 — Carecem de autorização da CNPD:

a) O tratamento dos dados pessoais a que se refe-rem o n.o 2 do artigo 7.o e o n.o 2 do artigo 8.o;

b) O tratamento dos dados pessoais relativos aocrédito e à solvabilidade dos seus titulares;

c) A interconexão de dados pessoais prevista noartigo 9.o;

d) A utilização de dados pessoais para fins nãodeterminantes da recolha.

2 — Os tratamentos a que se refere o número anteriorpodem ser autorizados por diploma legal, não carecendoneste caso de autorização da CNPD.

Artigo 29.o

Conteúdo dos pedidos de parecer ou de autorização e da notificação

Os pedidos de parecer ou de autorização, bem comoas notificações, remetidos à CNPD devem conter asseguintes informações:

a) Nome e endereço do responsável pelo trata-mento e, se for o caso, do seu representante;

b) As finalidades do tratamento;c) Descrição da ou das categorias de titulares dos

dados e dos dados ou categorias de dados pes-soais que lhes respeitem;

d) Destinatários ou categorias de destinatários aquem os dados podem ser comunicados e emque condições;

e) Entidade encarregada do processamento dainformação, se não for o próprio responsáveldo tratamento;

f) Eventuais interconexões de tratamentos de dadospessoais;

g) Tempo de conservação dos dados pessoais;h) Forma e condições como os titulares dos dados

podem ter conhecimento ou fazer corrigir osdados pessoais que lhes respeitem;

i) Transferências de dados previstas para paísesterceiros;

j) Descrição geral que permita avaliar de formapreliminar a adequação das medidas tomadaspara garantir a segurança do tratamento emaplicação dos artigos 14.o e 15.o


Artigo 30.o

Indicações obrigatórias

1 — Os diplomas legais referidos no n.o 2 do artigo 7.oe no n.o 1 do artigo 8.o, bem como as autorizações daCNPD e os registos de tratamentos de dados pessoais,devem, pelo menos, indicar:

a) O responsável do ficheiro e, se for caso disso,o seu representante;

b) As categorias de dados pessoais tratados;c) As finalidades a que se destinam os dados e

as categorias de entidades a quem podem sertransmitidos;

d) A forma de exercício do direito de acesso ede rectificação;

e) Eventuais interconexões de tratamentos de dadospessoais;

f) Transferências de dados previstas para paísesterceiros.

2 — Qualquer alteração das indicações constantes don.o 1 está sujeita aos procedimentos previstos nos arti-gos 27.o e 28.o

Artigo 31.o

Publicidade dos tratamentos

1 — O tratamento dos dados pessoais, quando nãofor objecto de diploma legal e dever ser autorizado ounotificado, consta de registo na CNPD, aberto à consultapor qualquer pessoa.

2 — O registo contém as informações enumeradas nasalíneas a) a d) e i) do artigo 29.o

3 — O responsável por tratamento de dados nãosujeito a notificação está obrigado a prestar, de formaadequada, a qualquer pessoa que lho solicite, pelomenos as informações referidas no n.o 1 do artigo 30.o

4 — O disposto no presente artigo não se aplica atratamentos cuja única finalidade seja a manutençãode registos que, nos termos de disposições legislativasou regulamentares, se destinem à informação do públicoe se encontrem abertos à consulta do público em geralou de qualquer pessoa que possa provar um interesselegítimo.

5 — A CNPD deve publicar no seu relatório anualtodos os pareceres e autorizações elaborados ou con-cedidas ao abrigo da presente lei, designadamente asautorizações previstas no n.o 2 do artigo 7.o e no n.o 2do artigo 9.o

CAPÍTULO V

Códigos de conduta

Artigo 32.o

Códigos de conduta

1 — A CNPD apoia a elaboração de códigos de con-duta destinados a contribuir, em função das caracte-rísticas dos diferentes sectores, para a boa execução dasdisposições da presente lei.

2 — As associações profissionais e outras organiza-ções representativas de categorias de responsáveis pelotratamento de dados que tenham elaborado projectosde códigos de conduta podem submetê-los à apreciaçãoda CNPD.

3 — A CNPD pode declarar a conformidade dos pro-jectos com as disposições legais e regulamentares vigen-tes em matéria de protecção de dados pessoais.

CAPÍTULO VI

Tutela administrativa e jurisdicional

SECÇÃO I


Artigo 33.o


Sem prejuízo do direito de apresentação de queixaà CNPD, qualquer pessoa pode, nos termos da lei, recor-rer a meios administrativos ou jurisdicionais para garan-tir o cumprimento das disposições legais em matériade protecção de dados pessoais.

Artigo 34.o

Responsabilidade civil

1 — Qualquer pessoa que tiver sofrido um prejuízodevido ao tratamento ilícito de dados ou a qualqueroutro acto que viole disposições legais em matéria deprotecção de dados pessoais tem o direito de obter doresponsável a reparação pelo prejuízo sofrido.

2 — O responsável pelo tratamento pode ser parcialou totalmente exonerado desta responsabilidade se pro-var que o facto que causou o dano lhe não é imputável.

SECÇÃO II

Contra-ordenações

Artigo 35.o

Legislação subsidiária

Às infracções previstas na presente secção é subsi-diariamente aplicável o regime geral das contra-orde-nações, com as adaptações constantes dos artigosseguintes.

Artigo 36.o

Cumprimento do dever omitido

Sempre que a contra-ordenação resulte de omissãode um dever, a aplicação da sanção e o pagamento dacoima não dispensam o infractor do seu cumprimento,se este ainda for possível.

Artigo 37.o

Omissão ou defeituoso cumprimento de obrigações

1 — As entidades que, por negligência, não cumprama obrigação de notificação à CNPD do tratamento dedados pessoais a que se referem os n.os 1 e 5 doartigo 27.o, prestem falsas informações ou cumpram aobrigação de notificação com inobservância dos termosprevistos no artigo 29.o, ou ainda quando, depois denotificadas pela CNPD, mantiverem o acesso às redesabertas de transmissão de dados a responsáveis por tra-tamento de dados pessoais que não cumpram as dis-posições da presente lei, praticam contra-ordenaçãopunível com as seguintes coimas:

a) Tratando-se de pessoa singular, no mínimo de50 000$ e no máximo de 500 000$;

b) Tratando-se de pessoa colectiva ou de entidadesem personalidade jurídica, no mínimo de300 000$ e no máximo de 3 000 000$.


2 — A coima é agravada para o dobro dos seus limitesquando se trate de dados sujeitos a controlo prévio,nos termos do artigo 28.o

Artigo 38.o

Contra-ordenações

1 — Praticam contra-ordenação punível com a coimamínima de 100 000$ e máxima de 1 000 000$, as enti-dades que não cumprirem alguma das seguintes dis-posições da presente lei:

a) Designar representante nos termos previstos non.o 5 do artigo 4.o;

b) Observar as obrigações estabelecidas nos arti-gos 5.o, 10.o, 11.o, 12.o, 13.o, 15.o, 16.o e 31.o,n.o 3.

2 — A pena é agravada para o dobro dos seus limitesquando não forem cumpridas as obrigações constantesdos artigos 6.o, 7.o, 8.o, 9.o, 19.o e 20.o

Artigo 39.o

Concurso de infracções

1 — Se o mesmo facto constituir, simultaneamente,crime e contra-ordenação, o agente é punido semprea título de crime.

2 — As sanções aplicadas às contra-ordenações emconcurso são sempre cumuladas materialmente.

Artigo 40.o

Punição de negligência e da tentativa

1 — A negligência é sempre punida nas contra-or-denações previstas no artigo 38.o

2 — A tentativa é sempre punível nas contra-orde-nações previstas nos artigos 37.o e 38.o

Artigo 41.o

Aplicação das coimas

1 — A aplicação das coimas previstas na presente leicompete ao presidente da CNPD, sob prévia deliberaçãoda Comissão.

2 — A deliberação da CNPD, depois de homologadapelo presidente, constitui título executivo, no caso denão ser impugnada no prazo legal.

Artigo 42.o

Destino das receitas cobradas

O montante das importâncias cobradas, em resultadoda aplicação das coimas, reverte, em partes iguais, parao Estado e para a CNPD.

SECÇÃO III

Crimes

Artigo 43.o

Não cumprimento de obrigações relativas a protecção de dados

1 — É punido com prisão até um ano ou multa até120 dias quem intencionalmente:

a) Omitir a notificação ou o pedido de autorizaçãoa que se referem os artigos 27.o e 28.o;

b) Fornecer falsas informações na notificação ounos pedidos de autorização para o tratamentode dados pessoais ou neste proceder a modi-ficações não consentidas pelo instrumento delegalização;

c) Desviar ou utilizar dados pessoais, de formaincompatível com a finalidade determinante darecolha ou com o instrumento de legalização;

d) Promover ou efectuar uma interconexão ilegalde dados pessoais;

e) Depois de ultrapassado o prazo que lhes tiversido fixado pela CNPD para cumprimento dasobrigações previstas na presente lei ou em outralegislação de protecção de dados, as não cum-prir;

f) Depois de notificado pela CNPD para o nãofazer, mantiver o acesso a redes abertas de trans-missão de dados a responsáveis pelo tratamentode dados pessoais que não cumpram as dispo-sições da presente lei.

2 — A pena é agravada para o dobro dos seus limitesquando se tratar de dados pessoais a que se referemos artigos 7.o e 8.o

Artigo 44.o

Acesso indevido

1 — Quem, sem a devida autorização, por qualquermodo, aceder a dados pessoais cujo acesso lhe estávedado é punido com prisão até um ano ou multa até120 dias.

2 — A pena é agravada para o dobro dos seus limitesquando o acesso:

a) For conseguido através de violação de regrastécnicas de segurança;

b) Tiver possibilitado ao agente ou a terceiros oconhecimento de dados pessoais;

c) Tiver proporcionado ao agente ou a terceirosbenefício ou vantagem patrimonial.

3 — No caso do n.o 1 o procedimento criminaldepende de queixa.

Artigo 45.o

Viciação ou destruição de dados pessoais

1 — Quem, sem a devida autorização, apagar, des-truir, danificar, suprimir ou modificar dados pessoais,tornando-os inutilizáveis ou afectando a sua capacidadede uso, é punido com prisão até dois anos ou multaaté 240 dias.

2 — A pena é agravada para o dobro nos seus limitesse o dano produzido for particularmente grave.

3 — Se o agente actuar com negligência, a pena é,em ambos os casos, de prisão até um ano ou multaaté 120 dias.

Artigo 46.o

Desobediência qualificada

1 — Quem, depois de notificado para o efeito, nãointerromper, cessar ou bloquear o tratamento de dadospessoais é punido com a pena correspondente ao crimede desobediência qualificada.

2 — Na mesma pena incorre quem, depois de noti-ficado:

a) Recusar, sem justa causa, a colaboração queconcretamente lhe for exigida nos termos doartigo 24.o;


b) Não proceder ao apagamento, destruição totalou parcial de dados pessoais;

c) Não proceder à destruição de dados pessoais,findo o prazo de conservação previsto noartigo 5.o

Artigo 47.o

Violação do dever de sigilo

1 — Quem, obrigado a sigilo profissional, nos termosda lei, sem justa causa e sem o devido consentimento,revelar ou divulgar no todo ou em parte dados pessoaisé punido com prisão até dois anos ou multa até 240 dias.

2 — A pena é agravada de metade dos seus limitesse o agente:

a) For funcionário público ou equiparado, nos ter-mos da lei penal;

b) For determinado pela intenção de obter qual-quer vantagem patrimonial ou outro benefícioilegítimo;

c) Puser em perigo a reputação, a honra e con-sideração ou a intimidade da vida privada deoutrem.

3 — A negligência é punível com prisão até seis mesesou multa até 120 dias.

4 — Fora dos casos previstos no n.o 2, o procedimentocriminal depende de queixa.

Artigo 48.o

Punição da tentativa

Nos crimes previstos nas disposições anteriores, a ten-tativa é sempre punível.

Artigo 49.o

Pena acessória

1 — Conjuntamente com as coimas e penas aplicadaspode, acessoriamente, ser ordenada:

a) A proibição temporária ou definitiva do trata-mento, o bloqueio, o apagamento ou a destrui-ção total ou parcial dos dados;

b) A publicidade da sentença condenatória;c) A advertência ou censura públicas do respon-

sável pelo tratamento, nos termos do n.o 4 doartigo 22.o

2 — A publicidade da decisão condenatória faz-se aexpensas do condenado, na publicação periódica demaior expansão editada na área da comarca da práticada infracção ou, na sua falta, em publicação periódicada comarca mais próxima, bem como através da afixaçãode edital em suporte adequado, por período não inferiora 30 dias.

3 — A publicação é feita por extracto de que constemos elementos da infracção e as sanções aplicadas, bemcomo a identificação do agente.

CAPÍTULO VII

Disposições finais

Artigo 50.o

Disposição transitória

1 — Os tratamentos de dados existentes em ficheirosmanuais à data da entrada em vigor da presente lei

devem cumprir o disposto nos artigos 7.o, 8.o, 10.o e11.o no prazo de cinco anos.

2 — Em qualquer caso, o titular dos dados pode obter,a seu pedido e, nomeadamente, aquando do exercíciodo direito de acesso, a rectificação, o apagamento ouo bloqueio dos dados incompletos, inexactos ou con-servados de modo incompatível com os fins legítimosprosseguidos pelo responsável pelo tratamento.

3 — A CNPD pode autorizar que os dados existentesem ficheiros manuais e conservados unicamente comfinalidades de investigação histórica não tenham quecumprir os artigos 7.o, 8.o e 9.o, desde que não sejamem nenhum caso reutilizados para finalidade diferente.

Artigo 51.o

Disposição revogatória

São revogadas as Leis n.os 10/91, de 29 de Abril, e28/94, de 29 de Agosto.

Artigo 52.o

Entrada em vigor

A presente lei entra em vigor no dia seguinte ao dasua publicação.

Aprovada em 24 de Setembro de 1998.

O Presidente da Assembleia da República, Antóniode Almeida Santos.

Promulgada em 7 de Outubro de 1998.

Publique-se.

O Presidente da República, JORGE SAMPAIO.

Referendada em 14 de Outubro de 1998.

O Primeiro-Ministro, António Manuel de OliveiraGuterres.

Lei n.o 68/98

de 26 de Outubro

Determina a entidade que exerce as funções de instância nacionalde controlo e a forma de nomeação dos representantes doEstado Português na instância comum de controlo, previstasna Convenção, fundamentada no artigo K.3 do Tratado da UniãoEuropeia, Que Cria Um Serviço Europeu de Polícia (EUROPOL).

A Assembleia da República decreta, nos termos daalínea c) do artigo 161.o e do n.o 3 do artigo 166.o daConstituição, para valer como lei geral da República,o seguinte:

Artigo 1.o

Objecto

O presente diploma determina a entidade que exerceas funções de instância nacional de controlo e a formade nomeação dos representantes do Estado Portuguêsna instância comum de controlo, previstas na Conven-ção, fundamentada no artigo K.3 do Tratado da União

Lei de Protecção de Dados Pessoais 67/98

Documents

Transcript of Lei de Protecção de Dados Pessoais 67/98