Lei
de Protecção de dados pessoais
Lei
n.º 67/98, de 26.10
A
Assembleia da República decreta, nos termos da alínea c) do artigo 161.º, das
alíneas b) e c) do n.º 1 do artigo 165.º e do n.º 3 do artigo 166.º da
Constituição, para valer como lei geral da República, o seguinte:
Capítulo
I
Disposições
gerais
Artigo
1.º
Objecto
A
presente lei transpõe para a ordem jurídica interna a Directiva n.º 95/46/CE,
do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à
protecção das pessoas singulares no que diz respeito ao tratamento de dados
pessoais e à livre circulação desses dados.
Artigo
2.º
Princípio
geral
O
tratamento de dados pessoais deve processar-se de forma transparente e no
estrito respeito pela reserva da vida privada, bem como pelos direitos,
liberdades e garantias fundamentais.
Artigo
3.º
Definições
Para
efeitos da presente lei, entende-se por:
a) «Dados
pessoais»: qualquer informação, de qualquer natureza e independentemente do
respectivo suporte, incluindo som e imagem, relativa a uma pessoa singular
identificada ou identificável («titular dos dados»); é considerada identificável
a pessoa que possa ser identificada directa ou indirectamente, designadamente
por referência a um número de identificação ou a um ou mais elementos específicos
da sua identidade física, fisiológica, psíquica, económica, cultural ou
social;
b) «Tratamento
de dados pessoais» («tratamento»): qualquer operação ou conjunto de operações
sobre dados pessoais, efectuadas com ou sem meios automatizados, tais como a
recolha, o registo, a organização, a conservação, a adaptação ou alteração,
a recuperação, a consulta, a utilização, a comunicação por transmissão,
por difusão ou por qualquer outra forma de colocação à disposição, com
comparação ou interconexão, bem como o bloqueio, apagamento ou destruição;
c) «Ficheiro
de dados pessoais» («ficheiro»): qualquer conjunto estruturado de dados
pessoais, acessível segundo critérios determinados, quer seja centralizado,
descentralizado ou repartido de modo funcional ou geográfico;
d) «Responsável
pelo tratamento»: a pessoa singular ou colectiva, a autoridade pública, o
serviço ou qualquer outro organismo que, individualmente ou em conjunto com
outrem, determine as finalidades e os meios de tratamento dos dados pessoais;
sempre que as finalidades e os meios do tratamento sejam determinados por
disposições legislativas ou regulamentares, o responsável pelo tratamento
deve ser indicado na lei de organização e funcionamento ou no estatuto da
entidade legal ou estatutariamente competente para tratar os dados pessoais em
causa;
e) «Subcontratante»:
a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer
outro organismo que trate os dados pessoais por conta do responsável pelo
tratamento;
f) «Terceiro»:
a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer
outro organismo que, não sendo o titular dos dados, o responsável pelo
tratamento, o subcontratante ou outra pessoa sob autoridade directa do responsável
pelo tratamento ou do subcontratante, esteja habilitado a tratar os dados;
g) «Destinatário»:
a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer
outro organismo a quem sejam comunicados dados pessoais, independentemente de se
tratar ou não de um terceiro, sem prejuízo de não serem consideradas destinatários
as autoridades a quem sejam comunicados dados no âmbito de uma disposição
legal;
h) «Consentimento
do titular dos dados»: qualquer manifestação de vontade, livre, específica e
informada, nos termos da qual o titular aceita que os seus dados pessoais sejam
objecto de tratamento;
i) «Interconexão
de dados»: forma de tratamento que consiste na possibilidade de relacionamento
dos dados de um ficheiro com os dados de um ficheiro ou ficheiros mantidos por
outro ou outros responsáveis, ou mantidos pelo mesmo responsável com outra
finalidade.
Artigo
4.º
Âmbito
de aplicação
1
- A presente lei aplica-se ao tratamento de dados pessoais por meios total ou
parcialmente automatizados, bem como ao tratamento por meios não automatizados
de dados pessoais contidos em ficheiros manuais ou a estes destinados.
2 - A
presente lei não se aplica ao tratamento de dados pessoais efectuado por pessoa
singular no exercício de actividades exclusivamente pessoais ou domésticas.
3 A
presente lei aplica-se ao tratamento de dados pessoais efectuado:
a) No âmbito
das actividades de estabelecimento do responsável do tratamento situado em
território português;
b) Fora
do território nacional, em local onde a legislação portuguesa seja aplicável
por força do direito internacional;
c) Por
responsável que, não estando estabelecido no território da União Europeia,
recorra, para tratamento de dados pessoais, a meios, automatizados ou não,
situados no território português, salvo se esses meios só forem utilizados
para trânsito através do território da União Europeia.
4 - A
presente lei aplica-se à videovigilância e outras formas de captação,
tratamento e difusão de sons e imagens que permitam identificar pessoas sempre
que o responsável pelo tratamento esteja domiciliado ou sediado em Portugal ou
utilize um fornecedor de acesso a redes informáticas e telemáticas
estabelecido em território português.
5 - No
caso referido na alínea c) do n.º 3, o responsável pelo tratamento deve
designar, mediante comunicação a Comissão Nacional de Protecção de Dados (CNPD),
um representante estabelecido em Portugal, que se lhe substitua em todos os seus
direitos e obrigações, sem prejuízo da sua própria responsabilidade.
6 - O
disposto no número anterior aplica-se no caso de o responsável pelo tratamento
estar abrangido por estatuto de extraterritorialidade, de imunidade ou por
qualquer outro que impeça o procedimento criminal.
7 - A
presente lei aplica-se ao tratamento e dados pessoais que tenham por objectivo a
segurança pública, a defesa nacional e a segurança do Estado, sem prejuízo
do disposto em normas especiais constantes de instrumentos de direito
internacional a que Portugal se vincule e de legislação específica atinente
aos respectivos sectores.
Capítulo
II
Tratamento
de dados pessoais
Secção
I
Qualidade
dos dados e legitimidade do seu tratamento
Artigo
5.º
Qualidade
dos dados
1
- Os dados pessoais devem ser:
a)
Tratados de forma lícita e com respeito pelo princípio da boa fé;
b)
Recolhidos para finalidades determinadas, explícitas e legítimas, não podendo
ser posteriormente tratados de forma incompatível com essas finalidades;
c)
Adequados, pertinentes e não excessivos relativamente às finalidades para que
são recolhidos e posteriormente tratados;
d)
Exactos e, se necessário, actualizados, devendo ser tomadas as medidas
adequadas para assegurar que sejam apagados ou rectificados os dados inexactos
ou incompletos, tendo em conta as finalidades para que foram recolhidos ou para
que são tratados posteriormente;
e)
Conservados de forma a permitir a identificação dos seus titulares apenas
durante o período necessário para a prossecução das finalidades da recolha
ou do tratamento posterior.
2 -
Mediante requerimento do responsável pelo tratamento, e caso haja interesse legítimo,
a CNPD pode autorizar a conservação de dados para fins históricos, estatísticos
ou científicos por período superior ao referido na alínea e) do número
anterior.
3 - Cabe
ao responsável pelo tratamento assegurar a observância do disposto nos números
anteriores.
Artigo
6.º
Condições
de legitimidade do tratamento de dados
O
tratamento de dados pessoais só pode ser efectuado se o seu titular tiver dado
de forma inequívoca o seu consentimento ou se o tratamento for necessário
para:
a)
Execução de contrato ou contratos em que o titular dos dados seja parte ou de
diligências prévias à formação do contrato ou declaração da vontade
negocial efectuadas a seu pedido;
b)
Cumprimento de obrigação legal a que o responsável pelo tratamento esteja
sujeito;
c) Protecção
de interesses vitais do titular dos dados, se este estiver física ou legalmente
incapaz de dar o seu consentimento;
d) Execução
de uma missão de interesse público ou no exercício de autoridade pública em
que esteja investido o responsável pelo tratamento ou um terceiro a quem os
dados sejam comunicados;
e)
Prossecução de interesses legítimos do responsável pelo tratamento ou de
terceiro a quem os dados sejam comunicados, desde que não devam prevalecer os
interesses ou os direitos, liberdades e garantias do titular dos dados.
Artigo
7.º
Tratamento
de dados sensíveis
1
- É proibido o tratamento de dados pessoais referentes a convicções filosóficas
ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e
origem racial ou étnica, bem como o tratamento de dados relativos à saúde e
à vida sexual, incluindo os dados genéticos.
2 -
Mediante disposição legal ou autorização da CNPD, pode ser permitido o
tratamento dos dados referidos no número anterior quando por motivos de
interesse público importante esse tratamento for indispensável ao exercício
das atribuições legais ou estatutárias do seu responsável, ou quando o
titular dos dados tiver dado o seu consentimento expresso para esse tratamento,
em ambos os casos com garantias de não discriminação e com as medidas de
segurança previstas no artigo 15.º.
3 - O
tratamento dos dados referidos no n.º 1 é ainda permitido quando se verificar
uma das seguintes condições:
a) Ser
necessário para proteger interesses vitais do titular dos dados ou de uma outra
pessoa e o titular dos dados estiver física ou legalmente incapaz de dar o seu
consentimento;
b) Ser
efectuado, com o consentimento do titular, por fundação, associação ou
organismo sem fins lucrativos de carácter político, filosófico, religioso ou
sindical, no âmbito das suas actividades legítimas, sob condição de o
tratamento respeitar apenas aos membros desse organismo ou às pessoas que com
ele mantenham contactos periódicos ligados às suas finalidades, e de os dados
não serem comunicados a terceiros sem consentimento dos seus titulares;
c) Dizer
respeito a dados manifestamente tornados públicos pelo seu titular, desde que
se possa legitimamente deduzir das suas declarações o consentimento para o
tratamento dos mesmos;
d) Ser
necessário à declaração, exercício ou defesa de um direito em processo
judicial e for efectuado exclusivamente com essa finalidade.
4 - O
tratamento dos dados referentes à saúde e à vida sexual, incluindo os dados
genéticos, é permitido quando for necessário para efeitos de medicina
preventiva, de diagnóstico médico, de prestação de cuidados ou tratamentos médicos
ou de gestão de serviços de saúde, desde que o tratamento desses dados seja
efectuado por um profissional de saúde obrigado a sigilo ou por outra pessoa
sujeita igualmente a segredo profissional, seja notificado à CNPD, nos termos
do artigo 27.º, e sejam garantidas medidas adequadas de segurança da informação.
Artigo
8.º
Suspeitas
de actividades ilícitas, infracções penais e contra-ordenações
1
- A criação e manutenção de registos centrais relativos a pessoas suspeitas
de actividades ilícitas, infracções penais, contra-ordenações e decisões
que apliquem penas, medidas de segurança, coimas e sanções acessórias só
pode ser mantida por serviços públicos com competência específica prevista
na respectiva lei de organização e funcionamento, observando normas
procedimentais e de protecção de dados previstas em diploma legal, com prévio
parecer da CNPD.
2 - O
tratamento de dados pessoais relativos a suspeitas de actividades ilícitas,
infracções penais, contra-ordenações e decisões que apliquem penas, medidas
de segurança, coimas e sanções acessórias pode ser autorizado pela CNPD,
observadas as normas de protecção de dados e de segurança da informação,
quando tal tratamento for necessário à execução de finalidades legítimas do
seu responsável, desde que não prevaleçam os direitos, liberdades e garantias
do titular dos dados.
3 - O
tratamento de dados pessoais para fins de investigação policial deve
limitar-se ao necessário para a prevenção de um perigo concreto ou repressão
de uma infracção determinada, para o exercício de competências previstas no
respectivo estatuto orgânico ou noutra disposição legal e ainda nos termos de
acordo ou convenção internacional de que Portugal seja parte.
Artigo
9.º
Interconexão
de dados pessoais
1
- A interconexão de dados pessoais que não esteja prevista em disposição
legal está sujeita a autorização da CNPD solicitada pelo responsável ou em
conjunto pelos correspondentes responsáveis dos tratamentos, nos termos
previstos no artigo 27.º.
2 - A
interconexão de dados pessoais deve ser adequada à prossecução das
finalidades legais ou estatutárias e de interesses legítimos dos responsáveis
dos tratamentos, não implicar discriminação ou diminuição dos direitos,
liberdades e garantias dos titulares dos dados, ser rodeada de adequadas medidas
de segurança e ter em conta o tipo de dados objecto de interconexão.
Secção
II
Direitos
do titular dos dados
Artigo
10.º
Direito
de informação
1
- Quando recolher dados pessoais directamente do seu titular, o responsável
pelo tratamento ou o seu representante deve prestar-lhe, salvo se já dele forem
conhecidas, as seguintes informações:
a)
Identidade do responsável pelo tratamento e, se for caso disso, do seu
representante;
b)
Finalidades do tratamento;
c)
Outras informações, tais como:
Os
destinatários ou categorias de destinatários dos dados;
O carácter
obrigatório ou facultativo da resposta, bem como as possíveis consequências
se não responder;
A existência
e as condições do direito de acesso e de rectificação, desde que sejam
necessárias, tendo em conta as circunstâncias específicas da recolha dos
dados, para garantir ao seu titular um tratamento leal dos mesmos.
2 - Os
documentos que sirvam de base à recolha de dados pessoais devem conter as
informações constantes do número anterior.
3 - Se os
dados não forem recolhidos junto do seu titular, e salvo se dele já forem
conhecidas, o responsável pelo tratamento, ou o seu representante, deve
prestar-lhe as informações previstas no n.º 1 no momento do registo dos dados
ou, se estiver prevista a comunicação a terceiros, o mais tardar aquando da
primeira comunicação desses dados.
4 - No
caso de recolha de dados em redes abertas, o titular dos dados deve ser
informado, salvo se disso já tiver conhecimento, de que os seus dados pessoais
podem circular na rede sem condições de segurança, correndo o risco de serem
vistos e utilizados por terceiros não autorizados.
5 - A
obrigação de informação pode ser dispensada, mediante disposição legal ou
deliberação da CNPD, por motivos de segurança do Estado e prevenção ou
investigação criminal, e, bem assim, quando, nomeadamente no caso do
tratamento de dados com finalidades estatísticas, históricas ou de investigação
científica, a informação do titular dos dados se revelar impossível ou
implicar esforços desproporcionados ou ainda quando a lei determinar
expressamente o registo dos dados ou a sua divulgação.
6 - A
obrigação de informação, nos termos previstos no presente artigo, não se
aplica ao tratamento de dados efectuado para fins exclusivamente jornalísticos
ou de expressão artística ou literária.
Artigo
11.º
Direito
de acesso
1
- O titular dos dados tem o direito de obter do responsável pelo tratamento,
livremente e sem restrições, com periodicidade razoável e sem demoras ou
custos excessivos:
a) A
confirmação de serem ou não tratados dados que lhe digam respeito, bem como
informação sobre as finalidades desse tratamento, as categorias de dados sobre
que incide e os destinatários ou categorias de destinatários a quem são
comunicados os dados;
b) A
comunicação, sob forma inteligível, dos seus dados sujeitos a tratamento e de
quaisquer informações disponíveis sobre a origem desses dados;
c) O
conhecimento da lógica subjacente ao tratamento automatizado dos dados que lhe
digam respeito;
d) A
rectificação, o apagamento ou o bloqueio dos dados cujo tratamento não cumpra
o disposto na presente lei, nomeadamente devido ao carácter incompleto ou
inexacto desses dados;
e) A
notificação aos terceiros a quem os dados tenham sido comunicados de qualquer
rectificação, apagamento ou bloqueio efectuado nos termos da alínea d), salvo
se isso for comprovadamente impossível.
2 - No
caso de tratamento de dados pessoais relativos à segurança do Estado e à
prevenção ou investigação criminal, o direito de acesso é exercido através
da CNPD ou de outra autoridade independente a quem a lei atribua a verificação
do cumprimento da legislação de protecção de dados pessoais.
3 - No
caso previsto no n.º 6 do artigo anterior, o direito de acesso é exercido
através da CNPD com salvaguarda das normas constitucionais aplicáveis,
designadamente as que garantem a liberdade de expressão e informação, a
liberdade de imprensa e a independência e sigilo profissionais dos jornalistas.
4 - Nos
casos previstos nos n.os 2 e 3, se a comunicação dos dados ao seu
titular puder prejudicar a segurança do Estado, a prevenção ou a investigação
criminal ou ainda a liberdade de expressão e informação ou a liberdade de
imprensa, a CNPD limita-se a informar o titular dos dados das diligências
efectuadas.
5 - O
direito de acesso à informação relativa a dados da saúde, incluindo os dados
genéticos, é exercido por intermédio de médico escolhido pelo titular dos
dados.
6 - No
caso de os dados não serem utilizados para tomar medidas ou decisões em relação
a pessoas determinadas, a lei pode restringir o direito de acesso nos casos em
que manifestamente não exista qualquer perigo de violação dos direitos,
liberdades e garantias do titular dos dados, designadamente do direito à vida
privada, e os referidos dados forem exclusivamente utilizados para fins de
investigação científica ou conservados sob forma de dados pessoais durante um
período que não exceda o necessário à finalidade exclusiva de elaborar estatísticas.
Artigo
12.º
Direito
de oposição do titular dos dados
O
titular dos dados tem o direito de:
a)
Salvo disposição legal em contrário, e pelo menos nos casos referidos nas alíneas
d) e e) do artigo 6.º, se opor em qualquer altura, por razões ponderosas e legítimas
relacionadas com a sua situação particular, a que os dados que lhe digam
respeito sejam objecto de tratamento, devendo, em caso de oposição
justificada, o tratamento efectuado pelo responsável deixar de poder incidir
sobre esses dados;
b)
Se opor, a seu pedido e gratuitamente, ao tratamento dos dados pessoais que lhe
digam respeito previsto pelo responsável pelo tratamento para efeitos de
marketing directo ou qualquer outra forma de prospecção, ou de ser informado,
antes de os dados pessoais serem comunicados pela primeira vez a terceiros para
fins de marketing directo ou utilizados por conta de terceiros, e de lhe ser
expressamente facultado o direito de se opor, sem despesas, a tais comunicações
ou utilizações.
Artigo
13.º
Decisões
individuais automatizadas
1
- Qualquer pessoa tem o direito de não ficar sujeita a uma decisão que produza
efeitos na sua esfera jurídica ou que a afecte de modo significativo, tomada
exclusivamente com base num tratamento automatizado de dados destinado a avaliar
determinados aspectos da sua personalidade, designadamente a sua capacidade
profissional, o seu crédito, a confiança de que é merecedora ou o seu
comportamento.
2 - Sem
prejuízo do cumprimento das restantes disposições da presente lei, uma pessoa
pode ficar sujeita a uma decisão tomada nos termos do n.º 1, desde que tal
ocorra no âmbito da celebração ou da execução de um contrato, e sob condição
de o seu pedido de celebração ou execução do contrato ter sido satisfeito,
ou de existirem medidas adequadas que garantam a defesa dos seus interesses legítimos,
designadamente o seu direito de representação e expressão.
3 - Pode
ainda ser permitida a tomada de uma decisão nos termos do n.º 1 quando a CNPD
o autorize, definindo medidas de garantia da defesa dos interesses legítimos do
titular dos dados.
Secção
III
Segurança
e confidencialidade do tratamento
Artigo
14.º
Segurança
do tratamento
1
- O responsável pelo tratamento deve pôr em prática as medidas técnicas e
organizativas adequadas para proteger os dados pessoais contra a destruição,
acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso
não autorizados, nomeadamente quando o tratamento implicar a sua transmissão
por rede, e contra qualquer outra forma de tratamento ilícito; estas medidas
devem assegurar, atendendo aos conhecimentos técnicos disponíveis e aos custos
resultantes da sua aplicação, um nível de segurança adequado em relação
aos riscos que o tratamento apresenta e à natureza dos dados a proteger.
2 - O
responsável pelo tratamento, em caso de tratamento por sua conta, deverá
escolher um subcontratante que ofereça garantias suficientes em relação às
medidas de segurança técnica e de organização do tratamento a efectuar, e
deverá zelar pelo cumprimento dessas medidas.
3 - A
realização de operações de tratamento em subcontratação deve ser regida
por um contrato ou acto jurídico que vincule o subcontratante ao responsável
pelo tratamento e que estipule, designadamente, que o subcontratante apenas
actua mediante instruções do responsável pelo tratamento e que lhe incumbe
igualmente o cumprimento das obrigações referidas no n.º 1.
4 - Os
elementos de prova da declaração negocial, do contrato ou do acto jurídico
relativos à protecção dos dados, bem como as exigências relativas às
medidas referidas no n.º 1, são consignados por escrito em documento em
suporte com valor probatório legalmente reconhecido.
Artigo
15.º
Medidas
especiais de segurança
1
- Os responsáveis pelo tratamento dos dados referidos no n.o 2 do
artigo 7.º e no n.º 1 do artigo 8.º devem tomar as medidas adequadas para:
a)
Impedir o acesso de pessoa não autorizada às instalações utilizadas para o
tratamento desses dados (controlo da entrada nas instalações);
b)
Impedir que suportes de dados possam ser lidos, copiados, alterados ou retirados
por pessoa não autorizada (controlo dos suportes de dados);
c)
Impedir a introdução não autorizada, bem como a tomada de conhecimento, a
alteração ou a eliminação não autorizadas de dados pessoais inseridos
(controlo da inserção);
d)
Impedir que sistemas de tratamento automatizados de dados possam ser utilizados
por pessoas não autorizadas através de instalações de transmissão de dados
(controlo da utilização);
e)
Garantir que as pessoas autorizadas só possam ter acesso aos dados abrangidos
pela autorização (controlo de acesso);
f)
Garantir a verificação das entidades a quem possam ser transmitidos os dados
pessoais através das instalações de transmissão de dados (controlo da
transmissão);
g)
Garantir que possa verificar-se a posteriori, em prazo adequado à natureza do
tratamento, a fixar na regulamentação aplicável a cada sector, quais os dados
pessoais introduzidos quando e por quem (controlo da introdução);
h)
Impedir que, na transmissão de dados pessoais, bem como no transporte do seu
suporte, os dados possam ser lidos, copiados, alterados ou eliminados de forma não
autorizada (controlo do transporte).
2 - Tendo
em conta a natureza das entidades responsáveis pelo tratamento e o tipo das
instalações em que é efectuado, a CNPD pode dispensar a existência de certas
medidas de segurança, garantido que se mostre o respeito pelos direitos,
liberdades e garantias dos titulares dos dados.
3 - Os
sistemas devem garantir a separação lógica entre os dados referentes à saúde
e à vida sexual, incluindo os genéticos, dos restantes dados pessoais.
4 - A
CNPD pode determinar que, nos casos em que a circulação em rede de dados
pessoais referidos nos artigos 7.º e 8.º possa pôr em risco direitos,
liberdades e garantias dos respectivos titulares, a transmissão seja cifrada.
Artigo
16.º
Tratamento
por subcontratante
Qualquer
pessoa que, agindo sob a autoridade do responsável pelo tratamento ou do
subcontratante, bem como o próprio subcontratante, tenha acesso a dados
pessoais não pode proceder ao seu tratamento sem instruções do responsável
pelo tratamento, salvo por força de obrigações legais.
Artigo
17.º
Sigilo
profissional
1
- Os responsáveis do tratamento de dados pessoais, bem como as pessoas que, no
exercício das suas funções, tenham conhecimento dos dados pessoais tratados,
ficam obrigados a sigilo profissional, mesmo após o termo das suas funções.
2 - Igual
obrigação recai sobre os membros da CNPD, mesmo após o termo do mandato.
3 - O
disposto nos números anteriores não exclui o dever do fornecimento das informações
obrigatórias, nos termos legais, excepto quando constem de ficheiros
organizados para fins estatísticos.
4 - Os
funcionários, agentes ou técnicos que exerçam funções de assessoria à CNPD
ou aos seus vogais estão sujeitos à mesma obrigação de sigilo profissional.
Capítulo
III
Transferência
de dados pessoais
Secção
I
Transferência
de dados pessoais na União Europeia
Artigo
18.º
Princípio
É
livre a circulação de dados pessoais entre Estados membros da União Europeia,
sem prejuízo do disposto nos actos comunitários de natureza fiscal e
aduaneira.
Secção
II
Transferência
de dados pessoais para fora da União Europeia
Artigo
19.º
Princípios
1
- Sem prejuízo do disposto no artigo seguinte, a transferência, para um Estado
que não pertença à União Europeia, de dados pessoais que sejam objecto de
tratamento ou que se destinem a sê-lo só pode realizar-se com o respeito das
disposições da presente lei e se o Estado para onde são transferidos
assegurar um nível de protecção adequado.
2 - A
adequação do nível de protecção num Estado que não pertença à União
Europeia é apreciada em função de todas as circunstâncias que rodeiem a
transferência ou o conjunto de transferências de dados; em especial, devem ser
tidas em consideração a natureza dos dados, a finalidade e a duração do
tratamento ou tratamentos projectados, os países de origem e de destino final,
as regras de direito, gerais ou sectoriais, em vigor no Estado em causa, bem
como as regras profissionais e as medidas de segurança que são respeitadas
nesse Estado.
3 - Cabe
à CNPD decidir se um Estado que não pertença à União Europeia assegura um nível
de protecção adequado.
4 - A
CNPD comunica, através do Ministério dos Negócios Estrangeiros, à Comissão
Europeia os casos em que tenha considerado que um Estado não assegura um nível
de protecção adequado.
5 - Não
é permitida a transferência de dados pessoais de natureza idêntica aos que a
Comissão Europeia tiver considerado que não gozam de protecção adequada no
Estado a que se destinam.
Artigo
20.º
Derrogações
1
- A transferência de dados pessoais para um Estado que não assegure um nível
de protecção adequado na acepção do n.º 2 do artigo 19.º pode ser
permitida pela CNPD se o titular dos dados tiver dado de forma inequívoca o seu
consentimento à transferência ou se essa transferência:
a) For
necessária para a execução de um contrato entre o titular dos dados e o
responsável pelo tratamento ou de diligências prévias à formação do
contrato decididas a pedido do titular dos dados;
b) For
necessária para a execução ou celebração de um contrato celebrado ou a
celebrar, no interesse do titular dos dados, entre o responsável pelo
tratamento e um terceiro; ou
c) For
necessária ou legalmente exigida para a protecção de um interesse público
importante, ou para a declaração, o exercício ou a defesa de um direito num
processo judicial; ou
d) For
necessária para proteger os interesses vitais do titular dos dados; ou
e) For
realizada a partir de um registo público que, nos termos de disposições
legislativas ou regulamentares, se destine à informação do público e se
encontre aberto à consulta do público em geral ou de qualquer pessoa que possa
provar um interesse legítimo, desde que as condições estabelecidas na lei
para a consulta sejam cumpridas no caso concreto.
2
- Sem prejuízo do disposto no n.º 1, a CNPD pode autorizar uma transferência
ou um conjunto de transferências de dados pessoais para um Estado que não
assegure um nível de protecção adequado na acepção do n.º 2 do artigo 19.º,
desde que o responsável pelo tratamento assegure mecanismos suficientes de
garantia de protecção da vida privada e dos direitos e liberdades fundamentais
das pessoas, bem como do seu exercício, designadamente, mediante cláusulas
contratuais adequadas.
3 - A
CNPD informa a Comissão Europeia, através do Ministério dos Negócios
Estrangeiros, bem como as autoridades competentes dos restantes Estados da União
Europeia, das autorizações que conceder nos termos do n.º 2.
4 - A
concessão ou derrogação das autorizações previstas no n.º 2 efectua-se
pela CNPD nos termos de processo próprio e de acordo com as decisões da Comissão
Europeia.
5 -
Sempre que existam cláusulas contratuais-tipo aprovadas pela Comissão
Europeia, segundo procedimento próprio, por oferecerem as garantias suficientes
referidas no n.º 2, a CNPD autoriza a transferência de dados pessoais que se
efectue ao abrigo de tais cláusulas.
6 - A
transferência de dados pessoais que constitua medida necessária à protecção
da segurança do Estado, da defesa, da segurança pública e da prevenção,
investigação e repressão das infracções penais é regida por disposições
legais específicas ou pelas convenções e acordos internacionais em que
Portugal é parte.
Capítulo
IV
Comissão
Nacional de Protecção de Dados
Secção
I
Natureza,
atribuições e competências
Artigo
21.º
Natureza
1
- A CNPD é uma entidade administrativa independente, com poderes de autoridade,
que funciona junto da Assembleia da República.
2 - A
CNPD, independentemente do direito nacional aplicável a cada tratamento de
dados em concreto, exerce as suas competências em todo o território nacional.
3 - A
CNPD pode ser solicitada a exercer os seus poderes por uma autoridade de
controlo de protecção de dados de outro Estado membro da União Europeia ou do
Conselho da Europa.
4 - A
CNPD coopera com as autoridades de controlo de protecção de dados de outros
Estados na difusão do direito e das regulamentações nacionais em matéria de
protecção de dados pessoais, bem como na defesa e no exercício dos direitos
de pessoas residentes no estrangeiro.
Artigo
22.º
Atribuições
1
- A CNPD é a autoridade nacional que tem como atribuição controlar e
fiscalizar o cumprimento das disposições legais e regulamentares em matéria
de protecção de dados pessoais, em rigoroso respeito pelos direitos do homem e
pelas liberdades e garantias consagradas na Constituição e na lei.
2 - A
CNPD deve ser consultada sobre quaisquer disposições legais, bem como sobre
instrumentos jurídicos em preparação em instituições comunitárias ou
internacionais, relativos ao tratamento de dados pessoais.
3 - A
CNPD dispõe:
a) De
poderes de investigação e de inquérito, podendo aceder aos dados objecto de
tratamento e recolher todas as informações necessárias ao desempenho das suas
funções de controlo;
b) De
poderes de autoridade, designadamente o de ordenar o bloqueio, apagamento ou
destruição dos dados, bem como o de proibir, temporária ou definitivamente, o
tratamento de dados pessoais, ainda que incluídos em redes abertas de transmissão
de dados a partir de servidores situados em território português;
c) Do
poder de emitir pareceres prévios ao tratamentos de dados pessoais, assegurando
a sua publicitação.
4 - Em
caso de reiterado não cumprimento das disposições legais em matéria de dados
pessoais, a CNPD pode advertir ou censurar publicamente o responsável pelo
tratamento, bem como suscitar a questão, de acordo com as respectivas competências,
à Assembleia da República, ao Governo ou a outros órgãos ou autoridades.
5 - A
CNPD tem legitimidade para intervir em processos judiciais no caso de violação
das disposições da presente lei e deve denunciar ao Ministério Público as
infracções penais de que tiver conhecimento, no exercício das suas funções
e por causa delas, bem como praticar os actos cautelares necessários e urgentes
para assegurar os meios de prova.
6 - A
CNPD é representada em juízo pelo Ministério Público e está isenta de
custas nos processos em que intervenha.
Artigo
23.º
Competências
1
- Compete em especial à CNPD:
a) Emitir
parecer sobre disposições legais, bem como sobre instrumentos jurídicos em
preparação em instituições comunitárias e internacionais, relativos ao
tratamento de dados pessoais;
b)
Autorizar ou registar, consoante os casos, os tratamentos de dados pessoais;
c)
Autorizar excepcionalmente a utilização de dados pessoais para finalidades não
determinantes da recolha, com respeito pelos princípios definidos no artigo 5.º;
d)
Autorizar, nos casos previstos no artigo 9.º, a interconexão de tratamentos
automatizados de dados pessoais;
e)
Autorizar a transferência de dados pessoais nos casos previstos no artigo 20.º;
f)
Fixar o tempo da conservação dos dados pessoais em função da finalidade,
podendo emitir directivas para determinados sectores de actividade;
g)
Fazer assegurar o direito de acesso à informação, bem como do exercício do
direito de rectificação e actualização;
h)
Autorizar a fixação de custos ou de periodicidade para o exercício do direito
de acesso, bem como fixar os prazos máximos de cumprimento, em cada sector de
actividade, das obrigações que, por força dos artigos 11.º a 13.º, incumbem
aos responsáveis pelo tratamento de dados pessoais;
i) Dar
seguimento ao pedido efectuado por qualquer pessoa, ou por associação que a
represente, para protecção dos seus direitos e liberdades no que diz respeito
ao tratamento de dados pessoais e informá-la do resultado;
j)
Efectuar, a pedido de qualquer pessoa, a verificação da licitude de um
tratamento de dados, sempre que esse tratamento esteja sujeito a restrições de
acesso ou de informação, e informá-la da realização da verificação;
k)
Apreciar as reclamações, queixas ou petições dos particulares;
l)
Dispensar a execução de medidas de segurança, nos termos previstos no n.º 2
do artigo 15.º, podendo emitir directivas para determinados sectores de
actividade;
m)
Assegurar a representação junto de instâncias comuns de controlo e em reuniões
comunitárias e internacionais de entidades independentes de controlo da protecção
de dados pessoais, bem como participar em reuniões internacionais no âmbito
das suas competências, designadamente exercer funções de representação e
fiscalização no âmbito dos sistemas Schengen e Europol, nos termos das
disposições aplicáveis;
n)
Deliberar sobre a aplicação de coimas;
o)
Promover e apreciar códigos de conduta;
p)
Promover a divulgação e esclarecimento dos direitos relativos à protecção
de dados e dar publicidade periódica à sua actividade, nomeadamente através
da publicação de um relatório anual;
q)
Exercer outras competências legalmente previstas.
2 - No
exercício das suas competências de emissão de directivas ou de apreciação
de códigos de conduta, a CNPD deve promover a audição das associações de
defesa dos interesses em causa.
3 - No
exercício das suas funções, a CNPD profere decisões com força obrigatória,
passíveis de reclamação e de recurso para o Tribunal Central Administrativo.
4 - A
CNPD pode sugerir à Assembleia da República as providências que entender úteis
à prossecução das suas atribuições e ao exercício das suas competências.
Artigo
24.º
Dever
de colaboração
1
- As entidades públicas e privadas devem prestar a sua colaboração à CNPD,
facultando-lhe todas as informações que por esta, no exercício das suas
competências, lhe forem solicitadas.
2 - O
dever de colaboração é assegurado, designadamente, quando a CNPD tiver
necessidade, para o cabal exercício das suas funções, de examinar o sistema
informático e os ficheiros de dados pessoais, bem como toda a documentação
relativa ao tratamento e transmissão de dados pessoais.
3 - A
CNPD ou os seus vogais, bem como os técnicos por ela mandatados, têm direito
de acesso aos sistemas informáticos que sirvam de suporte ao tratamento dos
dados, bem como à documentação referida no número anterior, no âmbito das
suas atribuições e competências.
Secção
II
Composição
e funcionamento
Artigo
25.º
Composição
e mandato
1
- A CNPD é composta por sete membros de integridade e mérito reconhecidos, dos
quais o presidente e dois dos vogais são eleitos pela Assembleia da República
segundo o método da média mais alta de Hondt.
2 - Os
restantes vogais são:
a) Dois
magistrados com mais de 10 anos de carreira, sendo um magistrado judicial,
designado pelo Conselho Superior da Magistratura, e um magistrado do Ministério
Público, designado pelo Conselho Superior do Ministério Público;
b) Duas
personalidades de reconhecida competência designadas pelo Governo.
3 - O
mandato dos membros da CNPD é de cinco anos e cessa com a posse dos novos
membros.
4 - Os
membros da CNPD constam de lista publicada na 1.ª série do Diário da República.
5 - Os
membros da CNPD tomam posse perante o Presidente da Assembleia da República nos
10 dias seguintes à publicação da lista referida no número anterior.
Artigo
26.º
Funcionamento
1
- São aprovados por lei da Assembleia da República:
a) A lei
orgânica e o quadro de pessoal da CNPD;
b)
O regime de incompatibilidades, de impedimentos, de suspeições e de perda de
mandato, bem como o estatuto remuneratório dos membros da CNPD.
2
- O estatuto dos membros da CNPD garante a independência do exercício das suas
funções.
3 - A
Comissão dispõe de quadro próprio para apoio técnico e administrativo,
beneficiando os seus funcionários e agentes do estatuto e regalias do pessoal
da Assembleia da República.
Secção
III
Notificação
Artigo
27.º
Obrigação
de notificação à CNPD
1
- O responsável pelo tratamento ou, se for caso disso, o seu representante deve
notificar a CNPD antes da realização de um tratamento ou conjunto de
tratamentos, total ou parcialmente automatizados, destinados à prossecução de
uma ou mais finalidades interligadas.
2 - A
CNPD pode autorizar a simplificação ou a isenção da notificação para
determinadas categorias de tratamentos que, atendendo aos dados a tratar, não
sejam susceptíveis de pôr em causa os direitos e liberdades dos titulares dos
dados e tenham em conta critérios de celeridade, economia e eficiência.
3 - A
autorização, que está sujeita a publicação no Diário da República, deve
especificar as finalidades do tratamento, os dados ou categorias de dados a
tratar, a categoria ou categorias de titulares dos dados, os destinatários ou
categorias de destinatários a quem podem ser comunicados os dados e o período
de conservação dos dados.
4 - Estão
isentos de notificação os tratamentos cuja única finalidade seja a manutenção
de registos que, nos termos de disposições legislativas ou regulamentares, se
destinem a informação do público e possam ser consultados pelo público em
geral ou por qualquer pessoa que provar um interesse legítimo.
5 - Os
tratamentos não automatizados dos dados pessoais previstos no n.º 1 do artigo
7.º estão sujeitos a notificação quando tratados ao abrigo da alínea a) do
n.º 3 do mesmo artigo.
Artigo
28.º
Controlo
prévio
1
- Carecem de autorização da CNPD:
a)O
tratamento dos dados pessoais a que se referem o n.º 2 do artigo 7.º e o n.º
2 do artigo 8.º;
b) O
tratamento dos dados pessoais relativos ao crédito e à solvabilidade dos seus
titulares;
c) A
interconexão de dados pessoais prevista no artigo 9.º;
d) A
utilização de dados pessoais para fins não determinantes da recolha.
2 - Os
tratamentos a que se refere o número anterior podem ser autorizados por diploma
legal, não carecendo neste caso de autorização da CNPD.
Artigo
29.º
Conteúdo
dos pedidos de parecer ou de autorização e da notificação
Os
pedidos de parecer ou de autorização, bem como as notificações, remetidos à
CNPD devem conter as seguintes informações:
a) Nome e
endereço do responsável pelo tratamento e, se for o caso, do seu
representante;
b) As
finalidades do tratamento;
c) Descrição
da ou das categorias de titulares dos dados e dos dados ou categorias de dados
pessoais que lhes respeitem;
d)
Destinatários ou categorias de destinatários a quem os dados podem ser
comunicados e em que condições;
e)
Entidade encarregada do processamento da informação, se não for o próprio
responsável do tratamento;
f)
Eventuais interconexões de tratamentos de dados pessoais;
g) Tempo
de conservação dos dados pessoais;
h) Forma
e condições como os titulares dos dados podem ter conhecimento ou fazer
corrigir os dados pessoais que lhes respeitem;
i)
Transferências de dados previstas para países terceiros;
j) Descrição
geral que permita avaliar de forma preliminar a adequação das medidas tomadas
para garantir a segurança do tratamento em aplicação dos artigos 14.º e 15.º.
Artigo
30.º
Indicações
obrigatórias
1
- Os diplomas legais referidos no n.o 2 do artigo 7.º e no n.º 1 do
artigo 8.º, bem como as autorizações da CNPD e os registos de tratamentos de
dados pessoais devem, pelo menos, indicar:
a) O
responsável do ficheiro e, se for caso disso, o seu representante;
b) As
categorias de dados pessoais tratados;
c) As
finalidades a que se destinam os dados e as categorias de entidades a quem podem
ser transmitidos;
d) A
forma de exercício do direito de acesso e de rectificação;
e)
Eventuais interconexões de tratamentos de dados pessoais;
f)
Transferências de dados previstas para países terceiros.
2 -
Qualquer alteração das indicações constantes do n.º 1 está sujeita aos
procedimentos previstos nos artigos 27.º e 28.º.
Artigo
31.º
Publicidade
dos tratamentos
1
- O tratamento dos dados pessoais, quando não for objecto de diploma legal e
dever ser autorizado ou notificado, consta de registo na CNPD, aberto à
consulta por qualquer pessoa.
2 - O
registo contém as informações enumeradas nas alíneas a) a d) e i) do artigo
29.º.
3 - O
responsável por tratamento de dados não sujeito a notificação está obrigado
a prestar, de forma adequada, a qualquer pessoa que lho solicite, pelo menos as
informações referidas no n.º 1 do artigo 30.º.
4 - O
disposto no presente artigo não se aplica a tratamentos cuja única finalidade
seja a manutenção de registos que, nos termos de disposições legislativas ou
regulamentares, se destinem à informação do público e se encontrem abertos
à consulta do público em geral ou de qualquer pessoa que possa provar um
interesse legítimo.
5 - A
CNPD deve publicar no seu relatório anual todos os pareceres e autorizações
elaborados ou concedidas ao abrigo da presente lei, designadamente as autorizações
previstas no n.º 2 do artigo 7.º e no n.º 2 do artigo 9.º.
Capítulo
V
Códigos
de conduta
Artigo
32.º
Códigos
de conduta
1
- A CNPD apoia a elaboração de códigos de conduta destinados a contribuir, em
função das características dos diferentes sectores, para a boa execução das
disposições da presente lei.
2 - As
associações profissionais e outras organizações representativas de
categorias de responsáveis pelo tratamento de dados que tenham elaborado
projectos de códigos de conduta podem submetê-los à apreciação da CNPD.
3 - A
CNPD pode declarar a conformidade dos projectos com as disposições legais e
regulamentares vigentes em matéria de protecção de dados pessoais.
Capítulo
VI
Tutela
administrativa e jurisdicional
Secção
I
Tutela
administrativa e jurisdicional
Artigo
33.º
Tutela
administrativa e jurisdicional
Sem
prejuízo do direito de apresentação de queixa à CNPD, qualquer pessoa pode,
nos termos da lei, recorrer a meios administrativos ou jurisdicionais para
garantir o cumprimento das disposições legais em matéria de protecção de
dados pessoais.
Artigo
34.º
Responsabilidade
civil
1
- Qualquer pessoa que tiver sofrido um prejuízo devido ao tratamento ilícito
de dados ou a qualquer outro acto que viole disposições legais em matéria de
protecção de dados pessoais tem o direito de obter do responsável a reparação
pelo prejuízo sofrido.
2 - O
responsável pelo tratamento pode ser parcial ou totalmente exonerado desta
responsabilidade se provar que o facto que causou o dano lhe não é imputável.
Secção
II
Contra-ordenações
Artigo
35.º
Legislação
subsidiária
Às
infracções previstas na presente secção é subsidiariamente aplicável o
regime geral das contra-ordenações, com as adaptações constantes dos artigos
seguintes.
Artigo
36.º
Cumprimento
do dever omitido
Sempre
que a contra-ordenação resulte de omissão de um dever, a aplicação da sanção
e o pagamento da coima não dispensam o infractor do seu cumprimento, se este
ainda for possível.
Artigo
37.º
Omissão
ou defeituoso cumprimento de obrigações
1
- As entidades que, por negligência, não cumpram a obrigação de notificação
à CNPD do tratamento de dados pessoais a que se referem os n.os 1 e
5 do artigo 27.º, prestem falsas informações ou cumpram a obrigação de
notificação com inobservância dos termos previstos no artigo 29.º, ou ainda
quando, depois de notificadas pela CNPD, mantiverem o acesso às redes abertas
de transmissão de dados a responsáveis por tratamento de dados pessoais que não
cumpram as disposições da presente lei, praticam contra-ordenação punível
com as seguintes coimas:
a)
Tratando-se de pessoa singular, no mínimo de 50 000$ e no máximo de 500 000$;
b)
Tratando-se de pessoa colectiva ou de entidade sem personalidade jurídica, no mínimo
de 300 000$ e no máximo de 3 000 000$.
2 - A
coima é agravada para o dobro dos seus limites quando se trate de dados
sujeitos a controlo prévio, nos termos do artigo 28.º.
Artigo
38.º
Contra-ordenações
1
- Praticam contra-ordenação punível com a coima mínima de 100 000$ e máxima
de 1 000 000$, as entidades que não cumprirem alguma das seguintes disposições
da presente lei:
a)
Designar representante nos termos previstos no n.º 5 do artigo 4.º;
b)
Observar as obrigações estabelecidas nos artigos 5.º, 10.º, 11.º, 12.º,
13.º, 15.º, 16.º e 31.º, n.º 3.
2 - A
pena é agravada para o dobro dos seus limites quando não forem cumpridas as
obrigações constantes dos artigos 6.º, 7.º, 8.º, 9.º, 19.º e 20.º.
Artigo
39.º
Concurso
de infracções
1
- Se o mesmo facto constituir, simultaneamente, crime e contra-ordenação, o
agente é punido sempre a título de crime.
2 - As
sanções aplicadas às contra-ordenações em concurso são sempre cumuladas
materialmente.
Artigo
40.º
Punição
da negligência e da tentativa
1
- A negligência é sempre punida nas contra-ordenações previstas no artigo
38.º.
2 - A
tentativa é sempre punível nas contra-ordenações previstas nos artigos 37.º
e 38.º.
Artigo
41.º
Aplicação
das coimas
1
- A aplicação das coimas previstas na presente lei compete ao Presidente da
CNPD, sob prévia deliberação da Comissão.
2 - A
deliberação da CNPD, depois de homologada pelo Presidente, constitui título
executivo, no caso de não ser impugnada no prazo legal.
Artigo
42.º
Destino
das receitas cobradas
O
montante das importâncias cobradas, em resultado da aplicação das coimas,
reverte, em partes iguais, para o Estado e para a CNPD.
Secção
III
Crimes
Artigo
43.º
Não
cumprimento de obrigações relativas a protecção de dados
1
- É punido com prisão até um ano ou multa até 120 dias quem
intencionalmente:
a) Omitir
a notificação ou o pedido de autorização a que se referem os artigos 27.º e
28.º;
b)
Fornecer falsas informações na notificação ou nos pedidos de autorização
para o tratamento de dados pessoais ou neste proceder a modificações não
consentidas pelo instrumento de legalização;
c)
Desviar ou utilizar dados pessoais, de forma incompatível com a finalidade
determinante da recolha ou com o instrumento de legalização;
d)
Promover ou efectuar uma interconexão ilegal de dados pessoais;
e) Depois
de ultrapassado o prazo que lhes tiver sido fixado pela CNPD para cumprimento
das obrigações previstas na presente lei ou em outra legislação de protecção
de dados, as não cumprir;
f) Depois
de notificado pela CNPD para o não fazer, mantiver o acesso a redes abertas de
transmissão de dados a responsáveis pelo tratamento de dados pessoais que não
cumpram as disposições da presente lei.
2 - A
pena é agravada para o dobro dos seus limites quando se tratar de dados
pessoais a que se referem os artigos 7.º e 8.º.
Artigo
44.º
Acesso
indevido
1
- Quem, sem a devida autorização, por qualquer modo, aceder a dados pessoais
cujo acesso lhe está vedado, é punido com prisão até um ano ou multa até
120 dias.
2 - A
pena é agravada para o dobro dos seus limites quando o acesso:
a) For
conseguido através de violação de regras técnicas de segurança;
b) Tiver
possibilitado ao agente ou a terceiros o conhecimento de dados pessoais;
c) Tiver
proporcionado ao agente ou a terceiros, benefício ou vantagem patrimonial.
3 - No
caso do n.º 1 o procedimento criminal depende de queixa.
Artigo
45.º
Viciação
ou destruição de dados pessoais
1
- Quem, sem a devida autorização, apagar, destruir, danificar, suprimir ou
modificar dados pessoais, tornando-os inutilizáveis ou afectando a sua
capacidade de uso, é punido com prisão até dois anos ou multa até 240 dias.
2 - A
pena é agravada para o dobro nos seus limites se o dano produzido for
particularmente grave.
3 - Se o
agente actuar com negligência, a pena é, em ambos os casos, de prisão até um
ano ou multa até 120 dias.
Artigo
46.º
Desobediência
qualificada
1
- Quem, depois de notificado para o efeito, não interromper, cessar ou bloquear
o tratamento de dados pessoais é punido com a pena correspondente ao crime de
desobediência qualificada.
2 - Na
mesma pena incorre quem, depois de notificado:
a)
Recusar, sem justa causa, a colaboração que concretamente lhe for exigida nos
termos do artigo 24.º;
b) Não
proceder ao apagamento, destruição total ou parcial de dados pessoais;
c) Não
proceder à destruição de dados pessoais, findo o prazo de conservação
previsto no artigo 5.º.
Artigo
47.º
Violação
do dever de sigilo
1
- Quem, obrigado a sigilo profissional, nos termos da lei, sem justa causa e sem
o devido consentimento, revelar ou divulgar no todo ou em parte dados pessoais
é punido com prisão até dois anos ou multa até 240 dias.
2 - A
pena é agravada de metade dos seus limites se o agente:
a) For
funcionário público ou equiparado, nos termos da lei penal;
b) For
determinado pela intenção de obter qualquer vantagem patrimonial ou outro
benefício ilegítimo;
c) Puser
em perigo a reputação, a honra e consideração ou a intimidade da vida
privada de outrem.
3 - A
negligência é punível com prisão até seis meses ou multa até 120 dias.
4 - Fora
dos casos previstos no n.º 2, o procedimento criminal depende de queixa.
Artigo
48.º
Punição
da tentativa
Nos
crimes previstos nas disposições anteriores, a tentativa é sempre punível.
Artigo
49.º
Pena acessória
1
- Conjuntamente com as coimas e penas aplicadas pode, acessoriamente, ser
ordenada:
a) A
proibição temporária ou definitiva do tratamento, o bloqueio, o apagamento ou
a destruição total ou parcial dos dados;
b) A
publicidade da sentença condenatória;
c) A
advertência ou censura públicas do responsável pelo tratamento, nos termos do
n.º 4 do artigo 22.º.
2 - A
publicidade da decisão condenatória faz-se a expensas do condenado, na publicação
periódica de maior expansão editada na área da comarca da prática da infracção
ou, na sua falta, em publicação periódica da comarca mais próxima, bem como
através da afixação de edital em suporte adequado, por período não inferior
a 30 dias.
3 - A
publicação é feita por extracto de que constem os elementos da infracção e
as sanções aplicadas, bem como a identificação do agente.
Capítulo
VII
Disposições
finais
Artigo
50.º
Disposição
transitória
1
- Os tratamentos de dados existentes em ficheiros manuais à data da entrada em
vigor da presente lei devem cumprir o disposto nos artigos 7.º, 8.º, 10.º e
11.º no prazo de cinco anos.
2 - Em
qualquer caso, o titular dos dados pode obter, a seu pedido e, nomeadamente,
aquando do exercício do direito de acesso, a rectificação, o apagamento ou o
bloqueio dos dados incompletos, inexactos ou conservados de modo incompatível
com os fins legítimos prosseguidos pelo responsável pelo tratamento.
3 - A
CNPD pode autorizar que os dados existentes em ficheiros manuais e conservados
unicamente com finalidades de investigação histórica não tenham que cumprir
os artigos 7.º, 8.º e 9.º, desde que não sejam em nenhum caso reutilizados
para finalidade diferente.
Artigo
51.º
Disposição
revogatória
São
revogadas as Leis n.os 10/91, de 29 de Abril, e 28/94, de 29 de
Agosto.
Artigo
52.º
Entrada
em vigor
A
presente lei entra em vigor no dia seguinte ao da sua publicação.
Aprovado
em 24 de Setembro de 1998.
O
Presidente da Assembleia da República, António de Almeida Santos
Publique-se.
O
Presidente da República, Jorge Sampaio.
Referendada
em 14 de Outubro de 1998.
O
Primeiro-Ministro, António Manuel de Oliveira Guterres