O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Página 1

Segunda-feira, 26 de março de 2018 II Série-A — Número 89

XIII LEGISLATURA 3.ª SESSÃO LEGISLATIVA (2017-2018)

S U M Á R I O

Decreto da Assembleia da República n.º 195/XIII: (a) Segunda alteração à Lei n.º 43/2006, de 25 de agosto, relativa ao acompanhamento, apreciação e pronúncia pela Assembleia da República no âmbito do processo de construção da União Europeia. Resoluções:

— Recomenda ao Governo a reabertura do serviço ferroviário de passageiros entre Leixões e Ermesinde e a sua ligação a Campanhã.

— Recomenda ao Governo a criação de um serviço de atendimento permanente no Hospital Nossa Senhora da Ajuda, em Espinho.

— Recomenda ao Governo a reabertura do serviço de urgência no Hospital Nossa Senhora da Ajuda, em Espinho.

— Recomenda ao Governo que inclua os concelhos de Oleiros, Vila de Rei, Vila Velha de Ródão, Castelo Branco e Proença-a-Nova no projeto-piloto de ordenamento florestal.

— Recomenda ao Governo a abertura de concurso para contratação de médicos especialistas até 30 dias após a conclusão do internato médico.

— Recomenda ao Governo que crie uma estrutura com vista à promoção e proteção dos direitos das pessoas idosas.

— Recomenda ao Governo o reforço da fiscalização aos lares de idosos para garantir a dignidade dos utentes.

— Recomenda ao Governo que tome medidas para garantir que as faltas ao trabalho dadas pelos acompanhantes de grávidas nas deslocações inter-ilhas dos Açores sejam consideradas justificadas.

— Recomenda ao Governo medidas para a promoção do

envelhecimento com direitos.

— Recomenda a suspensão imediata das ações de despejo nas casas de função da Guarda Nacional Republicana em Alcântara.

— Recomenda ao Governo a avaliação do cumprimento do direito dos utentes ao acompanhamento nas instituições do Serviço Nacional de Saúde.

— Recomenda ao Governo a efetiva aplicação da Lei n.º 57/2017, de 19 de julho, a todos os bolseiros de gestão de ciência e tecnologia.

— Deslocações do Presidente da República a França, ao Egito e a Espanha. Propostas de lei [n.os 118 a 120/XIII (3.ª)]:

N.º 118/XIII (3.ª) — Autoriza o Governo a criar e a regular a emissão e utilização do cartão de identidade de agentes diplomáticos e consulares.

N.º 119/XIII (3.ª) — Estabelece o regime jurídico da segurança do Ciberespaço, transpondo a Diretiva (UE) 2016/1148.

N.º 120/XIII (3.ª) — Assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Projeto de resolução n.º 1451/XIII (3.ª): Em defesa da Escola Secundária de Rebordosa, no concelho de Paredes (BE). (a) É publicado em Suplemento.

Página 2

II SÉRIE-A — NÚMERO 89

2

RESOLUÇÃO

RECOMENDA AO GOVERNO A REABERTURA DO SERVIÇO FERROVIÁRIO DE PASSAGEIROS

ENTRE LEIXÕES E ERMESINDE E A SUA LIGAÇÃO A CAMPANHÃ

A Assembleia da República resolve, nos termos do n.º 5 do artigo 166.º da Constituição, recomendar ao

Governo que:

1- No contexto do plano nacional de desenvolvimento da rede ferroviária nacional em curso, proceda à

reabertura do serviço ferroviário de passageiros entre Leixões e Ermesinde e entre Leixões e Campanhã.

2- Neste processo, articule com os municípios abrangidos pela linha de Leixões os investimentos

necessários para a construção ou reparação das estações ou apeadeiros necessários ao funcionamento da

linha em toda a sua extensão e consensualize o mapa das necessidades ao nível das correções e inserções

viárias das passagens de nível.

Aprovada em 26 de janeiro de 2018.

O Vice-Presidente da Assembleia da República (em substituição do Presidente da Assembleia da República),

Jorge Lacão.

———

RESOLUÇÃO

RECOMENDA AO GOVERNO A CRIAÇÃO DE UM SERVIÇO DE ATENDIMENTO PERMANENTE NO

HOSPITAL NOSSA SENHORA DA AJUDA, EM ESPINHO

A Assembleia da República resolve, nos termos do n.º 5 do artigo 166.º da Constituição, recomendar ao

Governo:

1- A criação de um serviço de atendimento permanente no Hospital Nossa Senhora da Ajuda, em Espinho,

através da consulta aberta não programada, como forma de resposta imediata a doentes menos urgentes,

evitando o seu encaminhamento automático para o Hospital Eduardo Santos Silva, em Vila Nova de Gaia.

2- A relocalização do pórtico da autoestrada A29, como forma de garantir igualdade no acesso de toda a

população de Espinho a cuidados de saúde básicos no hospital da sua área de residência.

Aprovada em 26 de janeiro de 2018.

O Vice-Presidente da Assembleia da República (em substituição do Presidente da Assembleia da República),

Jorge Lacão.

———

Página 3

26 DE MARÇO DE 2018

3

RESOLUÇÃO

RECOMENDA AO GOVERNO A REABERTURA DO SERVIÇO DE URGÊNCIA NO HOSPITAL NOSSA

SENHORA DA AJUDA, EM ESPINHO

A Assembleia da República resolve, nos termos do n.º 5 do artigo 166.º da Constituição, recomendar ao

Governo a reabertura do serviço de urgência básica no Hospital Nossa Senhora da Ajuda, em Espinho,

calendarizando as medidas necessárias.

Aprovada em 26 de janeiro de 2018.

O Vice-Presidente da Assembleia da República (em substituição do Presidente da Assembleia da República),

Jorge Lacão.

———

RESOLUÇÃO

RECOMENDA AO GOVERNO QUE INCLUA OS CONCELHOS DE OLEIROS, VILA DE REI, VILA

VELHA DE RÓDÃO, CASTELO BRANCO E PROENÇA-A-NOVA NO PROJETO-PILOTO DE

ORDENAMENTO FLORESTAL

A Assembleia da República resolve, nos termos do n.º 5 do artigo 166.º da Constituição, recomendar ao

Governo que, na sequência dos incêndios florestais de junho e julho de 2017, proceda à inclusão dos concelhos

de Oleiros, Vila de Rei, Vila Velha de Ródão, Castelo Branco e Proença-a-Nova no projeto-piloto de ordenamento

florestal previsto para o Pinhal Interior, atribuindo-lhes igualmente a possibilidade de beneficiarem de apoios

para a arborização e rearborização dos seus territórios.

Aprovada em 9 de fevereiro de 2018.

O Vice-Presidente da Assembleia da República (em substituição do Presidente da Assembleia da República),

Jorge Lacão.

———

RESOLUÇÃO

RECOMENDA AO GOVERNO A ABERTURA DE CONCURSO PARA CONTRATAÇÃO DE MÉDICOS

ESPECIALISTAS ATÉ 30 DIAS APÓS A CONCLUSÃO DO INTERNATO MÉDICO

A Assembleia da República resolve, nos termos do n.º 5 do artigo 166.º da Constituição, recomendar ao

Governo que abra, obrigatoriamente, procedimento concursal com vista à contratação de médicos especialistas

até 30 dias após a conclusão de cada época de avaliação final normal e especial.

Página 4

II SÉRIE-A — NÚMERO 89

4

Aprovada em 9 de fevereiro de 2018.

O Vice-Presidente da Assembleia da República (em substituição do Presidente da Assembleia da República),

Jorge Lacão.

———

RESOLUÇÃO

RECOMENDA AO GOVERNO QUE CRIE UMA ESTRUTURA COM VISTA À PROMOÇÃO E PROTEÇÃO

DOS DIREITOS DAS PESSOAS IDOSAS

A Assembleia da República resolve, nos termos do n.º 5 do artigo 166.º da Constituição, recomendar ao

Governo que crie uma estrutura, ou dote uma já existente das capacidades, recursos e competências

necessárias para dar uma resposta integrada e transversal às pessoas em situação de risco ou de

vulnerabilidade, designadamente em matéria de promoção e proteção dos direitos das pessoas idosas.

Aprovada em 9 de fevereiro de 2018.

O Vice-Presidente da Assembleia da República (em substituição do Presidente da Assembleia da República),

Jorge Lacão.

———

RESOLUÇÃO

RECOMENDA AO GOVERNO O REFORÇO DA FISCALIZAÇÃO AOS LARES DE IDOSOS PARA

GARANTIR A DIGNIDADE DOS UTENTES

A Assembleia da República resolve, nos termos do n.º 5 do artigo 166.º da Constituição, recomendar ao

Governo que:

1- Reforce a fiscalização aos lares de idosos, nomeadamente sobre as suas condições de funcionamento e

capacidade para garantir o bem-estar e a dignidade dos idosos.

2- Recolhainformação sistematizada sobre o contributo que os lares de idosos dão para a promoção de

componentes do envelhecimento ativo e envie essa informação à Assembleia da República.

3- Torne público o total de vagas, global e por instituição, existentes nos lares com comparticipação da

segurança social e o número de pessoas em lista de espera.

Aprovada em 9 de fevereiro de 2018.

O Vice-Presidente da Assembleia da República (em substituição do Presidente da Assembleia da República),

Jorge Lacão.

———

Página 5

26 DE MARÇO DE 2018

5

RESOLUÇÃO

RECOMENDA AO GOVERNO QUE TOME MEDIDAS PARA GARANTIR QUE AS FALTAS AO

TRABALHO DADAS PELOS ACOMPANHANTES DE GRÁVIDAS NAS DESLOCAÇÕES INTER-ILHAS

DOS AÇORES SEJAM CONSIDERADAS JUSTIFICADAS

A Assembleia da República resolve, nos termos do n.º 5 do artigo 166.º da Constituição, recomendar ao

Governo que tome as medidas legislativas necessárias para que as faltas ao trabalho dadas pelos

acompanhantes de grávidas nasdeslocações inter-ilhas dos Açores, realizadas no âmbito da Portaria n.º

28/2015, de 9 de março, da Região Autónoma dos Açores, sejam consideradas justificadas.

Aprovada em 9 de fevereiro de 2018.

O Vice-Presidente da Assembleia da República (em substituição do Presidente da Assembleia da República),

Jorge Lacão.

———

RESOLUÇÃO

RECOMENDA AO GOVERNO MEDIDAS PARA A PROMOÇÃO DO ENVELHECIMENTO COM

DIREITOS

A Assembleia da República resolve, nos termos do n.º 5 do artigo 166.º da Constituição, recomendar ao

Governo que:

1- Crie equipas multidisciplinares com vista ao acompanhamento e intervenção social de proximidade junto

da população idosa em situação de pobreza, exclusão e isolamento.

2- Organize e calendarize, em articulação com as associações e organizações de reformados, pensionistas

e idosos, medidas que permitam alcançar para este grupo social os seguintes objetivos:

a) Promoção de atividades que os mantenham intelectual e funcionalmente ativos;

b) Combate ao isolamento e à solidão, tanto nas zonas urbanas como nas mais desertificadas, de acordo

com a realidade económica e social de cada região;

c) Criação de uma rede pública de equipamentos e serviços de apoio à terceira idade (apoio domiciliário,

centros de dia e de noite e residências para idosos);

d) Valorização e participação ativa em movimentos associativos;

e) Reforço da resposta pública ao nível:

i) Da promoção da saúde e prevenção da doença com aposta nos cuidados de saúde primários,

ii) Dos cuidados domiciliários, aumentando as unidades de cuidados existentes na comunidade e nos

centros de saúde;

iii) Dos cuidados de medicina física e de reabilitação, dos cuidados continuados integrados e dos cuidados

paliativos;

f) Reforço dos profissionais das unidades de recursos assistenciais partilhados (URAP), em número e

qualidade, para responder às necessidades operacionais das unidades de saúde familiar (USF), unidades de

cuidados de saúde personalizados (UCSP), unidades de cuidados na comunidade (UCC) e unidades de saúde

pública (USP);

Página 6

II SÉRIE-A — NÚMERO 89

6

g) Promoção da articulação entre as diferentes unidades funcionais dos cuidados de saúde primários e as

instituições que acolhem pessoas idosas (estruturas residenciais para idosos, centros de dia), de forma a

adequar a prestação de cuidados de saúde a estes utentes.

Aprovada em 9 de fevereiro de 2018.

O Vice-Presidente da Assembleia da República (em substituição do Presidente da Assembleia da República),

Jorge Lacão.

———

RESOLUÇÃO

RECOMENDA A SUSPENSÃO IMEDIATA DAS AÇÕES DE DESPEJO NAS CASAS DE FUNÇÃO DA

GUARDA NACIONAL REPUBLICANA EM ALCÂNTARA

A Assembleia da República resolve, nos termos do n.º 5 do artigo 166.º da Constituição, recomendar ao

Governo que tome as medidas necessárias para alargar a aplicação do despacho datado de 18 de agosto de

2016, do Ministério da Administração Interna, aos reformados e viúvas de militares da Guarda Nacional

Republicana (GNR) moradores nas casas de guarnição sitas em Alcântara, Lisboa, garantindo a suspensão

imediata e urgente das ações de despejo e o envolvimento conjunto do Ministério da Administração Interna, da

GNR e dos moradores nas casas de guarnição referidas, na procura de soluções equitativas que garantam o

direito à habitação condigna.

Aprovada em 15 de fevereiro de 2018.

O Vice-Presidente da Assembleia da República (em substituição do Presidente da Assembleia da República),

Jorge Lacão.

———

RESOLUÇÃO

RECOMENDA AO GOVERNO A AVALIAÇÃO DO CUMPRIMENTO DO DIREITO DOS UTENTES AO

ACOMPANHAMENTO NAS INSTITUIÇÕES DO SERVIÇO NACIONAL DE SAÚDE

A Assembleia da República resolve, nos termos do n.º 5 do artigo 166.º da Constituição, recomendar ao

Governo que:

1- Avalie as práticas e os regulamentos internos de todas as instituições do Serviço Nacional de Saúde,

identificando situações em que não estejam a ser respeitados os direitos dos utentes, nomeadamente no que

diz respeito ao acompanhamento.

2- Envie à Assembleia da República, até ao final do ano, o relatório dessa avaliação, com as situações de

limitação ou negação do direito ao acompanhamento e com as medidas que as instituições tiveram que adotar,

de forma a poder garantir os direitos dos utentes.

Página 7

26 DE MARÇO DE 2018

7

Aprovada em 22 de fevereiro de 2018.

O Vice-Presidente da Assembleia da República (em substituição do Presidente da Assembleia da República),

Jorge Lacão.

———

RESOLUÇÃO

RECOMENDA AO GOVERNO A EFETIVA APLICAÇÃO DA LEI N.º 57/2017, DE 19 DE JULHO, A

TODOS OS BOLSEIROS DE GESTÃO DE CIÊNCIA E TECNOLOGIA

A Assembleia da República resolve, nos termos do n.º 5 do artigo 166.º da Constituição, recomendar ao

Governo que diligencie, junto da Fundação para a Ciência e a Tecnologia (FCT), no sentido da aplicação rápida

e efetiva dos pressupostos legais contidos na Lei n.º 57/2017, de 19 de julho, a todos os bolseiros de gestão de

ciência e tecnologia, nomeadamente àqueles que assumem funções nos serviços centrais da FCT.

Aprovada em 9 de março de 2018.

O Vice-Presidente da Assembleia da República (em substituição do Presidente da Assembleia da República),

Jorge Lacão.

———

RESOLUÇÃO

DESLOCAÇÕES DO PRESIDENTE DA REPÚBLICA A FRANÇA, AO EGITO E A ESPANHA

A Assembleia da República resolve, nos termos da alínea b) do artigo 163.º e do n.º 5 do artigo 166.º da

Constituição, dar assentimento às deslocações de Sua Excelência o Presidente da República, durante o mês de

abril, a França, entre os dias 8 e 10, para participar nas Comemorações do Centenário da Batalha de La Lys,

ao Egito, de 11 a 13, em Visita de Estado, a convite do seu homólogo egípcio, e a Espanha, de 15 a 18, em

Visita de Estado, a convite do Rei Filipe VI.

Aprovada em 23 de março de 2018.

O Vice-Presidente da Assembleia da República (em substituição do Presidente da Assembleia da República),

Jorge Lacão.

———

Página 8

II SÉRIE-A — NÚMERO 89

8

PROPOSTA DE LEI N.º 118/XIII (3.ª)

AUTORIZA O GOVERNO A CRIAR E A REGULAR A EMISSÃO E UTILIZAÇÃO DO CARTÃO DE

IDENTIDADE DE AGENTES DIPLOMÁTICOS E CONSULARES

Exposição de motivos

O Ministério dos Negócios Estrangeiros (MNE) é a entidade responsável pela emissão do documento de

identificação dos agentes diplomáticos e consulares acreditados em Portugal, do pessoal administrativo e

doméstico ou equiparado que venha prestar serviço nas missões diplomáticas ou postos consulares dos

respetivos Estados, dos funcionários das organizações internacionais com sede ou representação em Portugal

e dos membros das suas famílias, ouvido o Serviço de Estrangeiros e Fronteiras, de acordo com o previsto no

artigo 87.º da Lei n.º 23/2007, de 4 de julho, na sua redação atual, que aprova o regime jurídico de entrada,

permanência, saída e afastamento de estrangeiros do território nacional.

Nos termos do artigo 87.º e da alínea a) do n.º 3 do artigo 10.º da Lei n.º 23/2007, de 4 de julho, na sua

redação atual, os portadores do referido documento de identificação são dispensados de autorização de

residência e de visto de entrada em território nacional.

Acresce que o MNE emite ainda cartões de identidade diplomáticos a outros membros ou funcionários de

entidades com as quais o Estado português tenha celebrado acordos e reconhecido estatuto diplomático.

Torna-se imperativo proceder à atualização do documento de identificação mencionado, em consonância

com as diretrizes relativas às políticas de segurança de documentos de identidade e de viagem, fixadas pelas

organizações internacionais competentes, designadamente pela União Europeia e pela Organização da Aviação

Civil Internacional, para uma forma de cartão de leitura ótica, em detrimento do modelo atual de cartão em

suporte papel plastificado, sem fotografia, com assinatura física e respetiva autenticação das entidades

intervenientes, e apenas em língua portuguesa.

À semelhança dos progressos tecnológicos alcançados nos diversos títulos que comprovam a residência dos

cidadãos estrangeiros em território nacional, o novo modelo de cartão de identidade procederá à otimização das

garantias de fiabilidade e segurança documentais e conferirá aos seus titulares um documento que conjuga a

utilização de dispositivos de elevado nível técnico com uma maior proteção contra o seu uso fraudulento.

Assim:

Nos termos da alínea d) do n.º 1 do artigo 197.º da Constituição, o Governo apresenta à Assembleia da

República a seguinte proposta de lei:

Artigo 1.º

Objeto

A presente lei concede ao Governo autorização legislativa para criar e regular a emissão e utilização do

cartão de identidade diplomático (CID), a conceder pelo Ministério dos Negócios Estrangeiros (MNE), de:

a) Agentes diplomáticos e consulares acreditados em Portugal, pessoal administrativo e doméstico ou

equiparado que venha prestar serviço nas missões diplomáticas ou postos consulares dos respetivos Estados,

funcionários das organizações internacionais com sede ou representação em Portugal, e membros das suas

famílias, que estejam dispensados de autorização de residência, conforme previsto no regime jurídico de

entrada, permanência, saída e afastamento de estrangeiros do território nacional;

b) Outros indivíduos cujo cartão de identidade diplomático é atribuído nos termos definidos em acordo

celebrado com a República Portuguesa.

Artigo 2.º

Sentido e extensão

No uso da autorização legislativa conferida pelo artigo anterior, pode o Governo:

a) Determinar a eficácia do CID e que seja concedido pelo MNE, consultado previamente o Serviço de

Estrangeiros e Fronteiras, sem prejuízo do estabelecido em acordo celebrado nos termos do previsto na alínea

Página 9

26 DE MARÇO DE 2018

9

b) do artigo anterior;

b) Prever que o CID seja produzido, personalizado, remetido ao MNE e destruído, em termos exclusivos,

pela Imprensa Nacional Casa da Moeda, S.A. (INCM), sendo as respetivas despesas suportadas pelo MNE;

c) Determinar que o CID seja concedido a título gratuito aos seus titulares, sendo os respetivos custos de

emissão suportados pelo MNE;

d) Definir quais os familiares aos quais, nos termos do regime jurídico de entrada, permanência, saída e

afastamento de estrangeiros do território nacional, é concedido o CID;

e) Aprovar o regime de autorização, recolha e tratamento de dados pessoais necessários à emissão do CID;

f) Definir quais os serviços públicos competentes para autorizar, emitir, recolher e proceder ao tratamento

de dados pessoais para a concessão e entrega do CID ao respetivo titular;

g) Instituir que o modelo de CID respeita os requisitos e as especificações técnicas definidas nos seguintes

documentos:

i) Regulamento (CE) n.º 2252/2004, do Conselho, de 13 de dezembro de 2004, alterado pelo Regulamento

(CE) n.º 444/2009, do Parlamento Europeu e do Conselho, de 28 de maio de 2009, que estabelece normas para

os dispositivos de segurança e dados biométricos dos passaportes e documentos de viagem emitidos pelos

Estados-Membros;

ii) Doc. 9303 da Organização da Aviação Civil Internacional, Sétima edição, de 2015,que contém as

especificações técnicas para a implementação dos documentos de identidade e viagem de leitura ótica;

h) Determinar que o CID é composto por quatro modelos distintos diferenciados por tarjas de cores

diferentes, a conceder pelo MNE de acordo com o estatuto associado à categoria profissional e à entidade para

a qual o seu titular exerça funções, sendo que por tarja entende-se a faixa colorida situada no canto lateral direito

do cartão;

i) Definir o formato do CID, o qual é constituído por duas faces, frente e verso, sendo impresso:

i) Na frente: menção da República Portuguesa, enquanto Estado emissor; a menção do MNE, enquanto

entidade que o concede; a designação do cartão; a imagem facial, o(s) apelido(s), o(s) nome(s), o sexo, a data

de nascimento e a nacionalidade do titular; a designação da missão diplomática, posto consular, organização

internacional ou entidade a qual o titular pertence; a categoria do titular; a tarja; o tipo de documento; o número

de documento; as datas de emissão e de validade; e a assinatura digitalizada do titular;

ii) No verso: a função ou vínculo familiar do titular (categoria profissional do titular que presta funções em

território nacional ou, no caso de familiar, indicação do respetivo vínculo); e observações (privilégios e

imunidades do titular do cartão);

iii) Na zona específica destinada a leitura ótica constam: o(s) apelido(s) e o(s) nome(s) próprio(s) do titular;

a nacionalidade; a data de nascimento; o sexo; a República portuguesa, enquanto Estado emissor; o tipo de

documento; o número de documento; e a data de validade;

j) Estabelecer que o CID pode ser substituído sempre que se verificar a alteração de, pelo menos, um dos

dados pessoais indicados na alínea anterior;

k) Determinar que o CID é obrigatoriamente devolvido ao MNE para posterior envio à INCM para destruição;

l) Determinar a aplicação subsidiária em matéria penal e contraordenacional das disposições sancionatórias

constantes da Lei n.º 33/99, de 18 de maio, na sua redação atual.

Artigo 3.º

Duração

A presente autorização legislativa tem a duração de 180 dias.

Visto e aprovado em Conselho de Ministros de 22 de março de 2018.

O Primeiro-Ministro, António Luís Santos da Costa — O Ministro dos Negócios Estrangeiros, Augusto Ernesto

Santos Silva — O Secretário de Estado dos Assuntos Parlamentares, Pedro Nuno de Oliveira Santos.

Página 10

II SÉRIE-A — NÚMERO 89

10

O Ministério dos Negócios Estrangeiros (MNE) é a entidade responsável pela emissão de documentos de

identificação dos agentes diplomáticos e consulares acreditados em Portugal, do pessoal administrativo e

doméstico ou equiparado que venha prestar serviço nas missões diplomáticas ou postos consulares dos

respetivos Estados, dos funcionários das organizações internacionais com sede ou representação em Portugal

e dos membros das suas famílias, ouvido o Serviço de Estrangeiros e Fronteiras, de acordo com o previsto no

artigo 87.º da Lei n.º 23/2007, de 4 de julho, na sua redação atual, que aprova o regime jurídico de entrada,

permanência, saída e afastamento de estrangeiros do território nacional.

Nos termos do artigo 87.º e da alínea a) do n.º 3 do artigo 10.º da Lei n.º 23/2007, de 4 de julho, na sua

redação atual, os portadores do referido documento de identificação são dispensados de autorização de

residência e de visto de entrada em território nacional.

Acresce que o MNE emite ainda cartões de identidade diplomáticos a outros membros ou funcionários de

entidades com as quais o Estado português tenha celebrado acordos e aos quais tenha reconhecido estatuto

diplomático.

Na estrutura orgânica do MNE, compete ao Protocolo do Estado, no âmbito da Secretaria-Geral, emitir

documentos de identificação dos estrangeiros residentes no território nacional que beneficiem do estatuto

diplomático, conforme prescreve a alínea r) do artigo 4.º da Portaria n.º 33/2012, de 31 de janeiro.

Assim, a criação de um novo modelo de documento de identificação para as situações descritas, doravante

designado CID, que passa a revestir a forma de documento de leitura ótica, insere-se no âmbito do reforço da

segurança dos documentos de identidade e de viagem e das diretrizes fixadas pelas organizações internacionais

competentes, designadamente pela União Europeia e pela Organização da Aviação Civil Internacional (ICAO).

O novo modelo obedece aos requisitos e especificações técnicas cujos parâmetros e procedimentos de

fixação se encontram definidos pelo Regulamento (CE) n.º 2252/2004, do Conselho, de 13 de dezembro de

2004, alterado pelo Regulamento (CE) n.º 444/2009, do Parlamento Europeu e do Conselho, de 28 de maio de

2009, que estabelece normas para os dispositivos de segurança e dados biométricos dos passaportes e

documentos de viagem emitidos pelos Estados-Membros, e pelo Doc. 9303 da ICAO, Sétima edição, de 2015,

que contém as especificações técnicas para a implementação dos documentos de identidade e viagem de leitura

ótica.

Neste âmbito, todos os procedimentos necessários à emissão do CID, designadamente a autorização,

recolha e tratamento de dados pessoais, bem como a sua entrega ao respetivo titular, continuam a competir ao

MNE, como entidade que o concede, consultado o SEF, e atribuindo-se à Imprensa Nacional Casa da Moeda,

S.A., a exclusividade da sua produção, personalização e destruição.

Foi ouvida a Comissão Nacional de Proteção de Dados.

Assim:

No uso da autorização legislativa concedida pelo artigo 1.º da Lei n.º [Reg. PL X/201], de , e nos termos

da alínea b) do n.º 1 do artigo 198.º da Constituição, o Governo decreta o seguinte:

Artigo 1.º

Objeto e âmbito

1 - O presente decreto-lei cria e regula a emissão e utilização do cartão de identidade diplomático (CID), a

conceder pelo Ministério dos Negócios Estrangeiros (MNE), de:

a) Agentes diplomáticos e consulares acreditados em Portugal, pessoal administrativo e doméstico ou

equiparado que venha prestar serviço nas missões diplomáticas ou postos consulares dos respetivos Estados,

funcionários das organizações internacionais com sede ou representação em Portugal, e membros das suas

famílias, que estejam dispensados de autorização de residência, conforme previsto no regime de entrada,

permanência, saída e afastamento de estrangeiros do território nacional;

b) Outros indivíduos cujo cartão de identidade diplomático é atribuído nos termos definidos em acordo

celebrado com o Estado português.

Página 11

26 DE MARÇO DE 2018

11

2 - O presente decreto-lei aprova ainda o regime de autorização, recolha e tratamento de dados pessoais

necessários à emissão do CID.

3 - Para efeitos do previsto no presente decreto-lei, e em termos de reciprocidade, consideram-se familiares

aqueles que detêm relações jurídicas familiares decorrentes de casamento ou união de facto, de vínculo de

parentesco na linha reta, adotados, enteados e pessoas sob tutela que habitem na residência situada no território

português com as demais pessoas a que refere a alínea a) do n.º 1 e se encontrem na respetiva dependência

económica, sem prejuízo do estabelecido em acordo celebrado com a República Portuguesa.

Artigo 2.º

Eficácia

1 - O CID constitui título bastante para provar a identidade do titular perante quaisquer autoridades e

entidades públicas ou privadas, sendo válido em todo o território nacional, sem prejuízo da eficácia extraterritorial

reconhecida por normas comunitárias, por convenções internacionais, por normas emanadas dos órgãos

competentes das organizações internacionais de que Portugal seja parte, quando tal se encontre estabelecido

nos respetivos tratados constitutivos, e ainda nos termos dos respetivos acordos de sede ou de representação

dos quais o Estado português seja signatário.

2 - Compete ao Serviço de Estrangeiros e Fronteira (SEF) difundir o novo modelo do CID junto das

autoridades de fronteira congéneres.

Artigo 3.º

Modelo

1 - O CID tem a forma de documento de identificação de leitura ótica e é constituído por duas faces impressas

com informações referentes à entidade que o concede e ao respetivo titular, em língua portuguesa e inglesa.

2 - Na frente do CID constam as seguintes informações do seu titular:

a) Apelido(s);

b) Nome(s) próprio(s);

c) Nacionalidade;

d) Data de nascimento;

e) Sexo;

f) Imagem facial;

g) Nome da missão diplomática, posto consular, organização internacional ou entidade à qual o titular

pertence;

h) Categoria profissional;

i) Assinatura.

3 - No verso do CID constam:

a) Função ou vínculo familiar (categoria profissional do titular que presta funções em território nacional ou,

no caso de dependente familiar, indicação do vínculo familiar);

b) Observações (privilégios e imunidades do titular).

4 - Para além dos elementos de identificação do titular referidos nos n.os 2 e 3, o CID contém as seguintes

menções:

a) República Portuguesa, enquanto Estado emissor;

b) MNE, enquanto entidade responsável pela concessão;

c) Designação do cartão;

d) Tipo de documento;

e) Número de documento;

f) Data de emissão;

g) Data de validade;

Página 12

II SÉRIE-A — NÚMERO 89

12

h) Tarja de cor (faixa colorida situada no canto lateral direito do cartão).

5 - A zona específica destinada a leitura ótica do CID contém os seguintes elementos e menções:

a) Apelidos;

b) Nome(s) próprio(s) do titular;

c) Nacionalidade;

d) Data de nascimento;

e) Sexo;

f) República Portuguesa, enquanto Estado emissor;

g) Tipo de documento;

h) Número de documento;

i) Data de validade.

6 - O modelo de CID deve respeitar ainda os demais requisitos e especificações técnicas definidas nos

seguintes documentos:

a) Regulamento (CE) n.º 2252/2004, do Conselho, de 13 de dezembro de 2004, alterado pelo Regulamento

(CE) n.º 444/2009, do Parlamento Europeu e do Conselho, de 28 de maio de 2009, que estabelece normas para

os dispositivos de segurança e dados biométricos dos passaportes e documentos de viagem emitidos pelos

Estados-Membros;

b) Doc. 9303 da ICAO, Sétima edição, de 2015,que contém as especificações técnicas para a

implementação dos documentos de identidade e viagem de leitura ótica.

Artigo 4.º

Assinatura

1 - Por assinatura entende-se, para efeitos do presente decreto-lei, a reprodução digitalizada do nome civil,

escrito pelo respetivo titular, que deverá estar em consonância com o documento de identificação exigível para

efeitos de pedido de emissão do CID.

2 - A assinatura não pode conter desenhos ou elementos gráficos.

3 - Se o titular não puder ou não souber assinar, deve fazer-se menção desse facto na área do CID destinada

à reprodução digitalizada da assinatura.

Artigo 5.º

Tarjas

1 - Os quatro modelos de CID existentes são diferenciados por tarjas de cor azul, verde, castanho e cinza,

constando a respetiva descrição consta do anexo ao presente decreto-lei, do qual faz parte integrante.

2 - A atribuição da cor da tarja é da competência do secretário-geral do MNE, de acordo com o estatuto

associado à categoria profissional e à entidade para a qual o seu titular exerça funções ou ao vínculo familiar.

3 - O secretário-geral do MNE pode delegar a competência prevista no número anterior no chefe do Protocolo

do Estado.

Artigo 6.º

Concessão

1 - O CID é concedido pelo Protocolo do Estado do MNE, ouvido o SEF, sem prejuízo do estabelecido em

acordo celebrado nos termos do previsto na alínea b) do n.º 1 do artigo 1.º.

2 - Os titulares do CID e as entidades onde prestam serviço devem fornecer com exatidão os elementos de

identificação necessários à sua emissão, incluindo as respetivas alterações, e verificar a respetiva fidedignidade.

Página 13

26 DE MARÇO DE 2018

13

3 - Quando se suscitem dúvidas sobre a exatidão ou titularidade dos elementos de identificação, os serviços

que intervenham na sua emissão e concessão devem praticar as diligências necessárias à comprovação e

podem exigir a produção de prova complementar.

4 - Em caso de alteração dos dados de identificação do seu titular, mau estado de conservação ou

funcionamento, perda, furto ou roubo, e destruição, é emitida uma segunda via do CID.

Artigo 7.º

Emissão

A emissão do CID, incluindo a produção, personalização, remessa ao Protocolo do Estado do MNE e

destruição, cabe, em exclusivo, à Imprensa Nacional-Casa da Moeda, S.A. (INCM).

Artigo 8.º

Proteção de dados pessoais

1 - O tratamento de ficheiros com dados pessoais a realizar por força do presente decreto-lei tem por fim

estabelecer a integridade, veracidade e funcionamento seguro do CID.

2 - O titular do CID tem o direito de, a todo o tempo, verificar os dados pessoais nele constantes, inclusive

na zona de leitura ótica, e de solicitar a sua alteração.

3 - A comunicação ou a revelação dos dados pessoais tratados no sistema do CID só pode ser efetuada nos

termos previstos no presente decreto-lei.

4 - O MNE, o SEF e a INCM são as entidades responsáveis, nos termos e para os efeitos da Lei nº 67/98, de

26 de outubro, na redação atual, pelo tratamento e proteção de dados pessoais nas operações em que

intervenham para a emissão e concessão do CID.

5 - Os serviços a que se refere o número anterior devem colocar em prática as garantias de segurança

necessárias para impedir a consulta, a modificação, a destruição e a comunicação de dados pessoais não

consentidos no presente decreto-lei.

6 - Ficam obrigadas a sigilo profissional, nos termos do artigo 17.º da Lei n.º 67/98, de 26 de outubro, na sua

redação atual, as pessoas que tenham conhecimento, no exercício das suas funções, de dados pessoais

constantes de ficheiros dos sistemas do CID.

Artigo 9.º

Validade

1 - O CID é válido pelo prazo de cinco anos, sem prejuízo da caducidade por cessação de funções do seu

titular em território nacional, ou quando se deixe de verificar qualquer dos pressupostos dos quais depende a

sua concessão.

2 - No caso dos menores de idade inferior a quatro anos, a validade do CID é de dois anos.

Artigo 10.º

Custos e despesas

1 - O CID é concedido ao seu titular a título gratuito.

2 - O MNE suporta todos os custos e despesas com a emissão, personalização, produção, remessa e

destruição do CID.

Artigo 11.º

Devolução e destruição

1 - O CID deve ser devolvido pelas entidades onde o titular presta serviço ao Protocolo do Estado do MNE,

a fim de se proceder ao respetivo cancelamento e posterior envio à INCM para destruição.

Página 14

II SÉRIE-A — NÚMERO 89

14

2 - Em caso de extravio, furto ou roubo do CID, devem as entidades onde o titular presta serviço comunicar

esse facto ao Protocolo do Estado do MNE.

3 - A devolução do CID deverá acontecer nas seguintes situações:

a) Decurso do prazo de validade;

b) Alteração dos elementos de identificação;

c) Mau estado de conservação ou de funcionamento;

d) Cessação de funções em território nacional ou quando se deixe de verificar qualquer dos pressupostos

dos quais depende a sua concessão;

e) Em caso de extravio, pela entidade a quem o CID seja entregue.

4 - Aquando da destruição do CID pelo motivo mencionado na alínea d) do número anterior, devem ser ainda

destruídos os respetivos ficheiros, localizados no MNE, com dados pessoais que tenham sido necessários à sua

emissão e concessão.

Artigo 12.º

Norma transitória

1 - Os cartões de identificação atribuídos até à data da entrada em vigor do presente decreto-lei conservam

a sua validade até ao termo do prazo pelo qual foram atribuídos.

2 - A partir de 31 de dezembro de 2022, o CID passa a incluir, como elemento visível, o número de

identificação fiscal (NIF) e o número de utente de saúde.

3 - O disposto no número anterior não se aplica aos cartões que se encontrem válidos naquela data.

Artigo 13.º

Sanções

São aplicáveis, com as devidas adaptações, as disposições sancionatórias constantes da Lei n.º 33/99, de

18 de maio, na sua redação atual.

Artigo 14.º

Entrada em vigor

O presente decreto-lei entra em vigor 90 dias após a data da sua publicação.

ANEXO

(a que se refere o n.º 1 do artigo 5.º)

Modelo 1

CARTÃO DE IDENTIDADE DIPLOMÁTICO – Tarja Azul

Frente Verso

Página 15

26 DE MARÇO DE 2018

15

O modelo «tarja azul» é o documento de identificação emitido aos agentes diplomáticos das missões

diplomáticas acreditadas em Portugal, bem como aos respetivos familiares, ou a outros indivíduos cujo cartão

de identidade diplomático é atribuído nos termos definidos em acordo celebrado com o Estado português.

É emitido com a menção no campo da categoria de «Agente Diplomático».

O campo da categoria pode ainda conter, para melhor identificar o seu titular, outras menções dependendo

da situação, tais como:

— Chefes de missões diplomáticas: «EMBAIXADOR», «EMBAIXADORA», «REPRESENTANTE

PERMANENTE», «EMBAIXADOR (NÃO RESIDENTE)» ou «EMBAIXADORA (NÃO RESIDENTE)», em letras

maiúsculas e a negrito, e «Encarregado de Negócios en pied»;

— Indivíduos com vínculo familiar aos agentes diplomáticos: «Familiar dependente»;

— Indivíduos cujo cartão de identidade diplomático é atribuído nos termos definidos em acordo celebrado

com o Estado português: a categoria ou título que consta do respetivo acordo, como seja «ALTO

FUNCIONÁRIO» em letras maiúsculas e a negrito ou «Alto Funcionário» sem negrito.

Modelo 2

CARTÃO DE IDENTIDADE CONSULAR – Tarja Verde

Frente Verso

O modelo CID «tarja verde» é o documento de identificação emitido aos funcionários consulares de carreira,

bem como aos respetivos familiares.

É emitido com a menção no campo da categoria de «Funcionário Consular».

O campo da categoria pode ainda conter, para melhor identificar o seu titular, outras menções dependendo

da situação, tais como:

— Chefes de postos consulares: «CÔNSUL-GERAL» em letras maiúsculas e a negrito, «Cônsul», e «Chefe

de Posto Consular»;

— Indivíduos com vínculo familiar aos funcionários consulares: «Familiar dependente».

Página 16

II SÉRIE-A — NÚMERO 89

16

Modelo 3

CARTÃO DE IDENTIDADE DE ORGANIZAÇÃO INTERNACIONAL – Tarja Castanha

Frente Verso

O modelo CID «tarja castanha» é o documento de identificação emitido aos funcionários das organizações

internacionais, sediadas ou com representação em Portugal, aos quais o Estado português reconheceu estatuto

diplomático, bem como aos respetivos familiares dependentes.

É emitido com a menção no campo destinado à categoria de «Funcionário».

O campo da categoria pode ainda conter, para melhor identificar o seu titular, outras menções dependendo

da situação, tais como:

— Chefia da organização internacional em território nacional: é colocada a referência da designação do

cargo, conforme cada organização internacional, segundo a mesma regra aplicável aos chefes de missão

diplomática ou chefe de posto consular, em letras maiúsculas e a negrito;

— Indivíduos com vínculo familiar aos funcionários de organizações internacionais: «Familiar dependente».

Modelo 4

CARTÃO DE IDENTIDADE – Tarja Cinza

Frente Verso

O modelo CID «tarja cinza» é o documento de identificação emitido ao pessoal administrativo, técnico,

doméstico e de serviço ou equiparado das missões diplomáticas, postos consulares, organizações internacionais

e entidades equiparadas acreditadas em Portugal, bem como ao pessoal de serviço particular e aos respetivos

familiares dependentes.

O campo da categoria pode conter, para melhor identificar o seu titular, designadamente as menções

seguintes:

— «Pessoal Administrativo e Técnico», «Pessoal de Serviço» e «Pessoal de Serviço Particular»;

— Indivíduos com vínculo familiar ao pessoal referido: «Familiar dependente».

———

Página 17

26 DE MARÇO DE 2018

17

PROPOSTA DE LEI N.º 119/XIII (3.ª)

ESTABELECE O REGIME JURÍDICO DA SEGURANÇA DO CIBERESPAÇO, TRANSPONDO A

DIRETIVA (UE) 2016/1148

Exposição de motivos

A presente proposta de lei estabelece o regime jurídico da segurança do ciberespaço, transpondo a Diretiva

(UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas

a garantir um elevado nível comum de segurança das redes e dos sistemas de informação em toda a União.

As redes e os sistemas de informação desempenham um papel vital na sociedade, sendo a sua resiliência e

segurança essenciais para a prossecução de atividades económicas e societais.

Concomitantemente, constata-se que a abrangência, frequência e impacto dos incidentes de segurança

estão a aumentar, constituindo uma importante ameaça para o funcionamento das redes e dos sistemas de

informação. Aliás, estes representam um alvo para ações danosas destinadas a danificar ou a causar disrupção

na operação dos sistemas.

Este tipo de incidentes pode colocar em causa o regular funcionamento da sociedade, acarretar perigo para

a vida humana, perdas de natureza financeira, bem como comprometer a confidencialidade, a integridade e a

disponibilidade da informação das redes e dos sistemas de informação da Administração Pública, dos

operadores de infraestruturas críticas, dos operadores de serviços essenciais e dos prestadores de serviços

digitais. Atendendo à sua natureza, estes incidentes podem provocar um impacto, designado como “efeito

cascata” resultante das complexas relações de interdependência existentes.

Assim, a Diretiva a transpor determina a obrigação de os Estados-Membros adotarem uma estratégia

nacional de segurança das redes e dos sistemas de informação, pelo que a presente proposta de lei estabelece

a necessidade de aprovação de uma Estratégia Nacional de Segurança do Ciberespaço, instrumento que visa

definir as prioridades do País nesta matéria de acordo com o interesse nacional.

Nestes moldes, a presente proposta de lei estabelece a estrutura de segurança do ciberespaço, consagrando

o Conselho Superior de Segurança do Ciberespaço, o Centro Nacional de Cibersegurança como a Autoridade

Nacional de Cibersegurança, bem como o “CERT.PT” como a equipa de resposta a incidentes de segurança

informática nacional. Prevê ainda os operadores de serviços essenciais e os prestadores de serviços digitais.

Consagra-se, igualmente, a necessidade de adoção de requisitos de segurança, bem como de notificação

de incidentes para as entidades da Administração Pública, para os operadores de infraestruturas críticas, para

os operadores de serviços essenciais, bem como para os prestadores de serviços digitais. De referir que,

relativamente aos prestadores de serviços digitais, a presente proposta de lei segue a abordagem preconizada

pelo legislador europeu, de diferenciar os prestadores de serviços digitais dos operadores de serviços

essenciais, consagrada na Diretiva (UE) 2016/1148, de 6 de julho, e no Regulamento de Execução da Comissão

Europeia (UE) 2018/151, de 30 de janeiro.

No que respeita à segurança das redes e dos sistemas de informação, a presente proposta de lei encontra-

se estruturada de molde a acautelar que os requisitos de segurança e os requisitos de notificação de incidentes

sejam definidos nos termos prescritos em legislação complementar.

Não obstante, desde logo, são delimitados os respetivos termos e pressupostos, atendendo às categorias

das entidades alvo da presente proposta de lei. Acresce que se encontra ainda prevista a possibilidade de

quaisquer entidades poderem notificar, a título voluntário, os incidentes com impacto importante na continuidade

dos serviços por si prestados.

Por fim, são determinadas competências de fiscalização e sancionatórias no sentido de garantir um nível

elevado de garantia do cumprimento das obrigações decorrentes da referida Diretiva. Relativamente ao quadro

contraordenacional, dividem-se as infrações em graves e muito graves, cabendo ao Centro Nacional de

Cibersegurança exercer as competências de fiscalização e de aplicação das sanções previstas na presente

proposta de lei.

Assim:

Nos termos da alínea d) do n.º 1 do artigo 197.º da Constituição, o Governo apresenta à Assembleia da

República a seguinte proposta de lei:

Página 18

II SÉRIE-A — NÚMERO 89

18

CAPÍTULO I

Disposições gerais

Artigo 1.º

Objeto

A presente lei estabelece o regime jurídico da segurança do ciberespaço, transpondo a Diretiva (UE)

2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a

garantir um elevado nível comum de segurança das redes e dos sistemas de informação em toda a União.

Artigo 2.º

Âmbito

1 - A presente lei aplica-se:

a) À Administração Pública;

b) Aos operadores de infraestruturas críticas;

c) Aos operadores de serviços essenciais;

d) Aos prestadores de serviços digitais;

e) A quaisquer outras entidades que utilizem redes e sistemas de informação.

2 - Para efeitos do disposto na presente lei, integram a Administração Pública:

a) O Estado;

b) As regiões autónomas;

c) As autarquias locais;

d) As entidades administrativas independentes;

e) Os institutos públicos;

f) As empresas públicas;

g) As associações públicas.

3 - A presente lei aplica-se aos prestadores de serviços digitais que tenham o seu estabelecimento

principal em território nacional ou, não o tendo, designem um representante estabelecido em território nacional,

desde que aí prestem serviços digitais.

4 - Para efeitos do número anterior, considera-se que um prestador de serviços digitais tem o seu

estabelecimento principal em território nacional quando aí tiver a sua sede.

5 - Caso uma entidade se enquadre simultaneamente em mais do que uma das alíneas a) a c) do n.º 1,

aplica-se o regime que resultar mais exigente para a segurança das redes e dos sistemas de informação.

6 - A presente lei não se aplica:

a) Às redes e sistemas de informação diretamente relacionados com o comando e controlo do Estado-Maior-

General das Forças Armadas e dos ramos das Forças Armadas;

b) Às redes e sistemas de informação que processem informação classificada.

7 - O disposto na presente lei não prejudica o cumprimento da legislação aplicável em matéria:

a) De proteção de dados pessoais.

b) De identificação e designação de infraestruturas críticas nacionais e europeias, designadamente do

Decreto-Lei n.º 62/2011, de 9 de maio;

c) De luta contra o abuso sexual e a exploração sexual de crianças e a pornografia infantil, designadamente

da Lei n.º 103/2015, de 24 de agosto;

d) De proteção do utente de serviços públicos essenciais, designadamente da Lei n.º 23/96, de 26 de julho;

Página 19

26 DE MARÇO DE 2018

19

e) De segurança e de emergência no setor das comunicações eletrónicas, designadamente da Lei n.º

5/2004, de 10 de fevereiro.

8 - A presente lei não prejudica as medidas destinadas a salvaguardar as funções essenciais do Estado,

incluindo medidas de proteção da informação cuja divulgação seja contrária aos interesses de segurança

nacional, à manutenção de ordem pública ou a permitir a investigação, a deteção e a repressão de infrações

penais.

Artigo 3.º

Definições

Para efeitos da presente lei, entende-se por:

a) «Equipa de resposta a incidentes de segurança informática», equipa que atua por referência a uma

comunidade de utilizadores definida, em representação de uma entidade, prestando um conjunto de serviços de

segurança que inclua, designadamente, o serviço de tratamento e resposta a incidentes de segurança das redes

e dos sistemas de informação;

b) «Especificação técnica», um documento que define os requisitos técnicos que um produto, processo,

serviço ou sistema devem cumprir;

c) «Incidente», um evento com um efeito adverso real na segurança das redes e dos sistemas de informação;

d) «Infraestrutura crítica», a componente, sistema ou parte deste situado em território nacional que é

essencial para a manutenção de funções vitais para a sociedade, a saúde, a segurança e o bem-estar económico

ou social, e cuja perturbação ou destruição teria um impacto significativo, dada a impossibilidade de continuar a

assegurar essas funções;

e) «Norma», uma especificação técnica, aprovada por um organismo de normalização reconhecido, para

aplicação repetida ou continuada, cuja observância não é obrigatória;

f) «Operador de infraestrutura crítica», uma entidade pública ou privada que opera uma infraestrutura crítica;

g) «Operador de serviços essenciais», uma entidade pública ou privada que preste um serviço essencial;

h) «Ponto de troca de tráfego», uma estrutura de rede que permite a interligação de mais de dois sistemas

autónomos independentes a fim de facilitar a troca de tráfego na Internet;

i) «Prestador de serviços digitais», uma pessoa coletiva que presta um serviço digital;

j) «Prestador de serviços do sistema de nomes de domínio», uma entidade que presta serviços do sistema

de nomes de domínio (DNS) na Internet;

k) «Rede e sistema de informação», qualquer dispositivo ou conjunto de dispositivos interligados ou

associados, em que um ou mais de entre eles desenvolve, em execução de um programa, o tratamento

automatizado de dados informáticos, bem como a rede de comunicações eletrónicas que suporta a comunicação

entre eles e o conjunto de dados informáticos armazenados, tratados, recuperados ou transmitidos por aquele

ou aqueles dispositivos, tendo em vista o seu funcionamento, utilização, proteção e manutenção;

l) «Registo de nomes de domínio de topo», uma entidade que administra e opera o registo de nomes de

domínio da Internet de um domínio de topo específico;

m) «Representante do prestador de serviços digitais», uma pessoa singular ou coletiva, estabelecida na

União Europeia, expressamente designada para atuar por conta de um prestador de serviços digitais aí não

estabelecido;

n) «Risco», uma circunstância ou um evento, razoavelmente identificáveis, com um efeito adverso potencial

na segurança das redes e dos sistemas de informação;

o) «Segurança das redes e dos sistemas de informação», a capacidade das redes e dos sistemas de

informação para resistir, com um dado nível de confiança, a ações que comprometam a confidencialidade, a

integridade, a disponibilidade, a autenticidade e o não repúdio dos dados armazenados, transmitidos ou tratados,

ou dos serviços conexos oferecidos por essas redes ou por esses sistemas de informação, ou acessíveis através

deles;

p) «Serviço de computação em nuvem», um serviço digital que permite o acesso a um conjunto modulável

e adaptável de recursos computacionais partilháveis;

Página 20

II SÉRIE-A — NÚMERO 89

20

q) «Serviço de mercado em linha», um serviço digital que permite aos consumidores ou aos comerciantes

celebrarem contratos de venda ou de prestação de serviços por via eletrónica com comerciantes, quer no sítio

na Internet do mercado em linha, quer no sítio na Internet de um comerciante que utilize os serviços de

computação disponibilizados pelo mercado em linha;

r) «Serviço de motor de pesquisa em linha», um serviço digital que permite aos utilizadores consultarem

todos os sítios na Internet, ou sítios na Internetnuma determinada língua, com base numa pesquisa sobre

qualquer assunto e que fornece ligações onde podem ser encontradas informações relacionadas com o

conteúdo solicitado;

s) «Serviço digital», um serviço da sociedade da informação prestado à distância, por via eletrónica;

t) «Serviço essencial», um serviço essencial para a manutenção de atividades societais ou económicas

cruciais, que dependa de redes e sistemas de informação e em relação ao qual a ocorrência de um incidente

possa ter efeitos perturbadores relevantes na prestação desse serviço;

u) «Sistema de nomes de domínio» (DNS), um sistema de nomes distribuídos hierarquicamente numa rede

que encaminha pesquisas sobre nomes de domínio;

v) «Tratamento de incidentes», todos os procedimentos de apoio à deteção, análise, contenção e resposta

a um incidente.

Artigo 4.º

Estratégia Nacional de Segurança do Ciberespaço

1 - A Estratégia Nacional de Segurança do Ciberespaço define o enquadramento, os objetivos e as linhas

de ação do Estado nesta matéria, de acordo com o interesse nacional.

2 - A Estratégia Nacional de Segurança do Ciberespaço é aprovada por resolução do Conselho de

Ministros, sob proposta do Primeiro-Ministro, ouvido o Conselho Superior de Segurança do Ciberespaço.

CAPÍTULO II

Estrutura de segurança do ciberespaço

Artigo 5.º

Conselho Superior de Segurança do Ciberespaço

1 - O Conselho Superior de Segurança do Ciberespaço é o órgão específico de consulta do Primeiro-

Ministro para os assuntos relativos à segurança do ciberespaço.

2 - O Conselho Superior de Segurança do Ciberespaço tem a seguinte composição:

a) O membro do Governo responsável pela área da cibersegurança, que preside;

b) A Autoridade Nacional de Segurança, que substitui o presidente nas suas ausências e impedimentos;

c) O Secretário-Geral do Sistema de Segurança Interna;

d) O Secretário-Geral do Sistema de Informações da República Portuguesa;

e) O Diretor do Serviço de Informações de Segurança;

f) O Diretor do Serviço de Informações Estratégicas de Defesa;

g) O Coordenador do Centro Nacional de Cibersegurança;

h) O Embaixador para a ciberdiplomacia;

i) Um representante da área da administração interna;

j) O Presidente do Conselho Diretivo da Agência para a Modernização Administrativa, IP;

k) O Diretor-Geral da Autoridade Tributária e Aduaneira;

l) O Diretor do Centro de Gestão da Rede Informática do Governo;

m) O Presidente do Conselho Diretivo da Entidade de Serviços Partilhados da Administração Pública, IP;

n) O Diretor da Direção de Comunicações e Sistemas de Informação do Estado-Maior-General das Forças

Armadas;

o) Um representante da Rede Nacional de Segurança Interna;

p) O Presidente do Instituto de Gestão Financeira e Equipamentos da Justiça, IP;

Página 21

26 DE MARÇO DE 2018

21

q) O Diretor da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica da Polícia

Judiciária;

r) Um representante do Ministério Público, designado pelo Procurador-Geral da República;

s) O Presidente da Fundação para a Ciência e a Tecnologia, IP;

t) O Diretor-Geral da Direção-Geral da Educação;

u) O Presidente do Conselho de Administração da SPMS — Serviços Partilhados do Ministério da Saúde,

E. P. E.

v) O Presidente do Conselho de Administração Executivo da Infraestruturas de Portugal, SA.

w) O Presidente do Conselho Diretivo do IAPMEI — Agência para a Competitividade e Inovação, IP;

x) O Presidente do Conselho de Administração da Autoridade Nacional de Comunicações;

y) Um representante da Direção de Recursos Naturais, Segurança e Serviços Marítimos.

z) Um representante da Rede Nacional de Equipas de resposta a incidentes de segurança informática.

3 - O presidente, por sua iniciativa ou a pedido de qualquer dos membros do Conselho, pode convocar

outros titulares de órgãos públicos ou convidar outras personalidades de reconhecido mérito para participar em

reuniões do Conselho Superior de Segurança do Ciberespaço.

Artigo 6.º

Competências do Conselho Superior de Segurança do Ciberespaço

Compete ao Conselho Superior de Segurança do Ciberespaço:

a) Assegurar a coordenação político-estratégica para a segurança do ciberespaço;

b) Verificar a implementação da Estratégia Nacional de Segurança do Ciberespaço;

c) Propor a revisão da Estratégia Nacional de Segurança do Ciberespaço;

d) Pronunciar-se sobre a Estratégia Nacional de Segurança do Ciberespaço previamente à sua submissão

para aprovação;

e) Elaborar anualmente, ou sempre que necessário, relatório de avaliação da execução da Estratégia

Nacional de Segurança do Ciberespaço;

f) Propor ao Primeiro-Ministro, ou ao membro do Governo em quem este delegar, a aprovação de decisões

de carácter programático relacionadas com a definição e execução da Estratégia Nacional de Segurança do

Ciberespaço;

g) Emitir parecer sobre matérias relativas à segurança do ciberespaço;

h) Responder a solicitações por parte do Primeiro-Ministro, ou do membro do Governo em quem este

delegar, no âmbito das suas competências.

Artigo 7.º

Centro Nacional de Cibersegurança

1 - O Centro Nacional de Cibersegurança funciona no âmbito do Gabinete Nacional de Segurança e é a

Autoridade Nacional de Cibersegurança.

2 - O Centro Nacional de Cibersegurança tem por missão garantir que o País usa o ciberespaço de uma

forma livre, confiável e segura, através da promoção da melhoria contínua da cibersegurança nacional e da

cooperação internacional, em articulação com todas as autoridades competentes, bem como da definição e

implementação das medidas e instrumentos necessários à antecipação, deteção, reação e recuperação de

situações que, face à iminência ou ocorrência de incidentes, ponham em causa o interesse nacional, o

funcionamento da Administração Pública, dos operadores de infraestruturas críticas, dos operadores de serviços

essenciais e dos prestadores de serviços digitais.

3 - O Centro Nacional de Cibersegurança é o ponto de contacto único nacional para efeitos de cooperação

internacional, sem prejuízo das atribuições legais da Polícia Judiciária relativas a cooperação internacional em

matéria penal.

4 - O Centro Nacional de Cibersegurança exerce as funções de regulação, regulamentação, supervisão,

fiscalização e sancionatórias nos termos das suas competências.

Página 22

II SÉRIE-A — NÚMERO 89

22

5 - O Centro Nacional de Cibersegurança tem o poder de emitir instruções de cibersegurança e de definir

o nível nacional de alerta de cibersegurança.

6 - Qualquer disposição legal de cibersegurança carece do parecer prévio do Centro Nacional de

Cibersegurança.

7 - O Centro Nacional de Cibersegurança atua em articulação e estreita cooperação com as estruturas

nacionais responsáveis pela ciberespionagem, ciberdefesa, cibercrime e ciberterrorismo, devendo comunicar à

autoridade competente, no mais curto prazo, os factos de que tenha conhecimento relativos à preparação e

execução de crimes.

8 - O Centro Nacional de Cibersegurança pode solicitar a quaisquer entidades públicas ou privadas toda

a colaboração ou auxílio que julgue necessários para o exercício das suas atividades.

Artigo 8.º

Equipa de resposta a incidentes de segurança informática nacional

1 - A Equipa de resposta a incidentes de segurança informática nacional é o «CERT.PT».

2 - O «CERT.PT» funciona no Centro Nacional de Cibersegurança.

Artigo 9.º

Competências da Equipa de resposta a incidentes de segurança informática nacional

A Equipa de resposta a incidentes de segurança informática nacional possui as seguintes competências:

a) Exercer a coordenação operacional na resposta a incidentes, nomeadamente, em articulação com as

equipas de resposta a incidentes de segurança informática setoriais existentes;

b) Monitorizar o ciberespaço;

c) Ativar mecanismos de alerta rápido;

d) Intervir na reação, análise e mitigação de incidentes;

e) Proceder à análise dinâmica dos riscos;

f) Assegurar a cooperação com entidades públicas e privadas;

g) Promover a adoção e a utilização de práticas comuns ou normalizadas;

h) Participar nos fora nacionais de cooperação de equipas de resposta a incidentes de segurança

informática;

i) Assegurar a representação nacional nos fora internacionais de cooperação de equipas de resposta a

incidentes de segurança informática;

j) Participar em eventos de treino nacionais e internacionais.

Artigo 10.º

Operadores de serviços essenciais

Os operadores de serviços essenciais enquadram-se num dos tipos de entidades que atuam nos setores e

subsetores constantes do anexo à presente lei, da qual fazem parte integrante.

Artigo 11.º

Prestadores de serviços digitais

Os prestadores de serviços digitais prestam os seguintes serviços:

a) Serviço de mercado em linha;

b) Serviço de motor de pesquisa em linha;

c) Serviço de computação em nuvem.

Página 23

26 DE MARÇO DE 2018

23

CAPÍTULO III

Segurança das redes e dos sistemas de informação

Artigo 12.º

Definição de requisitos de segurança e normalização

1 - Os requisitos de segurança são definidos nos termos previstos em legislação própria, sem prejuízo do

disposto no artigo 18.º.

2 - Os requisitos de segurança não se aplicam:

a) Às empresas sujeitas aos requisitos previstos nos artigos 54.º-A a 54.º-G da lei das comunicações

eletrónicas, aprovada pela Lei n.º 5/2004, de 10 de fevereiro;

b) Aos prestadores de serviços de confiança previstos no artigo 19.º do Regulamento (UE) n.º 910/2014, de

23 de julho, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no

mercado interno.

3 - Os requisitos de segurança são definidos de forma a permitir a utilização de normas e especificações

técnicas internacionalmente aceites aplicáveis à segurança das redes e dos sistemas de informação, sem

imposição ou discriminação em favor da utilização de um determinado tipo de tecnologia.

Artigo 13.º

Definição de requisitos de notificação de incidentes

1 - Os requisitos de notificação de incidentes são definidos nos termos previstos em legislação própria,

sem prejuízo do disposto no artigo 19.º.

2 - Os requisitos de notificação de incidentes não se aplicam:

a) Às empresas sujeitas aos requisitos previstos nos artigos 54.º-A a 54.º-G da lei das comunicações

eletrónicas, aprovada pela Lei n.º 5/2004, de 10 de fevereiro;

b) Aos prestadores de serviços de confiança previstos no artigo 19.º do Regulamento (UE) n.º 910/2014, de

23 de julho, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no

mercado interno.

Artigo 14.º

Requisitos de segurança para a Administração Pública e operadores de infraestruturas críticas

1 - A Administração Pública e os operadores de infraestruturas críticas devem cumprir as medidas técnicas

e organizativas adequadas e proporcionais para gerir os riscos que se colocam à segurança das redes e dos

sistemas de informação que utilizam.

2 - As medidas previstas no número anterior devem garantir um nível de segurança adequado ao risco em

causa, tendo em conta os progressos técnicos mais recentes.

3 - A Administração Pública e os operadores de infraestruturas críticas tomam as medidas adequadas para

evitar os incidentes que afetem a segurança das redes e dos sistemas de informação utilizados e para reduzir

ao mínimo o seu impacto.

Artigo 15.º

Notificação de incidentes para a Administração Pública e operadores de infraestruturas críticas

1 - A Administração Pública e os operadores de infraestruturas críticas notificam o Centro Nacional de

Cibersegurança dos incidentes com um impacto relevante na segurança das redes e dos sistemas de

informação, no prazo definido na legislação própria referida no artigo 13.º.

2 - A notificação dos operadores de infraestruturas críticas inclui informação que permita ao Centro Nacional

de Cibersegurança determinar o impacto transfronteiriço dos incidentes.

3 - A notificação não acarreta responsabilidades acrescidas para a parte notificante.

Página 24

II SÉRIE-A — NÚMERO 89

24

4 - A fim de determinar a relevância do impacto de um incidente são tidos em conta, designadamente, os

seguintes parâmetros:

a) O número de utilizadores afetados;

b) A duração do incidente;

c) A distribuição geográfica, no que se refere à zona afetada pelo incidente.

5 - Sempre que as circunstâncias o permitam, o Centro Nacional de Cibersegurança presta ao notificante as

informações relevantes relativas ao seguimento da sua notificação, nomeadamente informações que possam

contribuir para o tratamento eficaz do incidente.

6 - O Centro Nacional de Cibersegurança, após consultar o notificante, pode divulgar incidentes específicos

de acordo com o interesse público, salvaguardando a segurança e os interesses dos operadores de

infraestruturas críticas.

Artigo 16.º

Requisitos de segurança para os operadores de serviços essenciais

1 - Os operadores de serviços essenciais devem cumprir as medidas técnicas e organizativas adequadas e

proporcionais para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que

utilizam.

2 - As medidas previstas no número anterior devem garantir um nível de segurança adequado ao risco em

causa, tendo em conta os progressos técnicos mais recentes.

3 - Os operadores de serviços essenciais tomam as medidas adequadas para evitar os incidentes que afetem

a segurança das redes e dos sistemas de informação utilizados para a prestação dos seus serviços essenciais

e para reduzir ao mínimo o seu impacto, a fim de assegurar a continuidade desses serviços.

Artigo 17.º

Notificação de incidentes para os operadores de serviços essenciais

1 - Os operadores de serviços essenciais notificam o Centro Nacional de Cibersegurança, dos incidentes

com um impacto relevante na continuidade dos serviços essenciais por si prestados, no prazo definido na

legislação própria referida no artigo 13.º.

2 - A notificação inclui informação que permita ao Centro Nacional de Cibersegurança determinar o impacto

transfronteiriço dos incidentes.

3 - A notificação não acarreta responsabilidades acrescidas para a parte notificante.

4 - A fim de determinar a relevância do impacto de um incidente são tidos em conta, designadamente, os

seguintes parâmetros:

a) O número de utilizadores afetados pela perturbação do serviço essencial;

b) A duração do incidente;

c) A distribuição geográfica, no que se refere à zona afetada pelo incidente.

5 - Com base na informação prestada na notificação, o Centro Nacional de Cibersegurança informa os outros

Estados-Membros afetados caso o incidente tenha um impacto importante na continuidade dos serviços

essenciais nesses Estados-Membros.

6 - No caso referido no número anterior, o Centro Nacional de Cibersegurança salvaguarda a segurança e

os interesses do operador de serviços essenciais, bem como a confidencialidade da informação prestada na sua

notificação.

7 - Sempre que as circunstâncias o permitam, o Centro Nacional de Cibersegurança presta ao operador de

serviços essenciais notificante as informações relevantes relativas ao seguimento da sua notificação,

nomeadamente informações que possam contribuir para o tratamento eficaz do incidente.

8 - O Centro Nacional de Cibersegurança transmite as notificações referidas no n.º 1 aos pontos de contacto

únicos dos outros Estados-Membros afetados.

Página 25

26 DE MARÇO DE 2018

25

9 - O Centro Nacional de Cibersegurança, após consultar o notificante, pode divulgar informação relativa a

incidentes específicos de acordo com o interesse público.

10 - Se um operador de serviços essenciais depender de um terceiro prestador de serviços digitais para a

prestação de um serviço essencial, notifica todos os impactos importantes na continuidade dos seus serviços,

decorrentes dos incidentes que afetem o prestador de serviços digitais.

Artigo 18.º

Requisitos de segurança para os prestadores de serviços digitais

1 - Os prestadores de serviços digitais identificam e tomam as medidas técnicas e organizativas adequadas

e proporcionais para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que

utilizam no contexto da oferta dos serviços digitais.

2 - As medidas referidas no número anterior, devem garantir um nível de segurança das redes e dos sistemas

de informação adequado ao risco em causa, tendo em conta os progressos técnicos mais recentes, e devem ter

em conta os seguintes fatores:

a) A segurança dos sistemas e das instalações;

b) O tratamento dos incidentes;

c) A gestão da continuidade das atividades;

d) O acompanhamento, a auditoria e os testes realizados;

e) A conformidade com as normas internacionais.

3 - Os prestadores de serviços digitais tomam medidas para evitar os incidentes que afetem a segurança das

suas redes e sistemas de informação e para reduzir ao mínimo o seu impacto nos serviços digitais, a fim de

assegurar a continuidade desses serviços.

4 - O presente artigo não se aplica às microempresas nem às pequenas empresas, tal como definidas pelo

Decreto-Lei n.º 372/2007, de 6 de junho, na sua redação atual.

5 - Os elementos constantes dos n.ºs 1 a 3 são objeto de Regulamento de Execução da Comissão Europeia.

Artigo 19.º

Notificação de incidentes para os prestadores de serviços digitais

1 - Os prestadores de serviços digitais notificam o Centro Nacional de Cibersegurança dos incidentes com

impacto substancial na prestação dos serviços digitais, no prazo definido na legislação própria referida no artigo

13.º.

2 - A notificação referida no número anterior inclui informação que permita ao Centro Nacional de

Cibersegurança determinar a importância dos impactos transfronteiriços.

3 - A notificação não acarreta responsabilidades acrescidas para a parte notificante.

4 - A fim de determinar se o impacto de um incidente é substancial, são tidos em conta os seguintes

parâmetros:

a) O número de utilizadores afetados pelo incidente, nomeadamente de utilizadores que dependem do

serviço para prestarem os seus próprios serviços;

b) A duração do incidente;

c) A distribuição geográfica, no que se refere à zona afetada pelo incidente;

d) O nível de gravidade da perturbação do funcionamento do serviço;

e) A extensão do impacto nas atividades económicas e societais.

5 - A obrigação de notificar um incidente só se aplica se o prestador de serviços digitais tiver acesso a

informação necessária para avaliar o impacto de um incidente em função dos fatores a que se refere o n.º 2 do

artigo anterior.

6 - Se os incidentes referidos no n.º 1 disserem respeito a dois ou mais Estados-Membros, o Centro Nacional

de Cibersegurança informa os outros Estados-Membros afetados.

Página 26

II SÉRIE-A — NÚMERO 89

26

7 - No caso referido no número anterior, o Centro Nacional de Cibersegurança salvaguarda a segurança e

os interesses do prestador de serviços digitais.

8 - O Centro Nacional de Cibersegurança, após consultar o notificante, pode divulgar incidentes específicos

de acordo com o interesse público.

9 - O presente artigo não se aplica às microempresas nem às pequenas empresas, tal como definidas pelo

Decreto-Lei n.º 372/2007, de 6 de junho, na sua redação atual.

10 - Os elementos constantes dos n.ºs 1 a 5 são objeto de Regulamento de Execução da Comissão Europeia.

Artigo 20.º

Notificação voluntária de incidentes

1 - Sem prejuízo da obrigação de notificação de incidentes prevista na presente lei, quaisquer entidades

podem notificar, a título voluntário, os incidentes com impacto importante na continuidade dos serviços por si

prestados.

2 - No tratamento das notificações voluntárias, aplica-se o disposto no artigo 17.º, com as necessárias

adaptações.

3 - A notificação voluntária não pode dar origem à imposição à entidade notificante de obrigações às quais

esta não teria sido sujeita se não tivesse procedido a essa notificação.

CAPÍTULO IV

Fiscalização e sanções

Artigo 21.º

Competências de fiscalização e sancionatórias

As competências de fiscalização e de aplicação das sanções previstas na presente lei cabem ao Centro

Nacional de Cibersegurança.

Artigo 22.º

Contraordenações

As infrações ao disposto na presente lei constituem contraordenações, nos termos dos artigos seguintes.

Artigo 23.º

Infrações muito graves

1 - Constituem infrações muito graves:

a) O incumprimento da obrigação de implementar requisitos de segurança tal como previsto nos artigos 14.º,

16.º e 18.º;

b) O incumprimento de instruções de cibersegurança emitidas pelo Centro Nacional de Cibersegurança tal

como previsto no n.º 5 do artigo 7.º.

2 - As contraordenações referidas no número anterior são punidas com coima de € 1250 a € 2500,

tratando-se de uma pessoa singular, e de € 2500 a € 5000, no caso de se tratar de uma pessoa coletiva.

Artigo 24.º

Infração grave

1 - Constituem infrações graves:

a) O incumprimento da obrigação de notificar o Centro Nacional de Cibersegurança dos incidentes tal como

previsto nos artigos 15.º, 17.º e 19.º;

Página 27

26 DE MARÇO DE 2018

27

b) O incumprimento da obrigação de notificar o Centro Nacional de Cibersegurança do exercício de atividade

no setor das infraestruturas digitais tal como previsto no n.º 3 do artigo 29.º;

c) O incumprimento da obrigação de notificar o Centro Nacional de Cibersegurança da identificação como

prestador de serviços digitais tal como previsto no artigo 30.º.

2 - As contraordenações referidas no número anterior são punidas com coima de (euro) 250 a (euro) 500,

tratando-se de uma pessoa singular, e de (euro) 500 a (euro) 1000, no caso de se tratar de uma pessoa coletiva.

Artigo 25.º

Negligência

A negligência é punível, sendo os limites mínimos e máximos das coimas reduzidos a metade.

Artigo 26.º

Instrução dos processos de contraordenação e aplicação de sanções

Compete ao Centro Nacional de Cibersegurança instruir os processos de contraordenação e ao respetivo

dirigente máximo a aplicação das coimas.

Artigo 27.º

Produto das coimas

O produto das coimas reverte em:

a) 60 % para o Estado;

b) 40 % para o Centro Nacional de Cibersegurança.

Artigo 28.º

Regime subsidiário

Em matéria contraordenacional, em tudo o que não estiver previsto na presente lei, aplica-se o disposto no

regime geral das contraordenações.

CAPÍTULO V

Disposições finais

Artigo 29.º

Identificação de operadores de serviços essenciais

1 - Para efeito do cumprimento da presente lei, o Centro Nacional de Cibersegurança identifica os

operadores de serviços essenciais até 9 de novembro de 2018.

2 - A identificação referida no número anterior é objeto de atualização anual.

3 - As entidades do setor das infraestruturas digitais devem comunicar de imediato ao Centro Nacional de

Cibersegurança o exercício da respetiva atividade.

Artigo 30.º

Identificação de prestadores de serviços digitais

1 - Os prestadores de serviços digitais devem comunicar de imediato ao Centro Nacional de Cibersegurança

o exercício da respetiva atividade.

2 - O dever de notificação referido no número anterior não é aplicável às micro nem às pequenas empresas,

tal como definidas pelo Decreto-Lei n.º 372/2007, de 6 de junho, na sua redação atual.

Página 28

II SÉRIE-A — NÚMERO 89

28

Artigo 31.º

Legislação complementar

1 - Os requisitos de segurança previstos no n.º 1 do artigo 14.º e no n.º 1 do artigo 16.º são definidos em

legislação própria no prazo de 150 dias após a entrada em vigor da presente lei.

2 - Os requisitos de notificação de incidentes previstos no n.º 1 do artigo 15.º, no n.º 1 do artigo 17.º e no

n.º 1 do artigo 19.º são definidos em legislação própria no prazo de 150 dias após a entrada em vigor da presente

lei.

Artigo 32.º

Norma revogatória

É revogada a Resolução do Conselho de Ministros n.º 115/2017, de 24 de agosto.

Artigo 33.º

Entrada em vigor e produção de efeitos

1 - A presente lei entra em vigor no dia seguinte ao da sua publicação.

2 - Sem prejuízo do disposto no número anterior, o regime decorrente dos artigos 14.º a 27.º produz efeitos

seis meses após a entrada em vigor da presente lei.

Visto e aprovado em Conselho de Ministros de 15 de março de 2018.

O Primeiro-Ministro, António Luís Santos da Costa — A Ministra da Presidência e da Modernização

Administrativa, Maria Manuel de Lemos Leitão Marques — O Secretário de Estado dos Assuntos Parlamentares,

Pedro Nuno de Oliveira Santos.

ANEXO

(a que se refere o artigo 10.º)

Setores, subsetores e tipos de entidades relativos aos operadores de serviços essenciais

Setor Subsetor Tipo de entidades

Energia

Eletricidade

Empresa de eletricidade que exerce a atividade de

comercialização.

Operadores da rede de distribuição.

Operadores da rede de transporte.

Petróleo

Operadores de oleodutos de petróleo.

Operadores de instalações de produção, refinamento e

tratamento, armazenamento e transporte de petróleo.

Gás

Empresas de comercialização.

Operadores da rede de distribuição.

Operadores da rede de transporte.

Operadores do sistema de armazenamento.

Operadores da rede de gás natural em estado líquido

(GNL).

Página 29

26 DE MARÇO DE 2018

29

Setor Subsetor Tipo de entidades

Empresas de gás natural.

Operadores de instalações de refinamento e tratamento

de gás natural.

Transportes

Transporte aéreo

Transportadoras aéreas.

Entidades gestoras aeroportuárias, aeroportos e as

entidades que exploram instalações anexas existentes

dentro dos aeroportos.

Operadores de controlo da gestão do tráfego aéreo que

prestam serviços de controlo de tráfego aéreo.

Transporte

ferroviário

Gestores de infraestruturas.

Empresas ferroviárias incluindo os operadores de

instalações de serviço.

Transporte

marítimo e por

vias navegáveis

interiores

Companhias de transporte por vias navegáveis

interiores, marítimo e costeiro de passageiros e de

mercadorias não incluindo os navios explorados por

essas companhias.

Entidades gestoras dos portos incluindo as respetivas

instalações portuárias e as entidades que gerem as

obras e os equipamentos existentes dentro dos portos.

Operadores de serviços de tráfego marítimo.

Transporte

rodoviário

Autoridades rodoviárias.

Operadores de sistemas de transporte inteligentes.

Bancário Instituições de crédito.

Infraestruturas

do mercado

financeiro

Operadores de plataformas de negociação.

Contrapartes centrais.

Saúde

Instalações de

prestação de

cuidados de

saúde

Prestadores de cuidados de saúde.

Fornecimento e

distribuição de

água potável

Fornecedores e distribuidores de água destinada ao

consumo humano mas excluindo os distribuidores para

os quais a distribuição de água para consumo humano

é apenas uma parte da sua atividade geral de

distribuição de outros produtos de base e mercadorias

não considerados serviços essenciais.

Infraestruturas

digitais

Pontos de troca de tráfego.

Prestadores de serviços de Sistema de Nomes de

Domínio (DNS).

Registos de nomes de domínio de topo.

———

Página 30

II SÉRIE-A — NÚMERO 89

30

PROPOSTA DE LEI N.º 120/XIII (3.ª)

ASSEGURA A EXECUÇÃO, NA ORDEM JURÍDICA NACIONAL, DO REGULAMENTO (UE) 2016/679,

RELATIVO À PROTEÇÃO DAS PESSOAS SINGULARES NO QUE DIZ RESPEITO AO TRATAMENTO DE

DADOS PESSOAIS E À LIVRE CIRCULAÇÃO DESSES DADOS

Exposição de motivos

Em janeiro de 2012, a Comissão Europeia apresentou uma proposta de regulamento sobre a proteção de

dados pessoais. Após um longo processo negocial, que se desenrolou com especial intensidade durante os

anos de 2014 e 2015, aquela iniciativa legislativa veio a culminar na aprovação do Regulamento (UE) 2016/679,

do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no

que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

Este instrumento normativo, conhecido como Regulamento Geral de Proteção de Dados e doravante

designado abreviadamente por RGPD, foi especialmente pensado para a proteção dos cidadãos face ao

tratamento de dados pessoais em larga escala, por grandes empresas e serviços da sociedade de informação.

O paradigma que esteve subjacente ao legislador europeu foi o das grandes multinacionais que gerem redes

sociais ou aplicações informáticas à escala global, envolvendo a recolha e utilização intensivas de dados

pessoais.

Por esse motivo, algumas das soluções jurídicas que foram plasmadas para esse universo revelam-se por

vezes desproporcionadas ou mesmo desadequadas para a generalidade do tecido empresarial nacional e para

a Administração Pública, aos quais o RGPD, todavia, também se aplica.

Assim, do trabalho de avaliação de impacto já realizado, conclui-se que a aplicação deste regulamento

resultará em encargos administrativos elevados, que em muitos casos não se encontram suficientemente

justificados pelos benefícios obtidos com o novo regime de proteção de dados pessoais relativamente ao regime

atual.

São justamente estes encargos que, sempre que possível, a presente proposta de lei visa mitigar – dentro

da estreita margem conferida pelo RGPD e com respeito pelos direitos, liberdades e garantias previstos na

Constituição –, garantindo um adequado equilíbrio entre a devida proteção dos titulares de dados pessoais, a

liberdade de iniciativa económica e a tarefa estadual de promoção do bem-estar social.

O RGPD revogou a Diretiva n.º 95/46/CE e é aplicável em todos os Estados-Membros da União Europeia a

partir de 25 de maio de 2018. No entanto, esta revogação não significa que tenha sido estabelecida uma rotura

absoluta entre o sistema de proteção de dados contido nessa diretiva e o sistema adotado pelo RGPD. De facto,

são muitas as situações de continuidade, e há definições fulcrais que não foram afetadas, como por exemplo as

de dados pessoais, tratamento ou responsável pelo tratamento.

No que tange à aplicação material do RGPD, a legislação europeia sobre a proteção de dados pessoais

continua sem se aplicar a tratamentos efetuados por pessoas singulares para finalidades pessoais e domésticas.

O RGPD estabelece, contudo, regras mais exigentes quanto ao tratamento de categorias especiais de dados

pessoais – por exemplo, origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação

sindical, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual – mantendo como fontes

de legitimidade a lei e o consentimento.

Permanecem, expressamente referidos, os princípios da legitimidade, da lealdade, da transparência, da

finalidade e da exatidão. No plano dos direitos dos titulares dos dados, continuam vigentes os direitos de

informação, de acesso, de retificação, de oposição, estabelecendo-se o princípio geral da interdição das

decisões individuais automatizadas.

Sobre as transferências para países terceiros ou organizações internacionais, continua a valer o critério de

assegurar o nível de proteção adequado, apesar de se terem introduzido alterações sensíveis na matéria.

Relativamente às autoridades de proteção de dados, o RGPD, apesar de ter procedido a alterações

importantes nas competências relativas ao controlo prévio, mantém e inclusivamente reforça a independência

destas autoridades.

São muito amplas as atribuições das entidades de controlo, passando pelo controlo da execução e aplicação

do RGPD até à aprovação de cláusulas contratuais tipo ou à aprovação de códigos de conduta. Os seus poderes

Página 31

26 DE MARÇO DE 2018

31

estão divididos entre poderes de investigação, poderes de correção e poderes consultivos, mantendo-se, no

essencial, o regime constante da diretiva.

Também seguindo o anteriormente previsto na diretiva, o RGPD estabelece normas sobre direito

sancionatório, agravando significativamente a moldura máxima das coimas.

Importa destacar, em todo o caso, as principais novidades que o regulamento europeu veio introduzir. Neste

âmbito, deve mencionar-se a aplicação extraterritorial do RGPD quando esteja em causa a oferta de bens ou

serviços sem necessidade de proceder a um pagamento ou ao controlo do comportamento dos titulares dos

dados nas redes sociais, desde que tenha lugar no espaço da União Europeia.

No domínio das definições, deve realçar-se a definição de perfis, de pseudonimização, de violação de dados

pessoais e, ainda, os conceitos de estabelecimento principal, representante e empresa.

A definição de consentimento passou a exigir um ato positivo inequívoco, afastando a possibilidade de

consentimentos tácitos.

O papel do subcontratante muda substancialmente no RGPD, na medida em que adquire responsabilidade

própria perante os titulares dos dados.

O RGPD admite que os Estados-Membros definam a idade com que as crianças podem ter acesso, sem

carecer de consentimento dos seus representantes legais, à oferta direta de serviços da sociedade da

informação, a qual pode variar entre 13 e 16 anos.

No capítulo dos novos direitos, o direito ao apagamento de dados (‘direito a ser esquecido’) e o direito à

portabilidade adquirem especial relevo.

A relação entre a tecnologia e o Direito manifesta-se, de modo especial, na proteção de dados desde a

conceção e por omissão, nas regras de segurança dos tratamentos, na notificação de violações de dados

pessoais às autoridades de controlo, na comunicação de violação de dados pessoais a titulares dos dados e na

avaliação de impacto sobre proteção de dados.

De significativo relevo no RGPD encontra-se a figura do encarregado de proteção de dados, obrigatório na

Administração Pública e nas entidades privadas que tratem informação sensível ou em grande escala.

O encarregado de proteção de dados disporá de um estatuto de independência dentro da organização e

deve ser designado de acordo com os seus conhecimentos de proteção de dados, contribuindo para substituir

o papel de controlo prévio das autoridades de controlo, que é eliminado e substituído por registos das atividades

de tratamento no âmbito de cada responsável pelo tratamento. Para além disso, através da figura da consulta

prévia, o responsável pelo tratamento deve dirigir-se à autoridade de controlo antes de proceder a um tratamento

de dados pessoais quando se tenha verificado, após uma avaliação de impacto, que se está perante um elevado

risco.

O RGPD determina a criação de procedimentos de certificação em matéria de proteção de dados, bem como

a criação de selos e marcas.

Outro dos aspetos relevantes do RGPD consiste no sistema do one stop shop ou de balcão único, de acordo

com o qual a autoridade de controlo do estabelecimento principal ou do estabelecimento único do responsável

pelo tratamento ou do subcontratante é competente para agir como autoridade de controlo principal para o

tratamento transfronteiriço.

Há ainda a destacar a criação do Comité Europeu para a Proteção de Dados, dotado de personalidade

jurídica e criado para a aplicação coerente do RGPD.

Apesar de se tratar de um regulamento da União Europeia, o RGPD apresenta um conjunto significativo de

normas que requerem ou permitem a intervenção do legislador nacional. Através da presente proposta de lei,

assegura-se a execução do RGPD na ordem jurídica interna, e adotam-se as soluções mais adequadas para a

proteção dos direitos dos titulares de dados pessoais no contexto da competitividade das empresas portuguesas

no quadro da União Europeia.

Relativamente à autoridade de controlo nacional, adaptam-se as competências da Comissão Nacional de

Proteção de Dados (CNPD) às atribuições e poderes previstos no RGPD, mantendo-se a respetiva composição

e regras de funcionamento.

Quanto à nova figura do encarregado de proteção de dados, esclarecem-se as condições exigidas para o

exercício de tal cargo e densificam-se as respetivas funções, instituindo-se um regime jurídico específico para a

Administração Pública.

No tocante à acreditação e certificação previstas no RGPD, atribui-se ao Instituto Português de Acreditação,

Página 32

II SÉRIE-A — NÚMERO 89

32

I. P., a competência para proceder à acreditação dos organismos de certificação, a quem cabe certificar

procedimentos e emitir selos e marcas de proteção de dados, destinados a atestar o cumprimento do RGPD.

Relativamente ao consentimento de menores para aceder a serviços da sociedade de informação, considera-

se adequada a idade de treze anos, em harmonia com a opção feita noutros Estados-Membros da União

Europeia quanto a redes e plataformas que, em regra, têm um caráter transnacional. Determina-se ainda, quanto

a menores de idade inferior a treze anos, que o consentimento deve ser prestado pelos respetivos

representantes legais, abrangendo quer os titulares das responsabilidades parentais, quer o tutor.

No que se refere a dados de pessoas falecidas, e tal como previsto no RGPD, introduz-se uma norma que

prevê a proteção dos dados pessoais sensíveis mencionados no artigo 9.º deste regulamento.

Quanto ao direito de portabilidade dos dados previsto no artigo 20.º do RGPD, esclarece-se que são

abrangidos apenas os dados fornecidos pelos respetivos titulares e que, nos casos em que a interoperabilidade

dos dados não seja tecnicamente possível, o titular dos dados tem o direito de exigir que os mesmos lhe sejam

entregues num formato digital aberto.

Tendo em conta que a CNPD deixa de exercer funções de controlo prévio, considera-se que, no tocante à

videovigilância, devem ficar plasmados na lei os princípios fundamentais do exercício desta atividade, tendo em

conta a natureza e a sensibilidade dos dados recolhidos.

Em situações específicas de tratamentos de dados pessoais, relativamente às quais o RGPD admitiu que o

legislador nacional pudesse estabelecer normas de ponderação quando estejam em causa valores como a

liberdade de expressão e de informação, a investigação para fins de arquivo de interesse público, para fins

estatísticos ou de investigação científica ou histórica, bem como tratamentos de dados em ambiente laboral,

considera-se adequado consagrar normas específicas.

Relativamente ao quadro contraordenacional, dividem-se as contraordenações em graves e muito graves,

de acordo com o estabelecido no artigo 83.º do RGPD, fixando-se limites mínimos e máximos para as coimas

correspondentes às mesmas, e aplicando-se subsidiariamente o regime geral das contraordenações. Quanto

aos crimes, mantêm-se, no essencial, os tipos e molduras penais previstos na Lei n.º 67/98, de 26 de outubro.

Em termos de disposições transitórias, sublinhe-se que os pedidos de registo e de autorização pendentes na

CNPD caducam a 25 de maio de 2018, data em que o RGPD se torna eficaz.

Mais se realça que os responsáveis pelos tratamentos de dados realizados com base em autorizações

emitidas nos termos da Lei n.º 67/98, de 26 de outubro, bem como os subcontratantes, estão vinculados a

cumprir as obrigações impostas pelo RGPD, com exceção da avaliação de impacto sobre a proteção de dados

a que se refere o seu artigo 35.º.

Em particular, destaque-se que, nos casos em que o tratamento dos dados pessoais em curso à data da

entrada em vigor da presente lei se tiver baseado no consentimento do respetivo titular, será necessário obter

novo consentimento se o anterior não tiver sido prestado em conformidade com o RGPD.

Foi realizada consulta pública, através de um conjunto de perguntas representativas de algumas das

principais opções legislativas a tomar, tendo sido concluído das respostas obtidas que os participantes nessa

consulta propugnam uma intervenção minimalista, para além do que se encontra previsto no RGPD.

Por último, refira-se que é revogada a Lei n.º 67/98, de 26 de outubro, pelo que o regime jurídico fundamental

aplicável em matéria de proteção de dados pessoais passa a ser, a partir de 25 de maio de 2018, o RGPD e a

presente lei.

Assim:

Nos termos da alínea d) do n.º 1 do artigo 197.º da Constituição, o Governo apresenta à Assembleia da

República a seguinte proposta de lei, com pedido de prioridade e urgência:

CAPÍTULO I

Disposições gerais

Artigo 1.º

Objeto

A presente lei assegura a execução, na ordem jurídica interna, do Regulamento (UE) 2016/679, do

Página 33

26 DE MARÇO DE 2018

33

Parlamento Europeu e do Conselho de 27 de abril de 2016, relativo à proteção das pessoas singulares no que

diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, doravante designado

abreviadamente por RGPD.

Artigo 2.º

Âmbito de aplicação

1 - A presente lei aplica-se aos tratamentos de dados pessoais realizados no território nacional,

independentemente da natureza pública ou privada do responsável pelo tratamento ou do subcontratante,

mesmo que o tratamento de dados pessoais seja efetuado em cumprimento de obrigações legais ou no âmbito

da prossecução de missões de interesse público, aplicando-se todas as exclusões previstas no artigo 2.º do

RGPD.

2 - A presente lei aplica-se ainda aos tratamentos de dados pessoais realizados fora do território nacional

quando:

a) Sejam efetuados no âmbito da atividade de um estabelecimento situado no território nacional; ou

b) Afetem titulares de dados que residam no território nacional, quando as atividades de tratamento se

encontrem subordinadas ao disposto no n.º 2 do artigo 3.º do RGPD; ou

c) Afetem titulares de dados que, sendo portugueses, residam no estrangeiro e cujos dados estejam inscritos

nos postos consulares.

3 - A presente lei não se aplica aos ficheiros de dados pessoais constituídos e mantidos sob a

responsabilidade do Sistema de Informações da República Portuguesa, que se rege por disposições específicas,

nos termos da lei.

CAPÍTULO II

Comissão Nacional de Proteção de Dados

Artigo 3.º

Autoridade de controlo nacional

AComissão Nacional de Proteção de Dados (CNPD) é a autoridade de controlo nacional para efeitos do

RGPD e da presente lei.

Artigo 4.º

Natureza e independência

1 - A CNPD é uma entidade administrativa independente, com personalidade jurídica de direito público e

poderes de autoridade, dotada de autonomia administrativa e financeira, que funciona junto da Assembleia da

República.

2 - A CNPD controla e fiscaliza o cumprimento do RGPD e da presente lei, bem como das demais disposições

legais e regulamentares em matéria de proteção de dados pessoais,a fim de defender os direitos, liberdades e

garantias das pessoas singulares no âmbito dos tratamentos de dados pessoais.

3 - A CNPD age com independência na prossecução das suas atribuições e no exercício dos poderes que

lhe são atribuídos pela presente lei.

4 - Os membros da CNPD não estão sujeitos a influências externas, diretas ou indiretas, no desempenho das

suas funções e no exercício dos seus poderes, e não solicitam nem recebem instruções de terceiros.

5 - Os membros da CNPD abstêm-se de qualquer ato incompatível com as suas funções e ficam sujeitos ao

regime de incompatibilidades estabelecido para os titulares de altos cargos públicos, não podendo, durante o

seu mandato, desempenhar outra atividade, remunerada ou não, com exceção da atividade de docência no

ensino superior e de investigação.

Página 34

II SÉRIE-A — NÚMERO 89

34

Artigo 5.º

Composição e funcionamento

A composição, o modo de designação e o estatuto remuneratório dos membros da CNPD, bem como a

respetiva orgânica e quadro de pessoal, são aprovados por lei da Assembleia da República.

Artigo 6.º

Atribuições e competências

1 - Para além do disposto no artigo 57.º do RGPD, a CNPD prossegue as seguintes atribuições:

a) Pronunciar-se, a título não vinculativo, sobre as medidas legislativas e regulamentares relativas à proteção

de dados pessoais, bem como sobre instrumentos jurídicos em preparação, em instituições europeias ou

internacionais, relativos à mesma matéria;

b) Fiscalizar o cumprimento das disposições do RGPD e das demais disposições legais e regulamentares

relativas à proteção de dados pessoais e dos direitos, liberdades e garantias dos titulares dos dados, e corrigir

e sancionar o seu incumprimento;

c) Disponibilizar uma lista de tratamentos sujeitos à avaliação do impacto sobre a proteção de dados, nos

termos do n.º 4 do artigo 35.º do RGPD, definindo igualmente critérios que permitam densificar a noção de

elevado risco prevista nesse artigo;

d) Elaborar e apresentar ao Comité Europeu para a Proteção de Dados, previsto no RGPD, os projetos de

critérios para a acreditação dos organismos de monitorização de códigos de conduta e dos organismos de

certificação, nos termos dos artigos 41.º e 43.º do RGPD, e assegurar a posterior publicação dos critérios, caso

sejam aprovados;

e) Acreditar organismos para monitorizar códigos de conduta, nos termos do RGPD, bem como revogar a

acreditação sempre que os requisitos deixem de ser cumpridos ou as medidas adotadas violem as normas de

proteção de dados;

f) Cooperar com o Instituto Português de Acreditação, I.P. (IPAC, I.P.), relativamente à aplicação do disposto

no artigo 14.º da presente lei, bem como na definição de requisitos adicionais de acreditação, tendo em vista a

salvaguarda da coerência de aplicação do RGPD;

g) Promover ações de formação adequadas e regulares destinadas aos encarregados de proteção de dados.

2 - A CNPD exerce as competências previstas no artigo 58.º do RGPD.

Artigo 7.º

Avaliações prévias de impacto

1 - Nos termos do n.º 5 do artigo 35.º do RGPD, a CNPD difunde uma lista de tipos de tratamentos de dados

cuja avaliação prévia de impacto não é obrigatória.

2 - O disposto no número anterior não impede os responsáveis pelo tratamento de efetuar uma avaliação

prévia de impacto por iniciativa própria.

3 - As listas referidas nos n.ºs 4 e 5 do artigo 35.º do RGPD são publicitadas no sítio da CNPD na Internet.

Artigo 8.º

Dever de colaboração

1 - As entidades públicas e privadas devem prestar a sua colaboração à CNPD, facultando-lhe todas as

informações que por esta, no exercício das suas atribuições e competências, lhes sejam solicitadas.

2 - O dever de colaboração é assegurado, designadamente, quando a CNPD tiver necessidade, para o cabal

exercício das suas funções, de examinar o sistema informático e os ficheiros de dados pessoais, bem como toda

a documentação relativa ao tratamento e transmissão de dados pessoais.

3 - Os membros da CNPD, bem como técnicos por esta mandatados, estão obrigados ao dever de sigilo,

nomeadamente quanto ao segredo comercial a que tenham acesso no exercício das suas funções.

Página 35

26 DE MARÇO DE 2018

35

4 - O dever de colaboração previsto nos números anteriores, bem como os poderes de fiscalização da CNPD,

não prejudicam o dever de segredo a que o responsável pelo tratamento esteja obrigado nos termos da lei ou

de normas internacionais.

CAPÍTULO III

Encarregado de proteção de dados

Artigo 9.º

Disposição geral

O encarregado de proteção de dados é designado com base nas suas qualidades profissionais e, em

especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados,

bem como na sua capacidade para desempenhar as funções referidas no artigo 11.º da presente lei, não

carecendo de certificação profissional para o efeito.

Artigo 10.º

Dever de sigilo

De acordo com o disposto no n.º 5 do artigo 38.º do RGPD, o encarregado de proteção de dados está

obrigado ao dever de sigilo durante o exercício de funções, mantendo-se tal dever após o termo das mesmas.

Artigo 11.º

Funções do encarregado de proteção de dados

Para além do disposto nos artigos 37.º a 39.º do RGPD, são funções do encarregado de proteção de dados:

a) Assegurar a realização de auditorias, quer periódicas, quer não programadas;

b) Sensibilizar os utilizadores para importância da deteção atempada de incidentes de segurança e para a

necessidade de informar imediatamente o responsável pela segurança, sempre que for detetado código

malicioso;

c) Assegurar as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e pela legislação

nacional em matéria de proteção de dados.

Artigo 12.º

Encarregados de proteção de dados em entidades públicas

1 - Nos termos da alínea a) do n.º 1 do artigo 37.º do RGPD, é obrigatória a designação de encarregados

de proteção de dados nas entidades públicas, de acordo com o disposto nos números seguintes.

2 - Para efeitos do número anterior, entende-se por entidades públicas:

a) O Estado;

b) As regiões autónomas;

c) As autarquias locais;

d) As entidades administrativas independentes e o Banco de Portugal;

e) Os institutos públicos;

f) As instituições de ensino superior públicas de natureza fundacional;

g) As empresas públicas sob forma jurídico-pública;

h) As associações públicas.

3 - Independentemente de quem seja responsável pelo tratamento, existe pelo menos um encarregado

de proteção de dados:

Página 36

II SÉRIE-A — NÚMERO 89

36

a) Por cada área governativa, no caso do Estado, sendo designado pelo respetivo ministro, com faculdade

de delegação;

b) Por cada secretaria regional, no caso das regiões autónomas, sendo designado pelo respetivo secretário

regional, com faculdade de delegação.

c) Por cada município, sendo designado pela câmara municipal, com faculdade de delegação;

d) Nas freguesias em que tal se justifique, em função do volume de dados tratados, sendo designado pela

junta de freguesia, com faculdade de delegação;

e) Por cada pessoa coletiva pública, no caso das entidades mencionadas nas alíneas d) a h) do n.º 2, sendo

designado pelo respetivo órgão executivo, de administração ou gestão, com faculdade de delegação.

4 - Nos termos do n.º 3 do artigo 37.º do RGPD, pode ser designado o mesmo encarregado de proteção

de dados para várias áreas governativas, secretarias regionais, autarquias locais ou outras pessoas coletivas

públicas.

5 - O disposto no n.º 1 aplica-se aos órgãos de soberania exclusivamente no que respeita às suas

atividades materialmente administrativas.

Artigo 13.º

Encarregados de proteção de dados em entidades privadas

O responsável pelo tratamento e o subcontratante designam um encarregado de proteção de dados sempre

que a atividade privada desenvolvida, a título principal, implique:

a) Operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular

e sistemático dos titulares dos dados em grande escala; ou

b) Operações de tratamento em grande escala das categoriais especiais de dados nos termos do artigo 9.º

do RGPD, ou de dados pessoais relacionados com condenações penais e contraordenacionais nos termos do

artigo 10.º do RGPD.

CAPITULO IV

Acreditação, certificação e códigos de conduta

Artigo 14.º

Acreditação e certificação

1 - Nos termos da alínea b) do n.º 1 do artigo 43.º do RGPD, a autoridade competentepara a acreditação

dos organismos de certificação em matéria de proteção de dados é o IPAC, I.P.

2 - O ato de acreditação emitido pelo IPAC, I.P., deve tomar em consideração os requisitos previstos no

RGPD, bem como os requisitos adicionais estabelecidos pela CNPD, quando existam.

3 - A certificação, bem como a emissão de selos e marcas de proteção de dados, é efetuada por organismos

de certificação acreditados nos termos do n.º 1, destinando-se a atestar que os procedimentos implementados

cumprem o disposto no RGPD e na presente lei.

Artigo 15.º

Códigos de conduta

1 - Compete à CNPD fomentar a elaboração de códigos de conduta que regulem atividades determinadas,

os quais devem tomar em atenção as necessidades específicas das micro, pequenas e médias empresas.

2 - O tratamento de dados pessoais pela administração direta e indireta do Estado é objeto de códigos de

conduta próprios.

Página 37

26 DE MARÇO DE 2018

37

CAPÍTULO V

Disposições especiais

Artigo 16.º

Consentimento de menores

1 - Nos termos do artigo 8.º do RGPD, os dados pessoais de crianças só podem ser objeto de tratamento

com base no consentimento previsto na alínea a) do n.º 1 do artigo 6.º do RGPD e relativo à oferta direta de

serviços da sociedade de informação quando as mesmas já tenham completado treze anos de idade.

2 - Caso a criança tenha idade inferior a treze anos, o tratamento só é lícito se o consentimento for dado

pelos representantes legais desta, preferencialmente com recurso a meios de autenticação segura, como o

Cartão de Cidadão ou a Chave Móvel Digital.

Artigo 17.º

Proteção de dados pessoais de pessoas falecidas

1 - Os dados pessoais de pessoas falecidas são protegidos nos termos do RGPD e da presente lei quando

se integrem nas categorias especiais de dados pessoais a que se refere o n.º 1 do artigo 9.º do RGPD,

ressalvados os casos previstos no n.º 2 do mesmo artigo.

2 - Os direitos previstos no RGPD relativos a dados pessoais de pessoas falecidas, abrangidos pelo número

anterior, nomeadamente os direitos de acesso, retificação e apagamento, são exercidos por quem a pessoa

falecida haja designado para o efeito ou, na sua falta, pelos respetivos herdeiros.

Artigo 18.º

Portabilidade e interoperabilidade dos dados

1 - O direito de portabilidade dos dados previsto no artigo 20.º do RGPD abrange apenas os dados fornecidos

pelos respetivos titulares.

2 - A portabilidade dos dados deve, sempre que possível, ter lugar em formato aberto.

3 - No âmbito da Administração Pública, sempre que a interoperabilidade dos dados não seja tecnicamente

possível, o titular dos dados tem o direito de exigir que os mesmos lhe sejam entregues num formato digital

aberto, de acordo com o Regulamento Nacional de Interoperabilidade Digital em vigor.

Artigo 19.º

Videovigilância

1 - Sem prejuízo das disposições legais específicas que imponham a sua utilização, nomeadamente por

razões de segurança pública, os sistemas de videovigilância cuja finalidade seja a proteção de pessoas e bens

asseguram os requisitos previstos no artigo 31.º da Lei n.º 34/2013, de 16 de maio, com os limites definidos no

número seguinte.

2 - As câmaras, ou outros meios de captação de som e imagem, não podem incidir sobre:

a) Vias públicas ou propriedades limítrofes, exceto no que seja estritamente necessário para cobrir os

acessos ao imóvel;

b) A zona de digitação de códigos de caixas multibanco ou outros terminais de pagamento ATM;

c) O interior de áreas reservadas a clientes ou utentes onde deva ser respeitada a privacidade,

designadamente instalações sanitárias, zonas de espera e provadores de vestuário;

d) O interior de áreas reservadas aos trabalhadores, designadamente vestiários e instalações sanitárias.

Página 38

II SÉRIE-A — NÚMERO 89

38

Artigo 20.º

Dever de segredo

Os direitos de informação e de acesso a dados pessoais previstos nos artigos 13.º a 15.º do RGPD não

podem ser exercidos quando a lei imponha ao responsável pelo tratamento ou ao subcontratante um dever de

segredo que seja oponível ao próprio titular dos dados.

Artigo 21.º

Prazo de conservação de dados pessoais

1 - O prazo de conservação de dados pessoais é o que estiver fixado por norma legal ou regulamentar ou,

na falta desta, o que se revele necessário para a prossecução da finalidade.

2 - Quando, pela natureza e finalidade do tratamento, designadamente para fins de arquivo de interesse

público, fins de investigação científica ou histórica ou fins estatísticos, não seja possível determinar

antecipadamente o momento em que o mesmo deixa de ser necessário, é lícita a conservação dos dados

pessoais.

3 - Quando os dados pessoais sejam necessários para o responsável pelo tratamento, ou o subcontratante,

comprovar o cumprimento de obrigações, os mesmos podem ser conservados enquanto não decorrer o prazo

de prescrição dos direitos correspetivos.

4 - Quando cesse a finalidade que motivou o tratamento, inicial ou posterior, de dados pessoais, o

responsável pelo tratamento deve proceder à sua destruição ou anonimização.

5 - Nos casos em que existe um prazo de conservação de dados imposto por lei, só pode ser exercido o

direito ao apagamento previsto no artigo 17.º do RGPD findo esse prazo.

Artigo 22.º

Transferências de dados

As transferências de dados para países terceiros à União Europeia ou organizações internacionais, efetuadas

no cumprimento de obrigações legais, por entidades públicas no exercício de poderes de autoridade, são

consideradas de interesse público para efeitos do disposto no n.º 4 do artigo 49.º do RGPD.

Artigo 23.º

Tratamento de dados pessoais por entidades públicas para finalidades diferentes

1 - É permitido o tratamento de dados pessoais por entidades públicas para finalidades diferentes das

determinadas pela recolha, desde que esteja em causa a prossecução do interesse público, nos termos da

alínea e) do n.º 1, do n.º 4 do artigo 6.º e da alínea g) do n.º 2 do artigo 9.º do RGPD.

2 - A transmissão de dados pessoais entre entidades públicas para finalidades diferentes das determinadas

pela recolha deve ser objeto de protocolo, que estabeleça as responsabilidades de cada entidade interveniente,

quer no ato de transmissão, quer em outros tratamentos a efetuar.

CAPÍTULO VI

Situações específicas de tratamento de dados pessoais

Artigo 24.º

Liberdade de expressão e informação

1 - A proteção de dados pessoais, nos termos do RGPD, não prejudica o exercício da liberdade de expressão,

informação e imprensa, incluindo o tratamento de dados para fins jornalísticos e para fins de expressão

académica, artística ou literária.

Página 39

26 DE MARÇO DE 2018

39

2 - A obrigação de informação, prevista nos artigos 13.º e 14.º, o direito ao apagamento, previsto no artigo

17.º, o direito de portabilidade, previsto no artigo 20.º, e o direito de oposição, previsto no artigo 21.º, todos do

RGPD, são exercidos num quadro de ponderação com o exercício da liberdade de informação, de imprensa, e

de expressão académica, artística ou literária.

3 - Quando esteja em causa o tratamento de dados pessoais para fins jornalísticos, o direito de acesso,

previsto no artigo 15.º do RGPD, é exercido através da CNPD, procedendo-se a uma ponderação prévia com

outros direitos fundamentais aplicáveis, nomeadamente a liberdade de informação.

4 - O exercício da liberdade de informação, especialmente quando revele dados pessoais previstos no n.º 1

do artigo 9.º do RGPD, deve respeitar o princípio da dignidade da pessoa humana previsto na Constituição da

República Portuguesa e os direitos de personalidade consagrados na legislação nacional.

5 - O tratamento para fins jornalísticos deve respeitar a legislação nacional sobre acesso e exercício da

profissão.

6 - O exercício da liberdade de expressão não legitima a divulgação de dados pessoais como moradas e

contactos, à exceção daqueles que sejam de conhecimento generalizado.

Artigo 25.º

Publicação em jornal oficial

1 - A publicação de dados pessoais em jornais oficiais deve obedecer ao artigo 5.º do RGPD, nomeadamente

aos princípios da finalidade e da minimização.

2 - Sempre que o dado pessoal nome seja suficiente para garantir a identificação do titular e a eficácia do

tratamento, não devem ser publicados outros dados pessoais.

3 - Os dados pessoais publicados em jornal oficial não podem, em circunstância alguma, ser alterados,

rasurados ou ocultados.

4 - O direito ao apagamento quanto a dados pessoais publicados em jornal oficial concretiza-se, nas

condições previstas no artigo 17.º do RGPD, através da desindexação desses dados pessoais em motores de

busca.

5 - Em caso de publicação de dados pessoais em jornais oficiais, considera-se responsável pelo tratamento

a entidade que manda proceder à publicação, ou, no caso dos gabinetes dos membros do Governo, as

respetivas secretarias-gerais.

Artigo 26.º

Acesso a documentos administrativos

O acesso a documentos administrativos que contenham dados pessoais rege-se pelo disposto na Lei n.º

26/2016, de 22 de agosto.

Artigo 27.º

Publicação de dados no âmbito da contratação pública

No âmbito da contratação pública, e caso seja necessária a publicação de dados pessoais, não devem ser

publicados outros dados pessoais para além do nome, sempre que este seja suficiente para garantir a

identificação do contraente público e do cocontratante.

Artigo 28.º

Relações laborais

1 - O empregador pode tratar os dados pessoais dos seus trabalhadores nos termos definidos no Código do

Trabalho e respetiva legislação complementar ou noutros regimes setoriais, com as especificidades

estabelecidas no presente artigo.

Página 40

II SÉRIE-A — NÚMERO 89

40

2 - O número anterior abrange igualmente o tratamento efetuado por subcontratante ou contabilista

certificado em nome do empregador, para fins de gestão das relações laborais, desde que realizado ao abrigo

de um contrato de prestação de serviços e sujeito a iguais garantias de sigilo.

3 - Salvo norma legal em contrário, o consentimento do trabalhador não constitui requisito de legitimidade do

tratamento dos seus dados pessoais:

a) Se do tratamento resultar uma vantagem jurídica ou económica para o trabalhador; ou

b) Se esse tratamento estiver abrangido pelo disposto na alínea b) do n.º 1 do artigo 6.º do RGPD.

4 - As imagens gravadas e outros dados pessoais registados através da utilização de sistemas de vídeo ou

outros meios tecnológicos de vigilância à distância, nos termos previstos no artigo 20.º do Código do Trabalho,

só podem ser utilizadas no âmbito do processo penal.

5 - Nos casos previstos no número anterior, as imagens gravadas e outros dados pessoais podem também

ser utilizados para efeitos de apuramento de responsabilidade disciplinar, na medida em que o sejam no âmbito

do processo penal.

6 - O tratamento de dados biométricos dos trabalhadores só é considerado legítimo para controlo de

assiduidade e para controlo de acessos às instalações do empregador.

7 - A transferência de dados pessoais de trabalhadores entre empresas que se encontrem em relação de

domínio ou de grupo, ou mantenham estruturas organizativas comuns, só é lícita nos casos de cedência

ocasional de trabalhador e na medida que seja proporcional, necessária e adequada aos objetivos a atingir.

8 - Os dados pessoais de trabalhadores podem ainda ser transferidos, nos termos do número anterior, nas

situações de cedência de trabalhador por parte de empresa de trabalho temporário e de destacamento para

outro Estado.

Artigo 29.º

Tratamento de categorias especiais de dados pessoais

1 - Nos casos previstos nas alíneas h) e i) do n.º 2 do artigo 9.º do RGPD, o tratamento dos dados previstos

no n.º 1 do mesmo artigo deve ser efetuado por um profissional obrigado a sigilo, ou por outra pessoa sujeita a

dever de confidencialidade, devendo ser garantidas medidas adequadas de segurança da informação.

2 - Os titulares de órgãos, trabalhadores e prestadores de serviços do responsável pelo tratamento, o

encarregado de proteção de dados, os estudantes e investigadores na área da saúde e todos os profissionais

de saúde que tenham acesso a dados relativos à saúde estão sujeitos a um dever de sigilo.

3 - O dever de sigilo referido no número anterior é também aplicável a todos os titulares de órgãos e

trabalhadores que, no contexto do acompanhamento, financiamento ou fiscalização da atividade de prestação

de cuidados de saúde, tenham acesso a dados relativos à saúde.

Artigo 30.º

Bases de dados ou registos centralizados de saúde

1 - Os dados relativos à saúde podem ser organizados em bases de dados ou registos centralizados assentes

em plataformas únicas, quando tratados para efeitos das finalidades legalmente previstas no RGPD e na

legislação nacional.

2 - As bases de dados de saúde ou registos centralizados assentes nas plataformas únicas referidas no

número anterior devem preencher os requisitos de segurança e de inviolabilidade previstos no RGPD.

Artigo 31.º

Tratamentos para fins de arquivo de interesse público, fins de investigação científica ou histórica ou

fins estatísticos

1 - O tratamento para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins

estatísticos deve respeitar o princípio da minimização dos dados e incluir a anonimização ou a pseudonimização

dos mesmos sempre que os fins visados possam ser atingidos por uma destas vias.

Página 41

26 DE MARÇO DE 2018

41

2 - Quando os dados pessoais sejam tratados para fins de arquivo de interesse público, fins de investigação

científica ou histórica ou fins estatísticos, ficam prejudicados os direitos de acesso, retificação, limitação do

tratamento e de oposição previstos nos artigos 15.º, 16.º, 18.º e 21.º do RGPD, na medida do necessário, se

esses direitos forem suscetíveis de tornar impossível ou prejudicar gravemente a realização desses fins.

3 - Ao tratamento de dados pessoais para fins de arquivo de interesse público é aplicável o Decreto-Lei n.º

16/93, de 23 de janeiro, na sua redação atual.

4 - O consentimento relativo ao tratamento de dados para fins de investigação científica pode abranger

diversas áreas de investigação ou ser dado unicamente para determinados domínios ou projetos de investigação

específicos, devendo em qualquer caso ser respeitados os padrões éticos reconhecidos pela comunidade

científica.

CAPÍTULO VII

Tutela administrativa e jurisdicional

SECÇÃO I

Disposições gerais

Artigo 32.º

Tutela administrativa

Sem prejuízo do direito de apresentação de queixa à CNPD, qualquer pessoa pode recorrer a meios de tutela

administrativa, designadamente de cariz petitório ou impugnatório, para garantir o cumprimento das disposições

legais em matéria de proteção de dados pessoais, nos termos previstos no Código do Procedimento

Administrativo.

Artigo 33.º

Responsabilidade civil

1 - Qualquer pessoa que tenha sofrido um dano devido ao tratamento ilícito de dados ou a qualquer outro ato

que viole disposições do RGPD ou da lei nacional em matéria de proteção de dados pessoais, tem o direito de

obter do responsável ou subcontratante a reparação pelo dano sofrido.

2 - O responsável pelo tratamento e o subcontratante não incorrem em responsabilidade civil se provarem

que o facto que causou o dano lhes não é imputável.

3 - À responsabilidade do Estado e demais pessoas coletivas públicas é aplicável o regime previsto na Lei

n.º 67/2007, de 31 de dezembro, na sua redação atual.

Artigo 34.º

Tutela jurisdicional

1 - Qualquer pessoa, de acordo com as regras gerais de legitimidade processual, pode propor ações contra

as decisões, nomeadamente de natureza contraordenacional, e omissões da CNPD, bem como ações de

responsabilidade civil pelos danos que tais atos ou omissões possam ter causado.

2 - As ações propostas contra a CNPD são da competência dos tribunais administrativos.

3 - O titular dos dados pode propor ações contra o responsável pelo tratamento ou o subcontratante, incluindo

ações de responsabilidade civil.

4 - As ações intentadas contra o responsável pelo tratamento ou um subcontratante são propostas nos

tribunais nacionais se o responsável ou subcontratante tiver estabelecimento em território nacional ou se o titular

dos dados aqui residir habitualmente.

Página 42

II SÉRIE-A — NÚMERO 89

42

Artigo 35.º

Representação dos titulares dos dados

Sem prejuízo da observância das regras relativas ao patrocínio judiciário, o titular dos dados tem o direito de

mandatar um organismo, uma organização ou uma associação sem fins lucrativos constituída em conformidade

com o direito nacional, cujos fins estatutários sejam de interesse público e cuja atividade abranja a defesa dos

direitos, liberdades e garantias do titular dos dados quanto à proteção de dados pessoais para, em seu nome,

exercer os direitos previstos nos artigos 77.º, 78.º, 79.º e 82.º do RGPD.

Artigo 36.º

Legitimidade da CNPD

A CNPD tem legitimidade para intervir em processos judiciais no caso de violação das disposições do RGPD

e da presente lei, e deve denunciar ao Ministério Público as infrações penais de que tiver conhecimento, no

exercício das suas funções e por causa delas, bem como praticar os atos cautelares necessários e urgentes

para assegurar os meios de prova.

SECÇÃO II

Contraordenações

Artigo 37.º

Contraordenações muito graves

1 - Constituem contraordenações muito graves:

a) Os tratamentos de dados pessoais em violação dos princípios consagrados no artigo 5.º do RGDP;

b) Os tratamentos de dados pessoais que não tenham por base o consentimento ou outra condição de

legitimidade, nos termos do artigo 6.º do RGPD ou de norma nacional;

c) O incumprimento das regras relativas à prestação do consentimento previstas no artigo 7.º do RGPD;

d) Os tratamentos de dados pessoais previstos no n.º 1 do artigo 9.º do RGPD sem que se verifique uma

das circunstâncias previstas no n.º 2 do mesmo artigo;

e) Os tratamentos de dados pessoais previstos no artigo 10.º do RGPD que contrariem as regras aí previstas;

f) A exigência do pagamento de uma quantia em dinheiro fora dos casos previstos no n.º 5 do artigo 12.º do

RGPD;

g) A exigência do pagamento de uma quantia em dinheiro, nos casos previstos no n.º 5 do artigo 12.º do

RGPD, que exceda os custos necessários para satisfazer o direito do titular dos dados;

h) A não prestação de informação relevante nos termos dos artigos 13.º e 14.º do RGPD, o que ocorre nas

seguintes circunstâncias:

i) Omissão de informação das finalidades a que se destina o tratamento;

ii) Omissão de informação acerca dos destinatários ou categorias de destinatários dos dados pessoais;

iii) Omissão de informação acerca do direito de retirar o consentimento nos casos previstos na alínea a) do

n.º 1 do artigo 6.º e na alínea a) do n.º 2 do artigo 9.º do RGPD;

i) Não permitir, não assegurar ou dificultar o exercício dos direitos previstos nos artigos 15.º a 18.º e 19.º a

22.º do RGPD;

j) A transferência internacional de dados pessoais em violação do disposto nos artigos 44.º a 49.º do RGPD;

k) O incumprimento das decisões da autoridade de controlo previstas no n.º 2 do artigo 58.º do RGPD, ou

recusa da colaboração que lhe seja exigida pela CNPD, no exercício dos seus poderes;

l) A violação das regras previstas no capítulo VI da presente lei.

2 - As contraordenações referidas no número anterior são punidas com coima:

a) De € 5000 a € 20 000 000 ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais

elevado, tratando-se de grande empresa;

Página 43

26 DE MARÇO DE 2018

43

b) De € 2000 a € 2 000 000 ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais

elevado, tratando-se de PME;

c) De € 1000 a € 500 000, no caso de pessoas singulares.

Artigo 38.º

Contraordenações graves

1 - Constituem contraordenações graves:

a) A violação do disposto no artigo 8.º do RGPD;

b) A não prestação da restante informação prevista nos artigos 13.º e 14.º do RGPD;

c) A violação do disposto nos artigos 24.º e 25.º do RGPD;

d) A violação das obrigações previstas no artigo 26.º do RGPD;

e) A violação do disposto no artigo 27.º do RGPD;

f) A violação das obrigações previstas no artigo 28.º do RGPD;

g) A violação do disposto no artigo 29.º do RGPD;

h) A ausência de registo dos tratamentos de dados pessoais em violação do disposto no artigo 30.º do

RGPD;

i) A violação das regras de segurança previstas no artigo 32.º do RGPD;

j) O incumprimento dos deveres previstos no artigo 33.º do RGPD;

k) O incumprimento do dever de informar o titular dos dados pessoais nas situações previstas no artigo 34.º

do RGPD;

l) O incumprimento da obrigação de realizar avaliações de impacto nos casos previstos no artigo 35.º do

RGPD;

m) O incumprimento da obrigação de consultar a autoridade de controlo previamente à realização de

operações de tratamento de dados nos casos previstos no artigo 36.º do RGPD;

n) O incumprimento dos deveres previstos no artigo 37.º do RGPD;

o) A violação do disposto no artigo 38.º do RGPD, nomeadamente no que respeita às garantias de

independência do encarregado de proteção de dados;

p) O incumprimento dos deveres previstos no artigo 39.º do RGPD;

q) A prática de atos de supervisão de códigos de conduta por organismos não acreditados pela autoridade

de controlo nos termos do artigo 41.º do RGPD;

r) O incumprimento, por parte dos organismos de supervisão de códigos de conduta, do previsto no n.º 4 do

artigo 41.º do RGPD;

s) A utilização de selos ou marcas de proteção de dados que não tinham sido emitidos por organismos de

certificação devidamente acreditados nos termos dos artigos 42.º e 43.º do RGPD;

t) O incumprimento, por parte dos organismos de certificação, dos deveres previstos no artigo 43.º do

RGPD;

u) A violação do disposto no artigo 19.º da presente lei.

2 - As contraordenações referidas no número anterior são punidas com coima de:

a) De € 2500 a € 10 000 000 ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais

elevado, tratando-se de grande empresa;

b) De € 1000 a € 1 000 000 ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais

elevado, tratando-se de PME;

c) De € 500 a € 250 000, no caso de pessoas singulares.

Artigo 39.º

Determinação da medida da coima

1 - Na determinação da medida da coima, a CNPD tem em conta, para além dos critérios estabelecidos

no n.º 2 do artigo 83.º do RGPD:

Página 44

II SÉRIE-A — NÚMERO 89

44

a) A situação económica do agente, no caso de pessoa singular, ou o volume de negócios e o balanço anual,

no caso de pessoa coletiva;

b) O caráter continuado da infração;

c) A dimensão da entidade, tendo em conta o número de trabalhadores e a natureza dos serviços prestados.

2 - Para efeitos da aplicação do disposto nos artigos anteriores, os conceitos de PME e grande empresa

são os definidos na Recomendação n.º 2003/361/CE, da Comissão Europeia, de 6 de maio de 2003.

Artigo 40.º

Prescrição do procedimento por contraordenação

O procedimento por contraordenação extingue-se por efeito da prescrição logo que sobre a prática da

contraordenação hajam decorrido os seguintes prazos:

a) Três anos, quando se trate de contraordenação muito grave;

b) Dois anos, quando se trate de contraordenação grave.

Artigo 41.º

Prazo de prescrição das coimas

As coimas previstas na presente lei prescrevem nos seguintes prazos:

a) Três anos, no caso de coimas de montante superior a € 100 000;

b) Dois anos, no caso de coimas de montante igual ou inferior a € 100 000.

Artigo 42.º

Destino das coimas

O montante das coimas cobradas reverte em 60% para o Estado e 40% para a CNPD.

Artigo 43.º

Cumprimento do dever omitido

Sempre que a contraordenação resulte da omissão de um dever, a aplicação da sanção e o pagamento da

coima não dispensam o infrator do seu cumprimento se este ainda for possível.

Artigo 44.º

Âmbito de aplicação das contraordenações

1 - Nos termos do disposto no n.º 7 do artigo 83.º do RGPD, não se aplicam às entidades públicas as coimas

previstas no RGPD e na presente lei.

2 - Sem prejuízo do disposto no número anterior, as entidades públicas estão sujeitas aos poderes de

correção da CNPD, tal como previstos no RGPD e na presente lei, com exceção da aplicação de coimas.

Artigo 45.º

Regime subsidiário

Em tudo o que não esteja previsto na presente lei em matéria contraordenacional, aplica-se o disposto no

regime geral do ilícito de mera ordenação social.

Página 45

26 DE MARÇO DE 2018

45

SECÇÃO III

Crimes

Artigo 46.º

Utilização de dados de forma incompatível com a finalidade da recolha

1 - Quem utilizar dados pessoais de forma incompatível com a finalidade determinante da recolha é punido

com pena de prisão até um ano ou com pena de multa até 120 dias.

2 - A pena é agravada para o dobro nos seus limites quando se tratar dos dados pessoais a que se referem

os artigos 9.º e 10.º do RGPD.

Artigo 47.º

Acesso indevido

1 - Quem, sem a devida autorização ou justificação, aceder, por qualquer modo, a dados pessoais é punido

com pena de prisão até um ano ou com pena de multa até 120 dias.

2 - A pena é agravada para o dobro nos seus limites quando se tratar dos dados pessoais a que se referem

os artigos 9.º e 10.º do RGPD.

3 - A pena é também agravada para o dobro nos seus limites quando o acesso:

a) For conseguido através de violação de regras técnicas de segurança; ou

b) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial.

Artigo 48.º

Desvio de dados

1 - Quem copiar, subtrair, ceder ou transferir, a título oneroso ou gratuito, dados pessoais sem previsão legal

ou consentimento, independentemente da finalidade prosseguida, é punido com pena de prisão até um ano ou

com pena de multa até 120 dias.

2 - A pena é agravada para o dobro nos seus limites quando se tratar dos dados pessoais a que se referem

os artigos 9.º e 10.º do RGPD.

3 - A pena é também agravada para o dobro nos seus limites quando o acesso:

a) For conseguido através de violação de regras técnicas de segurança; ou

b) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial.

Artigo 49.º

Viciação ou destruição de dados

1 - Quem, sem a devida autorização ou justificação, apagar, destruir, danificar, ocultar, suprimir ou modificar

dados pessoais, tornando-os inutilizáveis ou afetando o seu potencial de utilização, é punido com pena de prisão

até dois anos ou com pena de multa até 240 dias.

2 - A pena é agravada para o dobro nos seus limites se o dano produzido for particularmente grave.

3 - Nas situações previstas nos números anteriores, se o agente atuar com negligência é punido com pena

de prisão:

a) Até um ano ou multa até 120 dias, no caso previsto no n.º 1;

b) Até dois anos ou multa até 240 dias, no caso previsto no n.º 2.

Artigo 50.º

Inserção de dados falsos

1 - Quem inserir ou facilitar a inserção de dados pessoais falsos, com a intenção de obter vantagem indevida

Página 46

II SÉRIE-A — NÚMERO 89

46

para si ou para terceiro, ou para causar prejuízo, é punido com pena de prisão até dois anos ou com pena de

multa até 240 dias.

2 - A pena é agravada para o dobro nos seus limites se da inserção referida no número anterior resultar um

prejuízo efetivo.

Artigo 51.º

Violação do dever de sigilo

1 - Quem, obrigado a sigilo profissional nos termos da lei, sem justa causa e sem o devido consentimento,

revelar ou divulgar no todo ou em parte dados pessoais é punido com pena de prisão até um ano ou com pena

de multa até 120 dias.

2 - A pena é agravada para o dobro nos seus limites se o agente:

a) For trabalhador em funções públicas ou equiparado, nos termos da lei penal;

b) For encarregado de proteção de dados;

c) For determinado pela intenção de obter qualquer vantagem patrimonial ou outro benefício ilegítimo;

d) Puser em perigo a reputação, a honra ou a intimidade da vida privada de terceiros.

3 - A negligência é punível com pena de prisão até seis meses ou com pena de multa até 60 dias.

Artigo 52.º

Desobediência

1 - Quem não cumprir as obrigações previstas no RGPD e na presente lei, depois de ultrapassado o prazo

que tiver sido fixado pela CNPD para o respetivo cumprimento, é punido com pena de prisão até um ano ou com

pena de multa até 120 dias.

2 - A pena é agravada para o dobro nos seus limites se, depois de notificado para o efeito, o agente:

a) Não interromper, cessar ou bloquear o tratamento ilícito de dados;

b) Não proceder ao apagamento ou destruição dos dados quando legalmente exigível, ou findo o prazo de

conservação fixado nos termos da presente lei; ou

c) Recusar, sem justa causa, a colaboração que lhe for exigida nos termos do artigo 8.º da presente lei.

Artigo 53.º

Punibilidade da tentativa

Nos crimes previstos na presente secção, a tentativa é sempre punível.

Artigo 54.º

Responsabilidade das pessoas coletivas

As pessoas coletivas e entidades equiparadas, com exceção do Estado, de pessoas coletivas no exercício

de prerrogativas de poder público e de organizações de direito internacional público, são responsáveis pelos

crimes previstos na presente secção, nos termos do artigo 11.º do Código Penal.

SECÇÃO IV

Disposições comuns

Artigo 55.º

Concurso de infrações

1 - Se o mesmo facto constituir simultaneamente crime e contraordenação, o agente é sempre punido a título

de crime.

Página 47

26 DE MARÇO DE 2018

47

2 - Quando se verifique concurso de crime e contraordenação, ou quando, pelo mesmo facto, uma pessoa

deva responder a título de crime e outra a título de contraordenação, o processamento da contraordenação cabe

às autoridades competentes para o processo criminal, nos termos do regime geral do ilícito de mera ordenação

social.

Artigo 56.º

Sanções acessórias

1 - Conjuntamente com as sanções aplicadas pode, acessoriamente, ser ordenada a proibição temporária ou

definitiva do tratamento, o bloqueio, o apagamento ou a destruição total ou parcial dos dados.

2 - Tratando-se de crimes, ou de coimas de montante superior a € 100 000, pode acessoriamente ser

determinada a publicidade da condenação, por meio de extrato contendo a identificação do agente, os elementos

da infração e as sanções aplicadas, no Portal do Cidadão, por período não inferior a 90 dias.

CAPÍTULO VIII

Disposições finais e transitórias

Artigo 57.º

Comissão Nacional de Proteção de Dados

1 - Os membros da CNPD em exercício à data da entrada em vigor da presente lei mantêm-se em funções

até ao fim dos respetivos mandatos.

2 - Até à publicação de nova lei que regule a orgânica e funcionamento da CNPD mantém-se em vigor a Lei

n.º 43/2004, de 18 de agosto, em tudo o que não contrarie o disposto no RGPD e na presente lei.

Artigo 58.º

Orientações técnicas

As orientações técnicas para a aplicação do RGPD pela administração direta e indireta do Estado são

aprovadas por resolução do Conselho de Ministros, a qual pode recomendar a sua aplicação também ao setor

empresarial do Estado.

Artigo 59.º

Aplicabilidade de coimas às entidades públicas

A não aplicabilidade de coimas às entidades públicas, prevista no n.º 1 do artigo 44.º da presente lei, deve

ser objeto de reavaliação três anos após a entrada em vigor da presente lei.

Artigo 60.º

Situações de tratamentos de dados pessoais pré-existentes

1 - Os tratamentos de dados pessoais objeto de registo público nos termos do artigo 31.º da Lei n.º 67/98, de

26 de outubro, permanecem conservados sob a responsabilidade da CNPD e disponíveis para consulta gratuita

por qualquer pessoa.

2 - As notificações e pedidos de autorização já decididos pela CNPD no momento da entrada em vigor da

presente lei, mas ainda não publicados, devem sê-lo nos termos da legislação prevista no número anterior.

Página 48

II SÉRIE-A — NÚMERO 89

48

3 - Os pedidos de registo e de autorização pendentes na CNPD na data da entrada em vigor da presente lei

caducam com a sua entrada em vigor.

4 - Os responsáveis pelos tratamentos de dados pessoais realizados com base em autorizações emitidas

nos termos da Lei n.º 67/98, de 26 de outubro, bem como os subcontratantes, estão vinculados a cumprir as

obrigações impostas pelo RGPD, com exceção da avaliação de impacto sobre a proteção de dados a que se

refere o artigo 35.º desse regulamento.

Artigo 61.º

Renovação do consentimento

1 - Quando o tratamento dos dados pessoais em curso à data da entrada em vigor da presente lei se

basear no consentimento do respetivo titular, não é necessário obter novo consentimento se o anterior tiver

observado as exigências constantes do RGPD.

2 - Nos casos em que seja necessária a prestação de novo consentimento, este deve ser obtido no prazo

de seis meses a contar da entrada em vigor da presente lei ou, relativamente a contratos objeto de renovação

periódica, no momento dessa renovação, sob pena de caducidade do anterior consentimento.

Artigo 62.º

Regimes de proteção de dados pessoais

1 - As normas relativas à proteção de dados pessoais previstas em legislação especial mantêm-se em

vigor, em tudo o que não contrarie o disposto no RGPD e na presente lei, sem prejuízo do disposto no número

seguinte.

2 - Todas as normas que prevejam autorizações ou notificações de tratamento de dados pessoais à

CNPD, fora dos casos previstos no RGPD e na presente lei, deixam de vigorar à data de entrada em vigor do

RGPD.

Artigo 63.º

Norma revogatória

É revogada a Lei n.º 67/98, de 26 de outubro.

Artigo 64.º

Entrada em vigor

A presente lei entra em vigor no dia seguinte ao da sua publicação.

Visto e aprovado em Conselho de Ministros de 22 de março de 2018.

O Primeiro-Ministro, António Luís Santos da Costa — A Ministra da Presidência e da Modernização

Administrativa, Maria Manuel de Lemos Leitão Marques — O Secretário de Estado dos Assuntos Parlamentares,

Pedro Nuno de Oliveira Santos.

———

Página 49

26 DE MARÇO DE 2018

49

PROJETO DE RESOLUÇÃO N.º 1451/XIII (3.ª)

EM DEFESA DA ESCOLA SECUNDÁRIA DE REBORDOSA, NO CONCELHO DE PAREDES

A Escola Básica e Secundária da Rebordosa, no concelho de Paredes, está integrada no Agrupamento de

Escolas de Vilela e conta com cerca de 525 alunos. Responde a territórios urbanos e rurais. É um dos principais

estabelecimentos de ensino do concelho. Atualmente, só existem três turmas do ensino secundário, o que não

abarca a totalidade dos jovens da sua área geográfica de implantação.

Queixa-se a comunidade educativa desta escola de há exatamente 33 anos não serem realizadas obras de

manutenção e requalificação apesar de o seu edificado evidenciar um conjunto de problemas bem visíveis.

O teto da cantina apresenta hoje fissuras de grandes dimensões por onde entra a água das chuvas colocando

em perigo todos os que aí se encontram, já que a água invade os circuitos elétricos, em especial os relativos à

iluminação. Os alunos são obrigados a procurar zonas do refeitório onde a água não lhes caia em cima e são

colocados recipientes para a recolha da água que vai caindo. Também a biblioteca, situada em espaço próximo

da cantina, apresenta problemas similares.

A água das chuvas invade igualmente os monoblocos (referenciados como A e B) e chega a cair em cima do

material informático. As casas de banho encontram-se igualmente em adiantado estado de degradação.

O pavilhão gimnodesportivo apresenta um conjunto de patologias visíveis a olho nu, em especial no piso

irregular que acumula remendos provisórios que o transformaram numa verdadeira armadilha para quem aí tem

de praticar educação física e desporto.

Outro aspeto que tem de ser resolvido rapidamente diz respeito às coberturas dos blocos, ainda em

fibrocimento com amianto, e que, em resultado da sua degradação, constituem um risco acrescido para toda a

população escolar.

A resposta que tem sido dada aos estudantes pela direção tem sido a de, alegadamente, os proibir de gravar

imagens dentro da escola. Na verdade, foi reportado ao Grupo Parlamentar do Bloco de Esquerda que no

passado dia 5 de março do corrente ano o diretor terá avisado os alunos que estavam proibidos de gravar

imagens dentro da escola (e de as publicar nas chamadas “redes sociais”).

Não é escondendo a realidade que os problemas se resolvem, bem pelo contrário. E proibições como as

que, alegadamente, aconteceram, para além de ineficazes não contribuem para o desenvolvimento do sentido

cívico e de participação dos estudantes.

É urgente atender a uma reivindicação que se tornou exigência que a realidade nos impõe: a construção de

uma nova escola secundária em Rebordosa. A este respeito, o Grupo Parlamentar do Bloco de Esquerda

relembra que, desde o ano de 2009, essa promessa foi feita por vários responsáveis governativos.

Atualmente só existem 3 turmas do secundário em Rebordosa, mas muitos mais alunos são obrigados a

deslocar-se para outras escolas fora de Rebordosa. Por isso, se for construída uma nova escola, o número de

alunos poderá vir a ser muito superior.

Os frequentes incidentes que a comunidade escolar deste estabelecimento de ensino tem vindo a relatar ao

longo dos últimos anos servem de comprovativo das más condições físicas que a escola apresenta. Ao longo

de 33 anos, sem qualquer tipo de intervenção, o edificado tornou-se perigoso, obsoleto, e é hoje um atentado à

segurança dos próprios estudantes, funcionários e professores. O estado a que a construção chegou leva o

Bloco de Esquerda a defender a construção de uma escola de raiz, que responda às necessidades do presente,

preserve o bem-estar e a saúde da comunidade escolar e incorpore as várias inovações tecnológicas de que

outros estabelecimentos já usufruem.

Atendendo ao facto de a construção de uma nova escola cumprir prazos legais e logísticos, naturais do

próprio processo, é imperioso resolver, de imediato, os problemas que o atual edificado apresenta. A

comunidade escolar não pode continuar a frequentar uma escola onde chove, as casas de banho não

apresentam condições dignas e o sistema elétrico está ameaçado.

Ao abrigo das disposições constitucionais e regimentais aplicáveis, o Grupo Parlamentar do Bloco de

Esquerda propõe que a Assembleia da República recomende ao Governo que:

1. O Ministério da Educação acione os mecanismos que tem ao seu dispor para resolver, de imediato,

através de uma intervenção de urgência, os problemas que o edificado apresenta;

Página 50

II SÉRIE-A — NÚMERO 89

50

2. O Ministério da Educação estude a construção de uma nova escola secundária, em Rebordosa, concelho

de Paredes.

Assembleia da República, 26 de março de 2018.

As Deputadas e os Deputados do Bloco de Esquerda: Luís Monteiro — Pedro Filipe Soares — Jorge Costa

— Mariana Mortágua — Pedro Soares — Isabel Pires — José Moura Soeiro — Heitor Sousa — Sandra Cunha

— João Vasconcelos — Maria Manuel Rola — Jorge Campos — Jorge Falcato Simões — Carlos Matias —

Joana Mortágua — José Manuel Pureza — Moisés Ferreira — Paulino Ascenção — Catarina Martins.

A DIVISÃO DE REDAÇÃO E APOIO AUDIOVISUAL.

Descarregar páginas

Página Inicial Inválida
Página Final Inválida

×