30 DE MAIO DE 2018

39

Para efeitos, quer do RGPD, quer da Diretiva, são entendidos como «dados pessoais» toda «a informação

relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma

pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um

identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores

por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental,

económica, cultural ou social dessa pessoa singular», conforme previsto no n.º 1 do artigo 4.º do RGPD e n.º 1

do artigo 3.º da Diretiva.

No número seguinte define-se «tratamento de dados» como «a operação ou conjunto de operações

efetuadas sobre os dados pessoas ou sobre conjuntos de dados pessoais, por meios automatizados ou não

automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou

alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma

de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição» (n.º 2 do artigo

4.º e n.º 2 do artigo 3.º respetivamente).

A entidade administrativa independente com poderes de autoridade nacional é a Comissão Nacional de

Proteção de Dados (CNPD), cuja lei de organização e funcionamento foi aprovada pela Lei n.º 43/2004, de 18

de agosto, alterada pela Lei n.º 55-A/2010, de 31 de dezembro, tendo como atribuição controlar e fiscalizar o

cumprimento das disposições legais e regulamentares em matéria de proteção de dados pessoais, em rigoroso

respeito pelos direitos do homem e pelas liberdades e garantias consagradas na Constituição e na lei.

Sobre o RGPD, a CNPD emitiu o Parecer n.º 8/2017, a pedido do Ministério da Justiça.

Sobre o tratamento de dados pessoais pelas autoridades competentes para efeitos penais e de salvaguarda

da segurança pública, na área penal e processual penal existem diversos diplomas onde a questão do

tratamento de dados pessoais é prevista, dos quais salientamos a Lei n.º 32/2008, de 17 de julho, que transpõe

para a ordem jurídica interna a Diretiva 2006/24/CE8, do Parlamento Europeu e do Conselho, de 15 de Março,

relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações

eletrónicas publicamente disponíveis ou de redes públicas de comunicações; a Lei n.º 109/2009, de 15 de

setembro, que aprova a Lei do Cibercrime, em especial nas disposições processuais presentes nos artigos 11.º

a 19.º; a Lei n.º 5/2008, de 12 de fevereiro9, que aprova a criação de uma base de dados de perfis de ADN para

fins de identificação civil e criminal, apresentada na sua versão consolidada10; a Lei n.º 1/2005, de 10 de janeiro,

com as alterações introduzidas pelas Leis n.os 39-A/2005, de 29 de julho, 53-A/2006, de 29 de dezembro e

9/2012, de 23 de fevereiro, que regula a utilização de câmaras de vídeo pelas forças e serviços de segurança

em locais públicos de utilização comum; o Decreto-Lei n.º 207/2005, de 29 de novembro, que regula os meios

de vigilância eletrónica rodoviária utilizados pelas forças de segurança; a Lei n.º 34/2013, de 16 de maio, alterada

pela Lei n.º 57/2015, de 23 de junho, que disciplina a utilização de sistemas de videovigilância pelos serviços de

segurança privada e de autoproteção; ou o Decreto-Lei n.º 135/2014, de 8 de setembro, que estabelece o regime

jurídico dos sistemas de segurança privada dos estabelecimentos de restauração e de bebidas que disponham

de salas ou espaços destinados a dança.

Ainda com relevo para a apreciação em causa, cumpre mencionar o Regime Jurídico Aplicável ao Tratamento

de Dados do Sistema Judicial, aprovado pela Lei n.º 34/2009, de 14 de julho11, diploma que tem em curso uma

proposta de lei (PPL n.º 126/XIII (3.ª)] que se encontra pendente.

Cumpre também referir que o Gabinete Nacional de Segurança disponibiliza no seu portal na Internet um

manual de boas práticas, dividido em três partes, com o objetivo de auxiliar as organizações a adequarem os

seus procedimentos ao RGPD sobre as seguintes matérias:

 Parte I – Deveres e responsabilidades das organizações;

 Parte II – Contributos para políticas e procedimentos e;

 Parte III – Segurança Física.

8 Esta diretiva foi declarada inválida pelo Acórdão do Tribunal de Justiça de 8 de abril de 2014, conhecido como «Acórdão Digital Rights Ireland». 9 Com as alterações introduzidas pelas Leis n.os 40/2013, de 25 de junho e 90/2017, de 22 de agosto. 10 Retirada do portal da Internet do Diário da República Eletrónico. 11 Versão consolidada retirada do portal da Internet da Procuradoria-Geral Distrital de Lisboa.