O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Página 1

Segunda-feira, 22 de julho de 2019 II Série-A — Número 131

XIII LEGISLATURA 4.ª SESSÃO LEGISLATIVA (2018-2019)

S U M Á R I O

Decretos da Assembleia da República (n.os 333, 336, 337 e 339/XIII): N.º 333/XIII — Segunda alteração à Lei n.º 34/2009, de 14 de julho, que estabelece o regime jurídico aplicável ao tratamento de dados referentes ao sistema judicial. N.º 336/XIII — Aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, transpondo a Diretiva (UE)

2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016. N.º 337/XIII — Regula o exercício da profissão de criminólogo. N.º 339/XIII — Assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

Página 2

II SÉRIE-A — NÚMERO 131

2

DECRETO DA ASSEMBLEIA DA REPÚBLICA N.º 333/XIII

SEGUNDA ALTERAÇÃO À LEI N.º 34/2009, DE 14 DE JULHO, QUE ESTABELECE O REGIME

JURÍDICO APLICÁVEL AO TRATAMENTO DE DADOS REFERENTES AO SISTEMA JUDICIAL

A Assembleia da República decreta, nos termos da alínea c) do artigo 161.º da Constituição, o seguinte:

Artigo 1.º

Objeto

A presente lei procede à segunda alteração à Lei n.º 34/2009, de 14 de julho, que estabelece o regime

jurídico aplicável ao tratamento de dados referentes ao sistema judicial, alterada pela Lei n.º 30/2017, de 30 de

maio, adaptando o referido regime ao disposto no Regulamento (UE) 2016/679 do Parlamento e do Conselho,

de 27 de abril de 2016, na Lei n.º [PPL 120/XIII], que assegura a sua execução na ordem jurídica interna, e na

Lei n.º [PPL 125/XIII], que transpõe para a ordem jurídica interna a Diretiva (UE) 2016/680 do Parlamento

Europeu e do Conselho, de 27 de abril de 2016.

Artigo 2.º

Alteração à Lei n.º 34/2009, de 14 de julho

Os artigos 1.º a 27.º, 29.º a 32.º, 35.º a 44.º, 47.º, 48.º, 50.º a 52.º, 54.º a 56.º e 58.º da Lei n.º 34/2009, de

14 de julho, na sua redação atual, passam a ter a seguinte redação:

«Artigo 1.º

[…]

1 - A presente lei estabelece o regime jurídico aplicável ao tratamento de dados pessoais referentes ao

sistema judiciário, incluindo os dados relativos aos meios de resolução alternativa de litígios, nomeadamente

quanto aos dados a tratar e ao objetivo e à finalidade do tratamento, adotando regras sobre:

a) A recolha e o tratamento dos dados necessários ao exercício das competências dos magistrados, dos

funcionários de justiça e dos órgãos de polícia criminal no âmbito do processo penal, bem como ao exercício

dos direitos dos demais intervenientes nos processos jurisdicionais e da competência do Ministério Público;

b) A recolha e o tratamento dos dados necessários ao exercício das competências dos juízes de paz e dos

funcionários dos julgados de paz, bem como ao exercício dos direitos dos demais intervenientes nos

respetivos processos;

c) A recolha e o tratamento dos dados necessários ao exercício das competências dos mediadores dos

sistemas públicos de mediação, bem como ao exercício dos direitos dos demais intervenientes nos processos

nos sistemas públicos de mediação;

d) O registo e o tratamento dos dados referidos nas alíneas a), b) e c);

e) As entidades responsáveis pelo tratamento dos dados referidos nas alíneas a), b) e c) e pelo

desenvolvimento aplicacional;

f) A consulta e o acesso aos dados por outras entidades;

g) O intercâmbio e a transferência dos dados referidos nas alíneas a), b) e c);

h) A conservação, o arquivamento e o apagamento dos dados referidos nas alíneas a), b) e c);

i) As condições de segurança dos dados referidos nas alíneas a), b) e c);

j) A utilização de dados para efeitos de tratamento estatístico; e

l) As sanções aplicáveis ao incumprimento das disposições da presente lei.

2 - A presente lei complementa o disposto no Regulamento (UE) 2016/679 do Parlamento Europeu e do

Conselho, de 27 de abril de 2016, na Lei n.º [PPL 120/XIII], que assegura a sua execução na ordem jurídica

interna, e na Lei n.º [PPL 125/XIII], que transpõe para a ordem jurídica interna a Diretiva (UE) 2016/680 do

Página 3

22 DE JULHO DE 2019

3

Parlamento Europeu e do Conselho, de 27 de abril de 2016, doravante designados «regimes de proteção de

dados pessoais».

Artigo 2.º

Proteção de dados pessoais e princípios do tratamento

1 - Os tribunais, o Ministério Público, os órgãos de gestão e disciplina judiciários, os julgados de paz, as

secretarias dos tribunais e do Ministério Público e as entidades gestoras dos sistemas públicos de mediação

asseguram a proteção das pessoas no que diz respeito ao tratamento de dados pessoais no âmbito da sua

atividade e ao exercício dos direitos dos respetivos titulares relativamente aos dados que lhes digam respeito,

nos termos dos regimes de proteção de dados pessoais e da presente lei.

2 - A recolha, o registo e as demais operações de tratamento de dados pessoais observam os princípios

estabelecidos no artigo 5.º do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de

2016, e no artigo 4.º da Lei n.º [PPL 125/XIII].

3 - Sem prejuízo dos direitos que lhe assistem nos termos da presente lei, é vedada ao titular dos dados a

oposição ao seu tratamento nos termos e para as finalidades previstas nas leis do processo.

4 - O disposto nos números anteriores é correspondentemente aplicável ao tratamento de dados pessoais

pelos órgãos de polícia criminal, no âmbito do processo penal, e pelos serviços e entidades que procedam ao

tratamento de dados pessoais que constem ou sejam destinados a processos da competência das autoridades

judiciárias, no âmbito de funções de coadjuvação e de execução de decisões destas autoridades.

5 - As especificações relativas aos dados a tratar e aos objetivos e às finalidades do tratamento a que se

refere o número anterior constam das leis de organização dos órgãos, serviços e entidades respetivas.

Artigo 3.º

[…]

Podem ser objeto de recolha e dos necessários tratamentos subsequentes os dados referentes:

a) ...................................................................................................................................................................... ;

b) ...................................................................................................................................................................... ;

c) ...................................................................................................................................................................... ;

d) ...................................................................................................................................................................... ;

e) ...................................................................................................................................................................... ;

f) ....................................................................................................................................................................... ;

g) ...................................................................................................................................................................... À

s medidas de coação e à detenção;

h) ...................................................................................................................................................................... ;

i) Às medidas de garantia patrimonial;

j) Ao congelamento, à apreensão e à perda de bens, produtos e vantagens do crime;

l) [Anterior alínea i)];

m) [Anterior alínea j)].

Artigo 4.º

Finalidades da recolha e do tratamento dos dados

1 - A recolha e o tratamento dos dados referidos no artigo anterior têm as seguintes finalidades:

a) [Anterior alínea a) do corpo do artigo];

b) [Anterior alínea b) do corpo do artigo];

c) Permitir a tramitação eletrónica ou não eletrónica dos processos judiciais e da competência do Ministério

Público, dos processos nos julgados de paz e dos processos nos sistemas públicos de mediação, bem como

possibilitara respetiva decisão;

Página 4

II SÉRIE-A — NÚMERO 131

4

d) Facultar aos órgãos e agentes auxiliares ou de coadjuvação dos tribunais e das autoridades judiciárias,

bem como aos diversos intervenientes processuais, as informações de que necessitem ou às quais possam

aceder, nos termos da lei;

e) Assegurar a realização da investigação, do inquérito e do exercício da ação penal, nos termos da

Constituição e da lei, bem como o cumprimento das leis de política criminal;

f) Facultar aos órgãos, entidades e serviços competentes as informações necessárias ao registo e

execução de decisões judiciais e do Ministério Público, nos termos da lei;

g) [Anterior alínea f) do corpo do artigo];

h) [Anterior alínea g) do corpo do artigo];

i) [Anterior alínea h) do corpo do artigo];

j) [Anterior alínea i) do corpo do artigo];

l) [Anterior alínea j) do corpo do artigo];

m) [Anterior alínea l) do corpo do artigo];

n) [Anterior alínea m) do corpo do artigo];

o) [Anterior alínea n) do corpo do artigo];

p) [Anterior alínea o) do corpo do artigo]; e

q) [Anterior alínea p) do corpo do artigo].

2 - Os responsáveis pelo tratamento asseguram uma distinção clara entre os dados pessoais das diferentes

categorias dos titulares dos dados a que se referem os artigos 6.º a 22.º.

Artigo 5.º

Formas de recolha e tratamento

1 - ....................................................................................................................................................................... :

a) ...................................................................................................................................................................... ;

b) ...................................................................................................................................................................... ;

c) ...................................................................................................................................................................... ;

d) ...................................................................................................................................................................... ;

e) Junto de outros órgãos e agentes auxiliares ou de coadjuvação dos tribunais e das autoridades

judiciárias;

f) [Anterior alínea e)];

g) [Anterior alínea f)];

h) [Anterior alínea g)];

i) [Anterior alínea h)];

j) [Anterior alínea i)].

2 - (Revogado).

3 - .......................................................................................................................................................................

4 - ....................................................................................................................................................................... .

Artigo 6.º

[…]

Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes

aos processos nos tribunais judiciais:

a) Dados dos magistrados aos quais o processo se encontra distribuído, dos funcionários de justiça que os

coadjuvam, dos funcionários dos órgãos de polícia criminal no âmbito do processo penal e dos serviços e

entidades que exerçam funções de coadjuvação ou de execução de decisões;

b) ...................................................................................................................................................................... ;

c) ...................................................................................................................................................................... ;

d) ...................................................................................................................................................................... ;

Página 5

22 DE JULHO DE 2019

5

e) ...................................................................................................................................................................... ;

f) ....................................................................................................................................................................... ;

g) ...................................................................................................................................................................... ;

h) ...................................................................................................................................................................... ;

i) Dados de identificação e contacto dos administradores judiciais provisórios, dos administradores de

insolvência e dos agentes de execução, bem como dados necessários ao processamento do pagamento das

suas remunerações e honorários;

j) Dados de identificação, contacto, localização e situação processual do arguido em processo penal,

incluindo os dados do termo de identidade e residência;

l) Dados relativos às decisões judiciais e aos recursos; e

m) [Anterior alínea l) do corpo do artigo].

Artigo 7.º

[…]

Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes

aos processos nos tribunais administrativos e fiscais:

a) Dados dos magistrados aos quais o processo se encontra distribuído, dos funcionários de justiça que os

coadjuvam e dos funcionários dos serviços e entidades que exerçam funções de coadjuvação ou de execução

de decisões;

b) ...................................................................................................................................................................... ;

c) ...................................................................................................................................................................... ;

d) ...................................................................................................................................................................... ;

e) ...................................................................................................................................................................... ;

f) ....................................................................................................................................................................... ;

g) Dados de identificação e contacto dos agentes de execução, bem como dados necessários ao

processamento do pagamento das suas remunerações e honorários;

h) Dados relativos às decisões judiciais e aos recursos; e

i) [Anterior alínea g)].

Artigo 8.º

[…]

Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes

aos inquéritos em processo penal:

a) Dados dos magistrados aos quais o processo se encontra distribuído, dos funcionários de justiça que os

coadjuvam, dos funcionários dos órgãos de polícia criminal no âmbito do processo penal e dos serviços e

entidades que exerçam funções de coadjuvação ou de execução de decisões;

b) ...................................................................................................................................................................... ;

c) ...................................................................................................................................................................... ;

d) ...................................................................................................................................................................... ;

e) ...................................................................................................................................................................... ;

f) ....................................................................................................................................................................... ;

g) Dados de identificação, contacto e localização do suspeito e do denunciado;

h) Dados de identificação, contacto, localização e situação processual do arguido, incluindo os dados do

termo de identidade e residência;

i) Dados relativos às decisões de acusação e de arquivamento do inquérito; e

j) [Anterior alínea h)];

Página 6

II SÉRIE-A — NÚMERO 131

6

Artigo 9.º

[…]

Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes

aos demais processos, procedimentos e expediente da competência do Ministério Público:

a) Dados dos magistrados aos quais o processo, procedimento ou expediente se encontra distribuído e

dos funcionários de justiça que os coadjuvam;

b) ...................................................................................................................................................................... ;

c) ...................................................................................................................................................................... ;

d) ...................................................................................................................................................................... ;

e) ...................................................................................................................................................................... ;

f) Dados de identificação de requerentes, de pessoas visadas e de outros intervenientes;

g) Dados relativos a decisões; e

h) Dados relativos à tramitação do processo, procedimento e expediente.

Artigo 10.º

[…]

Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes à

conexão processual no processo penal:

a) ...................................................................................................................................................................... ;

b) ...................................................................................................................................................................... ;

c) ...................................................................................................................................................................... ;

d) ...................................................................................................................................................................... ;

e) ...................................................................................................................................................................... ; e

f) .......................................................................................................................................................................

Artigo 11.º

[…]

Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes à

suspensão provisória do processo penal e ao arquivamento em caso de dispensa de pena:

a) ....................................................................................................................................... ;

b) ....................................................................................................................................... ;

c) ....................................................................................................................................... ;

d) .................................................................................................................................. ; e

e) .......................................................................................................................................

Artigo 12.º

Dados das medidas de coação e da detenção

Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes

às medidas de coação e à detenção:

a) Nome das pessoas a quem sejam aplicadas medidas de coação ou detidas, com indicação da medida

aplicada, identificação das respetivas datas de início, suspensão e fim, do tribunal e do processo à ordem do

qual foram decretadas, dos tipos de crime imputados, da data da prática dos factos, bem como do estado do

processo e identificação do tribunal e do processo à ordem do qual as pessoas se encontrem detidas ou

sujeitas a medidas de coação; e

b) .......................................................................................................................................

Página 7

22 DE JULHO DE 2019

7

Artigo 13.º

[…]

Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes

às ordens de detenção:

a) ...................................................................................................................................................................... ;

b) ...................................................................................................................................................................... ;

c) ...................................................................................................................................................................... ;

d) ...................................................................................................................................................................... ;

e) ...................................................................................................................................................................... ;

f) ....................................................................................................................................................................... ;

g) ...................................................................................................................................................................... ;

h) ...................................................................................................................................................................... ;

i) ....................................................................................................................................................................... ;

j) ....................................................................................................................................................................... ;

l) ....................................................................................................................................................................... ;

m) ..................................................................................................................................................................... ;

n) ...................................................................................................................................................................... ;

o) ...................................................................................................................................................................... ;

p) ...................................................................................................................................................................... ;

q) ...................................................................................................................................................................... ;

r)....................................................................................................................................................................... ;

s) ...................................................................................................................................................................... ;

t) ....................................................................................................................................................................... ;

u) ...................................................................................................................................................................... ; e

v) ......................................................................................................................................................................

Artigo 14.º

[…]

Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes

aos processos nos julgados de paz:

a) ...................................................................................................................................................................... ;

b) ...................................................................................................................................................................... ;

c) ...................................................................................................................................................................... ;

d) ...................................................................................................................................................................... ;

e) ...................................................................................................................................................................... ;

f) ....................................................................................................................................................................... ; e

g) ......................................................................................................................................................................

Artigo 15.º

[…]

Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes

aos processos nos sistemas públicos de mediação:

a) ...................................................................................................................................................................... ;

b) ...................................................................................................................................................................... ;

c) ...................................................................................................................................................................... ;

Página 8

II SÉRIE-A — NÚMERO 131

8

d) ...................................................................................................................................................................... ;

e) ...................................................................................................................................................................... ; e

f) .......................................................................................................................................................................

Artigo 16.º

Magistrados, funcionários de justiça, funcionários dos órgãos de polícia criminal e dos serviços e entidades

que exerçam funções de coadjuvação ou de execução de decisões

Nos termos das alíneas a) e b) dos artigos 6.º, 7.º, 8.º e 9.º, podem ser objeto de recolha e dos necessários

tratamentos subsequentes os seguintes dados referentes aos magistrados, aos funcionários de justiça, aos

funcionários dos órgãos de polícia criminal e dos serviços e entidades que exerçam funções de coadjuvação

ou de execução de decisões:

a) ...................................................................................................................................................................... ;

b) ...................................................................................................................................................................... ;

c) ...................................................................................................................................................................... ;

d) ...................................................................................................................................................................... ;

e) ...................................................................................................................................................................... ; e

f) .......................................................................................................................................................................

Artigo 17.º

[…]

Nos termos da alínea c) dos artigos 6.º, 7.º, 8.º e 9.º e da alínea e) do artigo 6.º, podem ser objeto de

recolha e dos necessários tratamentos subsequentes os seguintes dados referentes, respetivamente, às

partes, ao arguido e às autoridades recorridas em processo contraordenacional, bem como aos assistentes,

lesados, ofendidos, partes civis, queixosos e vítimas:

a) ...................................................................................................................................................................... ;

b) ...................................................................................................................................................................... ;

c) ...................................................................................................................................................................... ;

d) ...................................................................................................................................................................... ;

e) ...................................................................................................................................................................... ;

f) ....................................................................................................................................................................... ;

g) ...................................................................................................................................................................... ; e

h) ......................................................................................................................................................................

Artigo 18.º

[…]

Nos termos da alínea f) do artigo 6.º e da alínea d) dos artigos 7.º, 8.º e 9.º, podem ser objeto de recolha e

dos necessários tratamentos subsequentes os seguintes dados referentes às testemunhas:

a) ...................................................................................................................................................................... ;

b) ...................................................................................................................................................................... ;

c) ...................................................................................................................................................................... ;

d) ...................................................................................................................................................................... ;

e) ...................................................................................................................................................................... ;

f) ....................................................................................................................................................................... ;

g) ...................................................................................................................................................................... ;

h) ...................................................................................................................................................................... ;

i) ....................................................................................................................................................................... ; e

Página 9

22 DE JULHO DE 2019

9

j) .......................................................................................................................................................................

Artigo 19.º

[…]

Nos termos da alínea g) do artigo 6.º e da alínea e) dos artigos 7.º, 8.º e 9.º, podem ser objeto de recolha e

dos necessários tratamentos subsequentes os seguintes dados referentes aos defensores, advogados e

mandatários:

a) ...................................................................................................................................................................... ;

b) ...................................................................................................................................................................... ;

c) ...................................................................................................................................................................... ;

d) ...................................................................................................................................................................... ;

e) ...................................................................................................................................................................... ;

f) ....................................................................................................................................................................... ;

g) ...................................................................................................................................................................... ;

h) ...................................................................................................................................................................... ;

i) ....................................................................................................................................................................... ;

j) ....................................................................................................................................................................... ; e

l) .......................................................................................................................................................................

Artigo 20.º

Peritos, consultores técnicos, assessores técnicos, administradores judiciais provisórios, administradores

da insolvência e agentes de execução

Nos termos das alíneas h) e i) do artigo 6.º e da alínea f) dos artigos 7.º, 8.º e 9.º, podem ser objeto de

recolha e dos necessários tratamentos subsequentes os seguintes dados referentes aos peritos, consultores

técnicos, assessores técnicos, administradores judiciais provisórios, administradores da insolvência e agentes

de execução:

a) ...................................................................................................................................................................... ;

b) ...................................................................................................................................................................... ;

c) ...................................................................................................................................................................... ;

d) ...................................................................................................................................................................... ;

e) ...................................................................................................................................................................... ;

f) ....................................................................................................................................................................... ;

g) ...................................................................................................................................................................... ; e

h) Número de cédula profissional ou de outro documento de identificação profissional.

Artigo 21.º

[…]

Nos termos da alínea j) do artigo 6.º e da alínea g) do artigo 8.º, podem ser objeto de recolha e dos

necessários tratamentos subsequentes os seguintes dados referentes ao arguido em processo penal:

a) ...................................................................................................................................................................... ;

b) ...................................................................................................................................................................... ;

c) No caso de pessoas singulares, filiação, freguesia e concelho de naturalidade, data de nascimento,

estado civil, número de identificação civil ou, caso este não exista ou não seja conhecido, número do

passaporte ou de outro documento de identificação idóneo e, sendo proferida decisão condenatória, estando

presente o arguido no julgamento, as suas impressões digitais e assinatura;

d) ...................................................................................................................................................................... ;

Página 10

II SÉRIE-A — NÚMERO 131

10

e) ...................................................................................................................................................................... ;

f) ....................................................................................................................................................................... ;

g) ...................................................................................................................................................................... ;

h) ...................................................................................................................................................................... ;

i) ....................................................................................................................................................................... ;

j) ....................................................................................................................................................................... ;

l) ....................................................................................................................................................................... ;

m) ..................................................................................................................................................................... ;

n) ...................................................................................................................................................................... ;

o) ...................................................................................................................................................................... ;

p) ...................................................................................................................................................................... ;

q) ...................................................................................................................................................................... ;

r)....................................................................................................................................................................... ;

s) ...................................................................................................................................................................... ;

t) ....................................................................................................................................................................... ;

u) ...................................................................................................................................................................... ;

v) ...................................................................................................................................................................... ;

x) ...................................................................................................................................................................... ;

z) ...................................................................................................................................................................... ;

aa) .................................................................................................................................................................... ;

bb) .................................................................................................................................................................... ;

cc) .................................................................................................................................................................... ;

dd) .................................................................................................................................................................... ; e

ee) ....................................................................................................................................................................

Artigo 22.º

[…]

1 - Nos termos da alínea m) do artigo 6.º, da alínea i) do artigo 7.º, da alínea j) do artigo 8.º, da alínea h) do

artigo 9.º, da alínea g) do artigo 14.º e da alínea f) do artigo 15.º, podem ser objeto de recolha e dos

necessários tratamentos subsequentes, designadamente, os seguintes dados referentes à tramitação do

processo:

a) ...................................................................................................................................................................... ;

b) ...................................................................................................................................................................... ;

c) ...................................................................................................................................................................... ;

d) ...................................................................................................................................................................... ;

e) ...................................................................................................................................................................... ;

f) ....................................................................................................................................................................... ;

g) ...................................................................................................................................................................... ;

h) ...................................................................................................................................................................... ;

i) Tipo de decisão final, recursos e resultados dos recursos;

j) ....................................................................................................................................................................... ;

l) Momento de início do processo e da decisão final;

m) ..................................................................................................................................................................... ;

n) ...................................................................................................................................................................... ;

o) ...................................................................................................................................................................... ;

p) ...................................................................................................................................................................... ;

q) ...................................................................................................................................................................... ;

r)....................................................................................................................................................................... ; e

s) ...................................................................................................................................................................... .

Página 11

22 DE JULHO DE 2019

11

2 - .......................................................................................................................................................................

3 - .......................................................................................................................................................................

4 - .......................................................................................................................................................................

5 - .......................................................................................................................................................................

6 - .......................................................................................................................................................................

7 - .......................................................................................................................................................................

8 - ....................................................................................................................................................................... :

a) ...................................................................................................................................................................... ;

b) ...................................................................................................................................................................... ;

c) ...................................................................................................................................................................... ;

d) ...................................................................................................................................................................... ;

e) ...................................................................................................................................................................... ;

f) ....................................................................................................................................................................... ;

g) Dados referentes a exames, buscas e outros meios de obtenção de prova.

9 – ...................................................................................................................................................................

10 – .................................................................................................................................................................

Artigo 23.º

[…]

1 - Para efeitos do disposto nos regimes de proteção de dados pessoais, são responsáveis pelo tratamento

de dados:

a) Os magistrados judiciais e do Ministério Público competentes, nos termos da lei do processo,

relativamente aos dados tratados no âmbito e em atos do processo, no exercício da sua atividade processual e

sob a sua direção ou autoridade;

b) Os juízes de paz e os mediadores dos sistemas públicos de mediação, relativamente aos dados

pessoais tratados no âmbito dos respetivos processos;

c) As entidades supervisoras da gestão da informação a que se refere o artigo seguinte, relativamente a

outras operações de tratamento.

2 - No que se refere aos dados pessoais no processo, as entidades responsáveis pelo tratamento de dados

pessoais, nos termos das alíneas a) e b) do número anterior, asseguram a efetiva proteção dos direitos de

informação, de acesso e de retificação ou apagamento dos dados, nos termos dos regimes de proteção de

dados pessoais, por sua iniciativa ou mediante requerimento do respetivo titular.

3 - O Ministério Público é o responsável pelo tratamento dos dados previstos no artigo 9.º, designadamente

para efeitos do número anterior.

4 - Quando prossigam as finalidades previstas no artigo 33.º, consideram-se responsáveis pelo tratamento

as entidades nele indicadas, designadamente para efeitos de cumprimento das obrigações previstas no n.º 2

do presente artigo.

Artigo 24.º

Entidades supervisoras da gestão da informação

1 - O Conselho Superior da Magistratura é a entidade supervisora da gestão da informação referida:

a) ...................................................................................................................................................................... ;

b) ...................................................................................................................................................................... ; e

c) ......................................................................................................................................................................

Página 12

II SÉRIE-A — NÚMERO 131

12

2 - O Conselho Superior dos Tribunais Administrativos e Fiscais é a entidade supervisora da gestão da

informação referida na alínea b) do artigo 3.º.

3 - A Procuradoria-Geral da República é a entidade supervisora da gestão da informação referida:

a) ....................................................................................................................................... ;

b) .................................................................................................................................. ; e

c) .......................................................................................................................................

4 - O Conselho dos Julgados de Paz é a entidade supervisora da gestão da informação referida na alínea l)

do artigo 3.º.

5 - A Direção-Geral da Política de Justiça é a entidade supervisora da gestão da informação referida na

alínea m) do artigo 3.º.

6 - Os órgãos de polícia criminal são as entidades supervisoras da gestão da informação relativa aos

processos criminais referidos na alínea a) e dos dados mencionados nas alíneas c) a j) do artigo 3.º que

devam tratar no âmbito da sua atividade de coadjuvação das autoridades judiciárias ou por delegação destas

no âmbito do processo penal.

7 - Os serviços e entidades que procedam ao tratamento de dados pessoais, nos termos do n.º 4 do artigo

2.º, são as entidades supervisoras da gestão da informação dos dados pessoais relacionados com os

processos referidos no artigo 3.º que devam tratar no âmbito da sua competência.

8 - Compete em especial às entidades supervisoras da gestão da informação:

a) Colaborar com a Comissão Nacional de Proteção de Dados (CNPD) no exercício dos seus poderes e na

prossecução das suas atribuições relativamente à proteção e tratamento de dados pessoais no sistema

judiciário;

b) Aconselhar os responsáveis pelo tratamento de dados quanto a medidas relacionadas com a proteção

dos direitos em matéria de tratamento de dados no âmbito da presente lei;

c) Acompanhar auditorias técnicas e de segurança, com recurso, se necessário, a entidades externas;

d) Designar um encarregado de proteção de dados, nos termos e para os efeitos previstos nos regimes de

proteção de dados pessoais, comunicando essa designação à CNPD e à Comissão de Coordenação da

Gestão da Informação do Sistema Judiciário.

Artigo 25.º

Comissão de Coordenação da Gestão da Informação do Sistema Judiciário

1 - As competências das entidades supervisoras da gestão da informação são exercidas diretamente ou em

cooperação e de forma coordenada através da Comissão de Coordenação da Gestão da Informação do

Sistema Judiciário, adiante designada por Comissão.

2 - A Comissão é constituída pelo conselho superior e pelo conselho coordenador.

3 - Compete à Comissão:

a) Assegurar o exercício coordenado das competências das entidades supervisoras da gestão da

informação, nomeadamente a adoção das medidas técnicas e organizativas adequadas a garantir a segurança

dos dados pessoais;

b) Assegurar a cooperação no desenvolvimento das aplicações informáticas necessárias à tramitação dos

processos e à gestão do sistema judiciário, nos termos do n.º 2 do artigo seguinte;

c) Colaborar com a CNPD no exercício dos seus poderes e na prossecução das suas atribuições

relativamente à proteção e tratamento de dados pessoais no sistema judiciário;

d) Definir orientações e recomendações em matéria de requisitos de segurança dos dados das aplicações

informáticas necessárias à tramitação dos processos e à gestão do sistema judiciário, tendo designadamente

em conta as prioridades em matéria de desenvolvimento aplicacional, as possibilidades de implementação

técnica e os meios financeiros disponíveis;

e) Determinar a realização de auditorias técnicas e de segurança, com recurso, se necessário, a entidades

Página 13

22 DE JULHO DE 2019

13

externas;

f) Definir orientações e recomendações sobre efetivação e conservação de registos cronológicos de

operações de tratamento e requisitos de segurança;

g) Manter um registo atualizado dos encarregados de proteção de dados nomeados ao abrigo da presente

lei e solicitar e receber destes toda a informação relevante para o exercício das respetivas competências;

h) Manter um registo atualizado dos técnicos e responsáveis pela segurança da informação que

asseguram o desenvolvimento, a atualização, a manutenção, a confidencialidade, a integridade, a

autenticidade e a disponibilidade dos ficheiros e dos sistemas informáticos, incluindo aplicações e respetivos

subsistemas, necessários à tramitação dos processos e à gestão do sistema judiciário.

i) Ser informada pelos responsáveis pelo tratamento de dados e pelo Ministério da Justiça, nos termos da

competência prevista no artigo seguinte, de qualquer informação relevante para a proteção dos dados de que

tenham conhecimento, incluindo violações de dados pessoais ou do disposto na presente lei, e comunicar

essas situações às entidades competentes para efeitos penais ou disciplinares.

4 - O conselho superior da Comissão é constituído:

a) Pelo membro do Governo responsável pela área da justiça, que preside;

b) Por duas personalidades de reconhecido mérito designadas pela Assembleia da República;

c) Pelo Presidente do Conselho Superior da Magistratura;

d) Pelo Presidente do Conselho Superior dos Tribunais Administrativos e Fiscais;

e) Pelo Procurador-Geral da República;

f) Pelo Presidente do Conselho dos Julgados de Paz.

5 - Compete ao conselho superior da Comissão:

a) Aprovar o plano estratégico da Comissão;

b) Definir as orientações a serem aplicadas pelo conselho coordenador;

c) Homologar os relatórios de avaliação periódica e final de cumprimento do plano estratégico

apresentados pelo conselho coordenador;

d) Supervisionar a atividade do conselho coordenador;

e) Aprovar o regulamento interno da Comissão.

6 - O conselho coordenador é presidido pelo membro do Governo com competências no âmbito dos

sistemas de informação dos tribunais ou por seu representante e integrado por:

a) Dois representantes designados por cada uma das entidades referidas nos n.os 1 a 3 doartigo anterior,

um dos quais com competência e experiência técnica em matéria de administração de sistemas;

b) Um representantedesignado por cada uma das entidades referidas nos n.os 4 e 5 do artigo anterior,com

competência e experiência técnica em matéria de administração desistemas;

c) Dois representantes, um dos quais com aptidão e experiência técnica em matéria de administração de

sistemas, designados pelo Instituto de Gestão Financeira e Equipamentos da Justiça, IP, enquanto entidade

com competência pela apresentação de propostas de conceção, execução e manutenção dos recursos

tecnológicos e dos sistemas deinformação da justiça e pelo apoio aos utilizadores, por assegurar a

adequação dos sistemas de informação às necessidades de gestão e operacionalidade dos órgãos, serviços e

organismos da área da justiça, pela gestão da rede de comunicações da justiça, pelaelaboração de propostas

de articulação com o planoestratégico dos sistemas de informação na área da justiça, por projetos de

investimento em matéria de informática e de comunicações dos serviços e organismos da justiça, pela

construção e manutenção de bases de dados e pelacertificação;

d) Um representante designado pelaDireção-Geral da Administração da Justiça, enquanto entidade com

competências na definição das políticas de organização e gestão dos tribunais, na realização de estudos

tendentes à modernização e à racionalização dos meios à disposição do sistema judiciário, no

desenvolvimento, implantação, funcionamento e evolução dos sistemas de informação do sistema judiciário,

Página 14

II SÉRIE-A — NÚMERO 131

14

em matéria de gestão e administração dos funcionários de justiça, na elaboração de estatísticas oficiais na

área da justiça e em matéria de identificação criminal e registo de contumazes e de registo de medidas

tutelares educativas;

e) Um representante designado pela Secretaria-Geral do Ministério da Justiça, enquanto entidade

responsável pela promoção da inovação, modernização e política de qualidade do Ministério da Justiça, pela

contratação pública centralizada de bens e serviços e colaboração com outros serviços e organismos no

levantamento e agregação de necessidades, pela organização e preservação do arquivo histórico e pelo apoio

à Comissão;

f) Um representante designado pela Direcção-Geralda Política de Justiça, enquanto entidade

encarregada de participar na conceção e colaboração no desenvolvimento, na implantação, no funcionamento

e na evolução dos sistemas de informação.

7 - Integram ainda o conselho coordenador da Comissão, sempre que devam ser apreciados assuntos

relacionados com o tratamento de dados por que sejam responsáveis:

a) Um representante designado pela Direção-Geral de Reinserção e Serviços Prisionais, enquanto

entidade responsável pelo apoio aos tribunais e por assegurar a execução de decisões judiciais em matéria

penal e no âmbito do processo tutelar educativo e na elaboração de estatísticas oficiais da justiça;

b) Um representante de cada um dos órgãos de polícia criminal responsáveis pelo tratamento de dados

nos termos do n.º 6 do artigo 24.º.

8 - Sem prejuízo das competências do conselho superior, cabe ao conselho coordenador exercer as

competências previstas no n.º 3, bem como:

a) Apresentar ao conselho superior, para aprovação, o plano estratégico da Comissão;

b) Apresentar ao conselho superior, para homologação, os relatórios de avaliação periódica e final de

cumprimento do plano estratégico;

c) Aprovar os planos operacionais referentes à sua atividade.

9 - O presidente do conselho coordenador pode, ouvidos os demais membros, criar comités técnicos para o

exercício e desenvolvimento de algumas das competências do conselho coordenador.

10 - O conselho superior e o conselho coordenador da Comissão são apoiados pela Secretaria-Geral do

Ministério da Justiça, que faculta os meios necessários à sua instalação e ao seu funcionamento.

11 - A Comissão publica eletronicamente o regulamento interno, a composição, as orientações, as

recomendações e as deliberações, bem como a identificação e os contactos dos responsáveis de proteção de

dados.

12 - Os membros da Comissão não auferem qualquer acréscimo remuneratório ou abono pelo exercício das

suas funções.

Artigo 26.º

[…]

1 - Compete ao Instituto de Gestão Financeira e Equipamentos da Justiça, IP, nos termos e de acordo com

as orientações definidos pela tutela exercida pelo membro do Governo com competências no âmbito dos

sistemas de informação dos tribunais, e sem prejuízo dos regimes do segredo de justiça, do segredo de

Estado e de outros regimes legais de segredo ou proteção, a definição, a conceção, o desenvolvimento e a

manutenção das aplicações informáticas necessárias à tramitação dos processos e à gestão do sistema

jurisdicional, incluindo:

a) Proceder à necessária análise, implementação e suporte, assegurando que as aplicações informáticas

respeitam todas as regras de segurança previstas na presente lei e na demais legislação aplicável;

b) Criar e manter atualizado um registo de especificações técnicas e funcionais de sistemas e ficheiros

Página 15

22 DE JULHO DE 2019

15

automatizados de tratamento de dados pessoais e das medidas técnicas e organizativas adequadas a garantir

a segurança dos dados;

c) Criar e manter um registo atualizado dos técnicos e responsáveis pela segurança da informação que

asseguram o desenvolvimento, a atualização, a manutenção, a confidencialidade, a integridade, a

autenticidade e a disponibilidade dos ficheiros e dos sistemas informáticos.

2 - No âmbito das competências referidas no número anterior, o Instituto de Gestão Financeira e

Equipamentos da Justiça, IP, deve comunicar à Comissão os desenvolvimentos que possam determinar

alterações à recolha e tratamento de dados efetuados nas aplicações informáticas e cumprir as orientações da

mesma relativas à proteção e segurança da informação, podendo a Comissão apresentar propostas de

desenvolvimento das aplicações informáticas, bem como determinar a realização de auditorias às mesmas e

ter acesso aos resultados de todas as auditorias realizadas.

3 - Sem prejuízo das competências da Comissão, as aplicações informáticas necessárias à tramitação dos

processos e à gestão do sistema jurisdicional e respetivos subsistemas são objeto de auditorias de segurança,

com recurso, se necessário, a entidades externas, sendo os requisitos básicos de segurança das aplicações

definidos por portaria do membro do Governo responsável pela área da justiça, ouvidas as entidades

representadas no conselho superior da Comissão.

4 - No desenvolvimento de aplicações informáticas para tratamento dos dados referentes ao sistema

judiciário deve considerar-se a utilização de aplicações não proprietárias e a adoção de normas abertas para a

informação em suporte digital.

Artigo 27.º

[…]

1 - .......................................................................................................................................................................

2 - ....................................................................................................................................................................... :

a) A consulta dos dados abrangidos pelo segredo de justiça, pelo segredo de Estado ou por outro regime

legal de segredo ou proteção se efetua nos termos da legislação que regula os respetivos regimes;

b) ...................................................................................................................................................................... ;

c) ...................................................................................................................................................................... .

Artigo 29.º

[…]

1 - Sem prejuízo dos regimes do segredo de justiça, do segredo de Estado e de outros regimes legais de

segredo ou proteção, têm acesso aos dados referidos no artigo 3.º, nos termos previstos na presente lei e nos

limites das suas competências ou direitos, no âmbito de um determinado processo:

a) ...................................................................................................................................................................... ;

b) ...................................................................................................................................................................... ;

c) Os órgãos e agentes auxiliares ou de coadjuvação dos tribunais e das autoridades judiciárias;

d) Os administradores judiciais provisórios, os administradores de insolvência e os agentes de execução;

e) [Anterior alínea c)];

f) [Anterior alínea d)];

g) [Anterior alínea e)];

h) [Anterior alínea f)];

i) [Anterior alínea g)];

j) Os juízes presidentes dos tribunais de comarca, designadamente nos termos e para os efeitos previstos

no n.º 10 do artigo 94.º da Lei n.º 62/2013, de 23 de agosto, na sua redação atual;

l) [Anterior alínea i)];

m) [Anterior alínea j)];

Página 16

II SÉRIE-A — NÚMERO 131

16

n) [Anterior alínea l)];

o) [Anterior alínea m)].

2 - As operações de tratamento dos dados são dotadas de especiais medidas de segurança, as quais

garantem, designadamente:

a) ...................................................................................................................................................................... ;

b) ...................................................................................................................................................................... ;

c) ...................................................................................................................................................................... ;

d) ...................................................................................................................................................................... ;

e) ...................................................................................................................................................................... .

3 - .......................................................................................................................................................................

Artigo 30.º

Consulta e tratamento de dados pelos magistrados, funcionários de justiça, funcionários dos serviços e

entidades que exerçam funções de coadjuvação ou de execução de decisões, administradores judiciais

provisórios, administradores de insolvência e agentes de execução

1 - Os magistrados, os funcionários de justiça que os coadjuvam, os funcionários dos órgãos de polícia

criminal e dos serviços e entidades que exerçam funções de coadjuvação ou de execução de decisões, os

administradores judiciais provisórios, os administradores de insolvência e os agentes de execução podem

consultar e tratar:

a) Os dados dos processos nos tribunais judiciais e nos tribunais administrativos e fiscais que sejam da

sua competência, na fase em que se encontrem;

b) ...................................................................................................................................................................... ;

c) ...................................................................................................................................................................... ;

d) Os dados das medidas de coação e da detenção relativos a quem seja arguido em processos que sejam

da sua competência;

e) ...................................................................................................................................................................... ;

f) ....................................................................................................................................................................... .

2 - Os magistrados do Ministério Público e os funcionários de justiça que os coadjuvam, bem como os

órgãos de polícia criminal, devidamente autorizados pelo magistrado competente e enquanto se mantiver a

coadjuvação, podem consultar e tratar os dados dos inquéritos em processo penal e dos demais processos da

competência do Ministério Público, relativos a processos que sejam da sua competência.

3 - Os juízes de instrução e os funcionários de justiça que os coadjuvam podem consultar e tratar os dados

dos inquéritos em processo penal, relativos a processos que sejam da sua competência, quando tais dados

sejam necessários para o exercício das competências que lhes cabem, nos termos da lei, durante o inquérito.

4 - .......................................................................................................................................................................

Artigo 31.º

Consulta pelas partes, arguido, assistente, vítima,partes civis, defensores, advogados, advogados

estagiários, solicitadores e demais mandatários

Sem prejuízo dos regimes do segredo de justiça e do segredo de Estado e de outros regimes legais de

segredo ou de proteção, as partes, o arguido, o assistente, a vítima e as partes civis, bem como os seus

defensores, advogados, advogados estagiários, solicitadores e demais mandatários, podem consultar os

seguintes dados, relativos aos respetivos processos:

a) ...................................................................................................................................................................... ;

Página 17

22 DE JULHO DE 2019

17

b) ...................................................................................................................................................................... ;

c) ...................................................................................................................................................................... ;

d) ...................................................................................................................................................................... ;

e) ...................................................................................................................................................................... ;

f) ....................................................................................................................................................................... ; e

g) ......................................................................................................................................................................

Artigo 32.º

[…]

1 - ....................................................................................................................................................................... :

a) O Procurador-Geral da República e o Vice-Procurador-Geral da República podem consultar os dados

relativos aos processos nos tribunais judiciais e nos tribunais administrativos e fiscais, os dados relativos aos

inquéritos em processo penal e os dados relativos aos demais processos da competência do Ministério

Público;

b) O procurador-geral adjunto que dirige o Departamento Central de Investigação e Ação Penal pode

consultar os dados relativos aos processos penais nos tribunais judiciais, bem como os dados relativos aos

inquéritos e a processos da competência daquele Departamento e de outros serviços e departamentos do

Ministério Público, estritamente para efeitos de coordenação;

c) O procurador-geral distrital pode consultar os dados relativos aos processos nos tribunais judiciais, aos

inquéritos em processo penal e aos demais processos da competência do Ministério Público, respeitantes aos

processos que corram na respetiva área de competência territorial;

d) Os procuradores-gerais adjuntos que representam o Ministério Público nos tribunais centrais

administrativos podem consultar os dados relativos aos processos que corram nos respetivos tribunais, bem

como aos processos nos tribunais administrativos e fiscais, nos tribunais administrativos de círculo e nos

tribunais tributários localizados na respetiva área de jurisdição;

e) O procurador-geral adjunto ou o procurador da República coordenador de comarca pode consultar os

dados relativos aos inquéritos em processo penal e aos demais processos da competência do Ministério

Público, relacionados com processos que corram na respetiva área de competência territorial;

f) O procurador-geral-adjunto ou o procurador da República que dirige um departamento de investigação e

ação penal pode consultar os dados dos processos penais nos tribunais judiciais, bem como os dados do

inquérito em processo penal, relativos aos processos que corram no respetivo departamento;

g) Os procuradores-gerais-adjuntos ou procuradores da República que dirijam uma procuradoria da

República e, quando existam, os procuradores da República coordenadores ou com funções específicas de

coordenação podem consultar os dados relativos aos processos nos tribunais judiciais e os dados dos

inquéritos em processo penal relativos, respetivamente, aos processos atribuídos à respetiva procuradoria da

República e aos processos em relação aos quais tenham funções de coordenação; e

h) Os procuradores da República que representam o Estado nos tribunais administrativos de círculo e nos

tribunais tributários e que neles tenham funções de coordenação podem consultar os dados relativos aos

processos nos tribunais administrativos e fiscais distribuídos a magistrados do Ministério Público que exerçam

funções no mesmo tribunal.

2 - ....................................................................................................................................................................... .

3 - ....................................................................................................................................................................... .

4 - ....................................................................................................................................................................... .

Artigo 35.º

[…]

É permitida a disponibilização, em sítio na Internet acessível ao público, de dados não abrangidos pelo

segredo de justiça ou de Estado ou por outros regimes legais de segredo ou proteção nos termos da lei, de

Página 18

II SÉRIE-A — NÚMERO 131

18

acordo com o disposto nos regimes de proteção de dados pessoais.

Artigo 36.º

Direitos do titular dos dados

1 - A qualquer pessoa devidamente identificada e que o solicite por escrito são reconhecidos os direitos de

informação, de acesso, de retificação e de apagamento dos dados que lhe respeitem, nos termos e com as

limitações previstas nos regimes de proteção de dados.

2 - Os pedidos referidos no n.º 1 podem ser efetuados por meios eletrónicos, nos termos a regular por

portaria do membro do Governo responsável pela área da justiça.

3 - (Revogado).

Artigo 37.º

Interoperabilidade com outros sistemas

1 - Para os efeitos previstos na lei, pode existir interoperabilidade, por meios eletrónicos, com os seguintes

sistemas, precedida de parecer da CNPD:

a) ...................................................................................................................................................................... ;

b) ...................................................................................................................................................................... ;

c) ...................................................................................................................................................................... ;

d) ...................................................................................................................................................................... ;

e) ...................................................................................................................................................................... ;

f) ....................................................................................................................................................................... ;

g) ...................................................................................................................................................................... ;

h) Da identificação civil e criminal;

i) ....................................................................................................................................................................... ;

j) ....................................................................................................................................................................... ;

l) ....................................................................................................................................................................... ;

m) ..................................................................................................................................................................... ;

n) ...................................................................................................................................................................... ;

o) ...................................................................................................................................................................... ;

p) ...................................................................................................................................................................... ;

q) ...................................................................................................................................................................... ;

r) Da Ordem dos Solicitadores e dos Agentes de Execução;

s) ...................................................................................................................................................................... ;

t) Das Unidades de Informação Financeira e de Informação de Passageiros;

u) Das autoridades de supervisão e dos serviços de inspeção, auditoria e fiscalização do Estado;

v) [Anterior alínea t)].

2 - ....................................................................................................................................................................... .

3 - ....................................................................................................................................................................... .

4 - ....................................................................................................................................................................... .

5 - ....................................................................................................................................................................... .

Artigo 38.º

[…]

1 - Os magistrados, os funcionários de justiça, os funcionários dos órgãos de polícia criminal e dos serviços

e entidades que exerçam funções de coadjuvação ou de execução de decisões, os administradores judiciais

provisórios, os administradores de insolvência e os agentes de execução podem aceder aos dados constantes

dos sistemas referidos no n.º 1 do artigo anterior para fins de identificação, localização ou contacto

Página 19

22 DE JULHO DE 2019

19

atualizados, em condições de segurança, celeridade e eficácia, no âmbito de processos da sua competência:

a) ...................................................................................................................................................................... ;

b) ...................................................................................................................................................................... ;

c) ...................................................................................................................................................................... .

2 - Para efeitos de controlo de admissibilidade da consulta a outros sistemas, as pesquisas efetuadas pelas

pessoas que tenham acesso às bases de dados através de aplicação são registadas informaticamente, sendo

este registo conservado por um prazo de dois anos.

3 - Podem aceder aos registos referidos no número anterior os membros da Comissão, no âmbito do

exercício das respetivas competências de auditoria e inspeção, e as autoridades judiciárias, para fins de

investigação de eventuais violações, sem prejuízo das competências da CNPD.

Artigo 39.º

Transferências de dados

1 - Os magistrados e os funcionários que os coadjuvam asseguram a transferência de dados, nos termos

previstos na lei, para os seguintes efeitos:

a) Cumprir as obrigações de cooperação judiciária internacional emergentes da lei e dos instrumentos de

direito internacional e da União Europeia;

b) Facultar aos órgãos de polícia criminal os dados necessários ao cumprimento das obrigações de

intercâmbio de dados e informações para prevenção e combate à criminalidade emergentes da lei e dos

instrumentos de direito internacional e da União Europeia, no âmbito da cooperação policial.

2 - A transferência de dados para países não membros da União Europeia ou para organizações

internacionais obedece aos princípios e regras previstos nos regimes de proteção de dados pessoais.

3 - O disposto nos artigos 37.º e 38.º não prejudica a comunicação de dados com outros sistemas, nem o

acesso aos dados de outros sistemas, nomeadamente aos sistemas de serviços e entidades que exerçam

funções de coadjuvação ou de execução de decisões ou de outras entidades ou serviços prestadores de

informação, nos termos legalmente previstos.

Artigo 40.º

Conservação, arquivamento e apagamento de dados

1 - Os dados referidos no artigo 3.º apenas são acessíveis e tratados enquanto forem necessários para as

finalidades a que se destinam.

2 - Os dados deixam de ser necessários para as finalidades a que se destinam logo que se verifiquem as

duas circunstâncias seguintes:

a) ...................................................................................................................................................................... ; e

b) ...................................................................................................................................................................... .

3 - ........................................................................................................................................ .

4 - O apagamento dos dados arquivados eletronicamente processa-se de acordo com o disposto nos

diplomas que regulam o arquivamento, os prazos de conservação administrativa e a destruição dos processos

e documentos judiciais, com as necessárias adaptações.

5 - O controlo dos prazos de conservação dos dados é assegurado eletronicamente, devendo a sua

conservação e atualização ser periodicamente revista.

Página 20

II SÉRIE-A — NÚMERO 131

20

Artigo 41.º

[…]

1 - .......................................................................................................................................................................

2 - ....................................................................................................................................................................... :

a) ...................................................................................................................................................................... ;

b) As pessoas às quais a lei confira um direito de consulta de auto ou de obtenção de cópia, extrato ou

certidão de auto ou parte dele, na medida do estritamente necessário para realização do fim que fundamenta a

consulta, e sem prejuízo dos regimes do segredo de justiça, do segredo de Estado ou de outros regimes legais

de segredo ou proteção.

3 - Ao acesso referido na alínea b) do número anterior são aplicáveis as regras de acesso aos processos

enquanto estes se encontram pendentes.

4 - ....................................................................................................................................................................... .

Artigo 42.º

[…]

1 - Os responsáveis pelo tratamento asseguram a segurança dos dados no âmbito da sua competência,

nos termos dos regimes de proteção de dados pessoais e da presente lei, nomeadamente no que respeita ao

tratamento automatizado.

2 - O controlo da consulta e de outras operações de tratamento dos dados é feito através do registo

eletrónico referido no n.º 3 do artigo 29.º, devendo esse registo ser periodicamente comunicado aos

responsáveis pela gestão dos dados, para fins de auditoria aos acessos.

3 - ....................................................................................................................................................................... .

4 - ....................................................................................................................................................................... .

Artigo 43.º

[…]

Quem, no exercício das suas funções, tomar conhecimento de dados referidos no artigo 3.º, cujo

conhecimento pelo público não seja admitido pela lei, fica obrigado a sigilo profissional.

Artigo 44.º

[…]

1 - A CNPD é a autoridade de controlo com competência para a garantia e fiscalização da aplicação dos

regimes de proteção de dados pessoais e das operações de tratamento de dados pessoais nos termos

previstos na presente lei.

2 - Para efeitos do número anterior, a composição da CNPD respeita os termos do n.º 3 do artigo 43.º da

Lei n.º [PPL 125/XIII]

3 - A competência da CNPD não abrange a fiscalização e supervisão de operações de tratamento de dados

pessoais pelas autoridades judiciárias, pelos juízes de paz e pelos mediadores dos sistemas públicos de

mediação, no âmbito das suas competências processuais, nos termos previstos nas alíneas a) e b) do n.º 1 do

artigo 23.º.

4 - A Comissão constitui o ponto de contacto privilegiado da CNPD para os efeitos previstos no n.º 1, sem

prejuízo da comunicação direta com os responsáveis pela proteção de dados nos termos e para os efeitos

legalmente previstos.

5 - A CNPD aconselha e promove a sensibilização dos responsáveis pelo tratamento para as obrigações

que lhes incumbem, em cooperação com a Comissão.

6 - As entidades supervisoras da gestão da informação, bem como as demais entidades que integram a

Página 21

22 DE JULHO DE 2019

21

Comissão, comunicam à CNPD a identidade e as funções dos representantes designados nos termos do

artigo 25.º, bem como a identidade e contatos dos respetivos encarregados de proteção de dados.

7 - Tendo em vista o controlo e fiscalização do cumprimento das normas de proteção de dados pessoais, a

CNPD pode aceder ao registo referido nos n.os 2 e 3 do artigo 42.º, oficiosamente ou na sequência de queixa.

Artigo 47.º

[…]

1 - Quem copiar, subtrair, ceder, ou transferir, a título oneroso ou gratuito,dados pessoais tratados ao

abrigo da presente lei, sem previsão legal ou consentimento, é punido com pena de prisão até 2 anos ou multa

até 240 dias.

2 - A pena é agravada para o dobro nos seus limites quando a conduta:

a) For conseguida através de violação de regras técnicas de segurança;

b) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial; ou

c) Tiver prejudicado inquéritos, investigações, processos judiciais ou a execução de sanções penais.

Artigo 48.º

[…]

Quem utilizar dados pessoais tratados ao abrigo da presente lei de forma incompatível com a finalidade

determinante da respetiva recolha é punido com pena de prisão até 2 anos ou com pena de multa até 240

dias.

Artigo 50.º

[…]

1 - Quem, sem a devida autorização ou justificação, aceder, por qualquer modo, a dados pessoais tratados

ao abrigo da presente lei é punido com pena de prisão até um ano ou com pena de multa até 120 dias.

2 - ....................................................................................................................................................................... :

a) ...................................................................................................................................................................... ;

b) (Revogada); ou

c) ...................................................................................................................................................................... .

Artigo 51.º

Viciação ou destruição de dados

1 - Quem, sem a devida autorização ou justificação, apagar, destruir, danificar, ocultar, suprimir ou modificar

dados pessoais, tornando-os inutilizáveis ou afetando o seu potencial de utilização, é punido com pena de

prisão até dois anos ou com pena de multa até 240 dias.

2 - .......................................................................................................................................................................

3 - Se o agente atuar com negligência é punido com pena de prisão:

a) Até um ano ou multa até 120 dias, no caso previsto no n.º 1;

b) Até dois anos ou multa até 240 dias, no caso previsto no n.º 2.

Artigo 52.º

[…]

1 - Quem, obrigado a sigilo profissional nos termos da lei, sem justa causa e sem o devido consentimento,

revelar ou divulgar no todo ou em parte dados pessoais é punido com pena de prisão até um ano ou com pena

Página 22

II SÉRIE-A — NÚMERO 131

22

de multa até 120 dias.

2 - A pena é agravada para o dobro nos seus limites se o agente:

a) For trabalhador em funções públicas ou equiparado, nos termos da lei penal;

b) For encarregado de proteção de dados;

c) For determinado pela intenção de obter qualquer vantagem patrimonial ou outro benefício ilegítimo;

d) Puser em perigo a reputação, a honra ou a intimidade da vida privada de terceiros.

3 - ....................................................................................................................................................................... .

Artigo 54.º

Sanções acessórias

Conjuntamente com as penas previstas no presente capítulo, podem ser ordenadas as sanções acessórias

previstas no artigo 56.º da Lei n.º [PPL 120/XIII].

Artigo 55.º

[…]

1 - O disposto no presente capítulo não prejudica a aplicação das disposições da Lei n.º [PPL 120/XIII], da

Lei n.º [PPL 125/XIII] ou do Código Penal, se de tal aplicação resultar, em concreto, uma sanção mais grave.

2 - O disposto no presente capítulo não prejudica a aplicação da Lei n.º 109/2009, de 15 de setembro.

Artigo 56.º

[…]

O disposto no presente capítulo não prejudica a efetivação da responsabilidade civil nem da

responsabilidade disciplinar.

Artigo 58.º

[…]

Às matérias relativas à proteção de dados pessoais previstas na presente lei é subsidiariamente aplicável o

disposto no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, na

Lei n.º [PPL 120/XIII], que assegura a sua execução na ordem jurídica interna, e na Lei n.º [PPL 125/XIII], que

transpõe para a ordem jurídica interna a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27

de abril de 2016.»

Artigo 3.º

Aditamento à Lei n.º 34/2009, de 14 de julho

São aditados à Lei n.º 34/2009, de 14 de julho, os artigos 52.º-A e 52.º-B, com a seguinte redação:

«Artigo 52.º-A

Inserção de dados falsos

1 - Quem inserir ou facilitar a inserção de dados pessoais falsos, com a intenção de obter vantagem

indevida para si ou para terceiro, ou para causar prejuízo, é punido com pena de prisão até dois anos ou com

pena de multa até 240 dias.

2 - A pena é agravada para o dobro nos seus limites se da inserção referida no número anterior resultar um

Página 23

22 DE JULHO DE 2019

23

prejuízo efetivo.

Artigo 52.º-B

Desobediência qualificada

Quem não cumprir as obrigações previstas na presente lei, depois de ultrapassado o prazo que tiver sido

fixado pela autoridade de controlo para o respetivo cumprimento, é punido com a pena correspondente ao

crime de desobediência qualificada.»

Artigo 4.º

Alteração à organização sistemática da Lei n.º 34/2009, de 14 de julho

São introduzidas as seguintes alterações à organização sistemática da Lei n.º 34/2009, de 14 de julho, na

sua redação atual:

a) O capítulo I passa a denominar-se «Disposições gerais»;

b) O capítulo II passa a denominar-se «Tratamento de dados pessoais», sendo constituído pelos artigos 3.º

a 22.º;

c) A secção I do capítulo II passa a denominar-se «Objeto, finalidades do tratamento e formas de recolha

de dados»;

d) O capítulo III passa a denominar-se «Responsabilidade pelo tratamento e segurança dos dados», sendo

constituído pelos artigos 23.º a 26.º;

e) O capítulo V passa a denominar-se «Intercâmbio e transferências de dados»

f) O capítulo VI passa a denominar-se «Conservação, arquivamento e apagamento de dados».

Artigo 5.º

Norma revogatória

São revogados o n.º 2 do artigo 5.º, o n.º 3 do artigo 36.º, a alínea b) do n.º 2 do artigo 50.º e o artigo 57.º

da Lei n.º 34/2009, de 14 de julho, na sua redação atual.

Artigo 6.º

Republicação

É republicada, em anexo à presente lei, da qual faz parte integrante, a Lei n.º 34/2009, de 14 de julho, com

a redação atual e as necessárias correções materiais.

Artigo 7.º

Entrada em vigor

A presente lei entra em vigor no dia útil seguinte ao da sua publicação.

Aprovado em 21 de junho de 2019,

O Presidente da Assembleia da República, Eduardo Ferro Rodrigues.

Página 24

II SÉRIE-A — NÚMERO 131

24

ANEXO

(a que se refere o artigo 6.º)

Republicação da Lei n.º 34/2009, de 14 de julho

CAPÍTULO I

Disposições gerais

Artigo 1.º

Objeto

1 – A presente lei estabelece o regime jurídico aplicável ao tratamento de dados pessoais referentes ao

sistema judiciário, incluindo os dados relativos aos meios de resolução alternativa de litígios, nomeadamente

quanto aos dados a tratar e ao objetivo e à finalidade do tratamento, adotando regras sobre:

a) A recolha e o tratamento dos dados necessários ao exercício das competências dos magistrados, dos

funcionários de justiça e dos órgãos de polícia criminal no âmbito do processo penal, bem como ao exercício

dos direitos dos demais intervenientes nos processos jurisdicionais e da competência do Ministério Público;

b) A recolha e o tratamento dos dados necessários ao exercício das competências dos juízes de paz e dos

funcionários dos julgados de paz, bem como ao exercício dos direitos dos demais intervenientes nos

respetivos processos;

c) A recolha e o tratamento dos dados necessários ao exercício das competências dos mediadores dos

sistemas públicos de mediação, bem como ao exercício dos direitos dos demais intervenientes nos processos

nos sistemas públicos de mediação;

d) O registo e o tratamento dos dados referidos nas alíneas a), b) e c);

e) As entidades responsáveis pelo tratamento dos dados referidos nas alíneas a), b) e c) e pelo

desenvolvimento aplicacional;

f) A consulta e o acesso aos dados por outras entidades;

g) O intercâmbio e a transferência dos dados referidos nas alíneas a), b) e c);

h) A conservação, o arquivamento e o apagamento dos dados referidos nas alíneas a), b) e c);

i) As condições de segurança dos dados referidos nas alíneas a), b) e c);

j) A utilização de dados para efeitos de tratamento estatístico; e

l) As sanções aplicáveis ao incumprimento das disposições da presente lei.

2 – A presente lei complementa o disposto no Regulamento (UE) 2016/679 do Parlamento Europeu e do

Conselho, de 27 de abril de 2016, na Lei n.º [PPL 120/XIII], que assegura a sua execução na ordem jurídica

interna, e na Lei n.º [PPL 125/XIII], que transpõe para a ordem jurídica interna a Diretiva (UE) 2016/680 do

Parlamento Europeu e do Conselho, de 27 de abril de 2016, doravante designados «regimes de proteção de

dados pessoais».

Artigo 2.º

Proteção de dados pessoais e princípios do tratamento

1 - Os tribunais, o Ministério Público, os órgãos de gestão e disciplina judiciários, os julgados de paz, as

secretarias dos tribunais e do Ministério Público e as entidades gestoras dos sistemas públicos de mediação

asseguram a proteção das pessoas no que diz respeito ao tratamento de dados pessoais no âmbito da sua

atividade e ao exercício dos direitos dos respetivos titulares relativamente aos dados que lhes digam respeito,

nos termos dos regimes de proteção de dados pessoais e da presente lei.

2 - A recolha, o registo e as demais operações de tratamento de dados pessoais observam os princípios

estabelecidos no artigo 5.º do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de

2016, e no artigo 4.º da Lei n.º [PPL 125/XIII].

3 - Sem prejuízo dos direitos que lhe assistem nos termos da presente lei, é vedada ao titular dos dados a

Página 25

22 DE JULHO DE 2019

25

oposição ao seu tratamento nos termos e para as finalidades previstas nas leis do processo.

4 - O disposto nos números anteriores é correspondentemente aplicável ao tratamento de dados pessoais

pelos órgãos de polícia criminal, no âmbito do processo penal, e pelos serviços e entidades que procedam ao

tratamento de dados pessoais que constem ou sejam destinados a processos da competência das autoridades

judiciárias, no âmbito de funções de coadjuvação e de execução de decisões destas autoridades.

5 - As especificações relativas aos dados a tratar e aos objetivos e às finalidades do tratamento a que se

refere o número anterior constam das leis de organização dos órgãos, serviços e entidades respetivas.

CAPÍTULO II

Tratamento de dados pessoais

Secção I

Objeto, finalidades do tratamento e formas de recolha de dados

Artigo 3.º

Dados

Podem ser objeto de recolha e dos necessários tratamentos subsequentes os dados referentes:

a) Aos processos nos tribunais judiciais;

b) Aos processos nos tribunais administrativos e fiscais;

c) Aos inquéritos em processo penal;

d) Aos demais processos, procedimentos e expediente da competência do Ministério Público;

e) À conexão processual no processo penal;

f) À suspensão provisória do processo penal e ao arquivamento em caso de dispensa de pena;

g) Às medidas de coação e à detenção;

h) Às ordens de detenção;

i) Às medidas de garantia patrimonial;

j) Ao congelamento, à apreensão e à perda de bens, produtos e vantagens do crime;

l) Aos processos nos julgados de paz;

m) Aos processos nos sistemas públicos de mediação.

Artigo 4.º

Finalidades da recolha e do tratamento dos dados

1 - A recolha e o tratamento dos dados referidos no artigo anterior têm as seguintes finalidades:

a) Organizar, uniformizar e manter atualizada toda a informação constante dos processos jurisdicionais e

da competência do Ministério Público, dos processos nos julgados de paz e dos processos nos sistemas

públicos de mediação;

b) Preservar toda a informação constante dos processos jurisdicionais e da competência do Ministério

Público, dos processos nos julgados de paz e dos processos nos sistemas públicos de mediação,

designadamente, das informações relativas a todos os que neles intervenham;

c) Permitir a tramitação eletrónica ou não eletrónica dos processos judiciais e da competência do Ministério

Público, dos processos nos julgados de paz e dos processos nos sistemas públicos de mediação, bem como

possibilitar a respetiva decisão;

d) Facultar aos órgãos e agentes auxiliares ou de coadjuvação dos tribunais e das autoridades judiciárias,

bem como aos diversos intervenientes processuais, as informações de que necessitem ou às quais possam

aceder, nos termos da lei;

e) Assegurar a realização da investigação, do inquérito e do exercício da ação penal, nos termos da

Constituição e da lei, bem como o cumprimento das leis de política criminal;

Página 26

II SÉRIE-A — NÚMERO 131

26

f) Facultar aos órgãos, entidades e serviços competentes as informações necessárias ao registo e

execução de decisões judiciais e do Ministério Público, nos termos da lei;

g) Assegurar o cumprimento pelas autoridades judiciárias das obrigações de cooperação judiciária

internacional emergentes da lei e dos instrumentos de direito internacional e da União Europeia;

h) Facultar aos órgãos de polícia criminal os dados necessários ao cumprimento das obrigações de

intercâmbio de dados e informações para prevenção e combate à criminalidade emergentes da lei e dos

instrumentos de direito internacional e da União Europeia;

i) Garantir a execução das ordens de detenção nacionais, europeias e internacionais;

j) Facultar, aos órgãos e agentes competentes, as informações necessárias ao exercício das

competências de direção, coordenação e fiscalização da atividade do Ministério Público, bem como ao

exercício das demais competências de fiscalização a cargo do Ministério Público;

l) Facultar, aos órgãos e agentes competentes, as informações necessárias à apreciação do mérito

profissional dos magistrados, dos funcionários de justiça, dos juízes de paz, dos mediadores e funcionários

dos julgados de paz, dos mediadores dos sistemas públicos de mediação e dos administradores da

insolvência;

m) Facultar, aos órgãos e agentes competentes, as informações necessárias à realização de inquéritos,

inspeções e sindicâncias aos serviços judiciais, do Ministério Público, dos julgados de paz e dos sistemas

públicos de mediação;

n) Facultar, aos órgãos e agentes competentes, as informações necessárias à prossecução da ação

disciplinar contra magistrados, funcionários de justiça, juízes de paz, mediadores e funcionários dos julgados

de paz, mediadores dos sistemas públicos de mediação e administradores da insolvência;

o) Facultar os dados necessários à elaboração das estatísticas oficiais da justiça, com salvaguarda do

segredo estatístico;

p) Facultar os dados previstos na alínea anterior aos órgãos com competência de gestão do sistema

judicial, tendo em vista a monitorização do respetivo funcionamento; e

q) Facultar dados não nominativos e indicadores de gestão aos órgãos e entidades responsáveis pelo

planeamento, monitorização e administração dos recursos afetos ao sistema judicial, incluindo os meios de

resolução alternativa de litígios.

2 - Os responsáveis pelo tratamento asseguram uma distinção clara entre os dados pessoais das diferentes

categorias dos titulares dos dados a que se referem os artigos 6.º a 22.º.

Artigo 5.º

Formas de recolha e tratamento

1 - Os dados referidos no artigo 3.º são recolhidos pelas seguintes formas, preferencialmente por meios

eletrónicos:

a) Diretamente junto dos respetivos titulares;

b) Pelas autoridades judiciárias;

c) Junto das entidades públicas ou privadas responsáveis pelos meios de resolução alternativa de litígios;

d) Junto das autoridades de polícia criminal ou dos órgãos de polícia criminal;

e) Junto de outros órgãos e agentes auxiliares ou de coadjuvação dos tribunais e das autoridades

judiciárias;

f) Junto dos defensores, advogados e mandatários;

g) Junto das pessoas singulares que tenham intervenção acidental no processo, voluntária ou provocada;

h) Junto de outras entidades públicas ou privadas;

i) Por via dos documentos, requerimentos e outro expediente que deem entrada nos serviços judiciais, do

Ministério Público ou das entidades públicas ou privadas responsáveis pelos meios de resolução alternativa de

litígios;

j) Através do acesso a dados constantes de outros sistemas, bem como da comunicação de dados por

esses sistemas, nos termos da lei.

Página 27

22 DE JULHO DE 2019

27

2 - (Revogado).

3 - Quem intervenha nos processos é obrigado, nos termos da lei, a fornecer e a atualizar os dados

previstos na presente lei que sejam do seu conhecimento.

4 - O disposto no número anterior não prejudica as regras relativas às declarações do arguido em processo

penal.

Secção II

Categorias de dados

Artigo 6.º

Dados dos processos nos tribunais judiciais

Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes

aos processos nos tribunais judiciais:

a) Dados dos magistrados aos quais o processo se encontra distribuído, dos funcionários de justiça que os

coadjuvam, dos funcionários dos órgãos de polícia criminal no âmbito do processo penal e dos serviços e

entidades que exerçam funções de coadjuvação ou de execução de decisões;

b) Dados dos magistrados e dos funcionários de justiça que se tenham declarado ou tenham sido

declarados impedidos, recusados ou escusados;

c) Dados de identificação e contacto das partes, principais e acessórias, em processo civil e de trabalho;

d) Dados de identificação e contacto dos assistentes, lesados, ofendidos, partes civis, queixosos e vítimas,

em processo penal;

e) Dados de identificação e contacto dos arguidos e autoridades recorridas, em processo

contraordenacional;

f) Dados de identificação e contacto das testemunhas;

g) Dados de identificação e contacto dos defensores, advogados e mandatários, bem como dados

necessários ao processamento do pagamento de honorários aos mesmos;

h) Dados de identificação e contacto dos peritos, consultores técnicos e assessores técnicos, bem como

dados necessários ao processamento do pagamento de honorários aos mesmos;

i) Dados de identificação e contacto dos administradores judiciais provisórios, dos administradores de

insolvência e dos agentes de execução, bem como dados necessários ao processamento do pagamento das

suas remunerações e honorários;

j) Dados de identificação, contacto, localização e situação processual do arguido em processo penal,

incluindo os dados do termo de identidade e residência;

l) Dados relativos às decisões judiciais e aos recursos; e

m) Dados da tramitação do processo.

Artigo 7.º

Dados dos processos nos tribunais administrativos e fiscais

Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes

aos processos nos tribunais administrativos e fiscais:

a) Dados dos magistrados aos quais o processo se encontra distribuído, dos funcionários de justiça que os

coadjuvam e dos funcionários dos serviços e entidades que exerçam funções de coadjuvação ou de execução

de decisões;

b) Dados dos magistrados e dos funcionários de justiça que se tenham declarado ou tenham sido

declarados impedidos, recusados ou escusados;

c) Dados de identificação e contacto das partes, principais e acessórias;

d) Dados de identificação e contacto das testemunhas;

e) Dados de identificação e contacto dos mandatários, bem como dados necessários ao processamento do

pagamento de honorários aos mesmos;

Página 28

II SÉRIE-A — NÚMERO 131

28

f) Dados de identificação e contacto dos peritos e assessores técnicos, bem como dados necessários ao

processamento do pagamento de honorários aos mesmos;

g) Dados de identificação e contacto dos agentes de execução, bem como dados necessários ao

processamento do pagamento das suas remunerações e honorários;

h) Dados relativos às decisões judiciais e aos recursos; e

i) Dados da tramitação do processo.

Artigo 8.º

Dados dos inquéritos em processo penal

Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes

aos inquéritos em processo penal:

a) Dados dos magistrados aos quais o processo se encontra distribuído, dos funcionários de justiça que os

coadjuvam, dos funcionários dos órgãos de polícia criminal no âmbito do processo penal e dos serviços e

entidades que exerçam funções de coadjuvação ou de execução de decisões;

b) Dados dos magistrados e dos funcionários de justiça que se tenham declarado ou tenham sido

declarados impedidos, recusados ou escusados;

c) Dados de identificação e contacto dos assistentes, lesados, ofendidos, partes civis, queixosos e vítimas;

d) Dados de identificação e contacto das testemunhas;

e) Dados de identificação e contacto dos defensores, advogados e mandatários, bem como dados

necessários ao processamento do pagamento de honorários aos mesmos;

f) Dados de identificação e contacto dos peritos e dos consultores técnicos, bem como dados necessários

ao processamento do pagamento de honorários aos mesmos;

g) Dados de identificação, contacto e localização do suspeito e do denunciado;

h) Dados de identificação, contacto, localização e situação processual do arguido, incluindo os dados do

termo de identidade e residência;

i) Dados relativos às decisões de acusação e de arquivamento do inquérito; e

j) Dados da tramitação do processo.

Artigo 9.º

Dados dos demais processos, procedimentos e expediente da competência do Ministério Público

Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes

aos demais processos, procedimentos e expediente da competência do Ministério Público:

a) Dados dos magistrados aos quais o processo, procedimento ou expediente se encontra distribuído e

dos funcionários de justiça que os coadjuvam;

b) Dados dos magistrados e dos funcionários de justiça que se tenham declarado ou tenham sido

declarados impedidos, recusados ou escusados;

c) Dados de identificação e contacto das partes, principais e acessórias;

d) Dados de identificação e contacto das testemunhas;

e) Dados de identificação e contacto dos mandatários, bem como dados necessários ao processamento do

pagamento de honorários aos mesmos;

f) Dados de identificação de requerentes, de pessoas visadas e de outros intervenientes;

g) Dados relativos a decisões; e

h) Dados relativos à tramitação do processo, procedimento e expediente.

Artigo 10.º

Dados da conexão processual no processo penal

Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes à

conexão processual no processo penal:

Página 29

22 DE JULHO DE 2019

29

a) Nome do arguido, suspeito ou denunciado;

b) Número de identificação fiscal e número de identificação civil ou militar, nacional ou estrangeiro do

arguido, suspeito ou denunciado;

c) Identificação dos processos penais que correm contra o arguido, suspeito ou denunciado, através do

respetivo número;

d) Tipos de crime imputados em cada processo;

e) Datas, locais e caracterização dos factos, relativamente a cada processo penal; e

f) Identificação do tribunal ou serviço do Ministério Público em que corre cada processo penal.

Artigo 11.º

Dados da suspensão provisória do processo penal e do arquivamento em caso de dispensa de pena

Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes à

suspensão provisória do processo penal e ao arquivamento em caso de dispensa de pena:

a) Nome das pessoas a quem seja aplicada medida de suspensão provisória do processo penal ou de

arquivamento em caso de dispensa de pena, com a identificação do processo e do tribunal em que foram

aplicadas, do tipo de crime a que respeitam, da data e da fase processual em que foi decidida a sua aplicação

e, no caso da medida de suspensão provisória do processo penal, das injunções ou regras de conduta

aplicadas;

b) Número de identificação fiscal das pessoas referidas na alínea anterior e número de identificação civil

ou militar, nacional ou estrangeiro;

c) Filiação, país de naturalidade, nacionalidade, data de nascimento, sexo, domicílio e estado civil das

pessoas referidas na alínea a);

d) Condenações anteriores, com a identificação do tipo de crime a que respeitam, do tribunal e do

processo em que foram proferidas e da data em que foram proferidas, sem prejuízo das regras relativas à

organização e funcionamento da identificação criminal, nomeadamente as referentes ao cancelamento e não

transcrição de decisões judiciais; e

e) No caso das medidas de suspensão provisória do processo penal, as datas do seu início e termo, bem

como a indicação do arquivamento ou reabertura do processo após o termo da suspensão.

Artigo 12.º

Dados das medidas de coação e da detenção

Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes

às medidas de coação e à detenção:

a) Nome das pessoas a quem sejam aplicadas medidas de coação ou detidas, com indicação da medida

aplicada, identificação das respetivas datas de início, suspensão e fim, do tribunal e do processo à ordem do

qual foram decretadas, dos tipos de crime imputados, da data da prática dos factos, bem como do estado do

processo e identificação do tribunal e do processo à ordem do qual as pessoas se encontrem detidas ou

sujeitas a medidas de coação; e

b) Número de identificação fiscal das pessoas referidas na alínea anterior e número de identificação civil

ou militar, nacional ou estrangeiro.

Artigo 13.º

Dados das ordens de detenção

Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes

às ordens de detenção:

Página 30

II SÉRIE-A — NÚMERO 131

30

a) Nome da pessoa procurada;

b) Alcunhas;

c) Número de identificação civil ou militar, nacional ou estrangeiro;

d) Número de identificação fiscal;

e) Imagem da pessoa procurada;

f) Condenações anteriores e respetivos crimes;

g) Nacionalidade;

h) Domicílios conhecidos;

i) Telefone;

j) Telemóvel;

l) Telecópia;

m) Endereço eletrónico;

n) Designação, endereço, telefone, telecópia e endereço eletrónico da autoridade judiciária ou da

autoridade de polícia criminal que emitiu a ordem de detenção;

o) Órgãos ou entidades policiais para os quais foi difundida a ordem de detenção;

p) Natureza nacional, europeia ou internacional da ordem de detenção;

q) Finalidade da ordem de detenção;

r) Indicação da existência de uma sentença com força executiva, de um mandado de detenção ou de

qualquer outra decisão com a mesma força executiva;

s) Natureza e qualificação jurídica da infração;

t) Descrição das circunstâncias em que a infração foi cometida, incluindo o momento, o lugar e o grau de

participação na infração da pessoa procurada;

u) Pena proferida, caso se trate de uma sentença transitada em julgado, ou a medida da pena prevista para

essa infração; e

v) Na medida do possível, as outras consequências da infração.

Artigo 14.º

Dados dos processos nos julgados de paz

Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes

aos processos nos julgados de paz:

a) Dados dos juízes de paz responsáveis pelos processos e dos funcionários e mediadores que prestem

serviço nos julgados de paz;

b) Dados dos juízes de paz, dos funcionários e mediadores que se tenham declarado ou tenham sido

declarados impedidos, recusados ou escusados;

c) Dados de identificação e contacto das partes nos processos;

d) Dados de identificação e contacto das testemunhas;

e) Dados de identificação e contacto dos advogados, advogados estagiários, solicitadores, mandatários e

outros intervenientes processuais;

f) Dados de identificação e contactos necessários ao processamento do pagamento de honorários aos

mediadores, advogados, advogados estagiários, solicitadores e mandatários; e

g) Dados da tramitação do processo.

Artigo 15.º

Dados dos processos nos sistemas públicos de mediação

Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes

aos processos nos sistemas públicos de mediação:

a) Dados dos mediadores intervenientes e dos funcionários que prestem serviço nos sistemas de

mediação pública;

Página 31

22 DE JULHO DE 2019

31

b) Dados dos mediadores que se tenham declarado ou tenham sido declarados impedidos, recusados ou

escusados;

c) Dados de identificação e contacto das partes nos processos;

d) Dados de identificação e contacto dos advogados, advogados estagiários, mandatários e outros

intervenientes processuais;

e) Dados necessários ao processamento do pagamento de honorários aos mediadores, advogados e

advogados estagiários; e

f) Dados relativos à tramitação dos processos de mediação.

Artigo 16.º

Magistrados, funcionários de justiça, funcionários dos órgãos de polícia criminal e dos serviços e

entidades que exerçam funções de coadjuvação ou de execução de decisões

Nos termos das alíneas a) e b) dos artigos 6.º, 7.º, 8.º e 9.º, podem ser objeto de recolha e dos necessários

tratamentos subsequentes os seguintes dados referentes aos magistrados, aos funcionários de justiça, aos

funcionários dos órgãos de polícia criminal e dos serviços e entidades que exerçam funções de coadjuvação

ou de execução de decisões:

a) Nome;

b) Número mecanográfico;

c) Telefone de serviço;

d) Telemóvel de serviço;

e) Endereço eletrónico de serviço; e

f) Categoria profissional.

Artigo 17.º

Outros sujeitos processuais

Nos termos da alínea c) dos artigos 6.º, 7.º, 8.º e 9.º e da alínea e) do artigo 6.º, podem ser objeto de

recolha e dos necessários tratamentos subsequentes os seguintes dados referentes, respetivamente, às

partes, ao arguido e às autoridades recorridas em processo contraordenacional, bem como aos assistentes,

lesados, ofendidos, partes civis, queixosos e vítimas:

a) Nome, firma ou designação;

b) Número de identificação fiscal e número de identificação civil ou militar, nacional ou estrangeiro;

c) Domicílio, com indicação do município e da freguesia, ou do código postal, no caso de localização em

Portugal, ou do Estado, no caso de localização no estrangeiro;

d) Telefone;

e) Telemóvel;

f) Telecópia;

g) Endereço eletrónico; e

h) Identificação do advogado.

Artigo 18.º

Testemunhas

Nos termos da alínea f) do artigo 6.º e da alínea d) dos artigos 7.º, 8.º e 9.º, podem ser objeto de recolha e

dos necessários tratamentos subsequentes os seguintes dados referentes às testemunhas:

a) Nome;

b) Número de identificação fiscal e número de identificação civil ou militar, nacional ou estrangeiro;

c) Data de nascimento;

Página 32

II SÉRIE-A — NÚMERO 131

32

d) No caso de se tratar de menor, identificação do representante legal;

e) Domicílio;

f) Telefone;

g) Telemóvel;

h) Telecópia;

i) Identificação do sujeito ou sujeitos processuais que as indicaram; e

j) Identificação do advogado.

Artigo 19.º

Defensores, advogados e mandatários

Nos termos da alínea g) do artigo 6.º e da alínea e) dos artigos 7.º, 8.º e 9.º, podem ser objeto de recolha e

dos necessários tratamentos subsequentes os seguintes dados referentes aos defensores, advogados e

mandatários:

a) Nome;

b) Número de identificação fiscal;

c) Número de identificação bancária;

d) Número da cédula profissional;

e) Domicílio profissional;

f) Telefone de serviço;

g) Telemóvel de serviço;

h) Telecópia de serviço;

i) Endereço eletrónico de serviço;

j) Indicação da qualidade profissional, como advogado, advogado estagiário, solicitador, solicitador

estagiário, solicitador de execução ou agente de execução; e

l) Identificação do interveniente processual que representa.

Artigo 20.º

Peritos, consultores técnicos, assessores técnicos, administradores judiciais provisórios,

administradores da insolvência e agentes de execução

Nos termos das alíneas h) e i) do artigo 6.º e da alínea f) dos artigos 7.º, 8.º e 9.º, podem ser objeto de

recolha e dos necessários tratamentos subsequentes os seguintes dados referentes aos peritos, consultores

técnicos, assessores técnicos, administradores judiciais provisórios, administradores da insolvência e agentes

de execução:

a) Nome;

b) Número de identificação fiscal e número de identificação civil ou militar, nacional ou estrangeiro;

c) Domicílio profissional;

d) Telefone;

e) Telemóvel;

f) Telecópia;

g) Endereço eletrónico; e

h) Número de cédula profissional ou de outro documento de identificação profissional.

Artigo 21.º

Arguidos em processo penal

Nos termos da alínea j) do artigo 6.º e da alínea g) do artigo 8.º, podem ser objeto de recolha e dos

necessários tratamentos subsequentes os seguintes dados referentes ao arguido em processo penal:

Página 33

22 DE JULHO DE 2019

33

a) Nome, firma ou designação;

b) Alcunhas;

c) No caso de pessoas singulares, filiação, freguesia e concelho de naturalidade, data de nascimento,

estado civil, número de identificação civil ou, caso este não exista ou não seja conhecido, número do

passaporte ou de outro documento de identificação idóneo e, sendo proferida decisão condenatória, estando

presente o arguido no julgamento, as suas impressões digitais e assinatura;

d) Número de identificação fiscal;

e) Domicílios, pessoais e profissionais, com indicação do município e da freguesia, ou do código postal, no

caso de localização em Portugal, ou do Estado, no caso de localização no estrangeiro;

f) Telefone;

g) Telemóvel;

h) Telecópia;

i) Endereço eletrónico;

j) Número de identificação bancária;

l) No caso das pessoas singulares, profissão e habilitações;

m) No caso das pessoas coletivas, natureza jurídica e atividade económica;

n) Tipos de crime imputados;

o) No caso das pessoas singulares, a sua relação com a vítima;

p) Antecedentes criminais e indicador de reincidência;

q) Períodos de detenção, com a indicação das respetivas datas e horas de início e fim;

r) Medidas de coação e de garantia patrimonial aplicadas, com a indicação das respetivas datas de início,

suspensão e fim;

s) No caso de aplicação das medidas de prisão preventiva ou de obrigação de permanência na habitação,

indicação do local de execução da medida;

t) Indicação do tribunal e do processo, em território nacional ou estrangeiro, à ordem dos quais se encontre

preso;

u) Indicação da declaração de contumácia, com indicação das datas de início e fim desta;

v) Tipo de decisão final proferida em inquérito e respetiva data;

x) Decisão final;

z) Data do trânsito em julgado da decisão final;

aa) No caso de decisão final condenatória, indicação de a mesma ser, ou não, resultado de um cúmulo;

bb) No caso de decisão final condenatória em multa, o número de dias de multa e o montante da multa;

cc) No caso de decisão final condenatória em prisão, períodos de duração da prisão efetiva ou substituída;

dd) Extinção do procedimento criminal, relativamente a cada um dos crimes imputados; e

ee) Identificação do defensor.

Artigo 22.º

Tramitação do processo

1 – Nos termos da alínea m) do artigo 6.º, da alínea i) do artigo 7.º, da alínea j) do artigo 8.º, da alínea h) do

artigo 9.º, da alínea g) do artigo 14.º e da alínea f) do artigo 15.º, podem ser objeto de recolha e dos

necessários tratamentos subsequentes, designadamente, os seguintes dados referentes à tramitação do

processo:

a) Jurisdição;

b) Número do processo;

c) Tribunal ou serviço do Ministério Público onde corre o processo;

d) Espécie do processo;

e) Espécie do processo na distribuição;

f) Forma do processo;

g) Objeto do processo;

h) Formação do tribunal;

Página 34

II SÉRIE-A — NÚMERO 131

34

i) Tipo de decisão final, recursos e resultados dos recursos;

j) Forma da decisão final;

l) Momento de início do processo e da decisão final;

m) Indicação da circunstância de se tratar de um processo apenso, bem como da existência de processos

apensos;

n) Indicação da existência de processos incorporados, bem como da incorporação noutros processos;

o) Indicação da circunstância da ocorrência, ou não, de apoio judiciário e da respetiva modalidade;

p) Indicação da ocorrência de suspensões, respetivas datas de início e fim e motivo legalmente previsto

para as mesmas;

q) Os acórdãos, as atas, os articulados, os autos, as cartas, as decisões, os despachos, os mandados, os

memoriais, os pareceres, os recursos, os relatórios, os requerimentos, os depoimentos, as sentenças e os

demais atos, processuais ou outros, praticados no processo, ou a respetiva redução a escrito, bem como as

gravações magnetofónicas e audiovisuais e as demais peças e documentos escritos, apresentados no

processo, e as respetivas datas;

r) As notificações e as citações, a indicação do respetivo sucesso ou insucesso, bem como as datas em

que, em caso de sucesso, as mesmas se consideram realizadas; e

s) Prazos processuais, respetivo registo e cálculo.

2 – Para além das previstas no número anterior, podem ainda ser recolhidas, designadamente, as

seguintes categorias de dados referentes à tramitação do processo civil e do processo de trabalho:

a) Datas e locais dos factos;

b) Pedidos e respetivos valores; e

c) Causas de pedir.

3 – Para além das previstas no n.º 1, podem ainda ser recolhidas, designadamente, as seguintes

categorias de dados referentes à tramitação da ação executiva:

a) Tipo de título executivo;

b) Tipo de bem;

c) Valor da avaliação do bem;

d) Data da penhora do bem;

e) Valor da venda do bem;

f) Data da venda do bem;

g) Agente de execução; e

h) Resultado do processo.

4 – Para além das previstas no n.º 1, as categorias de dados referentes à tramitação dos processos de

falência, insolvência ou recuperação de empresas incluem, designadamente, os dados da indicação da

existência, ou não, de um plano de insolvência e, se for caso disso, menção ao facto de se tratar de um

processo de insolvência secundário, nos termos do disposto nos n.os 2 e 3 do artigo 3.º e no artigo 27.º do

Regulamento (CE) n.º 1346/2000, do Conselho, de 29 de maio.

5 – Para além das previstas no n.º 1, podem ainda ser recolhidas, designadamente, as seguintes

categorias de dados referentes à tramitação dos processos tutelares educativos ou de promoção e proteção:

a) Local, data e classificação jurídica dos factos;

b) Medidas tutelares aplicadas; e

c) Formas de aplicação e revisão das medidas.

6 – Para além das previstas no n.º 1, podem ainda ser recolhidas, designadamente, as seguintes

categorias de dados referentes à tramitação dos processos em que se discutam acidentes de trabalho:

Página 35

22 DE JULHO DE 2019

35

a) Data do acidente;

b) Local onde ocorreu o acidente, com a indicação da respetiva freguesia;

c) Resultado do acidente de trabalho e incapacidade resultante do acidente; e

d) Valor das indemnizações e pensões atribuídas.

7 – Para além das previstas no n.º 1, as categorias de dados referentes à tramitação dos processos em que

sejam reclamados créditos incluem, designadamente, o valor dos créditos reclamados.

8 – Para além das previstas no n.º 1, podem ainda ser recolhidas, designadamente, as seguintes

categorias de dados referentes à tramitação do processo penal:

a) Tipos de crime e caracterização dos factos;

b) Classificação dos crimes, de acordo com o previsto na lei de política criminal;

c) Datas e locais dos factos;

d) Data provável da prescrição;

e) Dados referentes à aplicação de medidas de interceção e gravação de conversações ou comunicações

e de obtenção e junção aos autos de dados sobre a localização celular ou de registos da realização de

conversações ou comunicações;

f) Dados referentes a apreensões ou medidas de garantia patrimonial, bem como ao destino final que os

bens por elas abrangidos tiveram, nomeadamente a restituição, o envio a autoridade de outro Estado em

cumprimento de pedido de cooperação judiciária internacional ou a declaração de perda a favor do Estado,

com especificação do tipo de bem, do respetivo valor e da sua titularidade como pertencente ao arguido ou a

terceiro e do facto ilícito típico previsto nas leis penais com o qual o mesmo está relacionado;

g) Dados referentes a exames, buscas e outros meios de obtenção de prova.

9 – Para além das previstas no n.º 1, podem ainda ser recolhidas, designadamente, as seguintes

categorias de dados referentes à tramitação do processo contraordenacional:

a) Tipo de contraordenação; e

b) Datas e locais dos factos.

10 – Para além das previstas no n.º 1, podem ainda ser recolhidas, designadamente, as seguintes

categorias de dados referentes à tramitação dos processos de mediação:

a) Tipo de mediação;

b) Indicação da origem judicial ou extrajudicial do processo de mediação;

c) Acordos de mediação e homologações.

CAPÍTULO III

Responsabilidade pelo tratamento e segurança dos dados

Artigo 23.º

Responsabilidade pelo tratamento dos dados

1- Para efeitos do disposto nos regimes de proteção de dados pessoais, são responsáveis pelo tratamento

de dados:

a) Os magistrados judiciais e do Ministério Público competentes, nos termos da lei do processo,

relativamente aos dados tratados no âmbito e em atos do processo, no exercício da sua atividade processual e

sob a sua direção ou autoridade;

b) Os juízes de paz e os mediadores dos sistemas públicos de mediação, relativamente aos dados

pessoais tratados no âmbito dos respetivos processos;

Página 36

II SÉRIE-A — NÚMERO 131

36

c) As entidades supervisoras da gestão da informação a que se refere o artigo seguinte, relativamente a

outras operações de tratamento.

2- No que se refere aos dados pessoais no processo, as entidades responsáveis pelo tratamento de dados

pessoais, nos termos das alíneas a) e b) do número anterior, asseguram a efetiva proteção dos direitos de

informação, de acesso e de retificação ou apagamento dos dados, nos termos dos regimes de proteção de

dados pessoais, por sua iniciativa ou mediante requerimento do respetivo titular.

3- O Ministério Público é o responsável pelo tratamento dos dados previstos no artigo 9.º, designadamente

para efeitos do número anterior.

4- Quando prossigam as finalidades previstas no artigo 33.º, consideram-se responsáveis pelo tratamento

as entidades nele indicadas, designadamente para efeitos de cumprimento das obrigações previstas no n.º 2

do presente artigo.

Artigo 24.º

Entidades supervisoras da gestão da informação

1 – O Conselho Superior da Magistratura é a entidade supervisora da gestão da informação referida:

a) Nas alíneas a) e g) do artigo 3.º;

b) Na alínea e) do artigo 3.º, quando a conexão opere relativamente a processos que se encontrem

simultaneamente na fase de instrução ou julgamento; e

c) Na alínea h) do artigo 3.º, quando o mandado de detenção dimanar do juiz.

2 – O Conselho Superior dos Tribunais Administrativos e Fiscais é a entidade supervisora da gestão da

informação referida na alínea b) do artigo 3.º.

3 – A Procuradoria-Geral da República é a entidade supervisora da gestão da informação referida:

a) Nas alíneas c), d) e f) do artigo 3.º;

b) Na alínea e) do artigo 3.º, quando a conexão opere relativamente a processos que se encontrem

simultaneamente na fase de inquérito; e

c) Na alínea h) do artigo 3.º, quando o mandado de detenção não dimanar do juiz.

4 – O Conselho dos Julgados de Paz é a entidade supervisora da gestão da informação referida na alínea

l) do artigo 3.º.

5 – A Direção-Geral da Política de Justiça é a entidade supervisora da gestão da informação referida na

alínea m) do artigo 3.º.

6 – Os órgãos de polícia criminal são as entidades supervisoras da gestão da informação relativa aos

processos criminais referidos na alínea a) e dos dados mencionados nas alíneas c) a j) do artigo 3.º que

devam tratar no âmbito da sua atividade de coadjuvação das autoridades judiciárias ou por delegação destas

no âmbito do processo penal.

7 – Os serviços e entidades que procedam ao tratamento de dados pessoais, nos termos do n.º 4 do artigo

2.º, são as entidades supervisoras da gestão da informação dos dados pessoais relacionados com os

processos referidos no artigo 3.º que devam tratar no âmbito da sua competência.

8 – Compete em especial às entidades supervisoras da gestão da informação:

a) Colaborar com a Comissão Nacional de Proteção de Dados (CNPD) no exercício dos seus poderes e na

prossecução das suas atribuições relativamente à proteção e tratamento de dados pessoais no sistema

judiciário;

b) Aconselhar os responsáveis pelo tratamento de dados quanto a medidas relacionadas com a proteção

dos direitos em matéria de tratamento de dados no âmbito da presente lei;

c) Acompanhar auditorias técnicas e de segurança, com recurso, se necessário, a entidades externas;

d) Designar um encarregado de proteção de dados, nos termos e para os efeitos previstos nos regimes de

Página 37

22 DE JULHO DE 2019

37

proteção de dados pessoais, comunicando essa designação à CNPD e à Comissão de Coordenação da

Gestão da Informação do Sistema Judiciário.

Artigo 25.º

Comissão de Coordenação da Gestão da Informação do Sistema Judiciário

1 – As competências das entidades supervisoras da gestão da informação são exercidas diretamente ou

em cooperação e de forma coordenada através da Comissão de Coordenação da Gestão da Informação do

Sistema Judiciário, adiante designada por Comissão.

2 – A Comissão é constituída pelo conselho superior e pelo conselho coordenador.

3 – Compete à Comissão:

a) Assegurar o exercício coordenado das competências das entidades supervisoras da gestão da

informação, nomeadamente a adoção das medidas técnicas e organizativas adequadas a garantir a segurança

dos dados pessoais;

b) Assegurar a cooperação no desenvolvimento das aplicações informáticas necessárias à tramitação dos

processos e à gestão do sistema judiciário, nos termos do n.º 2 do artigo seguinte;

c) Colaborar com a CNPD no exercício dos seus poderes e na prossecução das suas atribuições

relativamente à proteção e tratamento de dados pessoais no sistema judiciário;

d) Definir orientações e recomendações em matéria de requisitos de segurança dos dados das aplicações

informáticas necessárias à tramitação dos processos e à gestão do sistema judiciário, tendo designadamente

em conta as prioridades em matéria de desenvolvimento aplicacional, as possibilidades de implementação

técnica e os meios financeiros disponíveis;

e) Determinar a realização de auditorias técnicas e de segurança, com recurso, se necessário, a entidades

externas;

f) Definir orientações e recomendações sobre efetivação e conservação de registos cronológicos de

operações de tratamento e requisitos de segurança;

g) Manter um registo atualizado dos encarregados de proteção de dados nomeados ao abrigo da presente

lei e solicitar e receber destes toda a informação relevante para o exercício das respetivas competências;

h) Manter um registo atualizado dos técnicos e responsáveis pela segurança da informação que

asseguram o desenvolvimento, a atualização, a manutenção, a confidencialidade, a integridade, a

autenticidade e a disponibilidade dos ficheiros e dos sistemas informáticos, incluindo aplicações e respetivos

subsistemas, necessários à tramitação dos processos e à gestão do sistema judiciário;

i) Ser informada pelos responsáveis pelo tratamento de dados e pelo Ministério da Justiça, nos termos da

competência prevista no artigo seguinte, de qualquer informação relevante para a proteção dos dados de que

tenham conhecimento, incluindo violações de dados pessoais ou do disposto na presente lei, e comunicar

essas situações às entidades competentes para efeitos penais ou disciplinares.

4 – O conselho superior da Comissão é constituído:

a) Pelo membro do Governo responsável pela área da justiça, que preside;

b) Por duas personalidades de reconhecido mérito designadas pela Assembleia da República;

c) Pelo Presidente do Conselho Superior da Magistratura;

d) Pelo Presidente do Conselho Superior dos Tribunais Administrativos e Fiscais;

e) Pelo Procurador-Geral da República;

f) Pelo Presidente do Conselho dos Julgados de Paz.

5 – Compete ao conselho superior da Comissão:

a) Aprovar o plano estratégico da Comissão;

b) Definir as orientações a serem aplicadas pelo conselho coordenador;

c) Homologar os relatórios de avaliação periódica e final de cumprimento do plano estratégico

apresentados pelo conselho coordenador;

Página 38

II SÉRIE-A — NÚMERO 131

38

d) Supervisionar a atividade do conselho coordenador;

e) Aprovar o regulamento interno da Comissão.

6 – O conselho coordenador é presidido pelo membro do Governo com competências no âmbito dos

sistemas de informação dos tribunais ou por seu representante e integrado por:

a) Dois representantes designados por cada uma das entidades referidas nos n.os 1 a 3 do artigo anterior,

um dos quais com competência e experiência técnica em matéria de administração de sistemas;

b) Um representante designado por cada uma das entidades referidas nos n.os 4 e 5 do artigo anterior, com

competência e experiência técnica em matéria de administração de sistemas;

c) Dois representantes, um dos quais com aptidão e experiência técnica em matéria de administração de

sistemas, designados pelo Instituto de Gestão Financeira e Equipamentos da Justiça, IP, enquanto entidade

com competência pela apresentação de propostas de conceção, execução e manutenção dos recursos

tecnológicos e dos sistemas de informação da justiça e pelo apoio aos utilizadores, por assegurar a

adequação dos sistemas de informação às necessidades de gestão e operacionalidade dos órgãos, serviços e

organismos da área da justiça, pela gestão da rede de comunicações da justiça, pela elaboração de propostas

de articulação com o plano estratégico dos sistemas de informação na área da justiça, por projetos de

investimento em matéria de informática e de comunicações dos serviços e organismos da justiça, pela

construção e manutenção de bases de dados e pela certificação;

d) Um representante designado pela Direcção-Geral da Administração da Justiça, enquanto entidade com

competências na definição das políticas de organização e gestão dos tribunais, na realização de estudos

tendentes à modernização e à racionalização dos meios à disposição do sistema judiciário, no

desenvolvimento, implantação, funcionamento e evolução dos sistemas de informação do sistema judiciário,

em matéria de gestão e administração dos funcionários de justiça, na elaboração de estatísticas oficiais na

área da justiça e em matéria de identificação criminal e registo de contumazes e de registo de medidas

tutelares educativas;

e) Um representante designado pela Secretaria-Geral do Ministério da Justiça, enquanto entidade

responsável pela promoção da inovação, modernização e política de qualidade do Ministério da Justiça, pela

contratação pública centralizada de bens e serviços e colaboração com outros serviços e organismos no

levantamento e agregação de necessidades, pela organização e preservação do arquivo histórico e pelo apoio

à Comissão;

f) Um representante designado pela Direcção-Geral da Política de Justiça, enquanto entidade

encarregada de participar na conceção e colaboração no desenvolvimento, na implantação, no funcionamento

e na evolução dos sistemas de informação.

7 – Integram ainda o conselho coordenador da Comissão, sempre que devam ser apreciados assuntos

relacionados com o tratamento de dados por que sejam responsáveis:

a) Um representante designado pela Direção-Geral de Reinserção e Serviços Prisionais, enquanto

entidade responsável pelo apoio aos tribunais e por assegurar a execução de decisões judiciais em matéria

penal e no âmbito do processo tutelar educativo e na elaboração de estatísticas oficiais da justiça;

b) Um representante de cada um dos órgãos de polícia criminal responsáveis pelo tratamento de dados

nos termos do n.º 6 do artigo 24.º.

8 – Sem prejuízo das competências do conselho superior, cabe ao conselho coordenador exercer as

competências previstas no n.º 3, bem como:

a) Apresentar ao conselho superior, para aprovação, o plano estratégico da Comissão;

b) Apresentar ao conselho superior, para homologação, os relatórios de avaliação periódica e final de

cumprimento do plano estratégico;

c) Aprovar os planos operacionais referentes à sua atividade.

Página 39

22 DE JULHO DE 2019

39

9 – O presidente do conselho coordenador pode, ouvidos os demais membros, criar comités técnicos para

o exercício e desenvolvimento de algumas das competências do conselho coordenador.

10 – O conselho superior e o conselho coordenador da Comissão são apoiados pela Secretaria-Geral do

Ministério da Justiça, que faculta os meios necessários à sua instalação e ao seu funcionamento.

11 – A Comissão publica eletronicamente o regulamento interno, a composição, as orientações, as

recomendações e as deliberações, bem como a identificação e os contactos dos responsáveis de proteção de

dados.

12 – Os membros da Comissão não auferem qualquer acréscimo remuneratório ou abono pelo exercício

das suas funções.

Artigo 26.º

Desenvolvimento aplicacional

1 – Compete ao Instituto de Gestão Financeira e Equipamentos da Justiça, IP, nos termos e de acordo com

as orientações definidos pela tutela exercida pelo membro do Governo com competências no âmbito dos

sistemas de informação dos tribunais, e sem prejuízo dos regimes do segredo de justiça, do segredo de

Estado e de outros regimes legais de segredo ou proteção, a definição, a conceção, o desenvolvimento e a

manutenção das aplicações informáticas necessárias à tramitação dos processos e à gestão do sistema

jurisdicional, incluindo:

a) Proceder à necessária análise, implementação e suporte, assegurando que as aplicações informáticas

respeitam todas as regras de segurança previstas na presente lei e na demais legislação aplicável;

b) Criar e manter atualizado um registo de especificações técnicas e funcionais de sistemas e ficheiros

automatizados de tratamento de dados pessoais e das medidas técnicas e organizativas adequadas a garantir

a segurança dos dados;

c) Criar e manter um registo atualizado dos técnicos e responsáveis pela segurança da informação que

asseguram o desenvolvimento, a atualização, a manutenção, a confidencialidade, a integridade, a

autenticidade e a disponibilidade dos ficheiros e dos sistemas informáticos.

2 – No âmbito das competências referidas no número anterior, o Instituto de Gestão Financeira e

Equipamentos da Justiça, IP, deve comunicar à Comissão os desenvolvimentos que possam determinar

alterações à recolha e tratamento de dados efetuados nas aplicações informáticas e cumprir as orientações da

mesma relativas à proteção e segurança da informação, podendo a Comissão apresentar propostas de

desenvolvimento das aplicações informáticas, bem como determinar a realização de auditorias às mesmas e

ter acesso aos resultados de todas as auditorias realizadas.

3 – Sem prejuízo das competências da Comissão, as aplicações informáticas necessárias à tramitação dos

processos e à gestão do sistema jurisdicional e respetivos subsistemas são objeto de auditorias de segurança,

com recurso, se necessário, a entidades externas, sendo os requisitos básicos de segurança das aplicações

definidos por portaria do membro do Governo responsável pela área da justiça, ouvidas as entidades

representadas no conselho superior da Comissão.

4 – No desenvolvimento de aplicações informáticas para tratamento dos dados referentes ao sistema

judiciário deve considerar-se a utilização de aplicações não proprietárias e a adoção de normas abertas para a

informação em suporte digital.

CAPÍTULO IV

Proteção, consulta e acesso aos dados

Artigo 27.º

Proteção dos dados consultados

1 – A consulta de dados ao abrigo da presente lei efetua-se de acordo com os princípios do tratamento de

dados referidos no n.º 2 do artigo 2.º.

Página 40

II SÉRIE-A — NÚMERO 131

40

2 – É garantido, designadamente, que:

a) A consulta dos dados abrangidos pelo segredo de justiça, pelo segredo de Estado ou por outro regime

legal de segredo ou proteção se efetua nos termos da legislação que regula os respetivos regimes;

b) Os dados constantes de documentos que se encontrem em versão de trabalho apenas possam ser

consultados e alterados pelo seu autor;

c) Os dados constantes de documentos que se encontrem em versão final não possam ser alterados ou

eliminados.

Artigo 28.º

Presunção de inocência dos arguidos em processo penal

Sempre que se aceda aos dados relativos a um arguido em processo penal cuja decisão não tenha

transitado em julgado, essa deve ser a primeira informação visível.

Artigo 29.º

Consulta por utilizadores

1 – Sem prejuízo dos regimes do segredo de justiça, do segredo de Estado e de outros regimes legais de

segredo ou proteção, têm acesso aos dados referidos no artigo 3.º, nos termos previstos na presente lei e nos

limites das suas competências ou direitos, no âmbito de um determinado processo:

a) Os magistrados e os funcionários de justiça que os coadjuvam;

b) As partes, o arguido, o assistente e as partes civis, bem como os seus defensores, advogados e demais

mandatários;

c) Os órgãos e agentes auxiliares ou de coadjuvação dos tribunais e das autoridades judiciárias;

d) Os administradores judiciais provisórios, os administradores de insolvência e os agentes de execução;

e) Os magistrados do Ministério Público com competências de direção, coordenação e fiscalização da

atividade dos serviços do Ministério Público;

f) Os inspetores judiciais e os secretários de inspeção que integram os serviços de inspeção do Conselho

Superior da Magistratura, bem como quem, no quadro do Conselho Superior da Magistratura, seja incumbido,

nos termos da lei, da realização de inquéritos ou sindicâncias;

g) Os inspetores que integram os serviços de inspeção do Conselho Superior dos Tribunais Administrativos

e Fiscais;

h) Os inspetores e os secretários de inspeção que integram a Inspeção do Ministério Público;

i) Os inspetores e os secretários de inspeção dos serviços de inspeção do Conselho dos Oficiais de

Justiça;

j) Os juízes presidentes dos tribunais de comarca, designadamente nos termos e para os efeitos previstos

no n.º 10 do artigo 94.º da Lei n.º 62/2013, de 23 de agosto, na sua redação atual;

l) Os juízes de paz, os funcionários e mediadores que exerçam funções nos julgados de paz;

m) Os mediadores e funcionários que exerçam funções nos sistemas de mediação pública;

n) As entidades responsáveis pela realização de inspeções dos julgados de paz;

o) A Comissão de Fiscalização da Atividade dos Mediadores de Conflitos.

2 – As operações de tratamento dos dados são dotadas de especiais medidas de segurança, as quais

garantem, designadamente:

a) Que apenas os utilizadores referidos no número anterior possam consultar os dados;

b) Que o nível de consulta dos dados, por parte de cada utilizador, seja estritamente limitado ao necessário

para o exercício das suas competências;

c) Que a consulta dos dados se processe apenas através de aplicação informática específica, mediante

autenticação do utilizador;

Página 41

22 DE JULHO DE 2019

41

d) Que sejam registadas eletronicamente as consultas de dados, nos termos da presente da lei;

e) Que qualquer acesso irregular seja de imediato comunicado aos membros da Comissão prevista no

artigo 25.º.

3 – O registo eletrónico referido na alínea d) do número anterior contém as seguintes informações:

a) A identidade e categoria do utilizador que consulta os dados;

b) A data e a hora de início e fim da consulta dos dados por parte de cada utilizador;

c) A identificação dos dados consultados;

d) As operações efetuadas por cada utilizador em cada consulta dos dados, designadamente operações

de administração do sistema e de aditamento, alteração, eliminação ou arquivamento dos dados nele contidos.

Artigo 30.º

Consulta e tratamento de dados pelos magistrados, funcionários de justiça, funcionários dos

serviços e entidades que exerçam funções de coadjuvação ou de execução de decisões,

administradores judiciais provisórios, administradores de insolvência e agentes de execução

1 – Os magistrados, os funcionários de justiça que os coadjuvam, os funcionários dos órgãos de polícia

criminal e dos serviços e entidades que exerçam funções de coadjuvação ou de execução de decisões, os

administradores judiciais provisórios, os administradores de insolvência e os agentes de execução podem

consultar e tratar:

a) Os dados dos processos nos tribunais judiciais e nos tribunais administrativos e fiscais que sejam da

sua competência, na fase em que se encontrem;

b) Os dados da conexão processual no processo penal relativos aos processos penais cujo arguido seja o

mesmo que em processos que sejam da sua competência, tendo em vista a verificação do preenchimento dos

pressupostos da conexão processual;

c) Os dados da suspensão provisória do processo penal e do arquivamento em caso de dispensa de pena

relativos a quem seja arguido em processos que sejam da sua competência, tendo em vista a verificação do

preenchimento dos pressupostos de aplicação daquelas medidas;

d) Os dados das medidas de coação e da detenção relativos a quem seja arguido em processos que sejam

da sua competência;

e) Os dados das ordens de detenção relativos a pessoas que intervenham em processos que sejam da

sua competência;

f) Os dados referidos na alínea e) do n.º 8 do artigo 22.º relativos a pessoas que intervenham em

processos que sejam da sua competência e às quais possam ser aplicadas, nos termos da lei, as medidas aí

mencionadas.

2 – Os magistrados do Ministério Público e os funcionários de justiça que os coadjuvam, bem como os

órgãos de polícia criminal, devidamente autorizados pelo magistrado competente e enquanto se mantiver a

coadjuvação, podem consultar e tratar os dados dos inquéritos em processo penal e dos demais processos da

competência do Ministério Público, relativos a processos que sejam da sua competência.

3 – Os juízes de instrução e os funcionários de justiça que os coadjuvam podem consultar e tratar os dados

dos inquéritos em processo penal, relativos a processos que sejam da sua competência, quando tais dados

sejam necessários para o exercício das competências que lhes cabem, nos termos da lei, durante o inquérito.

4 – Os magistrados e funcionários de justiça não podem aceder aos processos:

a) Que se refiram a crimes praticados por esse magistrado ou funcionário de justiça ou em que o mesmo

seja ofendido, pessoa com faculdade para se constituir assistente ou parte civil;

b) Nos quais esse magistrado ou um funcionário de justiça se tenha declarado ou tenha sido declarado

impedido, recusado ou escusado.

Página 42

II SÉRIE-A — NÚMERO 131

42

Artigo 31.º

Consulta pelas partes, arguido, assistente, vítima, partes civis, defensores, advogados, advogados

estagiários, solicitadores e demais mandatários

Sem prejuízo dos regimes do segredo de justiça e do segredo de Estado e de outros regimes legais de

segredo ou de proteção, as partes, o arguido, o assistente, a vítima e as partes civis, bem como os seus

defensores, advogados, advogados estagiários, solicitadores e demais mandatários, podem consultar os

seguintes dados, relativos aos respetivos processos:

a) Os dados previstos na alínea a) do artigo 16.º;

b) Os dados previstos nas alíneas a) e h) do artigo 17.º;

c) Os dados previstos nas alíneas a) e j) do artigo 18.º;

d) Os dados previstos nas alíneas a) e e) a i) do artigo 19.º;

e) Os dados previstos na alínea a) do artigo 20.º;

f) Os dados previstos no artigo 21.º, no caso do defensor, ou nas alíneas a) e f) do mesmo artigo, nos

restantes casos; e

g) Os dados previstos no artigo 22.º, com exceção dos referidos na alínea e) do n.º 8, que apenas podem

consultar na medida em que, nos termos da lei, possam consultar os autos em que os mesmos se inserem.

Artigo 32.º

Direção, coordenação e fiscalização da atividade do Ministério Público

1 – Tendo em vista o exercício das competências de direção, coordenação e fiscalização da atividade dos

serviços e dos magistrados do Ministério Público:

a) O Procurador-Geral da República e o Vice-Procurador-Geral da República podem consultar os dados

relativos aos processos nos tribunais judiciais e nos tribunais administrativos e fiscais, os dados relativos aos

inquéritos em processo penal e os dados relativos aos demais processos da competência do Ministério

Público;

b) O procurador-geral adjunto que dirige o Departamento Central de Investigação e Ação Penal pode

consultar os dados relativos aos processos penais nos tribunais judiciais, bem como os dados relativos aos

inquéritos e a processos da competência daquele Departamento e de outros serviços e departamentos do

Ministério Público, estritamente para efeitos de coordenação;

c) O procurador-geral distrital pode consultar os dados relativos aos processos nos tribunais judiciais, aos

inquéritos em processo penal e aos demais processos da competência do Ministério Público, respeitantes aos

processos que corram na respetiva área de competência territorial;

d) Os procuradores-gerais adjuntos que representam o Ministério Público nos tribunais centrais

administrativos podem consultar os dados relativos aos processos que corram nos respetivos tribunais, bem

como aos processos nos tribunais administrativos e fiscais, nos tribunais administrativos de círculo e nos

tribunais tributários localizados na respetiva área de jurisdição;

e) O procurador-geral adjunto ou o procurador da República coordenador de comarca pode consultar os

dados relativos aos inquéritos em processo penal e aos demais processos da competência do Ministério

Público, relacionados com processos que corram na respetiva área de competência territorial;

f) O procurador-geral-adjunto ou o procurador da República que dirige um departamento de investigação e

ação penal pode consultar os dados dos processos penais nos tribunais judiciais, bem como os dados do

inquérito em processo penal, relativos aos processos que corram no respetivo departamento;

g) Os procuradores-gerais-adjuntos ou procuradores da República que dirijam uma procuradoria da

República e, quando existam, os procuradores da República coordenadores ou com funções específicas de

coordenação podem consultar os dados relativos aos processos nos tribunais judiciais e os dados dos

inquéritos em processo penal relativos, respetivamente, aos processos atribuídos à respetiva procuradoria da

República e aos processos em relação aos quais tenham funções de coordenação; e

h) Os procuradores da República que representam o Estado nos tribunais administrativos de círculo e nos

Página 43

22 DE JULHO DE 2019

43

tribunais tributários e que neles tenham funções de coordenação podem consultar os dados relativos aos

processos nos tribunais administrativos e fiscais distribuídos a magistrados do Ministério Público que exerçam

funções no mesmo tribunal.

2 – Tendo em vista o exercício das competências de direção, coordenação e fiscalização da atividade dos

serviços e dos magistrados do Ministério Público:

a) Os magistrados do Ministério Público referidos no número anterior podem, ainda, consultar os dados

das ordens de detenção respeitantes às pessoas que intervenham em processos que sejam distribuídos a

magistrados sujeitos às suas competências de direção, coordenação e fiscalização; e

b) Os magistrados do Ministério Público referidos nas alíneas a) a c), e) e f) do número anterior podem,

ainda, consultar:

i) Os dados da conexão processual no processo penal respeitantes aos processos penais cujo arguido

seja o mesmo que em processos distribuídos a magistrados sujeitos às suas competências de

direção, coordenação e fiscalização; e

ii) Os dados da suspensão provisória do processo penal e do arquivamento em caso de dispensa de

pena respeitantes a arguidos em processos penais distribuídos a magistrados sujeitos às suas

competências de direção, coordenação e fiscalização;

iii) Os dados das medidas de coação privativas da liberdade e da detenção respeitantes a arguidos em

processos penais distribuídos a magistrados sujeitos às suas competências de direção, coordenação

e fiscalização;

iv) Os dados referidos na alínea e) do n.º 8 do artigo 22.º relativos a pessoas que intervenham em

processos distribuídos a magistrados sujeitos às suas competências de direção, coordenação e

fiscalização, e às quais possam ser aplicadas, nos termos da lei, as medidas aí mencionadas.

3 – Excecionam-se do disposto nos números anteriores os dados relativos a processos que se refiram a

crimes praticados pelo magistrado do Ministério Público em causa ou em que o mesmo seja ofendido, tenha

faculdade para se constituir assistente ou parte civil, e àqueles em que se verifique causa de impedimento,

recusa ou escusa.

4 – A consulta efetuada nos termos dos números anteriores, quando respeite a dados abrangidos pelo

segredo de justiça ou pelo segredo do Estado, é fundamentada através de meios eletrónicos, invocando-se

sucintamente as razões que a justificam.

Artigo 33.º

Situação dos serviços, apreciação do mérito, ação disciplinar, inspeções, inquéritos e sindicâncias

1 – Tendo em vista o exercício das competências previstas na lei, relativas ao conhecimento da situação

dos serviços, à recolha de elementos para apreciação do mérito profissional, à instrução de processos

disciplinares ou à realização de inspeções, inspeções extraordinárias, inquéritos ou sindicâncias, e na estrita

medida necessária àquele exercício, podem consultar os dados previstos no artigo 22.º:

a) Os inspetores judiciais e os secretários de inspeção que os coadjuvam bem como quem, no quadro do

Conselho Superior da Magistratura, seja incumbido, nos termos da lei, da realização de inquéritos ou

sindicâncias;

b) Os inspetores junto do Conselho Superior dos Tribunais Administrativos e Fiscais;

c) Os inspetores integrados na Inspeção do Ministério Público e os secretários de inspeção que os

coadjuvam; e

d) Os inspetores dos serviços de inspeção do Conselho de Oficiais de Justiça e os secretários de inspeção

que os coadjuvam;

e) Os juízes presidentes dos tribunais de comarca, para os efeitos previstos na alínea j) do n.º 1 do artigo

29.º;

Página 44

II SÉRIE-A — NÚMERO 131

44

f) O Conselho dos Julgados de Paz; e

g) A Comissão de Fiscalização da Atividade dos Mediadores de Conflitos.

2 – Para os efeitos da presente lei, considera-se estritamente necessário ao exercício das competências

referidas no número anterior:

a) Nos casos do conhecimento da situação dos serviços e da realização de inspeções, inspeções

extraordinárias, inquéritos ou sindicâncias, a consulta dos dados previstos no artigo 22.º relativos a processos

que corram termos nos serviços objeto dessas competências de que o utilizador do sistema esteja incumbido;

b) No caso da apreciação do mérito profissional, a consulta dos dados previstos no artigo 22.º relativos a

processos distribuídos às pessoas objeto da recolha de informações relativas ao mérito profissional de que o

utilizador do sistema esteja incumbido; e

c) No caso da instrução de processos disciplinares, a consulta dos dados previstos no artigo 22.º relativos

a processos distribuídos aos arguidos em procedimentos disciplinares de cuja instrução o utilizador do sistema

esteja incumbido e que com a matéria objeto deste procedimento estejam relacionados.

3 – A consulta efetuada nos termos dos números anteriores, quando respeite a dados abrangidos pelo

segredo de justiça ou pelo segredo do Estado, é fundamentada através de meios eletrónicos, invocando-se

sucintamente as razões que a justificam.

Artigo 34.º

Exame e consulta dos autos e obtenção de cópias ou certidões

O disposto nos artigos 29.º a 33.º não prejudica os direitos de exame e consulta dos autos e de obtenção

de cópias, extratos ou certidões, nos termos da lei, designadamente por via eletrónica nos termos de portaria

do membro do Governo responsável pela área da justiça.

Artigo 35.º

Acesso aos dados pelo público em geral

É permitida a disponibilização, em sítio na Internet acessível ao público, de dados não abrangidos pelo

segredo de justiça ou de Estado ou por outros regimes legais de segredo ou proteção nos termos da lei, de

acordo com o disposto nos regimes de proteção de dados pessoais.

Artigo 36.º

Direitos do titular dos dados

1 - A qualquer pessoa devidamente identificada e que o solicite por escrito são reconhecidos os direitos de

informação, de acesso, de retificação e de apagamento dos dados que lhe respeitem, nos termos e com as

limitações previstas nos regimes de proteção de dados.

2 - Os pedidos referidos no n.º 1 podem ser efetuados por meios eletrónicos, nos termos a regular por

portaria do membro do Governo responsável pela área da justiça.

3 - (Revogado).

CAPÍTULO V

Intercâmbio e transferências de dados

Artigo 37.º

Interoperabilidade com outros sistemas

1 – Para os efeitos previstos na lei, pode existir interoperabilidade, por meios eletrónicos, com os seguintes

Página 45

22 DE JULHO DE 2019

45

sistemas, precedida de parecer da CNPD:

a) Dos órgãos de polícia criminal;

b) Do Serviço de Estrangeiros e Fronteiras;

c) Da Autoridade de Segurança Alimentar e Económica;

d) Da Autoridade Nacional de Segurança Rodoviária;

e) Dos órgãos e serviços da administração local;

f) Dos serviços da administração fiscal;

g) Das instituições da segurança social;

h) Da identificação civil e criminal;

i) Do registo automóvel;

j) Do registo comercial;

l) Do registo criminal e de contumazes;

m) Do registo nacional de pessoas coletivas;

n) Do registo predial;

o) Dos serviços prisionais;

p) Da reinserção social;

q) Da Ordem dos Advogados;

r) Da Ordem dos Solicitadores e dos Agentes de Execução;

s) Do Gabinete de Recuperação de Ativos e do Gabinete de Administração de Bens;

t) Das Unidades de Informação Financeira e de Informação de Passageiros;

u) Das autoridades de supervisão e dos serviços de inspeção, auditoria e fiscalização do Estado;

v) Das demais entidades que colaborem com o sistema de justiça no âmbito dos processos judiciais,

designadamente os fornecedores de serviços de comunicações eletrónicas publicamente disponíveis ou de

uma rede pública de comunicações e as entidades com competência para a realização de perícias, redação de

pareceres técnico-científicos, elaboração do relatório social e verificação do cumprimento de injunções, penas

substitutivas e sanções acessórias.

2 – A comunicação de dados aos órgãos de polícia criminal ao abrigo da alínea a) do número anterior inclui,

obrigatoriamente, a decisão final do processo, quando esta tenha lugar.

3 – Os dados das ordens de detenção são comunicados de forma automática à Polícia Judiciária, à Polícia

Judiciária Militar, à Polícia de Segurança Pública, à Guarda Nacional Republicana, ao Serviço de Estrangeiros

e Fronteiras e à Polícia Marítima.

4 – Sempre que as condições técnicas o permitam, a comunicação de dados aos magistrados e

funcionários de justiça que os coadjuvam pelos órgãos de polícia criminal e pelas demais entidades que

colaborem com o sistema de justiça no âmbito da investigação e dos processos judiciais efetua-se por meios

eletrónicos.

5 – A comunicação de dados nos termos do número anterior dispensa o seu envio em suporte físico, sem

prejuízo da possibilidade de os magistrados competentes para o processo a que respeitam o determinarem,

quando o mesmo seja necessário para assegurar a finalidade para que os dados foram comunicados.

Artigo 38.º

Acesso a dados constantes de outros sistemas

1 – Os magistrados, os funcionários de justiça, os funcionários dos órgãos de polícia criminal e dos

serviços e entidades que exerçam funções de coadjuvação ou de execução de decisões, os administradores

judiciais provisórios, os administradores de insolvência e os agentes de execução podem aceder aos dados

constantes dos sistemas referidos no n.º 1 do artigo anterior para fins de identificação, localização ou contacto

atualizados, em condições de segurança, celeridade e eficácia, no âmbito de processos da sua competência:

a) De quaisquer intervenientes em processos jurisdicionais e da competência do Ministério Público;

b) Da situação processual dos arguidos em processo penal;

Página 46

II SÉRIE-A — NÚMERO 131

46

c) De bens.

2 – Para efeitos de controlo de admissibilidade da consulta a outros sistemas, as pesquisas efetuadas

pelas pessoas que tenham acesso às bases de dados através de aplicação são registadas informaticamente,

sendo este registo conservado por um prazo de dois anos.

3 – Podem aceder aos registos referidos no número anterior os membros da Comissão, no âmbito do

exercício das respetivas competências de auditoria e inspeção, e as autoridades judiciárias, para fins de

investigação de eventuais violações, sem prejuízo das competências da CNPD.

Artigo 39.º

Transferências de dados

1 – Os magistrados e os funcionários que os coadjuvam asseguram a transferência de dados, nos termos

previstos na lei, para os seguintes efeitos:

a) Cumprir as obrigações de cooperação judiciária internacional emergentes da lei e dos instrumentos de

direito internacional e da União Europeia;

b) Facultar aos órgãos de polícia criminal os dados necessários ao cumprimento das obrigações de

intercâmbio de dados e informações para prevenção e combate à criminalidade emergentes da lei e dos

instrumentos de direito internacional e da União Europeia, no âmbito da cooperação policial.

2 – A transferência de dados para países não membros da União Europeia ou para organizações

internacionais obedece aos princípios e regras previstos nos regimes de proteção de dados pessoais.

3 – O disposto nos artigos 37.º e 38.º não prejudica a comunicação de dados com outros sistemas, nem o

acesso aos dados de outros sistemas, nomeadamente aos sistemas de serviços e entidades que exerçam

funções de coadjuvação ou de execução de decisões ou de outras entidades ou serviços prestadores de

informação, nos termos legalmente previstos.

CAPÍTULO VI

Conservação, arquivamento e apagamento de dados

Artigo 40.º

Conservação, arquivamento e apagamento de dados

1 – Os dados referidos no artigo 3.º apenas são acessíveis e tratados enquanto forem necessários para as

finalidades a que se destinam.

2 – Os dados deixam de ser necessários para as finalidades a que se destinam logo que se verifiquem as

duas circunstâncias seguintes:

a) Os processos a que os dados respeitam se consideram findos para efeitos de arquivo, nos termos da

lei; e

b) Esteja assegurado o aproveitamento dos dados para efeitos de elaboração das estatísticas oficiais da

justiça.

3 – Os responsáveis pela gestão dos dados asseguram que, verificadas as duas circunstâncias referidas

no número anterior, os dados passem a integrar o arquivo eletrónico.

4 – O apagamento dos dados arquivados eletronicamente processa-se de acordo com o disposto nos

diplomas que regulam o arquivamento, os prazos de conservação administrativa e a destruição dos processos

e documentos judiciais, com as necessárias adaptações.

5 – O controlo dos prazos de conservação dos dados é assegurado eletronicamente, devendo a sua

conservação e atualização ser periodicamente revista.

Página 47

22 DE JULHO DE 2019

47

Artigo 41.º

Arquivo eletrónico

1 – O arquivamento eletrónico dos dados referido no n.º 3 do artigo anterior implica a vedação do acesso

aos mesmos, com exceção do disposto nos números seguintes.

2 – Apenas podem aceder aos dados arquivados eletronicamente:

a) Os magistrados e funcionários de justiça que os coadjuvam, na medida do estritamente necessário para

o exercício das suas competências legalmente previstas e com apresentação das razões que fundamentam a

consulta;

b) As pessoas às quais a lei confira um direito de consulta de auto ou de obtenção de cópia, extrato ou

certidão de auto ou parte dele, na medida do estritamente necessário para realização do fim que fundamenta a

consulta, e sem prejuízo dos regimes do segredo de justiça, do segredo de Estado ou de outros regimes legais

de segredo ou proteção.

3 – Ao acesso referido na alínea b) do número anterior são aplicáveis as regras de acesso aos processos

enquanto estes se encontram pendentes.

4 – É aplicável ao processo eletrónico o disposto no artigo 28.º.

CAPÍTULO VII

Segurança dos dados

Artigo 42.º

Medidas de segurança

1 – Os responsáveis pelo tratamento asseguram a segurança dos dados no âmbito da sua competência,

nos termos dos regimes de proteção de dados pessoais e da presente lei, nomeadamente no que respeita ao

tratamento automatizado.

2 – O controlo da consulta e de outras operações de tratamento dos dados é feito através do registo

eletrónico referido no n.º 3 do artigo 29.º, devendo esse registo ser periodicamente comunicado aos

responsáveis pela gestão dos dados, para fins de auditoria aos acessos.

3 – Para as finalidades referidas no número anterior é também mantido um registo das permissões de

acesso atribuídas a cada utilizador, devendo os dados constantes de tal registo ser eliminados 10 anos após a

data do seu registo.

4 – Tendo em vista a segurança e a preservação da informação, são feitas, periodicamente, cópias de

segurança da mesma.

Artigo 43.º

Sigilo profissional

Quem, no exercício das suas funções, tomar conhecimento de dados referidos no artigo 3.º, cujo

conhecimento pelo público não seja admitido pela lei, fica obrigado a sigilo profissional.

Artigo 44.º

Comissão Nacional de Proteção de Dados

1 – A CNPD é a autoridade de controlo com competência para a garantia e fiscalização da aplicação dos

regimes de proteção de dados pessoais e das operações de tratamento de dados pessoais nos termos

previstos na presente lei.

2 – Para efeitos do número anterior, a composição da CNPD respeita os termos do n.º 3 do artigo 43.º da

Página 48

II SÉRIE-A — NÚMERO 131

48

Lei n.º [PPL 125/XIII].

3 – A competência da CNPD não abrange a fiscalização e supervisão de operações de tratamento de

dados pessoais pelas autoridades judiciárias, pelos juízes de paz e pelos mediadores dos sistemas públicos

de mediação, no âmbito das suas competências processuais, nos termos previstos nas alíneas a) e b) do n.º 1

do artigo 23.º.

4 – A Comissão constitui o ponto de contacto privilegiado da CNPD para os efeitos previstos no n.º 1, sem

prejuízo da comunicação direta com os responsáveis pela proteção de dados nos termos e para os efeitos

legalmente previstos.

5 – A CNPD aconselha e promove a sensibilização dos responsáveis pelo tratamento para as obrigações

que lhes incumbem, em cooperação com a Comissão.

6 – As entidades supervisoras da gestão da informação, bem como as demais entidades que integram a

Comissão, comunicam à CNPD a identidade e as funções dos representantes designados nos termos do

artigo 25.º, bem como a identidade e contatos dos respetivos encarregados de proteção de dados.

7 – Tendo em vista o controlo e fiscalização do cumprimento das normas de proteção de dados pessoais, a

CNPD pode aceder ao registo referido nos n.os 2 e 3 do artigo 42.º, oficiosamente ou na sequência de queixa.

Artigo 45.º

Segurança das infraestruturas físicas

1- O Ministério da Justiça assegura, através do departamento com competência para a matéria em causa,

que as infraestruturas físicas e as linhas de transmissão de suporte à recolha, registo e intercâmbio dos dados,

bem como ao arquivo eletrónico, são mantidas em instalações que garantam as condições de segurança

adequadas.

2- Os representantes designados, nos termos das alíneas a) e b) do n.º 6 do artigo 25.º, pelos

responsáveis pelo tratamento de dados, podem aceder às instalações referidas no número anterior.

CAPÍTULO VIII

Dados estatísticos

Artigo 46.º

Dados para fins estatísticos

1 – Podem ser utilizados para fins estatísticos, de forma não nominativa e com preservação do segredo

estatístico, as seguintes categorias de dados:

a) Dados relativos aos magistrados e funcionários de justiça:

i) Sexo; e

ii) Categoria profissional;

b) Dados relativos aos defensores, advogados e mandatários:

i) Sexo;

ii) Nacionalidade; e

iii) Indicação de se tratar de advogado, advogado estagiário, solicitador, solicitador estagiário, Ministério

Público ou outro;

c) Dados relativos aos arguidos em processo penal e aos arguidos em processo contraordenacional:

i) Data de nascimento;

ii) Sexo;

Página 49

22 DE JULHO DE 2019

49

iii) Estado civil;

iv) Nacionalidade;

v) Naturalidade, com indicação do município e da freguesia, no caso de nascimento em Portugal, ou do

Estado, no caso de nascimento no estrangeiro;

vi) Grau de instrução;

vii) Condição perante o trabalho; e

viii) Profissão;

d) Dados relativos aos assistentes, aos lesados, aos ofendidos, às partes, às partes civis, aos queixosos,

aos lesados, às testemunhas e às vítimas:

i) Data de nascimento;

ii) Sexo; e

iii) Estado civil;

e) Relação do arguido em processo penal com a vítima;

f) Dados relativos a pessoas coletivas que intervenham nos processos, seja a que título for:

i) Natureza jurídica; e

ii) Código de Classificação das Atividades Económicas;

g) Dados relativos aos processos de divórcio:

i) Data do casamento;

ii) Número de casamentos anteriores dissolvidos por divórcio;

iii) Número de casamentos anteriores dissolvidos por viuvez;

iv) Forma de celebração do casamento;

v) Localização da casa de morada de família, com a indicação da freguesia, no caso de localização em

Portugal, ou do Estado, no caso de localização no estrangeiro;

vi) Fundamentos do divórcio; e

vii) Datas de nascimento dos filhos menores.

2 – O disposto no número anterior não prejudica o tratamento, com salvaguarda do segredo estatístico,

dos demais dados previstos na presente lei, tendo em vista a elaboração das estatísticas oficiais da justiça.

3 – O disposto na alínea e) do n.º 1 implica, designadamente, a identificação dos casos de violência

doméstica e de tráfico de pessoas.

CAPÍTULO IX

Sanções

Artigo 47.º

Desvio de dados

1 – Quem copiar, subtrair, ceder, ou transferir, a título oneroso ou gratuito, dados pessoais tratados ao

abrigo da presente lei, sem previsão legal ou consentimento, é punido com pena de prisão até 2 anos ou multa

até 240 dias.

2 – A pena é agravada para o dobro nos seus limites quando a conduta:

a) For conseguida através de violação de regras técnicas de segurança;

b) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial; ou

c) Tiver prejudicado inquéritos, investigações, processos judiciais ou a execução de sanções penais.

Página 50

II SÉRIE-A — NÚMERO 131

50

Artigo 48.º

Utilização de dados de forma incompatível com a finalidade da recolha

Quem utilizar dados pessoais tratados ao abrigo da presente lei de forma incompatível com a finalidade

determinante da respetiva recolha é punido com pena de prisão até 2 anos ou com pena de multa até 240

dias.

Artigo 49.º

Interconexão ilegal de dados

Quem intencionalmente promover ou efetuar uma interconexão ilegal de qualquer dos dados previstos na

presente lei é punido com pena de prisão até 2 anos ou multa até 240 dias.

Artigo 50.º

Acesso indevido aos dados

1 – Quem, sem a devida autorização ou justificação, aceder, por qualquer modo, a dados pessoais tratados

ao abrigo da presente lei é punido com pena de prisão até um ano ou com pena de multa até 120 dias.

2 – A pena é agravada para o dobro dos seus limites quando o acesso:

a) For conseguido através de violação de regras técnicas de segurança;

b) (Revogada); ou

c) Tiver proporcionado ao agente ou a terceiros benefício de vantagem patrimonial.

Artigo 51.º

Viciação ou destruição de dados

1 – Quem, sem a devida autorização ou justificação, apagar, destruir, danificar, ocultar, suprimir ou

modificar dados pessoais, tornando-os inutilizáveis ou afetando o seu potencial de utilização, é punido com

pena de prisão até dois anos ou com pena de multa até 240 dias.

2 – A pena é agravada para o dobro dos seus limites se o dano produzido for particularmente grave.

3 – Se o agente atuar com negligência é punido com pena de prisão:

a) Até um ano ou multa até 120 dias, no caso previsto no n.º 1;

b) Até dois anos ou multa até 240 dias, no caso previsto no n.º 2.

Artigo 52.º

Violação do dever de sigilo

1 – Quem, obrigado a sigilo profissional nos termos da lei, sem justa causa e sem o devido consentimento,

revelar ou divulgar no todo ou em parte dados pessoais é punido com pena de prisão até um ano ou com pena

de multa até 120 dias.

2 – A pena é agravada para o dobro nos seus limites se o agente:

a) For trabalhador em funções públicas ou equiparado, nos termos da lei penal;

b) For encarregado de proteção de dados;

c) For determinado pela intenção de obter qualquer vantagem patrimonial ou outro benefício ilegítimo;

d) Puser em perigo a reputação, a honra ou a intimidade da vida privada de terceiros.

3 – A negligência é punível com pena de prisão até 6 meses ou multa até 120 dias.

Página 51

22 DE JULHO DE 2019

51

Artigo 52.º-A

Inserção de dados falsos

1 – Quem inserir ou facilitar a inserção de dados pessoais falsos, com a intenção de obter vantagem

indevida para si ou para terceiro, ou para causar prejuízo, é punido com pena de prisão até dois anos ou com

pena de multa até 240 dias.

2 – A pena é agravada para o dobro nos seus limites se da inserção referida no número anterior resultar um

prejuízo efetivo.

Artigo 52.º-B

Desobediência qualificada

Quem não cumprir as obrigações previstas na presente lei, depois de ultrapassado o prazo que tiver sido

fixado pela autoridade de controlo para o respetivo cumprimento, é punido com a pena correspondente ao

crime de desobediência qualificada.

Artigo 53.º

Punição da tentativa

Nos crimes previstos no presente capítulo, a tentativa é sempre punível.

Artigo 54.º

Sanções acessórias

Conjuntamente com as penas previstas no presente capítulo, podem ser ordenadas as penas acessórias

previstas no artigo 56.º da Lei n.º [PPL 120/XIII].

Artigo 55.º

Aplicabilidade de outros regimes sancionatórios

1 – O disposto no presente capítulo não prejudica a aplicação das disposições da Lei n.º [PPL 120/XIII], da

Lei n.º [PPL 125/XIII] ou do Código Penal, se de tal aplicação resultar, em concreto, uma sanção mais grave.

2 – O disposto no presente capítulo não prejudica a aplicação da Lei n.º 109/2009, de 15 de setembro.

Artigo 56.º

Responsabilidade civil e disciplinar

O disposto no presente capítulo não prejudica a efetivação da responsabilidade civil nem da

responsabilidade disciplinar.

CAPÍTULO X

Alteração legislativa

Artigo 57.º

Alteração ao estatuto do administrador da insolvência

(Revogado.)

Página 52

II SÉRIE-A — NÚMERO 131

52

CAPÍTULO XI

Disposições finais

Artigo 58.º

Direito subsidiário

Às matérias relativas à proteção de dados pessoais previstas na presente lei é subsidiariamente aplicável o

disposto no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, na

Lei n.º [PPL 120/XIII], que assegura a sua execução na ordem jurídica interna, e na Lei n.º [PPL 125/XIII], que

transpõe para a ordem jurídica interna a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27

de abril de 2016.

Artigo 59.º

Adaptações técnicas

As adaptações necessárias ao cumprimento dos requisitos técnicos previstos na presente lei são efetuadas

no prazo máximo de dois anos após a sua entrada em vigor.

Artigo 60.º

Entrada em vigor do artigo 159.º da Lei de Organização e Funcionamento dos Tribunais Judiciais

O artigo 159.º da Lei n.º 52/2008, de 28 de agosto, que aprova a Lei de Organização e Funcionamento dos

Tribunais Judiciais, entra em vigor, para todo o território nacional, no dia seguinte ao da publicação da

presente lei.

Artigo 61.º

Entrada em vigor

Sem prejuízo do disposto no artigo anterior, a presente lei entra em vigor seis meses após a data da sua

publicação.

———

DECRETO DA ASSEMBLEIA DA REPÚBLICA N.º 336/XIII

APROVA AS REGRAS RELATIVAS AO TRATAMENTO DE DADOS PESSOAIS PARA EFEITOS DE

PREVENÇÃO, DETEÇÃO, INVESTIGAÇÃO OU REPRESSÃO DE INFRAÇÕES PENAIS OU DE

EXECUÇÃO DE SANÇÕES PENAIS, TRANSPONDO A DIRETIVA (UE) 2016/680 DO PARLAMENTO

EUROPEU E DO CONSELHO, DE 27 DE ABRIL DE 2016

A Assembleia da República decreta, nos termos da alínea c) do artigo 161.º da Constituição, o seguinte:

CAPÍTULO I

Disposições gerais

Artigo 1.º

Objeto

A presente lei estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao

Página 53

22 DE JULHO DE 2019

53

tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, deteção,

investigação ou repressão de infrações penais ou de execução de sanções penais, incluindo a salvaguarda e a

prevenção de ameaças à segurança pública, transpondo para a ordem jurídica interna a Diretiva (UE)

2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.

Artigo 2.º

Âmbito de aplicação

1 - A presente lei é aplicável ao tratamento de dados pessoais para os efeitos previstos no artigo anterior,

nos termos da lei processual penal e demais legislação aplicável.

2 - A presente lei aplica-se ao tratamento de dados pessoais por meios total ou parcialmente

automatizados, bem como ao tratamento de dados pessoais contidos num ficheiro ou a ele destinados por

meios não automatizados.

3 - A presente lei não se aplica ao tratamento de dados pessoais relacionados com a segurança nacional.

4 - O intercâmbio de dados pessoais entre autoridades competentes na União Europeia, quando

legalmente exigido, não é limitado nem proibido por razões relacionadas com a proteção das pessoas

singulares no que diz respeito ao tratamento de dados pessoais.

Artigo 3.º

Definições

1 – Para os efeitos do disposto na presente lei, entende-se por:

a) «Estado-Membro», Estado-Membro da União Europeia;

b) «País terceiro», Estado que não integra a União Europeia;

c) «Dados pessoais», informações relativas a uma pessoa singular identificada ou identificável («titular dos

dados»);

d) «Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre

conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo,

a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a

utilização, a divulgação por transmissão, por difusão ou por qualquer outra forma de disponibilização, a

comparação ou interconexão, a limitação, o apagamento ou a destruição;

e) «Limitação do tratamento», a inserção de uma marca nos dados pessoais conservados com o objetivo

de limitar o seu tratamento no futuro;

f) «Definição de perfis», qualquer forma de tratamento automatizado de dados pessoais que consista em

utilizar esses dados para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para

analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, a sua

saúde, as suas preferências pessoais, os seus interesses, a sua fiabilidade, o seu comportamento, a sua

localização ou as suas deslocações;

g) «Pseudonimização», o tratamento de dados pessoais para que deixem de poder ser atribuídos a um

titular de dados específico sem recurso a informações suplementares, desde que estas sejam mantidas

separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não

possam ser atribuídos a uma pessoa singular identificada ou identificável;

h) «Ficheiro», um conjunto estruturado de dados pessoais acessíveis segundo critérios específicos,

centralizado, descentralizado ou repartido de modo funcional ou geográfico;

i) «Autoridade competente», uma autoridade pública responsável pela prevenção, investigação, deteção

ou repressão de infrações penais ou de execução de sanções penais, incluindo a salvaguarda e a prevenção

de ameaças à segurança pública, ou qualquer outro organismo ou entidade que exerça, nos termos da lei, a

autoridade pública e os poderes públicos para os referidos efeitos;

j) «Responsável pelo tratamento», a entidade competente que, individualmente ou em conjunto com

outras, determina as finalidades e os meios de tratamento dos dados pessoais, ou, no caso em que estes são

determinados por lei, a autoridade nela indicada;

Página 54

II SÉRIE-A — NÚMERO 131

54

k) «Subcontratante», a pessoa singular ou coletiva, a autoridade pública, o serviço ou outro organismo que

trata dados pessoais por conta do responsável pelo tratamento;

l) «Destinatário», a pessoa singular ou coletiva, a autoridade pública, o serviço ou outro organismo que

recebe comunicações de dados pessoais, independentemente de ser ou não um terceiro, com exceção das

autoridades públicas que recebem dados pessoais no âmbito de inquéritos específicos nos termos da lei, as

quais, não sendo destinatários, observam as regras de proteção de dados pessoais, em função das finalidades

do tratamento;

m) «Violação de dados pessoais», uma violação da segurança que provoque, de modo acidental ou ilícito,

a destruição, a perda, a alteração, a divulgação não autorizada de dados pessoais transmitidos, conservados

ou tratados de outro modo, ou o acesso não autorizado a esses dados;

n) «Dados genéticos», dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de

uma pessoa singular, que forneçam informações únicas sobre a sua fisiologia ou sobre a sua saúde que

resultem, designadamente, da análise de uma amostra biológica da pessoa singular em causa;

o) «Dados biométricos», dados pessoais resultantes de um tratamento técnico específico, relativos às

características físicas, fisiológicas ou comportamentais de uma pessoa singular, que permitam ou confirmem a

sua identificação única, tais como imagens faciais ou dados dactiloscópicos;

p) «Dados relativos à saúde», dados pessoais relativos à saúde física ou mental de uma pessoa singular,

incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde;

q) «Autoridade de controlo», a Comissão Nacional de Proteção de Dados (CNPD), nos termos do disposto

no artigo 43.º;

r) «Organização internacional», uma organização internacional e os organismos de direito internacional

público por ela tutelados, ou outro organismo criado por um acordo celebrado entre dois ou mais países ou

com base num acordo dessa natureza.

2 – Para os efeitos do disposto na alínea c) do número anterior, considera-se identificável uma pessoa

singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador

como o nome, o número de identificação, dados de localização, identificadores em linha ou um ou mais

elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa

pessoa.

3 – Para os efeitos do disposto na alínea i) do n.º 1, são autoridades competentes as forças e os serviços

de segurança, os órgãos de polícia criminal, as autoridades judiciárias e os serviços prisionais e de reinserção

social, no âmbito das suas atribuições de prevenção, deteção, investigação ou repressão de infrações penais

ou de execução de sanções penais, nos termos previstos nos respetivos estatutos e nas leis de segurança

interna, de organização da investigação criminal e do processo penal.

CAPÍTULO II

Princípios relativos ao tratamento de dados pessoais

Artigo 4.º

Princípios gerais de proteção de dados

1 – O tratamento de dados pessoais deve processar-se no estrito respeito pelos direitos, liberdades e

garantias das pessoas singulares, em especial pelo direito à proteção dos dados pessoais.

2 – Os dados pessoais são:

a) Objeto de um tratamento lícito e leal;

b) Recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser tratados de forma

incompatível com essas finalidades;

c) Adequados, pertinentes e limitados ao mínimo necessário à prossecução das finalidades para as quais

são tratados;

d) Exatos e atualizados sempre que necessário, devendo ser tomadas todas as medidas razoáveis para

Página 55

22 DE JULHO DE 2019

55

que os dados inexatos sejam apagados ou retificados sem demora;

e) Conservados de forma a permitir a identificação dos titulares dos dados apenas durante o período

necessário para as finalidades para as quais são tratados;

f) Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não

autorizado ou ilícito e contra a sua perda, destruição ou danificação acidentais, recorrendo a medidas técnicas

ou organizativas adequadas.

3 – O responsável pelo tratamento deve adotar as medidas que lhe permitam comprovar que o tratamento

de dados pessoais é realizado em conformidade com os princípios enunciados no número anterior.

Artigo 5.º

Licitude do tratamento

1 - O tratamento de dados pessoais só é lícito se estiver previsto na lei e na medida em que for necessário

para o exercício de uma atribuição da autoridade competente para os efeitos previstos no artigo 1.º, sem

prejuízo do disposto no n.º 3.

2 - A lei indica, pelo menos, os objetivos do tratamento, os dados pessoais a tratar e as finalidades do

tratamento.

3 - Caso não esteja autorizado por lei, o tratamento dos dados pessoais apenas pode ser realizado se for

necessário para a proteção dos interesses vitais do titular dos dados ou de outra pessoa singular.

Artigo 6.º

Tratamento de categorias especiais de dados pessoais

1 – O tratamento dos dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as

convicções religiosas ou filosóficas ou a filiação sindical, bem como dos dados genéticos, dos dados

biométricos destinados a identificar uma pessoa singular de forma inequívoca, dos dados relativos à saúde ou

dos dados relativos à vida sexual ou à orientação sexual, só pode ser efetuado se for estritamente necessário,

se estiver sujeito a garantias adequadas de proteção dos direitos e liberdades do titular dos dados, e se:

a) For autorizado por lei;

b) Se destinar a proteger os interesses vitais do titular dos dados ou de outra pessoa singular; ou

c) Estiver relacionado com dados manifestamente tornados públicos pelo titular dos dados.

2 – São proibidas as definições de perfis que conduzam à discriminação de pessoas singulares com base

nas categorias especiais de dados pessoais previstos no número anterior.

Artigo 7.º

Finalidades do tratamento

1 - É permitido o tratamento dos dados pessoais, pelo mesmo ou por outro responsável pelo tratamento,

para finalidades diferentes daquelas para as quais os dados pessoais foram recolhidos, desde que essas

outras finalidades se enquadrem nos fins previstos no artigo 1.º e que:

a) O responsável pelo tratamento esteja autorizado por lei a tratar os dados pessoais para essa finalidade;

e

b) O tratamento seja necessário e proporcional a essa outra finalidade, nos termos da lei.

2 - O tratamento pelo mesmo ou por outro responsável inclui o arquivo de interesse público e a utilização

científica, estatística ou histórica dos dados para os efeitos previstos no artigo 1.º, sob reserva de garantias

adequadas dos direitos, liberdades e garantias do titular dos dados.

Página 56

II SÉRIE-A — NÚMERO 131

56

Artigo 8.º

Condições específicas de tratamento

1 - Os dados pessoais recolhidos pelas autoridades competentes para os fins previstos no artigo 1.º não

podem ser tratados para fins diferentes, salvo se esse tratamento for autorizado por lei, sendo neste caso

aplicável ao tratamento de dados para esses e outros fins o disposto no Regulamento (UE) 2016/679 do

Parlamento Europeu e do Conselho, de 27 de abril de 2016, e na Lei n.º [PPL 120/XIII].

2 - Nos casos em que as autoridades competentes exerçam atribuições para efeitos diversos dos previstos

no artigo 1.º, é aplicável ao tratamento de dados para esses outros fins, incluindo os de arquivo de interesse

público, de investigação científica ou histórica ou fins estatísticos, o disposto no Regulamento (UE) 2016/679

do Parlamento Europeu e do Conselho, de 27 de abril de 2016, e na Lei n.º [PPL 120/XIII].

3 - Se a autoridade competente proceder a uma transmissão de dados cujo tratamento esteja sujeito a

condições específicas, a autoridade transmissora informa o destinatário dos dados pessoais dessas condições

e da obrigação de as cumprir.

4 - Na transmissão de dados à Eurojust, à Europol e a outros organismos de cooperação judiciária e policial

em matéria penal criados no âmbito da União Europeia, bem como às autoridades competentes de outros

Estados-Membros, não podem ser aplicadas condições específicas diferentes das previstas para as

transmissões de dados similares entre autoridades nacionais.

Artigo 9.º

Distinção entre diferentes categorias de titulares de dados

O responsável pelo tratamento deve estabelecer, se aplicável e sempre que possível, uma distinção clara

entre os dados pessoais de diferentes categorias de titulares de dados, tais como:

a) Pessoas relativamente às quais existem motivos fundados para crer que cometeram ou estão prestes a

cometer uma infração penal;

b) Pessoas condenadas pela prática de uma infração penal;

c) Vítimas de uma infração penal ou pessoas relativamente às quais certos factos levam a crer que

possam vir a ser vítimas de uma infração penal; e

d) Terceiros envolvidos numa infração penal, tais como pessoas que possam ser chamadas a testemunhar

em processo penal, pessoas que possam fornecer informações sobre infrações penais, ou contactos ou

associados de uma das pessoas a que se referem as alíneas a) e b).

Artigo 10.º

Distinção entre dados pessoais e verificação da qualidade dos dados pessoais

1 - Sempre que possível, os dados pessoais baseados em factos devem ser distinguidos dos dados

pessoais baseados em apreciações pessoais.

2 - Não podem ser transmitidos nem disponibilizados dados pessoais inexatos, incompletos, desatualizados

ou não confiáveis.

3 - Para os efeitos previstos no número anterior, as autoridades competentes verificam, sempre que

possível, a qualidade dos dados pessoais antes de estes serem transmitidos ou disponibilizados.

4 - Nos casos de transmissão de dados pessoais, as autoridades competentes que os transferem devem

fornecer, sempre que possível, as informações necessárias para que as autoridades competentes que os

recebem possam apreciar se os dados são exatos, completos, atuais e fiáveis.

5 - Se se verificar que foram transmitidos dados inexatos ou que foram transmitidos dados pessoais de

forma ilícita, o destinatário deve ser informado sem demora, devendo proceder-se à retificação ou ao

apagamento dos dados em causa ou à limitação do seu tratamento, nos termos do artigo 17.º.

Página 57

22 DE JULHO DE 2019

57

Artigo 11.º

Decisões individuais automatizadas

1 - São proibidas as decisões tomadas exclusivamente com base no tratamento automatizado, incluindo a

definição de perfis, que produzam efeitos adversos na esfera jurídica do titular dos dados ou que o afetem de

forma significativa, exceto quando autorizadas por lei, desde que seja previsto o direito de o titular dos dados

obter a intervenção humana do responsável pelo tratamento.

2 - As decisões a que se refere o número anterior não podem basear-se nas categorias especiais de dados

pessoais previstos no artigo 6.º.

Artigo 12.º

Prazos para conservação e avaliação

1 - Os dados pessoais só podem ser tratados durante o período necessário para a prossecução das

finalidades da recolha, ou do tratamento posterior autorizado nos termos do artigo 7.º, findo o qual devem ser

apagados, sem prejuízo da sua pseudonimização logo que as finalidades do tratamento o permitam.

2 - O responsável pelo tratamento avalia periodicamente a necessidade de conservar os dados pessoais

tratados, de acordo com procedimentos internos adotados para esse efeito, nos quais se deve fixar,

nomeadamente, a periodicidade da avaliação.

3 - A periodicidade de avaliação da necessidade de conservar os dados pessoais deve ser determinada em

função das diferentes categorias de titulares de dados previstos no artigo 9.º, bem como da necessidade de

conservação dos dados em causa para as finalidades do tratamento.

4 - A decisão de conservar os dados pessoais por períodos adicionais ao prazo de conservação original

deve ser documentada, justificada e notificada aos titulares dos dados, sem prejuízo do disposto no artigo 16.º.

5 - As autoridades competentes devem utilizar sistemas informáticos que facilitem a avaliação periódica da

necessidade de conservar os dados e o seu apagamento ou pseudonimização, nomeadamente através de

alertas e de medidas de proteção automáticas, tais como a limitação de acesso ou a ocultação dos dados.

CAPÍTULO III

Direitos do titular dos dados

Artigo 13.º

Comunicações e exercício dos direitos do titular dos dados

1 - O responsável pelo tratamento facilita o exercício dos direitos do titular dos dados nos termos dos

artigos 11.º e 15.º a 19.º.

2 - O responsável pelo tratamento fornece ao titular dos dados as informações a que se refere o artigo 14.º

e efetua as comunicações relativas aos artigos 11.º, 15.º a 19.º e 33.º de uma forma concisa, inteligível e de

fácil acesso, utilizando uma linguagem clara e simples, e pelos meios adequados, incluindo meios eletrónicos,

e, sempre que possível, com recurso ao meio utilizado no pedido.

3 - O responsável pelo tratamento informa o titular dos dados do seguimento dado ao seu pedido, por

escrito, e sem demora injustificada, num prazo não superior a 30 dias, que pode ser renovado por mais 30

dias, em caso de motivo justificado.

4 - A prestação de informações e o exercício dos direitos são gratuitos, sem prejuízo do disposto no número

seguinte.

5 - Nos casos em que o pedido do titular dos dados seja manifestamente infundado ou excessivo,

designadamente devido ao seu caráter repetitivo, o responsável pelo tratamento, mediante decisão

fundamentada, pode:

a) Exigir o pagamento de uma taxa de montante a fixar por portaria do membro do Governo responsável

pela área da justiça, tendo em conta os custos administrativos associados; ou

Página 58

II SÉRIE-A — NÚMERO 131

58

b) Recusar dar seguimento ao pedido.

6 - Se tiver dúvidas razoáveis quanto à identidade da pessoa que apresenta o pedido ao abrigo dos artigos

15.º e 17.º, o responsável pelo tratamento pode solicitar ao requerente que lhe sejam fornecidas as

informações adicionais necessárias para confirmar a sua identidade.

Artigo 14.º

Informações a disponibilizar ou a fornecer pelo responsável pelo tratamento

1 - O responsável pelo tratamento disponibiliza publicamente e de forma permanentemente acessível as

informações sobre:

a) A identidade e os contactos do responsável pelo tratamento;

b) Os contactos do encarregado da proteção de dados;

c) As finalidades do tratamento a que os dados pessoais se destinam;

d) O direito de apresentar queixa à autoridade de controlo e os contactos dessa autoridade;

e) O direito de solicitar ao responsável pelo tratamento acesso aos dados pessoais que lhe dizem respeito,

bem como a sua retificação ou o seu apagamento e a limitação do tratamento.

2 - Para além das informações a que se refere o número anterior, e sem prejuízo do disposto no número

seguinte, o responsável pelo tratamento fornece ao titular dos dados as seguintes informações adicionais a fim

de lhe permitir exercer os seus direitos:

a) O fundamento jurídico do tratamento;

b) O prazo de conservação dos dados pessoais, os critérios utilizados para o definir ou os procedimentos

previstos para revisão periódica da necessidade de conservação;

c) As categorias de destinatários dos dados pessoais, se for o caso, inclusivamente nos países terceiros

ou nas organizações internacionais;

d) Se necessário, outras informações adicionais, especialmente se os dados pessoais tiverem sido

recolhidos sem o conhecimento do seu titular.

3 - A prestação de informações a que se refere o número anterior pode ser adiada, limitada ou recusada se

e enquanto tal for necessário e proporcional para:

a) Evitar prejuízo para investigações, inquéritos ou processos judiciais;

b) Evitar prejuízo para a prevenção, deteção, investigação ou repressão de infrações penais ou para a

execução de sanções penais;

c) Proteger a segurança pública;

d) Proteger a segurança nacional; ou

e) Proteger os direitos, liberdades e garantias de terceiros.

Artigo 15.º

Direito de acesso do titular dos dados aos seus dados pessoais

1 - Sem prejuízo do disposto no artigo seguinte, o titular dos dados tem direito a obter do responsável pelo

tratamento, com periodicidade razoável, informação sobre se os dados pessoais que lhe dizem respeito estão

ou não a ser objeto de tratamento.

2 - Em caso afirmativo, o titular dos dados tem o direito de aceder aos seus dados pessoais e às

informações sobre:

a) As finalidades e o fundamento jurídico do tratamento;

b) As categorias dos dados pessoais em causa;

Página 59

22 DE JULHO DE 2019

59

c) Os destinatários ou as categorias de destinatários aos quais os dados pessoais foram transmitidos,

especialmente se se tratar de destinatários de países terceiros ou de organizações internacionais;

d) Sempre que possível, o prazo previsto de conservação dos dados pessoais ou, se não for possível, os

critérios utilizados para fixar esse prazo;

e) O direito de solicitar ao responsável pelo tratamento a retificação ou o apagamento dos dados pessoais

ou a limitação do tratamento dos dados pessoais que lhe dizem respeito;

f) O direito de apresentar queixa à autoridade de controlo e de obter os contactos dessa autoridade;

g) A comunicação dos dados pessoais sujeitos a tratamento, bem como as informações disponíveis sobre

a origem dos mesmos.

Artigo 16.º

Limitações do direito de acesso

1 - O responsável pelo tratamento pode recusar ou restringir o direito de acesso do titular dos dados

enquanto tal limitação constituir uma medida necessária e proporcional para:

a) Evitar prejuízo para investigações, inquéritos ou processos judiciais;

b) Evitar prejuízo para a prevenção, deteção, investigação ou repressão de infrações penais ou para a

execução de sanções penais;

c) Proteger a segurança pública;

d) Proteger a segurança nacional; ou

e) Proteger os direitos, liberdades e garantias de terceiros.

2 - Nos casos previstos no número anterior, o responsável pelo tratamento informa o titular dos dados, por

escrito e sem demora injustificada, dos motivos da recusa ou da limitação do acesso.

3 - A informação a que se refere o número anterior pode ser omitida apenas na medida em que a sua

prestação possa prejudicar uma das finalidades enunciadas no n.º 1.

4 - Nos casos previstos no número anterior, o responsável pelo tratamento informa o titular dos dados do

direito que lhe assiste de apresentar um pedido de verificação à autoridade de controlo nos termos do artigo

18.º, ou de intentar a competente ação judicial.

5 - O responsável pelo tratamento disponibiliza à autoridade de controlo informação sobre os motivos de

facto e de direito que fundamentam a decisão de recusa ou de limitação do direito de acesso, bem como da

omissão de informação ao titular dos dados.

Artigo 17.º

Direito de retificação ou apagamento dos dados pessoais e de limitação do tratamento

1 - O titular dos dados tem o direito de obter do responsável pelo tratamento, sem demora injustificada, a

retificação dos dados pessoais inexatos que lhe digam respeito, bem como o direito a que os seus dados

pessoais incompletos sejam completados, nomeadamente por meio de declaração adicional.

2 - O titular dos dados tem o direito de obter do responsável pelo tratamento, sem demora injustificada, o

apagamento dos dados pessoais que lhe digam respeito nos casos em que o tratamento não respeite o

disposto nos artigos 4.º a 7.º ou nos casos em que o apagamento seja exigido para dar cumprimento a uma

obrigação legal a que o responsável pelo tratamento esteja sujeito.

3 - Em vez de proceder ao apagamento, o responsável pelo tratamento limita o tratamento, no caso de:

a) O titular dos dados contestar a exatidão dos dados pessoais e a sua exatidão ou inexatidão não puder

ser apurada;

b) Os dados pessoais deverem ser conservados para efeitos de prova.

4 - Nos casos previstos na alínea a) do número anterior, o responsável pelo tratamento informa o titular dos

dados antes de pôr termo à limitação do tratamento.

Página 60

II SÉRIE-A — NÚMERO 131

60

5 - A limitação do tratamento implica que os dados só possam ser tratados para as finalidades que

impediram o seu apagamento, devendo o responsável pelo tratamento adotar as medidas técnicas e

organizativas adequadas para assegurar que a limitação é respeitada.

6 - O titular dos dados é informado, por escrito, da decisão de recusa do pedido de retificação ou de

apagamento ou da limitação do tratamento e dos respetivos fundamentos.

7 - A informação a que se refere o número anterior pode ser omitida ou limitada pelo responsável pelo

tratamento na medida em que tal omissão ou limitação constitua uma medida necessária e proporcional para:

a) Evitar prejuízo para investigações, inquéritos, ou processos judiciais;

b) Evitar prejuízo para a prevenção, deteção, investigação ou repressão de infrações penais ou a

execução de sanções penais;

c) Proteger a segurança pública;

d) Proteger a segurança nacional; ou

e) Proteger os direitos e as liberdades de terceiros.

8 - Nos casos previstos no número anterior, o responsável pelo tratamento informa o titular dos dados do

direito de apresentar um pedido de verificação à autoridade de controlo nos termos do artigo 18.º, ou de

intentar a competente ação judicial.

9 - A retificação dos dados pessoais é comunicada à autoridade competente de origem dos dados inexatos.

10 - Em caso de transmissão de dados, o responsável pelo tratamento informa os destinatários da retificação

ou do apagamento ou da limitação do tratamento, devendo estes retificar ou apagar os dados ou limitar o

tratamento em conformidade com essa informação.

Artigo 18.º

Exercício dos direitos do titular dos dados e verificação pela autoridade de controlo

1 - Em caso de recusa de informação, acesso, retificação, apagamento ou limitação de tratamento com

fundamento no disposto no n.º 3 do artigo 14.º, no n.º 1 do artigo 16.º ou no n.º 7 do artigo anterior, o titular

dos dados pode solicitar à autoridade de controlo que verifique a licitude do tratamento.

2 - O responsável pelo tratamento informa o titular dos dados do direito que lhe assiste nos termos do

número anterior.

3 - Nos casos referidos no n.º 1, a autoridade de controlo informa o titular dos dados de que procedeu a

todas as verificações necessárias ou a um reexame do tratamento e do direito que lhe assiste de intentar a

competente ação judicial.

Artigo 19.º

Direitos do titular dos dados em casos especiais

Os direitos de informação, de acesso, de retificação, de apagamento e de limitação do tratamento de dados

pessoais constantes de um processo penal, de uma decisão judicial ou do registo criminal são exercidos nos

termos da lei processual penal e da demais legislação aplicável.

CAPÍTULO IV

Responsável pelo tratamento e subcontratante

Artigo 20.º

Obrigações do responsável pelo tratamento

1 - O responsável pelo tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do

tratamento dos dados, bem como os riscos para os direitos, liberdades e garantias das pessoas, adota as

medidas técnicas e organizativas adequadas para assegurar e poder comprovar que o tratamento é realizado

Página 61

22 DE JULHO DE 2019

61

em conformidade com a presente lei.

2 - As medidas adotadas nos termos do número anterior são regularmente avaliadas e atualizadas.

Artigo 21.º

Requisitos mínimos da proteção de dados

1 - O responsável pelo tratamento adota as medidas técnicas e organizativas que assegurem de forma

eficaz o respeito pelos princípios da proteção de dados, bem como as garantias necessárias para satisfazer os

requisitos estabelecidos na presente lei e para proteger os direitos dos titulares dos dados.

2 - O responsável pelo tratamento aplica as medidas técnicas e organizativas adequadas que assegurem

que apenas são tratados os dados pessoais necessários para cada finalidade específica do tratamento.

3 - Para os efeitos do número anterior, o responsável pelo tratamento avalia o volume de dados pessoais

recolhidos, a extensão do tratamento, o prazo de conservação e a acessibilidade, devendo assegurar que, por

defeito, os dados pessoais não são disponibilizados a um número indeterminado de pessoas sem o

consentimento do respetivo titular dos dados.

4 - As medidas referidas no n.º 1 são asseguradas tanto nos momentos da conceção, do desenvolvimento

e da aplicação dos meios de tratamento como no momento do próprio tratamento, de modo a permitir,

designadamente, a pseudonimização e a minimização dos dados.

Artigo 22.º

Responsáveis conjuntos pelo tratamento

1 - Para os efeitos da presente lei, quando dois ou mais responsáveis pelo tratamento de dados

determinam conjuntamente as finalidades e os meios do tratamento, ambos são responsáveis conjuntos pelo

tratamento.

2 - Os responsáveis conjuntos determinam as respetivas responsabilidades por mútuo acordo, de forma

transparente e devidamente documentada a fim de garantir o cumprimento da presente lei, nomeadamente no

que diz respeito ao exercício dos direitos do titular dos dados e aos deveres de facultar a informação a que se

refere o artigo 14.º, salvo nos casos em que a responsabilidade seja determinada por lei.

3 - O acordo previsto no número anterior identifica qual dos responsáveis é o ponto de contacto dos

titulares dos dados para o exercício dos seus direitos, sem prejuízo de a pretensão poder ser dirigida a

qualquer deles.

Artigo 23.º

Tratamento dos dados por subcontratante

1 - O responsável pelo tratamento pode recorrer a subcontratantes que apresentem garantias suficientes de

adoção de medidas técnicas e organizativas adequadas de modo a que o tratamento satisfaça os requisitos

estabelecidos na presente lei e assegure a proteção dos direitos do titular dos dados.

2 - O subcontratante não pode recorrer a outro subcontratante sem a autorização prévia específica ou

geral, por escrito, do responsável pelo tratamento, com exceção dos casos em que a subcontratação esteja

prevista na lei.

3 - Em caso de autorização geral, o subcontratante informa o responsável pelo tratamento de todas as

alterações pretendidas quanto à contratação de outros subcontratantes, podendo o responsável pelo

tratamento opor-se a essas alterações.

4 - O tratamento de dados em subcontratação é regulado por contrato escrito ou por lei que estabeleça o

objeto, a duração, a natureza e a finalidade do tratamento, o tipo de dados pessoais e as categorias de

titulares de dados a tratar, bem como as obrigações e os direitos do responsável pelo tratamento.

5 - O contrato ou a lei referidos no número anterior preveem, designadamente, que o subcontratante:

a) Só aja de acordo com as instruções do responsável pelo tratamento;

b) Assegure que as pessoas autorizadas a tratar os dados pessoais assumem um compromisso de

Página 62

II SÉRIE-A — NÚMERO 131

62

confidencialidade ou se encontram sujeitas a obrigações legais de confidencialidade;

c) Preste assistência ao responsável pelo tratamento por todos os meios adequados de modo a assegurar

o cumprimento das disposições relativas aos direitos do titular dos dados;

d) Após concluir os serviços de tratamento, apague de forma definitiva ou devolva os dados ao

responsável pelo tratamento, consoante a escolha deste, e apague as cópias existentes, a menos que a sua

conservação seja exigida por lei;

e) Disponibilize ao responsável pelo tratamento as informações necessárias para demonstrar o

cumprimento do disposto no presente artigo;

f) Respeite as condições referidas nos n.os 2 e 3 no que respeita à contratação de outro subcontratante;

g) Adote as medidas técnicas e organizativas adequadas que assegurem a proteção dos dados pessoais,

em conformidade com o exigido na presente lei, devendo considerar o princípio da proteção de dados desde a

conceção e por defeito.

Artigo 24.º

Tratamento sob a autoridade do responsável pelo tratamento ou do subcontratante

O subcontratante, bem como qualquer pessoa que, agindo sob a autoridade deste ou do responsável pelo

tratamento, tenha acesso a dados pessoais, não pode efetuar o respetivo tratamento sem instruções do

responsável pelo tratamento.

Artigo 25.º

Dever de sigilo

Os responsáveis pelo tratamento, os subcontratantes, bem como qualquer outra pessoa que, no exercício

das suas funções, tenha acesso aos dados pessoais, ficam obrigados a sigilo profissional, mesmo após o

termo das suas funções.

Artigo 26.º

Registos das atividades de tratamento

1 - O responsável pelo tratamento conserva um registo de todas as categorias de atividades de tratamento

sob a sua responsabilidade.

2 - O registo deve conter:

a) O nome e os contactos do responsável pelo tratamento e, se for o caso, dos responsáveis conjuntos

pelo tratamento e do encarregado da proteção de dados;

b) As finalidades do tratamento;

c) As categorias de destinatários aos quais os dados pessoais são divulgados ou facultados, incluindo os

destinatários estabelecidos em países terceiros ou organizações internacionais;

d) A descrição das categorias de titulares de dados e das categorias de dados pessoais;

e) A utilização da definição de perfis, se for caso disso;

f) As categorias de transferências de dados pessoais para um país terceiro ou para uma organização

internacional, se for caso disso;

g) A indicação do fundamento jurídico do tratamento, incluindo das transferências, a que os dados

pessoais se destinam;

h) Se possível, os prazos de conservação das diferentes categorias de dados pessoais ou os

procedimentos previstos para revisão periódica da necessidade de conservação;

i) Uma descrição geral das medidas técnicas e organizativas em matéria de segurança referidas no artigo

31.º;

j) Os pedidos apresentados pelos titulares dos dados e a respetiva tramitação, bem como as decisões do

responsável pelo tratamento com a correspondente fundamentação.

Página 63

22 DE JULHO DE 2019

63

3 - O subcontratante conserva um registo de todas as categorias de atividades de tratamento realizadas em

nome do responsável pelo tratamento, do qual constam:

a) O nome e os contactos do subcontratante ou subcontratantes, de cada responsável pelo tratamento em

nome do qual atua o subcontratante e do encarregado da proteção de dados, se for caso disso;

b) As categorias de tratamentos de dados efetuados em nome de cada responsável pelo tratamento;

c) Se for caso disso, as transferências de dados pessoais para um país terceiro ou para uma organização

internacional e as instruções do responsável pelo tratamento para as transferências, incluindo a identificação

desse país terceiro ou dessa organização internacional;

d) Uma descrição geral das medidas técnicas e organizativas em matéria de segurança referidas no artigo

31.º.

4 - Os registos a que se referem os números anteriores são conservados por escrito e em suporte

duradouro, designadamente em formato eletrónico.

5 - O responsável pelo tratamento e o subcontratante facultam os registos previstos nos números anteriores

à autoridade de controlo, a pedido desta.

Artigo 27.º

Registo cronológico

1 - O responsável pelo tratamento e o subcontratante conservam em sistemas de tratamento automatizado

registos cronológicos das seguintes operações de tratamento:

a) Recolha;

b) Alteração;

c) Consulta;

d) Divulgação, incluindo transferências;

e) Interconexão;

f) Apagamento; e

g) Limitação do tratamento, incluindo as datas de início e de cessação da limitação.

2 - Os registos cronológicos das operações de consulta e de divulgação devem permitir determinar o

motivo, a data e a hora dessas operações, a identificação da pessoa que consultou ou divulgou dados

pessoais e, sempre que possível, a identidade dos destinatários desses dados pessoais.

3 - Os registos cronológicos são utilizados exclusivamente para efeitos de verificação da licitude do

tratamento, autocontrolo, exercício do poder disciplinar e garantia da integridade e segurança dos dados

pessoais, bem como no âmbito e para efeitos de processo penal.

4 - O responsável pelo tratamento e o subcontratante disponibilizam os registos cronológicos à autoridade

de controlo, a pedido desta.

5 - As leis específicas reguladoras das operações de tratamento dos dados para as finalidades previstas no

artigo 1.º definem os períodos de conservação aplicáveis aos registos cronológicos.

6 - O responsável pelo tratamento e o subcontratante adotam medidas técnicas que garantam a integridade

dos registos cronológicos.

Artigo 28.º

Dever de colaboração

O responsável pelo tratamento e o subcontratante colaboram plenamente com a autoridade de controlo no

exercício das suas atribuições.

Página 64

II SÉRIE-A — NÚMERO 131

64

Artigo 29.º

Avaliação de impacto

1 - No caso de um certo tipo de tratamento ser suscetível de representar um elevado risco para os direitos,

liberdades e garantias das pessoas, o responsável pelo mesmo deve efetuar uma avaliação do impacto das

operações que o compõem antes de lhe dar início.

2 - Tendo em conta os direitos, liberdades e garantias das pessoas, a avaliação do impacto inclui:

a) Uma descrição geral das operações de tratamento previstas;

b) Uma avaliação dos riscos para os direitos, liberdades e garantias dos titulares dos dados;

c) As medidas previstas para fazer face aos riscos mencionados na alínea anterior;

d) As garantias, as medidas de segurança e os mecanismos para assegurar a proteção dos dados

pessoais e demonstrar a conformidade do tratamento com a presente lei.

Artigo 30.º

Consulta prévia da autoridade de controlo

1 - O responsável pelo tratamento ou o subcontratante consultam a autoridade de controlo antes de

proceder ao tratamento de dados pessoais a integrar em ficheiro a criar nos casos em que:

a) A avaliação de impacto prevista no artigo anterior indique que o tratamento resultaria num elevado risco,

na ausência de medidas adequadas para atenuar esse risco; ou

b) O tipo de tratamento envolva um elevado risco para os direitos, liberdades e garantias dos titulares dos

dados, designadamente se utilizar novas tecnologias.

2 - A autoridade de controlo é consultada durante a elaboração de instrumentos jurídicos em preparação na

União Europeia ou em instituições internacionais e durante a elaboração de acordos bilaterais ou multilaterais

a celebrar entre o Estado português e outros estados, bem como de propostas legislativas e regulamentares

referentes ao tratamento de dados pessoais, podendo, igualmente, emitir pareceres, por iniciativa própria,

sobre qualquer questão relacionada com a proteção de dados pessoais.

3 - A autoridade de controlo pode elaborar e publicitar uma lista das operações de tratamento sujeitas a

consulta prévia nos termos do n.º 1.

4 - O responsável pelo tratamento fornece à autoridade de controlo a avaliação de impacto prevista no

artigo anterior e, quando solicitado, qualquer outra informação que lhe permita avaliar a conformidade do

tratamento com a presente lei, os riscos para a proteção dos dados pessoais e as respetivas garantias.

5 - Caso considere que o tratamento previsto no n.º 1 viola o disposto na presente lei, especialmente se o

responsável pelo tratamento não tiver identificado ou atenuado de forma suficiente os riscos, a autoridade de

controlo dá orientações por escrito ao responsável pelo tratamento ou ao subcontratante no prazo de seis

semanas a contar da receção do pedido de consulta, sem prejuízo de poder adotar outras medidas da sua

competência.

6 - O prazo previsto no número anterior pode ser prorrogado por um mês, tendo em conta a complexidade

do tratamento em causa, devendo a autoridade de controlo informar o responsável pelo tratamento ou o

subcontratante dessa prorrogação e dos respetivos fundamentos.

Artigo 31.º

Segurança do tratamento

1 - O responsável pelo tratamento e o subcontratante adotam as medidas técnicas e organizativas

apropriadas a fim de assegurarem um nível de segurança adequado ao risco, em particular no que diz respeito

ao tratamento das categorias especiais de dados pessoais referidos no artigo 6.º.

2 - No que respeita ao tratamento automatizado de dados, o responsável pelo tratamento ou o

subcontratante, tendo em conta a avaliação dos riscos, devem aplicar medidas que:

Página 65

22 DE JULHO DE 2019

65

a) Impeçam o acesso de pessoas não autorizadas ao equipamento utilizado para o tratamento (controlo de

acesso ao equipamento);

b) Impeçam que os suportes de dados sejam lidos, copiados, alterados ou retirados sem autorização

(controlo dos suportes de dados);

c) Impeçam a introdução não autorizada de dados pessoais, bem como qualquer operação não autorizada

relativamente a dados pessoais conservados (controlo da conservação);

d) Impeçam que os sistemas de tratamento automatizado sejam utilizados por pessoas não autorizadas

por meio de equipamento de comunicação de dados (controlo dos utilizadores);

e) Assegurem que as pessoas autorizadas a utilizar um sistema de tratamento automatizado só tenham

acesso aos dados pessoais abrangidos pela sua autorização de acesso (controlo do acesso aos dados);

f) Assegurem que possa ser verificado e determinado a que organismos os dados pessoais foram ou

podem ser transmitidos ou facultados utilizando equipamento de comunicação de dados (controlo da

comunicação);

g) Assegurem que possa ser verificado e determinado a posteriori quais os dados pessoais introduzidos

nos sistemas de tratamento automatizado, quando e por quem foram introduzidos (controlo da introdução);

h) Impeçam que, durante as transferências de dados pessoais ou o transporte de suportes de dados, os

dados pessoais possam ser lidos, copiados, alterados ou suprimidos sem autorização (controlo do transporte);

i) Assegurem que os sistemas utilizados possam ser restaurados em caso de interrupção (recuperação);

j) Assegurem que as funções do sistema funcionam, que os erros de funcionamento sejam assinalados

(fiabilidade) e que os dados pessoais conservados não possam ser falseados por funcionamento defeituoso do

sistema (integridade).

3 - O disposto no número anterior é aplicável, com as devidas adaptações, ao tratamento manual de dados

contidos ou destinados a um ficheiro estruturado.

Artigo 32.º

Notificação de uma violação de dados pessoais à autoridade de controlo

1 - Caso se verifique uma violação de dados pessoais, o responsável pelo tratamento notifica a autoridade

de controlo no prazo de 72 horas após ter conhecimento da situação, a menos que a violação não seja

suscetível de resultar num risco para os direitos, liberdades e garantias das pessoas singulares.

2 - Nos casos em que não seja possível efetuar a notificação no prazo de 72 horas, o responsável pelo

tratamento deve indicar os motivos do atraso.

3 - A notificação a que se refere o n.º 1 é confidencial e deve, no mínimo:

a) Descrever a natureza da violação de dados pessoais, incluindo, se possível e adequado, as categorias e

o número aproximado de titulares dos dados afetados e as categorias e o número aproximado de registos de

dados pessoais em causa;

b) Comunicar o nome e os contactos do encarregado da proteção de dados ou de outro ponto de contacto,

para efeitos de prestação de informações adicionais;

c) Descrever as consequências prováveis da violação de dados pessoais;

d) Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação

de dados pessoais, nomeadamente, se for caso disso, para atenuar os seus eventuais efeitos negativos.

4 - Nos casos em que não seja possível serem prestadas em simultâneo, as informações referidas no

número anterior podem ser fornecidas posteriormente à notificação, sem demora injustificada.

5 - O responsável pelo tratamento documenta qualquer violação de dados pessoais, incluindo os factos

com ela relacionados, os seus efeitos e as medidas de reparação adotadas, de modo a permitir à autoridade

de controlo verificar o cumprimento do disposto no presente artigo.

6 - Caso a violação de dados envolva dados pessoais que tenham sido transmitidos pelo ou ao responsável

pelo tratamento de outro Estado-Membro, as informações referidas no n.º 3 são-lhe comunicadas, sem demora

Página 66

II SÉRIE-A — NÚMERO 131

66

injustificada.

7 - Nos casos de subcontratação, o subcontratante notifica o responsável pelo tratamento de qualquer

violação de dados pessoais de que tenha conhecimento, sem demora injustificada.

8 - A notificação prevista nos números anteriores não prejudica a comunicação de incidentes às

autoridades competentes.

Artigo 33.º

Comunicação de uma violação de dados pessoais ao titular dos dados

1 - Caso se verifique uma violação de dados pessoais suscetível de resultar num elevado risco para os

direitos, liberdades e garantias do titular dos dados, o responsável pelo tratamento comunica-lhe a violação,

sem demora injustificada.

2 - A comunicação ao titular dos dados descreve, numa linguagem clara e simples, a natureza da violação

dos dados pessoais e inclui as informações e as medidas referidas nas alíneas b), c) e d) do n.º 3 do artigo

anterior.

3 - A comunicação é dispensada nos casos em que:

a) O responsável pelo tratamento tiver adotado medidas de proteção adequadas, tanto tecnológicas como

organizativas, e estas tiverem sido aplicadas aos dados afetados pela violação de dados pessoais,

designadamente a cifragem;

b) O responsável pelo tratamento tiver tomado medidas subsequentes que assegurem que a concretização

do elevado risco referido no n.º 1 deixou de ser provável; ou

c) Implicar um esforço desproporcionado, devendo, neste caso, o responsável pelo tratamento informar os

titulares dos dados de outra forma igualmente eficaz, nomeadamente através de comunicação pública.

4 - Se o responsável pelo tratamento não tiver comunicado a violação de dados pessoais ao titular dos

dados, a autoridade de controlo, caso considere que da violação de dados pessoais resulta um elevado risco

para os seus direitos, liberdades e garantias, pode exigir ao responsável que proceda a essa comunicação ou

dispensá-la pelos motivos indicados no número anterior.

5 - A comunicação prevista no n.º 1 pode ser adiada, limitada ou omitida sob reserva das condições e pelos

motivos enunciados no n.º 5 do artigo 13.º.

Artigo 34.º

Designação do encarregado da proteção de dados

1 - O responsável pelo tratamento designa um encarregado de proteção de dados para o assistir no

controlo do cumprimento das obrigações decorrentes da presente lei, incluindo no tratamento dos dados

efetuado por sua conta pelo subcontratante.

2 - A obrigação prevista no número anterior não se aplica aos tribunais nem ao Ministério Público, no

exercício das suas competências processuais.

3 - O encarregado da proteção de dados é designado com base nas suas qualidades profissionais, em

especial nos seus conhecimentos especializados no domínio da legislação e das práticas de proteção de

dados e na sua capacidade para desempenhar as funções referidas no artigo seguinte.

4 - Pode ser designado um único encarregado da proteção de dados para várias autoridades competentes,

tendo em conta a sua dimensão e estrutura organizativa.

5 - Sem prejuízo do disposto na alínea b) do n.º 1 do artigo 14.º, o responsável pelo tratamento comunica à

autoridade de controlo os contactos do encarregado da proteção de dados.

Artigo 35.º

Funções do encarregado da proteção de dados

Ao encarregado da proteção de dados compete, designadamente:

Página 67

22 DE JULHO DE 2019

67

a) Informar e aconselhar o responsável pelo tratamento e os trabalhadores que efetuam o tratamento

quanto às obrigações que lhes incumbem por força da presente lei e de outras disposições legais relativas à

proteção de dados pessoais;

b) Fiscalizar o cumprimento da presente lei e de outras disposições legais sobre proteção de dados

pessoais, bem como das orientações do responsável pelo tratamento em matéria de proteção de dados

pessoais, incluindo a repartição de responsabilidades, a sensibilização e a formação do pessoal envolvido nas

operações de tratamento e as auditorias correspondentes;

c) Prestar aconselhamento, quando solicitado, no que respeita à avaliação de impacto e controlar a sua

realização, nos termos do artigo 29.º;

d) Cooperar com a autoridade de controlo;

e) Ser ponto de contacto e apoiar a autoridade de controlo nos assuntos relacionados com o tratamento de

dados, incluindo a consulta prévia a que se refere o artigo 29.º.

Artigo 36.º

Exercício de funções pelo encarregado da proteção de dados

1 - O responsável pelo tratamento assegura que o encarregado da proteção de dados é envolvido, de

forma adequada e em tempo útil, em todas as questões relacionadas com a proteção de dados pessoais.

2 - O responsável pelo tratamento apoia o encarregado da proteção de dados no desempenho das suas

funções, concedendo-lhe acesso aos dados pessoais e às operações de tratamento, e fornecendo-lhe os

recursos necessários para esse efeito e para a atualização dos seus conhecimentos.

3 - O responsável pelo tratamento e o subcontratante asseguram que o encarregado da proteção de dados

não recebe instruções relativamente ao exercício das suas funções e que não pode ser destituído nem

penalizado pelo facto de as exercer.

4 - O encarregado da proteção de dados não está impedido de exercer outras funções, desde que o

responsável pelo tratamento ou o subcontratante assegurem que do seu exercício não resulta um conflito de

interesses.

CAPÍTULO V

Transferências de dados pessoais para países terceiros ou para organizações internacionais

Artigo 37.º

Princípios gerais aplicáveis às transferências de dados pessoais

1 - Sem prejuízo de outras condições exigidas na lei, as autoridades competentes só podem transferir

dados pessoais para um país terceiro ou para uma organização internacional, inclusivamente dados que se

destinem a transferências ulteriores para outro país terceiro ou para outra organização internacional, se:

a) A transferência for necessária para a prossecução das finalidades previstas no artigo 1.º;

b) Os dados pessoais forem transferidos para um responsável pelo tratamento no país terceiro ou na

organização internacional com competência para os efeitos previstos no artigo 1.º, sem prejuízo do disposto no

artigo 41.º;

c) No caso de os dados pessoais terem sido transmitidos ou disponibilizados por outro Estado-Membro,

esse Estado tiver dado o seu consentimento prévio à transferência, sem prejuízo do disposto no número

seguinte;

d) Tiver sido adotada uma decisão de adequação, nos termos do disposto no artigo 38.º, ou tiverem sido

apresentadas garantias adequadas, nos termos do artigo 39.º, ou forem aplicáveis as derrogações previstas

no artigo 40.º;

e) No caso de uma transferência ulterior para um país terceiro ou para uma organização internacional, a

autoridade competente que realizou a transferência inicial ou outra autoridade competente do mesmo Estado-

Página 68

II SÉRIE-A — NÚMERO 131

68

Membro autorizar a transferência ulterior, após ter em conta todos os fatores pertinentes, nomeadamente a

gravidade da infração penal, a finalidade para que os dados pessoais foram inicialmente transferidos e o nível

de proteção no país terceiro ou na organização internacional para os quais os dados pessoais forem

ulteriormente transferidos; e

f) A transferência não comprometer o nível de proteção das pessoas assegurado pela presente lei.

2 - As transferências sem o consentimento prévio a que alude a alínea c) do número anterior apenas são

permitidas se forem necessárias para prevenir uma ameaça imediata e grave à segurança pública de um

Estado-Membro ou de um país terceiro, ou aos interesses essenciais de um Estado-Membro, e o

consentimento prévio não puder ser obtido em tempo útil.

3 - No caso previsto no número anterior, a autoridade responsável por dar o consentimento é informada

sem demora.

Artigo 38.º

Transferências com base numa decisão de adequação

1 - A transferência de dados pessoais para um país terceiro ou para uma organização internacional pode

ser efetuada com base numa decisão de adequação da Comissão Europeia que determine que o país terceiro,

território ou um ou mais setores específicos desse país terceiro, ou a organização internacional em causa,

asseguram um nível de proteção adequado.

2 - A transferência de dados pessoais com base numa decisão de adequação dispensa uma autorização

específica.

3 - Os atos da Comissão Europeia que revoguem, alterem ou suspendam a decisão de adequação não

prejudicam as transferências de dados pessoais para o país terceiro, território ou setor específico do país

terceiro, ou para a organização internacional em causa, efetuadas nos termos dos artigos 39.º e 40.º.

Artigo 39.º

Transferências sujeitas a garantias adequadas

1 - Na falta de decisão de adequação, ou nos casos de revogação ou suspensão de decisões de

adequação, os dados pessoais podem ser transferidos para um país terceiro ou para uma organização

internacional se:

a) Tiverem sido apresentadas garantias adequadas no que diz respeito à proteção de dados pessoais

mediante um instrumento juridicamente vinculativo; ou

b) O responsável pelo tratamento tiver avaliado todas as circunstâncias inerentes à transferência de dados

pessoais e concluído que existem garantias adequadas no que diz respeito à proteção desses dados.

2 - O responsável pelo tratamento informa a autoridade de controlo sobre as categorias de transferências

abrangidas pela alínea b) do número anterior.

3 - As transferências baseadas na alínea b) do n.º 1 são documentadas, devendo o responsável pelo

tratamento disponibilizar à autoridade de controlo, a pedido desta, toda a documentação pertinente, incluindo

informações sobre a data e a hora da transferência, a autoridade competente que as recebe, a justificação da

transferência e os dados pessoais transferidos.

Artigo 40.º

Derrogações aplicáveis em situações específicas

1 - Na falta, revogação ou suspensão de uma decisão de adequação ou de garantias adequadas nos

termos dos artigos anteriores, a transferência ou as categorias de transferências de dados pessoais para um

país terceiro ou para uma organização internacional só podem ser efetuadas se forem necessárias:

Página 69

22 DE JULHO DE 2019

69

a) Para proteger os interesses vitais do titular dos dados ou de outra pessoa;

b) Para salvaguardar os legítimos interesses do titular dos dados;

c) Para prevenir uma ameaça imediata e grave contra a segurança pública de um Estado-Membro ou de

um país terceiro;

d) Em casos específicos, para a prossecução das finalidades estabelecidas no artigo 1.º; ou

e) Em casos específicos, para declarar, exercer ou defender, no âmbito de um processo judicial, um direito

relacionado com as finalidades estabelecidas no artigo 1.º.

2 - Ainda que se verifiquem os fundamentos previstos na alínea d) ou na alínea e) do número anterior, os

dados pessoais não são transferidos se a autoridade competente para proceder à transferência considerar que

os direitos, liberdades e garantias fundamentais do titular dos dados em causa prevalecem sobre as

finalidades que motivariam a transferência por interesse público.

3 - As transferências de dados efetuadas nos termos do n.º 1 são limitadas aos dados estritamente

necessários para a finalidade prosseguida.

4 - O responsável pelo tratamento documenta a informação pertinente referente às transferências

realizadas ao abrigo do n.º 1, devendo disponibilizar a documentação à autoridade de controlo, a pedido desta,

incluindo informações sobre a data e a hora da transferência, a autoridade competente que as recebe, a

justificação da transferência e os dados pessoais transferidos.

Artigo 41.º

Transferências de dados pessoais para destinatários estabelecidos em países terceiros

1 - Em derrogação do disposto na alínea b) do n.º 1 do artigo 37.º e sem prejuízo de um acordo

internacional tal como definido no número seguinte, uma autoridade pública com poderes de prevenção,

investigação, deteção ou repressão de infrações penais ou de execução de sanções penais, incluindo a

salvaguarda e a prevenção de ameaças à segurança pública, pode, em casos específicos, transferir dados

pessoais diretamente para destinatários estabelecidos em países terceiros, desde que, respeitadas as

disposições da presente lei, estejam preenchidas as seguintes condições cumulativas:

a) A transferência ser estritamente necessária a uma função desempenhada pela autoridade competente

que efetua a transferência e prevista por lei, tendo em vista as finalidades indicadas no artigo 1.º;

b) A autoridade competente que efetua a transferência considerar que os direitos, liberdades e garantias

fundamentais do titular dos dados em causa não prevalecem sobre as finalidades que exigem a transferência

no caso em apreço;

c) A autoridade competente que efetua a transferência considerar que a transferência para uma autoridade

competente para os efeitos referidos no artigo 1.º, no país terceiro, se revela ineficaz ou desadequada,

nomeadamente por não ser possível efetuá-la em tempo útil;

d) A autoridade competente para os efeitos referidos no artigo 1.º, no país terceiro, ser informada sem

demora injustificada, a menos que tal se revele ineficaz ou inadequado; e

e) A autoridade competente que efetua a transferência informar o destinatário da finalidade ou das

finalidades específicas para as quais deve tratar os dados pessoais, desde que o tratamento seja necessário.

2 - Para os efeitos previstos no número anterior, por acordo internacional entende-se um acordo

internacional bilateral ou multilateral em vigor entre os Estados-Membros e países terceiros no domínio da

cooperação judiciária em matéria penal e da cooperação policial.

3 - A autoridade competente que efetuar a transferência informa a autoridade de controlo sobre as

transferências abrangidas pelo presente artigo.

4 - As transferências efetuadas nos termos do presente artigo devem ser documentadas pelo responsável

pelo tratamento.

Página 70

II SÉRIE-A — NÚMERO 131

70

Artigo 42.º

Cooperação internacional no domínio da proteção de dados pessoais

Em relação a países terceiros e a organizações internacionais, os responsáveis pelo tratamento adotam as

medidas necessárias destinadas a:

a) Estabelecer procedimentos internacionais de cooperação que visem facilitar a aplicação efetiva da

legislação em matéria de proteção de dados pessoais;

b) Prestar assistência mútua no domínio da aplicação da legislação de proteção de dados pessoais,

nomeadamente através da notificação, da transmissão de queixas, da assistência na investigação e do

intercâmbio de informações, sob reserva das garantias adequadas para a proteção dos dados pessoais e dos

outros direitos e liberdades fundamentais;

c) Associar as partes interessadas aos debates e às atividades que visem promover a cooperação

internacional no âmbito da aplicação da legislação relativa à proteção de dados pessoais;

d) Promover o intercâmbio e a documentação da legislação e das práticas em matéria de proteção de

dados pessoais, inclusivamente sobre conflitos jurisdicionais com países terceiros.

CAPÍTULO VI

Autoridade de controlo

Artigo 43.º

Autoridade de controlo

1 - Incumbe à CNPD a garantia e fiscalização do cumprimento da presente lei.

2 - O disposto do número anterior não se aplica ao tratamento de dados pessoais efetuado pelos tribunais e

pelo Ministério Público no exercício das suas competências processuais.

3 - Para efeitos do n.º 1, a CNPD integra um magistrado judicial, designado pelo Conselho Superior da

Magistratura, e um magistrado do Ministério Público, designado pelo Conselho Superior do Ministério Público.

4 - Cabe exclusivamente aos magistrados a que se refere o número anterior, sem prejuízo das

competências do presidente da CNPD, o exercício das atribuições da CNPD que impliquem o acesso a dados

objeto de tratamento ou aos registos cronológicos das operações de tratamento.

5 - A designação dos membros da CNPD a que se refere o n.º 3 é efetuada em comissão de serviço.

Artigo 44.º

Atribuições

1 - No exercício das funções a que se refere o n.º 1 do artigo anterior, compete à CNPD:

a) Fiscalizar o cumprimento e fazer aplicar o disposto na presente lei;

b) Promover a sensibilização e a compreensão do público relativamente aos riscos, às regras, às garantias

e aos direitos associados ao tratamento de dados pessoais;

c) Propor e emitir parecer sobre medidas legislativas e administrativas relacionadas com a proteção dos

direitos e liberdades das pessoas em matéria de tratamento de dados pessoais;

d) Promover a sensibilização dos responsáveis pelo tratamento e dos subcontratantes para as obrigações

que lhes incumbem nos termos da presente lei;

e) Prestar informações aos titulares de dados, se tal lhe for solicitado, sobre o exercício dos seus direitos

nos termos da presente lei;

f) Tratar e decidir as queixas apresentadas pelos titulares dos dados ou por um organismo, organização

ou associação sem fins lucrativos, nos termos dos artigos 47.º e 50.º, e investigar, na medida do necessário, o

conteúdo da queixa, informando o seu autor do andamento e do resultado da investigação num prazo

razoável, especialmente se forem necessárias operações de investigação ou de coordenação complementares

Página 71

22 DE JULHO DE 2019

71

com outra autoridade de controlo;

g) Verificar a licitude do tratamento e, num prazo razoável, informar o titular dos dados do resultado da

verificação, nos termos do disposto no artigo 18.º, ou dos motivos que impediram a sua realização;

h) Cooperar, nomeadamente partilhando informações, e prestar assistência mútua a outras autoridades de

controlo, tendo em vista assegurar a coerência da aplicação e da execução da presente lei;

i) Conduzir investigações sobre a aplicação da presente lei, nomeadamente com base em informações

recebidas de outra autoridade de controlo ou de outra autoridade pública;

j) Acompanhar os desenvolvimentos relevantes, em particular ao nível da evolução das tecnologias da

informação e comunicação, na medida em que tenham incidência na proteção de dados pessoais;

k) Prestar aconselhamento sobre as operações de tratamento referidas no artigo 30.º;

l) Contribuir para as atividades do Comité criado pelo Regulamento (UE) 2016/679 do Parlamento

Europeu e do Conselho, de 27 de abril de 2016, no âmbito das atribuições a que se refere o artigo 51.º da

Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.

2 - A CNPD facilita a apresentação de queixas previstas na alínea f) do n.º 1, nomeadamente

disponibilizando formulários para preenchimento e apresentação eletrónica, sem excluir outros meios de

comunicação.

3 - O exercício das atribuições da CNPD é gratuito para o titular de dados e para o encarregado da

proteção de dados.

4 - Nos casos em que o pedido do titular dos dados seja manifestamente infundado ou excessivo,

designadamente devido ao seu caráter repetitivo, o responsável pelo tratamento, mediante decisão

fundamentada, pode:

a) Exigir o pagamento de uma taxa de montante a fixar por portaria do membro do Governo responsável

pela área da justiça, tendo em conta os custos administrativos associados; ou

b) Recusar dar seguimento ao pedido.

5 - Nos casos previstos no número anterior, a decisão da CNPD deve ser devidamente fundamentada e

demonstrar o caráter manifestamente infundado ou excessivo do pedido.

Artigo 45.º

Poderes

1 - No exercício das suas atribuições, a CNPD detém poderes de investigação e de correção.

2 - Os poderes de investigação a que se refere o número anterior incluem o poder de obter do responsável

pelo tratamento de dados e do subcontratante autorização de acesso a todos os dados pessoais objeto de

tratamento e a todas as informações necessárias ao exercício das suas atribuições.

3 - No exercício dos poderes de correção, a CNPD pode:

a) Advertir o responsável pelo tratamento de dados ou o subcontratante de que as operações de

tratamento previstas são suscetíveis de violar o disposto na presente lei;

b) Ordenar ao responsável pelo tratamento de dados ou ao subcontratante que conforme as operações de

tratamento às disposições da presente lei, se necessário de determinada forma e num prazo determinado, e,

em especial, ordenar a retificação ou o apagamento dos dados pessoais ou a limitação de tratamento nos

termos do artigo 17.º;

c) Impor uma limitação temporária ou definitiva ao tratamento.

4 - O exercício dos poderes conferidos à autoridade de controlo nos termos dos números anteriores está

sujeito a garantias processuais adequadas nos termos da lei, incluindo o direito à ação judicial e a um

processo justo e equitativo.

5 - A CNPD comunica as violações das disposições da presente lei às autoridades judiciárias e aos órgãos

com competência disciplinar e, se adequado, pode intentar ações judiciais ou intervir em processos judiciais,

Página 72

II SÉRIE-A — NÚMERO 131

72

nos termos da lei.

6 - As comunicações de violações da presente lei ou com elas relacionadas estão sujeitas a sigilo.

Artigo 46.º

Relatório de atividades

1 - A CNPD elabora um relatório anual de atividades sobre a fiscalização da aplicação e do cumprimento da

presente lei, o qual pode incluir uma lista dos tipos de violações notificadas e dos tipos de sanções aplicadas,

devendo nas matérias respeitantes aos tribunais e ao Ministério Público ser acautelada a necessária reserva.

2 - O relatório é apresentado à Assembleia da República e enviado ao membro do Governo responsável

pela área da justiça, ao Conselho Superior da Magistratura, à Procuradoria-Geral da República e aos demais

organismos e entidades responsáveis pela gestão de dados, nos termos da Lei n.º 34/2009, de 14 de julho, na

sua redação atual.

3 - O relatório é disponibilizado ao público, à Comissão Europeia e ao Comité a que se refere a alínea l) do

n.º 1 do artigo 44.º.

CAPÍTULO VII

Meios de tutela e responsabilidade

Artigo 47.º

Direito de apresentar queixa à autoridade de controlo

1 - Sem prejuízo de outros meios de tutela legalmente previstos, o titular dos dados tem o direito de

apresentar queixa à autoridade de controlo, com o fundamento de que o tratamento dos seus dados pessoais

viola disposições da presente lei.

2 - Se a queixa não for apresentada à autoridade de controlo competente nos termos do n.º 1 do artigo 43.º,

a autoridade de controlo a que é apresentada transmite-a, sem demora injustificada, à autoridade de controlo

competente, informando o titular dos dados dessa transmissão e prestando-lhe, caso este o solicite,

assistência complementar.

3 - O titular dos dados é informado pela autoridade de controlo do andamento e do resultado da queixa,

nomeadamente da possibilidade de intentar ação judicial nos termos do artigo seguinte.

Artigo 48.º

Direito de intentar ação judicial contra a autoridade de controlo

1 - Sem prejuízo de outros meios de tutela legalmente previstos, qualquer pessoa singular ou coletiva tem o

direito de intentar uma ação judicial contra qualquer decisão juridicamente vinculativa que lhe diga respeito

tomada pela autoridade de controlo.

2 - Os titulares dos dados têm o direito de intentar ação judicial nos casos em que a autoridade de controlo

não apreciar a queixa apresentada ou não informar o titular dos dados, no prazo de três meses, do andamento

ou do resultado da queixa apresentada.

Artigo 49.º

Direito de intentar ação judicial contra um responsável pelo tratamento ou um subcontratante

Sem prejuízo de outros meios de tutela legalmente previstos, nomeadamente do direito de apresentar

queixa à autoridade de controlo, os titulares dos dados têm o direito de intentar ação judicial contra o

responsável pelo tratamento ou contra o subcontratante com fundamento em violação dos direitos conferidos

pela presente lei.

Página 73

22 DE JULHO DE 2019

73

Artigo 50.º

Representação dos titulares dos dados

O titular dos dados tem o direito de mandatar um organismo, organização ou associação sem fins

lucrativos, devidamente constituído nos termos da lei, cujos objetivos estatutários sejam de interesse público e

cuja atividade abranja a proteção dos direitos e liberdades dos titulares de dados no que respeita à proteção

dos seus dados pessoais, para apresentar queixa ou intentar ação judicial em seu nome, ao abrigo dos artigos

anteriores, sem prejuízo da obrigatoriedade de representação por advogado, nos termos da legislação

aplicável.

Artigo 51.º

Direito de indemnização

Qualquer pessoa que tenha sofrido danos, patrimoniais ou não patrimoniais, causados por uma violação

das disposições da presente lei tem direito a receber do responsável pelo tratamento ou de qualquer outra

autoridade competente uma indemnização pelos danos sofridos, nos termos do regime da responsabilidade

civil extracontratual do Estado e demais entidades públicas.

CAPÍTULO VIII

Sanções

SECÇÃO I

Contraordenações

Artigo 52.º

Contraordenações

1 - Sem prejuízo do regime sancionatório estabelecido na Lei n.º [PPL 120/XIII], aplicável por

incumprimento das obrigações previstas no Regulamento (UE) 2016/679 do Parlamento Europeu e do

Conselho, de 27 de abril de 2016, no âmbito de aplicação da presente lei constituem contraordenações muito

graves as seguintes condutas:

a) O recurso a outro subcontratante sem autorização prévia do responsável pelo tratamento de dados

pessoais, em violação do n.º 2 do artigo 23.º;

b) O recurso a outro subcontratante em oposição à vontade manifestada pelo responsável pelo tratamento

de dados, ainda que exista a autorização geral a que se refere o n.º 3 do artigo 23.º;

c) O processamento dos dados pessoais em violação ou para além das instruções do responsável pelo

tratamento de dados, em incumprimento da obrigação prevista na alínea a) do n.º 5 do artigo 23.º;

d) O incumprimento da obrigação de eliminação de forma definitiva ou de devolução dos dados pessoais

ao responsável, consoante a escolha deste, após a conclusão dos serviços de processamento dos dados,

prevista na alínea d) do n.º 5 do artigo 23.º;

e) O incumprimento da obrigação de conservação dos registos cronológicos previstos no n.º 1 do artigo

27.º;

f) A conservação de registos cronológicos que não abranjam a totalidade das operações de tratamento

previstas no n.º 1 do artigo 27.º ou que não cumpram os requisitos previstos nos n.os 2 e 6 do mesmo artigo;

g) A utilização dos registos cronológicos para efeitos não previstos no n.º 3 do artigo 27.º;

h) O incumprimento da obrigação de adoção de medidas técnicas e organizativas adequadas à proteção

dos dados pessoais, em violação das exigências previstas nos n.os 2 e 3 do artigo 31.º.

2 - Sem prejuízo do regime sancionatório estabelecido pela Lei n.º [PL 120/XIII], aplicável por

incumprimento das obrigações previstas no Regulamento (UE) 2016/679 do Parlamento Europeu e do

Página 74

II SÉRIE-A — NÚMERO 131

74

Conselho, de 27 de abril de 2016, no âmbito de aplicação da presente lei constituem contraordenações graves

as seguintes condutas:

a) O incumprimento da obrigação de informar previamente o responsável pelo tratamento de dados das

alterações à contratação de outros subcontratantes, prevista no n.º 3 do artigo 23.º;

b) O incumprimento da obrigação de notificar o responsável pelo tratamento, sem demora justificada, em

caso de violação de dados pessoais, prevista no n.º 7 do artigo 32.º;

c) O incumprimento da obrigação de conservar um registo de atividades ou a conservação de um registo

de atividades que não cumpra a totalidade das exigências previstas nos n.os 3 e 4 do artigo 26.º.

3 - A prática das contraordenações previstas no n.º 1 é punida com coima:

a) De 5000 € a 20 000 000 € ou 4% do volume de negócios anual, a nível mundial, conforme o que for

mais elevado, tratando-se de grande empresa;

b) De 2000 € a 2 000 000 € ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais

elevado, tratando-se de pequena e média empresa;

c) De 1000 € a 500 000 €, tratando-se de pessoa singular.

4 - A prática das contraordenações previstas no n.º 2 é punida com coima:

a) De 2500 € a 10 000 000 € ou 2% do volume de negócios anual, a nível mundial, conforme o que for

mais elevado, tratando-se de grande empresa;

b) De 1000 € a 1 000 000 € ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais

elevado, tratando-se de pequena e média empresa;

c) De 500 € a 250 000 €, tratando-se de pessoa singular.

5 - O disposto nos números anteriores aplica-se de igual modo às entidades públicas e privadas, sem

prejuízo de as entidades públicas, mediante pedido devidamente fundamentado, poderem solicitar à CNPD a

dispensa da aplicação de coimas durante o prazo de três anos a contar da entrada em vigor da presente lei.

SECÇÃO II

Crimes

Artigo 53.º

Acesso indevido aos dados

1 - Quem, sem a devida autorização ou justificação, aceder, por qualquer modo, a dados pessoais tratados

ao abrigo da presente lei, é punido com pena de prisão até um ano ou com pena de multa até 120 dias.

2 - A pena é agravada para o dobro nos seus limites quando o acesso:

a) For conseguido através de violação de regras técnicas de segurança;

b) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial; ou

c) Tiver prejudicado inquéritos, investigações, processos judiciais ou a execução de sanções penais.

Artigo 54.º

Desvio de dados

1 - Quem copiar, subtrair, ceder ou transferir, a título oneroso ou gratuito, dados pessoais tratados ao abrigo

da presente lei, sem previsão legal ou consentimento, é punido com pena de prisão até 2 anos ou com pena

de multa até 240 dias.

2 - A pena é agravada para o dobro nos seus limites quando a conduta:

Página 75

22 DE JULHO DE 2019

75

a) For conseguida através de violação de regras técnicas de segurança;

b) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial; ou

c) Tiver prejudicado inquéritos, investigações, processos judiciais ou a execução de sanções penais.

Artigo 55.º

Utilização de dados de forma incompatível com a finalidade da recolha

Quem utilizar dados pessoais tratados ao abrigo da presente lei de forma incompatível com a finalidade

determinante da respetiva recolha é punido com pena de prisão até 2 anos ou com pena de multa até 240

dias.

Artigo 56.º

Interconexão ilegal de dados

Quem, intencionalmente, promover ou efetuar uma interconexão ilegal de dados pessoais tratados ao

abrigo da presente lei, é punido com pena de prisão até 2 anos ou com pena de multa até 240 dias.

Artigo 57.º

Viciação ou destruição de dados

1 - Quem, sem a devida autorização ou justificação, apagar, destruir, danificar, ocultar, suprimir ou modificar

dados pessoais tratados ao abrigo da presente lei, tornando-os inutilizáveis ou afetando o seu potencial de

utilização, é punido com pena de prisão até 2 anos ou com pena de multa até 240 dias.

2 - A pena é agravada para o dobro nos seus limites se o dano produzido for particularmente grave.

3 - Nas situações previstas nos números anteriores, se o agente atuar com negligência, é punido:

a) Com pena de prisão até 1 ano ou com pena de multa até 120 dias, no caso previsto no n.º 1;

b) Com pena de prisão até 2 anos ou multa até 240 dias, no caso previsto no n.º 2.

Artigo 58.º

Violação do dever de sigilo

1 - Quem, obrigado a sigilo profissional nos termos da lei, sem justa causa e sem o devido consentimento,

revelar ou divulgar, no todo ou em parte, dados pessoais tratados ao abrigo da presente lei, é punido com

pena de prisão até 2 anos ou com pena de multa até 240 dias.

2 - A pena é agravada para o dobro nos seus limites se o agente:

a) For funcionário ou equiparado, nos termos da lei penal, advogado ou solicitador;

b) For encarregado de proteção de dados;

c) For determinado pela intenção de obter qualquer vantagem patrimonial ou outro benefício ilegítimo;

d) Puser em perigo a reputação, a honra ou a intimidade da vida privada de terceiros; ou

e) Tiver prejudicado inquéritos, investigações, processos judiciais ou a execução de sanções penais.

3 - A negligência é punível com pena de prisão até 6 meses ou com pena de multa até 120 dias.

Artigo 59.º

Desobediência qualificada

1 - Quem não cumprir as obrigações previstas na presente lei, depois de ultrapassado o prazo que tiver

sido fixado pela autoridade de controlo para o respetivo cumprimento é punido com a pena correspondente ao

crime de desobediência qualificada.

2 - Incorre na mesma pena do número anterior quem, depois de notificado:

Página 76

II SÉRIE-A — NÚMERO 131

76

a) Não disponibilizar os registos cronológicos à CNPD, nos termos do n.º 4 do artigo 27.º;

b) Recusar, sem justa causa, a colaboração que concretamente lhe for exigida nos termos do artigo 28.º;

c) Recusar o acesso previsto no n.º 2 do artigo 45.º;

d) Não cumprir ordem dada nos termos da alínea b) do n.º 3 do artigo 45.º, em especial não proceder ao

apagamento ou retificação de dados pessoais;

e) Não respeitar a imposição de limitação temporária ou definitiva ao tratamento de dados pessoais, nos

termos da alínea c) do n.º 3 do artigo 45.º.

Artigo 60.º

Inserção de dados falsos

1 - Quem inserir ou facilitar a inserção de dados pessoais falsos, com a intenção de obter vantagem

indevida para si ou para terceiro, ou para causar prejuízo, é punido com pena de prisão até 2 anos ou com

pena de multa até 240 dias.

2 - A pena é agravada para o dobro nos seus limites se da inserção referida no número anterior resultar um

prejuízo efetivo.

Artigo 61.º

Punibilidade da tentativa

Nos crimes previstos no presente capítulo, a tentativa é sempre punível.

Artigo 62.º

Responsabilidade das pessoas coletivas

As pessoas coletivas e entidades equiparadas, com exceção do Estado, de pessoas coletivas no exercício

de prerrogativas de poder público e de organizações de direito internacional público, são responsáveis pelos

crimes previstos na presente secção, nos termos do artigo 11.º do Código Penal.

SECÇÃO III

Disposições comuns

Artigo 63.º

Concurso de infrações

1 - Se o mesmo facto constituir simultaneamente crime e contraordenação, o agente é sempre punido a

título de crime.

2 - Quando se verifique concurso de crime e contraordenação, ou quando, pelo mesmo facto, uma pessoa

deva responder a título de crime e outra a título de contraordenação, o processamento da contraordenação

cabe às autoridades competentes para o processo criminal, nos termos do regime geral do ilícito de mera

ordenação social.

Artigo 64.º

Pena acessória

Conjuntamente com as penas previstas no presente capítulo, podem ser aplicadas as sanções acessórias

previstas no artigo 56.º da Lei n.º [PPL 120/XIII].

Artigo 65.º

Aplicabilidade de outros regimes sancionatórios

1 - O disposto no presente capítulo não prejudica a aplicação dos artigos 37.º a 56.º da Lei n.º [PPL

120/XIII], ou das disposições do Código Penal, se de tal aplicação resultar, em concreto, uma sanção mais

Página 77

22 DE JULHO DE 2019

77

grave.

2 - O disposto no presente capítulo não prejudica a aplicação da Lei n.º 109/2009, de 15 de setembro.

Artigo 66.º

Responsabilidade civil e disciplinar

O disposto no presente capítulo não prejudica a efetivação da responsabilidade civil nem da

responsabilidade disciplinar.

CAPÍTULO IX

Disposições finais e transitórias

Artigo 67.º

Relação com outros atos jurídicos da União Europeia e acordos internacionais em vigor

1 - As disposições específicas de proteção de dados pessoais previstas em atos jurídicos da União

Europeia adotados antes de 6 de maio de 2016 no domínio da cooperação judiciária em matéria penal e da

cooperação policial, que regulem o tratamento entre os Estados-Membros e o acesso das autoridades

designadas dos Estados-Membros aos sistemas de informação criados por força dos Tratados, mantêm-se

inalteradas.

2 - Os acordos internacionais que impliquem a transferência de dados pessoais para países terceiros ou

para organizações internacionais, celebrados pelo Estado Português antes de 6 de maio de 2016, e que sejam

conformes com o direito da União Europeia aplicável antes dessa data, continuam a vigorar até serem

alterados, substituídos ou revogados.

3 - Todas as referências feitas à Lei da Proteção de Dados Pessoais, aprovada pela Lei n.º 67/98, de 26 de

outubro, consideram-se feitas para o regime da presente lei, quando disserem respeito à proteção das

pessoas singulares relativamente ao tratamento de dados pessoais pelas autoridades competentes para

efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções

penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública.

Artigo 68.º

Dados referentes ao sistema judiciário

1 – O tratamento de dados constante de processo penal, de decisão judicial ou do registo criminal é

regulado nos termos da lei processual penal.

2 – Ao tratamento de dados referentes ao sistema judicial é aplicável o regime jurídico próprio, constante

da Lei n.º 34/2009, de 14 de julho.

Artigo 69.º

Sistema integrado de informação criminal

O disposto na presente lei não implica qualquer restrição ou limitação na partilha e intercâmbio de dados

entre os órgãos de polícia criminal e destes com as autoridades judiciárias, no âmbito do dever de cooperação

estabelecido na lei de organização da investigação criminal, designadamente do sistema integrado de

informação criminal instituído nos termos da Lei n.º 73/2009, de 12 de agosto, alterada pela Lei n.º 38/2015, de

11 de maio.

Artigo 70.º

Regime transitório

1 - A conformação dos sistemas de tratamento automatizado criados antes de 6 de maio de 2016 com os

Página 78

II SÉRIE-A — NÚMERO 131

78

requisitos previstos no artigo 27.º deve ser assegurada pelos responsáveis pelo tratamento logo que possível,

até 6 de maio de 2023, ou, quando o cumprimento deste prazo cause graves dificuldades ao funcionamento de

um sistema de tratamento automatizado, até 6 de maio de 2026.

2 - Sem prejuízo do disposto no número anterior, o responsável pelo tratamento de dados deve dispor de

métodos eficazes para, até ao final do prazo de conformação, poder demonstrar a licitude do tratamento de

dados, permitir o autocontrolo e garantir a integridade e segurança dos dados, tais como registos cronológicos

ou outros.

Artigo 71.º

Entrada em vigor

A presente lei entra em vigor no dia seguinte ao da sua publicação.

Aprovado em 14 de junho de 2019.

O Presidente da Assembleia da República, Eduardo Ferro Rodrigues.

———

DECRETO DA ASSEMBLEIA DA REPÚBLICA N.º 337/XIII

REGULA O EXERCÍCIO DA PROFISSÃO DE CRIMINÓLOGO

A Assembleia da República decreta, nos termos da alínea c) do artigo 161.º da Constituição, o seguinte:

CAPÍTULO I

Disposições gerais

Artigo 1.º

Objeto

A presente lei procede à definição dos princípios gerais relativos ao exercício profissional dos criminólogos,

reconhecendo e regulamentando a profissão de «criminólogo».

Artigo 2.º

Âmbito

1 – São abrangidos pelo presente regime todos os criminólogos que exerçam a sua atividade no território

nacional, em regime de trabalho subordinado ou de forma independente.

2 – O exercício das funções de criminólogo em regime profissional depende da criação da profissão de

criminólogo.

3 – O presente regime é vinculativo para todas as entidades empregadoras dos setores público, privado,

cooperativo e social.

Artigo 3.º

Conceitos e competências

1 – Para os devidos efeitos, considera-se:

Página 79

22 DE JULHO DE 2019

79

a) «Criminologia» a profissão que, na área das ciências sociais, analisa e estuda o fenómeno criminal,

presta apoio às instituições de controlo e colabora na realização da prova pericial, entre outros atos de

natureza análoga;

b) «Criminólogo» o profissional habilitado com uma licenciatura em Criminologia, legalmente reconhecida.

2 – No exercício das suas funções, os criminólogos:

a) Estudam os fenómenos criminógenos;

b) Analisam os métodos utilizados no cometimento do crime, com o propósito de auxiliar à descoberta do

crime;

c) Estudam os fenómenos e causas da delinquência, da vitimação, da criminalidade e da sua relação com a

segurança e do alarme social da reação social ao crime;

d) Prestam apoio às autoridades judiciárias na produção da prova pericial requerida ao abrigo do n.º 6 do

artigo 159.º e do n.º 2 do artigo 160.º do Código de Processo Penal, quando solicitados;

e) Desempenham quaisquer outras funções, no âmbito da sua formação, para as quais a lei lhes atribua

competência.

CAPÍTULO II

Exercício da profissão

Artigo 4.º

Funções dos criminólogos

1 – São funções dos criminólogos:

a) Análise criminológica;

b) Investigação criminal;

c) Conceção e execução de programas de prevenção da criminalidade e de avaliação do risco de

reincidência;

d) Intervenção comunitária e conceção de políticas sociais e penais;

e) Investigação científica e ensino, no âmbito da sua formação.

2 – Para efeitos do número anterior, os criminólogos podem exercer a sua atividade profissional,

nomeadamente, em:

a) Tribunais;

b) Gabinetes de mediação;

c) Estabelecimentos prisionais;

d) Serviços de reinserção social;

e) Avaliação de risco e competências do ofensor;

f) Centros educativos para menores delinquentes;

g) Centros e projetos de prevenção e tratamento da toxicodependência;

h) Órgãos de polícia criminal;

i) Equipas de gestão e local de crime;

j) Laboratórios de polícia técnico-científica;

k) Serviços de inspeção;

l) Serviços de informações;

m) Comissões de proteção de crianças e jovens;

n) Centros de acolhimento e de assistência a vítimas;

o) Autarquias locais;

Página 80

II SÉRIE-A — NÚMERO 131

80

p) Polícia municipal;

q) Forças e serviços de segurança;

r) Empresas de segurança privada;

s) Projetos de investigação científica;

t) Universidades.

3 – As competências atribuídas na presente lei não podem prejudicar as competências próprias de outros

profissionais definidas por lei.

Artigo 5.º

Modalidades do exercício da profissão

1 – A profissão de criminólogo pode ser exercida por conta própria, quer em nome individual quer em

sociedade, ou por conta de outrem, tanto no setor público como no setor privado.

2 – O exercício da atividade profissional por conta de outrem não afeta a autonomia técnica nem dispensa

o cumprimento dos deveres deontológicos.

Artigo 6.º

Deontologia profissional

Constituem princípios de conduta profissional dos criminólogos:

a) Pautar a sua ação, nas diferentes áreas de atuação profissional, pelos princípios éticos que regem a sua

atividade;

b) Cumprir e fazer cumprir todas as normas legais e regulamentares aplicáveis à profissão;

c) Atuar com independência e isenção profissional;

d) Respeitar e defender o respeito pela confidencialidade;

e) Respeitar as incompatibilidades e os impedimentos legais.

CAPÍTULO III

Disposições transitórias e finais

Artigo 7.º

Profissão de criminólogo

A profissão de criminólogo é criada por lei.

Artigo 8.º

Regulamentação

O Governo regulamenta, nos 60 dias seguintes à publicação desta lei, as matérias de foro disciplinar a que

ficam sujeitos os profissionais da criminologia.

Artigo 9.º

Reconhecimento da profissão de criminólogo

As entidades fornecedoras de dados estatísticos, 30 dias após a publicação da presente lei, tomam as

diligências necessárias ao reconhecimento da profissão de criminólogo.

Página 81

22 DE JULHO DE 2019

81

Artigo 10.º

Entrada em vigor

A presente lei entra em vigor 30 dias após a sua publicação.

Aprovado em 7 de junho de 2019.

O Presidente da Assembleia da República, Eduardo Ferro Rodrigues.

———

DECRETO DA ASSEMBLEIA DA REPÚBLICA N.º 339/XIII

ASSEGURA A EXECUÇÃO, NA ORDEM JURÍDICA NACIONAL, DO REGULAMENTO (UE) 2016/679 DO

PARLAMENTO E DO CONSELHO, DE 27 DE ABRIL DE 2016, RELATIVO À PROTEÇÃO DAS PESSOAS

SINGULARES NO QUE DIZ RESPEITO AO TRATAMENTO DE DADOS PESSOAIS E À LIVRE

CIRCULAÇÃO DESSES DADOS

A Assembleia da República decreta, nos termos da alínea c) do artigo 161.º da Constituição, o seguinte:

CAPÍTULO I

Disposições gerais

Artigo 1.º

Objeto

A presente lei assegura a execução, na ordem jurídica interna, do Regulamento (UE) 2016/679 do

Parlamento Europeu e do Conselho de 27 de abril de 2016, relativo à proteção das pessoas singulares no que

diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, doravante designado

abreviadamente por Regulamento Geral de Proteção de Dados (RGPD).

Artigo 2.º

Âmbito de aplicação

1 - A presente lei aplica-se aos tratamentos de dados pessoais realizados no território nacional,

independentemente da natureza pública ou privada do responsável pelo tratamento ou do subcontratante,

mesmo que o tratamento de dados pessoais seja efetuado em cumprimento de obrigações legais ou no âmbito

da prossecução de missões de interesse público, aplicando-se todas as exclusões previstas no artigo 2.º do

RGPD.

2 - A presente lei aplica-se ainda aos tratamentos de dados pessoais realizados fora do território nacional

quando:

a) Sejam efetuados no âmbito da atividade de um estabelecimento situado no território nacional; ou

b) Afetem titulares de dados que se encontrem no território nacional, quando as atividades de tratamento

estejam subordinadas ao disposto no n.º 2 do artigo 3.º do RGPD; ou

c) Afetem dados que estejam inscritos nos postos consulares de que sejam titulares portugueses

residentes no estrangeiro.

3 - A presente lei não se aplica aos ficheiros de dados pessoais constituídos e mantidos sob a

Página 82

II SÉRIE-A — NÚMERO 131

82

responsabilidade do Sistema de Informações da República Portuguesa, que se rege por disposições

específicas, nos termos da lei.

CAPÍTULO II

Comissão Nacional de Proteção de Dados

Artigo 3.º

Autoridade de controlo nacional

AComissão Nacional de Proteção de Dados (CNPD) é a autoridade de controlo nacional para efeitos do

RGPD e da presente lei.

Artigo 4.º

Natureza e independência

1 - A CNPD é uma entidade administrativa independente, com personalidade jurídica de direito público e

poderes de autoridade, dotada de autonomia administrativa e financeira, que funciona junto da Assembleia da

República.

2 - A CNPD controla e fiscaliza o cumprimento do RGPD e da presente lei, bem como das demais

disposições legais e regulamentares em matéria de proteção de dados pessoais,a fim de defender os direitos,

liberdades e garantias das pessoas singulares no âmbito dos tratamentos de dados pessoais.

3 - A CNPD age com independência na prossecução das suas atribuições e no exercício dos poderes que

lhe são atribuídos pela presente lei.

4 - Os membros da CNPD ficam sujeitos ao regime de incompatibilidades estabelecido para os titulares de

altos cargos públicos, não podendo, durante o seu mandato, desempenhar outra atividade, remunerada ou

não, com exceção da atividade de docência no ensino superior e de investigação.

Artigo 5.º

Composição e funcionamento

A composição, o modo de designação e o estatuto remuneratório dos membros da CNPD, bem como a

respetiva orgânica e quadro de pessoal, são aprovados por lei da Assembleia da República.

Artigo 6.º

Atribuições e competências

1 - Para além do disposto no artigo 57.º do RGPD, a CNPD prossegue as seguintes atribuições:

a) Pronunciar-se, a título não vinculativo, sobre as medidas legislativas e regulamentares relativas à

proteção de dados pessoais, bem como sobre instrumentos jurídicos em preparação, em instituições

europeias ou internacionais, relativos à mesma matéria;

b) Fiscalizar o cumprimento das disposições do RGPD e das demais disposições legais e regulamentares

relativas à proteção de dados pessoais e dos direitos, liberdades e garantias dos titulares dos dados, e corrigir

e sancionar o seu incumprimento;

c) Disponibilizar uma lista de tratamentos sujeitos à avaliação do impacto sobre a proteção de dados, nos

termos do n.º 4 do artigo 35.º do RGPD, definindo igualmente critérios que permitam densificar a noção de

elevado risco prevista nesse artigo;

d) Elaborar e apresentar ao Comité Europeu para a Proteção de Dados, previsto no RGPD, os projetos de

critérios para a acreditação dos organismos de monitorização de códigos de conduta e dos organismos de

certificação, nos termos dos artigos 41.º e 43.º do RGPD, e assegurar a posterior publicação dos critérios,

caso sejam aprovados;

Página 83

22 DE JULHO DE 2019

83

e) Cooperar com o Instituto Português de Acreditação, I.P. (IPAC, I.P.), relativamente à aplicação do

disposto no artigo 14.º da presente lei, bem como na definição de requisitos adicionais de acreditação, tendo

em vista a salvaguarda da coerência de aplicação do RGPD.

2 - A CNPD exerce as competências previstas no artigo 58.º do RGPD.

Artigo 7.º

Avaliações prévias de impacto

1 - Nos termos do n.º 5 do artigo 35.º do RGPD, a CNPD difunde uma lista de tipos de tratamentos de

dados cuja avaliação prévia de impacto não é obrigatória.

2 - O disposto no número anterior não impede os responsáveis pelo tratamento de efetuar uma avaliação

prévia de impacto por iniciativa própria.

3 - As listas referidas nos n.os 4 e 5 do artigo 35.º do RGPD são publicitadas no sítio da CNPD na Internet.

Artigo 8.º

Dever de colaboração

1 - As entidades públicas e privadas devem prestar a sua colaboração à CNPD, facultando-lhe todas as

informações que por esta lhes sejam solicitadas, no exercício das suas atribuições e competências.

2 - O dever de colaboração é assegurado, designadamente, quando a CNPD tiver necessidade, para o

cabal exercício das suas funções, de examinar o sistema informático e os ficheiros de dados pessoais, bem

como toda a documentação relativa ao tratamento e transmissão de dados pessoais.

3 - Os membros da CNPD, bem como os seus trabalhadores, prestadores de serviços ou pessoas por si

mandatadas, estão obrigados ao dever de sigilo profissional, nomeadamente quanto aos dados pessoais,

segredo profissional, segredo industrial ou comercial ou informações confidenciais a que tenham acesso no

exercício das suas funções.

4 - O dever de sigilo mantém-se após o termo das respetivas funções.

5 - O dever de colaboração previsto nos números anteriores, bem como os poderes de fiscalização da

CNPD, não prejudicam o dever de segredo a que o responsável pelo tratamento esteja obrigado nos termos

da lei ou de normas internacionais.

CAPÍTULO III

Encarregado de proteção de dados

Artigo 9.º

Disposição geral

1- O encarregado de proteção de dados é designado com base nos requisitos previstos no n.º 5 do artigo

37.º do RGPD, não carecendo de certificação profissional para o efeito.

2- Independentemente da natureza da sua relação jurídica, o encarregado de proteção de dados exerce a

sua função com autonomia técnica perante a entidade responsável pelo tratamento ou subcontratante.

Artigo 10.º

Dever de sigilo e confidencialidade

1 – De acordo com o disposto no n.º 5 do artigo 38.º do RGPD, o encarregado de proteção de dados está

obrigado a um dever de sigilo profissional em tudo o que diga respeito ao exercício dessas funções, que se

mantém após o termo das funções que lhes deram origem.

2 – O encarregado de proteção de dados, bem como os responsáveis pelo tratamento de dados, incluindo

os subcontratantes, e todas as pessoas que intervenham em qualquer operação de tratamento de dados,

Página 84

II SÉRIE-A — NÚMERO 131

84

estão obrigados a um dever de confidencialidade que acresce aos deveres de sigilo profissional previsto na lei.

Artigo 11.º

Funções do encarregado de proteção de dados

Para além do disposto nos artigos 37.º a 39.º do RGPD, são funções do encarregado de proteção de

dados:

a) Assegurar a realização de auditorias, quer periódicas, quer não programadas;

b) Sensibilizar os utilizadores para a importância da deteção atempada de incidentes de segurança e para

a necessidade de informar imediatamente o responsável pela segurança;

c) Assegurar as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e pela legislação

nacional em matéria de proteção de dados.

Artigo 12.º

Encarregados de proteção de dados em entidades públicas

1 - Nos termos da alínea a) do n.º 1 do artigo 37.º do RGPD, é obrigatória a designação de encarregados

de proteção de dados nas entidades públicas, de acordo com o disposto nos números seguintes.

2 - Para efeitos do número anterior, entende-se por entidades públicas:

a) O Estado;

b) As regiões autónomas;

c) As autarquias locais e as entidades supranacionais previstas na lei;

d) As entidades administrativas independentes e o Banco de Portugal;

e) Os institutos públicos;

f) As instituições de ensino superior públicas, independentemente da sua natureza;

g) As empresas do setor empresarial do Estado e dos setores empresariais regionais e locais;

h) As associações públicas.

3 - Independentemente de quem seja responsável pelo tratamento, existe pelo menos um encarregado de

proteção de dados:

a) Por cada ministério ou área governativa, no caso do Estado, sendo designado pelo respetivo ministro,

com faculdade de delegação em qualquer secretário de Estado que o coadjuvar;

b) Por cada secretaria regional, no caso das regiões autónomas, sendo designado pelo respetivo

secretário regional, com faculdade de delegação em dirigente superior de 1.º grau;

c) Por cada município, sendo designado pela câmara municipal, com faculdade de delegação no

presidente e subdelegação em qualquer vereador;

d) Nas freguesias em que tal se justifique, nomeadamente naquelas com mais de 750 habitantes, sendo

designado pela junta de freguesia, com faculdade de delegação no presidente;

e) Por cada entidade, no caso das demais entidades referidas no número anterior, sendo designada pelo

respetivo órgão executivo, de administração ou gestão, com faculdade de delegação no respetivo presidente.

4 - Nos termos do n.º 3 do artigo 37.º do RGPD, pode ser designado o mesmo encarregado de proteção

de dados para vários ministérios ou áreas governativas, secretarias regionais, autarquias locais ou outras

pessoas coletivas públicas.

5 - Cabe a cada entidade a designação do encarregado de proteção de dados, não sendo obrigatório o

exercício de funções em regime de exclusividade.

6 - O encarregado de proteção de dados de uma entidade pública que tenha atribuições de regulação ou

controlo não pode exercer essas funções simultaneamente em entidade sujeita ao controlo, ou inserida no

perímetro regulatório daquela entidade.

Página 85

22 DE JULHO DE 2019

85

Artigo 13.º

Encarregados de proteção de dados em entidades privadas

O responsável pelo tratamento e o subcontratante designam um encarregado de proteção de dados

sempre que a atividade privada desenvolvida, a título principal, implique:

a) Operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular

e sistemático dos titulares dos dados em grande escala; ou

b) Operações de tratamento em grande escala das categorias especiais de dados nos termos do artigo 9.º

do RGPD, ou de dados pessoais relacionados com condenações penais e contraordenacionais nos termos do

artigo 10.º do RGPD.

CAPÍTULO IV

Acreditação, certificação e códigos de conduta

Artigo 14.º

Acreditação e certificação

1 - Nos termos da alínea b) do n.º 1 do artigo 43.º do RGPD, a autoridade competentepara a acreditação

dos organismos de certificação em matéria de proteção de dados é o IPAC, IP.

2 - O ato de acreditação emitido pelo IPAC, IP, deve tomar em consideração os requisitos previstos no

RGPD, bem como os requisitos adicionais estabelecidos pela CNPD.

3 - A certificação, bem como a emissão de selos e marcas de proteção de dados, é efetuada por

organismos de certificação acreditados nos termos do n.º 1, destinando-se a atestar que os procedimentos

implementados cumprem o disposto no RGPD e na presente lei.

Artigo 15.º

Códigos de conduta

1 - Compete à CNPD fomentar a elaboração de códigos de conduta que regulem atividades

determinadas, os quais devem tomar em atenção as necessidades específicas das micro, pequenas e médias

empresas.

2 - O tratamento de dados pessoais pela administração direta e indireta do Estado é objeto de códigos de

conduta próprios.

CAPÍTULO V

Disposições especiais

Artigo 16.º

Consentimento de menores

1 - Nos termos do artigo 8.º do RGPD, os dados pessoais de crianças só podem ser objeto de tratamento

com base no consentimento previsto na alínea a) do n.º 1 do artigo 6.º do RGPD e relativo à oferta direta de

serviços da sociedade de informação quando as mesmas já tenham completado 13 anos de idade.

2 - Caso a criança tenha idade inferior a 13 anos, o tratamento só é lícito se o consentimento for dado pelos

representantes legais desta, de preferência com recurso a meios de autenticação segura.

Página 86

II SÉRIE-A — NÚMERO 131

86

Artigo 17.º

Proteção de dados pessoais de pessoas falecidas

1 - Os dados pessoais de pessoas falecidas são protegidos nos termos do RGPD e da presente lei quando

se integrem nas categorias especiais de dados pessoais a que se refere o n.º 1 do artigo 9.º do RGPD, ou

quando se reportem à intimidade da vida privada, à imagem ou aos dados relativos às comunicações,

ressalvados os casos previstos no n.º 2 do mesmo artigo.

2 - Os direitos previstos no RGPD relativos a dados pessoais de pessoas falecidas, abrangidos pelo

número anterior, nomeadamente os direitos de acesso, retificação e apagamento, são exercidos por quem a

pessoa falecida haja designado para o efeito ou, na sua falta, pelos respetivos herdeiros.

3 - Os titulares dos dados podem igualmente, nos termos legais aplicáveis, deixar determinada a

impossibilidade de exercício dos direitos referidos no número anterior após a sua morte.

Artigo 18.º

Portabilidade e interoperabilidade dos dados

1 - O direito de portabilidade dos dados, previsto no artigo 20.º do RGPD, abrange apenas os dados

fornecidos pelos respetivos titulares.

2 - A portabilidade dos dados deve, sempre que possível, ter lugar em formato aberto.

3 - No âmbito da Administração Pública, sempre que a interoperabilidade dos dados não seja tecnicamente

possível, o titular dos dados tem o direito de exigir que os mesmos lhe sejam entregues num formato digital

aberto, de acordo com o Regulamento Nacional de Interoperabilidade Digital em vigor.

Artigo 19.º

Videovigilância

1 - Sem prejuízo das disposições legais específicas que imponham a sua utilização, nomeadamente por

razões de segurança pública, os sistemas de videovigilância cuja finalidade seja a proteção de pessoas e bens

asseguram os requisitos previstos no artigo 31.º da Lei n.º 34/2013, de 16 de maio, com os limites definidos no

número seguinte.

2 - As câmaras não podem incidir sobre:

a) Vias públicas, propriedades limítrofes ou outros locais que não sejam do domínio exclusivo do

responsável, exceto no que seja estritamente necessário para cobrir os acessos ao imóvel;

b) A zona de digitação de códigos de caixas multibanco ou outros terminais de pagamento ATM;

c) O interior de áreas reservadas a clientes ou utentes onde deva ser respeitada a privacidade,

designadamente instalações sanitárias, zonas de espera e provadores de vestuário;

d) O interior de áreas reservadas aos trabalhadores, designadamente zonas de refeição, vestiários,

ginásios, instalações sanitárias e zonas exclusivamente afetas ao seu descanso.

3- Nos estabelecimentos de ensino, as câmaras de videovigilância só podem incidir sobre os perímetros

externos e locais de acesso, e ainda sobre espaços cujos bens e equipamentos requeiram especial proteção,

como laboratórios ou salas de informática.

4- Nos casos em que é admitida a videovigilância, é proibida a captação de som, exceto no período em

que as instalações vigiadas estejam encerradas ou mediante autorização prévia da CNPD.

Artigo 20.º

Dever de segredo

1 – Os direitos de informação e de acesso a dados pessoais previstos nos artigos 13.º a 15.º do RGPD não

podem ser exercidos quando a lei imponha ao responsável pelo tratamento ou ao subcontratante um dever de

segredo que seja oponível ao próprio titular dos dados.

Página 87

22 DE JULHO DE 2019

87

2 – O titular dos dados pode solicitar à CNPD a emissão de parecer quanto à oponibilidade do dever de

segredo, sem prejuízo do disposto no Capítulo VII.

Artigo 21.º

Prazo de conservação de dados pessoais

1 - O prazo de conservação de dados pessoais é o que estiver fixado por norma legal ou regulamentar ou,

na falta desta, o que se revele necessário para a prossecução da finalidade.

2 - Quando, pela natureza e finalidade do tratamento, designadamente para fins de arquivo de interesse

público, fins de investigação científica ou histórica ou fins estatísticos, não seja possível determinar

antecipadamente o momento em que o mesmo deixa de ser necessário, é lícita a conservação dos dados

pessoais, desde que sejam adotadas medidas técnicas e organizativas adequadas a garantir os direitos do

titular dos dados, designadamente a informação da sua conservação.

3 - Quando os dados pessoais sejam necessários para o responsável pelo tratamento, ou o subcontratante,

comprovar o cumprimento de obrigações contratuais ou de outra natureza, os mesmos podem ser

conservados enquanto não decorrer o prazo de prescrição dos direitos correspetivos.

4 - Quando cesse a finalidade que motivou o tratamento, inicial ou posterior, de dados pessoais, o

responsável pelo tratamento deve proceder à sua destruição ou anonimização.

5 - Nos casos em que existe um prazo de conservação de dados imposto por lei, só pode ser exercido o

direito ao apagamento previsto no artigo 17.º do RGPD findo esse prazo.

6 - Os dados relativos a declarações contributivas para efeitos de aposentação ou reforma podem ser

conservados sem limite de prazo, a fim de auxiliar o titular na reconstituição das carreiras contributivas, desde

que sejam adotadas medidas técnicas e organizativas adequadas a garantir os direitos do titular dos dados.

Artigo 22.º

Transferências de dados

As transferências de dados para países terceiros à União Europeia ou organizações internacionais,

efetuadas no cumprimento de obrigações legais, por entidades públicas no exercício de poderes de

autoridade, são consideradas de interesse público para efeitos do disposto no n.º 4 do artigo 49.º do RGPD.

Artigo 23.º

Tratamento de dados pessoais por entidades públicas para finalidades diferentes

1 – O tratamento de dados pessoais por entidades públicas para finalidades diferentes das determinadas

pela recolha tem natureza excecional e deve ser devidamente fundamentado com vista a assegurar a

prossecução do interesse público que de outra forma não possa ser acautelado, nos termos da alínea e) do n.º

1, do n.º 4 do artigo 6.º e da alínea g) do n.º 2 do artigo 9.º do RGPD.

2 – A transmissão de dados pessoais entre entidades públicas para finalidades diferentes das determinadas

pela recolha tem natureza excecional, deve ser devidamente fundamentada nos termos referidos no número

anterior e deve ser objeto de protocolo que estabeleça as responsabilidades de cada entidade interveniente,

quer no ato de transmissão, quer em outros tratamentos a efetuar.

CAPÍTULO VI

Situações específicas de tratamento de dados pessoais

Artigo 24.º

Liberdade de expressão e informação

1 - A proteção de dados pessoais, nos termos do RGPD e da presente lei, não prejudica o exercício da

liberdade de expressão, informação e imprensa, incluindo o tratamento de dados para fins jornalísticos e para

Página 88

II SÉRIE-A — NÚMERO 131

88

fins de expressão académica, artística ou literária.

2 - O exercício da liberdade de informação, especialmente quando revele dados pessoais previstos no n.º 1

do artigo 9.º do RGPD e no artigo 17.º da presente lei, deve respeitar o princípio da dignidade da pessoa

humana previsto na Constituição da República Portuguesa, bem como os direitos de personalidade nela e na

legislação nacional consagrados.

3 - O tratamento para fins jornalísticos deve respeitar a legislação nacional sobre acesso e exercício da

profissão.

4 - O exercício da liberdade de expressão não legitima a divulgação de dados pessoais como moradas e

contactos, à exceção daqueles que sejam de conhecimento generalizado.

Artigo 25.º

Publicação em jornal oficial

1 - A publicação de dados pessoais em jornais oficiais deve obedecer ao artigo 5.º do RGPD,

nomeadamente aos princípios da finalidade e da minimização.

2 - Sempre que o dado pessoal «nome» seja suficiente para garantir a identificação do titular e a eficácia do

tratamento, não devem ser publicados outros dados pessoais.

3 - Os dados pessoais publicados em jornal oficial não podem, em circunstância alguma, ser alterados,

rasurados ou ocultados.

4 - O direito ao apagamento de dados pessoais publicados em jornal oficial tem natureza excecional e só

se pode concretizar nas condições previstas no artigo 17.º do RGPD, nos casos em que essa seja a única

forma de acautelar o direito ao esquecimento e ponderados os demais interesses em presença.

5 - O disposto no número anterior realiza-se através da desindexação dos dados pessoais em motores de

busca, sempre sem eliminação da publicação que faz fé pública.

6 - Em caso de publicação de dados pessoais em jornais oficiais, considera-se responsável pelo tratamento

a entidade que manda proceder à publicação, ou, no caso dos gabinetes dos membros do Governo, as

respetivas secretarias-gerais.

Artigo 26.º

Acesso a documentos administrativos

O acesso a documentos administrativos que contenham dados pessoais rege-se pelo disposto na Lei n.º

26/2016, de 22 de agosto.

Artigo 27.º

Publicação de dados no âmbito da contratação pública

No âmbito da contratação pública, e caso seja necessária a publicação de dados pessoais, não devem ser

publicados outros dados pessoais para além do nome, sempre que este seja suficiente para garantir a

identificação do contraente público e do cocontratante.

Artigo 28.º

Relações laborais

1 - O empregador pode tratar os dados pessoais dos seus trabalhadores para as finalidades e com os

limites definidos no Código do Trabalho e respetiva legislação complementar ou noutros regimes setoriais,

com as especificidades estabelecidas no presente artigo.

2 - O número anterior abrange igualmente o tratamento efetuado por subcontratante ou contabilista

certificado em nome do empregador, para fins de gestão das relações laborais, desde que realizado ao abrigo

de um contrato de prestação de serviços e sujeito a iguais garantias de sigilo.

3 - Salvo norma legal em contrário, o consentimento do trabalhador não constitui requisito de legitimidade

do tratamento dos seus dados pessoais:

Página 89

22 DE JULHO DE 2019

89

a) Se do tratamento resultar uma vantagem jurídica ou económica para o trabalhador; ou

b) Se esse tratamento estiver abrangido pelo disposto na alínea b) do n.º 1 do artigo 6.º do RGPD.

4 - As imagens gravadas e outros dados pessoais registados através da utilização de sistemas de vídeo ou

outros meios tecnológicos de vigilância à distância, nos termos previstos no artigo 20.º do Código do Trabalho,

só podem ser utilizados no âmbito do processo penal.

5 - Nos casos previstos no número anterior, as imagens gravadas e outros dados pessoais podem também

ser utilizados para efeitos de apuramento de responsabilidade disciplinar, na medida em que o sejam no

âmbito do processo penal.

6 - O tratamento de dados biométricos dos trabalhadores só é considerado legítimo para controlo de

assiduidade e para controlo de acessos às instalações do empregador, devendo assegurar-se que apenas se

utilizem representações dos dados biométricos e que o respetivo processo de recolha não permita a

reversibilidade dos referidos dados.

Artigo 29.º

Tratamento de dados de saúde e dados genéticos

1 – Nos tratamentos de dados de saúde e de dados genéticos, o acesso a dados pessoais rege-se pelo

princípio da necessidade de conhecer a informação.

2 – Nos casos previstos nas alíneas h) e i) do n.º 2 do artigo 9.º do RGPD, o tratamento dos dados

previstos no n.º 1 do mesmo artigo deve ser efetuado por um profissional obrigado a sigilo ou por outra pessoa

sujeita a dever de confidencialidade, devendo ser garantidas medidas adequadas de segurança da

informação.

3 – O acesso aos dados a que alude o número anterior é feito exclusivamente de forma eletrónica, salvo

impossibilidade técnica ou expressa indicação em contrário do titular dos dados, sendo vedada a sua

divulgação ou transmissão posterior.

4 – Os titulares de órgãos, trabalhadores e prestadores de serviços do responsável pelo tratamento de

dados de saúde e de dados genéticos, o encarregado de proteção de dados, os estudantes e investigadores

na área da saúde e da genética e todos os profissionais de saúde que tenham acesso a dados relativos à

saúde estão obrigados a um dever de sigilo.

5 – O dever de sigilo referido no número anterior é também aplicável a todos os titulares de órgãos e

trabalhadores que, no contexto do acompanhamento, financiamento ou fiscalização da atividade de prestação

de cuidados de saúde, tenham acesso a dados relativos à saúde.

6 – O titular dos dados deve ser notificado de qualquer acesso realizado aos seus dados pessoais,

cabendo ao responsável pelo tratamento assegurar a disponibilização desse mecanismo de rastreabilidade e

notificação.

7 – As medidas e os requisitos técnicos mínimos de segurança inerentes ao tratamento de dados a que

alude o n.º 1 são aprovados por portaria dos membros do Governo responsáveis pelas áreas da saúde e da

justiça, que deve regulamentar, nomeadamente, as seguintes matérias:

a) Estabelecimento de permissões de acesso aos dados pessoais diferenciados, em razão da necessidade

de conhecer e da segregação de funções;

b) Requisitos de autenticação prévia de quem acede;

c) Registo eletrónico dos acessos e dos dados acedidos.

Artigo 30.º

Bases de dados ou registos centralizados de saúde

1 - Os dados relativos à saúde podem ser organizados em bases de dados ou registos centralizados

assentes em plataformas únicas, quando tratados para efeitos das finalidades legalmente previstas no RGPD

e na legislação nacional.

Página 90

II SÉRIE-A — NÚMERO 131

90

2 - As bases de dados de saúde ou registos centralizados assentes nas plataformas únicas referidas no

número anterior devem preencher os requisitos de segurança e de inviolabilidade previstos no RGPD.

Artigo 31.º

Tratamentos para fins de arquivo de interesse público, fins de investigação científica ou histórica ou

fins estatísticos

1 - O tratamento para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins

estatísticos deve respeitar o princípio da minimização dos dados e incluir a anonimização ou a

pseudonimização dos mesmos sempre que os fins visados possam ser atingidos por uma destas vias.

2 - Quando os dados pessoais sejam tratados para fins de arquivo de interesse público, fins de

investigação científica ou histórica ou fins estatísticos, ficam prejudicados os direitos de acesso, retificação,

limitação do tratamento e de oposição previstos nos artigos 15.º, 16.º, 18.º e 21.º do RGPD, na medida do

necessário, se esses direitos forem suscetíveis de tornar impossível ou prejudicar gravemente a realização

desses fins.

3 - Ao tratamento de dados pessoais para fins de arquivo de interesse público é aplicável o Decreto-Lei n.º

16/93, de 23 de janeiro, na sua redação atual.

4 - O consentimento relativo ao tratamento de dados para fins de investigação científica pode abranger

diversas áreas de investigação ou ser dado unicamente para determinados domínios ou projetos de

investigação específicos, devendo em qualquer caso ser respeitados os padrões éticos reconhecidos pela

comunidade científica.

5 - Sem prejuízo do disposto na Lei do Sistema Estatístico Nacional, os dados pessoais tratados para fins

estatísticos devem ser anonimizados ou pseudonimizados, de modo a acautelar a tutela dos titulares dos

dados, nomeadamente no que respeita à impossibilidade de reidentificação logo que concluída a operação

estatística.

CAPÍTULO VII

Tutela administrativa e jurisdicional

SECÇÃO I

Disposições gerais

Artigo 32.º

Tutela administrativa

Sem prejuízo do direito de apresentação de queixa à CNPD, qualquer pessoa pode recorrer a meios de

tutela administrativa, designadamente de cariz petitório ou impugnatório, para garantir o cumprimento das

disposições legais em matéria de proteção de dados pessoais, nos termos previstos no Código do

Procedimento Administrativo.

Artigo 33.º

Responsabilidade civil

1 - Qualquer pessoa que tenha sofrido um dano devido ao tratamento ilícito de dados ou a qualquer outro

ato que viole disposições do RGPD ou da lei nacional em matéria de proteção de dados pessoais, tem o direito

de obter do responsável ou subcontratante a reparação pelo dano sofrido.

2 - O responsável pelo tratamento e o subcontratante não incorrem em responsabilidade civil se provarem

que o facto que causou o dano não lhes é imputável.

3 - À responsabilidade do Estado e demais pessoas coletivas públicas é aplicável o regime previsto na Lei

n.º 67/2007, de 31 de dezembro, alterado pela Lei n.º 31/2008, de 17 de julho.

Página 91

22 DE JULHO DE 2019

91

Artigo 34.º

Tutela jurisdicional

1 - Qualquer pessoa, de acordo com as regras gerais de legitimidade processual, pode propor ações contra

as decisões, nomeadamente de natureza contraordenacional, e omissões da CNPD, bem como ações de

responsabilidade civil pelos danos que tais atos ou omissões possam ter causado.

2 - As ações propostas contra a CNPD são da competência dos tribunais administrativos.

3 - O titular dos dados pode propor ações contra o responsável pelo tratamento ou o subcontratante,

incluindo ações de responsabilidade civil.

4 - As ações intentadas contra o responsável pelo tratamento ou um subcontratante são propostas nos

tribunais nacionais se o responsável ou subcontratante tiver estabelecimento em território nacional ou se o

titular dos dados aqui residir habitualmente.

Artigo 35.º

Representação dos titulares dos dados

Sem prejuízo da observância das regras relativas ao patrocínio judiciário, o titular dos dados tem o direito

de mandatar um organismo, uma organização ou uma associação sem fins lucrativos constituída em

conformidade com o direito nacional, cujos fins estatutários sejam de interesse público e cuja atividade abranja

a defesa dos direitos, liberdades e garantias do titular dos dados quanto à proteção de dados pessoais para,

em seu nome, exercer os direitos previstos nos artigos 77.º, 78.º, 79.º e 82.º do RGPD.

Artigo 36.º

Legitimidade da CNPD

A CNPD tem legitimidade para intervir em processos judiciais no caso de violação das disposições do

RGPD e da presente lei, e deve denunciar ao Ministério Público as infrações penais de que tiver

conhecimento, no exercício das suas funções e por causa delas, bem como praticar os atos cautelares

necessários e urgentes para assegurar os meios de prova.

SECÇÃO II

Contraordenações

Artigo 37.º

Contraordenações muito graves

1 - Constituem contraordenações muito graves:

a) Os tratamentos de dados pessoais com inobservância dolosa dos princípios consagrados no artigo 5.º

do RGDP;

b) Os tratamentos de dados pessoais que não tenham por base o consentimento ou outra condição de

legitimidade, nos termos do artigo 6.º do RGPD ou de norma nacional;

c) O incumprimento das regras relativas à prestação do consentimento previstas no artigo 7.º do RGPD;

d) Os tratamentos de dados pessoais previstos no n.º 1 do artigo 9.º do RGPD sem que se verifique uma

das circunstâncias previstas no n.º 2 do mesmo artigo;

e) Os tratamentos de dados pessoais previstos no artigo 10.º do RGPD que contrariem as regras aí

previstas;

f) A exigência do pagamento de uma quantia em dinheiro fora dos casos previstos no n.º 5 do artigo 12.º

do RGPD;

g) A exigência do pagamento de uma quantia em dinheiro, nos casos previstos no n.º 5 do artigo 12.º do

RGPD, que exceda os custos necessários para satisfazer o direito do titular dos dados;

h) A não prestação de informação relevante nos termos dos artigos 13.º e 14.º do RGPD, o que ocorre nas

Página 92

II SÉRIE-A — NÚMERO 131

92

seguintes circunstâncias:

i) Omissão de informação das finalidades a que se destina o tratamento;

ii) Omissão de informação acerca dos destinatários ou categorias de destinatários dos dados pessoais;

iii) Omissão de informação acerca do direito de retirar o consentimento nos casos previstos na alínea a)

do n.º 1 do artigo 6.º e na alínea a) do n.º 2 do artigo 9.º do RGPD;

i) Não permitir, não assegurar ou dificultar o exercício dos direitos previstos nos artigos 15.º a 22.º do

RGPD;

j) A transferência internacional de dados pessoais em violação do disposto nos artigos 44.º a 49.º do

RGPD;

k) O incumprimento das decisões da autoridade de controlo previstas no n.º 2 do artigo 58.º do RGPD, ou

recusa da colaboração que lhe seja exigida pela CNPD, no exercício dos seus poderes;

l) A violação das regras previstas no capítulo VI da presente lei.

2 - As contraordenações referidas no número anterior são punidas com coima:

a) De 5000 € a 20 000 000 € ou 4% do volume de negócios anual, a nível mundial, conforme o que for

mais elevado, tratando-se de grande empresa;

b) De 2000 € a 2 000 000 € ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais

elevado, tratando-se de PME;

c) De 1000 € a 500 000 €, no caso de pessoas singulares.

Artigo 38.º

Contraordenações graves

1 - Constituem contraordenações graves:

a) A violação do disposto no artigo 8.º do RGPD;

b) A não prestação da restante informação prevista nos artigos 13.º e 14.º do RGPD;

c) A violação do disposto nos artigos 24.º e 25.º do RGPD;

d) A violação das obrigações previstas no artigo 26.º do RGPD;

e) A violação do disposto no artigo 27.º do RGPD;

f) A violação das obrigações previstas no artigo 28.º do RGPD;

g) A violação do disposto no artigo 29.º do RGPD;

h) A ausência de registo dos tratamentos de dados pessoais em violação do disposto no artigo 30.º do

RGPD;

i) A violação das regras de segurança previstas no artigo 32.º do RGPD;

j) O incumprimento dos deveres previstos no artigo 33.º do RGPD;

k) O incumprimento do dever de informar o titular dos dados pessoais nas situações previstas no artigo

34.º do RGPD;

l) O incumprimento da obrigação de realizar avaliações de impacto nos casos previstos no artigo 35.º do

RGPD;

m) O incumprimento da obrigação de consultar a autoridade de controlo previamente à realização de

operações de tratamento de dados nos casos previstos no artigo 36.º do RGPD;

n) O incumprimento dos deveres previstos no artigo 37.º do RGPD;

o) A violação do disposto no artigo 38.º do RGPD, nomeadamente no que respeita às garantias de

independência do encarregado de proteção de dados;

p) O incumprimento dos deveres previstos no artigo 39.º do RGPD;

q) A prática de atos de supervisão de códigos de conduta por organismos não acreditados pela autoridade

de controlo nos termos do artigo 41.º do RGPD;

r) O incumprimento, por parte dos organismos de supervisão de códigos de conduta, do previsto no n.º 4

Página 93

22 DE JULHO DE 2019

93

do artigo 41.º do RGPD;

s) A utilização de selos ou marcas de proteção de dados que não tinham sido emitidos por organismos de

certificação devidamente acreditados nos termos dos artigos 42.º e 43.º do RGPD;

t) O incumprimento, por parte dos organismos de certificação, dos deveres previstos no artigo 43.º do

RGPD;

u) A violação do disposto no artigo 19.º da presente lei.

2 - As contraordenações referidas no número anterior são punidas com coima de:

a) De 2500 € a 10 000 000 € ou 2% do volume de negócios anual, a nível mundial, conforme o que for

mais elevado, tratando-se de grande empresa;

b) De 1000 € a 1 000 000 € ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais

elevado, tratando-se de PME;

c) De 500 € a 250 000 €, no caso de pessoas singulares.

Artigo 39.º

Determinação da medida da coima

1 - Na determinação da medida da coima, a CNPD tem em conta, para além dos critérios estabelecidos

no n.º 2 do artigo 83.º do RGPD:

a) A situação económica do agente, no caso de pessoa singular, ou o volume de negócios e o balanço

anual, no caso de pessoa coletiva;

b) O caráter continuado da infração;

c) A dimensão da entidade, tendo em conta o número de trabalhadores e a natureza dos serviços

prestados.

2 - Para efeitos da aplicação do disposto nos artigos anteriores, os conceitos de pequenas e médias

empresas (PME) e grande empresa são os definidos na Recomendação n.º 2003/361/CE, da Comissão

Europeia, de 6 de maio de 2003.

3 - Exceto em caso de dolo, a instauração de processo de contraordenação depende de prévia

advertência do agente, por parte da CNPD, para cumprimento da obrigação omitida ou reintegração da

proibição violada em prazo razoável.

Artigo 40.º

Prescrição do procedimento por contraordenação

O procedimento por contraordenação extingue-se por efeito da prescrição logo que sobre a prática da

contraordenação hajam decorrido os seguintes prazos:

a) Três anos, quando se trate de contraordenação muito grave;

b) Dois anos, quando se trate de contraordenação grave.

Artigo 41.º

Prazo de prescrição das coimas

As coimas previstas na presente lei prescrevem nos seguintes prazos:

a) Três anos, no caso de coimas de montante superior a 100 000 €;

b) Dois anos, no caso de coimas de montante igual ou inferior a 100 000 €.

Página 94

II SÉRIE-A — NÚMERO 131

94

Artigo 42.º

Destino das coimas

O montante das coimas cobradas reverte em 60% para o Estado e em 40% para a CNPD.

Artigo 43.º

Cumprimento do dever omitido

Sempre que a contraordenação resulte da omissão de um dever, a aplicação da sanção e o pagamento da

coima não dispensam o infrator do seu cumprimento se este ainda for possível.

Artigo 44.º

Âmbito de aplicação das contraordenações

1 – As coimas previstas no RGPD e na presente lei aplicam-se de igual modo às entidades públicas e

privadas.

2 – Nos termos do disposto no n.º 7 do artigo 83.º do RGPD, as entidades públicas, mediante pedido

devidamente fundamentado, podem solicitar à CNPD a dispensa da aplicação de coimas durante o prazo de

três anos a contar da entrada em vigor da presente lei.

3 – As entidades públicas estão sujeitas aos poderes de correção da CNPD, tal como previstos no RGPD e

na presente lei, com exceção da aplicação de coimas nos termos definidos no número anterior.

Artigo 45.º

Regime subsidiário

Em tudo o que não esteja previsto na presente lei em matéria contraordenacional, aplica-se o disposto no

regime geral do ilícito de mera ordenação social.

SECÇÃO III

Crimes

Artigo 46.º

Utilização de dados de forma incompatível com a finalidade da recolha

1 - Quem utilizar dados pessoais de forma incompatível com a finalidade determinante da recolha é punido

com pena de prisão até um ano ou com pena de multa até 120 dias.

2 - A pena é agravada para o dobro nos seus limites quando se tratar dos dados pessoais a que se referem

os artigos 9.º e 10.º do RGPD.

Artigo 47.º

Acesso indevido

1 - Quem, sem a devida autorização ou justificação, aceder, por qualquer modo, a dados pessoais é punido

com pena de prisão até um ano ou com pena de multa até 120 dias.

2 - A pena é agravada para o dobro nos seus limites quando se tratar dos dados pessoais a que se referem

os artigos 9.º e 10.º do RGPD.

3 - A pena é também agravada para o dobro nos seus limites quando o acesso:

a) For conseguido através de violação de regras técnicas de segurança; ou

b) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial.

Página 95

22 DE JULHO DE 2019

95

Artigo 48.º

Desvio de dados

1 - Quem copiar, subtrair, ceder ou transferir, a título oneroso ou gratuito, dados pessoais sem previsão

legal ou consentimento, independentemente da finalidade prosseguida, é punido com pena de prisão até 1 ano

ou com pena de multa até 120 dias.

2 - A pena é agravada para o dobro nos seus limites quando se tratar dos dados pessoais a que se referem

os artigos 9.º e 10.º do RGPD.

3 - A pena é também agravada para o dobro nos seus limites quando o acesso:

a) For conseguido através de violação de regras técnicas de segurança; ou

b) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial.

Artigo 49.º

Viciação ou destruição de dados

1 - Quem, sem a devida autorização ou justificação, apagar, destruir, danificar, ocultar, suprimir ou

modificar dados pessoais, tornando-os inutilizáveis ou afetando o seu potencial de utilização, é punido com

pena de prisão até 2 anos ou com pena de multa até 240 dias.

2 - A pena é agravada para o dobro nos seus limites se o dano produzido for particularmente grave.

3 - Nas situações previstas nos números anteriores, se o agente atuar com negligência é punido com pena

de prisão:

a) Até 1 ano ou multa até 120 dias, no caso previsto no n.º 1;

b) Até 2 anos ou multa até 240 dias, no caso previsto no n.º 2.

Artigo 50.º

Inserção de dados falsos

1 - Quem inserir ou facilitar a inserção de dados pessoais falsos, com a intenção de obter vantagem

indevida para si ou para terceiro, ou para causar prejuízo, é punido com pena de prisão até 2 anos ou com

pena de multa até 240 dias.

2 - A pena é agravada para o dobro nos seus limites se da inserção referida no número anterior resultar um

prejuízo efetivo.

Artigo 51.º

Violação do dever de sigilo

1 - Quem, obrigado a sigilo profissional nos termos da lei, sem justa causa e sem o devido consentimento,

revelar ou divulgar no todo ou em parte dados pessoais é punido com pena de prisão até 1 ano ou com pena

de multa até 120 dias.

2 - A pena é agravada para o dobro nos seus limites se o agente:

a) For trabalhador em funções públicas ou equiparado, nos termos da lei penal;

b) For encarregado de proteção de dados;

c) For determinado pela intenção de obter qualquer vantagem patrimonial ou outro benefício ilegítimo;

d) Puser em perigo a reputação, a honra ou a intimidade da vida privada de terceiros.

3 - A negligência é punível com pena de prisão até 6 meses ou com pena de multa até 60 dias.

Página 96

II SÉRIE-A — NÚMERO 131

96

Artigo 52.º

Desobediência

1 - Quem não cumprir as obrigações previstas no RGPD e na presente lei, depois de ultrapassado o prazo

que tiver sido fixado pela CNPD para o respetivo cumprimento, é punido com pena de prisão até 1 ano ou com

pena de multa até 120 dias.

2 - A pena é agravada para o dobro nos seus limites se, depois de notificado para o efeito, o agente:

a) Não interromper, cessar ou bloquear o tratamento ilícito de dados;

b) Não proceder ao apagamento ou destruição dos dados quando legalmente exigível, ou findo o prazo de

conservação fixado nos termos da presente lei; ou

c) Recusar, sem justa causa, a colaboração que lhe for exigida nos termos do artigo 8.º da presente lei.

Artigo 53.º

Punibilidade da tentativa

Nos crimes previstos na presente secção, a tentativa é sempre punível.

Artigo 54.º

Responsabilidade das pessoas coletivas

As pessoas coletivas e entidades equiparadas, com exceção do Estado, de pessoas coletivas no exercício

de prerrogativas de poder público e de organizações de direito internacional público, são responsáveis pelos

crimes previstos na presente secção, nos termos do artigo 11.º do Código Penal.

SECÇÃO IV

Disposições comuns

Artigo 55.º

Concurso de infrações

1 - Se o mesmo facto constituir simultaneamente crime e contraordenação, o agente é sempre punido a

título de crime.

2 - Quando se verifique concurso de crime e contraordenação, ou quando, pelo mesmo facto, uma pessoa

deva responder a título de crime e outra a título de contraordenação, o processamento da contraordenação

cabe às autoridades competentes para o processo criminal, nos termos do regime geral do ilícito de mera

ordenação social.

Artigo 56.º

Sanções acessórias

1 - Conjuntamente com as sanções aplicadas pode ser ordenada, acessoriamente, a proibição temporária

ou definitiva do tratamento, o bloqueio, o apagamento ou a destruição total ou parcial dos dados.

2 - Tratando-se de crimes, ou de coimas de montante superior a 100 000 €, pode acessoriamente ser

determinada a publicidade da condenação, por meio de extrato contendo a identificação do agente, os

elementos da infração e as sanções aplicadas, no Portal do Cidadão, por período não inferior a 90 dias.

Página 97

22 DE JULHO DE 2019

97

CAPÍTULO VIII

Disposições finais e transitórias

Artigo 57.º

Comissão Nacional de Proteção de Dados

Os membros da CNPD em exercício à data da entrada em vigor da presente lei mantêm-se em funções até

ao fim dos respetivos mandatos.

Artigo 58.º

Orientações técnicas

As orientações técnicas para a aplicação do RGPD pela administração direta e indireta do Estado são

aprovadas por resolução do Conselho de Ministros, a qual pode recomendar a sua aplicação também ao setor

empresarial do Estado.

Artigo 59.º

Aplicabilidade das coimas às entidades públicas

A possibilidade de não aplicabilidade de coimas às entidades públicas, nos termos previstos no n.º 2 do

artigo 44.º da presente lei, deve ser objeto de reavaliação três anos após a entrada em vigor da presente lei.

Artigo 60.º

Situações de tratamentos de dados pessoais pré-existentes

1 - Os tratamentos de dados pessoais objeto de registo público, nos termos do artigo 31.º da Lei n.º 67/98,

de 26 de outubro, permanecem conservados sob a responsabilidade da CNPD e disponíveis para consulta

gratuita por qualquer pessoa.

2 - As notificações e pedidos de autorização já decididos pela CNPD no momento da entrada em vigor da

presente lei, mas ainda não publicados, devem sê-lo nos termos da legislação prevista no número anterior.

3 - Os pedidos de registo e de autorização pendentes na CNPD na data da entrada em vigor da presente lei

caducam com a sua entrada em vigor.

4 - Os responsáveis pelos tratamentos de dados pessoais realizados com base em autorizações emitidas

nos termos da Lei n.º 67/98, de 26 de outubro, bem como os subcontratantes, estão vinculados a cumprir as

obrigações impostas pelo RGPD, com exceção da avaliação de impacto sobre a proteção de dados a que se

refere o artigo 35.º desse regulamento.

Artigo 61.º

Renovação do consentimento

1 - Quando o tratamento dos dados pessoais em curso à data da entrada em vigor da presente lei se

basear no consentimento do respetivo titular, não é necessário obter novo consentimento se o anterior tiver

observado as exigências constantes do RGPD.

2 - Caso a caducidade do consentimento seja motivo de cessação de contrato em que o titular de dados

seja parte, o tratamento de dados é lícito até que esta ocorra.

Artigo 62.º

Regimes de proteção de dados pessoais

1 - As normas relativas à proteção de dados pessoais previstas em legislação especial mantêm-se em

vigor, em tudo o que não contrarie o disposto no RGPD e na presente lei, sem prejuízo do disposto no número

seguinte.

Página 98

II SÉRIE-A — NÚMERO 131

98

2 - Todas as normas que prevejam autorizações ou notificações de tratamento de dados pessoais à

CNPD, fora dos casos previstos no RGPD e na presente lei, deixam de vigorar à data de entrada em vigor do

RGPD.

CAPÍTULO IX

Alterações legislativas

Artigo 63.º

Alteração à Lei n.º 43/2004, de 18 de agosto

1 – Os artigos 2.º, 3.º, 8.º, 16.º a 22.º e 24.º a 31.º da Lei de Organização e Funcionamento da Comissão

Nacional de Proteção de Dados, aprovada pela Lei n.º 43/2004, de 18 de agosto, alterada pela Lei n.º 55-

A/2010, de 31 de dezembro, passam a ter a seguinte redação:

«Artigo 2.º

[...]

1 – A CNPD é uma entidade administrativa independente, com personalidade jurídica de direito público e

poderes de autoridade, dotada de autonomia administrativa e financeira, que funciona junto da Assembleia da

República.

2 – A CNPD é a autoridade de controlo nacional para efeitos do Regulamento Geral de Proteção de Dados

(RGPD), aprovado pelo Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de

2016, e da lei que assegura a sua execução na ordem jurídica interna.

3 – A CNPD controla e fiscaliza o cumprimento do RGPD e da presente lei, bem como das demais

disposições legais e regulamentares em matéria de proteção de dados pessoais, a fim de defender os direitos,

liberdades e garantias das pessoas singulares no âmbito dos tratamentos de dados pessoais.

4 – A CNPD age com independência na prossecução das suas atribuições e no exercício dos poderes que

lhe são atribuídos pela presente lei.

Artigo 3.º

Composição, designação e mandato dos membros

1 – A CNPD é composta por sete membros de integridade e mérito reconhecidos:

a) Um presidente, eleito pela Assembleia da República;

b) Duas personalidades eleitas pela Assembleia da República segundo o método da média mais alta de

Hondt;

c) Dois magistrados, sendo um magistrado judicial, designado pelo Conselho Superior da Magistratura, e

um magistrado do Ministério Público, designado pelo Conselho Superior do Ministério Público;

d) Duas personalidades designadas pelo Governo.

3 – O mandato dos membros da CNPD é de cinco anos, renovável duas vezes, e cessa com a posse dos

novos membros.

4 – A designação dos membros da CNPD consta de lista publicada na 1.ª série do Diário da República.

5 – Os membros da CNPD tomam posse perante o Presidente da Assembleia da República nos 10 dias

seguintes à publicação da lista referida no número anterior.

Artigo 8.º

[...]

Constituem deveres dos membros da CNPD:

Página 99

22 DE JULHO DE 2019

99

a) ...................................................................................................................................................................... ;

b) ...................................................................................................................................................................... ;

c) Guardar sigilo sobre as questões ou processos que estejam a ser objeto de apreciação, nos termos

previstos no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 e na

Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.

Artigo 16.º

Publicidade

1 – São publicadas no sítio da Internet da CNPD as deliberações relativas a:

a) Acreditação e certificação;

b) Revogação e anulação de acreditação e de certificação;

c) Códigos de conduta;

d) Autorizações;

e) Regras vinculativas.

2 – São ainda publicados naquele sítio os regulamentos e os pareceres sobre disposições legais e

regulamentares e instrumentos jurídicos em preparação em instituições da União Europeia e internacionais,

bem como as orientações e recomendações genéricas.

3 – São publicados na 2.ª série do Diário da República os regulamentos administrativos, incluindo os

relativos à fixação de taxas e os emitidos ao abrigo do disposto no n.º 3 do artigo 22.º.

Artigo 17.º

Denúncias e participações

1 – As denúncias e participações são apresentadas por escrito, em local específico para o efeito no sítio da

CNPD, sem prejuízo de, excecionalmente, desde que devidamente fundamentado, se admitir a sua

apresentação por correio eletrónico ou correio postal, podendo ser exigida a confirmação da identidade dos

seus autores.

2 – (Revogado).

3 – ...................................................................................................................................................................

4 – ...................................................................................................................................................................

Artigo 18.º

[...]

1 – ...................................................................................................................................................................

2 – A CNPD pode aprovar modelos ou formulários, em suporte eletrónico, com vista a permitir melhor

instrução dos processos.

3 – (Revogado).

4 – Os pedidos de parecer sobre disposições legais e regulamentares em preparação devem ser remetidos

à CNPD pelo titular do órgão com poder legiferante ou regulamentar, instruídos com o respetivo estudo de

impacto sobre a proteção de dados pessoais.

5 – Os pedidos de parecer sobre quaisquer outros instrumentos jurídicos da União Europeia ou

internacionais em preparação, relativos ao tratamento de dados pessoais, devem ser remetidos à CNPD pela

entidade que representa o Estado português no processo de elaboração da iniciativa, devidamente instruídos.

Artigo 19.º

[…]

1 – ................................................................................................................................................................... :

Página 100

II SÉRIE-A — NÚMERO 131

100

a) ...................................................................................................................................................................... ;

b) ...................................................................................................................................................................... ;

c) ...................................................................................................................................................................... ;

d) Ouvida a Comissão, nomear o pessoal do mapa e autorizar transferências, requisições e

destacamentos;

e) ...................................................................................................................................................................... ;

f) ....................................................................................................................................................................... ;

g) ...................................................................................................................................................................... ;

h) ...................................................................................................................................................................... ;

i) ....................................................................................................................................................................... ;

j) ....................................................................................................................................................................... ;

l) ....................................................................................................................................................................... .

2 – ...................................................................................................................................................................

Artigo 20.º

[...]

1 – As receitas e despesas da CNPD, que goza de autonomia administrativa e financeira, constam de

orçamento anual.

2 – Além das dotações que lhe sejam atribuídas no orçamento da Assembleia da República, nos termos da

Lei n.º 59/90, de 21 de novembro, constituem receitas da CNPD:

a) ..................................................................................................................................................................... ;

b) O produto da venda de publicações;

c) ..................................................................................................................................................................... ;

d) O montante das coimas cobradas que, nos termos da lei, revertam a seu favor;

e) ..................................................................................................................................................................... ;

f) Os subsídios, subvenções, comparticipações, doações e legados, concedidos por entidades, públicas e

privadas, nacionais, estrangeiras, da União Europeia ou internacionais;

3 – ...................................................................................................................................................................

4 – ...................................................................................................................................................................

5 – ...................................................................................................................................................................

6 – A gestão do orçamento da CNPD, incluindo as dotações não integradas no orçamento da Assembleia

da República, fica sujeita ao regime deste último, sendo igualmente aplicável o regime previsto no n.º 10 do

artigo 60.º da Lei n.º 71/2018, de 31 de dezembro.

Artigo 21.º

[...]

1 – ...................................................................................................................................................................

a) Pela acreditação e certificação;

b) Pela consulta prévia;

c) Pela emissão de autorizações;

d) Pela apreciação de códigos de conduta;

e) Nos demais casos previstos por lei.

2 – O montante das taxas, que deve ser proporcional à complexidade do pedido e ao serviço prestado, é

fixado em regulamento pela CNPD.

3 – ...................................................................................................................................................................

Página 101

22 DE JULHO DE 2019

101

Artigo 22.º

[...]

1 – A CNPD dispõe de serviços de apoio próprios que compreendem unidades e núcleos.

2 – Os serviços de apoio são constituídos pelas seguintes unidades:

a) Unidade de Direitos e Sanções;

b) Unidade de Inspeção;

c) Unidade de Relações Públicas e Internacionais;

d) Unidade de Informática;

e) Unidade de Apoio Administrativo e Financeiro.

3 – Compete à CNPD aprovar o regulamento de organização e funcionamento dos serviços de apoio, bem

como o regulamento de avaliação dos trabalhadores.

4 – (Anterior n.º 3).

5 – O secretário é nomeado por despacho do presidente, obtido parecer favorável da Comissão, com

observância dos requisitos legais adequados ao desempenho das respetivas funções, escolhido

preferencialmente de entre funcionários já pertencentes ao mapa da CNPD, habilitados com licenciatura e de

reconhecida competência para o desempenho do lugar.

6 – (Anterior n.º 5).

Artigo 24.º

Unidade de Direitos e Sanções

Compete à Unidade de Direitos e Sanções assegurar o apoio técnico-jurídico, designadamente:

a) Instruir os processos de contraordenação, bem como outros processos abertos com base em

participações ou denúncias;

b) Preparar as peças processuais e representar a CNPD em processos judiciais, quando mandatados para

o efeito;

c) Preparar pareceres sobre projetos legislativos e regulamentares e sobre instrumentos jurídicos em

preparação em instituições da União Europeia e internacionais;

d) Analisar e preparar orientações sobre estudos de avaliação do impacto sobre a proteção de dados;

e) Instruir e propor decisões sobre processos de autorização prévia nos casos previstos em lei;

f) Instruir e propor decisões sobre processos de acreditação e de revisão de acreditação e certificações;

g) Analisar e preparar decisões em processos de notificação de violações de dados pessoais;

h) Analisar e preparar decisões sobre códigos de conduta;

i) Interagir com encarregados de proteção de dados;

j) Colaborar na organização de colóquios, seminários e outras iniciativas de difusão de matérias de

proteção de dados pessoais;

k) Instruir e propor decisões relativas ao exercício de direitos pelos titulares dos dados pessoais;

l) Desempenhar quaisquer outras tarefas de âmbito técnico-jurídico.

Artigo 25.º

Unidade de Relações Públicas e Internacionais

Compete à Unidade de Relações Públicas e Internacionais assegurar o apoio em matéria de informação,

documentação e relações públicas e na interação com autoridades europeias e internacionais,

designadamente:

a) Gerir os conteúdos do sítio da Internet e da Intranet da CNPD;

Página 102

II SÉRIE-A — NÚMERO 131

102

b) Organizar e manter atualizado um centro de documentação com a função de recolher bibliografia,

documentação, textos, diplomas legais, atos normativos e administrativos e demais elementos de informação

científica e técnica relacionada com a proteção de dados pessoais;

c) Promover a divulgação e o esclarecimento de direitos e obrigações relativos à proteção de dados

pessoais;

d) Assegurar os contactos com os órgãos de comunicação social;

e) Organizar, assessorar e dinamizar a realização de colóquios, seminários e outros eventos;

f) Colaborar na conceção e edição de publicações, bem como no relatório anual de atividades;

g) Desempenhar quaisquer outras tarefas, no âmbito da informação e comunicação;

h) Gerir as relações institucionais com organizações da União Europeia ou internacionais em matéria de

proteção de dados pessoais;

i) Assegurar as relações com as autoridades de controlo congéneres, em especial no âmbito das

competências do Comité Europeu para a Proteção de Dados;

j) Instruir e preparar decisões nos procedimentos de cooperação e coerência;

k) Instruir e preparar decisões quanto a transferências internacionais de dados pessoais.

Artigo 26.º

Unidade de Informática

1 – Compete à Unidade de Informática garantir o normal funcionamento das infraestruturas de informação e

comunicação da CNPD e o apoio técnico necessário na área das tecnologias de informação, nomeadamente:

a) Assegurar a gestão integrada e a manutenção do parque informático da CNPD e do respetivo sistema

de comunicações;

b) Assegurar o correto funcionamento da rede informática e dos sistemas de informação da CNPD;

c) Proceder aos estudos técnicos necessários à aquisição de material informático e de comunicação;

d) Assegurar o apoio aos utilizadores dos sistemas de informação e comunicação, bem como fomentar

junto dos mesmos boas práticas para uma utilização segura e adequada desses sistemas;

e) Assegurar a aplicação de normas de segurança que garantam a fiabilidade, confidencialidade e

durabilidade dos sistemas de informação;

f) Conceber a arquitetura global do sistema de informação da CNPD;

g) Desenhar, desenvolver e operacionalizar as aplicações e as interfaces necessárias ao exercício da

atividade da CNPD;

h) Desenhar, desenvolver e operacionalizar o sítio da Internet da CNPD;

i) Efetuar estudos sobre novas tecnologias com impacto no tratamento de dados pessoais.

Artigo 27.º

Unidade de Apoio Administrativo e Financeiro

Compete à Unidade de Apoio Administrativo e Financeiro apoiar a CNPD na gestão dos processos e dos

recursos humanos, financeiros e materiais, designadamente:

a) [Anterior alínea c)];

b) [Anterior alínea d)];

c) [Anterior alínea e)];

d) Promover as aquisições de bens e serviços;

e) Administrar os bens de consumo, bem como gerir as instalações, viaturas e demais equipamentos ao

serviço da CNPD;

f) Elaborar e manter atualizado o inventário geral;

g) Promover o recrutamento, promoção e a contratação de trabalhadores, bem como a aplicação dos

instrumentos de mobilidade;

h) Processar os vencimentos dos trabalhadores, dos membros da CNPD e do fiscal único;

Página 103

22 DE JULHO DE 2019

103

i) Organizar e manter atualizada a informação relativa aos trabalhadores, aos membros da CNPD e ao

fiscal único;

j) Promover a formação dos trabalhadores;

k) Promover a execução da avaliação dos trabalhadores;

l) Instruir e propor decisão em processos disciplinares;

m) Secretariar o presidente e o secretário;

n) Assegurar o registo e encaminhamento da correspondência, bem como a organização e arquivo de

documentos;

o) Assegurar o atendimento externo e o apoio a reuniões;

p) Assegurar a condução de viaturas e a sua manutenção e receber e entregar expediente e encomendas;

q) Desempenhar quaisquer outras tarefas que, no contexto da sua área funcional, sejam determinadas

pelo presidente ou pelo secretário.

Artigo 28.º

[...]

1 – Aos trabalhadores da CNPD aplica-se o regime geral do trabalho em funções públicas.

2 – ...................................................................................................................................................................

Artigo 29.º

[...]

Os trabalhadores da CNPD possuem cartão de identificação, dele constando o cargo desempenhado e os

poderes inerentes à sua função.

Artigo 30.º

[...]

1 – ...................................................................................................................................................................

2 – ...................................................................................................................................................................

3 – ...................................................................................................................................................................

4 – O prazo previsto no n.º 1 do artigo 97.º da Lei Geral do Trabalho em Funções Públicas, aprovada em

anexo à Lei n.º 35/2014, de 20 de junho, não é aplicável ao regime de mobilidade para os serviços de apoio à

CNPD, podendo, porém, a mobilidade ser dada por finda por decisão do presidente, ouvida a Comissão, ou a

pedido do interessado.

5 – ...................................................................................................................................................................

6 – Para o desempenho de funções nos serviços de apoio da CNPD no âmbito dos mecanismos de

mobilidade, e sempre que se opere por iniciativa do trabalhador, é dispensado o acordo do serviço de origem.

Artigo 31.º

Trabalhadores em funções públicas

A nomeação em comissão de serviço de trabalhadores em funções públicas para o cargo de consultor não

determina a abertura de vaga no mapa de origem, ficando salvaguardados todos os direitos inerentes aos

seus anteriores cargos ou funções, designadamente para efeitos de promoção ou progressão.»

Artigo 64.º

Aditamento à Lei n.º 43/2004, de 18 de agosto

São aditados os artigos 19.º-A e 24.º-A à Lei n.º 43/2004, de 18 de agosto, com a seguinte redação:

Página 104

II SÉRIE-A — NÚMERO 131

104

«Artigo 19.º-A

Fiscal único

1 – O fiscal único é o órgão responsável pelo controlo da legalidade, da regularidade e da boa gestão

financeira e patrimonial da CNPD, e de consulta por esta nesse domínio.

2 – O fiscal único é um revisor oficial de contas, designado pela Assembleia da República, por resolução, e

que toma posse perante o Presidente da Assembleia da República.

3 – O mandato do fiscal único tem a duração de cinco anos, não renovável, permanecendo em exercício de

funções até à efetiva substituição.

4 – O fiscal único é remunerado por valor correspondente a 25% da remuneração base auferida pelos

membros da CNPD.

5 – Compete, designadamente, ao fiscal único:

a) Acompanhar e controlar a gestão financeira e patrimonial da CNPD;

b) Examinar periodicamente a situação financeira e económica da CNPD e verificar o cumprimento das

normas reguladoras da sua atividade;

c) Emitir parecer prévio, no prazo máximo de 10 dias, sobre a aquisição, oneração, arrendamento e

alienação de bens móveis;

d) Emitir parecer sobre qualquer assunto que lhe seja submetido pela CNPD;

e) Participar às entidades competentes as irregularidades que detete.

Artigo 24.º-A

Unidade de Inspeção

Compete à Unidade de Inspeção realizar inspeções e auditorias no âmbito dos processos em curso, com

mandato da CNPD, em especial:

a) Fiscalizar a conformidade do tratamento de dados pessoais, podendo para tal aceder às instalações do

responsável e do subcontratante, aos equipamentos, aos meios de tratamento de dados, bem como a toda a

documentação que se revele necessária;

b) Investigar, no âmbito da assistência mútua e das operações conjuntas previstas nos artigos 61.º e 62.º

do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016,os tratamentos de

dados pessoais, nas condições previstas na alínea anterior;

c) Realizar as auditorias da parte nacional dos sistemas de informação europeus, nos termos da legislação

da União Europeia.»

Artigo 65.º

Alteração à Lei n.º 26/2016, de 22 de agosto

O artigo 6.º do regime de acesso à informação administrativa e ambiental e de reutilização dos documentos

administrativos aprovado pela Lei n.º 26/2016, de 22 de agosto, passa a ter a seguinte redação:

«Artigo 6.º

[…]

1 – ...................................................................................................................................................................

2 – ...................................................................................................................................................................

3 – ...................................................................................................................................................................

4 – ...................................................................................................................................................................

5 – ...................................................................................................................................................................

6 – ...................................................................................................................................................................

7 – ...................................................................................................................................................................

8 – ...................................................................................................................................................................

Página 105

22 DE JULHO DE 2019

105

9 – Sem prejuízo das ponderações previstas nos números anteriores, nos pedidos de acesso a

documentos nominativos que não contenham dados pessoais que revelem a origem étnica, as opiniões

políticas, as convicções religiosas ou filosóficas, a filiação sindical, dados genéticos, biométricos ou relativos à

saúde, ou dados relativos à intimidade da vida privada, à vida sexual ou à orientação sexual de uma pessoa,

presume-se, na falta de outro indicado pelo requerente, que o pedido se fundamenta no direito de acesso a

documentos administrativos.»

Artigo 66.º

Norma revogatória

1 – É revogada a Lei n.º 67/98, de 26 de outubro, que transpõe para a ordem jurídica portuguesa a Diretiva

95/45/CE, do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção de pessoas

singulares no que diz respeito ao tratamento dos dados pessoais e à livre circulação desses dados.

2 – São revogados o n.º 3 do artigo 15.º e o n.º 2 do artigo 17.º da Lei n.º 43/2004, de 18 de agosto,

alterada pela Lei n.º 55-A/2010, de 31 de dezembro.

Artigo 67.º

Republicação

É republicada em anexo à presente lei, da qual faz parte integrante, a Lei n.º 43/2004, de 18 de agosto,

com a redação atual e com as necessárias correções formais.

Artigo 68.º

Entrada em vigor e produção de efeitos

1 – A presente lei entra em vigor no dia seguinte ao da sua publicação.

2 – O fiscal único a eleger nos termos do disposto no artigo 19.º-A da Lei n.º 43/2004, de 18 de agosto, só

pode iniciar o seu mandato a partir de 1 de janeiro de 2020.

Aprovado em 14 de junho de 2019.

O Presidente da Assembleia da República, Eduardo Ferro Rodrigues.

ANEXO

(a que se refere o artigo 67.º)

Republicação da Lei n.º 43/2004, de 18 de agosto

CAPÍTULO I

Disposições gerais

Artigo 1.º

Âmbito

A presente lei regula a organização e o funcionamento da Comissão Nacional de Proteção de Dados

(CNPD), bem como o estatuto pessoal dos seus membros.

Artigo 2.º

Natureza, atribuições e competências

1 – A CNPD é uma entidade administrativa independente, com personalidade jurídica de direito público e

Página 106

II SÉRIE-A — NÚMERO 131

106

poderes de autoridade, dotada de autonomia administrativa e financeira, que funciona junto da Assembleia da

República.

2 – A CNPD é a autoridade de controlo nacional para efeitos do Regulamento Geral de Proteção de Dados

(RGPD), aprovado pelo Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de

2016, e da lei que assegura a sua execução na ordem jurídica interna.

3 – A CNPD controla e fiscaliza o cumprimento do RGPD e da presente lei, bem como das demais

disposições legais e regulamentares em matéria de proteção de dados pessoais, a fim de defender os direitos,

liberdades e garantias das pessoas singulares no âmbito dos tratamentos de dados pessoais.

4 – A CNPD age com independência na prossecução das suas atribuições e no exercício dos poderes que

lhe são atribuídos pela presente lei.

CAPÍTULO II

Membros da CNPD

Artigo 3.º

Composição, designação e mandato dos membros

1 – A CNPD é composta por sete membros de integridade e mérito reconhecidos:

a) Um Presidente, eleito pela Assembleia da República;

b) Duas personalidades eleitas pela Assembleia da República segundo o método da média mais alta de

Hondt;

c) Dois magistrados, sendo um magistrado judicial, designado pelo Conselho Superior da Magistratura, e

um magistrado do Ministério Público, designado pelo Conselho Superior do Ministério Público;

d) Duas personalidades designadas pelo Governo;

3 – O mandato dos membros da CNPD é de cinco anos, renovável duas vezes, e cessa com a posse dos

novos membros.

4 – A designação dos membros da CNPD consta de lista publicada na 1.ª série do Diário da República.

5 – Os membros da CNPD tomam posse perante o Presidente da Assembleia da República nos 10 dias

seguintes à publicação da lista referida no número anterior.

Artigo 4.º

Incapacidades e incompatibilidades

1 – Só podem ser membros da CNPD os cidadãos que se encontrem no pleno gozo dos seus direitos civis

e políticos.

2 – Os membros da CNPD ficam sujeitos ao regime de incompatibilidades estabelecido para os titulares de

altos cargos públicos.

Artigo 5.º

Inamovibilidade

1 – Os membros da CNPD são inamovíveis, não podendo as suas funções cessar antes do termo do

mandato, salvo nos seguintes casos:

a) Morte ou impossibilidade física permanente ou com uma duração que se preveja ultrapassar a data do

termo do mandato;

b) Renúncia ao mandato;

c) Perda do mandato.

Página 107

22 DE JULHO DE 2019

107

2 – No caso de vacatura por um dos motivos previstos no número anterior, a vaga deve ser preenchida no

prazo de 30 dias após a sua verificação, através da designação de novo membro pela entidade competente.

3 – O membro designado nos termos do número anterior completa o mandato do membro que substitui.

Artigo 6.º

Renúncia

1 – Os membros da CNPD podem renunciar ao mandato através de declaração escrita apresentada à

Comissão.

2 – A renúncia torna-se efetiva com o seu anúncio e é publicada na 2.ª série do Diário da República.

Artigo 7.º

Perda do mandato

1 – Perdem o mandato os membros da CNPD que:

a) Sejam abrangidos por qualquer das incapacidades ou incompatibilidades previstas na lei;

b) Faltem, no mesmo ano civil, a três reuniões consecutivas ou a seis interpoladas, salvo motivo justificado;

c) Cometam violação do disposto na alínea c) do artigo 8.º, desde que judicialmente declarada.

2 – A perda do mandato é objeto, conforme os casos, de deliberação ou declaração a publicar na 2.ª série

do Diário da República.

Artigo 8.º

Deveres

Constituem deveres dos membros da CNPD:

a) Exercer o respetivo cargo com isenção, rigor e independência;

b) Participar ativa e assiduamente nos trabalhos do órgão que integram;

c) Guardar sigilo sobre as questões ou processos que estejam a ser objeto de apreciação, nos termos

previstos no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 e na

Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.

Artigo 9.º

Estatuto remuneratório

1 – O presidente da CNPD é remunerado de acordo com a tabela indiciária e o regime fixados para o cargo

de diretor-geral, cabendo aos restantes membros uma remuneração igual a 85% daquela, sem prejuízo da

faculdade de opção pelas remunerações correspondentes ao lugar de origem.

2 – O presidente da CNPD tem direito a um abono mensal para despesas de representação de montante

igual ao atribuído aos diretores-gerais.

3 – Os restantes membros da CNPD têm direito a um abono mensal para despesas de representação de

montante igual ao atribuído aos subdiretores-gerais.

4 – Os membros da CNPD beneficiam do regime geral de segurança social, se não estiverem abrangidos

por outro mais favorável.

Artigo 10.º

Garantias

Os membros da CNPD beneficiam das seguintes garantias:

Página 108

II SÉRIE-A — NÚMERO 131

108

a) Não podem ser prejudicados na estabilidade do seu emprego, na sua carreira profissional e no regime

de segurança social de que beneficiem;

b) O período correspondente ao exercício do mandato considera-se, para todos os efeitos legais, como

prestado no lugar de origem;

c) O período de duração do mandato suspende, a requerimento do interessado, a contagem dos prazos

para a apresentação de relatórios curriculares ou prestação de provas para a carreira de docente de ensino

superior ou para a de investigação científica, bem como a contagem dos prazos dos contratos de professores

convidados, assistentes, assistentes estagiários ou convidados;

d) Têm direito a ser dispensados das suas atividades públicas ou privadas, quando se encontrem em

funções de representação nacional ou internacional da Comissão.

Artigo 11.º

Impedimentos e suspeições

1 – Aos impedimentos e suspeições são aplicáveis, com as devidas adaptações, as disposições do Código

do Procedimento Administrativo.

2 – Os impedimentos e suspeições são apreciados pela CNPD.

Artigo 12.º

Cartão de identificação

1 – Os membros da CNPD possuem cartão de identificação, dele constando o cargo as regalias e os

direitos inerentes à sua função.

2 – O cartão de identificação é simultaneamente de livre trânsito e de acesso a todos os locais em que

sejam tratados dados pessoais sujeitos ao controlo da CNPD.

CAPÍTULO III

Funcionamento da CNPD

Artigo 13.º

Reuniões

1 – A CNPD funciona com carácter permanente.

2 – A CNPD tem reuniões ordinárias e extraordinárias.

3 – As reuniões extraordinárias têm lugar:

a) Por iniciativa do presidente;

b) A pedido de três dos seus membros.

4 – As reuniões da CNPD não são públicas e realizam-se nas suas instalações ou, por sua deliberação, em

qualquer outro local do território nacional, sendo a periodicidade estabelecida nos termos adequados ao

desempenho das suas funções.

5 – O presidente, quando o entender conveniente, pode, com o acordo da Comissão, convidar a participar

nas reuniões, salvo na fase decisória, qualquer pessoa cuja presença seja considerada útil.

6 – Das reuniões é lavrada ata, que, depois de aprovada pela CNPD, é assinada pelo presidente e pelo

secretário.

Artigo 14.º

Ordem de trabalhos

1 – A ordem de trabalhos para cada reunião ordinária é fixada pelo presidente, devendo ser comunicada

Página 109

22 DE JULHO DE 2019

109

aos vogais com a antecedência mínima de dois dias úteis relativamente à data prevista para a sua realização.

2 – A ordem de trabalhos deve incluir os assuntos que para esse fim lhe forem indicados por qualquer

vogal, desde que sejam da competência do órgão e o pedido seja apresentado por escrito com uma

antecedência mínima de cinco dias sobre a data da reunião.

Artigo 15.º

Deliberações

1 – A CNPD só pode reunir e deliberar com a presença de pelo menos quatro membros.

2 – As deliberações da CNPD são tomadas por maioria dos membros presentes, tendo o presidente voto

de qualidade.

3 – (Revogado).

Artigo 16.º

Publicidade

1 – São publicados no sítio da Internet da CNPD as deliberações relativas a:

a) Acreditação e certificação;

b) Revogação e anulação de acreditação e de certificação;

c) Códigos de conduta;

d) Autorizações;

e) Regras vinculativas.

2 – São ainda publicados naquele sítio os regulamentos e os pareceres sobre disposições legais e

regulamentares e instrumentos jurídicos em preparação em instituições da União Europeia e internacionais,

bem como as orientações e recomendações genéricas.

3 – São publicados na 2.ª série do Diário da República os regulamentos administrativos, incluindo os

relativos à fixação de taxas e os emitidos ao abrigo do disposto no n.º 3 do artigo 22.º.

Artigo 17.º

Denúncias e participações

1 – As denúncias e participações são apresentadas por escrito, em local específico para o efeito no sítio da

CNPD, sem prejuízo de, excecionalmente, desde que devidamente fundamentado, se admitir a sua

apresentação por correio eletrónico ou correio postal, podendo ser exigida a confirmação da identidade dos

seus autores.

2 – (Revogado).

3 – Quando a questão suscitada não for da competência da CNPD, deve a mesma ser encaminhada para a

entidade competente, com informação ao exponente.

4 – As reclamações, queixas e petições manifestamente infundadas podem ser arquivadas pelo membro da

Comissão a quem o respetivo processo tenha sido distribuído.

Artigo 18.º

Formalidades

1 – Os documentos dirigidos à CNPD e o processado subsequente não estão sujeitos a formalidades

especiais.

2 – A CNPD pode aprovar modelos ou formulários, em suporte eletrónico, com vista a permitir melhor

instrução dos processos.

3 – (Revogado).

Página 110

II SÉRIE-A — NÚMERO 131

110

4 – Os pedidos de parecer sobre disposições legais e regulamentares em preparação devem ser remetidos

à CNPD pelo titular do órgão com poder legiferante ou regulamentar, instruídos com o respetivo estudo de

impacto sobre a proteção de dados pessoais.

5 – Os pedidos de parecer sobre quaisquer outros instrumentos jurídicos da União Europeia ou

internacionais em preparação, relativos ao tratamento de dados pessoais, devem ser remetidos à CNPD pela

entidade que representa o Estado português no processo de elaboração da iniciativa, devidamente instruídos.

Artigo 19.º

Competências e substituição do presidente

1 – Compete ao presidente:

a) Representar a Comissão;

b) Superintender nos serviços de apoio;

c) Convocar as sessões e fixar a ordem de trabalhos;

d) Ouvida a Comissão, nomear o pessoal do mapa e autorizar transferências, requisições e

destacamentos;

e) Ouvida a Comissão, autorizar a contratação do pessoal referido no n.º 5 do artigo 30.º;

f) Outorgar contratos em nome da Comissão e obrigá-la nos demais negócios jurídicos;

g) Autorizar a realização de despesas dentro dos limites legalmente compreendidos na competência dos

ministros;

h) Aplicar coimas e homologar deliberações, nos termos previstos na lei;

i) Ouvida a Comissão, fixar as regras de distribuição dos processos;

j) Submeter à aprovação da Comissão o plano de atividades;

l) Em geral, assegurar o cumprimento das leis e a regularidade das deliberações.

2 – O presidente é substituído, nas suas faltas e impedimentos, pelo vogal que a Comissão designar.

Artigo 19.º-A

Fiscal único

1 – O fiscal único é o órgão responsável pelo controlo da legalidade, da regularidade e da boa gestão

financeira e patrimonial da CNPD, e de consulta por esta nesse domínio.

2 – O fiscal único é um revisor oficial de contas, designado pela Assembleia da República, por resolução, e

que toma posse perante o Presidente da Assembleia da República.

3 – O mandato do fiscal único tem a duração de cinco anos, não renovável, permanecendo em exercício de

funções até à efetiva substituição.

4 – O fiscal único é remunerado por valor correspondente a 25% da remuneração base auferida pelos

membros da CNPD.

5 – Compete, designadamente, ao fiscal único:

a) Acompanhar e controlar a gestão financeira e patrimonial da CNPD;

b) Examinar periodicamente a situação financeira e económica da CNPD e verificar o cumprimento das

normas reguladoras da sua atividade;

c) Emitir parecer prévio no prazo máximo de 10 dias sobre a aquisição, oneração, arrendamento e

alienação de bens móveis;

d) Emitir parecer sobre qualquer assunto que lhe seja submetido pela CNPD;

e) Participar às entidades competentes as irregularidades que detete.

Página 111

22 DE JULHO DE 2019

111

CAPÍTULO IV

Regime financeiro

Artigo 20.º

Regime de receitas e despesas

1 – As receitas e despesas da CNPD, que goza de autonomia administrativa e financeira, constam de

orçamento anual.

2 – Além das dotações que lhe forem atribuídas no orçamento da Assembleia da República, nos termos da

Lei n.º 59/90, de 21 de novembro, constituem receitas da CNPD:

a) O produto das taxas cobradas;

b) O produto da venda de publicações;

c) O produto dos encargos da passagem de certidões e acesso a documentos;

d) O montante das coimas cobradas que, nos termos previstos na lei, revertam a seu favor;

e) O saldo de gerência do ano anterior;

f) Os subsídios, subvenções, comparticipações, doações e legados, concedidos por entidades, públicas e

privadas, nacionais, estrangeiras, da União Europeia ou internacionais;

g) Quaisquer outras receitas que lhe sejam atribuídas por lei ou contrato.

3 – Constituem despesas da CNPD as que resultem dos encargos e responsabilidades decorrentes do seu

funcionamento, bem como quaisquer outras relativas à prossecução das suas atribuições.

4 – O orçamento anual, as respetivas alterações bem como as contas são aprovados pela CNPD.

5 – As contas da CNPD ficam sujeitas, nos termos gerais, ao controlo do Tribunal de Contas.

6 – A gestão do orçamento da CNPD, incluindo as dotações não integradas no orçamento da Assembleia

da República, fica sujeita ao regime deste último, sendo igualmente aplicável o regime previsto no n.º 10 do

artigo 60.º da Lei n.º 71/2018, de 31 de dezembro.

Artigo 21.º

Taxas

1 – A CNPD pode cobrar taxas:

a) Pela acreditação e certificação;

b) Pela consulta prévia;

c) Pela emissão de autorizações;

d) Pela apreciação de códigos de conduta;

e) Nos demais casos previstos por lei.

2 – O montante das taxas, que deve ser proporcional à complexidade do pedido e ao serviço prestado, é

fixado em regulamento pela CNPD.

3 – Em caso de comprovada insuficiência económica, o interessado poderá ficar isento, total ou

parcialmente, do pagamento das taxas referidas no n.º 1, mediante deliberação da CNPD.

CAPÍTULO V

Serviços de apoio

Artigo 22.º

Organização dos serviços de apoio

1 – A CNPD dispõe de serviços de apoio próprios que compreendem unidades e núcleos.

Página 112

II SÉRIE-A — NÚMERO 131

112

2 – Os serviços de apoio são constituídos pelas seguintes unidades:

a) Unidade de Direitos e Sanções;

b) Unidade de Inspeção;

c) Unidade de Relações Públicas e Internacionais;

d) Unidade de Informática;

e) Unidade de Apoio Administrativo e Financeiro.

3 – Compete à CNPD aprovar o regulamento de organização e funcionamento dos serviços de apoio, bem

como o regulamento de avaliação dos trabalhadores.

4 – Os serviços de apoio são dirigidos por um secretário, o qual tem direito à remuneração mais elevada de

consultor-coordenador, bem como a um abono mensal para despesas de representação no valor de 8% da

remuneração base.

5 – O secretário é nomeado por despacho do presidente, obtido parecer favorável da Comissão, com

observância dos requisitos legais adequados ao desempenho das respetivas funções, escolhido

preferencialmente de entre funcionários já pertencentes ao mapa da CNPD, habilitados com licenciatura e de

reconhecida competência para o desempenho do lugar.

6 – A nomeação do secretário é feita em regime de comissão de serviço, por períodos de três anos.

Artigo 23.º

Competências do secretário

1 – Compete ao secretário:

a) Secretariar a Comissão;

b) Dar execução às decisões da Comissão, de acordo com as orientações do presidente;

c) Assegurar a boa organização e funcionamento dos serviços de apoio, nomeadamente no tocante à

gestão financeira, do pessoal e das instalações e equipamento, de acordo com as orientações do presidente;

d) Elaborar o projeto de orçamento, bem como as respetivas alterações, e assegurar a sua execução;

e) Elaborar o projeto de relatório anual.

2 – O secretário é substituído, nas suas faltas e impedimentos, pelo técnico superior ou consultor

designado pelo presidente, obtido parecer favorável da Comissão.

Artigo 24.º

Unidade de Direitos e Sanções

Compete à Unidade de Direitos e Sanções assegurar o apoio técnico-jurídico, designadamente:

a) Instruir os processos de contraordenação, bem como outros processos abertos com base em

participações ou denúncias;

b) Preparar as peças processuais e representar a CNPD em processos judiciais, quando mandatados para

o efeito;

c) Preparar pareceres sobre projetos legislativos e regulamentares e sobre instrumentos jurídicos em

preparação em instituições da União Europeia e internacionais;

d) Analisar e preparar orientações sobre estudos de avaliação do impacto sobre a proteção de dados;

e) Instruir e propor decisões sobre processos de autorização prévia nos casos previstos em lei;

f) Instruir e propor decisões sobre processos de acreditação e de revisão de acreditação e certificações;

g) Analisar e preparar decisões em processos de notificação de violações de dados pessoais;

h) Analisar e preparar decisões sobre códigos de conduta;

i) Interagir com encarregados de proteção de dados;

j) Colaborar na organização de colóquios, seminários e outras iniciativas de difusão de matérias de

Página 113

22 DE JULHO DE 2019

113

proteção de dados pessoais;

k) Instruir e propor decisões relativas ao exercício de direitos pelos titulares dos dados pessoais;

l) Desempenhar quaisquer outras tarefas de âmbito técnico-jurídico.

Artigo 24.º-A

Unidade de Inspeção

Compete à Unidade de Inspeção realizar inspeções e auditorias no âmbito dos processos em curso, com

mandato do presidente da CNPD, em especial:

a) Fiscalizar a conformidade do tratamento de dados pessoais, podendo para tal aceder às instalações do

responsável e do subcontratante, aos equipamentos, aos meios de tratamento de dados, bem como a toda a

documentação que se revele necessária;

b) Investigar, no âmbito da assistência mútua e das operações conjuntas previstas nos artigos 61.º e 62.º

do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, os tratamentos de

dados pessoais, nas condições previstas na alínea anterior;

c) Realizar as auditorias da parte nacional dos sistemas de informação europeus, nos termos da legislação

da União Europeia.»

Artigo 25.º

Unidade de Relações Públicas e Internacionais

Compete à Unidade de Relações Públicas e Internacionais assegurar o apoio em matéria de informação,

documentação e relações públicas e na interação com autoridades europeias e internacionais,

designadamente:

a) Gerir os conteúdos do sítio da Internet e da Intranet da CNPD;

b) Organizar e manter atualizado um centro de documentação com a função de recolher bibliografia,

documentação, textos, diplomas legais, atos normativos e administrativos e demais elementos de informação

científica e técnica relacionada com a proteção de dados pessoais;

c) Promover a divulgação e o esclarecimento de direitos e obrigações relativos à proteção de dados

pessoais;

d) Assegurar os contactos com os órgãos de comunicação social;

e) Organizar, assessorar e dinamizar a realização de colóquios, seminários e outros eventos;

f) Colaborar na conceção e edição de publicações, bem como no relatório anual de atividades;

g) Desempenhar quaisquer outras tarefas, no âmbito da informação e comunicação;

h) Gerir as relações institucionais com organizações da União Europeia ou internacionais em matéria de

proteção de dados pessoais;

i) Assegurar as relações com as autoridades de controlo congéneres, em especial no âmbito das

competências do Comité Europeu para a Proteção de Dados;

j) Instruir e preparar decisões nos procedimentos de cooperação e coerência;

k) Instruir e preparar decisões quanto a transferências internacionais de dados pessoais.

Artigo 26.º

Unidade de Informática

1 – Compete à Unidade de Informática garantir o normal funcionamento das infraestruturas de informação e

comunicação da CNPD e o apoio técnico necessário na área das tecnologias de informação, nomeadamente:

a) Assegurar a gestão integrada e a manutenção do parque informático da CNPD e do respetivo sistema

de comunicações;

b) Assegurar o correto funcionamento da rede informática e dos sistemas de informação da CNPD;

c) Proceder aos estudos técnicos necessários à aquisição de material informático e de comunicação;

Página 114

II SÉRIE-A — NÚMERO 131

114

d) Assegurar o apoio aos utilizadores dos sistemas de informação e comunicação, bem como fomentar

junto dos mesmos boas práticas para uma utilização segura e adequada desses sistemas;

e) Assegurar a aplicação de normas de segurança que garantam a fiabilidade, confidencialidade e

durabilidade dos sistemas de informação;

f) Conceber a arquitetura global do sistema de informação da CNPD;

g) Desenhar, desenvolver e operacionalizar as aplicações e as interfaces necessárias ao exercício da

atividade da CNPD;

h) Desenhar, desenvolver e operacionalizar o sítio da Internet da CNPD;

i) Efetuar estudos sobre novas tecnologias com impacto no tratamento de dados pessoais.

Artigo 27.º

Unidade de Apoio Administrativo e Financeiro

Compete à Unidade de Apoio Administrativo e Financeiro apoiar a CNPD na gestão dos processos e dos

recursos humanos, financeiros e materiais, designadamente:

a) Preparar as propostas de orçamento e acompanhar a sua execução;

b) Assegurar o processamento e a contabilização das receitas e das despesas;

c) Elaborar a conta de gerência e o respetivo relatório;

d) Promover as aquisições de bens e serviços;

e) Administrar os bens de consumo, bem como gerir as instalações, viaturas e demais equipamentos ao

serviço da CNPD;

f) Elaborar e manter atualizado o inventário geral;

g) Promover o recrutamento, promoção e a contratação de trabalhadores, bem como a aplicação dos

instrumentos de mobilidade;

h) Processar os vencimentos dos trabalhadores, dos membros da CNPD e do fiscal único;

i) Organizar e manter atualizada a informação relativa aos trabalhadores, aos membros da CNPD e ao

fiscal único;

j) Promover a formação dos trabalhadores;

k) Promover a execução da avaliação dos trabalhadores;

l) Instruir e propor decisão em processos disciplinares;

m) Secretariar o presidente e o secretário;

n) Assegurar o registo e encaminhamento da correspondência, bem como a organização e arquivo de

documentos;

o) Assegurar o atendimento externo e o apoio a reuniões;

p) Assegurar a condução de viaturas e a sua manutenção e receber e entregar expediente e encomendas;

q) Desempenhar quaisquer outras tarefas que, no contexto da sua área funcional, sejam determinadas

pelo presidente ou pelo secretário.

Artigo 28.º

Regime de pessoal

1 – Aos trabalhadores da CNPD aplica-se o regime geral do trabalho em funções públicas.

2 – O pessoal da CNPD está isento de horário de trabalho, não sendo por isso devida qualquer

remuneração a título de horas extraordinárias, sem prejuízo do disposto no artigo 33.º.

Artigo 29.º

Cartão de identificação

Os trabalhadores da CNPD possuem cartão de identificação, dele constando o cargo desempenhado e os

poderes inerentes à sua função.

Página 115

22 DE JULHO DE 2019

115

CAPÍTULO VI

Disposições finais e transitórias

Artigo 30.º

Quadro de pessoal

1 – O quadro de pessoal, bem como o conteúdo funcional das respetivas carreiras, é fixado em resolução

da Assembleia da República.

2 – Os lugares de consultor da CNPD serão providos em regime de comissão de serviço, por tempo

indeterminado, requisição ou destacamento, no caso da nomeação recair em funcionário público, ou em

regime de contrato individual de trabalho, quando não vinculados à Administração Pública.

3 – São condições indispensáveis ao recrutamento de consultor a elevada competência profissional e

experiência válida para o exercício da função, a avaliar com base nos respetivos curricula.

4 – O prazo previsto no n.º 1 do artigo 97.º da Lei Geral do Trabalho em Funções Públicas, aprovada em

anexo à Lei n.º 35/2014, de 20 de junho, não é aplicável ao regime de mobilidade para os serviços de apoio à

CNPD, podendo, porém, a mobilidade ser dada por finda por decisão do presidente, ouvida a Comissão, ou a

pedido do interessado.

5 – Quando a complexidade e ou especificidade dos assuntos o exigir pode o presidente autorizar a

contratação de pessoal em regime de contrato de prestação de serviços.

6 – Para o desempenho de funções nos serviços de apoio da CNPD no âmbito dos mecanismos de

mobilidade, e sempre que se opere por iniciativa do trabalhador, é dispensado o acordo do serviço de origem.

Artigo 31.º

Trabalhadores em funções públicas

A nomeação em comissão de serviço de trabalhadores em funções públicas para o cargo de consultor não

determina a abertura de vaga no mapa de origem, ficando salvaguardados todos os direitos inerentes aos

seus anteriores cargos ou funções, designadamente para efeitos de promoção ou progressão.

Artigo 32.º

Remuneração base, recrutamento, promoção e progressão dos consultores

1 – A remuneração base mensal dos consultores da CNPD consta do mapa I anexo a esta lei, de que faz

parte integrante.

2 – A promoção e progressão nas categorias de consultor-coordenador e consultor rege-se pelos princípios

aplicáveis à carreira técnica superior.

3 – Pode haver lugar a recrutamento direto para a categoria de consultor-coordenador, desde que os

candidatos possuam adequada qualificação e experiência profissional para o efeito.

4 – Podem ser recrutados como consultores-adjuntos indivíduos licenciados com qualificações para o

exercício da função, sempre que não se justifique o recrutamento na categoria de consultor.

Artigo 33.º

Disponibilidade permanente

1 – O pessoal da CNPD tem direito a um suplemento remuneratório, a título de disponibilidade permanente,

de montante mensal correspondente a 12,5% da remuneração base.

2 – O suplemento é abonado em 12 mensalidades e releva para efeitos de aposentação, sendo

considerado no cálculo da pensão pela fórmula prevista na alínea b) do n.º 1 do artigo 47.º do Estatuto da

Aposentação.

3 – Ao pessoal da CNPD abrangido pelos n.os 1, 2, 7 e 9 do artigo 34.º não é atribuído o suplemento

referido nos números anteriores.

Página 116

II SÉRIE-A — NÚMERO 131

116

Artigo 34.º

Pessoal atualmente ao serviço da CNPD

1 – Os funcionários e agentes que prestam atualmente serviço na CNPD e que beneficiam do regime do n.º

3 do artigo 26.º da Lei n.º 67/98, de 26 de outubro, transitam para o novo quadro de acordo com as regras dos

números seguintes, mantendo o seu atual estatuto remuneratório, que passa a ter a natureza de remuneração

pessoal.

2 – Ao pessoal da CNPD, não vinculado à Administração Pública, que se encontre na situação do número

anterior aplica-se idêntico regime remuneratório, sendo porém a sua relação jurídica de emprego a do contrato

individual de trabalho, ao abrigo da lei geral aplicável à Administração Pública.

3 – Os lugares da carreira técnica superior e especialista de informática previstos no quadro de pessoal,

para garantir a transição prevista nos n.os 1 e 2, são lugares a extinguir quando vagarem.

4 – Os funcionários vinculados à Administração Pública a prestar serviço na CNPD à data da entrada em

vigor da presente lei transitam para o novo quadro, mediante deliberação daquela, para a carreira e categoria

que integre as funções que o funcionário efetivamente desempenhe, sem prejuízo das habilitações e

qualificações legalmente exigidas, em escalão a que corresponda o mesmo índice remuneratório, ou, quando

não houver coincidência de índice, em escalão a que corresponda o índice superior mais aproximado na

estrutura da carreira para que se processe a transição.

5 – A correspondência referida no número anterior fixa-se entre os índices remuneratórios definidos para o

escalão 1 da categoria em que o funcionário se encontra e o escalão 1 da categoria da nova carreira.

6 – Aos funcionários que, nos termos do n.º 1, transitem para categoria diversa será contado, nesta última,

para todos os efeitos legais, o tempo de serviço prestado na anterior, desde que no exercício de funções

idênticas ou semelhantes às da nova carreira.

7 – O disposto no n.º 1 aplica-se igualmente ao atual secretário, com as necessárias adaptações

decorrentes do regime de exercício de funções.

8 – A transição para os lugares do quadro da CNPD faz-se por despacho do presidente,

independentemente de quaisquer outras formalidades, sem prejuízo do disposto no n.º 1.

9 – A CNPD pode deliberar manter as comissões, requisições ou destacamentos do pessoal ao seu serviço

à data da entrada em vigor da presente lei, mantendo os funcionários que beneficiem do n.º 3 do artigo 26.º da

Lei n.º 67/98 o seu atual estatuto remuneratório, que passa a ter natureza de remuneração pessoal.

Artigo 35.º

Norma transitória

1 – A suspensão da comissão de serviço do presidente da CNPD mantém-se até ao termo do seu

mandato.

2 – A aplicação da presente lei no corrente ano faz-se no quadro orçamental aprovado para a CNPD em

2004.

Artigo 36.º

Norma revogatória

São revogados:

a) O Decreto-Lei n.º 121/93, de 16 de abril;

b) A Resolução da Assembleia da República n.º 53/94, de 19 de agosto.

Página 117

22 DE JULHO DE 2019

117

ANEXO

MAPA I

(a que se refere o n.º 1 do artigo 32.º)

1 2 3

Consultor-coordenador . . . . . . . . . . . . . . . . . . . 770 830 900

Consultor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 690 730 770

Consultor-adjunto . . . . . . . . . . . . . . . . . . . . . . . 500

A DIVISÃO DE REDAÇÃO.

Páginas Relacionadas
Página 0081:
22 DE JULHO DE 2019 81 Artigo 10.º Entrada em vigor A presente
Página 0082:
II SÉRIE-A — NÚMERO 131 82 responsabilidade do Sistema de Informações
Página 0083:
22 DE JULHO DE 2019 83 e) Cooperar com o Instituto Português de Acreditação, I.P. (
Página 0084:
II SÉRIE-A — NÚMERO 131 84 estão obrigados a um dever de confidencial
Página 0085:
22 DE JULHO DE 2019 85 Artigo 13.º Encarregados de proteção de dados
Página 0086:
II SÉRIE-A — NÚMERO 131 86 Artigo 17.º Proteção de dados pesso
Página 0087:
22 DE JULHO DE 2019 87 2 – O titular dos dados pode solicitar à CNPD a emissão de p
Página 0088:
II SÉRIE-A — NÚMERO 131 88 fins de expressão académica, artística ou
Página 0089:
22 DE JULHO DE 2019 89 a) Se do tratamento resultar uma vantagem jurídica ou
Página 0090:
II SÉRIE-A — NÚMERO 131 90 2 - As bases de dados de saúde ou registos
Página 0091:
22 DE JULHO DE 2019 91 Artigo 34.º Tutela jurisdicional 1 - Qu
Página 0092:
II SÉRIE-A — NÚMERO 131 92 seguintes circunstâncias: i)
Página 0093:
22 DE JULHO DE 2019 93 do artigo 41.º do RGPD; s) A utilização de selos ou m
Página 0094:
II SÉRIE-A — NÚMERO 131 94 Artigo 42.º Destino das coimas
Página 0095:
22 DE JULHO DE 2019 95 Artigo 48.º Desvio de dados 1 - Quem co
Página 0096:
II SÉRIE-A — NÚMERO 131 96 Artigo 52.º Desobediência
Página 0097:
22 DE JULHO DE 2019 97 CAPÍTULO VIII Disposições finais e transitórias <
Página 0098:
II SÉRIE-A — NÚMERO 131 98 2 - Todas as normas que prevejam autoriza
Página 0099:
22 DE JULHO DE 2019 99 a) .........................................................
Página 0100:
II SÉRIE-A — NÚMERO 131 100 a) ......................................
Página 0101:
22 DE JULHO DE 2019 101 Artigo 22.º [...] 1 – A CNPD di
Página 0102:
II SÉRIE-A — NÚMERO 131 102 b) Organizar e manter atualizado um centr
Página 0103:
22 DE JULHO DE 2019 103 i) Organizar e manter atualizada a informação relativa aos
Página 0104:
II SÉRIE-A — NÚMERO 131 104 «Artigo 19.º-A Fiscal único
Página 0105:
22 DE JULHO DE 2019 105 9 – Sem prejuízo das ponderações previstas nos números ante
Página 0106:
II SÉRIE-A — NÚMERO 131 106 poderes de autoridade, dotada de autonomi
Página 0107:
22 DE JULHO DE 2019 107 2 – No caso de vacatura por um dos motivos previstos no núm
Página 0108:
II SÉRIE-A — NÚMERO 131 108 a) Não podem ser prejudicados na estabili
Página 0109:
22 DE JULHO DE 2019 109 aos vogais com a antecedência mínima de dois dias úteis rel
Página 0110:
II SÉRIE-A — NÚMERO 131 110 4 – Os pedidos de parecer sobre disposiçõ
Página 0111:
22 DE JULHO DE 2019 111 CAPÍTULO IV Regime financeiro Artigo 2
Página 0112:
II SÉRIE-A — NÚMERO 131 112 2 – Os serviços de apoio são constituídos
Página 0113:
22 DE JULHO DE 2019 113 proteção de dados pessoais; k) Instruir e propor dec
Página 0114:
II SÉRIE-A — NÚMERO 131 114 d) Assegurar o apoio aos utilizadores dos
Página 0115:
22 DE JULHO DE 2019 115 CAPÍTULO VI Disposições finais e transitórias
Página 0116:
II SÉRIE-A — NÚMERO 131 116 Artigo 34.º Pessoal atualme
Página 0117:
22 DE JULHO DE 2019 117 ANEXO MAPA I (a que se refere o n.º 1

Descarregar páginas

Página Inicial Inválida
Página Final Inválida

×