1082

II SÉRIE-A — NÚMERO 47

A proposta prevê ainda que a Comissão Nacional de Protecção de Dados deva ser consultada sobre quaisquer disposições legais, bem como sobre instrumentos jurídicos em preparação em instituições comunitárias ou internacionais, relativos ao tratamento de dados pessoais. Sendo certo que a presente proposta de lei admite que certos tratamentos possam ser autorizados por via dc diploma legal, parece adequado que se procure também a nível nacional a garantia de que tal legislação respeita os princípios gerais da protecção de dados e os princípios específicos aplicáveis ao sector regulamentado, como de resto é exigido pela directiva.

A directiva deixa alguma discricionariedade aos Estados membros no sentido de determinarem quais os tratamentos de dados pessoais que devam ser notificados às autoridades de controlo ou mesmo isentos dessa notificação. Considera, todavia, que devem ficar sujeitos a autorização prévia os dados cujo tratamento possa implicar riscos específicos para os direitos e liberdades das pessoas.

A presente proposta de lei opta, dentro da margem de escolha consentido pela directiva, por uma aproximação pragmática, deixando à Comissão Nacional de Protecção de Dados a definição dos casos em que a isenção ou simplificação da notificação possa ser autorizada, tendo em conta a experiência que vá sendo conseguido. As autorizações para a simplificação ou isenção da notificação devem, nos termos da proposta, ficar sujeitas a publicação no Diário da República, especificando as finalidades do tratamento, os dados ou categorias de dados a tratar, a categoria ou categorias de titulares dos dados, os destinatários ou categorias dos destinatários a quem podem ser comunicados os dados e o período de conservação dos dados.

Por sua vez, entende-se que devem carecer de autorização da Comissão Nacional de Protecção de Dados:

O tratamento de dados sensíveis, nos casos em que tal tratamento é excepcionalmente permitido;

O tratamento de dados que revelem a situação patrimonial e financeira ou a solvabilidade dos seus titulares, uma vez que esse tratamento pode implicar, de facto, riscos específicos para os indivíduos;

A interconexão de dados pessoais.

Estabelece-se ainda que o tratamento dos dados acima referidos, quando for autorizado por diploma legal, seja submetido a prévio parecer da Comissão Nacional de Protecção de Dados, como resulta da directiva.

8 — Recursos, responsabilidade civil e sanções

A criminalização da omissão ou cumprimento defeituoso de disposições da protecção de dados, como se prevê na Lei n.° 10/91, revelou-se excessiva e motivadora da dificuldade de actuação em muitos desses casos. Entende-se, por isso, que seria não só mais realista, mas, sobretudo, dinamizador do cumprimento da lei o considerar, em regra, como contra-ordenações as omissões ou comportamentos meramente negligentes e incriminar apenas as condutas intencionais de omissão ou não cumprimento em termos similares aos previstos na Lei n.° 10/91.

Assim, nos termos do artigo 197.°, n.° í, alínea d), da Constituição, o Governo apresenta a Assembleia da República a seguinte proposta de lei:

CAPÍTULO I Disposições gerais

Artigo 1.° Princípio geral

O tratamento de dados pessoais deve processar-se de

forma transparenie e no estrito respeito pela reserva da vida privada, bem como pelos direitos, liberdades e garantias fundamentais do cidadão.

Artigo 2." Definições

Para efeitos da presente lei, entende-se por:

a) «Dados pessoais» qualquer informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável a pessoa que possa ser identificada directa ou indirectamente, designadamente por referência a um' número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social;

b) «Tratamento de dados pessoais» («tratamento») qualquer operação ou conjunto de operações sobre dados pessoais, efectuadas com ou sem meios automatizados, tais como a recolha, o registo, a organização, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a comunicação por transmissão, por difusão ou por qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição;

c) «Ficheiro de dados pessoais» («ficheiro») qualquer conjunto estruturado de dados pessoais, acessível segundo critérios determinados, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;

d). «Responsável pelo tratamento» a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais; sempre que as finalidades e os meios do tratamento sejam determinadas por disposições legislativas ou regulamentares, o responsável pelo tratamento deve ser indicado na lei orgânica ou no estatuto da entidade legal ou estatutariamente competente para tratar os dados pessoais em causa;

e) «Subcontratante» a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que trate os dados pessoais por conta do responsável pelo tratamento;

f) «Terceiro» a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que, não sendo o titular dos dados, o responsável pelo tratamento, o subcontratante ou outra pessoa sob autoridade directa do responsável pelo tratamento ou do subcontratante, esteja habilitado a tratar os dados;