Página 1
Segunda-feira, 26 de março de 2018 II Série-A — Número 89
XIII LEGISLATURA 3.ª SESSÃO LEGISLATIVA (2017-2018)
S U M Á R I O
Decreto da Assembleia da República n.º 195/XIII: (a) Segunda alteração à Lei n.º 43/2006, de 25 de agosto, relativa ao acompanhamento, apreciação e pronúncia pela Assembleia da República no âmbito do processo de construção da União Europeia. Resoluções:
— Recomenda ao Governo a reabertura do serviço ferroviário de passageiros entre Leixões e Ermesinde e a sua ligação a Campanhã.
— Recomenda ao Governo a criação de um serviço de atendimento permanente no Hospital Nossa Senhora da Ajuda, em Espinho.
— Recomenda ao Governo a reabertura do serviço de urgência no Hospital Nossa Senhora da Ajuda, em Espinho.
— Recomenda ao Governo que inclua os concelhos de Oleiros, Vila de Rei, Vila Velha de Ródão, Castelo Branco e Proença-a-Nova no projeto-piloto de ordenamento florestal.
— Recomenda ao Governo a abertura de concurso para contratação de médicos especialistas até 30 dias após a conclusão do internato médico.
— Recomenda ao Governo que crie uma estrutura com vista à promoção e proteção dos direitos das pessoas idosas.
— Recomenda ao Governo o reforço da fiscalização aos lares de idosos para garantir a dignidade dos utentes.
— Recomenda ao Governo que tome medidas para garantir que as faltas ao trabalho dadas pelos acompanhantes de grávidas nas deslocações inter-ilhas dos Açores sejam consideradas justificadas.
— Recomenda ao Governo medidas para a promoção do
envelhecimento com direitos.
— Recomenda a suspensão imediata das ações de despejo nas casas de função da Guarda Nacional Republicana em Alcântara.
— Recomenda ao Governo a avaliação do cumprimento do direito dos utentes ao acompanhamento nas instituições do Serviço Nacional de Saúde.
— Recomenda ao Governo a efetiva aplicação da Lei n.º 57/2017, de 19 de julho, a todos os bolseiros de gestão de ciência e tecnologia.
— Deslocações do Presidente da República a França, ao Egito e a Espanha. Propostas de lei [n.os 118 a 120/XIII (3.ª)]:
N.º 118/XIII (3.ª) — Autoriza o Governo a criar e a regular a emissão e utilização do cartão de identidade de agentes diplomáticos e consulares.
N.º 119/XIII (3.ª) — Estabelece o regime jurídico da segurança do Ciberespaço, transpondo a Diretiva (UE) 2016/1148.
N.º 120/XIII (3.ª) — Assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Projeto de resolução n.º 1451/XIII (3.ª): Em defesa da Escola Secundária de Rebordosa, no concelho de Paredes (BE). (a) É publicado em Suplemento.
Página 2
II SÉRIE-A — NÚMERO 89
2
RESOLUÇÃO
RECOMENDA AO GOVERNO A REABERTURA DO SERVIÇO FERROVIÁRIO DE PASSAGEIROS
ENTRE LEIXÕES E ERMESINDE E A SUA LIGAÇÃO A CAMPANHÃ
A Assembleia da República resolve, nos termos do n.º 5 do artigo 166.º da Constituição, recomendar ao
Governo que:
1- No contexto do plano nacional de desenvolvimento da rede ferroviária nacional em curso, proceda à
reabertura do serviço ferroviário de passageiros entre Leixões e Ermesinde e entre Leixões e Campanhã.
2- Neste processo, articule com os municípios abrangidos pela linha de Leixões os investimentos
necessários para a construção ou reparação das estações ou apeadeiros necessários ao funcionamento da
linha em toda a sua extensão e consensualize o mapa das necessidades ao nível das correções e inserções
viárias das passagens de nível.
Aprovada em 26 de janeiro de 2018.
O Vice-Presidente da Assembleia da República (em substituição do Presidente da Assembleia da República),
Jorge Lacão.
———
RESOLUÇÃO
RECOMENDA AO GOVERNO A CRIAÇÃO DE UM SERVIÇO DE ATENDIMENTO PERMANENTE NO
HOSPITAL NOSSA SENHORA DA AJUDA, EM ESPINHO
A Assembleia da República resolve, nos termos do n.º 5 do artigo 166.º da Constituição, recomendar ao
Governo:
1- A criação de um serviço de atendimento permanente no Hospital Nossa Senhora da Ajuda, em Espinho,
através da consulta aberta não programada, como forma de resposta imediata a doentes menos urgentes,
evitando o seu encaminhamento automático para o Hospital Eduardo Santos Silva, em Vila Nova de Gaia.
2- A relocalização do pórtico da autoestrada A29, como forma de garantir igualdade no acesso de toda a
população de Espinho a cuidados de saúde básicos no hospital da sua área de residência.
Aprovada em 26 de janeiro de 2018.
O Vice-Presidente da Assembleia da República (em substituição do Presidente da Assembleia da República),
Jorge Lacão.
———
Página 3
26 DE MARÇO DE 2018
3
RESOLUÇÃO
RECOMENDA AO GOVERNO A REABERTURA DO SERVIÇO DE URGÊNCIA NO HOSPITAL NOSSA
SENHORA DA AJUDA, EM ESPINHO
A Assembleia da República resolve, nos termos do n.º 5 do artigo 166.º da Constituição, recomendar ao
Governo a reabertura do serviço de urgência básica no Hospital Nossa Senhora da Ajuda, em Espinho,
calendarizando as medidas necessárias.
Aprovada em 26 de janeiro de 2018.
O Vice-Presidente da Assembleia da República (em substituição do Presidente da Assembleia da República),
Jorge Lacão.
———
RESOLUÇÃO
RECOMENDA AO GOVERNO QUE INCLUA OS CONCELHOS DE OLEIROS, VILA DE REI, VILA
VELHA DE RÓDÃO, CASTELO BRANCO E PROENÇA-A-NOVA NO PROJETO-PILOTO DE
ORDENAMENTO FLORESTAL
A Assembleia da República resolve, nos termos do n.º 5 do artigo 166.º da Constituição, recomendar ao
Governo que, na sequência dos incêndios florestais de junho e julho de 2017, proceda à inclusão dos concelhos
de Oleiros, Vila de Rei, Vila Velha de Ródão, Castelo Branco e Proença-a-Nova no projeto-piloto de ordenamento
florestal previsto para o Pinhal Interior, atribuindo-lhes igualmente a possibilidade de beneficiarem de apoios
para a arborização e rearborização dos seus territórios.
Aprovada em 9 de fevereiro de 2018.
O Vice-Presidente da Assembleia da República (em substituição do Presidente da Assembleia da República),
Jorge Lacão.
———
RESOLUÇÃO
RECOMENDA AO GOVERNO A ABERTURA DE CONCURSO PARA CONTRATAÇÃO DE MÉDICOS
ESPECIALISTAS ATÉ 30 DIAS APÓS A CONCLUSÃO DO INTERNATO MÉDICO
A Assembleia da República resolve, nos termos do n.º 5 do artigo 166.º da Constituição, recomendar ao
Governo que abra, obrigatoriamente, procedimento concursal com vista à contratação de médicos especialistas
até 30 dias após a conclusão de cada época de avaliação final normal e especial.
Página 4
II SÉRIE-A — NÚMERO 89
4
Aprovada em 9 de fevereiro de 2018.
O Vice-Presidente da Assembleia da República (em substituição do Presidente da Assembleia da República),
Jorge Lacão.
———
RESOLUÇÃO
RECOMENDA AO GOVERNO QUE CRIE UMA ESTRUTURA COM VISTA À PROMOÇÃO E PROTEÇÃO
DOS DIREITOS DAS PESSOAS IDOSAS
A Assembleia da República resolve, nos termos do n.º 5 do artigo 166.º da Constituição, recomendar ao
Governo que crie uma estrutura, ou dote uma já existente das capacidades, recursos e competências
necessárias para dar uma resposta integrada e transversal às pessoas em situação de risco ou de
vulnerabilidade, designadamente em matéria de promoção e proteção dos direitos das pessoas idosas.
Aprovada em 9 de fevereiro de 2018.
O Vice-Presidente da Assembleia da República (em substituição do Presidente da Assembleia da República),
Jorge Lacão.
———
RESOLUÇÃO
RECOMENDA AO GOVERNO O REFORÇO DA FISCALIZAÇÃO AOS LARES DE IDOSOS PARA
GARANTIR A DIGNIDADE DOS UTENTES
A Assembleia da República resolve, nos termos do n.º 5 do artigo 166.º da Constituição, recomendar ao
Governo que:
1- Reforce a fiscalização aos lares de idosos, nomeadamente sobre as suas condições de funcionamento e
capacidade para garantir o bem-estar e a dignidade dos idosos.
2- Recolhainformação sistematizada sobre o contributo que os lares de idosos dão para a promoção de
componentes do envelhecimento ativo e envie essa informação à Assembleia da República.
3- Torne público o total de vagas, global e por instituição, existentes nos lares com comparticipação da
segurança social e o número de pessoas em lista de espera.
Aprovada em 9 de fevereiro de 2018.
O Vice-Presidente da Assembleia da República (em substituição do Presidente da Assembleia da República),
Jorge Lacão.
———
Página 5
26 DE MARÇO DE 2018
5
RESOLUÇÃO
RECOMENDA AO GOVERNO QUE TOME MEDIDAS PARA GARANTIR QUE AS FALTAS AO
TRABALHO DADAS PELOS ACOMPANHANTES DE GRÁVIDAS NAS DESLOCAÇÕES INTER-ILHAS
DOS AÇORES SEJAM CONSIDERADAS JUSTIFICADAS
A Assembleia da República resolve, nos termos do n.º 5 do artigo 166.º da Constituição, recomendar ao
Governo que tome as medidas legislativas necessárias para que as faltas ao trabalho dadas pelos
acompanhantes de grávidas nasdeslocações inter-ilhas dos Açores, realizadas no âmbito da Portaria n.º
28/2015, de 9 de março, da Região Autónoma dos Açores, sejam consideradas justificadas.
Aprovada em 9 de fevereiro de 2018.
O Vice-Presidente da Assembleia da República (em substituição do Presidente da Assembleia da República),
Jorge Lacão.
———
RESOLUÇÃO
RECOMENDA AO GOVERNO MEDIDAS PARA A PROMOÇÃO DO ENVELHECIMENTO COM
DIREITOS
A Assembleia da República resolve, nos termos do n.º 5 do artigo 166.º da Constituição, recomendar ao
Governo que:
1- Crie equipas multidisciplinares com vista ao acompanhamento e intervenção social de proximidade junto
da população idosa em situação de pobreza, exclusão e isolamento.
2- Organize e calendarize, em articulação com as associações e organizações de reformados, pensionistas
e idosos, medidas que permitam alcançar para este grupo social os seguintes objetivos:
a) Promoção de atividades que os mantenham intelectual e funcionalmente ativos;
b) Combate ao isolamento e à solidão, tanto nas zonas urbanas como nas mais desertificadas, de acordo
com a realidade económica e social de cada região;
c) Criação de uma rede pública de equipamentos e serviços de apoio à terceira idade (apoio domiciliário,
centros de dia e de noite e residências para idosos);
d) Valorização e participação ativa em movimentos associativos;
e) Reforço da resposta pública ao nível:
i) Da promoção da saúde e prevenção da doença com aposta nos cuidados de saúde primários,
ii) Dos cuidados domiciliários, aumentando as unidades de cuidados existentes na comunidade e nos
centros de saúde;
iii) Dos cuidados de medicina física e de reabilitação, dos cuidados continuados integrados e dos cuidados
paliativos;
f) Reforço dos profissionais das unidades de recursos assistenciais partilhados (URAP), em número e
qualidade, para responder às necessidades operacionais das unidades de saúde familiar (USF), unidades de
cuidados de saúde personalizados (UCSP), unidades de cuidados na comunidade (UCC) e unidades de saúde
pública (USP);
Página 6
II SÉRIE-A — NÚMERO 89
6
g) Promoção da articulação entre as diferentes unidades funcionais dos cuidados de saúde primários e as
instituições que acolhem pessoas idosas (estruturas residenciais para idosos, centros de dia), de forma a
adequar a prestação de cuidados de saúde a estes utentes.
Aprovada em 9 de fevereiro de 2018.
O Vice-Presidente da Assembleia da República (em substituição do Presidente da Assembleia da República),
Jorge Lacão.
———
RESOLUÇÃO
RECOMENDA A SUSPENSÃO IMEDIATA DAS AÇÕES DE DESPEJO NAS CASAS DE FUNÇÃO DA
GUARDA NACIONAL REPUBLICANA EM ALCÂNTARA
A Assembleia da República resolve, nos termos do n.º 5 do artigo 166.º da Constituição, recomendar ao
Governo que tome as medidas necessárias para alargar a aplicação do despacho datado de 18 de agosto de
2016, do Ministério da Administração Interna, aos reformados e viúvas de militares da Guarda Nacional
Republicana (GNR) moradores nas casas de guarnição sitas em Alcântara, Lisboa, garantindo a suspensão
imediata e urgente das ações de despejo e o envolvimento conjunto do Ministério da Administração Interna, da
GNR e dos moradores nas casas de guarnição referidas, na procura de soluções equitativas que garantam o
direito à habitação condigna.
Aprovada em 15 de fevereiro de 2018.
O Vice-Presidente da Assembleia da República (em substituição do Presidente da Assembleia da República),
Jorge Lacão.
———
RESOLUÇÃO
RECOMENDA AO GOVERNO A AVALIAÇÃO DO CUMPRIMENTO DO DIREITO DOS UTENTES AO
ACOMPANHAMENTO NAS INSTITUIÇÕES DO SERVIÇO NACIONAL DE SAÚDE
A Assembleia da República resolve, nos termos do n.º 5 do artigo 166.º da Constituição, recomendar ao
Governo que:
1- Avalie as práticas e os regulamentos internos de todas as instituições do Serviço Nacional de Saúde,
identificando situações em que não estejam a ser respeitados os direitos dos utentes, nomeadamente no que
diz respeito ao acompanhamento.
2- Envie à Assembleia da República, até ao final do ano, o relatório dessa avaliação, com as situações de
limitação ou negação do direito ao acompanhamento e com as medidas que as instituições tiveram que adotar,
de forma a poder garantir os direitos dos utentes.
Página 7
26 DE MARÇO DE 2018
7
Aprovada em 22 de fevereiro de 2018.
O Vice-Presidente da Assembleia da República (em substituição do Presidente da Assembleia da República),
Jorge Lacão.
———
RESOLUÇÃO
RECOMENDA AO GOVERNO A EFETIVA APLICAÇÃO DA LEI N.º 57/2017, DE 19 DE JULHO, A
TODOS OS BOLSEIROS DE GESTÃO DE CIÊNCIA E TECNOLOGIA
A Assembleia da República resolve, nos termos do n.º 5 do artigo 166.º da Constituição, recomendar ao
Governo que diligencie, junto da Fundação para a Ciência e a Tecnologia (FCT), no sentido da aplicação rápida
e efetiva dos pressupostos legais contidos na Lei n.º 57/2017, de 19 de julho, a todos os bolseiros de gestão de
ciência e tecnologia, nomeadamente àqueles que assumem funções nos serviços centrais da FCT.
Aprovada em 9 de março de 2018.
O Vice-Presidente da Assembleia da República (em substituição do Presidente da Assembleia da República),
Jorge Lacão.
———
RESOLUÇÃO
DESLOCAÇÕES DO PRESIDENTE DA REPÚBLICA A FRANÇA, AO EGITO E A ESPANHA
A Assembleia da República resolve, nos termos da alínea b) do artigo 163.º e do n.º 5 do artigo 166.º da
Constituição, dar assentimento às deslocações de Sua Excelência o Presidente da República, durante o mês de
abril, a França, entre os dias 8 e 10, para participar nas Comemorações do Centenário da Batalha de La Lys,
ao Egito, de 11 a 13, em Visita de Estado, a convite do seu homólogo egípcio, e a Espanha, de 15 a 18, em
Visita de Estado, a convite do Rei Filipe VI.
Aprovada em 23 de março de 2018.
O Vice-Presidente da Assembleia da República (em substituição do Presidente da Assembleia da República),
Jorge Lacão.
———
Página 8
II SÉRIE-A — NÚMERO 89
8
PROPOSTA DE LEI N.º 118/XIII (3.ª)
AUTORIZA O GOVERNO A CRIAR E A REGULAR A EMISSÃO E UTILIZAÇÃO DO CARTÃO DE
IDENTIDADE DE AGENTES DIPLOMÁTICOS E CONSULARES
Exposição de motivos
O Ministério dos Negócios Estrangeiros (MNE) é a entidade responsável pela emissão do documento de
identificação dos agentes diplomáticos e consulares acreditados em Portugal, do pessoal administrativo e
doméstico ou equiparado que venha prestar serviço nas missões diplomáticas ou postos consulares dos
respetivos Estados, dos funcionários das organizações internacionais com sede ou representação em Portugal
e dos membros das suas famílias, ouvido o Serviço de Estrangeiros e Fronteiras, de acordo com o previsto no
artigo 87.º da Lei n.º 23/2007, de 4 de julho, na sua redação atual, que aprova o regime jurídico de entrada,
permanência, saída e afastamento de estrangeiros do território nacional.
Nos termos do artigo 87.º e da alínea a) do n.º 3 do artigo 10.º da Lei n.º 23/2007, de 4 de julho, na sua
redação atual, os portadores do referido documento de identificação são dispensados de autorização de
residência e de visto de entrada em território nacional.
Acresce que o MNE emite ainda cartões de identidade diplomáticos a outros membros ou funcionários de
entidades com as quais o Estado português tenha celebrado acordos e reconhecido estatuto diplomático.
Torna-se imperativo proceder à atualização do documento de identificação mencionado, em consonância
com as diretrizes relativas às políticas de segurança de documentos de identidade e de viagem, fixadas pelas
organizações internacionais competentes, designadamente pela União Europeia e pela Organização da Aviação
Civil Internacional, para uma forma de cartão de leitura ótica, em detrimento do modelo atual de cartão em
suporte papel plastificado, sem fotografia, com assinatura física e respetiva autenticação das entidades
intervenientes, e apenas em língua portuguesa.
À semelhança dos progressos tecnológicos alcançados nos diversos títulos que comprovam a residência dos
cidadãos estrangeiros em território nacional, o novo modelo de cartão de identidade procederá à otimização das
garantias de fiabilidade e segurança documentais e conferirá aos seus titulares um documento que conjuga a
utilização de dispositivos de elevado nível técnico com uma maior proteção contra o seu uso fraudulento.
Assim:
Nos termos da alínea d) do n.º 1 do artigo 197.º da Constituição, o Governo apresenta à Assembleia da
República a seguinte proposta de lei:
Artigo 1.º
Objeto
A presente lei concede ao Governo autorização legislativa para criar e regular a emissão e utilização do
cartão de identidade diplomático (CID), a conceder pelo Ministério dos Negócios Estrangeiros (MNE), de:
a) Agentes diplomáticos e consulares acreditados em Portugal, pessoal administrativo e doméstico ou
equiparado que venha prestar serviço nas missões diplomáticas ou postos consulares dos respetivos Estados,
funcionários das organizações internacionais com sede ou representação em Portugal, e membros das suas
famílias, que estejam dispensados de autorização de residência, conforme previsto no regime jurídico de
entrada, permanência, saída e afastamento de estrangeiros do território nacional;
b) Outros indivíduos cujo cartão de identidade diplomático é atribuído nos termos definidos em acordo
celebrado com a República Portuguesa.
Artigo 2.º
Sentido e extensão
No uso da autorização legislativa conferida pelo artigo anterior, pode o Governo:
a) Determinar a eficácia do CID e que seja concedido pelo MNE, consultado previamente o Serviço de
Estrangeiros e Fronteiras, sem prejuízo do estabelecido em acordo celebrado nos termos do previsto na alínea
Página 9
26 DE MARÇO DE 2018
9
b) do artigo anterior;
b) Prever que o CID seja produzido, personalizado, remetido ao MNE e destruído, em termos exclusivos,
pela Imprensa Nacional Casa da Moeda, S.A. (INCM), sendo as respetivas despesas suportadas pelo MNE;
c) Determinar que o CID seja concedido a título gratuito aos seus titulares, sendo os respetivos custos de
emissão suportados pelo MNE;
d) Definir quais os familiares aos quais, nos termos do regime jurídico de entrada, permanência, saída e
afastamento de estrangeiros do território nacional, é concedido o CID;
e) Aprovar o regime de autorização, recolha e tratamento de dados pessoais necessários à emissão do CID;
f) Definir quais os serviços públicos competentes para autorizar, emitir, recolher e proceder ao tratamento
de dados pessoais para a concessão e entrega do CID ao respetivo titular;
g) Instituir que o modelo de CID respeita os requisitos e as especificações técnicas definidas nos seguintes
documentos:
i) Regulamento (CE) n.º 2252/2004, do Conselho, de 13 de dezembro de 2004, alterado pelo Regulamento
(CE) n.º 444/2009, do Parlamento Europeu e do Conselho, de 28 de maio de 2009, que estabelece normas para
os dispositivos de segurança e dados biométricos dos passaportes e documentos de viagem emitidos pelos
Estados-Membros;
ii) Doc. 9303 da Organização da Aviação Civil Internacional, Sétima edição, de 2015,que contém as
especificações técnicas para a implementação dos documentos de identidade e viagem de leitura ótica;
h) Determinar que o CID é composto por quatro modelos distintos diferenciados por tarjas de cores
diferentes, a conceder pelo MNE de acordo com o estatuto associado à categoria profissional e à entidade para
a qual o seu titular exerça funções, sendo que por tarja entende-se a faixa colorida situada no canto lateral direito
do cartão;
i) Definir o formato do CID, o qual é constituído por duas faces, frente e verso, sendo impresso:
i) Na frente: menção da República Portuguesa, enquanto Estado emissor; a menção do MNE, enquanto
entidade que o concede; a designação do cartão; a imagem facial, o(s) apelido(s), o(s) nome(s), o sexo, a data
de nascimento e a nacionalidade do titular; a designação da missão diplomática, posto consular, organização
internacional ou entidade a qual o titular pertence; a categoria do titular; a tarja; o tipo de documento; o número
de documento; as datas de emissão e de validade; e a assinatura digitalizada do titular;
ii) No verso: a função ou vínculo familiar do titular (categoria profissional do titular que presta funções em
território nacional ou, no caso de familiar, indicação do respetivo vínculo); e observações (privilégios e
imunidades do titular do cartão);
iii) Na zona específica destinada a leitura ótica constam: o(s) apelido(s) e o(s) nome(s) próprio(s) do titular;
a nacionalidade; a data de nascimento; o sexo; a República portuguesa, enquanto Estado emissor; o tipo de
documento; o número de documento; e a data de validade;
j) Estabelecer que o CID pode ser substituído sempre que se verificar a alteração de, pelo menos, um dos
dados pessoais indicados na alínea anterior;
k) Determinar que o CID é obrigatoriamente devolvido ao MNE para posterior envio à INCM para destruição;
l) Determinar a aplicação subsidiária em matéria penal e contraordenacional das disposições sancionatórias
constantes da Lei n.º 33/99, de 18 de maio, na sua redação atual.
Artigo 3.º
Duração
A presente autorização legislativa tem a duração de 180 dias.
Visto e aprovado em Conselho de Ministros de 22 de março de 2018.
O Primeiro-Ministro, António Luís Santos da Costa — O Ministro dos Negócios Estrangeiros, Augusto Ernesto
Santos Silva — O Secretário de Estado dos Assuntos Parlamentares, Pedro Nuno de Oliveira Santos.
Página 10
II SÉRIE-A — NÚMERO 89
10
O Ministério dos Negócios Estrangeiros (MNE) é a entidade responsável pela emissão de documentos de
identificação dos agentes diplomáticos e consulares acreditados em Portugal, do pessoal administrativo e
doméstico ou equiparado que venha prestar serviço nas missões diplomáticas ou postos consulares dos
respetivos Estados, dos funcionários das organizações internacionais com sede ou representação em Portugal
e dos membros das suas famílias, ouvido o Serviço de Estrangeiros e Fronteiras, de acordo com o previsto no
artigo 87.º da Lei n.º 23/2007, de 4 de julho, na sua redação atual, que aprova o regime jurídico de entrada,
permanência, saída e afastamento de estrangeiros do território nacional.
Nos termos do artigo 87.º e da alínea a) do n.º 3 do artigo 10.º da Lei n.º 23/2007, de 4 de julho, na sua
redação atual, os portadores do referido documento de identificação são dispensados de autorização de
residência e de visto de entrada em território nacional.
Acresce que o MNE emite ainda cartões de identidade diplomáticos a outros membros ou funcionários de
entidades com as quais o Estado português tenha celebrado acordos e aos quais tenha reconhecido estatuto
diplomático.
Na estrutura orgânica do MNE, compete ao Protocolo do Estado, no âmbito da Secretaria-Geral, emitir
documentos de identificação dos estrangeiros residentes no território nacional que beneficiem do estatuto
diplomático, conforme prescreve a alínea r) do artigo 4.º da Portaria n.º 33/2012, de 31 de janeiro.
Assim, a criação de um novo modelo de documento de identificação para as situações descritas, doravante
designado CID, que passa a revestir a forma de documento de leitura ótica, insere-se no âmbito do reforço da
segurança dos documentos de identidade e de viagem e das diretrizes fixadas pelas organizações internacionais
competentes, designadamente pela União Europeia e pela Organização da Aviação Civil Internacional (ICAO).
O novo modelo obedece aos requisitos e especificações técnicas cujos parâmetros e procedimentos de
fixação se encontram definidos pelo Regulamento (CE) n.º 2252/2004, do Conselho, de 13 de dezembro de
2004, alterado pelo Regulamento (CE) n.º 444/2009, do Parlamento Europeu e do Conselho, de 28 de maio de
2009, que estabelece normas para os dispositivos de segurança e dados biométricos dos passaportes e
documentos de viagem emitidos pelos Estados-Membros, e pelo Doc. 9303 da ICAO, Sétima edição, de 2015,
que contém as especificações técnicas para a implementação dos documentos de identidade e viagem de leitura
ótica.
Neste âmbito, todos os procedimentos necessários à emissão do CID, designadamente a autorização,
recolha e tratamento de dados pessoais, bem como a sua entrega ao respetivo titular, continuam a competir ao
MNE, como entidade que o concede, consultado o SEF, e atribuindo-se à Imprensa Nacional Casa da Moeda,
S.A., a exclusividade da sua produção, personalização e destruição.
Foi ouvida a Comissão Nacional de Proteção de Dados.
Assim:
No uso da autorização legislativa concedida pelo artigo 1.º da Lei n.º [Reg. PL X/201], de , e nos termos
da alínea b) do n.º 1 do artigo 198.º da Constituição, o Governo decreta o seguinte:
Artigo 1.º
Objeto e âmbito
1 - O presente decreto-lei cria e regula a emissão e utilização do cartão de identidade diplomático (CID), a
conceder pelo Ministério dos Negócios Estrangeiros (MNE), de:
a) Agentes diplomáticos e consulares acreditados em Portugal, pessoal administrativo e doméstico ou
equiparado que venha prestar serviço nas missões diplomáticas ou postos consulares dos respetivos Estados,
funcionários das organizações internacionais com sede ou representação em Portugal, e membros das suas
famílias, que estejam dispensados de autorização de residência, conforme previsto no regime de entrada,
permanência, saída e afastamento de estrangeiros do território nacional;
b) Outros indivíduos cujo cartão de identidade diplomático é atribuído nos termos definidos em acordo
celebrado com o Estado português.
Página 11
26 DE MARÇO DE 2018
11
2 - O presente decreto-lei aprova ainda o regime de autorização, recolha e tratamento de dados pessoais
necessários à emissão do CID.
3 - Para efeitos do previsto no presente decreto-lei, e em termos de reciprocidade, consideram-se familiares
aqueles que detêm relações jurídicas familiares decorrentes de casamento ou união de facto, de vínculo de
parentesco na linha reta, adotados, enteados e pessoas sob tutela que habitem na residência situada no território
português com as demais pessoas a que refere a alínea a) do n.º 1 e se encontrem na respetiva dependência
económica, sem prejuízo do estabelecido em acordo celebrado com a República Portuguesa.
Artigo 2.º
Eficácia
1 - O CID constitui título bastante para provar a identidade do titular perante quaisquer autoridades e
entidades públicas ou privadas, sendo válido em todo o território nacional, sem prejuízo da eficácia extraterritorial
reconhecida por normas comunitárias, por convenções internacionais, por normas emanadas dos órgãos
competentes das organizações internacionais de que Portugal seja parte, quando tal se encontre estabelecido
nos respetivos tratados constitutivos, e ainda nos termos dos respetivos acordos de sede ou de representação
dos quais o Estado português seja signatário.
2 - Compete ao Serviço de Estrangeiros e Fronteira (SEF) difundir o novo modelo do CID junto das
autoridades de fronteira congéneres.
Artigo 3.º
Modelo
1 - O CID tem a forma de documento de identificação de leitura ótica e é constituído por duas faces impressas
com informações referentes à entidade que o concede e ao respetivo titular, em língua portuguesa e inglesa.
2 - Na frente do CID constam as seguintes informações do seu titular:
a) Apelido(s);
b) Nome(s) próprio(s);
c) Nacionalidade;
d) Data de nascimento;
e) Sexo;
f) Imagem facial;
g) Nome da missão diplomática, posto consular, organização internacional ou entidade à qual o titular
pertence;
h) Categoria profissional;
i) Assinatura.
3 - No verso do CID constam:
a) Função ou vínculo familiar (categoria profissional do titular que presta funções em território nacional ou,
no caso de dependente familiar, indicação do vínculo familiar);
b) Observações (privilégios e imunidades do titular).
4 - Para além dos elementos de identificação do titular referidos nos n.os 2 e 3, o CID contém as seguintes
menções:
a) República Portuguesa, enquanto Estado emissor;
b) MNE, enquanto entidade responsável pela concessão;
c) Designação do cartão;
d) Tipo de documento;
e) Número de documento;
f) Data de emissão;
g) Data de validade;
Página 12
II SÉRIE-A — NÚMERO 89
12
h) Tarja de cor (faixa colorida situada no canto lateral direito do cartão).
5 - A zona específica destinada a leitura ótica do CID contém os seguintes elementos e menções:
a) Apelidos;
b) Nome(s) próprio(s) do titular;
c) Nacionalidade;
d) Data de nascimento;
e) Sexo;
f) República Portuguesa, enquanto Estado emissor;
g) Tipo de documento;
h) Número de documento;
i) Data de validade.
6 - O modelo de CID deve respeitar ainda os demais requisitos e especificações técnicas definidas nos
seguintes documentos:
a) Regulamento (CE) n.º 2252/2004, do Conselho, de 13 de dezembro de 2004, alterado pelo Regulamento
(CE) n.º 444/2009, do Parlamento Europeu e do Conselho, de 28 de maio de 2009, que estabelece normas para
os dispositivos de segurança e dados biométricos dos passaportes e documentos de viagem emitidos pelos
Estados-Membros;
b) Doc. 9303 da ICAO, Sétima edição, de 2015,que contém as especificações técnicas para a
implementação dos documentos de identidade e viagem de leitura ótica.
Artigo 4.º
Assinatura
1 - Por assinatura entende-se, para efeitos do presente decreto-lei, a reprodução digitalizada do nome civil,
escrito pelo respetivo titular, que deverá estar em consonância com o documento de identificação exigível para
efeitos de pedido de emissão do CID.
2 - A assinatura não pode conter desenhos ou elementos gráficos.
3 - Se o titular não puder ou não souber assinar, deve fazer-se menção desse facto na área do CID destinada
à reprodução digitalizada da assinatura.
Artigo 5.º
Tarjas
1 - Os quatro modelos de CID existentes são diferenciados por tarjas de cor azul, verde, castanho e cinza,
constando a respetiva descrição consta do anexo ao presente decreto-lei, do qual faz parte integrante.
2 - A atribuição da cor da tarja é da competência do secretário-geral do MNE, de acordo com o estatuto
associado à categoria profissional e à entidade para a qual o seu titular exerça funções ou ao vínculo familiar.
3 - O secretário-geral do MNE pode delegar a competência prevista no número anterior no chefe do Protocolo
do Estado.
Artigo 6.º
Concessão
1 - O CID é concedido pelo Protocolo do Estado do MNE, ouvido o SEF, sem prejuízo do estabelecido em
acordo celebrado nos termos do previsto na alínea b) do n.º 1 do artigo 1.º.
2 - Os titulares do CID e as entidades onde prestam serviço devem fornecer com exatidão os elementos de
identificação necessários à sua emissão, incluindo as respetivas alterações, e verificar a respetiva fidedignidade.
Página 13
26 DE MARÇO DE 2018
13
3 - Quando se suscitem dúvidas sobre a exatidão ou titularidade dos elementos de identificação, os serviços
que intervenham na sua emissão e concessão devem praticar as diligências necessárias à comprovação e
podem exigir a produção de prova complementar.
4 - Em caso de alteração dos dados de identificação do seu titular, mau estado de conservação ou
funcionamento, perda, furto ou roubo, e destruição, é emitida uma segunda via do CID.
Artigo 7.º
Emissão
A emissão do CID, incluindo a produção, personalização, remessa ao Protocolo do Estado do MNE e
destruição, cabe, em exclusivo, à Imprensa Nacional-Casa da Moeda, S.A. (INCM).
Artigo 8.º
Proteção de dados pessoais
1 - O tratamento de ficheiros com dados pessoais a realizar por força do presente decreto-lei tem por fim
estabelecer a integridade, veracidade e funcionamento seguro do CID.
2 - O titular do CID tem o direito de, a todo o tempo, verificar os dados pessoais nele constantes, inclusive
na zona de leitura ótica, e de solicitar a sua alteração.
3 - A comunicação ou a revelação dos dados pessoais tratados no sistema do CID só pode ser efetuada nos
termos previstos no presente decreto-lei.
4 - O MNE, o SEF e a INCM são as entidades responsáveis, nos termos e para os efeitos da Lei nº 67/98, de
26 de outubro, na redação atual, pelo tratamento e proteção de dados pessoais nas operações em que
intervenham para a emissão e concessão do CID.
5 - Os serviços a que se refere o número anterior devem colocar em prática as garantias de segurança
necessárias para impedir a consulta, a modificação, a destruição e a comunicação de dados pessoais não
consentidos no presente decreto-lei.
6 - Ficam obrigadas a sigilo profissional, nos termos do artigo 17.º da Lei n.º 67/98, de 26 de outubro, na sua
redação atual, as pessoas que tenham conhecimento, no exercício das suas funções, de dados pessoais
constantes de ficheiros dos sistemas do CID.
Artigo 9.º
Validade
1 - O CID é válido pelo prazo de cinco anos, sem prejuízo da caducidade por cessação de funções do seu
titular em território nacional, ou quando se deixe de verificar qualquer dos pressupostos dos quais depende a
sua concessão.
2 - No caso dos menores de idade inferior a quatro anos, a validade do CID é de dois anos.
Artigo 10.º
Custos e despesas
1 - O CID é concedido ao seu titular a título gratuito.
2 - O MNE suporta todos os custos e despesas com a emissão, personalização, produção, remessa e
destruição do CID.
Artigo 11.º
Devolução e destruição
1 - O CID deve ser devolvido pelas entidades onde o titular presta serviço ao Protocolo do Estado do MNE,
a fim de se proceder ao respetivo cancelamento e posterior envio à INCM para destruição.
Página 14
II SÉRIE-A — NÚMERO 89
14
2 - Em caso de extravio, furto ou roubo do CID, devem as entidades onde o titular presta serviço comunicar
esse facto ao Protocolo do Estado do MNE.
3 - A devolução do CID deverá acontecer nas seguintes situações:
a) Decurso do prazo de validade;
b) Alteração dos elementos de identificação;
c) Mau estado de conservação ou de funcionamento;
d) Cessação de funções em território nacional ou quando se deixe de verificar qualquer dos pressupostos
dos quais depende a sua concessão;
e) Em caso de extravio, pela entidade a quem o CID seja entregue.
4 - Aquando da destruição do CID pelo motivo mencionado na alínea d) do número anterior, devem ser ainda
destruídos os respetivos ficheiros, localizados no MNE, com dados pessoais que tenham sido necessários à sua
emissão e concessão.
Artigo 12.º
Norma transitória
1 - Os cartões de identificação atribuídos até à data da entrada em vigor do presente decreto-lei conservam
a sua validade até ao termo do prazo pelo qual foram atribuídos.
2 - A partir de 31 de dezembro de 2022, o CID passa a incluir, como elemento visível, o número de
identificação fiscal (NIF) e o número de utente de saúde.
3 - O disposto no número anterior não se aplica aos cartões que se encontrem válidos naquela data.
Artigo 13.º
Sanções
São aplicáveis, com as devidas adaptações, as disposições sancionatórias constantes da Lei n.º 33/99, de
18 de maio, na sua redação atual.
Artigo 14.º
Entrada em vigor
O presente decreto-lei entra em vigor 90 dias após a data da sua publicação.
ANEXO
(a que se refere o n.º 1 do artigo 5.º)
Modelo 1
CARTÃO DE IDENTIDADE DIPLOMÁTICO – Tarja Azul
Frente Verso
Página 15
26 DE MARÇO DE 2018
15
O modelo «tarja azul» é o documento de identificação emitido aos agentes diplomáticos das missões
diplomáticas acreditadas em Portugal, bem como aos respetivos familiares, ou a outros indivíduos cujo cartão
de identidade diplomático é atribuído nos termos definidos em acordo celebrado com o Estado português.
É emitido com a menção no campo da categoria de «Agente Diplomático».
O campo da categoria pode ainda conter, para melhor identificar o seu titular, outras menções dependendo
da situação, tais como:
— Chefes de missões diplomáticas: «EMBAIXADOR», «EMBAIXADORA», «REPRESENTANTE
PERMANENTE», «EMBAIXADOR (NÃO RESIDENTE)» ou «EMBAIXADORA (NÃO RESIDENTE)», em letras
maiúsculas e a negrito, e «Encarregado de Negócios en pied»;
— Indivíduos com vínculo familiar aos agentes diplomáticos: «Familiar dependente»;
— Indivíduos cujo cartão de identidade diplomático é atribuído nos termos definidos em acordo celebrado
com o Estado português: a categoria ou título que consta do respetivo acordo, como seja «ALTO
FUNCIONÁRIO» em letras maiúsculas e a negrito ou «Alto Funcionário» sem negrito.
Modelo 2
CARTÃO DE IDENTIDADE CONSULAR – Tarja Verde
Frente Verso
O modelo CID «tarja verde» é o documento de identificação emitido aos funcionários consulares de carreira,
bem como aos respetivos familiares.
É emitido com a menção no campo da categoria de «Funcionário Consular».
O campo da categoria pode ainda conter, para melhor identificar o seu titular, outras menções dependendo
da situação, tais como:
— Chefes de postos consulares: «CÔNSUL-GERAL» em letras maiúsculas e a negrito, «Cônsul», e «Chefe
de Posto Consular»;
— Indivíduos com vínculo familiar aos funcionários consulares: «Familiar dependente».
Página 16
II SÉRIE-A — NÚMERO 89
16
Modelo 3
CARTÃO DE IDENTIDADE DE ORGANIZAÇÃO INTERNACIONAL – Tarja Castanha
Frente Verso
O modelo CID «tarja castanha» é o documento de identificação emitido aos funcionários das organizações
internacionais, sediadas ou com representação em Portugal, aos quais o Estado português reconheceu estatuto
diplomático, bem como aos respetivos familiares dependentes.
É emitido com a menção no campo destinado à categoria de «Funcionário».
O campo da categoria pode ainda conter, para melhor identificar o seu titular, outras menções dependendo
da situação, tais como:
— Chefia da organização internacional em território nacional: é colocada a referência da designação do
cargo, conforme cada organização internacional, segundo a mesma regra aplicável aos chefes de missão
diplomática ou chefe de posto consular, em letras maiúsculas e a negrito;
— Indivíduos com vínculo familiar aos funcionários de organizações internacionais: «Familiar dependente».
Modelo 4
CARTÃO DE IDENTIDADE – Tarja Cinza
Frente Verso
O modelo CID «tarja cinza» é o documento de identificação emitido ao pessoal administrativo, técnico,
doméstico e de serviço ou equiparado das missões diplomáticas, postos consulares, organizações internacionais
e entidades equiparadas acreditadas em Portugal, bem como ao pessoal de serviço particular e aos respetivos
familiares dependentes.
O campo da categoria pode conter, para melhor identificar o seu titular, designadamente as menções
seguintes:
— «Pessoal Administrativo e Técnico», «Pessoal de Serviço» e «Pessoal de Serviço Particular»;
— Indivíduos com vínculo familiar ao pessoal referido: «Familiar dependente».
———
Página 17
26 DE MARÇO DE 2018
17
PROPOSTA DE LEI N.º 119/XIII (3.ª)
ESTABELECE O REGIME JURÍDICO DA SEGURANÇA DO CIBERESPAÇO, TRANSPONDO A
DIRETIVA (UE) 2016/1148
Exposição de motivos
A presente proposta de lei estabelece o regime jurídico da segurança do ciberespaço, transpondo a Diretiva
(UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas
a garantir um elevado nível comum de segurança das redes e dos sistemas de informação em toda a União.
As redes e os sistemas de informação desempenham um papel vital na sociedade, sendo a sua resiliência e
segurança essenciais para a prossecução de atividades económicas e societais.
Concomitantemente, constata-se que a abrangência, frequência e impacto dos incidentes de segurança
estão a aumentar, constituindo uma importante ameaça para o funcionamento das redes e dos sistemas de
informação. Aliás, estes representam um alvo para ações danosas destinadas a danificar ou a causar disrupção
na operação dos sistemas.
Este tipo de incidentes pode colocar em causa o regular funcionamento da sociedade, acarretar perigo para
a vida humana, perdas de natureza financeira, bem como comprometer a confidencialidade, a integridade e a
disponibilidade da informação das redes e dos sistemas de informação da Administração Pública, dos
operadores de infraestruturas críticas, dos operadores de serviços essenciais e dos prestadores de serviços
digitais. Atendendo à sua natureza, estes incidentes podem provocar um impacto, designado como “efeito
cascata” resultante das complexas relações de interdependência existentes.
Assim, a Diretiva a transpor determina a obrigação de os Estados-Membros adotarem uma estratégia
nacional de segurança das redes e dos sistemas de informação, pelo que a presente proposta de lei estabelece
a necessidade de aprovação de uma Estratégia Nacional de Segurança do Ciberespaço, instrumento que visa
definir as prioridades do País nesta matéria de acordo com o interesse nacional.
Nestes moldes, a presente proposta de lei estabelece a estrutura de segurança do ciberespaço, consagrando
o Conselho Superior de Segurança do Ciberespaço, o Centro Nacional de Cibersegurança como a Autoridade
Nacional de Cibersegurança, bem como o “CERT.PT” como a equipa de resposta a incidentes de segurança
informática nacional. Prevê ainda os operadores de serviços essenciais e os prestadores de serviços digitais.
Consagra-se, igualmente, a necessidade de adoção de requisitos de segurança, bem como de notificação
de incidentes para as entidades da Administração Pública, para os operadores de infraestruturas críticas, para
os operadores de serviços essenciais, bem como para os prestadores de serviços digitais. De referir que,
relativamente aos prestadores de serviços digitais, a presente proposta de lei segue a abordagem preconizada
pelo legislador europeu, de diferenciar os prestadores de serviços digitais dos operadores de serviços
essenciais, consagrada na Diretiva (UE) 2016/1148, de 6 de julho, e no Regulamento de Execução da Comissão
Europeia (UE) 2018/151, de 30 de janeiro.
No que respeita à segurança das redes e dos sistemas de informação, a presente proposta de lei encontra-
se estruturada de molde a acautelar que os requisitos de segurança e os requisitos de notificação de incidentes
sejam definidos nos termos prescritos em legislação complementar.
Não obstante, desde logo, são delimitados os respetivos termos e pressupostos, atendendo às categorias
das entidades alvo da presente proposta de lei. Acresce que se encontra ainda prevista a possibilidade de
quaisquer entidades poderem notificar, a título voluntário, os incidentes com impacto importante na continuidade
dos serviços por si prestados.
Por fim, são determinadas competências de fiscalização e sancionatórias no sentido de garantir um nível
elevado de garantia do cumprimento das obrigações decorrentes da referida Diretiva. Relativamente ao quadro
contraordenacional, dividem-se as infrações em graves e muito graves, cabendo ao Centro Nacional de
Cibersegurança exercer as competências de fiscalização e de aplicação das sanções previstas na presente
proposta de lei.
Assim:
Nos termos da alínea d) do n.º 1 do artigo 197.º da Constituição, o Governo apresenta à Assembleia da
República a seguinte proposta de lei:
Página 18
II SÉRIE-A — NÚMERO 89
18
CAPÍTULO I
Disposições gerais
Artigo 1.º
Objeto
A presente lei estabelece o regime jurídico da segurança do ciberespaço, transpondo a Diretiva (UE)
2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a
garantir um elevado nível comum de segurança das redes e dos sistemas de informação em toda a União.
Artigo 2.º
Âmbito
1 - A presente lei aplica-se:
a) À Administração Pública;
b) Aos operadores de infraestruturas críticas;
c) Aos operadores de serviços essenciais;
d) Aos prestadores de serviços digitais;
e) A quaisquer outras entidades que utilizem redes e sistemas de informação.
2 - Para efeitos do disposto na presente lei, integram a Administração Pública:
a) O Estado;
b) As regiões autónomas;
c) As autarquias locais;
d) As entidades administrativas independentes;
e) Os institutos públicos;
f) As empresas públicas;
g) As associações públicas.
3 - A presente lei aplica-se aos prestadores de serviços digitais que tenham o seu estabelecimento
principal em território nacional ou, não o tendo, designem um representante estabelecido em território nacional,
desde que aí prestem serviços digitais.
4 - Para efeitos do número anterior, considera-se que um prestador de serviços digitais tem o seu
estabelecimento principal em território nacional quando aí tiver a sua sede.
5 - Caso uma entidade se enquadre simultaneamente em mais do que uma das alíneas a) a c) do n.º 1,
aplica-se o regime que resultar mais exigente para a segurança das redes e dos sistemas de informação.
6 - A presente lei não se aplica:
a) Às redes e sistemas de informação diretamente relacionados com o comando e controlo do Estado-Maior-
General das Forças Armadas e dos ramos das Forças Armadas;
b) Às redes e sistemas de informação que processem informação classificada.
7 - O disposto na presente lei não prejudica o cumprimento da legislação aplicável em matéria:
a) De proteção de dados pessoais.
b) De identificação e designação de infraestruturas críticas nacionais e europeias, designadamente do
Decreto-Lei n.º 62/2011, de 9 de maio;
c) De luta contra o abuso sexual e a exploração sexual de crianças e a pornografia infantil, designadamente
da Lei n.º 103/2015, de 24 de agosto;
d) De proteção do utente de serviços públicos essenciais, designadamente da Lei n.º 23/96, de 26 de julho;
Página 19
26 DE MARÇO DE 2018
19
e) De segurança e de emergência no setor das comunicações eletrónicas, designadamente da Lei n.º
5/2004, de 10 de fevereiro.
8 - A presente lei não prejudica as medidas destinadas a salvaguardar as funções essenciais do Estado,
incluindo medidas de proteção da informação cuja divulgação seja contrária aos interesses de segurança
nacional, à manutenção de ordem pública ou a permitir a investigação, a deteção e a repressão de infrações
penais.
Artigo 3.º
Definições
Para efeitos da presente lei, entende-se por:
a) «Equipa de resposta a incidentes de segurança informática», equipa que atua por referência a uma
comunidade de utilizadores definida, em representação de uma entidade, prestando um conjunto de serviços de
segurança que inclua, designadamente, o serviço de tratamento e resposta a incidentes de segurança das redes
e dos sistemas de informação;
b) «Especificação técnica», um documento que define os requisitos técnicos que um produto, processo,
serviço ou sistema devem cumprir;
c) «Incidente», um evento com um efeito adverso real na segurança das redes e dos sistemas de informação;
d) «Infraestrutura crítica», a componente, sistema ou parte deste situado em território nacional que é
essencial para a manutenção de funções vitais para a sociedade, a saúde, a segurança e o bem-estar económico
ou social, e cuja perturbação ou destruição teria um impacto significativo, dada a impossibilidade de continuar a
assegurar essas funções;
e) «Norma», uma especificação técnica, aprovada por um organismo de normalização reconhecido, para
aplicação repetida ou continuada, cuja observância não é obrigatória;
f) «Operador de infraestrutura crítica», uma entidade pública ou privada que opera uma infraestrutura crítica;
g) «Operador de serviços essenciais», uma entidade pública ou privada que preste um serviço essencial;
h) «Ponto de troca de tráfego», uma estrutura de rede que permite a interligação de mais de dois sistemas
autónomos independentes a fim de facilitar a troca de tráfego na Internet;
i) «Prestador de serviços digitais», uma pessoa coletiva que presta um serviço digital;
j) «Prestador de serviços do sistema de nomes de domínio», uma entidade que presta serviços do sistema
de nomes de domínio (DNS) na Internet;
k) «Rede e sistema de informação», qualquer dispositivo ou conjunto de dispositivos interligados ou
associados, em que um ou mais de entre eles desenvolve, em execução de um programa, o tratamento
automatizado de dados informáticos, bem como a rede de comunicações eletrónicas que suporta a comunicação
entre eles e o conjunto de dados informáticos armazenados, tratados, recuperados ou transmitidos por aquele
ou aqueles dispositivos, tendo em vista o seu funcionamento, utilização, proteção e manutenção;
l) «Registo de nomes de domínio de topo», uma entidade que administra e opera o registo de nomes de
domínio da Internet de um domínio de topo específico;
m) «Representante do prestador de serviços digitais», uma pessoa singular ou coletiva, estabelecida na
União Europeia, expressamente designada para atuar por conta de um prestador de serviços digitais aí não
estabelecido;
n) «Risco», uma circunstância ou um evento, razoavelmente identificáveis, com um efeito adverso potencial
na segurança das redes e dos sistemas de informação;
o) «Segurança das redes e dos sistemas de informação», a capacidade das redes e dos sistemas de
informação para resistir, com um dado nível de confiança, a ações que comprometam a confidencialidade, a
integridade, a disponibilidade, a autenticidade e o não repúdio dos dados armazenados, transmitidos ou tratados,
ou dos serviços conexos oferecidos por essas redes ou por esses sistemas de informação, ou acessíveis através
deles;
p) «Serviço de computação em nuvem», um serviço digital que permite o acesso a um conjunto modulável
e adaptável de recursos computacionais partilháveis;
Página 20
II SÉRIE-A — NÚMERO 89
20
q) «Serviço de mercado em linha», um serviço digital que permite aos consumidores ou aos comerciantes
celebrarem contratos de venda ou de prestação de serviços por via eletrónica com comerciantes, quer no sítio
na Internet do mercado em linha, quer no sítio na Internet de um comerciante que utilize os serviços de
computação disponibilizados pelo mercado em linha;
r) «Serviço de motor de pesquisa em linha», um serviço digital que permite aos utilizadores consultarem
todos os sítios na Internet, ou sítios na Internetnuma determinada língua, com base numa pesquisa sobre
qualquer assunto e que fornece ligações onde podem ser encontradas informações relacionadas com o
conteúdo solicitado;
s) «Serviço digital», um serviço da sociedade da informação prestado à distância, por via eletrónica;
t) «Serviço essencial», um serviço essencial para a manutenção de atividades societais ou económicas
cruciais, que dependa de redes e sistemas de informação e em relação ao qual a ocorrência de um incidente
possa ter efeitos perturbadores relevantes na prestação desse serviço;
u) «Sistema de nomes de domínio» (DNS), um sistema de nomes distribuídos hierarquicamente numa rede
que encaminha pesquisas sobre nomes de domínio;
v) «Tratamento de incidentes», todos os procedimentos de apoio à deteção, análise, contenção e resposta
a um incidente.
Artigo 4.º
Estratégia Nacional de Segurança do Ciberespaço
1 - A Estratégia Nacional de Segurança do Ciberespaço define o enquadramento, os objetivos e as linhas
de ação do Estado nesta matéria, de acordo com o interesse nacional.
2 - A Estratégia Nacional de Segurança do Ciberespaço é aprovada por resolução do Conselho de
Ministros, sob proposta do Primeiro-Ministro, ouvido o Conselho Superior de Segurança do Ciberespaço.
CAPÍTULO II
Estrutura de segurança do ciberespaço
Artigo 5.º
Conselho Superior de Segurança do Ciberespaço
1 - O Conselho Superior de Segurança do Ciberespaço é o órgão específico de consulta do Primeiro-
Ministro para os assuntos relativos à segurança do ciberespaço.
2 - O Conselho Superior de Segurança do Ciberespaço tem a seguinte composição:
a) O membro do Governo responsável pela área da cibersegurança, que preside;
b) A Autoridade Nacional de Segurança, que substitui o presidente nas suas ausências e impedimentos;
c) O Secretário-Geral do Sistema de Segurança Interna;
d) O Secretário-Geral do Sistema de Informações da República Portuguesa;
e) O Diretor do Serviço de Informações de Segurança;
f) O Diretor do Serviço de Informações Estratégicas de Defesa;
g) O Coordenador do Centro Nacional de Cibersegurança;
h) O Embaixador para a ciberdiplomacia;
i) Um representante da área da administração interna;
j) O Presidente do Conselho Diretivo da Agência para a Modernização Administrativa, IP;
k) O Diretor-Geral da Autoridade Tributária e Aduaneira;
l) O Diretor do Centro de Gestão da Rede Informática do Governo;
m) O Presidente do Conselho Diretivo da Entidade de Serviços Partilhados da Administração Pública, IP;
n) O Diretor da Direção de Comunicações e Sistemas de Informação do Estado-Maior-General das Forças
Armadas;
o) Um representante da Rede Nacional de Segurança Interna;
p) O Presidente do Instituto de Gestão Financeira e Equipamentos da Justiça, IP;
Página 21
26 DE MARÇO DE 2018
21
q) O Diretor da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica da Polícia
Judiciária;
r) Um representante do Ministério Público, designado pelo Procurador-Geral da República;
s) O Presidente da Fundação para a Ciência e a Tecnologia, IP;
t) O Diretor-Geral da Direção-Geral da Educação;
u) O Presidente do Conselho de Administração da SPMS — Serviços Partilhados do Ministério da Saúde,
E. P. E.
v) O Presidente do Conselho de Administração Executivo da Infraestruturas de Portugal, SA.
w) O Presidente do Conselho Diretivo do IAPMEI — Agência para a Competitividade e Inovação, IP;
x) O Presidente do Conselho de Administração da Autoridade Nacional de Comunicações;
y) Um representante da Direção de Recursos Naturais, Segurança e Serviços Marítimos.
z) Um representante da Rede Nacional de Equipas de resposta a incidentes de segurança informática.
3 - O presidente, por sua iniciativa ou a pedido de qualquer dos membros do Conselho, pode convocar
outros titulares de órgãos públicos ou convidar outras personalidades de reconhecido mérito para participar em
reuniões do Conselho Superior de Segurança do Ciberespaço.
Artigo 6.º
Competências do Conselho Superior de Segurança do Ciberespaço
Compete ao Conselho Superior de Segurança do Ciberespaço:
a) Assegurar a coordenação político-estratégica para a segurança do ciberespaço;
b) Verificar a implementação da Estratégia Nacional de Segurança do Ciberespaço;
c) Propor a revisão da Estratégia Nacional de Segurança do Ciberespaço;
d) Pronunciar-se sobre a Estratégia Nacional de Segurança do Ciberespaço previamente à sua submissão
para aprovação;
e) Elaborar anualmente, ou sempre que necessário, relatório de avaliação da execução da Estratégia
Nacional de Segurança do Ciberespaço;
f) Propor ao Primeiro-Ministro, ou ao membro do Governo em quem este delegar, a aprovação de decisões
de carácter programático relacionadas com a definição e execução da Estratégia Nacional de Segurança do
Ciberespaço;
g) Emitir parecer sobre matérias relativas à segurança do ciberespaço;
h) Responder a solicitações por parte do Primeiro-Ministro, ou do membro do Governo em quem este
delegar, no âmbito das suas competências.
Artigo 7.º
Centro Nacional de Cibersegurança
1 - O Centro Nacional de Cibersegurança funciona no âmbito do Gabinete Nacional de Segurança e é a
Autoridade Nacional de Cibersegurança.
2 - O Centro Nacional de Cibersegurança tem por missão garantir que o País usa o ciberespaço de uma
forma livre, confiável e segura, através da promoção da melhoria contínua da cibersegurança nacional e da
cooperação internacional, em articulação com todas as autoridades competentes, bem como da definição e
implementação das medidas e instrumentos necessários à antecipação, deteção, reação e recuperação de
situações que, face à iminência ou ocorrência de incidentes, ponham em causa o interesse nacional, o
funcionamento da Administração Pública, dos operadores de infraestruturas críticas, dos operadores de serviços
essenciais e dos prestadores de serviços digitais.
3 - O Centro Nacional de Cibersegurança é o ponto de contacto único nacional para efeitos de cooperação
internacional, sem prejuízo das atribuições legais da Polícia Judiciária relativas a cooperação internacional em
matéria penal.
4 - O Centro Nacional de Cibersegurança exerce as funções de regulação, regulamentação, supervisão,
fiscalização e sancionatórias nos termos das suas competências.
Página 22
II SÉRIE-A — NÚMERO 89
22
5 - O Centro Nacional de Cibersegurança tem o poder de emitir instruções de cibersegurança e de definir
o nível nacional de alerta de cibersegurança.
6 - Qualquer disposição legal de cibersegurança carece do parecer prévio do Centro Nacional de
Cibersegurança.
7 - O Centro Nacional de Cibersegurança atua em articulação e estreita cooperação com as estruturas
nacionais responsáveis pela ciberespionagem, ciberdefesa, cibercrime e ciberterrorismo, devendo comunicar à
autoridade competente, no mais curto prazo, os factos de que tenha conhecimento relativos à preparação e
execução de crimes.
8 - O Centro Nacional de Cibersegurança pode solicitar a quaisquer entidades públicas ou privadas toda
a colaboração ou auxílio que julgue necessários para o exercício das suas atividades.
Artigo 8.º
Equipa de resposta a incidentes de segurança informática nacional
1 - A Equipa de resposta a incidentes de segurança informática nacional é o «CERT.PT».
2 - O «CERT.PT» funciona no Centro Nacional de Cibersegurança.
Artigo 9.º
Competências da Equipa de resposta a incidentes de segurança informática nacional
A Equipa de resposta a incidentes de segurança informática nacional possui as seguintes competências:
a) Exercer a coordenação operacional na resposta a incidentes, nomeadamente, em articulação com as
equipas de resposta a incidentes de segurança informática setoriais existentes;
b) Monitorizar o ciberespaço;
c) Ativar mecanismos de alerta rápido;
d) Intervir na reação, análise e mitigação de incidentes;
e) Proceder à análise dinâmica dos riscos;
f) Assegurar a cooperação com entidades públicas e privadas;
g) Promover a adoção e a utilização de práticas comuns ou normalizadas;
h) Participar nos fora nacionais de cooperação de equipas de resposta a incidentes de segurança
informática;
i) Assegurar a representação nacional nos fora internacionais de cooperação de equipas de resposta a
incidentes de segurança informática;
j) Participar em eventos de treino nacionais e internacionais.
Artigo 10.º
Operadores de serviços essenciais
Os operadores de serviços essenciais enquadram-se num dos tipos de entidades que atuam nos setores e
subsetores constantes do anexo à presente lei, da qual fazem parte integrante.
Artigo 11.º
Prestadores de serviços digitais
Os prestadores de serviços digitais prestam os seguintes serviços:
a) Serviço de mercado em linha;
b) Serviço de motor de pesquisa em linha;
c) Serviço de computação em nuvem.
Página 23
26 DE MARÇO DE 2018
23
CAPÍTULO III
Segurança das redes e dos sistemas de informação
Artigo 12.º
Definição de requisitos de segurança e normalização
1 - Os requisitos de segurança são definidos nos termos previstos em legislação própria, sem prejuízo do
disposto no artigo 18.º.
2 - Os requisitos de segurança não se aplicam:
a) Às empresas sujeitas aos requisitos previstos nos artigos 54.º-A a 54.º-G da lei das comunicações
eletrónicas, aprovada pela Lei n.º 5/2004, de 10 de fevereiro;
b) Aos prestadores de serviços de confiança previstos no artigo 19.º do Regulamento (UE) n.º 910/2014, de
23 de julho, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no
mercado interno.
3 - Os requisitos de segurança são definidos de forma a permitir a utilização de normas e especificações
técnicas internacionalmente aceites aplicáveis à segurança das redes e dos sistemas de informação, sem
imposição ou discriminação em favor da utilização de um determinado tipo de tecnologia.
Artigo 13.º
Definição de requisitos de notificação de incidentes
1 - Os requisitos de notificação de incidentes são definidos nos termos previstos em legislação própria,
sem prejuízo do disposto no artigo 19.º.
2 - Os requisitos de notificação de incidentes não se aplicam:
a) Às empresas sujeitas aos requisitos previstos nos artigos 54.º-A a 54.º-G da lei das comunicações
eletrónicas, aprovada pela Lei n.º 5/2004, de 10 de fevereiro;
b) Aos prestadores de serviços de confiança previstos no artigo 19.º do Regulamento (UE) n.º 910/2014, de
23 de julho, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no
mercado interno.
Artigo 14.º
Requisitos de segurança para a Administração Pública e operadores de infraestruturas críticas
1 - A Administração Pública e os operadores de infraestruturas críticas devem cumprir as medidas técnicas
e organizativas adequadas e proporcionais para gerir os riscos que se colocam à segurança das redes e dos
sistemas de informação que utilizam.
2 - As medidas previstas no número anterior devem garantir um nível de segurança adequado ao risco em
causa, tendo em conta os progressos técnicos mais recentes.
3 - A Administração Pública e os operadores de infraestruturas críticas tomam as medidas adequadas para
evitar os incidentes que afetem a segurança das redes e dos sistemas de informação utilizados e para reduzir
ao mínimo o seu impacto.
Artigo 15.º
Notificação de incidentes para a Administração Pública e operadores de infraestruturas críticas
1 - A Administração Pública e os operadores de infraestruturas críticas notificam o Centro Nacional de
Cibersegurança dos incidentes com um impacto relevante na segurança das redes e dos sistemas de
informação, no prazo definido na legislação própria referida no artigo 13.º.
2 - A notificação dos operadores de infraestruturas críticas inclui informação que permita ao Centro Nacional
de Cibersegurança determinar o impacto transfronteiriço dos incidentes.
3 - A notificação não acarreta responsabilidades acrescidas para a parte notificante.
Página 24
II SÉRIE-A — NÚMERO 89
24
4 - A fim de determinar a relevância do impacto de um incidente são tidos em conta, designadamente, os
seguintes parâmetros:
a) O número de utilizadores afetados;
b) A duração do incidente;
c) A distribuição geográfica, no que se refere à zona afetada pelo incidente.
5 - Sempre que as circunstâncias o permitam, o Centro Nacional de Cibersegurança presta ao notificante as
informações relevantes relativas ao seguimento da sua notificação, nomeadamente informações que possam
contribuir para o tratamento eficaz do incidente.
6 - O Centro Nacional de Cibersegurança, após consultar o notificante, pode divulgar incidentes específicos
de acordo com o interesse público, salvaguardando a segurança e os interesses dos operadores de
infraestruturas críticas.
Artigo 16.º
Requisitos de segurança para os operadores de serviços essenciais
1 - Os operadores de serviços essenciais devem cumprir as medidas técnicas e organizativas adequadas e
proporcionais para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que
utilizam.
2 - As medidas previstas no número anterior devem garantir um nível de segurança adequado ao risco em
causa, tendo em conta os progressos técnicos mais recentes.
3 - Os operadores de serviços essenciais tomam as medidas adequadas para evitar os incidentes que afetem
a segurança das redes e dos sistemas de informação utilizados para a prestação dos seus serviços essenciais
e para reduzir ao mínimo o seu impacto, a fim de assegurar a continuidade desses serviços.
Artigo 17.º
Notificação de incidentes para os operadores de serviços essenciais
1 - Os operadores de serviços essenciais notificam o Centro Nacional de Cibersegurança, dos incidentes
com um impacto relevante na continuidade dos serviços essenciais por si prestados, no prazo definido na
legislação própria referida no artigo 13.º.
2 - A notificação inclui informação que permita ao Centro Nacional de Cibersegurança determinar o impacto
transfronteiriço dos incidentes.
3 - A notificação não acarreta responsabilidades acrescidas para a parte notificante.
4 - A fim de determinar a relevância do impacto de um incidente são tidos em conta, designadamente, os
seguintes parâmetros:
a) O número de utilizadores afetados pela perturbação do serviço essencial;
b) A duração do incidente;
c) A distribuição geográfica, no que se refere à zona afetada pelo incidente.
5 - Com base na informação prestada na notificação, o Centro Nacional de Cibersegurança informa os outros
Estados-Membros afetados caso o incidente tenha um impacto importante na continuidade dos serviços
essenciais nesses Estados-Membros.
6 - No caso referido no número anterior, o Centro Nacional de Cibersegurança salvaguarda a segurança e
os interesses do operador de serviços essenciais, bem como a confidencialidade da informação prestada na sua
notificação.
7 - Sempre que as circunstâncias o permitam, o Centro Nacional de Cibersegurança presta ao operador de
serviços essenciais notificante as informações relevantes relativas ao seguimento da sua notificação,
nomeadamente informações que possam contribuir para o tratamento eficaz do incidente.
8 - O Centro Nacional de Cibersegurança transmite as notificações referidas no n.º 1 aos pontos de contacto
únicos dos outros Estados-Membros afetados.
Página 25
26 DE MARÇO DE 2018
25
9 - O Centro Nacional de Cibersegurança, após consultar o notificante, pode divulgar informação relativa a
incidentes específicos de acordo com o interesse público.
10 - Se um operador de serviços essenciais depender de um terceiro prestador de serviços digitais para a
prestação de um serviço essencial, notifica todos os impactos importantes na continuidade dos seus serviços,
decorrentes dos incidentes que afetem o prestador de serviços digitais.
Artigo 18.º
Requisitos de segurança para os prestadores de serviços digitais
1 - Os prestadores de serviços digitais identificam e tomam as medidas técnicas e organizativas adequadas
e proporcionais para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que
utilizam no contexto da oferta dos serviços digitais.
2 - As medidas referidas no número anterior, devem garantir um nível de segurança das redes e dos sistemas
de informação adequado ao risco em causa, tendo em conta os progressos técnicos mais recentes, e devem ter
em conta os seguintes fatores:
a) A segurança dos sistemas e das instalações;
b) O tratamento dos incidentes;
c) A gestão da continuidade das atividades;
d) O acompanhamento, a auditoria e os testes realizados;
e) A conformidade com as normas internacionais.
3 - Os prestadores de serviços digitais tomam medidas para evitar os incidentes que afetem a segurança das
suas redes e sistemas de informação e para reduzir ao mínimo o seu impacto nos serviços digitais, a fim de
assegurar a continuidade desses serviços.
4 - O presente artigo não se aplica às microempresas nem às pequenas empresas, tal como definidas pelo
Decreto-Lei n.º 372/2007, de 6 de junho, na sua redação atual.
5 - Os elementos constantes dos n.ºs 1 a 3 são objeto de Regulamento de Execução da Comissão Europeia.
Artigo 19.º
Notificação de incidentes para os prestadores de serviços digitais
1 - Os prestadores de serviços digitais notificam o Centro Nacional de Cibersegurança dos incidentes com
impacto substancial na prestação dos serviços digitais, no prazo definido na legislação própria referida no artigo
13.º.
2 - A notificação referida no número anterior inclui informação que permita ao Centro Nacional de
Cibersegurança determinar a importância dos impactos transfronteiriços.
3 - A notificação não acarreta responsabilidades acrescidas para a parte notificante.
4 - A fim de determinar se o impacto de um incidente é substancial, são tidos em conta os seguintes
parâmetros:
a) O número de utilizadores afetados pelo incidente, nomeadamente de utilizadores que dependem do
serviço para prestarem os seus próprios serviços;
b) A duração do incidente;
c) A distribuição geográfica, no que se refere à zona afetada pelo incidente;
d) O nível de gravidade da perturbação do funcionamento do serviço;
e) A extensão do impacto nas atividades económicas e societais.
5 - A obrigação de notificar um incidente só se aplica se o prestador de serviços digitais tiver acesso a
informação necessária para avaliar o impacto de um incidente em função dos fatores a que se refere o n.º 2 do
artigo anterior.
6 - Se os incidentes referidos no n.º 1 disserem respeito a dois ou mais Estados-Membros, o Centro Nacional
de Cibersegurança informa os outros Estados-Membros afetados.
Página 26
II SÉRIE-A — NÚMERO 89
26
7 - No caso referido no número anterior, o Centro Nacional de Cibersegurança salvaguarda a segurança e
os interesses do prestador de serviços digitais.
8 - O Centro Nacional de Cibersegurança, após consultar o notificante, pode divulgar incidentes específicos
de acordo com o interesse público.
9 - O presente artigo não se aplica às microempresas nem às pequenas empresas, tal como definidas pelo
Decreto-Lei n.º 372/2007, de 6 de junho, na sua redação atual.
10 - Os elementos constantes dos n.ºs 1 a 5 são objeto de Regulamento de Execução da Comissão Europeia.
Artigo 20.º
Notificação voluntária de incidentes
1 - Sem prejuízo da obrigação de notificação de incidentes prevista na presente lei, quaisquer entidades
podem notificar, a título voluntário, os incidentes com impacto importante na continuidade dos serviços por si
prestados.
2 - No tratamento das notificações voluntárias, aplica-se o disposto no artigo 17.º, com as necessárias
adaptações.
3 - A notificação voluntária não pode dar origem à imposição à entidade notificante de obrigações às quais
esta não teria sido sujeita se não tivesse procedido a essa notificação.
CAPÍTULO IV
Fiscalização e sanções
Artigo 21.º
Competências de fiscalização e sancionatórias
As competências de fiscalização e de aplicação das sanções previstas na presente lei cabem ao Centro
Nacional de Cibersegurança.
Artigo 22.º
Contraordenações
As infrações ao disposto na presente lei constituem contraordenações, nos termos dos artigos seguintes.
Artigo 23.º
Infrações muito graves
1 - Constituem infrações muito graves:
a) O incumprimento da obrigação de implementar requisitos de segurança tal como previsto nos artigos 14.º,
16.º e 18.º;
b) O incumprimento de instruções de cibersegurança emitidas pelo Centro Nacional de Cibersegurança tal
como previsto no n.º 5 do artigo 7.º.
2 - As contraordenações referidas no número anterior são punidas com coima de € 1250 a € 2500,
tratando-se de uma pessoa singular, e de € 2500 a € 5000, no caso de se tratar de uma pessoa coletiva.
Artigo 24.º
Infração grave
1 - Constituem infrações graves:
a) O incumprimento da obrigação de notificar o Centro Nacional de Cibersegurança dos incidentes tal como
previsto nos artigos 15.º, 17.º e 19.º;
Página 27
26 DE MARÇO DE 2018
27
b) O incumprimento da obrigação de notificar o Centro Nacional de Cibersegurança do exercício de atividade
no setor das infraestruturas digitais tal como previsto no n.º 3 do artigo 29.º;
c) O incumprimento da obrigação de notificar o Centro Nacional de Cibersegurança da identificação como
prestador de serviços digitais tal como previsto no artigo 30.º.
2 - As contraordenações referidas no número anterior são punidas com coima de (euro) 250 a (euro) 500,
tratando-se de uma pessoa singular, e de (euro) 500 a (euro) 1000, no caso de se tratar de uma pessoa coletiva.
Artigo 25.º
Negligência
A negligência é punível, sendo os limites mínimos e máximos das coimas reduzidos a metade.
Artigo 26.º
Instrução dos processos de contraordenação e aplicação de sanções
Compete ao Centro Nacional de Cibersegurança instruir os processos de contraordenação e ao respetivo
dirigente máximo a aplicação das coimas.
Artigo 27.º
Produto das coimas
O produto das coimas reverte em:
a) 60 % para o Estado;
b) 40 % para o Centro Nacional de Cibersegurança.
Artigo 28.º
Regime subsidiário
Em matéria contraordenacional, em tudo o que não estiver previsto na presente lei, aplica-se o disposto no
regime geral das contraordenações.
CAPÍTULO V
Disposições finais
Artigo 29.º
Identificação de operadores de serviços essenciais
1 - Para efeito do cumprimento da presente lei, o Centro Nacional de Cibersegurança identifica os
operadores de serviços essenciais até 9 de novembro de 2018.
2 - A identificação referida no número anterior é objeto de atualização anual.
3 - As entidades do setor das infraestruturas digitais devem comunicar de imediato ao Centro Nacional de
Cibersegurança o exercício da respetiva atividade.
Artigo 30.º
Identificação de prestadores de serviços digitais
1 - Os prestadores de serviços digitais devem comunicar de imediato ao Centro Nacional de Cibersegurança
o exercício da respetiva atividade.
2 - O dever de notificação referido no número anterior não é aplicável às micro nem às pequenas empresas,
tal como definidas pelo Decreto-Lei n.º 372/2007, de 6 de junho, na sua redação atual.
Página 28
II SÉRIE-A — NÚMERO 89
28
Artigo 31.º
Legislação complementar
1 - Os requisitos de segurança previstos no n.º 1 do artigo 14.º e no n.º 1 do artigo 16.º são definidos em
legislação própria no prazo de 150 dias após a entrada em vigor da presente lei.
2 - Os requisitos de notificação de incidentes previstos no n.º 1 do artigo 15.º, no n.º 1 do artigo 17.º e no
n.º 1 do artigo 19.º são definidos em legislação própria no prazo de 150 dias após a entrada em vigor da presente
lei.
Artigo 32.º
Norma revogatória
É revogada a Resolução do Conselho de Ministros n.º 115/2017, de 24 de agosto.
Artigo 33.º
Entrada em vigor e produção de efeitos
1 - A presente lei entra em vigor no dia seguinte ao da sua publicação.
2 - Sem prejuízo do disposto no número anterior, o regime decorrente dos artigos 14.º a 27.º produz efeitos
seis meses após a entrada em vigor da presente lei.
Visto e aprovado em Conselho de Ministros de 15 de março de 2018.
O Primeiro-Ministro, António Luís Santos da Costa — A Ministra da Presidência e da Modernização
Administrativa, Maria Manuel de Lemos Leitão Marques — O Secretário de Estado dos Assuntos Parlamentares,
Pedro Nuno de Oliveira Santos.
ANEXO
(a que se refere o artigo 10.º)
Setores, subsetores e tipos de entidades relativos aos operadores de serviços essenciais
Setor Subsetor Tipo de entidades
Energia
Eletricidade
Empresa de eletricidade que exerce a atividade de
comercialização.
Operadores da rede de distribuição.
Operadores da rede de transporte.
Petróleo
Operadores de oleodutos de petróleo.
Operadores de instalações de produção, refinamento e
tratamento, armazenamento e transporte de petróleo.
Gás
Empresas de comercialização.
Operadores da rede de distribuição.
Operadores da rede de transporte.
Operadores do sistema de armazenamento.
Operadores da rede de gás natural em estado líquido
(GNL).
Página 29
26 DE MARÇO DE 2018
29
Setor Subsetor Tipo de entidades
Empresas de gás natural.
Operadores de instalações de refinamento e tratamento
de gás natural.
Transportes
Transporte aéreo
Transportadoras aéreas.
Entidades gestoras aeroportuárias, aeroportos e as
entidades que exploram instalações anexas existentes
dentro dos aeroportos.
Operadores de controlo da gestão do tráfego aéreo que
prestam serviços de controlo de tráfego aéreo.
Transporte
ferroviário
Gestores de infraestruturas.
Empresas ferroviárias incluindo os operadores de
instalações de serviço.
Transporte
marítimo e por
vias navegáveis
interiores
Companhias de transporte por vias navegáveis
interiores, marítimo e costeiro de passageiros e de
mercadorias não incluindo os navios explorados por
essas companhias.
Entidades gestoras dos portos incluindo as respetivas
instalações portuárias e as entidades que gerem as
obras e os equipamentos existentes dentro dos portos.
Operadores de serviços de tráfego marítimo.
Transporte
rodoviário
Autoridades rodoviárias.
Operadores de sistemas de transporte inteligentes.
Bancário Instituições de crédito.
Infraestruturas
do mercado
financeiro
Operadores de plataformas de negociação.
Contrapartes centrais.
Saúde
Instalações de
prestação de
cuidados de
saúde
Prestadores de cuidados de saúde.
Fornecimento e
distribuição de
água potável
Fornecedores e distribuidores de água destinada ao
consumo humano mas excluindo os distribuidores para
os quais a distribuição de água para consumo humano
é apenas uma parte da sua atividade geral de
distribuição de outros produtos de base e mercadorias
não considerados serviços essenciais.
Infraestruturas
digitais
Pontos de troca de tráfego.
Prestadores de serviços de Sistema de Nomes de
Domínio (DNS).
Registos de nomes de domínio de topo.
———
Página 30
II SÉRIE-A — NÚMERO 89
30
PROPOSTA DE LEI N.º 120/XIII (3.ª)
ASSEGURA A EXECUÇÃO, NA ORDEM JURÍDICA NACIONAL, DO REGULAMENTO (UE) 2016/679,
RELATIVO À PROTEÇÃO DAS PESSOAS SINGULARES NO QUE DIZ RESPEITO AO TRATAMENTO DE
DADOS PESSOAIS E À LIVRE CIRCULAÇÃO DESSES DADOS
Exposição de motivos
Em janeiro de 2012, a Comissão Europeia apresentou uma proposta de regulamento sobre a proteção de
dados pessoais. Após um longo processo negocial, que se desenrolou com especial intensidade durante os
anos de 2014 e 2015, aquela iniciativa legislativa veio a culminar na aprovação do Regulamento (UE) 2016/679,
do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no
que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
Este instrumento normativo, conhecido como Regulamento Geral de Proteção de Dados e doravante
designado abreviadamente por RGPD, foi especialmente pensado para a proteção dos cidadãos face ao
tratamento de dados pessoais em larga escala, por grandes empresas e serviços da sociedade de informação.
O paradigma que esteve subjacente ao legislador europeu foi o das grandes multinacionais que gerem redes
sociais ou aplicações informáticas à escala global, envolvendo a recolha e utilização intensivas de dados
pessoais.
Por esse motivo, algumas das soluções jurídicas que foram plasmadas para esse universo revelam-se por
vezes desproporcionadas ou mesmo desadequadas para a generalidade do tecido empresarial nacional e para
a Administração Pública, aos quais o RGPD, todavia, também se aplica.
Assim, do trabalho de avaliação de impacto já realizado, conclui-se que a aplicação deste regulamento
resultará em encargos administrativos elevados, que em muitos casos não se encontram suficientemente
justificados pelos benefícios obtidos com o novo regime de proteção de dados pessoais relativamente ao regime
atual.
São justamente estes encargos que, sempre que possível, a presente proposta de lei visa mitigar – dentro
da estreita margem conferida pelo RGPD e com respeito pelos direitos, liberdades e garantias previstos na
Constituição –, garantindo um adequado equilíbrio entre a devida proteção dos titulares de dados pessoais, a
liberdade de iniciativa económica e a tarefa estadual de promoção do bem-estar social.
O RGPD revogou a Diretiva n.º 95/46/CE e é aplicável em todos os Estados-Membros da União Europeia a
partir de 25 de maio de 2018. No entanto, esta revogação não significa que tenha sido estabelecida uma rotura
absoluta entre o sistema de proteção de dados contido nessa diretiva e o sistema adotado pelo RGPD. De facto,
são muitas as situações de continuidade, e há definições fulcrais que não foram afetadas, como por exemplo as
de dados pessoais, tratamento ou responsável pelo tratamento.
No que tange à aplicação material do RGPD, a legislação europeia sobre a proteção de dados pessoais
continua sem se aplicar a tratamentos efetuados por pessoas singulares para finalidades pessoais e domésticas.
O RGPD estabelece, contudo, regras mais exigentes quanto ao tratamento de categorias especiais de dados
pessoais – por exemplo, origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação
sindical, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual – mantendo como fontes
de legitimidade a lei e o consentimento.
Permanecem, expressamente referidos, os princípios da legitimidade, da lealdade, da transparência, da
finalidade e da exatidão. No plano dos direitos dos titulares dos dados, continuam vigentes os direitos de
informação, de acesso, de retificação, de oposição, estabelecendo-se o princípio geral da interdição das
decisões individuais automatizadas.
Sobre as transferências para países terceiros ou organizações internacionais, continua a valer o critério de
assegurar o nível de proteção adequado, apesar de se terem introduzido alterações sensíveis na matéria.
Relativamente às autoridades de proteção de dados, o RGPD, apesar de ter procedido a alterações
importantes nas competências relativas ao controlo prévio, mantém e inclusivamente reforça a independência
destas autoridades.
São muito amplas as atribuições das entidades de controlo, passando pelo controlo da execução e aplicação
do RGPD até à aprovação de cláusulas contratuais tipo ou à aprovação de códigos de conduta. Os seus poderes
Página 31
26 DE MARÇO DE 2018
31
estão divididos entre poderes de investigação, poderes de correção e poderes consultivos, mantendo-se, no
essencial, o regime constante da diretiva.
Também seguindo o anteriormente previsto na diretiva, o RGPD estabelece normas sobre direito
sancionatório, agravando significativamente a moldura máxima das coimas.
Importa destacar, em todo o caso, as principais novidades que o regulamento europeu veio introduzir. Neste
âmbito, deve mencionar-se a aplicação extraterritorial do RGPD quando esteja em causa a oferta de bens ou
serviços sem necessidade de proceder a um pagamento ou ao controlo do comportamento dos titulares dos
dados nas redes sociais, desde que tenha lugar no espaço da União Europeia.
No domínio das definições, deve realçar-se a definição de perfis, de pseudonimização, de violação de dados
pessoais e, ainda, os conceitos de estabelecimento principal, representante e empresa.
A definição de consentimento passou a exigir um ato positivo inequívoco, afastando a possibilidade de
consentimentos tácitos.
O papel do subcontratante muda substancialmente no RGPD, na medida em que adquire responsabilidade
própria perante os titulares dos dados.
O RGPD admite que os Estados-Membros definam a idade com que as crianças podem ter acesso, sem
carecer de consentimento dos seus representantes legais, à oferta direta de serviços da sociedade da
informação, a qual pode variar entre 13 e 16 anos.
No capítulo dos novos direitos, o direito ao apagamento de dados (‘direito a ser esquecido’) e o direito à
portabilidade adquirem especial relevo.
A relação entre a tecnologia e o Direito manifesta-se, de modo especial, na proteção de dados desde a
conceção e por omissão, nas regras de segurança dos tratamentos, na notificação de violações de dados
pessoais às autoridades de controlo, na comunicação de violação de dados pessoais a titulares dos dados e na
avaliação de impacto sobre proteção de dados.
De significativo relevo no RGPD encontra-se a figura do encarregado de proteção de dados, obrigatório na
Administração Pública e nas entidades privadas que tratem informação sensível ou em grande escala.
O encarregado de proteção de dados disporá de um estatuto de independência dentro da organização e
deve ser designado de acordo com os seus conhecimentos de proteção de dados, contribuindo para substituir
o papel de controlo prévio das autoridades de controlo, que é eliminado e substituído por registos das atividades
de tratamento no âmbito de cada responsável pelo tratamento. Para além disso, através da figura da consulta
prévia, o responsável pelo tratamento deve dirigir-se à autoridade de controlo antes de proceder a um tratamento
de dados pessoais quando se tenha verificado, após uma avaliação de impacto, que se está perante um elevado
risco.
O RGPD determina a criação de procedimentos de certificação em matéria de proteção de dados, bem como
a criação de selos e marcas.
Outro dos aspetos relevantes do RGPD consiste no sistema do one stop shop ou de balcão único, de acordo
com o qual a autoridade de controlo do estabelecimento principal ou do estabelecimento único do responsável
pelo tratamento ou do subcontratante é competente para agir como autoridade de controlo principal para o
tratamento transfronteiriço.
Há ainda a destacar a criação do Comité Europeu para a Proteção de Dados, dotado de personalidade
jurídica e criado para a aplicação coerente do RGPD.
Apesar de se tratar de um regulamento da União Europeia, o RGPD apresenta um conjunto significativo de
normas que requerem ou permitem a intervenção do legislador nacional. Através da presente proposta de lei,
assegura-se a execução do RGPD na ordem jurídica interna, e adotam-se as soluções mais adequadas para a
proteção dos direitos dos titulares de dados pessoais no contexto da competitividade das empresas portuguesas
no quadro da União Europeia.
Relativamente à autoridade de controlo nacional, adaptam-se as competências da Comissão Nacional de
Proteção de Dados (CNPD) às atribuições e poderes previstos no RGPD, mantendo-se a respetiva composição
e regras de funcionamento.
Quanto à nova figura do encarregado de proteção de dados, esclarecem-se as condições exigidas para o
exercício de tal cargo e densificam-se as respetivas funções, instituindo-se um regime jurídico específico para a
Administração Pública.
No tocante à acreditação e certificação previstas no RGPD, atribui-se ao Instituto Português de Acreditação,
Página 32
II SÉRIE-A — NÚMERO 89
32
I. P., a competência para proceder à acreditação dos organismos de certificação, a quem cabe certificar
procedimentos e emitir selos e marcas de proteção de dados, destinados a atestar o cumprimento do RGPD.
Relativamente ao consentimento de menores para aceder a serviços da sociedade de informação, considera-
se adequada a idade de treze anos, em harmonia com a opção feita noutros Estados-Membros da União
Europeia quanto a redes e plataformas que, em regra, têm um caráter transnacional. Determina-se ainda, quanto
a menores de idade inferior a treze anos, que o consentimento deve ser prestado pelos respetivos
representantes legais, abrangendo quer os titulares das responsabilidades parentais, quer o tutor.
No que se refere a dados de pessoas falecidas, e tal como previsto no RGPD, introduz-se uma norma que
prevê a proteção dos dados pessoais sensíveis mencionados no artigo 9.º deste regulamento.
Quanto ao direito de portabilidade dos dados previsto no artigo 20.º do RGPD, esclarece-se que são
abrangidos apenas os dados fornecidos pelos respetivos titulares e que, nos casos em que a interoperabilidade
dos dados não seja tecnicamente possível, o titular dos dados tem o direito de exigir que os mesmos lhe sejam
entregues num formato digital aberto.
Tendo em conta que a CNPD deixa de exercer funções de controlo prévio, considera-se que, no tocante à
videovigilância, devem ficar plasmados na lei os princípios fundamentais do exercício desta atividade, tendo em
conta a natureza e a sensibilidade dos dados recolhidos.
Em situações específicas de tratamentos de dados pessoais, relativamente às quais o RGPD admitiu que o
legislador nacional pudesse estabelecer normas de ponderação quando estejam em causa valores como a
liberdade de expressão e de informação, a investigação para fins de arquivo de interesse público, para fins
estatísticos ou de investigação científica ou histórica, bem como tratamentos de dados em ambiente laboral,
considera-se adequado consagrar normas específicas.
Relativamente ao quadro contraordenacional, dividem-se as contraordenações em graves e muito graves,
de acordo com o estabelecido no artigo 83.º do RGPD, fixando-se limites mínimos e máximos para as coimas
correspondentes às mesmas, e aplicando-se subsidiariamente o regime geral das contraordenações. Quanto
aos crimes, mantêm-se, no essencial, os tipos e molduras penais previstos na Lei n.º 67/98, de 26 de outubro.
Em termos de disposições transitórias, sublinhe-se que os pedidos de registo e de autorização pendentes na
CNPD caducam a 25 de maio de 2018, data em que o RGPD se torna eficaz.
Mais se realça que os responsáveis pelos tratamentos de dados realizados com base em autorizações
emitidas nos termos da Lei n.º 67/98, de 26 de outubro, bem como os subcontratantes, estão vinculados a
cumprir as obrigações impostas pelo RGPD, com exceção da avaliação de impacto sobre a proteção de dados
a que se refere o seu artigo 35.º.
Em particular, destaque-se que, nos casos em que o tratamento dos dados pessoais em curso à data da
entrada em vigor da presente lei se tiver baseado no consentimento do respetivo titular, será necessário obter
novo consentimento se o anterior não tiver sido prestado em conformidade com o RGPD.
Foi realizada consulta pública, através de um conjunto de perguntas representativas de algumas das
principais opções legislativas a tomar, tendo sido concluído das respostas obtidas que os participantes nessa
consulta propugnam uma intervenção minimalista, para além do que se encontra previsto no RGPD.
Por último, refira-se que é revogada a Lei n.º 67/98, de 26 de outubro, pelo que o regime jurídico fundamental
aplicável em matéria de proteção de dados pessoais passa a ser, a partir de 25 de maio de 2018, o RGPD e a
presente lei.
Assim:
Nos termos da alínea d) do n.º 1 do artigo 197.º da Constituição, o Governo apresenta à Assembleia da
República a seguinte proposta de lei, com pedido de prioridade e urgência:
CAPÍTULO I
Disposições gerais
Artigo 1.º
Objeto
A presente lei assegura a execução, na ordem jurídica interna, do Regulamento (UE) 2016/679, do
Página 33
26 DE MARÇO DE 2018
33
Parlamento Europeu e do Conselho de 27 de abril de 2016, relativo à proteção das pessoas singulares no que
diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, doravante designado
abreviadamente por RGPD.
Artigo 2.º
Âmbito de aplicação
1 - A presente lei aplica-se aos tratamentos de dados pessoais realizados no território nacional,
independentemente da natureza pública ou privada do responsável pelo tratamento ou do subcontratante,
mesmo que o tratamento de dados pessoais seja efetuado em cumprimento de obrigações legais ou no âmbito
da prossecução de missões de interesse público, aplicando-se todas as exclusões previstas no artigo 2.º do
RGPD.
2 - A presente lei aplica-se ainda aos tratamentos de dados pessoais realizados fora do território nacional
quando:
a) Sejam efetuados no âmbito da atividade de um estabelecimento situado no território nacional; ou
b) Afetem titulares de dados que residam no território nacional, quando as atividades de tratamento se
encontrem subordinadas ao disposto no n.º 2 do artigo 3.º do RGPD; ou
c) Afetem titulares de dados que, sendo portugueses, residam no estrangeiro e cujos dados estejam inscritos
nos postos consulares.
3 - A presente lei não se aplica aos ficheiros de dados pessoais constituídos e mantidos sob a
responsabilidade do Sistema de Informações da República Portuguesa, que se rege por disposições específicas,
nos termos da lei.
CAPÍTULO II
Comissão Nacional de Proteção de Dados
Artigo 3.º
Autoridade de controlo nacional
AComissão Nacional de Proteção de Dados (CNPD) é a autoridade de controlo nacional para efeitos do
RGPD e da presente lei.
Artigo 4.º
Natureza e independência
1 - A CNPD é uma entidade administrativa independente, com personalidade jurídica de direito público e
poderes de autoridade, dotada de autonomia administrativa e financeira, que funciona junto da Assembleia da
República.
2 - A CNPD controla e fiscaliza o cumprimento do RGPD e da presente lei, bem como das demais disposições
legais e regulamentares em matéria de proteção de dados pessoais,a fim de defender os direitos, liberdades e
garantias das pessoas singulares no âmbito dos tratamentos de dados pessoais.
3 - A CNPD age com independência na prossecução das suas atribuições e no exercício dos poderes que
lhe são atribuídos pela presente lei.
4 - Os membros da CNPD não estão sujeitos a influências externas, diretas ou indiretas, no desempenho das
suas funções e no exercício dos seus poderes, e não solicitam nem recebem instruções de terceiros.
5 - Os membros da CNPD abstêm-se de qualquer ato incompatível com as suas funções e ficam sujeitos ao
regime de incompatibilidades estabelecido para os titulares de altos cargos públicos, não podendo, durante o
seu mandato, desempenhar outra atividade, remunerada ou não, com exceção da atividade de docência no
ensino superior e de investigação.
Página 34
II SÉRIE-A — NÚMERO 89
34
Artigo 5.º
Composição e funcionamento
A composição, o modo de designação e o estatuto remuneratório dos membros da CNPD, bem como a
respetiva orgânica e quadro de pessoal, são aprovados por lei da Assembleia da República.
Artigo 6.º
Atribuições e competências
1 - Para além do disposto no artigo 57.º do RGPD, a CNPD prossegue as seguintes atribuições:
a) Pronunciar-se, a título não vinculativo, sobre as medidas legislativas e regulamentares relativas à proteção
de dados pessoais, bem como sobre instrumentos jurídicos em preparação, em instituições europeias ou
internacionais, relativos à mesma matéria;
b) Fiscalizar o cumprimento das disposições do RGPD e das demais disposições legais e regulamentares
relativas à proteção de dados pessoais e dos direitos, liberdades e garantias dos titulares dos dados, e corrigir
e sancionar o seu incumprimento;
c) Disponibilizar uma lista de tratamentos sujeitos à avaliação do impacto sobre a proteção de dados, nos
termos do n.º 4 do artigo 35.º do RGPD, definindo igualmente critérios que permitam densificar a noção de
elevado risco prevista nesse artigo;
d) Elaborar e apresentar ao Comité Europeu para a Proteção de Dados, previsto no RGPD, os projetos de
critérios para a acreditação dos organismos de monitorização de códigos de conduta e dos organismos de
certificação, nos termos dos artigos 41.º e 43.º do RGPD, e assegurar a posterior publicação dos critérios, caso
sejam aprovados;
e) Acreditar organismos para monitorizar códigos de conduta, nos termos do RGPD, bem como revogar a
acreditação sempre que os requisitos deixem de ser cumpridos ou as medidas adotadas violem as normas de
proteção de dados;
f) Cooperar com o Instituto Português de Acreditação, I.P. (IPAC, I.P.), relativamente à aplicação do disposto
no artigo 14.º da presente lei, bem como na definição de requisitos adicionais de acreditação, tendo em vista a
salvaguarda da coerência de aplicação do RGPD;
g) Promover ações de formação adequadas e regulares destinadas aos encarregados de proteção de dados.
2 - A CNPD exerce as competências previstas no artigo 58.º do RGPD.
Artigo 7.º
Avaliações prévias de impacto
1 - Nos termos do n.º 5 do artigo 35.º do RGPD, a CNPD difunde uma lista de tipos de tratamentos de dados
cuja avaliação prévia de impacto não é obrigatória.
2 - O disposto no número anterior não impede os responsáveis pelo tratamento de efetuar uma avaliação
prévia de impacto por iniciativa própria.
3 - As listas referidas nos n.ºs 4 e 5 do artigo 35.º do RGPD são publicitadas no sítio da CNPD na Internet.
Artigo 8.º
Dever de colaboração
1 - As entidades públicas e privadas devem prestar a sua colaboração à CNPD, facultando-lhe todas as
informações que por esta, no exercício das suas atribuições e competências, lhes sejam solicitadas.
2 - O dever de colaboração é assegurado, designadamente, quando a CNPD tiver necessidade, para o cabal
exercício das suas funções, de examinar o sistema informático e os ficheiros de dados pessoais, bem como toda
a documentação relativa ao tratamento e transmissão de dados pessoais.
3 - Os membros da CNPD, bem como técnicos por esta mandatados, estão obrigados ao dever de sigilo,
nomeadamente quanto ao segredo comercial a que tenham acesso no exercício das suas funções.
Página 35
26 DE MARÇO DE 2018
35
4 - O dever de colaboração previsto nos números anteriores, bem como os poderes de fiscalização da CNPD,
não prejudicam o dever de segredo a que o responsável pelo tratamento esteja obrigado nos termos da lei ou
de normas internacionais.
CAPÍTULO III
Encarregado de proteção de dados
Artigo 9.º
Disposição geral
O encarregado de proteção de dados é designado com base nas suas qualidades profissionais e, em
especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados,
bem como na sua capacidade para desempenhar as funções referidas no artigo 11.º da presente lei, não
carecendo de certificação profissional para o efeito.
Artigo 10.º
Dever de sigilo
De acordo com o disposto no n.º 5 do artigo 38.º do RGPD, o encarregado de proteção de dados está
obrigado ao dever de sigilo durante o exercício de funções, mantendo-se tal dever após o termo das mesmas.
Artigo 11.º
Funções do encarregado de proteção de dados
Para além do disposto nos artigos 37.º a 39.º do RGPD, são funções do encarregado de proteção de dados:
a) Assegurar a realização de auditorias, quer periódicas, quer não programadas;
b) Sensibilizar os utilizadores para importância da deteção atempada de incidentes de segurança e para a
necessidade de informar imediatamente o responsável pela segurança, sempre que for detetado código
malicioso;
c) Assegurar as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e pela legislação
nacional em matéria de proteção de dados.
Artigo 12.º
Encarregados de proteção de dados em entidades públicas
1 - Nos termos da alínea a) do n.º 1 do artigo 37.º do RGPD, é obrigatória a designação de encarregados
de proteção de dados nas entidades públicas, de acordo com o disposto nos números seguintes.
2 - Para efeitos do número anterior, entende-se por entidades públicas:
a) O Estado;
b) As regiões autónomas;
c) As autarquias locais;
d) As entidades administrativas independentes e o Banco de Portugal;
e) Os institutos públicos;
f) As instituições de ensino superior públicas de natureza fundacional;
g) As empresas públicas sob forma jurídico-pública;
h) As associações públicas.
3 - Independentemente de quem seja responsável pelo tratamento, existe pelo menos um encarregado
de proteção de dados:
Página 36
II SÉRIE-A — NÚMERO 89
36
a) Por cada área governativa, no caso do Estado, sendo designado pelo respetivo ministro, com faculdade
de delegação;
b) Por cada secretaria regional, no caso das regiões autónomas, sendo designado pelo respetivo secretário
regional, com faculdade de delegação.
c) Por cada município, sendo designado pela câmara municipal, com faculdade de delegação;
d) Nas freguesias em que tal se justifique, em função do volume de dados tratados, sendo designado pela
junta de freguesia, com faculdade de delegação;
e) Por cada pessoa coletiva pública, no caso das entidades mencionadas nas alíneas d) a h) do n.º 2, sendo
designado pelo respetivo órgão executivo, de administração ou gestão, com faculdade de delegação.
4 - Nos termos do n.º 3 do artigo 37.º do RGPD, pode ser designado o mesmo encarregado de proteção
de dados para várias áreas governativas, secretarias regionais, autarquias locais ou outras pessoas coletivas
públicas.
5 - O disposto no n.º 1 aplica-se aos órgãos de soberania exclusivamente no que respeita às suas
atividades materialmente administrativas.
Artigo 13.º
Encarregados de proteção de dados em entidades privadas
O responsável pelo tratamento e o subcontratante designam um encarregado de proteção de dados sempre
que a atividade privada desenvolvida, a título principal, implique:
a) Operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular
e sistemático dos titulares dos dados em grande escala; ou
b) Operações de tratamento em grande escala das categoriais especiais de dados nos termos do artigo 9.º
do RGPD, ou de dados pessoais relacionados com condenações penais e contraordenacionais nos termos do
artigo 10.º do RGPD.
CAPITULO IV
Acreditação, certificação e códigos de conduta
Artigo 14.º
Acreditação e certificação
1 - Nos termos da alínea b) do n.º 1 do artigo 43.º do RGPD, a autoridade competentepara a acreditação
dos organismos de certificação em matéria de proteção de dados é o IPAC, I.P.
2 - O ato de acreditação emitido pelo IPAC, I.P., deve tomar em consideração os requisitos previstos no
RGPD, bem como os requisitos adicionais estabelecidos pela CNPD, quando existam.
3 - A certificação, bem como a emissão de selos e marcas de proteção de dados, é efetuada por organismos
de certificação acreditados nos termos do n.º 1, destinando-se a atestar que os procedimentos implementados
cumprem o disposto no RGPD e na presente lei.
Artigo 15.º
Códigos de conduta
1 - Compete à CNPD fomentar a elaboração de códigos de conduta que regulem atividades determinadas,
os quais devem tomar em atenção as necessidades específicas das micro, pequenas e médias empresas.
2 - O tratamento de dados pessoais pela administração direta e indireta do Estado é objeto de códigos de
conduta próprios.
Página 37
26 DE MARÇO DE 2018
37
CAPÍTULO V
Disposições especiais
Artigo 16.º
Consentimento de menores
1 - Nos termos do artigo 8.º do RGPD, os dados pessoais de crianças só podem ser objeto de tratamento
com base no consentimento previsto na alínea a) do n.º 1 do artigo 6.º do RGPD e relativo à oferta direta de
serviços da sociedade de informação quando as mesmas já tenham completado treze anos de idade.
2 - Caso a criança tenha idade inferior a treze anos, o tratamento só é lícito se o consentimento for dado
pelos representantes legais desta, preferencialmente com recurso a meios de autenticação segura, como o
Cartão de Cidadão ou a Chave Móvel Digital.
Artigo 17.º
Proteção de dados pessoais de pessoas falecidas
1 - Os dados pessoais de pessoas falecidas são protegidos nos termos do RGPD e da presente lei quando
se integrem nas categorias especiais de dados pessoais a que se refere o n.º 1 do artigo 9.º do RGPD,
ressalvados os casos previstos no n.º 2 do mesmo artigo.
2 - Os direitos previstos no RGPD relativos a dados pessoais de pessoas falecidas, abrangidos pelo número
anterior, nomeadamente os direitos de acesso, retificação e apagamento, são exercidos por quem a pessoa
falecida haja designado para o efeito ou, na sua falta, pelos respetivos herdeiros.
Artigo 18.º
Portabilidade e interoperabilidade dos dados
1 - O direito de portabilidade dos dados previsto no artigo 20.º do RGPD abrange apenas os dados fornecidos
pelos respetivos titulares.
2 - A portabilidade dos dados deve, sempre que possível, ter lugar em formato aberto.
3 - No âmbito da Administração Pública, sempre que a interoperabilidade dos dados não seja tecnicamente
possível, o titular dos dados tem o direito de exigir que os mesmos lhe sejam entregues num formato digital
aberto, de acordo com o Regulamento Nacional de Interoperabilidade Digital em vigor.
Artigo 19.º
Videovigilância
1 - Sem prejuízo das disposições legais específicas que imponham a sua utilização, nomeadamente por
razões de segurança pública, os sistemas de videovigilância cuja finalidade seja a proteção de pessoas e bens
asseguram os requisitos previstos no artigo 31.º da Lei n.º 34/2013, de 16 de maio, com os limites definidos no
número seguinte.
2 - As câmaras, ou outros meios de captação de som e imagem, não podem incidir sobre:
a) Vias públicas ou propriedades limítrofes, exceto no que seja estritamente necessário para cobrir os
acessos ao imóvel;
b) A zona de digitação de códigos de caixas multibanco ou outros terminais de pagamento ATM;
c) O interior de áreas reservadas a clientes ou utentes onde deva ser respeitada a privacidade,
designadamente instalações sanitárias, zonas de espera e provadores de vestuário;
d) O interior de áreas reservadas aos trabalhadores, designadamente vestiários e instalações sanitárias.
Página 38
II SÉRIE-A — NÚMERO 89
38
Artigo 20.º
Dever de segredo
Os direitos de informação e de acesso a dados pessoais previstos nos artigos 13.º a 15.º do RGPD não
podem ser exercidos quando a lei imponha ao responsável pelo tratamento ou ao subcontratante um dever de
segredo que seja oponível ao próprio titular dos dados.
Artigo 21.º
Prazo de conservação de dados pessoais
1 - O prazo de conservação de dados pessoais é o que estiver fixado por norma legal ou regulamentar ou,
na falta desta, o que se revele necessário para a prossecução da finalidade.
2 - Quando, pela natureza e finalidade do tratamento, designadamente para fins de arquivo de interesse
público, fins de investigação científica ou histórica ou fins estatísticos, não seja possível determinar
antecipadamente o momento em que o mesmo deixa de ser necessário, é lícita a conservação dos dados
pessoais.
3 - Quando os dados pessoais sejam necessários para o responsável pelo tratamento, ou o subcontratante,
comprovar o cumprimento de obrigações, os mesmos podem ser conservados enquanto não decorrer o prazo
de prescrição dos direitos correspetivos.
4 - Quando cesse a finalidade que motivou o tratamento, inicial ou posterior, de dados pessoais, o
responsável pelo tratamento deve proceder à sua destruição ou anonimização.
5 - Nos casos em que existe um prazo de conservação de dados imposto por lei, só pode ser exercido o
direito ao apagamento previsto no artigo 17.º do RGPD findo esse prazo.
Artigo 22.º
Transferências de dados
As transferências de dados para países terceiros à União Europeia ou organizações internacionais, efetuadas
no cumprimento de obrigações legais, por entidades públicas no exercício de poderes de autoridade, são
consideradas de interesse público para efeitos do disposto no n.º 4 do artigo 49.º do RGPD.
Artigo 23.º
Tratamento de dados pessoais por entidades públicas para finalidades diferentes
1 - É permitido o tratamento de dados pessoais por entidades públicas para finalidades diferentes das
determinadas pela recolha, desde que esteja em causa a prossecução do interesse público, nos termos da
alínea e) do n.º 1, do n.º 4 do artigo 6.º e da alínea g) do n.º 2 do artigo 9.º do RGPD.
2 - A transmissão de dados pessoais entre entidades públicas para finalidades diferentes das determinadas
pela recolha deve ser objeto de protocolo, que estabeleça as responsabilidades de cada entidade interveniente,
quer no ato de transmissão, quer em outros tratamentos a efetuar.
CAPÍTULO VI
Situações específicas de tratamento de dados pessoais
Artigo 24.º
Liberdade de expressão e informação
1 - A proteção de dados pessoais, nos termos do RGPD, não prejudica o exercício da liberdade de expressão,
informação e imprensa, incluindo o tratamento de dados para fins jornalísticos e para fins de expressão
académica, artística ou literária.
Página 39
26 DE MARÇO DE 2018
39
2 - A obrigação de informação, prevista nos artigos 13.º e 14.º, o direito ao apagamento, previsto no artigo
17.º, o direito de portabilidade, previsto no artigo 20.º, e o direito de oposição, previsto no artigo 21.º, todos do
RGPD, são exercidos num quadro de ponderação com o exercício da liberdade de informação, de imprensa, e
de expressão académica, artística ou literária.
3 - Quando esteja em causa o tratamento de dados pessoais para fins jornalísticos, o direito de acesso,
previsto no artigo 15.º do RGPD, é exercido através da CNPD, procedendo-se a uma ponderação prévia com
outros direitos fundamentais aplicáveis, nomeadamente a liberdade de informação.
4 - O exercício da liberdade de informação, especialmente quando revele dados pessoais previstos no n.º 1
do artigo 9.º do RGPD, deve respeitar o princípio da dignidade da pessoa humana previsto na Constituição da
República Portuguesa e os direitos de personalidade consagrados na legislação nacional.
5 - O tratamento para fins jornalísticos deve respeitar a legislação nacional sobre acesso e exercício da
profissão.
6 - O exercício da liberdade de expressão não legitima a divulgação de dados pessoais como moradas e
contactos, à exceção daqueles que sejam de conhecimento generalizado.
Artigo 25.º
Publicação em jornal oficial
1 - A publicação de dados pessoais em jornais oficiais deve obedecer ao artigo 5.º do RGPD, nomeadamente
aos princípios da finalidade e da minimização.
2 - Sempre que o dado pessoal nome seja suficiente para garantir a identificação do titular e a eficácia do
tratamento, não devem ser publicados outros dados pessoais.
3 - Os dados pessoais publicados em jornal oficial não podem, em circunstância alguma, ser alterados,
rasurados ou ocultados.
4 - O direito ao apagamento quanto a dados pessoais publicados em jornal oficial concretiza-se, nas
condições previstas no artigo 17.º do RGPD, através da desindexação desses dados pessoais em motores de
busca.
5 - Em caso de publicação de dados pessoais em jornais oficiais, considera-se responsável pelo tratamento
a entidade que manda proceder à publicação, ou, no caso dos gabinetes dos membros do Governo, as
respetivas secretarias-gerais.
Artigo 26.º
Acesso a documentos administrativos
O acesso a documentos administrativos que contenham dados pessoais rege-se pelo disposto na Lei n.º
26/2016, de 22 de agosto.
Artigo 27.º
Publicação de dados no âmbito da contratação pública
No âmbito da contratação pública, e caso seja necessária a publicação de dados pessoais, não devem ser
publicados outros dados pessoais para além do nome, sempre que este seja suficiente para garantir a
identificação do contraente público e do cocontratante.
Artigo 28.º
Relações laborais
1 - O empregador pode tratar os dados pessoais dos seus trabalhadores nos termos definidos no Código do
Trabalho e respetiva legislação complementar ou noutros regimes setoriais, com as especificidades
estabelecidas no presente artigo.
Página 40
II SÉRIE-A — NÚMERO 89
40
2 - O número anterior abrange igualmente o tratamento efetuado por subcontratante ou contabilista
certificado em nome do empregador, para fins de gestão das relações laborais, desde que realizado ao abrigo
de um contrato de prestação de serviços e sujeito a iguais garantias de sigilo.
3 - Salvo norma legal em contrário, o consentimento do trabalhador não constitui requisito de legitimidade do
tratamento dos seus dados pessoais:
a) Se do tratamento resultar uma vantagem jurídica ou económica para o trabalhador; ou
b) Se esse tratamento estiver abrangido pelo disposto na alínea b) do n.º 1 do artigo 6.º do RGPD.
4 - As imagens gravadas e outros dados pessoais registados através da utilização de sistemas de vídeo ou
outros meios tecnológicos de vigilância à distância, nos termos previstos no artigo 20.º do Código do Trabalho,
só podem ser utilizadas no âmbito do processo penal.
5 - Nos casos previstos no número anterior, as imagens gravadas e outros dados pessoais podem também
ser utilizados para efeitos de apuramento de responsabilidade disciplinar, na medida em que o sejam no âmbito
do processo penal.
6 - O tratamento de dados biométricos dos trabalhadores só é considerado legítimo para controlo de
assiduidade e para controlo de acessos às instalações do empregador.
7 - A transferência de dados pessoais de trabalhadores entre empresas que se encontrem em relação de
domínio ou de grupo, ou mantenham estruturas organizativas comuns, só é lícita nos casos de cedência
ocasional de trabalhador e na medida que seja proporcional, necessária e adequada aos objetivos a atingir.
8 - Os dados pessoais de trabalhadores podem ainda ser transferidos, nos termos do número anterior, nas
situações de cedência de trabalhador por parte de empresa de trabalho temporário e de destacamento para
outro Estado.
Artigo 29.º
Tratamento de categorias especiais de dados pessoais
1 - Nos casos previstos nas alíneas h) e i) do n.º 2 do artigo 9.º do RGPD, o tratamento dos dados previstos
no n.º 1 do mesmo artigo deve ser efetuado por um profissional obrigado a sigilo, ou por outra pessoa sujeita a
dever de confidencialidade, devendo ser garantidas medidas adequadas de segurança da informação.
2 - Os titulares de órgãos, trabalhadores e prestadores de serviços do responsável pelo tratamento, o
encarregado de proteção de dados, os estudantes e investigadores na área da saúde e todos os profissionais
de saúde que tenham acesso a dados relativos à saúde estão sujeitos a um dever de sigilo.
3 - O dever de sigilo referido no número anterior é também aplicável a todos os titulares de órgãos e
trabalhadores que, no contexto do acompanhamento, financiamento ou fiscalização da atividade de prestação
de cuidados de saúde, tenham acesso a dados relativos à saúde.
Artigo 30.º
Bases de dados ou registos centralizados de saúde
1 - Os dados relativos à saúde podem ser organizados em bases de dados ou registos centralizados assentes
em plataformas únicas, quando tratados para efeitos das finalidades legalmente previstas no RGPD e na
legislação nacional.
2 - As bases de dados de saúde ou registos centralizados assentes nas plataformas únicas referidas no
número anterior devem preencher os requisitos de segurança e de inviolabilidade previstos no RGPD.
Artigo 31.º
Tratamentos para fins de arquivo de interesse público, fins de investigação científica ou histórica ou
fins estatísticos
1 - O tratamento para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins
estatísticos deve respeitar o princípio da minimização dos dados e incluir a anonimização ou a pseudonimização
dos mesmos sempre que os fins visados possam ser atingidos por uma destas vias.
Página 41
26 DE MARÇO DE 2018
41
2 - Quando os dados pessoais sejam tratados para fins de arquivo de interesse público, fins de investigação
científica ou histórica ou fins estatísticos, ficam prejudicados os direitos de acesso, retificação, limitação do
tratamento e de oposição previstos nos artigos 15.º, 16.º, 18.º e 21.º do RGPD, na medida do necessário, se
esses direitos forem suscetíveis de tornar impossível ou prejudicar gravemente a realização desses fins.
3 - Ao tratamento de dados pessoais para fins de arquivo de interesse público é aplicável o Decreto-Lei n.º
16/93, de 23 de janeiro, na sua redação atual.
4 - O consentimento relativo ao tratamento de dados para fins de investigação científica pode abranger
diversas áreas de investigação ou ser dado unicamente para determinados domínios ou projetos de investigação
específicos, devendo em qualquer caso ser respeitados os padrões éticos reconhecidos pela comunidade
científica.
CAPÍTULO VII
Tutela administrativa e jurisdicional
SECÇÃO I
Disposições gerais
Artigo 32.º
Tutela administrativa
Sem prejuízo do direito de apresentação de queixa à CNPD, qualquer pessoa pode recorrer a meios de tutela
administrativa, designadamente de cariz petitório ou impugnatório, para garantir o cumprimento das disposições
legais em matéria de proteção de dados pessoais, nos termos previstos no Código do Procedimento
Administrativo.
Artigo 33.º
Responsabilidade civil
1 - Qualquer pessoa que tenha sofrido um dano devido ao tratamento ilícito de dados ou a qualquer outro ato
que viole disposições do RGPD ou da lei nacional em matéria de proteção de dados pessoais, tem o direito de
obter do responsável ou subcontratante a reparação pelo dano sofrido.
2 - O responsável pelo tratamento e o subcontratante não incorrem em responsabilidade civil se provarem
que o facto que causou o dano lhes não é imputável.
3 - À responsabilidade do Estado e demais pessoas coletivas públicas é aplicável o regime previsto na Lei
n.º 67/2007, de 31 de dezembro, na sua redação atual.
Artigo 34.º
Tutela jurisdicional
1 - Qualquer pessoa, de acordo com as regras gerais de legitimidade processual, pode propor ações contra
as decisões, nomeadamente de natureza contraordenacional, e omissões da CNPD, bem como ações de
responsabilidade civil pelos danos que tais atos ou omissões possam ter causado.
2 - As ações propostas contra a CNPD são da competência dos tribunais administrativos.
3 - O titular dos dados pode propor ações contra o responsável pelo tratamento ou o subcontratante, incluindo
ações de responsabilidade civil.
4 - As ações intentadas contra o responsável pelo tratamento ou um subcontratante são propostas nos
tribunais nacionais se o responsável ou subcontratante tiver estabelecimento em território nacional ou se o titular
dos dados aqui residir habitualmente.
Página 42
II SÉRIE-A — NÚMERO 89
42
Artigo 35.º
Representação dos titulares dos dados
Sem prejuízo da observância das regras relativas ao patrocínio judiciário, o titular dos dados tem o direito de
mandatar um organismo, uma organização ou uma associação sem fins lucrativos constituída em conformidade
com o direito nacional, cujos fins estatutários sejam de interesse público e cuja atividade abranja a defesa dos
direitos, liberdades e garantias do titular dos dados quanto à proteção de dados pessoais para, em seu nome,
exercer os direitos previstos nos artigos 77.º, 78.º, 79.º e 82.º do RGPD.
Artigo 36.º
Legitimidade da CNPD
A CNPD tem legitimidade para intervir em processos judiciais no caso de violação das disposições do RGPD
e da presente lei, e deve denunciar ao Ministério Público as infrações penais de que tiver conhecimento, no
exercício das suas funções e por causa delas, bem como praticar os atos cautelares necessários e urgentes
para assegurar os meios de prova.
SECÇÃO II
Contraordenações
Artigo 37.º
Contraordenações muito graves
1 - Constituem contraordenações muito graves:
a) Os tratamentos de dados pessoais em violação dos princípios consagrados no artigo 5.º do RGDP;
b) Os tratamentos de dados pessoais que não tenham por base o consentimento ou outra condição de
legitimidade, nos termos do artigo 6.º do RGPD ou de norma nacional;
c) O incumprimento das regras relativas à prestação do consentimento previstas no artigo 7.º do RGPD;
d) Os tratamentos de dados pessoais previstos no n.º 1 do artigo 9.º do RGPD sem que se verifique uma
das circunstâncias previstas no n.º 2 do mesmo artigo;
e) Os tratamentos de dados pessoais previstos no artigo 10.º do RGPD que contrariem as regras aí previstas;
f) A exigência do pagamento de uma quantia em dinheiro fora dos casos previstos no n.º 5 do artigo 12.º do
RGPD;
g) A exigência do pagamento de uma quantia em dinheiro, nos casos previstos no n.º 5 do artigo 12.º do
RGPD, que exceda os custos necessários para satisfazer o direito do titular dos dados;
h) A não prestação de informação relevante nos termos dos artigos 13.º e 14.º do RGPD, o que ocorre nas
seguintes circunstâncias:
i) Omissão de informação das finalidades a que se destina o tratamento;
ii) Omissão de informação acerca dos destinatários ou categorias de destinatários dos dados pessoais;
iii) Omissão de informação acerca do direito de retirar o consentimento nos casos previstos na alínea a) do
n.º 1 do artigo 6.º e na alínea a) do n.º 2 do artigo 9.º do RGPD;
i) Não permitir, não assegurar ou dificultar o exercício dos direitos previstos nos artigos 15.º a 18.º e 19.º a
22.º do RGPD;
j) A transferência internacional de dados pessoais em violação do disposto nos artigos 44.º a 49.º do RGPD;
k) O incumprimento das decisões da autoridade de controlo previstas no n.º 2 do artigo 58.º do RGPD, ou
recusa da colaboração que lhe seja exigida pela CNPD, no exercício dos seus poderes;
l) A violação das regras previstas no capítulo VI da presente lei.
2 - As contraordenações referidas no número anterior são punidas com coima:
a) De € 5000 a € 20 000 000 ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais
elevado, tratando-se de grande empresa;
Página 43
26 DE MARÇO DE 2018
43
b) De € 2000 a € 2 000 000 ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais
elevado, tratando-se de PME;
c) De € 1000 a € 500 000, no caso de pessoas singulares.
Artigo 38.º
Contraordenações graves
1 - Constituem contraordenações graves:
a) A violação do disposto no artigo 8.º do RGPD;
b) A não prestação da restante informação prevista nos artigos 13.º e 14.º do RGPD;
c) A violação do disposto nos artigos 24.º e 25.º do RGPD;
d) A violação das obrigações previstas no artigo 26.º do RGPD;
e) A violação do disposto no artigo 27.º do RGPD;
f) A violação das obrigações previstas no artigo 28.º do RGPD;
g) A violação do disposto no artigo 29.º do RGPD;
h) A ausência de registo dos tratamentos de dados pessoais em violação do disposto no artigo 30.º do
RGPD;
i) A violação das regras de segurança previstas no artigo 32.º do RGPD;
j) O incumprimento dos deveres previstos no artigo 33.º do RGPD;
k) O incumprimento do dever de informar o titular dos dados pessoais nas situações previstas no artigo 34.º
do RGPD;
l) O incumprimento da obrigação de realizar avaliações de impacto nos casos previstos no artigo 35.º do
RGPD;
m) O incumprimento da obrigação de consultar a autoridade de controlo previamente à realização de
operações de tratamento de dados nos casos previstos no artigo 36.º do RGPD;
n) O incumprimento dos deveres previstos no artigo 37.º do RGPD;
o) A violação do disposto no artigo 38.º do RGPD, nomeadamente no que respeita às garantias de
independência do encarregado de proteção de dados;
p) O incumprimento dos deveres previstos no artigo 39.º do RGPD;
q) A prática de atos de supervisão de códigos de conduta por organismos não acreditados pela autoridade
de controlo nos termos do artigo 41.º do RGPD;
r) O incumprimento, por parte dos organismos de supervisão de códigos de conduta, do previsto no n.º 4 do
artigo 41.º do RGPD;
s) A utilização de selos ou marcas de proteção de dados que não tinham sido emitidos por organismos de
certificação devidamente acreditados nos termos dos artigos 42.º e 43.º do RGPD;
t) O incumprimento, por parte dos organismos de certificação, dos deveres previstos no artigo 43.º do
RGPD;
u) A violação do disposto no artigo 19.º da presente lei.
2 - As contraordenações referidas no número anterior são punidas com coima de:
a) De € 2500 a € 10 000 000 ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais
elevado, tratando-se de grande empresa;
b) De € 1000 a € 1 000 000 ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais
elevado, tratando-se de PME;
c) De € 500 a € 250 000, no caso de pessoas singulares.
Artigo 39.º
Determinação da medida da coima
1 - Na determinação da medida da coima, a CNPD tem em conta, para além dos critérios estabelecidos
no n.º 2 do artigo 83.º do RGPD:
Página 44
II SÉRIE-A — NÚMERO 89
44
a) A situação económica do agente, no caso de pessoa singular, ou o volume de negócios e o balanço anual,
no caso de pessoa coletiva;
b) O caráter continuado da infração;
c) A dimensão da entidade, tendo em conta o número de trabalhadores e a natureza dos serviços prestados.
2 - Para efeitos da aplicação do disposto nos artigos anteriores, os conceitos de PME e grande empresa
são os definidos na Recomendação n.º 2003/361/CE, da Comissão Europeia, de 6 de maio de 2003.
Artigo 40.º
Prescrição do procedimento por contraordenação
O procedimento por contraordenação extingue-se por efeito da prescrição logo que sobre a prática da
contraordenação hajam decorrido os seguintes prazos:
a) Três anos, quando se trate de contraordenação muito grave;
b) Dois anos, quando se trate de contraordenação grave.
Artigo 41.º
Prazo de prescrição das coimas
As coimas previstas na presente lei prescrevem nos seguintes prazos:
a) Três anos, no caso de coimas de montante superior a € 100 000;
b) Dois anos, no caso de coimas de montante igual ou inferior a € 100 000.
Artigo 42.º
Destino das coimas
O montante das coimas cobradas reverte em 60% para o Estado e 40% para a CNPD.
Artigo 43.º
Cumprimento do dever omitido
Sempre que a contraordenação resulte da omissão de um dever, a aplicação da sanção e o pagamento da
coima não dispensam o infrator do seu cumprimento se este ainda for possível.
Artigo 44.º
Âmbito de aplicação das contraordenações
1 - Nos termos do disposto no n.º 7 do artigo 83.º do RGPD, não se aplicam às entidades públicas as coimas
previstas no RGPD e na presente lei.
2 - Sem prejuízo do disposto no número anterior, as entidades públicas estão sujeitas aos poderes de
correção da CNPD, tal como previstos no RGPD e na presente lei, com exceção da aplicação de coimas.
Artigo 45.º
Regime subsidiário
Em tudo o que não esteja previsto na presente lei em matéria contraordenacional, aplica-se o disposto no
regime geral do ilícito de mera ordenação social.
Página 45
26 DE MARÇO DE 2018
45
SECÇÃO III
Crimes
Artigo 46.º
Utilização de dados de forma incompatível com a finalidade da recolha
1 - Quem utilizar dados pessoais de forma incompatível com a finalidade determinante da recolha é punido
com pena de prisão até um ano ou com pena de multa até 120 dias.
2 - A pena é agravada para o dobro nos seus limites quando se tratar dos dados pessoais a que se referem
os artigos 9.º e 10.º do RGPD.
Artigo 47.º
Acesso indevido
1 - Quem, sem a devida autorização ou justificação, aceder, por qualquer modo, a dados pessoais é punido
com pena de prisão até um ano ou com pena de multa até 120 dias.
2 - A pena é agravada para o dobro nos seus limites quando se tratar dos dados pessoais a que se referem
os artigos 9.º e 10.º do RGPD.
3 - A pena é também agravada para o dobro nos seus limites quando o acesso:
a) For conseguido através de violação de regras técnicas de segurança; ou
b) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial.
Artigo 48.º
Desvio de dados
1 - Quem copiar, subtrair, ceder ou transferir, a título oneroso ou gratuito, dados pessoais sem previsão legal
ou consentimento, independentemente da finalidade prosseguida, é punido com pena de prisão até um ano ou
com pena de multa até 120 dias.
2 - A pena é agravada para o dobro nos seus limites quando se tratar dos dados pessoais a que se referem
os artigos 9.º e 10.º do RGPD.
3 - A pena é também agravada para o dobro nos seus limites quando o acesso:
a) For conseguido através de violação de regras técnicas de segurança; ou
b) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial.
Artigo 49.º
Viciação ou destruição de dados
1 - Quem, sem a devida autorização ou justificação, apagar, destruir, danificar, ocultar, suprimir ou modificar
dados pessoais, tornando-os inutilizáveis ou afetando o seu potencial de utilização, é punido com pena de prisão
até dois anos ou com pena de multa até 240 dias.
2 - A pena é agravada para o dobro nos seus limites se o dano produzido for particularmente grave.
3 - Nas situações previstas nos números anteriores, se o agente atuar com negligência é punido com pena
de prisão:
a) Até um ano ou multa até 120 dias, no caso previsto no n.º 1;
b) Até dois anos ou multa até 240 dias, no caso previsto no n.º 2.
Artigo 50.º
Inserção de dados falsos
1 - Quem inserir ou facilitar a inserção de dados pessoais falsos, com a intenção de obter vantagem indevida
Página 46
II SÉRIE-A — NÚMERO 89
46
para si ou para terceiro, ou para causar prejuízo, é punido com pena de prisão até dois anos ou com pena de
multa até 240 dias.
2 - A pena é agravada para o dobro nos seus limites se da inserção referida no número anterior resultar um
prejuízo efetivo.
Artigo 51.º
Violação do dever de sigilo
1 - Quem, obrigado a sigilo profissional nos termos da lei, sem justa causa e sem o devido consentimento,
revelar ou divulgar no todo ou em parte dados pessoais é punido com pena de prisão até um ano ou com pena
de multa até 120 dias.
2 - A pena é agravada para o dobro nos seus limites se o agente:
a) For trabalhador em funções públicas ou equiparado, nos termos da lei penal;
b) For encarregado de proteção de dados;
c) For determinado pela intenção de obter qualquer vantagem patrimonial ou outro benefício ilegítimo;
d) Puser em perigo a reputação, a honra ou a intimidade da vida privada de terceiros.
3 - A negligência é punível com pena de prisão até seis meses ou com pena de multa até 60 dias.
Artigo 52.º
Desobediência
1 - Quem não cumprir as obrigações previstas no RGPD e na presente lei, depois de ultrapassado o prazo
que tiver sido fixado pela CNPD para o respetivo cumprimento, é punido com pena de prisão até um ano ou com
pena de multa até 120 dias.
2 - A pena é agravada para o dobro nos seus limites se, depois de notificado para o efeito, o agente:
a) Não interromper, cessar ou bloquear o tratamento ilícito de dados;
b) Não proceder ao apagamento ou destruição dos dados quando legalmente exigível, ou findo o prazo de
conservação fixado nos termos da presente lei; ou
c) Recusar, sem justa causa, a colaboração que lhe for exigida nos termos do artigo 8.º da presente lei.
Artigo 53.º
Punibilidade da tentativa
Nos crimes previstos na presente secção, a tentativa é sempre punível.
Artigo 54.º
Responsabilidade das pessoas coletivas
As pessoas coletivas e entidades equiparadas, com exceção do Estado, de pessoas coletivas no exercício
de prerrogativas de poder público e de organizações de direito internacional público, são responsáveis pelos
crimes previstos na presente secção, nos termos do artigo 11.º do Código Penal.
SECÇÃO IV
Disposições comuns
Artigo 55.º
Concurso de infrações
1 - Se o mesmo facto constituir simultaneamente crime e contraordenação, o agente é sempre punido a título
de crime.
Página 47
26 DE MARÇO DE 2018
47
2 - Quando se verifique concurso de crime e contraordenação, ou quando, pelo mesmo facto, uma pessoa
deva responder a título de crime e outra a título de contraordenação, o processamento da contraordenação cabe
às autoridades competentes para o processo criminal, nos termos do regime geral do ilícito de mera ordenação
social.
Artigo 56.º
Sanções acessórias
1 - Conjuntamente com as sanções aplicadas pode, acessoriamente, ser ordenada a proibição temporária ou
definitiva do tratamento, o bloqueio, o apagamento ou a destruição total ou parcial dos dados.
2 - Tratando-se de crimes, ou de coimas de montante superior a € 100 000, pode acessoriamente ser
determinada a publicidade da condenação, por meio de extrato contendo a identificação do agente, os elementos
da infração e as sanções aplicadas, no Portal do Cidadão, por período não inferior a 90 dias.
CAPÍTULO VIII
Disposições finais e transitórias
Artigo 57.º
Comissão Nacional de Proteção de Dados
1 - Os membros da CNPD em exercício à data da entrada em vigor da presente lei mantêm-se em funções
até ao fim dos respetivos mandatos.
2 - Até à publicação de nova lei que regule a orgânica e funcionamento da CNPD mantém-se em vigor a Lei
n.º 43/2004, de 18 de agosto, em tudo o que não contrarie o disposto no RGPD e na presente lei.
Artigo 58.º
Orientações técnicas
As orientações técnicas para a aplicação do RGPD pela administração direta e indireta do Estado são
aprovadas por resolução do Conselho de Ministros, a qual pode recomendar a sua aplicação também ao setor
empresarial do Estado.
Artigo 59.º
Aplicabilidade de coimas às entidades públicas
A não aplicabilidade de coimas às entidades públicas, prevista no n.º 1 do artigo 44.º da presente lei, deve
ser objeto de reavaliação três anos após a entrada em vigor da presente lei.
Artigo 60.º
Situações de tratamentos de dados pessoais pré-existentes
1 - Os tratamentos de dados pessoais objeto de registo público nos termos do artigo 31.º da Lei n.º 67/98, de
26 de outubro, permanecem conservados sob a responsabilidade da CNPD e disponíveis para consulta gratuita
por qualquer pessoa.
2 - As notificações e pedidos de autorização já decididos pela CNPD no momento da entrada em vigor da
presente lei, mas ainda não publicados, devem sê-lo nos termos da legislação prevista no número anterior.
Página 48
II SÉRIE-A — NÚMERO 89
48
3 - Os pedidos de registo e de autorização pendentes na CNPD na data da entrada em vigor da presente lei
caducam com a sua entrada em vigor.
4 - Os responsáveis pelos tratamentos de dados pessoais realizados com base em autorizações emitidas
nos termos da Lei n.º 67/98, de 26 de outubro, bem como os subcontratantes, estão vinculados a cumprir as
obrigações impostas pelo RGPD, com exceção da avaliação de impacto sobre a proteção de dados a que se
refere o artigo 35.º desse regulamento.
Artigo 61.º
Renovação do consentimento
1 - Quando o tratamento dos dados pessoais em curso à data da entrada em vigor da presente lei se
basear no consentimento do respetivo titular, não é necessário obter novo consentimento se o anterior tiver
observado as exigências constantes do RGPD.
2 - Nos casos em que seja necessária a prestação de novo consentimento, este deve ser obtido no prazo
de seis meses a contar da entrada em vigor da presente lei ou, relativamente a contratos objeto de renovação
periódica, no momento dessa renovação, sob pena de caducidade do anterior consentimento.
Artigo 62.º
Regimes de proteção de dados pessoais
1 - As normas relativas à proteção de dados pessoais previstas em legislação especial mantêm-se em
vigor, em tudo o que não contrarie o disposto no RGPD e na presente lei, sem prejuízo do disposto no número
seguinte.
2 - Todas as normas que prevejam autorizações ou notificações de tratamento de dados pessoais à
CNPD, fora dos casos previstos no RGPD e na presente lei, deixam de vigorar à data de entrada em vigor do
RGPD.
Artigo 63.º
Norma revogatória
É revogada a Lei n.º 67/98, de 26 de outubro.
Artigo 64.º
Entrada em vigor
A presente lei entra em vigor no dia seguinte ao da sua publicação.
Visto e aprovado em Conselho de Ministros de 22 de março de 2018.
O Primeiro-Ministro, António Luís Santos da Costa — A Ministra da Presidência e da Modernização
Administrativa, Maria Manuel de Lemos Leitão Marques — O Secretário de Estado dos Assuntos Parlamentares,
Pedro Nuno de Oliveira Santos.
———
Página 49
26 DE MARÇO DE 2018
49
PROJETO DE RESOLUÇÃO N.º 1451/XIII (3.ª)
EM DEFESA DA ESCOLA SECUNDÁRIA DE REBORDOSA, NO CONCELHO DE PAREDES
A Escola Básica e Secundária da Rebordosa, no concelho de Paredes, está integrada no Agrupamento de
Escolas de Vilela e conta com cerca de 525 alunos. Responde a territórios urbanos e rurais. É um dos principais
estabelecimentos de ensino do concelho. Atualmente, só existem três turmas do ensino secundário, o que não
abarca a totalidade dos jovens da sua área geográfica de implantação.
Queixa-se a comunidade educativa desta escola de há exatamente 33 anos não serem realizadas obras de
manutenção e requalificação apesar de o seu edificado evidenciar um conjunto de problemas bem visíveis.
O teto da cantina apresenta hoje fissuras de grandes dimensões por onde entra a água das chuvas colocando
em perigo todos os que aí se encontram, já que a água invade os circuitos elétricos, em especial os relativos à
iluminação. Os alunos são obrigados a procurar zonas do refeitório onde a água não lhes caia em cima e são
colocados recipientes para a recolha da água que vai caindo. Também a biblioteca, situada em espaço próximo
da cantina, apresenta problemas similares.
A água das chuvas invade igualmente os monoblocos (referenciados como A e B) e chega a cair em cima do
material informático. As casas de banho encontram-se igualmente em adiantado estado de degradação.
O pavilhão gimnodesportivo apresenta um conjunto de patologias visíveis a olho nu, em especial no piso
irregular que acumula remendos provisórios que o transformaram numa verdadeira armadilha para quem aí tem
de praticar educação física e desporto.
Outro aspeto que tem de ser resolvido rapidamente diz respeito às coberturas dos blocos, ainda em
fibrocimento com amianto, e que, em resultado da sua degradação, constituem um risco acrescido para toda a
população escolar.
A resposta que tem sido dada aos estudantes pela direção tem sido a de, alegadamente, os proibir de gravar
imagens dentro da escola. Na verdade, foi reportado ao Grupo Parlamentar do Bloco de Esquerda que no
passado dia 5 de março do corrente ano o diretor terá avisado os alunos que estavam proibidos de gravar
imagens dentro da escola (e de as publicar nas chamadas “redes sociais”).
Não é escondendo a realidade que os problemas se resolvem, bem pelo contrário. E proibições como as
que, alegadamente, aconteceram, para além de ineficazes não contribuem para o desenvolvimento do sentido
cívico e de participação dos estudantes.
É urgente atender a uma reivindicação que se tornou exigência que a realidade nos impõe: a construção de
uma nova escola secundária em Rebordosa. A este respeito, o Grupo Parlamentar do Bloco de Esquerda
relembra que, desde o ano de 2009, essa promessa foi feita por vários responsáveis governativos.
Atualmente só existem 3 turmas do secundário em Rebordosa, mas muitos mais alunos são obrigados a
deslocar-se para outras escolas fora de Rebordosa. Por isso, se for construída uma nova escola, o número de
alunos poderá vir a ser muito superior.
Os frequentes incidentes que a comunidade escolar deste estabelecimento de ensino tem vindo a relatar ao
longo dos últimos anos servem de comprovativo das más condições físicas que a escola apresenta. Ao longo
de 33 anos, sem qualquer tipo de intervenção, o edificado tornou-se perigoso, obsoleto, e é hoje um atentado à
segurança dos próprios estudantes, funcionários e professores. O estado a que a construção chegou leva o
Bloco de Esquerda a defender a construção de uma escola de raiz, que responda às necessidades do presente,
preserve o bem-estar e a saúde da comunidade escolar e incorpore as várias inovações tecnológicas de que
outros estabelecimentos já usufruem.
Atendendo ao facto de a construção de uma nova escola cumprir prazos legais e logísticos, naturais do
próprio processo, é imperioso resolver, de imediato, os problemas que o atual edificado apresenta. A
comunidade escolar não pode continuar a frequentar uma escola onde chove, as casas de banho não
apresentam condições dignas e o sistema elétrico está ameaçado.
Ao abrigo das disposições constitucionais e regimentais aplicáveis, o Grupo Parlamentar do Bloco de
Esquerda propõe que a Assembleia da República recomende ao Governo que:
1. O Ministério da Educação acione os mecanismos que tem ao seu dispor para resolver, de imediato,
através de uma intervenção de urgência, os problemas que o edificado apresenta;
Página 50
II SÉRIE-A — NÚMERO 89
50
2. O Ministério da Educação estude a construção de uma nova escola secundária, em Rebordosa, concelho
de Paredes.
Assembleia da República, 26 de março de 2018.
As Deputadas e os Deputados do Bloco de Esquerda: Luís Monteiro — Pedro Filipe Soares — Jorge Costa
— Mariana Mortágua — Pedro Soares — Isabel Pires — José Moura Soeiro — Heitor Sousa — Sandra Cunha
— João Vasconcelos — Maria Manuel Rola — Jorge Campos — Jorge Falcato Simões — Carlos Matias —
Joana Mortágua — José Manuel Pureza — Moisés Ferreira — Paulino Ascenção — Catarina Martins.
A DIVISÃO DE REDAÇÃO E APOIO AUDIOVISUAL.