II SÉRIE-A — NÚMERO 104

138

q) «Autoridade de controlo», a Comissão Nacional de Proteção de Dados (CNPD), nos termos do disposto

no artigo 43.º;

r) «Organização internacional», uma organização internacional e os organismos de direito internacional

público por ela tutelados, ou outro organismo criado por um acordo celebrado entre dois ou mais países ou com

base num acordo dessa natureza.

2 - Para os efeitos do disposto na alínea c) do número anterior, considera-se identificável uma pessoa

singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador como

o nome, o número de identificação, dados de localização, identificadores em linha ou um ou mais elementos

específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa.

3 - Para os efeitos do disposto na alínea i) do n.º 1, são autoridades competentes as forças e os serviços de

segurança, os órgãos de polícia criminal, as autoridades judiciárias e os serviços prisionais e de reinserção

social, no âmbito das suas atribuições de prevenção, deteção, investigação ou repressão de infrações penais

ou de execução de sanções penais, nos termos previstos nas leis de segurança interna, de organização da

investigação criminal e do processo penal.

CAPÍTULO II

Princípios relativos ao tratamento de dados pessoais

Artigo 4.º

Princípios gerais de proteção de dados

1 - O tratamento de dados pessoais deve processar-se no estrito respeito pelos direitos, liberdades e

garantias das pessoas singulares, em especial, pelo direito à proteção dos dados pessoais.

2 - Os dados pessoais são:

a) Objeto de um tratamento lícito e leal;

b) Recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser tratados de forma

incompatível com essas finalidades;

c) Adequados, pertinentes e limitados ao mínimo necessário à prossecução das finalidades para as quais

são tratados;

d) Exatos e atualizados sempre que necessário, devendo ser tomadas todas as medidas razoáveis para que

os dados inexatos sejam apagados ou retificados sem demora;

e) Conservados de forma a permitir a identificação dos titulares dos dados apenas durante o período

necessário para as finalidades para as quais são tratados;

f) Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não

autorizado ou ilícito e contra a sua perda, destruição ou danificação acidentais, recorrendo a medidas técnicas

ou organizativas adequadas.

3 - O responsável pelo tratamento deve adotar as medidas que lhe permitam comprovar que o tratamento de

dados pessoais é realizado em conformidade com os princípios enunciados no número anterior.

Artigo 5.º

Licitude do tratamento

1 - O tratamento de dados pessoais só é lícito se estiver previsto na lei e na medida em que for necessário

para o exercício de uma atribuição da autoridade competente para os efeitos previstos no n.º 1 do artigo 1.º.

2 - A lei indica, pelo menos, os objetivos do tratamento, os dados pessoais a tratar e as finalidades do

tratamento.

3 - Caso não seja autorizado por lei, o tratamento dos dados pessoais apenas pode ser realizado se for

necessário para a proteção dos interesses vitais do titular dos dados ou de outra pessoa singular.