30 DE MAIO DE 2018

53

f) A proteção, consulta e acesso aos dados referidos nas alíneas a), b) e c);

g) O intercâmbio dos dados referidos nas alíneas a), b) e c);

h) A conservação, arquivamento e eliminação dos dados referidos nas alíneas a), b) e c);

i) As condições de segurança dos dados referidos nas alíneas a), b) e c);

j) A utilização de dados para efeitos de tratamento estatístico; e

k) As sanções aplicáveis ao incumprimento das disposições da presente lei.

O Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 20165, relativo à

proteção de dados pessoais e à livre circulação desses dados, doravante designado por RGPD (Regulamento

Geral de Proteção de Dados), foi aprovado em conjunto com a Diretiva (UE) 2016/680, do Parlamento Europeu

e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao

tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção

e repressão de infrações penais ou de execução de sanções penais, e à livre circulação desses dados6,

doravante designada por «Diretiva».

Conforme previsto no considerando 19 do RGPD, «a proteção das pessoas singulares em matéria de

tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção

e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de

ameaças à segurança pública, e de livre circulação desses dados, é objeto de um ato jurídico da União

específico.” O RGPD “não deverá, por isso, ser aplicável às atividades de tratamento para esses efeitos».

Na aceção da referida Diretiva entende-se como «autoridade competente» a autoridade pública competente

para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções

penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública ou qualquer outro organismo

ou entidade designado pelo direito de um Estado-membro para exercer a autoridade pública e os poderes

públicos para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de

sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública.7

Como entidades supervisoras da gestão da informação temos o Conselho Superior de Magistratura, o

Conselho Superior dos Tribunais Administrativos e Fiscais, a Procuradoria-Geral da República, o Conselho de

Acompanhamento dos Julgados de Paz e o Gabinete para a Resolução Alternativa de Litígios, conforme previsto

no artigo 24.º da Lei n.º 34/2009, de 14 de julho.

As responsabilidades de gestão de dados por parte destas entidades são exercidas de forma coordenada,

através de uma Comissão para a Coordenação da Gestão de Dados Referentes ao Sistema judicial, com

mandatos de 4 anos de duração e composta por 15 membros (artigo 25.º)8.

A entidade administrativa independente com poderes de autoridade nacional é a Comissão Nacional de

Proteção de Dados (CNPD), cuja lei de organização e funcionamento foi aprovada pela Lei n.º 43/2004, de 18

de agosto, alterada pela Lei n.º 55-A/2010, de 31 de dezembro, tendo como atribuição controlar e fiscalizar o

cumprimento das disposições legais e regulamentares em matéria de proteção de dados pessoais, em rigoroso

respeito pelos direitos do homem e pelas liberdades e garantias consagradas na Constituição e na lei.

Relativamente à área penal e processual penal, existem diversos diplomas onde a questão do tratamento de

dados pessoais é abordada além do já referido regime jurídico, destacando-se a Lei n.º 32/2008, de 17 de julho,

que transpõe para a ordem jurídica interna a Diretiva 2006/24/CE9, do Parlamento Europeu e do Conselho, de

15 de março, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de

comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações; a Lei n.º 109/2009,

de 15 de setembro, que aprova a Lei do Cibercrime, em especial nas disposições processuais presentes nos

5 Sobre o RGPD, a Comissão Nacional de Proteção de Dados emitiu o Parecer n.º 8/2017, a pedido do Ministério da Justiça. 6 À data, e de acordo com informação disponível no eur-lex.europa.eu, apenas a Alemanha transpôs para o seu ordenamento jurídico a referida Diretiva. 7 N.º 7, alíneas a) e b) do artigo 3.º da Diretiva. 8 Dois representantes designados por cada uma das seguintes entidades: Conselho Superior da Magistratura, Conselho Superior dos Tribunais Administrativos e Fiscais e Procuradoria-Geral da República. Um representante com competência e experiencia técnica em matéria de administração de sistemas, designados por cada uma das seguintes entidades: Conselho de acompanhamento dos Julgados de Paz e Gabinete para a Resolução Alternativa de Litígios. É ainda composta por um presidente, designado pela Assembleia da República, dois representantes designados também pela Assembleia da República, dois representantes designados pelo Instituto de Tecnologias de Informação na Justiça, I.P. e dois representantes designados pela Direção-Geral da Administração da Justiça. 9 Esta diretiva foi declarada inválida pelo Acórdão do Tribunal de Justiça de 8 de abril de 2014, conhecido como «Acórdão Digital Rights Ireland».