Debates Parlamentares - Diário 131, p. 64 (2019-07-22)

O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.

Não foi possivel carregar a página pretendida. Reportar Erro

II SÉRIE-A — NÚMERO 131

Artigo 29.º

Avaliação de impacto

1 - No caso de um certo tipo de tratamento ser suscetível de representar um elevado risco para os direitos,

liberdades e garantias das pessoas, o responsável pelo mesmo deve efetuar uma avaliação do impacto das

operações que o compõem antes de lhe dar início.

2 - Tendo em conta os direitos, liberdades e garantias das pessoas, a avaliação do impacto inclui:

a) Uma descrição geral das operações de tratamento previstas;

b) Uma avaliação dos riscos para os direitos, liberdades e garantias dos titulares dos dados;

c) As medidas previstas para fazer face aos riscos mencionados na alínea anterior;

d) As garantias, as medidas de segurança e os mecanismos para assegurar a proteção dos dados

pessoais e demonstrar a conformidade do tratamento com a presente lei.

Artigo 30.º

Consulta prévia da autoridade de controlo

1 - O responsável pelo tratamento ou o subcontratante consultam a autoridade de controlo antes de

proceder ao tratamento de dados pessoais a integrar em ficheiro a criar nos casos em que:

a) A avaliação de impacto prevista no artigo anterior indique que o tratamento resultaria num elevado risco,

na ausência de medidas adequadas para atenuar esse risco; ou

b) O tipo de tratamento envolva um elevado risco para os direitos, liberdades e garantias dos titulares dos

dados, designadamente se utilizar novas tecnologias.

2 - A autoridade de controlo é consultada durante a elaboração de instrumentos jurídicos em preparação na

União Europeia ou em instituições internacionais e durante a elaboração de acordos bilaterais ou multilaterais

a celebrar entre o Estado português e outros estados, bem como de propostas legislativas e regulamentares

referentes ao tratamento de dados pessoais, podendo, igualmente, emitir pareceres, por iniciativa própria,

sobre qualquer questão relacionada com a proteção de dados pessoais.

3 - A autoridade de controlo pode elaborar e publicitar uma lista das operações de tratamento sujeitas a

consulta prévia nos termos do n.º 1.

4 - O responsável pelo tratamento fornece à autoridade de controlo a avaliação de impacto prevista no

artigo anterior e, quando solicitado, qualquer outra informação que lhe permita avaliar a conformidade do

tratamento com a presente lei, os riscos para a proteção dos dados pessoais e as respetivas garantias.

5 - Caso considere que o tratamento previsto no n.º 1 viola o disposto na presente lei, especialmente se o

responsável pelo tratamento não tiver identificado ou atenuado de forma suficiente os riscos, a autoridade de

controlo dá orientações por escrito ao responsável pelo tratamento ou ao subcontratante no prazo de seis

semanas a contar da receção do pedido de consulta, sem prejuízo de poder adotar outras medidas da sua

competência.

6 - O prazo previsto no número anterior pode ser prorrogado por um mês, tendo em conta a complexidade

do tratamento em causa, devendo a autoridade de controlo informar o responsável pelo tratamento ou o

subcontratante dessa prorrogação e dos respetivos fundamentos.

Artigo 31.º

Segurança do tratamento

1 - O responsável pelo tratamento e o subcontratante adotam as medidas técnicas e organizativas

apropriadas a fim de assegurarem um nível de segurança adequado ao risco, em particular no que diz respeito

ao tratamento das categorias especiais de dados pessoais referidos no artigo 6.º.

2 - No que respeita ao tratamento automatizado de dados, o responsável pelo tratamento ou o

subcontratante, tendo em conta a avaliação dos riscos, devem aplicar medidas que:

II SÉRIE-A — NÚMERO 131 64 Artigo 29.º Avaliação de impacto 1 - No caso de um certo tipo de tratamento ser suscetível de representar um elevado risco para os direitos, liberdades e garantias das pessoas, o responsável pelo mesmo deve efetuar uma avaliação do impacto das operações que o compõem antes de lhe dar início. 2 - Tendo em conta os direitos, liberdades e garantias das pessoas, a avaliação do impacto inclui: a) Uma descrição geral das operações de tratamento previstas; b) Uma avaliação dos riscos para os direitos, liberdades e garantias dos titulares dos dados; c) As medidas previstas para fazer face aos riscos mencionados na alínea anterior; d) As garantias, as medidas de segurança e os mecanismos para assegurar a proteção dos dados pessoais e demonstrar a conformidade do tratamento com a presente lei. Artigo 30.º Consulta prévia da autoridade de controlo 1 - O responsável pelo tratamento ou o subcontratante consultam a autoridade de controlo antes de proceder ao tratamento de dados pessoais a integrar em ficheiro a criar nos casos em que: a) A avaliação de impacto prevista no artigo anterior indique que o tratamento resultaria num elevado risco, na ausência de medidas adequadas para atenuar esse risco; ou b) O tipo de tratamento envolva um elevado risco para os direitos, liberdades e garantias dos titulares dos dados, designadamente se utilizar novas tecnologias. 2 - A autoridade de controlo é consultada durante a elaboração de instrumentos jurídicos em preparação na União Europeia ou em instituições internacionais e durante a elaboração de acordos bilaterais ou multilaterais a celebrar entre o Estado português e outros estados, bem como de propostas legislativas e regulamentares referentes ao tratamento de dados pessoais, podendo, igualmente, emitir pareceres, por iniciativa própria, sobre qualquer questão relacionada com a proteção de dados pessoais. 3 - A autoridade de controlo pode elaborar e publicitar uma lista das operações de tratamento sujeitas a consulta prévia nos termos do n.º 1. 4 - O responsável pelo tratamento fornece à autoridade de controlo a avaliação de impacto prevista no artigo anterior e, quando solicitado, qualquer outra informação que lhe permita avaliar a conformidade do tratamento com a presente lei, os riscos para a proteção dos dados pessoais e as respetivas garantias. 5 - Caso considere que o tratamento previsto no n.º 1 viola o disposto na presente lei, especialmente se o responsável pelo tratamento não tiver identificado ou atenuado de forma suficiente os riscos, a autoridade de controlo dá orientações por escrito ao responsável pelo tratamento ou ao subcontratante no prazo de seis semanas a contar da receção do pedido de consulta, sem prejuízo de poder adotar outras medidas da sua competência. 6 - O prazo previsto no número anterior pode ser prorrogado por um mês, tendo em conta a complexidade do tratamento em causa, devendo a autoridade de controlo informar o responsável pelo tratamento ou o subcontratante dessa prorrogação e dos respetivos fundamentos. Artigo 31.º Segurança do tratamento 1 - O responsável pelo tratamento e o subcontratante adotam as medidas técnicas e organizativas apropriadas a fim de assegurarem um nível de segurança adequado ao risco, em particular no que diz respeito ao tratamento das categorias especiais de dados pessoais referidos no artigo 6.º. 2 - No que respeita ao tratamento automatizado de dados, o responsável pelo tratamento ou o subcontratante, tendo em conta a avaliação dos riscos, devem aplicar medidas que:

Páginas Relacionadas

Página 0052:
II SÉRIE-A — NÚMERO 131 52 CAPÍTULO XI Disposições finais
Pág.Página 52

Página 0053:
22 DE JULHO DE 2019 53 tratamento de dados pessoais pelas autoridades competentes p
Pág.Página 53

Página 0054:
II SÉRIE-A — NÚMERO 131 54 k) «Subcontratante», a pessoa singular ou
Pág.Página 54

Página 0055:
22 DE JULHO DE 2019 55 que os dados inexatos sejam apagados ou retificados sem demo
Pág.Página 55

Página 0056:
II SÉRIE-A — NÚMERO 131 56 Artigo 8.º Condições específicas de
Pág.Página 56

Página 0057:
22 DE JULHO DE 2019 57 Artigo 11.º Decisões individuais automatizadas
Pág.Página 57

Página 0058:
II SÉRIE-A — NÚMERO 131 58 b) Recusar dar seguimento ao pedido. <
Pág.Página 58

Página 0059:
22 DE JULHO DE 2019 59 c) Os destinatários ou as categorias de destinatários aos qu
Pág.Página 59

Página 0060:
II SÉRIE-A — NÚMERO 131 60 5 - A limitação do tratamento implica que
Pág.Página 60

Página 0061:
22 DE JULHO DE 2019 61 em conformidade com a presente lei. 2 - As medidas ad
Pág.Página 61

Página 0062:
II SÉRIE-A — NÚMERO 131 62 confidencialidade ou se encontram sujeitas
Pág.Página 62

Página 0063:
22 DE JULHO DE 2019 63 3 - O subcontratante conserva um registo de todas as categor
Pág.Página 63

Página 0065:
22 DE JULHO DE 2019 65 a) Impeçam o acesso de pessoas não autorizadas ao equ
Pág.Página 65

Página 0066:
II SÉRIE-A — NÚMERO 131 66 injustificada. 7 - Nos casos de sub
Pág.Página 66

Página 0067:
22 DE JULHO DE 2019 67 a) Informar e aconselhar o responsável pelo tratament
Pág.Página 67

Página 0068:
II SÉRIE-A — NÚMERO 131 68 Membro autorizar a transferência ulterior,
Pág.Página 68

Página 0069:
22 DE JULHO DE 2019 69 a) Para proteger os interesses vitais do titular dos dados o
Pág.Página 69

Página 0070:
II SÉRIE-A — NÚMERO 131 70 Artigo 42.º Cooperação internaciona
Pág.Página 70

Página 0071:
22 DE JULHO DE 2019 71 com outra autoridade de controlo; g) Verificar a lici
Pág.Página 71

Página 0072:
II SÉRIE-A — NÚMERO 131 72 nos termos da lei. 6 - As comunicaç
Pág.Página 72

Página 0073:
22 DE JULHO DE 2019 73 Artigo 50.º Representação dos titulares dos dados
Pág.Página 73

Página 0074:
II SÉRIE-A — NÚMERO 131 74 Conselho, de 27 de abril de 2016, no âmbit
Pág.Página 74

Página 0075:
22 DE JULHO DE 2019 75 a) For conseguida através de violação de regras técnicas de
Pág.Página 75

Página 0076:
II SÉRIE-A — NÚMERO 131 76 a) Não disponibilizar os registos cronológ
Pág.Página 76

Página 0077:
22 DE JULHO DE 2019 77 grave. 2 - O disposto no presente capítulo não prejud
Pág.Página 77

Página 0078:
II SÉRIE-A — NÚMERO 131 78 requisitos previstos no artigo 27.º deve s
Pág.Página 78

Páginas Relacionadas

Descarregar páginas