Página 1
Segunda-feira, 22 de julho de 2019 II Série-A — Número 131
XIII LEGISLATURA 4.ª SESSÃO LEGISLATIVA (2018-2019)
S U M Á R I O
Decretos da Assembleia da República (n.os 333, 336, 337 e 339/XIII): N.º 333/XIII — Segunda alteração à Lei n.º 34/2009, de 14 de julho, que estabelece o regime jurídico aplicável ao tratamento de dados referentes ao sistema judicial. N.º 336/XIII — Aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, transpondo a Diretiva (UE)
2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016. N.º 337/XIII — Regula o exercício da profissão de criminólogo. N.º 339/XIII — Assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
Página 2
II SÉRIE-A — NÚMERO 131
2
DECRETO DA ASSEMBLEIA DA REPÚBLICA N.º 333/XIII
SEGUNDA ALTERAÇÃO À LEI N.º 34/2009, DE 14 DE JULHO, QUE ESTABELECE O REGIME
JURÍDICO APLICÁVEL AO TRATAMENTO DE DADOS REFERENTES AO SISTEMA JUDICIAL
A Assembleia da República decreta, nos termos da alínea c) do artigo 161.º da Constituição, o seguinte:
Artigo 1.º
Objeto
A presente lei procede à segunda alteração à Lei n.º 34/2009, de 14 de julho, que estabelece o regime
jurídico aplicável ao tratamento de dados referentes ao sistema judicial, alterada pela Lei n.º 30/2017, de 30 de
maio, adaptando o referido regime ao disposto no Regulamento (UE) 2016/679 do Parlamento e do Conselho,
de 27 de abril de 2016, na Lei n.º [PPL 120/XIII], que assegura a sua execução na ordem jurídica interna, e na
Lei n.º [PPL 125/XIII], que transpõe para a ordem jurídica interna a Diretiva (UE) 2016/680 do Parlamento
Europeu e do Conselho, de 27 de abril de 2016.
Artigo 2.º
Alteração à Lei n.º 34/2009, de 14 de julho
Os artigos 1.º a 27.º, 29.º a 32.º, 35.º a 44.º, 47.º, 48.º, 50.º a 52.º, 54.º a 56.º e 58.º da Lei n.º 34/2009, de
14 de julho, na sua redação atual, passam a ter a seguinte redação:
«Artigo 1.º
[…]
1 - A presente lei estabelece o regime jurídico aplicável ao tratamento de dados pessoais referentes ao
sistema judiciário, incluindo os dados relativos aos meios de resolução alternativa de litígios, nomeadamente
quanto aos dados a tratar e ao objetivo e à finalidade do tratamento, adotando regras sobre:
a) A recolha e o tratamento dos dados necessários ao exercício das competências dos magistrados, dos
funcionários de justiça e dos órgãos de polícia criminal no âmbito do processo penal, bem como ao exercício
dos direitos dos demais intervenientes nos processos jurisdicionais e da competência do Ministério Público;
b) A recolha e o tratamento dos dados necessários ao exercício das competências dos juízes de paz e dos
funcionários dos julgados de paz, bem como ao exercício dos direitos dos demais intervenientes nos
respetivos processos;
c) A recolha e o tratamento dos dados necessários ao exercício das competências dos mediadores dos
sistemas públicos de mediação, bem como ao exercício dos direitos dos demais intervenientes nos processos
nos sistemas públicos de mediação;
d) O registo e o tratamento dos dados referidos nas alíneas a), b) e c);
e) As entidades responsáveis pelo tratamento dos dados referidos nas alíneas a), b) e c) e pelo
desenvolvimento aplicacional;
f) A consulta e o acesso aos dados por outras entidades;
g) O intercâmbio e a transferência dos dados referidos nas alíneas a), b) e c);
h) A conservação, o arquivamento e o apagamento dos dados referidos nas alíneas a), b) e c);
i) As condições de segurança dos dados referidos nas alíneas a), b) e c);
j) A utilização de dados para efeitos de tratamento estatístico; e
l) As sanções aplicáveis ao incumprimento das disposições da presente lei.
2 - A presente lei complementa o disposto no Regulamento (UE) 2016/679 do Parlamento Europeu e do
Conselho, de 27 de abril de 2016, na Lei n.º [PPL 120/XIII], que assegura a sua execução na ordem jurídica
interna, e na Lei n.º [PPL 125/XIII], que transpõe para a ordem jurídica interna a Diretiva (UE) 2016/680 do
Página 3
22 DE JULHO DE 2019
3
Parlamento Europeu e do Conselho, de 27 de abril de 2016, doravante designados «regimes de proteção de
dados pessoais».
Artigo 2.º
Proteção de dados pessoais e princípios do tratamento
1 - Os tribunais, o Ministério Público, os órgãos de gestão e disciplina judiciários, os julgados de paz, as
secretarias dos tribunais e do Ministério Público e as entidades gestoras dos sistemas públicos de mediação
asseguram a proteção das pessoas no que diz respeito ao tratamento de dados pessoais no âmbito da sua
atividade e ao exercício dos direitos dos respetivos titulares relativamente aos dados que lhes digam respeito,
nos termos dos regimes de proteção de dados pessoais e da presente lei.
2 - A recolha, o registo e as demais operações de tratamento de dados pessoais observam os princípios
estabelecidos no artigo 5.º do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de
2016, e no artigo 4.º da Lei n.º [PPL 125/XIII].
3 - Sem prejuízo dos direitos que lhe assistem nos termos da presente lei, é vedada ao titular dos dados a
oposição ao seu tratamento nos termos e para as finalidades previstas nas leis do processo.
4 - O disposto nos números anteriores é correspondentemente aplicável ao tratamento de dados pessoais
pelos órgãos de polícia criminal, no âmbito do processo penal, e pelos serviços e entidades que procedam ao
tratamento de dados pessoais que constem ou sejam destinados a processos da competência das autoridades
judiciárias, no âmbito de funções de coadjuvação e de execução de decisões destas autoridades.
5 - As especificações relativas aos dados a tratar e aos objetivos e às finalidades do tratamento a que se
refere o número anterior constam das leis de organização dos órgãos, serviços e entidades respetivas.
Artigo 3.º
[…]
Podem ser objeto de recolha e dos necessários tratamentos subsequentes os dados referentes:
a) ...................................................................................................................................................................... ;
b) ...................................................................................................................................................................... ;
c) ...................................................................................................................................................................... ;
d) ...................................................................................................................................................................... ;
e) ...................................................................................................................................................................... ;
f) ....................................................................................................................................................................... ;
g) ...................................................................................................................................................................... À
s medidas de coação e à detenção;
h) ...................................................................................................................................................................... ;
i) Às medidas de garantia patrimonial;
j) Ao congelamento, à apreensão e à perda de bens, produtos e vantagens do crime;
l) [Anterior alínea i)];
m) [Anterior alínea j)].
Artigo 4.º
Finalidades da recolha e do tratamento dos dados
1 - A recolha e o tratamento dos dados referidos no artigo anterior têm as seguintes finalidades:
a) [Anterior alínea a) do corpo do artigo];
b) [Anterior alínea b) do corpo do artigo];
c) Permitir a tramitação eletrónica ou não eletrónica dos processos judiciais e da competência do Ministério
Público, dos processos nos julgados de paz e dos processos nos sistemas públicos de mediação, bem como
possibilitara respetiva decisão;
Página 4
II SÉRIE-A — NÚMERO 131
4
d) Facultar aos órgãos e agentes auxiliares ou de coadjuvação dos tribunais e das autoridades judiciárias,
bem como aos diversos intervenientes processuais, as informações de que necessitem ou às quais possam
aceder, nos termos da lei;
e) Assegurar a realização da investigação, do inquérito e do exercício da ação penal, nos termos da
Constituição e da lei, bem como o cumprimento das leis de política criminal;
f) Facultar aos órgãos, entidades e serviços competentes as informações necessárias ao registo e
execução de decisões judiciais e do Ministério Público, nos termos da lei;
g) [Anterior alínea f) do corpo do artigo];
h) [Anterior alínea g) do corpo do artigo];
i) [Anterior alínea h) do corpo do artigo];
j) [Anterior alínea i) do corpo do artigo];
l) [Anterior alínea j) do corpo do artigo];
m) [Anterior alínea l) do corpo do artigo];
n) [Anterior alínea m) do corpo do artigo];
o) [Anterior alínea n) do corpo do artigo];
p) [Anterior alínea o) do corpo do artigo]; e
q) [Anterior alínea p) do corpo do artigo].
2 - Os responsáveis pelo tratamento asseguram uma distinção clara entre os dados pessoais das diferentes
categorias dos titulares dos dados a que se referem os artigos 6.º a 22.º.
Artigo 5.º
Formas de recolha e tratamento
1 - ....................................................................................................................................................................... :
a) ...................................................................................................................................................................... ;
b) ...................................................................................................................................................................... ;
c) ...................................................................................................................................................................... ;
d) ...................................................................................................................................................................... ;
e) Junto de outros órgãos e agentes auxiliares ou de coadjuvação dos tribunais e das autoridades
judiciárias;
f) [Anterior alínea e)];
g) [Anterior alínea f)];
h) [Anterior alínea g)];
i) [Anterior alínea h)];
j) [Anterior alínea i)].
2 - (Revogado).
3 - .......................................................................................................................................................................
4 - ....................................................................................................................................................................... .
Artigo 6.º
[…]
Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes
aos processos nos tribunais judiciais:
a) Dados dos magistrados aos quais o processo se encontra distribuído, dos funcionários de justiça que os
coadjuvam, dos funcionários dos órgãos de polícia criminal no âmbito do processo penal e dos serviços e
entidades que exerçam funções de coadjuvação ou de execução de decisões;
b) ...................................................................................................................................................................... ;
c) ...................................................................................................................................................................... ;
d) ...................................................................................................................................................................... ;
Página 5
22 DE JULHO DE 2019
5
e) ...................................................................................................................................................................... ;
f) ....................................................................................................................................................................... ;
g) ...................................................................................................................................................................... ;
h) ...................................................................................................................................................................... ;
i) Dados de identificação e contacto dos administradores judiciais provisórios, dos administradores de
insolvência e dos agentes de execução, bem como dados necessários ao processamento do pagamento das
suas remunerações e honorários;
j) Dados de identificação, contacto, localização e situação processual do arguido em processo penal,
incluindo os dados do termo de identidade e residência;
l) Dados relativos às decisões judiciais e aos recursos; e
m) [Anterior alínea l) do corpo do artigo].
Artigo 7.º
[…]
Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes
aos processos nos tribunais administrativos e fiscais:
a) Dados dos magistrados aos quais o processo se encontra distribuído, dos funcionários de justiça que os
coadjuvam e dos funcionários dos serviços e entidades que exerçam funções de coadjuvação ou de execução
de decisões;
b) ...................................................................................................................................................................... ;
c) ...................................................................................................................................................................... ;
d) ...................................................................................................................................................................... ;
e) ...................................................................................................................................................................... ;
f) ....................................................................................................................................................................... ;
g) Dados de identificação e contacto dos agentes de execução, bem como dados necessários ao
processamento do pagamento das suas remunerações e honorários;
h) Dados relativos às decisões judiciais e aos recursos; e
i) [Anterior alínea g)].
Artigo 8.º
[…]
Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes
aos inquéritos em processo penal:
a) Dados dos magistrados aos quais o processo se encontra distribuído, dos funcionários de justiça que os
coadjuvam, dos funcionários dos órgãos de polícia criminal no âmbito do processo penal e dos serviços e
entidades que exerçam funções de coadjuvação ou de execução de decisões;
b) ...................................................................................................................................................................... ;
c) ...................................................................................................................................................................... ;
d) ...................................................................................................................................................................... ;
e) ...................................................................................................................................................................... ;
f) ....................................................................................................................................................................... ;
g) Dados de identificação, contacto e localização do suspeito e do denunciado;
h) Dados de identificação, contacto, localização e situação processual do arguido, incluindo os dados do
termo de identidade e residência;
i) Dados relativos às decisões de acusação e de arquivamento do inquérito; e
j) [Anterior alínea h)];
Página 6
II SÉRIE-A — NÚMERO 131
6
Artigo 9.º
[…]
Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes
aos demais processos, procedimentos e expediente da competência do Ministério Público:
a) Dados dos magistrados aos quais o processo, procedimento ou expediente se encontra distribuído e
dos funcionários de justiça que os coadjuvam;
b) ...................................................................................................................................................................... ;
c) ...................................................................................................................................................................... ;
d) ...................................................................................................................................................................... ;
e) ...................................................................................................................................................................... ;
f) Dados de identificação de requerentes, de pessoas visadas e de outros intervenientes;
g) Dados relativos a decisões; e
h) Dados relativos à tramitação do processo, procedimento e expediente.
Artigo 10.º
[…]
Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes à
conexão processual no processo penal:
a) ...................................................................................................................................................................... ;
b) ...................................................................................................................................................................... ;
c) ...................................................................................................................................................................... ;
d) ...................................................................................................................................................................... ;
e) ...................................................................................................................................................................... ; e
f) .......................................................................................................................................................................
Artigo 11.º
[…]
Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes à
suspensão provisória do processo penal e ao arquivamento em caso de dispensa de pena:
a) ....................................................................................................................................... ;
b) ....................................................................................................................................... ;
c) ....................................................................................................................................... ;
d) .................................................................................................................................. ; e
e) .......................................................................................................................................
Artigo 12.º
Dados das medidas de coação e da detenção
Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes
às medidas de coação e à detenção:
a) Nome das pessoas a quem sejam aplicadas medidas de coação ou detidas, com indicação da medida
aplicada, identificação das respetivas datas de início, suspensão e fim, do tribunal e do processo à ordem do
qual foram decretadas, dos tipos de crime imputados, da data da prática dos factos, bem como do estado do
processo e identificação do tribunal e do processo à ordem do qual as pessoas se encontrem detidas ou
sujeitas a medidas de coação; e
b) .......................................................................................................................................
Página 7
22 DE JULHO DE 2019
7
Artigo 13.º
[…]
Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes
às ordens de detenção:
a) ...................................................................................................................................................................... ;
b) ...................................................................................................................................................................... ;
c) ...................................................................................................................................................................... ;
d) ...................................................................................................................................................................... ;
e) ...................................................................................................................................................................... ;
f) ....................................................................................................................................................................... ;
g) ...................................................................................................................................................................... ;
h) ...................................................................................................................................................................... ;
i) ....................................................................................................................................................................... ;
j) ....................................................................................................................................................................... ;
l) ....................................................................................................................................................................... ;
m) ..................................................................................................................................................................... ;
n) ...................................................................................................................................................................... ;
o) ...................................................................................................................................................................... ;
p) ...................................................................................................................................................................... ;
q) ...................................................................................................................................................................... ;
r)....................................................................................................................................................................... ;
s) ...................................................................................................................................................................... ;
t) ....................................................................................................................................................................... ;
u) ...................................................................................................................................................................... ; e
v) ......................................................................................................................................................................
Artigo 14.º
[…]
Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes
aos processos nos julgados de paz:
a) ...................................................................................................................................................................... ;
b) ...................................................................................................................................................................... ;
c) ...................................................................................................................................................................... ;
d) ...................................................................................................................................................................... ;
e) ...................................................................................................................................................................... ;
f) ....................................................................................................................................................................... ; e
g) ......................................................................................................................................................................
Artigo 15.º
[…]
Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes
aos processos nos sistemas públicos de mediação:
a) ...................................................................................................................................................................... ;
b) ...................................................................................................................................................................... ;
c) ...................................................................................................................................................................... ;
Página 8
II SÉRIE-A — NÚMERO 131
8
d) ...................................................................................................................................................................... ;
e) ...................................................................................................................................................................... ; e
f) .......................................................................................................................................................................
Artigo 16.º
Magistrados, funcionários de justiça, funcionários dos órgãos de polícia criminal e dos serviços e entidades
que exerçam funções de coadjuvação ou de execução de decisões
Nos termos das alíneas a) e b) dos artigos 6.º, 7.º, 8.º e 9.º, podem ser objeto de recolha e dos necessários
tratamentos subsequentes os seguintes dados referentes aos magistrados, aos funcionários de justiça, aos
funcionários dos órgãos de polícia criminal e dos serviços e entidades que exerçam funções de coadjuvação
ou de execução de decisões:
a) ...................................................................................................................................................................... ;
b) ...................................................................................................................................................................... ;
c) ...................................................................................................................................................................... ;
d) ...................................................................................................................................................................... ;
e) ...................................................................................................................................................................... ; e
f) .......................................................................................................................................................................
Artigo 17.º
[…]
Nos termos da alínea c) dos artigos 6.º, 7.º, 8.º e 9.º e da alínea e) do artigo 6.º, podem ser objeto de
recolha e dos necessários tratamentos subsequentes os seguintes dados referentes, respetivamente, às
partes, ao arguido e às autoridades recorridas em processo contraordenacional, bem como aos assistentes,
lesados, ofendidos, partes civis, queixosos e vítimas:
a) ...................................................................................................................................................................... ;
b) ...................................................................................................................................................................... ;
c) ...................................................................................................................................................................... ;
d) ...................................................................................................................................................................... ;
e) ...................................................................................................................................................................... ;
f) ....................................................................................................................................................................... ;
g) ...................................................................................................................................................................... ; e
h) ......................................................................................................................................................................
Artigo 18.º
[…]
Nos termos da alínea f) do artigo 6.º e da alínea d) dos artigos 7.º, 8.º e 9.º, podem ser objeto de recolha e
dos necessários tratamentos subsequentes os seguintes dados referentes às testemunhas:
a) ...................................................................................................................................................................... ;
b) ...................................................................................................................................................................... ;
c) ...................................................................................................................................................................... ;
d) ...................................................................................................................................................................... ;
e) ...................................................................................................................................................................... ;
f) ....................................................................................................................................................................... ;
g) ...................................................................................................................................................................... ;
h) ...................................................................................................................................................................... ;
i) ....................................................................................................................................................................... ; e
Página 9
22 DE JULHO DE 2019
9
j) .......................................................................................................................................................................
Artigo 19.º
[…]
Nos termos da alínea g) do artigo 6.º e da alínea e) dos artigos 7.º, 8.º e 9.º, podem ser objeto de recolha e
dos necessários tratamentos subsequentes os seguintes dados referentes aos defensores, advogados e
mandatários:
a) ...................................................................................................................................................................... ;
b) ...................................................................................................................................................................... ;
c) ...................................................................................................................................................................... ;
d) ...................................................................................................................................................................... ;
e) ...................................................................................................................................................................... ;
f) ....................................................................................................................................................................... ;
g) ...................................................................................................................................................................... ;
h) ...................................................................................................................................................................... ;
i) ....................................................................................................................................................................... ;
j) ....................................................................................................................................................................... ; e
l) .......................................................................................................................................................................
Artigo 20.º
Peritos, consultores técnicos, assessores técnicos, administradores judiciais provisórios, administradores
da insolvência e agentes de execução
Nos termos das alíneas h) e i) do artigo 6.º e da alínea f) dos artigos 7.º, 8.º e 9.º, podem ser objeto de
recolha e dos necessários tratamentos subsequentes os seguintes dados referentes aos peritos, consultores
técnicos, assessores técnicos, administradores judiciais provisórios, administradores da insolvência e agentes
de execução:
a) ...................................................................................................................................................................... ;
b) ...................................................................................................................................................................... ;
c) ...................................................................................................................................................................... ;
d) ...................................................................................................................................................................... ;
e) ...................................................................................................................................................................... ;
f) ....................................................................................................................................................................... ;
g) ...................................................................................................................................................................... ; e
h) Número de cédula profissional ou de outro documento de identificação profissional.
Artigo 21.º
[…]
Nos termos da alínea j) do artigo 6.º e da alínea g) do artigo 8.º, podem ser objeto de recolha e dos
necessários tratamentos subsequentes os seguintes dados referentes ao arguido em processo penal:
a) ...................................................................................................................................................................... ;
b) ...................................................................................................................................................................... ;
c) No caso de pessoas singulares, filiação, freguesia e concelho de naturalidade, data de nascimento,
estado civil, número de identificação civil ou, caso este não exista ou não seja conhecido, número do
passaporte ou de outro documento de identificação idóneo e, sendo proferida decisão condenatória, estando
presente o arguido no julgamento, as suas impressões digitais e assinatura;
d) ...................................................................................................................................................................... ;
Página 10
II SÉRIE-A — NÚMERO 131
10
e) ...................................................................................................................................................................... ;
f) ....................................................................................................................................................................... ;
g) ...................................................................................................................................................................... ;
h) ...................................................................................................................................................................... ;
i) ....................................................................................................................................................................... ;
j) ....................................................................................................................................................................... ;
l) ....................................................................................................................................................................... ;
m) ..................................................................................................................................................................... ;
n) ...................................................................................................................................................................... ;
o) ...................................................................................................................................................................... ;
p) ...................................................................................................................................................................... ;
q) ...................................................................................................................................................................... ;
r)....................................................................................................................................................................... ;
s) ...................................................................................................................................................................... ;
t) ....................................................................................................................................................................... ;
u) ...................................................................................................................................................................... ;
v) ...................................................................................................................................................................... ;
x) ...................................................................................................................................................................... ;
z) ...................................................................................................................................................................... ;
aa) .................................................................................................................................................................... ;
bb) .................................................................................................................................................................... ;
cc) .................................................................................................................................................................... ;
dd) .................................................................................................................................................................... ; e
ee) ....................................................................................................................................................................
Artigo 22.º
[…]
1 - Nos termos da alínea m) do artigo 6.º, da alínea i) do artigo 7.º, da alínea j) do artigo 8.º, da alínea h) do
artigo 9.º, da alínea g) do artigo 14.º e da alínea f) do artigo 15.º, podem ser objeto de recolha e dos
necessários tratamentos subsequentes, designadamente, os seguintes dados referentes à tramitação do
processo:
a) ...................................................................................................................................................................... ;
b) ...................................................................................................................................................................... ;
c) ...................................................................................................................................................................... ;
d) ...................................................................................................................................................................... ;
e) ...................................................................................................................................................................... ;
f) ....................................................................................................................................................................... ;
g) ...................................................................................................................................................................... ;
h) ...................................................................................................................................................................... ;
i) Tipo de decisão final, recursos e resultados dos recursos;
j) ....................................................................................................................................................................... ;
l) Momento de início do processo e da decisão final;
m) ..................................................................................................................................................................... ;
n) ...................................................................................................................................................................... ;
o) ...................................................................................................................................................................... ;
p) ...................................................................................................................................................................... ;
q) ...................................................................................................................................................................... ;
r)....................................................................................................................................................................... ; e
s) ...................................................................................................................................................................... .
Página 11
22 DE JULHO DE 2019
11
2 - .......................................................................................................................................................................
3 - .......................................................................................................................................................................
4 - .......................................................................................................................................................................
5 - .......................................................................................................................................................................
6 - .......................................................................................................................................................................
7 - .......................................................................................................................................................................
8 - ....................................................................................................................................................................... :
a) ...................................................................................................................................................................... ;
b) ...................................................................................................................................................................... ;
c) ...................................................................................................................................................................... ;
d) ...................................................................................................................................................................... ;
e) ...................................................................................................................................................................... ;
f) ....................................................................................................................................................................... ;
g) Dados referentes a exames, buscas e outros meios de obtenção de prova.
9 – ...................................................................................................................................................................
10 – .................................................................................................................................................................
Artigo 23.º
[…]
1 - Para efeitos do disposto nos regimes de proteção de dados pessoais, são responsáveis pelo tratamento
de dados:
a) Os magistrados judiciais e do Ministério Público competentes, nos termos da lei do processo,
relativamente aos dados tratados no âmbito e em atos do processo, no exercício da sua atividade processual e
sob a sua direção ou autoridade;
b) Os juízes de paz e os mediadores dos sistemas públicos de mediação, relativamente aos dados
pessoais tratados no âmbito dos respetivos processos;
c) As entidades supervisoras da gestão da informação a que se refere o artigo seguinte, relativamente a
outras operações de tratamento.
2 - No que se refere aos dados pessoais no processo, as entidades responsáveis pelo tratamento de dados
pessoais, nos termos das alíneas a) e b) do número anterior, asseguram a efetiva proteção dos direitos de
informação, de acesso e de retificação ou apagamento dos dados, nos termos dos regimes de proteção de
dados pessoais, por sua iniciativa ou mediante requerimento do respetivo titular.
3 - O Ministério Público é o responsável pelo tratamento dos dados previstos no artigo 9.º, designadamente
para efeitos do número anterior.
4 - Quando prossigam as finalidades previstas no artigo 33.º, consideram-se responsáveis pelo tratamento
as entidades nele indicadas, designadamente para efeitos de cumprimento das obrigações previstas no n.º 2
do presente artigo.
Artigo 24.º
Entidades supervisoras da gestão da informação
1 - O Conselho Superior da Magistratura é a entidade supervisora da gestão da informação referida:
a) ...................................................................................................................................................................... ;
b) ...................................................................................................................................................................... ; e
c) ......................................................................................................................................................................
Página 12
II SÉRIE-A — NÚMERO 131
12
2 - O Conselho Superior dos Tribunais Administrativos e Fiscais é a entidade supervisora da gestão da
informação referida na alínea b) do artigo 3.º.
3 - A Procuradoria-Geral da República é a entidade supervisora da gestão da informação referida:
a) ....................................................................................................................................... ;
b) .................................................................................................................................. ; e
c) .......................................................................................................................................
4 - O Conselho dos Julgados de Paz é a entidade supervisora da gestão da informação referida na alínea l)
do artigo 3.º.
5 - A Direção-Geral da Política de Justiça é a entidade supervisora da gestão da informação referida na
alínea m) do artigo 3.º.
6 - Os órgãos de polícia criminal são as entidades supervisoras da gestão da informação relativa aos
processos criminais referidos na alínea a) e dos dados mencionados nas alíneas c) a j) do artigo 3.º que
devam tratar no âmbito da sua atividade de coadjuvação das autoridades judiciárias ou por delegação destas
no âmbito do processo penal.
7 - Os serviços e entidades que procedam ao tratamento de dados pessoais, nos termos do n.º 4 do artigo
2.º, são as entidades supervisoras da gestão da informação dos dados pessoais relacionados com os
processos referidos no artigo 3.º que devam tratar no âmbito da sua competência.
8 - Compete em especial às entidades supervisoras da gestão da informação:
a) Colaborar com a Comissão Nacional de Proteção de Dados (CNPD) no exercício dos seus poderes e na
prossecução das suas atribuições relativamente à proteção e tratamento de dados pessoais no sistema
judiciário;
b) Aconselhar os responsáveis pelo tratamento de dados quanto a medidas relacionadas com a proteção
dos direitos em matéria de tratamento de dados no âmbito da presente lei;
c) Acompanhar auditorias técnicas e de segurança, com recurso, se necessário, a entidades externas;
d) Designar um encarregado de proteção de dados, nos termos e para os efeitos previstos nos regimes de
proteção de dados pessoais, comunicando essa designação à CNPD e à Comissão de Coordenação da
Gestão da Informação do Sistema Judiciário.
Artigo 25.º
Comissão de Coordenação da Gestão da Informação do Sistema Judiciário
1 - As competências das entidades supervisoras da gestão da informação são exercidas diretamente ou em
cooperação e de forma coordenada através da Comissão de Coordenação da Gestão da Informação do
Sistema Judiciário, adiante designada por Comissão.
2 - A Comissão é constituída pelo conselho superior e pelo conselho coordenador.
3 - Compete à Comissão:
a) Assegurar o exercício coordenado das competências das entidades supervisoras da gestão da
informação, nomeadamente a adoção das medidas técnicas e organizativas adequadas a garantir a segurança
dos dados pessoais;
b) Assegurar a cooperação no desenvolvimento das aplicações informáticas necessárias à tramitação dos
processos e à gestão do sistema judiciário, nos termos do n.º 2 do artigo seguinte;
c) Colaborar com a CNPD no exercício dos seus poderes e na prossecução das suas atribuições
relativamente à proteção e tratamento de dados pessoais no sistema judiciário;
d) Definir orientações e recomendações em matéria de requisitos de segurança dos dados das aplicações
informáticas necessárias à tramitação dos processos e à gestão do sistema judiciário, tendo designadamente
em conta as prioridades em matéria de desenvolvimento aplicacional, as possibilidades de implementação
técnica e os meios financeiros disponíveis;
e) Determinar a realização de auditorias técnicas e de segurança, com recurso, se necessário, a entidades
Página 13
22 DE JULHO DE 2019
13
externas;
f) Definir orientações e recomendações sobre efetivação e conservação de registos cronológicos de
operações de tratamento e requisitos de segurança;
g) Manter um registo atualizado dos encarregados de proteção de dados nomeados ao abrigo da presente
lei e solicitar e receber destes toda a informação relevante para o exercício das respetivas competências;
h) Manter um registo atualizado dos técnicos e responsáveis pela segurança da informação que
asseguram o desenvolvimento, a atualização, a manutenção, a confidencialidade, a integridade, a
autenticidade e a disponibilidade dos ficheiros e dos sistemas informáticos, incluindo aplicações e respetivos
subsistemas, necessários à tramitação dos processos e à gestão do sistema judiciário.
i) Ser informada pelos responsáveis pelo tratamento de dados e pelo Ministério da Justiça, nos termos da
competência prevista no artigo seguinte, de qualquer informação relevante para a proteção dos dados de que
tenham conhecimento, incluindo violações de dados pessoais ou do disposto na presente lei, e comunicar
essas situações às entidades competentes para efeitos penais ou disciplinares.
4 - O conselho superior da Comissão é constituído:
a) Pelo membro do Governo responsável pela área da justiça, que preside;
b) Por duas personalidades de reconhecido mérito designadas pela Assembleia da República;
c) Pelo Presidente do Conselho Superior da Magistratura;
d) Pelo Presidente do Conselho Superior dos Tribunais Administrativos e Fiscais;
e) Pelo Procurador-Geral da República;
f) Pelo Presidente do Conselho dos Julgados de Paz.
5 - Compete ao conselho superior da Comissão:
a) Aprovar o plano estratégico da Comissão;
b) Definir as orientações a serem aplicadas pelo conselho coordenador;
c) Homologar os relatórios de avaliação periódica e final de cumprimento do plano estratégico
apresentados pelo conselho coordenador;
d) Supervisionar a atividade do conselho coordenador;
e) Aprovar o regulamento interno da Comissão.
6 - O conselho coordenador é presidido pelo membro do Governo com competências no âmbito dos
sistemas de informação dos tribunais ou por seu representante e integrado por:
a) Dois representantes designados por cada uma das entidades referidas nos n.os 1 a 3 doartigo anterior,
um dos quais com competência e experiência técnica em matéria de administração de sistemas;
b) Um representantedesignado por cada uma das entidades referidas nos n.os 4 e 5 do artigo anterior,com
competência e experiência técnica em matéria de administração desistemas;
c) Dois representantes, um dos quais com aptidão e experiência técnica em matéria de administração de
sistemas, designados pelo Instituto de Gestão Financeira e Equipamentos da Justiça, IP, enquanto entidade
com competência pela apresentação de propostas de conceção, execução e manutenção dos recursos
tecnológicos e dos sistemas deinformação da justiça e pelo apoio aos utilizadores, por assegurar a
adequação dos sistemas de informação às necessidades de gestão e operacionalidade dos órgãos, serviços e
organismos da área da justiça, pela gestão da rede de comunicações da justiça, pelaelaboração de propostas
de articulação com o planoestratégico dos sistemas de informação na área da justiça, por projetos de
investimento em matéria de informática e de comunicações dos serviços e organismos da justiça, pela
construção e manutenção de bases de dados e pelacertificação;
d) Um representante designado pelaDireção-Geral da Administração da Justiça, enquanto entidade com
competências na definição das políticas de organização e gestão dos tribunais, na realização de estudos
tendentes à modernização e à racionalização dos meios à disposição do sistema judiciário, no
desenvolvimento, implantação, funcionamento e evolução dos sistemas de informação do sistema judiciário,
Página 14
II SÉRIE-A — NÚMERO 131
14
em matéria de gestão e administração dos funcionários de justiça, na elaboração de estatísticas oficiais na
área da justiça e em matéria de identificação criminal e registo de contumazes e de registo de medidas
tutelares educativas;
e) Um representante designado pela Secretaria-Geral do Ministério da Justiça, enquanto entidade
responsável pela promoção da inovação, modernização e política de qualidade do Ministério da Justiça, pela
contratação pública centralizada de bens e serviços e colaboração com outros serviços e organismos no
levantamento e agregação de necessidades, pela organização e preservação do arquivo histórico e pelo apoio
à Comissão;
f) Um representante designado pela Direcção-Geralda Política de Justiça, enquanto entidade
encarregada de participar na conceção e colaboração no desenvolvimento, na implantação, no funcionamento
e na evolução dos sistemas de informação.
7 - Integram ainda o conselho coordenador da Comissão, sempre que devam ser apreciados assuntos
relacionados com o tratamento de dados por que sejam responsáveis:
a) Um representante designado pela Direção-Geral de Reinserção e Serviços Prisionais, enquanto
entidade responsável pelo apoio aos tribunais e por assegurar a execução de decisões judiciais em matéria
penal e no âmbito do processo tutelar educativo e na elaboração de estatísticas oficiais da justiça;
b) Um representante de cada um dos órgãos de polícia criminal responsáveis pelo tratamento de dados
nos termos do n.º 6 do artigo 24.º.
8 - Sem prejuízo das competências do conselho superior, cabe ao conselho coordenador exercer as
competências previstas no n.º 3, bem como:
a) Apresentar ao conselho superior, para aprovação, o plano estratégico da Comissão;
b) Apresentar ao conselho superior, para homologação, os relatórios de avaliação periódica e final de
cumprimento do plano estratégico;
c) Aprovar os planos operacionais referentes à sua atividade.
9 - O presidente do conselho coordenador pode, ouvidos os demais membros, criar comités técnicos para o
exercício e desenvolvimento de algumas das competências do conselho coordenador.
10 - O conselho superior e o conselho coordenador da Comissão são apoiados pela Secretaria-Geral do
Ministério da Justiça, que faculta os meios necessários à sua instalação e ao seu funcionamento.
11 - A Comissão publica eletronicamente o regulamento interno, a composição, as orientações, as
recomendações e as deliberações, bem como a identificação e os contactos dos responsáveis de proteção de
dados.
12 - Os membros da Comissão não auferem qualquer acréscimo remuneratório ou abono pelo exercício das
suas funções.
Artigo 26.º
[…]
1 - Compete ao Instituto de Gestão Financeira e Equipamentos da Justiça, IP, nos termos e de acordo com
as orientações definidos pela tutela exercida pelo membro do Governo com competências no âmbito dos
sistemas de informação dos tribunais, e sem prejuízo dos regimes do segredo de justiça, do segredo de
Estado e de outros regimes legais de segredo ou proteção, a definição, a conceção, o desenvolvimento e a
manutenção das aplicações informáticas necessárias à tramitação dos processos e à gestão do sistema
jurisdicional, incluindo:
a) Proceder à necessária análise, implementação e suporte, assegurando que as aplicações informáticas
respeitam todas as regras de segurança previstas na presente lei e na demais legislação aplicável;
b) Criar e manter atualizado um registo de especificações técnicas e funcionais de sistemas e ficheiros
Página 15
22 DE JULHO DE 2019
15
automatizados de tratamento de dados pessoais e das medidas técnicas e organizativas adequadas a garantir
a segurança dos dados;
c) Criar e manter um registo atualizado dos técnicos e responsáveis pela segurança da informação que
asseguram o desenvolvimento, a atualização, a manutenção, a confidencialidade, a integridade, a
autenticidade e a disponibilidade dos ficheiros e dos sistemas informáticos.
2 - No âmbito das competências referidas no número anterior, o Instituto de Gestão Financeira e
Equipamentos da Justiça, IP, deve comunicar à Comissão os desenvolvimentos que possam determinar
alterações à recolha e tratamento de dados efetuados nas aplicações informáticas e cumprir as orientações da
mesma relativas à proteção e segurança da informação, podendo a Comissão apresentar propostas de
desenvolvimento das aplicações informáticas, bem como determinar a realização de auditorias às mesmas e
ter acesso aos resultados de todas as auditorias realizadas.
3 - Sem prejuízo das competências da Comissão, as aplicações informáticas necessárias à tramitação dos
processos e à gestão do sistema jurisdicional e respetivos subsistemas são objeto de auditorias de segurança,
com recurso, se necessário, a entidades externas, sendo os requisitos básicos de segurança das aplicações
definidos por portaria do membro do Governo responsável pela área da justiça, ouvidas as entidades
representadas no conselho superior da Comissão.
4 - No desenvolvimento de aplicações informáticas para tratamento dos dados referentes ao sistema
judiciário deve considerar-se a utilização de aplicações não proprietárias e a adoção de normas abertas para a
informação em suporte digital.
Artigo 27.º
[…]
1 - .......................................................................................................................................................................
2 - ....................................................................................................................................................................... :
a) A consulta dos dados abrangidos pelo segredo de justiça, pelo segredo de Estado ou por outro regime
legal de segredo ou proteção se efetua nos termos da legislação que regula os respetivos regimes;
b) ...................................................................................................................................................................... ;
c) ...................................................................................................................................................................... .
Artigo 29.º
[…]
1 - Sem prejuízo dos regimes do segredo de justiça, do segredo de Estado e de outros regimes legais de
segredo ou proteção, têm acesso aos dados referidos no artigo 3.º, nos termos previstos na presente lei e nos
limites das suas competências ou direitos, no âmbito de um determinado processo:
a) ...................................................................................................................................................................... ;
b) ...................................................................................................................................................................... ;
c) Os órgãos e agentes auxiliares ou de coadjuvação dos tribunais e das autoridades judiciárias;
d) Os administradores judiciais provisórios, os administradores de insolvência e os agentes de execução;
e) [Anterior alínea c)];
f) [Anterior alínea d)];
g) [Anterior alínea e)];
h) [Anterior alínea f)];
i) [Anterior alínea g)];
j) Os juízes presidentes dos tribunais de comarca, designadamente nos termos e para os efeitos previstos
no n.º 10 do artigo 94.º da Lei n.º 62/2013, de 23 de agosto, na sua redação atual;
l) [Anterior alínea i)];
m) [Anterior alínea j)];
Página 16
II SÉRIE-A — NÚMERO 131
16
n) [Anterior alínea l)];
o) [Anterior alínea m)].
2 - As operações de tratamento dos dados são dotadas de especiais medidas de segurança, as quais
garantem, designadamente:
a) ...................................................................................................................................................................... ;
b) ...................................................................................................................................................................... ;
c) ...................................................................................................................................................................... ;
d) ...................................................................................................................................................................... ;
e) ...................................................................................................................................................................... .
3 - .......................................................................................................................................................................
Artigo 30.º
Consulta e tratamento de dados pelos magistrados, funcionários de justiça, funcionários dos serviços e
entidades que exerçam funções de coadjuvação ou de execução de decisões, administradores judiciais
provisórios, administradores de insolvência e agentes de execução
1 - Os magistrados, os funcionários de justiça que os coadjuvam, os funcionários dos órgãos de polícia
criminal e dos serviços e entidades que exerçam funções de coadjuvação ou de execução de decisões, os
administradores judiciais provisórios, os administradores de insolvência e os agentes de execução podem
consultar e tratar:
a) Os dados dos processos nos tribunais judiciais e nos tribunais administrativos e fiscais que sejam da
sua competência, na fase em que se encontrem;
b) ...................................................................................................................................................................... ;
c) ...................................................................................................................................................................... ;
d) Os dados das medidas de coação e da detenção relativos a quem seja arguido em processos que sejam
da sua competência;
e) ...................................................................................................................................................................... ;
f) ....................................................................................................................................................................... .
2 - Os magistrados do Ministério Público e os funcionários de justiça que os coadjuvam, bem como os
órgãos de polícia criminal, devidamente autorizados pelo magistrado competente e enquanto se mantiver a
coadjuvação, podem consultar e tratar os dados dos inquéritos em processo penal e dos demais processos da
competência do Ministério Público, relativos a processos que sejam da sua competência.
3 - Os juízes de instrução e os funcionários de justiça que os coadjuvam podem consultar e tratar os dados
dos inquéritos em processo penal, relativos a processos que sejam da sua competência, quando tais dados
sejam necessários para o exercício das competências que lhes cabem, nos termos da lei, durante o inquérito.
4 - .......................................................................................................................................................................
Artigo 31.º
Consulta pelas partes, arguido, assistente, vítima,partes civis, defensores, advogados, advogados
estagiários, solicitadores e demais mandatários
Sem prejuízo dos regimes do segredo de justiça e do segredo de Estado e de outros regimes legais de
segredo ou de proteção, as partes, o arguido, o assistente, a vítima e as partes civis, bem como os seus
defensores, advogados, advogados estagiários, solicitadores e demais mandatários, podem consultar os
seguintes dados, relativos aos respetivos processos:
a) ...................................................................................................................................................................... ;
Página 17
22 DE JULHO DE 2019
17
b) ...................................................................................................................................................................... ;
c) ...................................................................................................................................................................... ;
d) ...................................................................................................................................................................... ;
e) ...................................................................................................................................................................... ;
f) ....................................................................................................................................................................... ; e
g) ......................................................................................................................................................................
Artigo 32.º
[…]
1 - ....................................................................................................................................................................... :
a) O Procurador-Geral da República e o Vice-Procurador-Geral da República podem consultar os dados
relativos aos processos nos tribunais judiciais e nos tribunais administrativos e fiscais, os dados relativos aos
inquéritos em processo penal e os dados relativos aos demais processos da competência do Ministério
Público;
b) O procurador-geral adjunto que dirige o Departamento Central de Investigação e Ação Penal pode
consultar os dados relativos aos processos penais nos tribunais judiciais, bem como os dados relativos aos
inquéritos e a processos da competência daquele Departamento e de outros serviços e departamentos do
Ministério Público, estritamente para efeitos de coordenação;
c) O procurador-geral distrital pode consultar os dados relativos aos processos nos tribunais judiciais, aos
inquéritos em processo penal e aos demais processos da competência do Ministério Público, respeitantes aos
processos que corram na respetiva área de competência territorial;
d) Os procuradores-gerais adjuntos que representam o Ministério Público nos tribunais centrais
administrativos podem consultar os dados relativos aos processos que corram nos respetivos tribunais, bem
como aos processos nos tribunais administrativos e fiscais, nos tribunais administrativos de círculo e nos
tribunais tributários localizados na respetiva área de jurisdição;
e) O procurador-geral adjunto ou o procurador da República coordenador de comarca pode consultar os
dados relativos aos inquéritos em processo penal e aos demais processos da competência do Ministério
Público, relacionados com processos que corram na respetiva área de competência territorial;
f) O procurador-geral-adjunto ou o procurador da República que dirige um departamento de investigação e
ação penal pode consultar os dados dos processos penais nos tribunais judiciais, bem como os dados do
inquérito em processo penal, relativos aos processos que corram no respetivo departamento;
g) Os procuradores-gerais-adjuntos ou procuradores da República que dirijam uma procuradoria da
República e, quando existam, os procuradores da República coordenadores ou com funções específicas de
coordenação podem consultar os dados relativos aos processos nos tribunais judiciais e os dados dos
inquéritos em processo penal relativos, respetivamente, aos processos atribuídos à respetiva procuradoria da
República e aos processos em relação aos quais tenham funções de coordenação; e
h) Os procuradores da República que representam o Estado nos tribunais administrativos de círculo e nos
tribunais tributários e que neles tenham funções de coordenação podem consultar os dados relativos aos
processos nos tribunais administrativos e fiscais distribuídos a magistrados do Ministério Público que exerçam
funções no mesmo tribunal.
2 - ....................................................................................................................................................................... .
3 - ....................................................................................................................................................................... .
4 - ....................................................................................................................................................................... .
Artigo 35.º
[…]
É permitida a disponibilização, em sítio na Internet acessível ao público, de dados não abrangidos pelo
segredo de justiça ou de Estado ou por outros regimes legais de segredo ou proteção nos termos da lei, de
Página 18
II SÉRIE-A — NÚMERO 131
18
acordo com o disposto nos regimes de proteção de dados pessoais.
Artigo 36.º
Direitos do titular dos dados
1 - A qualquer pessoa devidamente identificada e que o solicite por escrito são reconhecidos os direitos de
informação, de acesso, de retificação e de apagamento dos dados que lhe respeitem, nos termos e com as
limitações previstas nos regimes de proteção de dados.
2 - Os pedidos referidos no n.º 1 podem ser efetuados por meios eletrónicos, nos termos a regular por
portaria do membro do Governo responsável pela área da justiça.
3 - (Revogado).
Artigo 37.º
Interoperabilidade com outros sistemas
1 - Para os efeitos previstos na lei, pode existir interoperabilidade, por meios eletrónicos, com os seguintes
sistemas, precedida de parecer da CNPD:
a) ...................................................................................................................................................................... ;
b) ...................................................................................................................................................................... ;
c) ...................................................................................................................................................................... ;
d) ...................................................................................................................................................................... ;
e) ...................................................................................................................................................................... ;
f) ....................................................................................................................................................................... ;
g) ...................................................................................................................................................................... ;
h) Da identificação civil e criminal;
i) ....................................................................................................................................................................... ;
j) ....................................................................................................................................................................... ;
l) ....................................................................................................................................................................... ;
m) ..................................................................................................................................................................... ;
n) ...................................................................................................................................................................... ;
o) ...................................................................................................................................................................... ;
p) ...................................................................................................................................................................... ;
q) ...................................................................................................................................................................... ;
r) Da Ordem dos Solicitadores e dos Agentes de Execução;
s) ...................................................................................................................................................................... ;
t) Das Unidades de Informação Financeira e de Informação de Passageiros;
u) Das autoridades de supervisão e dos serviços de inspeção, auditoria e fiscalização do Estado;
v) [Anterior alínea t)].
2 - ....................................................................................................................................................................... .
3 - ....................................................................................................................................................................... .
4 - ....................................................................................................................................................................... .
5 - ....................................................................................................................................................................... .
Artigo 38.º
[…]
1 - Os magistrados, os funcionários de justiça, os funcionários dos órgãos de polícia criminal e dos serviços
e entidades que exerçam funções de coadjuvação ou de execução de decisões, os administradores judiciais
provisórios, os administradores de insolvência e os agentes de execução podem aceder aos dados constantes
dos sistemas referidos no n.º 1 do artigo anterior para fins de identificação, localização ou contacto
Página 19
22 DE JULHO DE 2019
19
atualizados, em condições de segurança, celeridade e eficácia, no âmbito de processos da sua competência:
a) ...................................................................................................................................................................... ;
b) ...................................................................................................................................................................... ;
c) ...................................................................................................................................................................... .
2 - Para efeitos de controlo de admissibilidade da consulta a outros sistemas, as pesquisas efetuadas pelas
pessoas que tenham acesso às bases de dados através de aplicação são registadas informaticamente, sendo
este registo conservado por um prazo de dois anos.
3 - Podem aceder aos registos referidos no número anterior os membros da Comissão, no âmbito do
exercício das respetivas competências de auditoria e inspeção, e as autoridades judiciárias, para fins de
investigação de eventuais violações, sem prejuízo das competências da CNPD.
Artigo 39.º
Transferências de dados
1 - Os magistrados e os funcionários que os coadjuvam asseguram a transferência de dados, nos termos
previstos na lei, para os seguintes efeitos:
a) Cumprir as obrigações de cooperação judiciária internacional emergentes da lei e dos instrumentos de
direito internacional e da União Europeia;
b) Facultar aos órgãos de polícia criminal os dados necessários ao cumprimento das obrigações de
intercâmbio de dados e informações para prevenção e combate à criminalidade emergentes da lei e dos
instrumentos de direito internacional e da União Europeia, no âmbito da cooperação policial.
2 - A transferência de dados para países não membros da União Europeia ou para organizações
internacionais obedece aos princípios e regras previstos nos regimes de proteção de dados pessoais.
3 - O disposto nos artigos 37.º e 38.º não prejudica a comunicação de dados com outros sistemas, nem o
acesso aos dados de outros sistemas, nomeadamente aos sistemas de serviços e entidades que exerçam
funções de coadjuvação ou de execução de decisões ou de outras entidades ou serviços prestadores de
informação, nos termos legalmente previstos.
Artigo 40.º
Conservação, arquivamento e apagamento de dados
1 - Os dados referidos no artigo 3.º apenas são acessíveis e tratados enquanto forem necessários para as
finalidades a que se destinam.
2 - Os dados deixam de ser necessários para as finalidades a que se destinam logo que se verifiquem as
duas circunstâncias seguintes:
a) ...................................................................................................................................................................... ; e
b) ...................................................................................................................................................................... .
3 - ........................................................................................................................................ .
4 - O apagamento dos dados arquivados eletronicamente processa-se de acordo com o disposto nos
diplomas que regulam o arquivamento, os prazos de conservação administrativa e a destruição dos processos
e documentos judiciais, com as necessárias adaptações.
5 - O controlo dos prazos de conservação dos dados é assegurado eletronicamente, devendo a sua
conservação e atualização ser periodicamente revista.
Página 20
II SÉRIE-A — NÚMERO 131
20
Artigo 41.º
[…]
1 - .......................................................................................................................................................................
2 - ....................................................................................................................................................................... :
a) ...................................................................................................................................................................... ;
b) As pessoas às quais a lei confira um direito de consulta de auto ou de obtenção de cópia, extrato ou
certidão de auto ou parte dele, na medida do estritamente necessário para realização do fim que fundamenta a
consulta, e sem prejuízo dos regimes do segredo de justiça, do segredo de Estado ou de outros regimes legais
de segredo ou proteção.
3 - Ao acesso referido na alínea b) do número anterior são aplicáveis as regras de acesso aos processos
enquanto estes se encontram pendentes.
4 - ....................................................................................................................................................................... .
Artigo 42.º
[…]
1 - Os responsáveis pelo tratamento asseguram a segurança dos dados no âmbito da sua competência,
nos termos dos regimes de proteção de dados pessoais e da presente lei, nomeadamente no que respeita ao
tratamento automatizado.
2 - O controlo da consulta e de outras operações de tratamento dos dados é feito através do registo
eletrónico referido no n.º 3 do artigo 29.º, devendo esse registo ser periodicamente comunicado aos
responsáveis pela gestão dos dados, para fins de auditoria aos acessos.
3 - ....................................................................................................................................................................... .
4 - ....................................................................................................................................................................... .
Artigo 43.º
[…]
Quem, no exercício das suas funções, tomar conhecimento de dados referidos no artigo 3.º, cujo
conhecimento pelo público não seja admitido pela lei, fica obrigado a sigilo profissional.
Artigo 44.º
[…]
1 - A CNPD é a autoridade de controlo com competência para a garantia e fiscalização da aplicação dos
regimes de proteção de dados pessoais e das operações de tratamento de dados pessoais nos termos
previstos na presente lei.
2 - Para efeitos do número anterior, a composição da CNPD respeita os termos do n.º 3 do artigo 43.º da
Lei n.º [PPL 125/XIII]
3 - A competência da CNPD não abrange a fiscalização e supervisão de operações de tratamento de dados
pessoais pelas autoridades judiciárias, pelos juízes de paz e pelos mediadores dos sistemas públicos de
mediação, no âmbito das suas competências processuais, nos termos previstos nas alíneas a) e b) do n.º 1 do
artigo 23.º.
4 - A Comissão constitui o ponto de contacto privilegiado da CNPD para os efeitos previstos no n.º 1, sem
prejuízo da comunicação direta com os responsáveis pela proteção de dados nos termos e para os efeitos
legalmente previstos.
5 - A CNPD aconselha e promove a sensibilização dos responsáveis pelo tratamento para as obrigações
que lhes incumbem, em cooperação com a Comissão.
6 - As entidades supervisoras da gestão da informação, bem como as demais entidades que integram a
Página 21
22 DE JULHO DE 2019
21
Comissão, comunicam à CNPD a identidade e as funções dos representantes designados nos termos do
artigo 25.º, bem como a identidade e contatos dos respetivos encarregados de proteção de dados.
7 - Tendo em vista o controlo e fiscalização do cumprimento das normas de proteção de dados pessoais, a
CNPD pode aceder ao registo referido nos n.os 2 e 3 do artigo 42.º, oficiosamente ou na sequência de queixa.
Artigo 47.º
[…]
1 - Quem copiar, subtrair, ceder, ou transferir, a título oneroso ou gratuito,dados pessoais tratados ao
abrigo da presente lei, sem previsão legal ou consentimento, é punido com pena de prisão até 2 anos ou multa
até 240 dias.
2 - A pena é agravada para o dobro nos seus limites quando a conduta:
a) For conseguida através de violação de regras técnicas de segurança;
b) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial; ou
c) Tiver prejudicado inquéritos, investigações, processos judiciais ou a execução de sanções penais.
Artigo 48.º
[…]
Quem utilizar dados pessoais tratados ao abrigo da presente lei de forma incompatível com a finalidade
determinante da respetiva recolha é punido com pena de prisão até 2 anos ou com pena de multa até 240
dias.
Artigo 50.º
[…]
1 - Quem, sem a devida autorização ou justificação, aceder, por qualquer modo, a dados pessoais tratados
ao abrigo da presente lei é punido com pena de prisão até um ano ou com pena de multa até 120 dias.
2 - ....................................................................................................................................................................... :
a) ...................................................................................................................................................................... ;
b) (Revogada); ou
c) ...................................................................................................................................................................... .
Artigo 51.º
Viciação ou destruição de dados
1 - Quem, sem a devida autorização ou justificação, apagar, destruir, danificar, ocultar, suprimir ou modificar
dados pessoais, tornando-os inutilizáveis ou afetando o seu potencial de utilização, é punido com pena de
prisão até dois anos ou com pena de multa até 240 dias.
2 - .......................................................................................................................................................................
3 - Se o agente atuar com negligência é punido com pena de prisão:
a) Até um ano ou multa até 120 dias, no caso previsto no n.º 1;
b) Até dois anos ou multa até 240 dias, no caso previsto no n.º 2.
Artigo 52.º
[…]
1 - Quem, obrigado a sigilo profissional nos termos da lei, sem justa causa e sem o devido consentimento,
revelar ou divulgar no todo ou em parte dados pessoais é punido com pena de prisão até um ano ou com pena
Página 22
II SÉRIE-A — NÚMERO 131
22
de multa até 120 dias.
2 - A pena é agravada para o dobro nos seus limites se o agente:
a) For trabalhador em funções públicas ou equiparado, nos termos da lei penal;
b) For encarregado de proteção de dados;
c) For determinado pela intenção de obter qualquer vantagem patrimonial ou outro benefício ilegítimo;
d) Puser em perigo a reputação, a honra ou a intimidade da vida privada de terceiros.
3 - ....................................................................................................................................................................... .
Artigo 54.º
Sanções acessórias
Conjuntamente com as penas previstas no presente capítulo, podem ser ordenadas as sanções acessórias
previstas no artigo 56.º da Lei n.º [PPL 120/XIII].
Artigo 55.º
[…]
1 - O disposto no presente capítulo não prejudica a aplicação das disposições da Lei n.º [PPL 120/XIII], da
Lei n.º [PPL 125/XIII] ou do Código Penal, se de tal aplicação resultar, em concreto, uma sanção mais grave.
2 - O disposto no presente capítulo não prejudica a aplicação da Lei n.º 109/2009, de 15 de setembro.
Artigo 56.º
[…]
O disposto no presente capítulo não prejudica a efetivação da responsabilidade civil nem da
responsabilidade disciplinar.
Artigo 58.º
[…]
Às matérias relativas à proteção de dados pessoais previstas na presente lei é subsidiariamente aplicável o
disposto no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, na
Lei n.º [PPL 120/XIII], que assegura a sua execução na ordem jurídica interna, e na Lei n.º [PPL 125/XIII], que
transpõe para a ordem jurídica interna a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27
de abril de 2016.»
Artigo 3.º
Aditamento à Lei n.º 34/2009, de 14 de julho
São aditados à Lei n.º 34/2009, de 14 de julho, os artigos 52.º-A e 52.º-B, com a seguinte redação:
«Artigo 52.º-A
Inserção de dados falsos
1 - Quem inserir ou facilitar a inserção de dados pessoais falsos, com a intenção de obter vantagem
indevida para si ou para terceiro, ou para causar prejuízo, é punido com pena de prisão até dois anos ou com
pena de multa até 240 dias.
2 - A pena é agravada para o dobro nos seus limites se da inserção referida no número anterior resultar um
Página 23
22 DE JULHO DE 2019
23
prejuízo efetivo.
Artigo 52.º-B
Desobediência qualificada
Quem não cumprir as obrigações previstas na presente lei, depois de ultrapassado o prazo que tiver sido
fixado pela autoridade de controlo para o respetivo cumprimento, é punido com a pena correspondente ao
crime de desobediência qualificada.»
Artigo 4.º
Alteração à organização sistemática da Lei n.º 34/2009, de 14 de julho
São introduzidas as seguintes alterações à organização sistemática da Lei n.º 34/2009, de 14 de julho, na
sua redação atual:
a) O capítulo I passa a denominar-se «Disposições gerais»;
b) O capítulo II passa a denominar-se «Tratamento de dados pessoais», sendo constituído pelos artigos 3.º
a 22.º;
c) A secção I do capítulo II passa a denominar-se «Objeto, finalidades do tratamento e formas de recolha
de dados»;
d) O capítulo III passa a denominar-se «Responsabilidade pelo tratamento e segurança dos dados», sendo
constituído pelos artigos 23.º a 26.º;
e) O capítulo V passa a denominar-se «Intercâmbio e transferências de dados»
f) O capítulo VI passa a denominar-se «Conservação, arquivamento e apagamento de dados».
Artigo 5.º
Norma revogatória
São revogados o n.º 2 do artigo 5.º, o n.º 3 do artigo 36.º, a alínea b) do n.º 2 do artigo 50.º e o artigo 57.º
da Lei n.º 34/2009, de 14 de julho, na sua redação atual.
Artigo 6.º
Republicação
É republicada, em anexo à presente lei, da qual faz parte integrante, a Lei n.º 34/2009, de 14 de julho, com
a redação atual e as necessárias correções materiais.
Artigo 7.º
Entrada em vigor
A presente lei entra em vigor no dia útil seguinte ao da sua publicação.
Aprovado em 21 de junho de 2019,
O Presidente da Assembleia da República, Eduardo Ferro Rodrigues.
Página 24
II SÉRIE-A — NÚMERO 131
24
ANEXO
(a que se refere o artigo 6.º)
Republicação da Lei n.º 34/2009, de 14 de julho
CAPÍTULO I
Disposições gerais
Artigo 1.º
Objeto
1 – A presente lei estabelece o regime jurídico aplicável ao tratamento de dados pessoais referentes ao
sistema judiciário, incluindo os dados relativos aos meios de resolução alternativa de litígios, nomeadamente
quanto aos dados a tratar e ao objetivo e à finalidade do tratamento, adotando regras sobre:
a) A recolha e o tratamento dos dados necessários ao exercício das competências dos magistrados, dos
funcionários de justiça e dos órgãos de polícia criminal no âmbito do processo penal, bem como ao exercício
dos direitos dos demais intervenientes nos processos jurisdicionais e da competência do Ministério Público;
b) A recolha e o tratamento dos dados necessários ao exercício das competências dos juízes de paz e dos
funcionários dos julgados de paz, bem como ao exercício dos direitos dos demais intervenientes nos
respetivos processos;
c) A recolha e o tratamento dos dados necessários ao exercício das competências dos mediadores dos
sistemas públicos de mediação, bem como ao exercício dos direitos dos demais intervenientes nos processos
nos sistemas públicos de mediação;
d) O registo e o tratamento dos dados referidos nas alíneas a), b) e c);
e) As entidades responsáveis pelo tratamento dos dados referidos nas alíneas a), b) e c) e pelo
desenvolvimento aplicacional;
f) A consulta e o acesso aos dados por outras entidades;
g) O intercâmbio e a transferência dos dados referidos nas alíneas a), b) e c);
h) A conservação, o arquivamento e o apagamento dos dados referidos nas alíneas a), b) e c);
i) As condições de segurança dos dados referidos nas alíneas a), b) e c);
j) A utilização de dados para efeitos de tratamento estatístico; e
l) As sanções aplicáveis ao incumprimento das disposições da presente lei.
2 – A presente lei complementa o disposto no Regulamento (UE) 2016/679 do Parlamento Europeu e do
Conselho, de 27 de abril de 2016, na Lei n.º [PPL 120/XIII], que assegura a sua execução na ordem jurídica
interna, e na Lei n.º [PPL 125/XIII], que transpõe para a ordem jurídica interna a Diretiva (UE) 2016/680 do
Parlamento Europeu e do Conselho, de 27 de abril de 2016, doravante designados «regimes de proteção de
dados pessoais».
Artigo 2.º
Proteção de dados pessoais e princípios do tratamento
1 - Os tribunais, o Ministério Público, os órgãos de gestão e disciplina judiciários, os julgados de paz, as
secretarias dos tribunais e do Ministério Público e as entidades gestoras dos sistemas públicos de mediação
asseguram a proteção das pessoas no que diz respeito ao tratamento de dados pessoais no âmbito da sua
atividade e ao exercício dos direitos dos respetivos titulares relativamente aos dados que lhes digam respeito,
nos termos dos regimes de proteção de dados pessoais e da presente lei.
2 - A recolha, o registo e as demais operações de tratamento de dados pessoais observam os princípios
estabelecidos no artigo 5.º do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de
2016, e no artigo 4.º da Lei n.º [PPL 125/XIII].
3 - Sem prejuízo dos direitos que lhe assistem nos termos da presente lei, é vedada ao titular dos dados a
Página 25
22 DE JULHO DE 2019
25
oposição ao seu tratamento nos termos e para as finalidades previstas nas leis do processo.
4 - O disposto nos números anteriores é correspondentemente aplicável ao tratamento de dados pessoais
pelos órgãos de polícia criminal, no âmbito do processo penal, e pelos serviços e entidades que procedam ao
tratamento de dados pessoais que constem ou sejam destinados a processos da competência das autoridades
judiciárias, no âmbito de funções de coadjuvação e de execução de decisões destas autoridades.
5 - As especificações relativas aos dados a tratar e aos objetivos e às finalidades do tratamento a que se
refere o número anterior constam das leis de organização dos órgãos, serviços e entidades respetivas.
CAPÍTULO II
Tratamento de dados pessoais
Secção I
Objeto, finalidades do tratamento e formas de recolha de dados
Artigo 3.º
Dados
Podem ser objeto de recolha e dos necessários tratamentos subsequentes os dados referentes:
a) Aos processos nos tribunais judiciais;
b) Aos processos nos tribunais administrativos e fiscais;
c) Aos inquéritos em processo penal;
d) Aos demais processos, procedimentos e expediente da competência do Ministério Público;
e) À conexão processual no processo penal;
f) À suspensão provisória do processo penal e ao arquivamento em caso de dispensa de pena;
g) Às medidas de coação e à detenção;
h) Às ordens de detenção;
i) Às medidas de garantia patrimonial;
j) Ao congelamento, à apreensão e à perda de bens, produtos e vantagens do crime;
l) Aos processos nos julgados de paz;
m) Aos processos nos sistemas públicos de mediação.
Artigo 4.º
Finalidades da recolha e do tratamento dos dados
1 - A recolha e o tratamento dos dados referidos no artigo anterior têm as seguintes finalidades:
a) Organizar, uniformizar e manter atualizada toda a informação constante dos processos jurisdicionais e
da competência do Ministério Público, dos processos nos julgados de paz e dos processos nos sistemas
públicos de mediação;
b) Preservar toda a informação constante dos processos jurisdicionais e da competência do Ministério
Público, dos processos nos julgados de paz e dos processos nos sistemas públicos de mediação,
designadamente, das informações relativas a todos os que neles intervenham;
c) Permitir a tramitação eletrónica ou não eletrónica dos processos judiciais e da competência do Ministério
Público, dos processos nos julgados de paz e dos processos nos sistemas públicos de mediação, bem como
possibilitar a respetiva decisão;
d) Facultar aos órgãos e agentes auxiliares ou de coadjuvação dos tribunais e das autoridades judiciárias,
bem como aos diversos intervenientes processuais, as informações de que necessitem ou às quais possam
aceder, nos termos da lei;
e) Assegurar a realização da investigação, do inquérito e do exercício da ação penal, nos termos da
Constituição e da lei, bem como o cumprimento das leis de política criminal;
Página 26
II SÉRIE-A — NÚMERO 131
26
f) Facultar aos órgãos, entidades e serviços competentes as informações necessárias ao registo e
execução de decisões judiciais e do Ministério Público, nos termos da lei;
g) Assegurar o cumprimento pelas autoridades judiciárias das obrigações de cooperação judiciária
internacional emergentes da lei e dos instrumentos de direito internacional e da União Europeia;
h) Facultar aos órgãos de polícia criminal os dados necessários ao cumprimento das obrigações de
intercâmbio de dados e informações para prevenção e combate à criminalidade emergentes da lei e dos
instrumentos de direito internacional e da União Europeia;
i) Garantir a execução das ordens de detenção nacionais, europeias e internacionais;
j) Facultar, aos órgãos e agentes competentes, as informações necessárias ao exercício das
competências de direção, coordenação e fiscalização da atividade do Ministério Público, bem como ao
exercício das demais competências de fiscalização a cargo do Ministério Público;
l) Facultar, aos órgãos e agentes competentes, as informações necessárias à apreciação do mérito
profissional dos magistrados, dos funcionários de justiça, dos juízes de paz, dos mediadores e funcionários
dos julgados de paz, dos mediadores dos sistemas públicos de mediação e dos administradores da
insolvência;
m) Facultar, aos órgãos e agentes competentes, as informações necessárias à realização de inquéritos,
inspeções e sindicâncias aos serviços judiciais, do Ministério Público, dos julgados de paz e dos sistemas
públicos de mediação;
n) Facultar, aos órgãos e agentes competentes, as informações necessárias à prossecução da ação
disciplinar contra magistrados, funcionários de justiça, juízes de paz, mediadores e funcionários dos julgados
de paz, mediadores dos sistemas públicos de mediação e administradores da insolvência;
o) Facultar os dados necessários à elaboração das estatísticas oficiais da justiça, com salvaguarda do
segredo estatístico;
p) Facultar os dados previstos na alínea anterior aos órgãos com competência de gestão do sistema
judicial, tendo em vista a monitorização do respetivo funcionamento; e
q) Facultar dados não nominativos e indicadores de gestão aos órgãos e entidades responsáveis pelo
planeamento, monitorização e administração dos recursos afetos ao sistema judicial, incluindo os meios de
resolução alternativa de litígios.
2 - Os responsáveis pelo tratamento asseguram uma distinção clara entre os dados pessoais das diferentes
categorias dos titulares dos dados a que se referem os artigos 6.º a 22.º.
Artigo 5.º
Formas de recolha e tratamento
1 - Os dados referidos no artigo 3.º são recolhidos pelas seguintes formas, preferencialmente por meios
eletrónicos:
a) Diretamente junto dos respetivos titulares;
b) Pelas autoridades judiciárias;
c) Junto das entidades públicas ou privadas responsáveis pelos meios de resolução alternativa de litígios;
d) Junto das autoridades de polícia criminal ou dos órgãos de polícia criminal;
e) Junto de outros órgãos e agentes auxiliares ou de coadjuvação dos tribunais e das autoridades
judiciárias;
f) Junto dos defensores, advogados e mandatários;
g) Junto das pessoas singulares que tenham intervenção acidental no processo, voluntária ou provocada;
h) Junto de outras entidades públicas ou privadas;
i) Por via dos documentos, requerimentos e outro expediente que deem entrada nos serviços judiciais, do
Ministério Público ou das entidades públicas ou privadas responsáveis pelos meios de resolução alternativa de
litígios;
j) Através do acesso a dados constantes de outros sistemas, bem como da comunicação de dados por
esses sistemas, nos termos da lei.
Página 27
22 DE JULHO DE 2019
27
2 - (Revogado).
3 - Quem intervenha nos processos é obrigado, nos termos da lei, a fornecer e a atualizar os dados
previstos na presente lei que sejam do seu conhecimento.
4 - O disposto no número anterior não prejudica as regras relativas às declarações do arguido em processo
penal.
Secção II
Categorias de dados
Artigo 6.º
Dados dos processos nos tribunais judiciais
Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes
aos processos nos tribunais judiciais:
a) Dados dos magistrados aos quais o processo se encontra distribuído, dos funcionários de justiça que os
coadjuvam, dos funcionários dos órgãos de polícia criminal no âmbito do processo penal e dos serviços e
entidades que exerçam funções de coadjuvação ou de execução de decisões;
b) Dados dos magistrados e dos funcionários de justiça que se tenham declarado ou tenham sido
declarados impedidos, recusados ou escusados;
c) Dados de identificação e contacto das partes, principais e acessórias, em processo civil e de trabalho;
d) Dados de identificação e contacto dos assistentes, lesados, ofendidos, partes civis, queixosos e vítimas,
em processo penal;
e) Dados de identificação e contacto dos arguidos e autoridades recorridas, em processo
contraordenacional;
f) Dados de identificação e contacto das testemunhas;
g) Dados de identificação e contacto dos defensores, advogados e mandatários, bem como dados
necessários ao processamento do pagamento de honorários aos mesmos;
h) Dados de identificação e contacto dos peritos, consultores técnicos e assessores técnicos, bem como
dados necessários ao processamento do pagamento de honorários aos mesmos;
i) Dados de identificação e contacto dos administradores judiciais provisórios, dos administradores de
insolvência e dos agentes de execução, bem como dados necessários ao processamento do pagamento das
suas remunerações e honorários;
j) Dados de identificação, contacto, localização e situação processual do arguido em processo penal,
incluindo os dados do termo de identidade e residência;
l) Dados relativos às decisões judiciais e aos recursos; e
m) Dados da tramitação do processo.
Artigo 7.º
Dados dos processos nos tribunais administrativos e fiscais
Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes
aos processos nos tribunais administrativos e fiscais:
a) Dados dos magistrados aos quais o processo se encontra distribuído, dos funcionários de justiça que os
coadjuvam e dos funcionários dos serviços e entidades que exerçam funções de coadjuvação ou de execução
de decisões;
b) Dados dos magistrados e dos funcionários de justiça que se tenham declarado ou tenham sido
declarados impedidos, recusados ou escusados;
c) Dados de identificação e contacto das partes, principais e acessórias;
d) Dados de identificação e contacto das testemunhas;
e) Dados de identificação e contacto dos mandatários, bem como dados necessários ao processamento do
pagamento de honorários aos mesmos;
Página 28
II SÉRIE-A — NÚMERO 131
28
f) Dados de identificação e contacto dos peritos e assessores técnicos, bem como dados necessários ao
processamento do pagamento de honorários aos mesmos;
g) Dados de identificação e contacto dos agentes de execução, bem como dados necessários ao
processamento do pagamento das suas remunerações e honorários;
h) Dados relativos às decisões judiciais e aos recursos; e
i) Dados da tramitação do processo.
Artigo 8.º
Dados dos inquéritos em processo penal
Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes
aos inquéritos em processo penal:
a) Dados dos magistrados aos quais o processo se encontra distribuído, dos funcionários de justiça que os
coadjuvam, dos funcionários dos órgãos de polícia criminal no âmbito do processo penal e dos serviços e
entidades que exerçam funções de coadjuvação ou de execução de decisões;
b) Dados dos magistrados e dos funcionários de justiça que se tenham declarado ou tenham sido
declarados impedidos, recusados ou escusados;
c) Dados de identificação e contacto dos assistentes, lesados, ofendidos, partes civis, queixosos e vítimas;
d) Dados de identificação e contacto das testemunhas;
e) Dados de identificação e contacto dos defensores, advogados e mandatários, bem como dados
necessários ao processamento do pagamento de honorários aos mesmos;
f) Dados de identificação e contacto dos peritos e dos consultores técnicos, bem como dados necessários
ao processamento do pagamento de honorários aos mesmos;
g) Dados de identificação, contacto e localização do suspeito e do denunciado;
h) Dados de identificação, contacto, localização e situação processual do arguido, incluindo os dados do
termo de identidade e residência;
i) Dados relativos às decisões de acusação e de arquivamento do inquérito; e
j) Dados da tramitação do processo.
Artigo 9.º
Dados dos demais processos, procedimentos e expediente da competência do Ministério Público
Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes
aos demais processos, procedimentos e expediente da competência do Ministério Público:
a) Dados dos magistrados aos quais o processo, procedimento ou expediente se encontra distribuído e
dos funcionários de justiça que os coadjuvam;
b) Dados dos magistrados e dos funcionários de justiça que se tenham declarado ou tenham sido
declarados impedidos, recusados ou escusados;
c) Dados de identificação e contacto das partes, principais e acessórias;
d) Dados de identificação e contacto das testemunhas;
e) Dados de identificação e contacto dos mandatários, bem como dados necessários ao processamento do
pagamento de honorários aos mesmos;
f) Dados de identificação de requerentes, de pessoas visadas e de outros intervenientes;
g) Dados relativos a decisões; e
h) Dados relativos à tramitação do processo, procedimento e expediente.
Artigo 10.º
Dados da conexão processual no processo penal
Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes à
conexão processual no processo penal:
Página 29
22 DE JULHO DE 2019
29
a) Nome do arguido, suspeito ou denunciado;
b) Número de identificação fiscal e número de identificação civil ou militar, nacional ou estrangeiro do
arguido, suspeito ou denunciado;
c) Identificação dos processos penais que correm contra o arguido, suspeito ou denunciado, através do
respetivo número;
d) Tipos de crime imputados em cada processo;
e) Datas, locais e caracterização dos factos, relativamente a cada processo penal; e
f) Identificação do tribunal ou serviço do Ministério Público em que corre cada processo penal.
Artigo 11.º
Dados da suspensão provisória do processo penal e do arquivamento em caso de dispensa de pena
Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes à
suspensão provisória do processo penal e ao arquivamento em caso de dispensa de pena:
a) Nome das pessoas a quem seja aplicada medida de suspensão provisória do processo penal ou de
arquivamento em caso de dispensa de pena, com a identificação do processo e do tribunal em que foram
aplicadas, do tipo de crime a que respeitam, da data e da fase processual em que foi decidida a sua aplicação
e, no caso da medida de suspensão provisória do processo penal, das injunções ou regras de conduta
aplicadas;
b) Número de identificação fiscal das pessoas referidas na alínea anterior e número de identificação civil
ou militar, nacional ou estrangeiro;
c) Filiação, país de naturalidade, nacionalidade, data de nascimento, sexo, domicílio e estado civil das
pessoas referidas na alínea a);
d) Condenações anteriores, com a identificação do tipo de crime a que respeitam, do tribunal e do
processo em que foram proferidas e da data em que foram proferidas, sem prejuízo das regras relativas à
organização e funcionamento da identificação criminal, nomeadamente as referentes ao cancelamento e não
transcrição de decisões judiciais; e
e) No caso das medidas de suspensão provisória do processo penal, as datas do seu início e termo, bem
como a indicação do arquivamento ou reabertura do processo após o termo da suspensão.
Artigo 12.º
Dados das medidas de coação e da detenção
Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes
às medidas de coação e à detenção:
a) Nome das pessoas a quem sejam aplicadas medidas de coação ou detidas, com indicação da medida
aplicada, identificação das respetivas datas de início, suspensão e fim, do tribunal e do processo à ordem do
qual foram decretadas, dos tipos de crime imputados, da data da prática dos factos, bem como do estado do
processo e identificação do tribunal e do processo à ordem do qual as pessoas se encontrem detidas ou
sujeitas a medidas de coação; e
b) Número de identificação fiscal das pessoas referidas na alínea anterior e número de identificação civil
ou militar, nacional ou estrangeiro.
Artigo 13.º
Dados das ordens de detenção
Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes
às ordens de detenção:
Página 30
II SÉRIE-A — NÚMERO 131
30
a) Nome da pessoa procurada;
b) Alcunhas;
c) Número de identificação civil ou militar, nacional ou estrangeiro;
d) Número de identificação fiscal;
e) Imagem da pessoa procurada;
f) Condenações anteriores e respetivos crimes;
g) Nacionalidade;
h) Domicílios conhecidos;
i) Telefone;
j) Telemóvel;
l) Telecópia;
m) Endereço eletrónico;
n) Designação, endereço, telefone, telecópia e endereço eletrónico da autoridade judiciária ou da
autoridade de polícia criminal que emitiu a ordem de detenção;
o) Órgãos ou entidades policiais para os quais foi difundida a ordem de detenção;
p) Natureza nacional, europeia ou internacional da ordem de detenção;
q) Finalidade da ordem de detenção;
r) Indicação da existência de uma sentença com força executiva, de um mandado de detenção ou de
qualquer outra decisão com a mesma força executiva;
s) Natureza e qualificação jurídica da infração;
t) Descrição das circunstâncias em que a infração foi cometida, incluindo o momento, o lugar e o grau de
participação na infração da pessoa procurada;
u) Pena proferida, caso se trate de uma sentença transitada em julgado, ou a medida da pena prevista para
essa infração; e
v) Na medida do possível, as outras consequências da infração.
Artigo 14.º
Dados dos processos nos julgados de paz
Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes
aos processos nos julgados de paz:
a) Dados dos juízes de paz responsáveis pelos processos e dos funcionários e mediadores que prestem
serviço nos julgados de paz;
b) Dados dos juízes de paz, dos funcionários e mediadores que se tenham declarado ou tenham sido
declarados impedidos, recusados ou escusados;
c) Dados de identificação e contacto das partes nos processos;
d) Dados de identificação e contacto das testemunhas;
e) Dados de identificação e contacto dos advogados, advogados estagiários, solicitadores, mandatários e
outros intervenientes processuais;
f) Dados de identificação e contactos necessários ao processamento do pagamento de honorários aos
mediadores, advogados, advogados estagiários, solicitadores e mandatários; e
g) Dados da tramitação do processo.
Artigo 15.º
Dados dos processos nos sistemas públicos de mediação
Podem ser objeto de recolha e dos necessários tratamentos subsequentes os seguintes dados referentes
aos processos nos sistemas públicos de mediação:
a) Dados dos mediadores intervenientes e dos funcionários que prestem serviço nos sistemas de
mediação pública;
Página 31
22 DE JULHO DE 2019
31
b) Dados dos mediadores que se tenham declarado ou tenham sido declarados impedidos, recusados ou
escusados;
c) Dados de identificação e contacto das partes nos processos;
d) Dados de identificação e contacto dos advogados, advogados estagiários, mandatários e outros
intervenientes processuais;
e) Dados necessários ao processamento do pagamento de honorários aos mediadores, advogados e
advogados estagiários; e
f) Dados relativos à tramitação dos processos de mediação.
Artigo 16.º
Magistrados, funcionários de justiça, funcionários dos órgãos de polícia criminal e dos serviços e
entidades que exerçam funções de coadjuvação ou de execução de decisões
Nos termos das alíneas a) e b) dos artigos 6.º, 7.º, 8.º e 9.º, podem ser objeto de recolha e dos necessários
tratamentos subsequentes os seguintes dados referentes aos magistrados, aos funcionários de justiça, aos
funcionários dos órgãos de polícia criminal e dos serviços e entidades que exerçam funções de coadjuvação
ou de execução de decisões:
a) Nome;
b) Número mecanográfico;
c) Telefone de serviço;
d) Telemóvel de serviço;
e) Endereço eletrónico de serviço; e
f) Categoria profissional.
Artigo 17.º
Outros sujeitos processuais
Nos termos da alínea c) dos artigos 6.º, 7.º, 8.º e 9.º e da alínea e) do artigo 6.º, podem ser objeto de
recolha e dos necessários tratamentos subsequentes os seguintes dados referentes, respetivamente, às
partes, ao arguido e às autoridades recorridas em processo contraordenacional, bem como aos assistentes,
lesados, ofendidos, partes civis, queixosos e vítimas:
a) Nome, firma ou designação;
b) Número de identificação fiscal e número de identificação civil ou militar, nacional ou estrangeiro;
c) Domicílio, com indicação do município e da freguesia, ou do código postal, no caso de localização em
Portugal, ou do Estado, no caso de localização no estrangeiro;
d) Telefone;
e) Telemóvel;
f) Telecópia;
g) Endereço eletrónico; e
h) Identificação do advogado.
Artigo 18.º
Testemunhas
Nos termos da alínea f) do artigo 6.º e da alínea d) dos artigos 7.º, 8.º e 9.º, podem ser objeto de recolha e
dos necessários tratamentos subsequentes os seguintes dados referentes às testemunhas:
a) Nome;
b) Número de identificação fiscal e número de identificação civil ou militar, nacional ou estrangeiro;
c) Data de nascimento;
Página 32
II SÉRIE-A — NÚMERO 131
32
d) No caso de se tratar de menor, identificação do representante legal;
e) Domicílio;
f) Telefone;
g) Telemóvel;
h) Telecópia;
i) Identificação do sujeito ou sujeitos processuais que as indicaram; e
j) Identificação do advogado.
Artigo 19.º
Defensores, advogados e mandatários
Nos termos da alínea g) do artigo 6.º e da alínea e) dos artigos 7.º, 8.º e 9.º, podem ser objeto de recolha e
dos necessários tratamentos subsequentes os seguintes dados referentes aos defensores, advogados e
mandatários:
a) Nome;
b) Número de identificação fiscal;
c) Número de identificação bancária;
d) Número da cédula profissional;
e) Domicílio profissional;
f) Telefone de serviço;
g) Telemóvel de serviço;
h) Telecópia de serviço;
i) Endereço eletrónico de serviço;
j) Indicação da qualidade profissional, como advogado, advogado estagiário, solicitador, solicitador
estagiário, solicitador de execução ou agente de execução; e
l) Identificação do interveniente processual que representa.
Artigo 20.º
Peritos, consultores técnicos, assessores técnicos, administradores judiciais provisórios,
administradores da insolvência e agentes de execução
Nos termos das alíneas h) e i) do artigo 6.º e da alínea f) dos artigos 7.º, 8.º e 9.º, podem ser objeto de
recolha e dos necessários tratamentos subsequentes os seguintes dados referentes aos peritos, consultores
técnicos, assessores técnicos, administradores judiciais provisórios, administradores da insolvência e agentes
de execução:
a) Nome;
b) Número de identificação fiscal e número de identificação civil ou militar, nacional ou estrangeiro;
c) Domicílio profissional;
d) Telefone;
e) Telemóvel;
f) Telecópia;
g) Endereço eletrónico; e
h) Número de cédula profissional ou de outro documento de identificação profissional.
Artigo 21.º
Arguidos em processo penal
Nos termos da alínea j) do artigo 6.º e da alínea g) do artigo 8.º, podem ser objeto de recolha e dos
necessários tratamentos subsequentes os seguintes dados referentes ao arguido em processo penal:
Página 33
22 DE JULHO DE 2019
33
a) Nome, firma ou designação;
b) Alcunhas;
c) No caso de pessoas singulares, filiação, freguesia e concelho de naturalidade, data de nascimento,
estado civil, número de identificação civil ou, caso este não exista ou não seja conhecido, número do
passaporte ou de outro documento de identificação idóneo e, sendo proferida decisão condenatória, estando
presente o arguido no julgamento, as suas impressões digitais e assinatura;
d) Número de identificação fiscal;
e) Domicílios, pessoais e profissionais, com indicação do município e da freguesia, ou do código postal, no
caso de localização em Portugal, ou do Estado, no caso de localização no estrangeiro;
f) Telefone;
g) Telemóvel;
h) Telecópia;
i) Endereço eletrónico;
j) Número de identificação bancária;
l) No caso das pessoas singulares, profissão e habilitações;
m) No caso das pessoas coletivas, natureza jurídica e atividade económica;
n) Tipos de crime imputados;
o) No caso das pessoas singulares, a sua relação com a vítima;
p) Antecedentes criminais e indicador de reincidência;
q) Períodos de detenção, com a indicação das respetivas datas e horas de início e fim;
r) Medidas de coação e de garantia patrimonial aplicadas, com a indicação das respetivas datas de início,
suspensão e fim;
s) No caso de aplicação das medidas de prisão preventiva ou de obrigação de permanência na habitação,
indicação do local de execução da medida;
t) Indicação do tribunal e do processo, em território nacional ou estrangeiro, à ordem dos quais se encontre
preso;
u) Indicação da declaração de contumácia, com indicação das datas de início e fim desta;
v) Tipo de decisão final proferida em inquérito e respetiva data;
x) Decisão final;
z) Data do trânsito em julgado da decisão final;
aa) No caso de decisão final condenatória, indicação de a mesma ser, ou não, resultado de um cúmulo;
bb) No caso de decisão final condenatória em multa, o número de dias de multa e o montante da multa;
cc) No caso de decisão final condenatória em prisão, períodos de duração da prisão efetiva ou substituída;
dd) Extinção do procedimento criminal, relativamente a cada um dos crimes imputados; e
ee) Identificação do defensor.
Artigo 22.º
Tramitação do processo
1 – Nos termos da alínea m) do artigo 6.º, da alínea i) do artigo 7.º, da alínea j) do artigo 8.º, da alínea h) do
artigo 9.º, da alínea g) do artigo 14.º e da alínea f) do artigo 15.º, podem ser objeto de recolha e dos
necessários tratamentos subsequentes, designadamente, os seguintes dados referentes à tramitação do
processo:
a) Jurisdição;
b) Número do processo;
c) Tribunal ou serviço do Ministério Público onde corre o processo;
d) Espécie do processo;
e) Espécie do processo na distribuição;
f) Forma do processo;
g) Objeto do processo;
h) Formação do tribunal;
Página 34
II SÉRIE-A — NÚMERO 131
34
i) Tipo de decisão final, recursos e resultados dos recursos;
j) Forma da decisão final;
l) Momento de início do processo e da decisão final;
m) Indicação da circunstância de se tratar de um processo apenso, bem como da existência de processos
apensos;
n) Indicação da existência de processos incorporados, bem como da incorporação noutros processos;
o) Indicação da circunstância da ocorrência, ou não, de apoio judiciário e da respetiva modalidade;
p) Indicação da ocorrência de suspensões, respetivas datas de início e fim e motivo legalmente previsto
para as mesmas;
q) Os acórdãos, as atas, os articulados, os autos, as cartas, as decisões, os despachos, os mandados, os
memoriais, os pareceres, os recursos, os relatórios, os requerimentos, os depoimentos, as sentenças e os
demais atos, processuais ou outros, praticados no processo, ou a respetiva redução a escrito, bem como as
gravações magnetofónicas e audiovisuais e as demais peças e documentos escritos, apresentados no
processo, e as respetivas datas;
r) As notificações e as citações, a indicação do respetivo sucesso ou insucesso, bem como as datas em
que, em caso de sucesso, as mesmas se consideram realizadas; e
s) Prazos processuais, respetivo registo e cálculo.
2 – Para além das previstas no número anterior, podem ainda ser recolhidas, designadamente, as
seguintes categorias de dados referentes à tramitação do processo civil e do processo de trabalho:
a) Datas e locais dos factos;
b) Pedidos e respetivos valores; e
c) Causas de pedir.
3 – Para além das previstas no n.º 1, podem ainda ser recolhidas, designadamente, as seguintes
categorias de dados referentes à tramitação da ação executiva:
a) Tipo de título executivo;
b) Tipo de bem;
c) Valor da avaliação do bem;
d) Data da penhora do bem;
e) Valor da venda do bem;
f) Data da venda do bem;
g) Agente de execução; e
h) Resultado do processo.
4 – Para além das previstas no n.º 1, as categorias de dados referentes à tramitação dos processos de
falência, insolvência ou recuperação de empresas incluem, designadamente, os dados da indicação da
existência, ou não, de um plano de insolvência e, se for caso disso, menção ao facto de se tratar de um
processo de insolvência secundário, nos termos do disposto nos n.os 2 e 3 do artigo 3.º e no artigo 27.º do
Regulamento (CE) n.º 1346/2000, do Conselho, de 29 de maio.
5 – Para além das previstas no n.º 1, podem ainda ser recolhidas, designadamente, as seguintes
categorias de dados referentes à tramitação dos processos tutelares educativos ou de promoção e proteção:
a) Local, data e classificação jurídica dos factos;
b) Medidas tutelares aplicadas; e
c) Formas de aplicação e revisão das medidas.
6 – Para além das previstas no n.º 1, podem ainda ser recolhidas, designadamente, as seguintes
categorias de dados referentes à tramitação dos processos em que se discutam acidentes de trabalho:
Página 35
22 DE JULHO DE 2019
35
a) Data do acidente;
b) Local onde ocorreu o acidente, com a indicação da respetiva freguesia;
c) Resultado do acidente de trabalho e incapacidade resultante do acidente; e
d) Valor das indemnizações e pensões atribuídas.
7 – Para além das previstas no n.º 1, as categorias de dados referentes à tramitação dos processos em que
sejam reclamados créditos incluem, designadamente, o valor dos créditos reclamados.
8 – Para além das previstas no n.º 1, podem ainda ser recolhidas, designadamente, as seguintes
categorias de dados referentes à tramitação do processo penal:
a) Tipos de crime e caracterização dos factos;
b) Classificação dos crimes, de acordo com o previsto na lei de política criminal;
c) Datas e locais dos factos;
d) Data provável da prescrição;
e) Dados referentes à aplicação de medidas de interceção e gravação de conversações ou comunicações
e de obtenção e junção aos autos de dados sobre a localização celular ou de registos da realização de
conversações ou comunicações;
f) Dados referentes a apreensões ou medidas de garantia patrimonial, bem como ao destino final que os
bens por elas abrangidos tiveram, nomeadamente a restituição, o envio a autoridade de outro Estado em
cumprimento de pedido de cooperação judiciária internacional ou a declaração de perda a favor do Estado,
com especificação do tipo de bem, do respetivo valor e da sua titularidade como pertencente ao arguido ou a
terceiro e do facto ilícito típico previsto nas leis penais com o qual o mesmo está relacionado;
g) Dados referentes a exames, buscas e outros meios de obtenção de prova.
9 – Para além das previstas no n.º 1, podem ainda ser recolhidas, designadamente, as seguintes
categorias de dados referentes à tramitação do processo contraordenacional:
a) Tipo de contraordenação; e
b) Datas e locais dos factos.
10 – Para além das previstas no n.º 1, podem ainda ser recolhidas, designadamente, as seguintes
categorias de dados referentes à tramitação dos processos de mediação:
a) Tipo de mediação;
b) Indicação da origem judicial ou extrajudicial do processo de mediação;
c) Acordos de mediação e homologações.
CAPÍTULO III
Responsabilidade pelo tratamento e segurança dos dados
Artigo 23.º
Responsabilidade pelo tratamento dos dados
1- Para efeitos do disposto nos regimes de proteção de dados pessoais, são responsáveis pelo tratamento
de dados:
a) Os magistrados judiciais e do Ministério Público competentes, nos termos da lei do processo,
relativamente aos dados tratados no âmbito e em atos do processo, no exercício da sua atividade processual e
sob a sua direção ou autoridade;
b) Os juízes de paz e os mediadores dos sistemas públicos de mediação, relativamente aos dados
pessoais tratados no âmbito dos respetivos processos;
Página 36
II SÉRIE-A — NÚMERO 131
36
c) As entidades supervisoras da gestão da informação a que se refere o artigo seguinte, relativamente a
outras operações de tratamento.
2- No que se refere aos dados pessoais no processo, as entidades responsáveis pelo tratamento de dados
pessoais, nos termos das alíneas a) e b) do número anterior, asseguram a efetiva proteção dos direitos de
informação, de acesso e de retificação ou apagamento dos dados, nos termos dos regimes de proteção de
dados pessoais, por sua iniciativa ou mediante requerimento do respetivo titular.
3- O Ministério Público é o responsável pelo tratamento dos dados previstos no artigo 9.º, designadamente
para efeitos do número anterior.
4- Quando prossigam as finalidades previstas no artigo 33.º, consideram-se responsáveis pelo tratamento
as entidades nele indicadas, designadamente para efeitos de cumprimento das obrigações previstas no n.º 2
do presente artigo.
Artigo 24.º
Entidades supervisoras da gestão da informação
1 – O Conselho Superior da Magistratura é a entidade supervisora da gestão da informação referida:
a) Nas alíneas a) e g) do artigo 3.º;
b) Na alínea e) do artigo 3.º, quando a conexão opere relativamente a processos que se encontrem
simultaneamente na fase de instrução ou julgamento; e
c) Na alínea h) do artigo 3.º, quando o mandado de detenção dimanar do juiz.
2 – O Conselho Superior dos Tribunais Administrativos e Fiscais é a entidade supervisora da gestão da
informação referida na alínea b) do artigo 3.º.
3 – A Procuradoria-Geral da República é a entidade supervisora da gestão da informação referida:
a) Nas alíneas c), d) e f) do artigo 3.º;
b) Na alínea e) do artigo 3.º, quando a conexão opere relativamente a processos que se encontrem
simultaneamente na fase de inquérito; e
c) Na alínea h) do artigo 3.º, quando o mandado de detenção não dimanar do juiz.
4 – O Conselho dos Julgados de Paz é a entidade supervisora da gestão da informação referida na alínea
l) do artigo 3.º.
5 – A Direção-Geral da Política de Justiça é a entidade supervisora da gestão da informação referida na
alínea m) do artigo 3.º.
6 – Os órgãos de polícia criminal são as entidades supervisoras da gestão da informação relativa aos
processos criminais referidos na alínea a) e dos dados mencionados nas alíneas c) a j) do artigo 3.º que
devam tratar no âmbito da sua atividade de coadjuvação das autoridades judiciárias ou por delegação destas
no âmbito do processo penal.
7 – Os serviços e entidades que procedam ao tratamento de dados pessoais, nos termos do n.º 4 do artigo
2.º, são as entidades supervisoras da gestão da informação dos dados pessoais relacionados com os
processos referidos no artigo 3.º que devam tratar no âmbito da sua competência.
8 – Compete em especial às entidades supervisoras da gestão da informação:
a) Colaborar com a Comissão Nacional de Proteção de Dados (CNPD) no exercício dos seus poderes e na
prossecução das suas atribuições relativamente à proteção e tratamento de dados pessoais no sistema
judiciário;
b) Aconselhar os responsáveis pelo tratamento de dados quanto a medidas relacionadas com a proteção
dos direitos em matéria de tratamento de dados no âmbito da presente lei;
c) Acompanhar auditorias técnicas e de segurança, com recurso, se necessário, a entidades externas;
d) Designar um encarregado de proteção de dados, nos termos e para os efeitos previstos nos regimes de
Página 37
22 DE JULHO DE 2019
37
proteção de dados pessoais, comunicando essa designação à CNPD e à Comissão de Coordenação da
Gestão da Informação do Sistema Judiciário.
Artigo 25.º
Comissão de Coordenação da Gestão da Informação do Sistema Judiciário
1 – As competências das entidades supervisoras da gestão da informação são exercidas diretamente ou
em cooperação e de forma coordenada através da Comissão de Coordenação da Gestão da Informação do
Sistema Judiciário, adiante designada por Comissão.
2 – A Comissão é constituída pelo conselho superior e pelo conselho coordenador.
3 – Compete à Comissão:
a) Assegurar o exercício coordenado das competências das entidades supervisoras da gestão da
informação, nomeadamente a adoção das medidas técnicas e organizativas adequadas a garantir a segurança
dos dados pessoais;
b) Assegurar a cooperação no desenvolvimento das aplicações informáticas necessárias à tramitação dos
processos e à gestão do sistema judiciário, nos termos do n.º 2 do artigo seguinte;
c) Colaborar com a CNPD no exercício dos seus poderes e na prossecução das suas atribuições
relativamente à proteção e tratamento de dados pessoais no sistema judiciário;
d) Definir orientações e recomendações em matéria de requisitos de segurança dos dados das aplicações
informáticas necessárias à tramitação dos processos e à gestão do sistema judiciário, tendo designadamente
em conta as prioridades em matéria de desenvolvimento aplicacional, as possibilidades de implementação
técnica e os meios financeiros disponíveis;
e) Determinar a realização de auditorias técnicas e de segurança, com recurso, se necessário, a entidades
externas;
f) Definir orientações e recomendações sobre efetivação e conservação de registos cronológicos de
operações de tratamento e requisitos de segurança;
g) Manter um registo atualizado dos encarregados de proteção de dados nomeados ao abrigo da presente
lei e solicitar e receber destes toda a informação relevante para o exercício das respetivas competências;
h) Manter um registo atualizado dos técnicos e responsáveis pela segurança da informação que
asseguram o desenvolvimento, a atualização, a manutenção, a confidencialidade, a integridade, a
autenticidade e a disponibilidade dos ficheiros e dos sistemas informáticos, incluindo aplicações e respetivos
subsistemas, necessários à tramitação dos processos e à gestão do sistema judiciário;
i) Ser informada pelos responsáveis pelo tratamento de dados e pelo Ministério da Justiça, nos termos da
competência prevista no artigo seguinte, de qualquer informação relevante para a proteção dos dados de que
tenham conhecimento, incluindo violações de dados pessoais ou do disposto na presente lei, e comunicar
essas situações às entidades competentes para efeitos penais ou disciplinares.
4 – O conselho superior da Comissão é constituído:
a) Pelo membro do Governo responsável pela área da justiça, que preside;
b) Por duas personalidades de reconhecido mérito designadas pela Assembleia da República;
c) Pelo Presidente do Conselho Superior da Magistratura;
d) Pelo Presidente do Conselho Superior dos Tribunais Administrativos e Fiscais;
e) Pelo Procurador-Geral da República;
f) Pelo Presidente do Conselho dos Julgados de Paz.
5 – Compete ao conselho superior da Comissão:
a) Aprovar o plano estratégico da Comissão;
b) Definir as orientações a serem aplicadas pelo conselho coordenador;
c) Homologar os relatórios de avaliação periódica e final de cumprimento do plano estratégico
apresentados pelo conselho coordenador;
Página 38
II SÉRIE-A — NÚMERO 131
38
d) Supervisionar a atividade do conselho coordenador;
e) Aprovar o regulamento interno da Comissão.
6 – O conselho coordenador é presidido pelo membro do Governo com competências no âmbito dos
sistemas de informação dos tribunais ou por seu representante e integrado por:
a) Dois representantes designados por cada uma das entidades referidas nos n.os 1 a 3 do artigo anterior,
um dos quais com competência e experiência técnica em matéria de administração de sistemas;
b) Um representante designado por cada uma das entidades referidas nos n.os 4 e 5 do artigo anterior, com
competência e experiência técnica em matéria de administração de sistemas;
c) Dois representantes, um dos quais com aptidão e experiência técnica em matéria de administração de
sistemas, designados pelo Instituto de Gestão Financeira e Equipamentos da Justiça, IP, enquanto entidade
com competência pela apresentação de propostas de conceção, execução e manutenção dos recursos
tecnológicos e dos sistemas de informação da justiça e pelo apoio aos utilizadores, por assegurar a
adequação dos sistemas de informação às necessidades de gestão e operacionalidade dos órgãos, serviços e
organismos da área da justiça, pela gestão da rede de comunicações da justiça, pela elaboração de propostas
de articulação com o plano estratégico dos sistemas de informação na área da justiça, por projetos de
investimento em matéria de informática e de comunicações dos serviços e organismos da justiça, pela
construção e manutenção de bases de dados e pela certificação;
d) Um representante designado pela Direcção-Geral da Administração da Justiça, enquanto entidade com
competências na definição das políticas de organização e gestão dos tribunais, na realização de estudos
tendentes à modernização e à racionalização dos meios à disposição do sistema judiciário, no
desenvolvimento, implantação, funcionamento e evolução dos sistemas de informação do sistema judiciário,
em matéria de gestão e administração dos funcionários de justiça, na elaboração de estatísticas oficiais na
área da justiça e em matéria de identificação criminal e registo de contumazes e de registo de medidas
tutelares educativas;
e) Um representante designado pela Secretaria-Geral do Ministério da Justiça, enquanto entidade
responsável pela promoção da inovação, modernização e política de qualidade do Ministério da Justiça, pela
contratação pública centralizada de bens e serviços e colaboração com outros serviços e organismos no
levantamento e agregação de necessidades, pela organização e preservação do arquivo histórico e pelo apoio
à Comissão;
f) Um representante designado pela Direcção-Geral da Política de Justiça, enquanto entidade
encarregada de participar na conceção e colaboração no desenvolvimento, na implantação, no funcionamento
e na evolução dos sistemas de informação.
7 – Integram ainda o conselho coordenador da Comissão, sempre que devam ser apreciados assuntos
relacionados com o tratamento de dados por que sejam responsáveis:
a) Um representante designado pela Direção-Geral de Reinserção e Serviços Prisionais, enquanto
entidade responsável pelo apoio aos tribunais e por assegurar a execução de decisões judiciais em matéria
penal e no âmbito do processo tutelar educativo e na elaboração de estatísticas oficiais da justiça;
b) Um representante de cada um dos órgãos de polícia criminal responsáveis pelo tratamento de dados
nos termos do n.º 6 do artigo 24.º.
8 – Sem prejuízo das competências do conselho superior, cabe ao conselho coordenador exercer as
competências previstas no n.º 3, bem como:
a) Apresentar ao conselho superior, para aprovação, o plano estratégico da Comissão;
b) Apresentar ao conselho superior, para homologação, os relatórios de avaliação periódica e final de
cumprimento do plano estratégico;
c) Aprovar os planos operacionais referentes à sua atividade.
Página 39
22 DE JULHO DE 2019
39
9 – O presidente do conselho coordenador pode, ouvidos os demais membros, criar comités técnicos para
o exercício e desenvolvimento de algumas das competências do conselho coordenador.
10 – O conselho superior e o conselho coordenador da Comissão são apoiados pela Secretaria-Geral do
Ministério da Justiça, que faculta os meios necessários à sua instalação e ao seu funcionamento.
11 – A Comissão publica eletronicamente o regulamento interno, a composição, as orientações, as
recomendações e as deliberações, bem como a identificação e os contactos dos responsáveis de proteção de
dados.
12 – Os membros da Comissão não auferem qualquer acréscimo remuneratório ou abono pelo exercício
das suas funções.
Artigo 26.º
Desenvolvimento aplicacional
1 – Compete ao Instituto de Gestão Financeira e Equipamentos da Justiça, IP, nos termos e de acordo com
as orientações definidos pela tutela exercida pelo membro do Governo com competências no âmbito dos
sistemas de informação dos tribunais, e sem prejuízo dos regimes do segredo de justiça, do segredo de
Estado e de outros regimes legais de segredo ou proteção, a definição, a conceção, o desenvolvimento e a
manutenção das aplicações informáticas necessárias à tramitação dos processos e à gestão do sistema
jurisdicional, incluindo:
a) Proceder à necessária análise, implementação e suporte, assegurando que as aplicações informáticas
respeitam todas as regras de segurança previstas na presente lei e na demais legislação aplicável;
b) Criar e manter atualizado um registo de especificações técnicas e funcionais de sistemas e ficheiros
automatizados de tratamento de dados pessoais e das medidas técnicas e organizativas adequadas a garantir
a segurança dos dados;
c) Criar e manter um registo atualizado dos técnicos e responsáveis pela segurança da informação que
asseguram o desenvolvimento, a atualização, a manutenção, a confidencialidade, a integridade, a
autenticidade e a disponibilidade dos ficheiros e dos sistemas informáticos.
2 – No âmbito das competências referidas no número anterior, o Instituto de Gestão Financeira e
Equipamentos da Justiça, IP, deve comunicar à Comissão os desenvolvimentos que possam determinar
alterações à recolha e tratamento de dados efetuados nas aplicações informáticas e cumprir as orientações da
mesma relativas à proteção e segurança da informação, podendo a Comissão apresentar propostas de
desenvolvimento das aplicações informáticas, bem como determinar a realização de auditorias às mesmas e
ter acesso aos resultados de todas as auditorias realizadas.
3 – Sem prejuízo das competências da Comissão, as aplicações informáticas necessárias à tramitação dos
processos e à gestão do sistema jurisdicional e respetivos subsistemas são objeto de auditorias de segurança,
com recurso, se necessário, a entidades externas, sendo os requisitos básicos de segurança das aplicações
definidos por portaria do membro do Governo responsável pela área da justiça, ouvidas as entidades
representadas no conselho superior da Comissão.
4 – No desenvolvimento de aplicações informáticas para tratamento dos dados referentes ao sistema
judiciário deve considerar-se a utilização de aplicações não proprietárias e a adoção de normas abertas para a
informação em suporte digital.
CAPÍTULO IV
Proteção, consulta e acesso aos dados
Artigo 27.º
Proteção dos dados consultados
1 – A consulta de dados ao abrigo da presente lei efetua-se de acordo com os princípios do tratamento de
dados referidos no n.º 2 do artigo 2.º.
Página 40
II SÉRIE-A — NÚMERO 131
40
2 – É garantido, designadamente, que:
a) A consulta dos dados abrangidos pelo segredo de justiça, pelo segredo de Estado ou por outro regime
legal de segredo ou proteção se efetua nos termos da legislação que regula os respetivos regimes;
b) Os dados constantes de documentos que se encontrem em versão de trabalho apenas possam ser
consultados e alterados pelo seu autor;
c) Os dados constantes de documentos que se encontrem em versão final não possam ser alterados ou
eliminados.
Artigo 28.º
Presunção de inocência dos arguidos em processo penal
Sempre que se aceda aos dados relativos a um arguido em processo penal cuja decisão não tenha
transitado em julgado, essa deve ser a primeira informação visível.
Artigo 29.º
Consulta por utilizadores
1 – Sem prejuízo dos regimes do segredo de justiça, do segredo de Estado e de outros regimes legais de
segredo ou proteção, têm acesso aos dados referidos no artigo 3.º, nos termos previstos na presente lei e nos
limites das suas competências ou direitos, no âmbito de um determinado processo:
a) Os magistrados e os funcionários de justiça que os coadjuvam;
b) As partes, o arguido, o assistente e as partes civis, bem como os seus defensores, advogados e demais
mandatários;
c) Os órgãos e agentes auxiliares ou de coadjuvação dos tribunais e das autoridades judiciárias;
d) Os administradores judiciais provisórios, os administradores de insolvência e os agentes de execução;
e) Os magistrados do Ministério Público com competências de direção, coordenação e fiscalização da
atividade dos serviços do Ministério Público;
f) Os inspetores judiciais e os secretários de inspeção que integram os serviços de inspeção do Conselho
Superior da Magistratura, bem como quem, no quadro do Conselho Superior da Magistratura, seja incumbido,
nos termos da lei, da realização de inquéritos ou sindicâncias;
g) Os inspetores que integram os serviços de inspeção do Conselho Superior dos Tribunais Administrativos
e Fiscais;
h) Os inspetores e os secretários de inspeção que integram a Inspeção do Ministério Público;
i) Os inspetores e os secretários de inspeção dos serviços de inspeção do Conselho dos Oficiais de
Justiça;
j) Os juízes presidentes dos tribunais de comarca, designadamente nos termos e para os efeitos previstos
no n.º 10 do artigo 94.º da Lei n.º 62/2013, de 23 de agosto, na sua redação atual;
l) Os juízes de paz, os funcionários e mediadores que exerçam funções nos julgados de paz;
m) Os mediadores e funcionários que exerçam funções nos sistemas de mediação pública;
n) As entidades responsáveis pela realização de inspeções dos julgados de paz;
o) A Comissão de Fiscalização da Atividade dos Mediadores de Conflitos.
2 – As operações de tratamento dos dados são dotadas de especiais medidas de segurança, as quais
garantem, designadamente:
a) Que apenas os utilizadores referidos no número anterior possam consultar os dados;
b) Que o nível de consulta dos dados, por parte de cada utilizador, seja estritamente limitado ao necessário
para o exercício das suas competências;
c) Que a consulta dos dados se processe apenas através de aplicação informática específica, mediante
autenticação do utilizador;
Página 41
22 DE JULHO DE 2019
41
d) Que sejam registadas eletronicamente as consultas de dados, nos termos da presente da lei;
e) Que qualquer acesso irregular seja de imediato comunicado aos membros da Comissão prevista no
artigo 25.º.
3 – O registo eletrónico referido na alínea d) do número anterior contém as seguintes informações:
a) A identidade e categoria do utilizador que consulta os dados;
b) A data e a hora de início e fim da consulta dos dados por parte de cada utilizador;
c) A identificação dos dados consultados;
d) As operações efetuadas por cada utilizador em cada consulta dos dados, designadamente operações
de administração do sistema e de aditamento, alteração, eliminação ou arquivamento dos dados nele contidos.
Artigo 30.º
Consulta e tratamento de dados pelos magistrados, funcionários de justiça, funcionários dos
serviços e entidades que exerçam funções de coadjuvação ou de execução de decisões,
administradores judiciais provisórios, administradores de insolvência e agentes de execução
1 – Os magistrados, os funcionários de justiça que os coadjuvam, os funcionários dos órgãos de polícia
criminal e dos serviços e entidades que exerçam funções de coadjuvação ou de execução de decisões, os
administradores judiciais provisórios, os administradores de insolvência e os agentes de execução podem
consultar e tratar:
a) Os dados dos processos nos tribunais judiciais e nos tribunais administrativos e fiscais que sejam da
sua competência, na fase em que se encontrem;
b) Os dados da conexão processual no processo penal relativos aos processos penais cujo arguido seja o
mesmo que em processos que sejam da sua competência, tendo em vista a verificação do preenchimento dos
pressupostos da conexão processual;
c) Os dados da suspensão provisória do processo penal e do arquivamento em caso de dispensa de pena
relativos a quem seja arguido em processos que sejam da sua competência, tendo em vista a verificação do
preenchimento dos pressupostos de aplicação daquelas medidas;
d) Os dados das medidas de coação e da detenção relativos a quem seja arguido em processos que sejam
da sua competência;
e) Os dados das ordens de detenção relativos a pessoas que intervenham em processos que sejam da
sua competência;
f) Os dados referidos na alínea e) do n.º 8 do artigo 22.º relativos a pessoas que intervenham em
processos que sejam da sua competência e às quais possam ser aplicadas, nos termos da lei, as medidas aí
mencionadas.
2 – Os magistrados do Ministério Público e os funcionários de justiça que os coadjuvam, bem como os
órgãos de polícia criminal, devidamente autorizados pelo magistrado competente e enquanto se mantiver a
coadjuvação, podem consultar e tratar os dados dos inquéritos em processo penal e dos demais processos da
competência do Ministério Público, relativos a processos que sejam da sua competência.
3 – Os juízes de instrução e os funcionários de justiça que os coadjuvam podem consultar e tratar os dados
dos inquéritos em processo penal, relativos a processos que sejam da sua competência, quando tais dados
sejam necessários para o exercício das competências que lhes cabem, nos termos da lei, durante o inquérito.
4 – Os magistrados e funcionários de justiça não podem aceder aos processos:
a) Que se refiram a crimes praticados por esse magistrado ou funcionário de justiça ou em que o mesmo
seja ofendido, pessoa com faculdade para se constituir assistente ou parte civil;
b) Nos quais esse magistrado ou um funcionário de justiça se tenha declarado ou tenha sido declarado
impedido, recusado ou escusado.
Página 42
II SÉRIE-A — NÚMERO 131
42
Artigo 31.º
Consulta pelas partes, arguido, assistente, vítima, partes civis, defensores, advogados, advogados
estagiários, solicitadores e demais mandatários
Sem prejuízo dos regimes do segredo de justiça e do segredo de Estado e de outros regimes legais de
segredo ou de proteção, as partes, o arguido, o assistente, a vítima e as partes civis, bem como os seus
defensores, advogados, advogados estagiários, solicitadores e demais mandatários, podem consultar os
seguintes dados, relativos aos respetivos processos:
a) Os dados previstos na alínea a) do artigo 16.º;
b) Os dados previstos nas alíneas a) e h) do artigo 17.º;
c) Os dados previstos nas alíneas a) e j) do artigo 18.º;
d) Os dados previstos nas alíneas a) e e) a i) do artigo 19.º;
e) Os dados previstos na alínea a) do artigo 20.º;
f) Os dados previstos no artigo 21.º, no caso do defensor, ou nas alíneas a) e f) do mesmo artigo, nos
restantes casos; e
g) Os dados previstos no artigo 22.º, com exceção dos referidos na alínea e) do n.º 8, que apenas podem
consultar na medida em que, nos termos da lei, possam consultar os autos em que os mesmos se inserem.
Artigo 32.º
Direção, coordenação e fiscalização da atividade do Ministério Público
1 – Tendo em vista o exercício das competências de direção, coordenação e fiscalização da atividade dos
serviços e dos magistrados do Ministério Público:
a) O Procurador-Geral da República e o Vice-Procurador-Geral da República podem consultar os dados
relativos aos processos nos tribunais judiciais e nos tribunais administrativos e fiscais, os dados relativos aos
inquéritos em processo penal e os dados relativos aos demais processos da competência do Ministério
Público;
b) O procurador-geral adjunto que dirige o Departamento Central de Investigação e Ação Penal pode
consultar os dados relativos aos processos penais nos tribunais judiciais, bem como os dados relativos aos
inquéritos e a processos da competência daquele Departamento e de outros serviços e departamentos do
Ministério Público, estritamente para efeitos de coordenação;
c) O procurador-geral distrital pode consultar os dados relativos aos processos nos tribunais judiciais, aos
inquéritos em processo penal e aos demais processos da competência do Ministério Público, respeitantes aos
processos que corram na respetiva área de competência territorial;
d) Os procuradores-gerais adjuntos que representam o Ministério Público nos tribunais centrais
administrativos podem consultar os dados relativos aos processos que corram nos respetivos tribunais, bem
como aos processos nos tribunais administrativos e fiscais, nos tribunais administrativos de círculo e nos
tribunais tributários localizados na respetiva área de jurisdição;
e) O procurador-geral adjunto ou o procurador da República coordenador de comarca pode consultar os
dados relativos aos inquéritos em processo penal e aos demais processos da competência do Ministério
Público, relacionados com processos que corram na respetiva área de competência territorial;
f) O procurador-geral-adjunto ou o procurador da República que dirige um departamento de investigação e
ação penal pode consultar os dados dos processos penais nos tribunais judiciais, bem como os dados do
inquérito em processo penal, relativos aos processos que corram no respetivo departamento;
g) Os procuradores-gerais-adjuntos ou procuradores da República que dirijam uma procuradoria da
República e, quando existam, os procuradores da República coordenadores ou com funções específicas de
coordenação podem consultar os dados relativos aos processos nos tribunais judiciais e os dados dos
inquéritos em processo penal relativos, respetivamente, aos processos atribuídos à respetiva procuradoria da
República e aos processos em relação aos quais tenham funções de coordenação; e
h) Os procuradores da República que representam o Estado nos tribunais administrativos de círculo e nos
Página 43
22 DE JULHO DE 2019
43
tribunais tributários e que neles tenham funções de coordenação podem consultar os dados relativos aos
processos nos tribunais administrativos e fiscais distribuídos a magistrados do Ministério Público que exerçam
funções no mesmo tribunal.
2 – Tendo em vista o exercício das competências de direção, coordenação e fiscalização da atividade dos
serviços e dos magistrados do Ministério Público:
a) Os magistrados do Ministério Público referidos no número anterior podem, ainda, consultar os dados
das ordens de detenção respeitantes às pessoas que intervenham em processos que sejam distribuídos a
magistrados sujeitos às suas competências de direção, coordenação e fiscalização; e
b) Os magistrados do Ministério Público referidos nas alíneas a) a c), e) e f) do número anterior podem,
ainda, consultar:
i) Os dados da conexão processual no processo penal respeitantes aos processos penais cujo arguido
seja o mesmo que em processos distribuídos a magistrados sujeitos às suas competências de
direção, coordenação e fiscalização; e
ii) Os dados da suspensão provisória do processo penal e do arquivamento em caso de dispensa de
pena respeitantes a arguidos em processos penais distribuídos a magistrados sujeitos às suas
competências de direção, coordenação e fiscalização;
iii) Os dados das medidas de coação privativas da liberdade e da detenção respeitantes a arguidos em
processos penais distribuídos a magistrados sujeitos às suas competências de direção, coordenação
e fiscalização;
iv) Os dados referidos na alínea e) do n.º 8 do artigo 22.º relativos a pessoas que intervenham em
processos distribuídos a magistrados sujeitos às suas competências de direção, coordenação e
fiscalização, e às quais possam ser aplicadas, nos termos da lei, as medidas aí mencionadas.
3 – Excecionam-se do disposto nos números anteriores os dados relativos a processos que se refiram a
crimes praticados pelo magistrado do Ministério Público em causa ou em que o mesmo seja ofendido, tenha
faculdade para se constituir assistente ou parte civil, e àqueles em que se verifique causa de impedimento,
recusa ou escusa.
4 – A consulta efetuada nos termos dos números anteriores, quando respeite a dados abrangidos pelo
segredo de justiça ou pelo segredo do Estado, é fundamentada através de meios eletrónicos, invocando-se
sucintamente as razões que a justificam.
Artigo 33.º
Situação dos serviços, apreciação do mérito, ação disciplinar, inspeções, inquéritos e sindicâncias
1 – Tendo em vista o exercício das competências previstas na lei, relativas ao conhecimento da situação
dos serviços, à recolha de elementos para apreciação do mérito profissional, à instrução de processos
disciplinares ou à realização de inspeções, inspeções extraordinárias, inquéritos ou sindicâncias, e na estrita
medida necessária àquele exercício, podem consultar os dados previstos no artigo 22.º:
a) Os inspetores judiciais e os secretários de inspeção que os coadjuvam bem como quem, no quadro do
Conselho Superior da Magistratura, seja incumbido, nos termos da lei, da realização de inquéritos ou
sindicâncias;
b) Os inspetores junto do Conselho Superior dos Tribunais Administrativos e Fiscais;
c) Os inspetores integrados na Inspeção do Ministério Público e os secretários de inspeção que os
coadjuvam; e
d) Os inspetores dos serviços de inspeção do Conselho de Oficiais de Justiça e os secretários de inspeção
que os coadjuvam;
e) Os juízes presidentes dos tribunais de comarca, para os efeitos previstos na alínea j) do n.º 1 do artigo
29.º;
Página 44
II SÉRIE-A — NÚMERO 131
44
f) O Conselho dos Julgados de Paz; e
g) A Comissão de Fiscalização da Atividade dos Mediadores de Conflitos.
2 – Para os efeitos da presente lei, considera-se estritamente necessário ao exercício das competências
referidas no número anterior:
a) Nos casos do conhecimento da situação dos serviços e da realização de inspeções, inspeções
extraordinárias, inquéritos ou sindicâncias, a consulta dos dados previstos no artigo 22.º relativos a processos
que corram termos nos serviços objeto dessas competências de que o utilizador do sistema esteja incumbido;
b) No caso da apreciação do mérito profissional, a consulta dos dados previstos no artigo 22.º relativos a
processos distribuídos às pessoas objeto da recolha de informações relativas ao mérito profissional de que o
utilizador do sistema esteja incumbido; e
c) No caso da instrução de processos disciplinares, a consulta dos dados previstos no artigo 22.º relativos
a processos distribuídos aos arguidos em procedimentos disciplinares de cuja instrução o utilizador do sistema
esteja incumbido e que com a matéria objeto deste procedimento estejam relacionados.
3 – A consulta efetuada nos termos dos números anteriores, quando respeite a dados abrangidos pelo
segredo de justiça ou pelo segredo do Estado, é fundamentada através de meios eletrónicos, invocando-se
sucintamente as razões que a justificam.
Artigo 34.º
Exame e consulta dos autos e obtenção de cópias ou certidões
O disposto nos artigos 29.º a 33.º não prejudica os direitos de exame e consulta dos autos e de obtenção
de cópias, extratos ou certidões, nos termos da lei, designadamente por via eletrónica nos termos de portaria
do membro do Governo responsável pela área da justiça.
Artigo 35.º
Acesso aos dados pelo público em geral
É permitida a disponibilização, em sítio na Internet acessível ao público, de dados não abrangidos pelo
segredo de justiça ou de Estado ou por outros regimes legais de segredo ou proteção nos termos da lei, de
acordo com o disposto nos regimes de proteção de dados pessoais.
Artigo 36.º
Direitos do titular dos dados
1 - A qualquer pessoa devidamente identificada e que o solicite por escrito são reconhecidos os direitos de
informação, de acesso, de retificação e de apagamento dos dados que lhe respeitem, nos termos e com as
limitações previstas nos regimes de proteção de dados.
2 - Os pedidos referidos no n.º 1 podem ser efetuados por meios eletrónicos, nos termos a regular por
portaria do membro do Governo responsável pela área da justiça.
3 - (Revogado).
CAPÍTULO V
Intercâmbio e transferências de dados
Artigo 37.º
Interoperabilidade com outros sistemas
1 – Para os efeitos previstos na lei, pode existir interoperabilidade, por meios eletrónicos, com os seguintes
Página 45
22 DE JULHO DE 2019
45
sistemas, precedida de parecer da CNPD:
a) Dos órgãos de polícia criminal;
b) Do Serviço de Estrangeiros e Fronteiras;
c) Da Autoridade de Segurança Alimentar e Económica;
d) Da Autoridade Nacional de Segurança Rodoviária;
e) Dos órgãos e serviços da administração local;
f) Dos serviços da administração fiscal;
g) Das instituições da segurança social;
h) Da identificação civil e criminal;
i) Do registo automóvel;
j) Do registo comercial;
l) Do registo criminal e de contumazes;
m) Do registo nacional de pessoas coletivas;
n) Do registo predial;
o) Dos serviços prisionais;
p) Da reinserção social;
q) Da Ordem dos Advogados;
r) Da Ordem dos Solicitadores e dos Agentes de Execução;
s) Do Gabinete de Recuperação de Ativos e do Gabinete de Administração de Bens;
t) Das Unidades de Informação Financeira e de Informação de Passageiros;
u) Das autoridades de supervisão e dos serviços de inspeção, auditoria e fiscalização do Estado;
v) Das demais entidades que colaborem com o sistema de justiça no âmbito dos processos judiciais,
designadamente os fornecedores de serviços de comunicações eletrónicas publicamente disponíveis ou de
uma rede pública de comunicações e as entidades com competência para a realização de perícias, redação de
pareceres técnico-científicos, elaboração do relatório social e verificação do cumprimento de injunções, penas
substitutivas e sanções acessórias.
2 – A comunicação de dados aos órgãos de polícia criminal ao abrigo da alínea a) do número anterior inclui,
obrigatoriamente, a decisão final do processo, quando esta tenha lugar.
3 – Os dados das ordens de detenção são comunicados de forma automática à Polícia Judiciária, à Polícia
Judiciária Militar, à Polícia de Segurança Pública, à Guarda Nacional Republicana, ao Serviço de Estrangeiros
e Fronteiras e à Polícia Marítima.
4 – Sempre que as condições técnicas o permitam, a comunicação de dados aos magistrados e
funcionários de justiça que os coadjuvam pelos órgãos de polícia criminal e pelas demais entidades que
colaborem com o sistema de justiça no âmbito da investigação e dos processos judiciais efetua-se por meios
eletrónicos.
5 – A comunicação de dados nos termos do número anterior dispensa o seu envio em suporte físico, sem
prejuízo da possibilidade de os magistrados competentes para o processo a que respeitam o determinarem,
quando o mesmo seja necessário para assegurar a finalidade para que os dados foram comunicados.
Artigo 38.º
Acesso a dados constantes de outros sistemas
1 – Os magistrados, os funcionários de justiça, os funcionários dos órgãos de polícia criminal e dos
serviços e entidades que exerçam funções de coadjuvação ou de execução de decisões, os administradores
judiciais provisórios, os administradores de insolvência e os agentes de execução podem aceder aos dados
constantes dos sistemas referidos no n.º 1 do artigo anterior para fins de identificação, localização ou contacto
atualizados, em condições de segurança, celeridade e eficácia, no âmbito de processos da sua competência:
a) De quaisquer intervenientes em processos jurisdicionais e da competência do Ministério Público;
b) Da situação processual dos arguidos em processo penal;
Página 46
II SÉRIE-A — NÚMERO 131
46
c) De bens.
2 – Para efeitos de controlo de admissibilidade da consulta a outros sistemas, as pesquisas efetuadas
pelas pessoas que tenham acesso às bases de dados através de aplicação são registadas informaticamente,
sendo este registo conservado por um prazo de dois anos.
3 – Podem aceder aos registos referidos no número anterior os membros da Comissão, no âmbito do
exercício das respetivas competências de auditoria e inspeção, e as autoridades judiciárias, para fins de
investigação de eventuais violações, sem prejuízo das competências da CNPD.
Artigo 39.º
Transferências de dados
1 – Os magistrados e os funcionários que os coadjuvam asseguram a transferência de dados, nos termos
previstos na lei, para os seguintes efeitos:
a) Cumprir as obrigações de cooperação judiciária internacional emergentes da lei e dos instrumentos de
direito internacional e da União Europeia;
b) Facultar aos órgãos de polícia criminal os dados necessários ao cumprimento das obrigações de
intercâmbio de dados e informações para prevenção e combate à criminalidade emergentes da lei e dos
instrumentos de direito internacional e da União Europeia, no âmbito da cooperação policial.
2 – A transferência de dados para países não membros da União Europeia ou para organizações
internacionais obedece aos princípios e regras previstos nos regimes de proteção de dados pessoais.
3 – O disposto nos artigos 37.º e 38.º não prejudica a comunicação de dados com outros sistemas, nem o
acesso aos dados de outros sistemas, nomeadamente aos sistemas de serviços e entidades que exerçam
funções de coadjuvação ou de execução de decisões ou de outras entidades ou serviços prestadores de
informação, nos termos legalmente previstos.
CAPÍTULO VI
Conservação, arquivamento e apagamento de dados
Artigo 40.º
Conservação, arquivamento e apagamento de dados
1 – Os dados referidos no artigo 3.º apenas são acessíveis e tratados enquanto forem necessários para as
finalidades a que se destinam.
2 – Os dados deixam de ser necessários para as finalidades a que se destinam logo que se verifiquem as
duas circunstâncias seguintes:
a) Os processos a que os dados respeitam se consideram findos para efeitos de arquivo, nos termos da
lei; e
b) Esteja assegurado o aproveitamento dos dados para efeitos de elaboração das estatísticas oficiais da
justiça.
3 – Os responsáveis pela gestão dos dados asseguram que, verificadas as duas circunstâncias referidas
no número anterior, os dados passem a integrar o arquivo eletrónico.
4 – O apagamento dos dados arquivados eletronicamente processa-se de acordo com o disposto nos
diplomas que regulam o arquivamento, os prazos de conservação administrativa e a destruição dos processos
e documentos judiciais, com as necessárias adaptações.
5 – O controlo dos prazos de conservação dos dados é assegurado eletronicamente, devendo a sua
conservação e atualização ser periodicamente revista.
Página 47
22 DE JULHO DE 2019
47
Artigo 41.º
Arquivo eletrónico
1 – O arquivamento eletrónico dos dados referido no n.º 3 do artigo anterior implica a vedação do acesso
aos mesmos, com exceção do disposto nos números seguintes.
2 – Apenas podem aceder aos dados arquivados eletronicamente:
a) Os magistrados e funcionários de justiça que os coadjuvam, na medida do estritamente necessário para
o exercício das suas competências legalmente previstas e com apresentação das razões que fundamentam a
consulta;
b) As pessoas às quais a lei confira um direito de consulta de auto ou de obtenção de cópia, extrato ou
certidão de auto ou parte dele, na medida do estritamente necessário para realização do fim que fundamenta a
consulta, e sem prejuízo dos regimes do segredo de justiça, do segredo de Estado ou de outros regimes legais
de segredo ou proteção.
3 – Ao acesso referido na alínea b) do número anterior são aplicáveis as regras de acesso aos processos
enquanto estes se encontram pendentes.
4 – É aplicável ao processo eletrónico o disposto no artigo 28.º.
CAPÍTULO VII
Segurança dos dados
Artigo 42.º
Medidas de segurança
1 – Os responsáveis pelo tratamento asseguram a segurança dos dados no âmbito da sua competência,
nos termos dos regimes de proteção de dados pessoais e da presente lei, nomeadamente no que respeita ao
tratamento automatizado.
2 – O controlo da consulta e de outras operações de tratamento dos dados é feito através do registo
eletrónico referido no n.º 3 do artigo 29.º, devendo esse registo ser periodicamente comunicado aos
responsáveis pela gestão dos dados, para fins de auditoria aos acessos.
3 – Para as finalidades referidas no número anterior é também mantido um registo das permissões de
acesso atribuídas a cada utilizador, devendo os dados constantes de tal registo ser eliminados 10 anos após a
data do seu registo.
4 – Tendo em vista a segurança e a preservação da informação, são feitas, periodicamente, cópias de
segurança da mesma.
Artigo 43.º
Sigilo profissional
Quem, no exercício das suas funções, tomar conhecimento de dados referidos no artigo 3.º, cujo
conhecimento pelo público não seja admitido pela lei, fica obrigado a sigilo profissional.
Artigo 44.º
Comissão Nacional de Proteção de Dados
1 – A CNPD é a autoridade de controlo com competência para a garantia e fiscalização da aplicação dos
regimes de proteção de dados pessoais e das operações de tratamento de dados pessoais nos termos
previstos na presente lei.
2 – Para efeitos do número anterior, a composição da CNPD respeita os termos do n.º 3 do artigo 43.º da
Página 48
II SÉRIE-A — NÚMERO 131
48
Lei n.º [PPL 125/XIII].
3 – A competência da CNPD não abrange a fiscalização e supervisão de operações de tratamento de
dados pessoais pelas autoridades judiciárias, pelos juízes de paz e pelos mediadores dos sistemas públicos
de mediação, no âmbito das suas competências processuais, nos termos previstos nas alíneas a) e b) do n.º 1
do artigo 23.º.
4 – A Comissão constitui o ponto de contacto privilegiado da CNPD para os efeitos previstos no n.º 1, sem
prejuízo da comunicação direta com os responsáveis pela proteção de dados nos termos e para os efeitos
legalmente previstos.
5 – A CNPD aconselha e promove a sensibilização dos responsáveis pelo tratamento para as obrigações
que lhes incumbem, em cooperação com a Comissão.
6 – As entidades supervisoras da gestão da informação, bem como as demais entidades que integram a
Comissão, comunicam à CNPD a identidade e as funções dos representantes designados nos termos do
artigo 25.º, bem como a identidade e contatos dos respetivos encarregados de proteção de dados.
7 – Tendo em vista o controlo e fiscalização do cumprimento das normas de proteção de dados pessoais, a
CNPD pode aceder ao registo referido nos n.os 2 e 3 do artigo 42.º, oficiosamente ou na sequência de queixa.
Artigo 45.º
Segurança das infraestruturas físicas
1- O Ministério da Justiça assegura, através do departamento com competência para a matéria em causa,
que as infraestruturas físicas e as linhas de transmissão de suporte à recolha, registo e intercâmbio dos dados,
bem como ao arquivo eletrónico, são mantidas em instalações que garantam as condições de segurança
adequadas.
2- Os representantes designados, nos termos das alíneas a) e b) do n.º 6 do artigo 25.º, pelos
responsáveis pelo tratamento de dados, podem aceder às instalações referidas no número anterior.
CAPÍTULO VIII
Dados estatísticos
Artigo 46.º
Dados para fins estatísticos
1 – Podem ser utilizados para fins estatísticos, de forma não nominativa e com preservação do segredo
estatístico, as seguintes categorias de dados:
a) Dados relativos aos magistrados e funcionários de justiça:
i) Sexo; e
ii) Categoria profissional;
b) Dados relativos aos defensores, advogados e mandatários:
i) Sexo;
ii) Nacionalidade; e
iii) Indicação de se tratar de advogado, advogado estagiário, solicitador, solicitador estagiário, Ministério
Público ou outro;
c) Dados relativos aos arguidos em processo penal e aos arguidos em processo contraordenacional:
i) Data de nascimento;
ii) Sexo;
Página 49
22 DE JULHO DE 2019
49
iii) Estado civil;
iv) Nacionalidade;
v) Naturalidade, com indicação do município e da freguesia, no caso de nascimento em Portugal, ou do
Estado, no caso de nascimento no estrangeiro;
vi) Grau de instrução;
vii) Condição perante o trabalho; e
viii) Profissão;
d) Dados relativos aos assistentes, aos lesados, aos ofendidos, às partes, às partes civis, aos queixosos,
aos lesados, às testemunhas e às vítimas:
i) Data de nascimento;
ii) Sexo; e
iii) Estado civil;
e) Relação do arguido em processo penal com a vítima;
f) Dados relativos a pessoas coletivas que intervenham nos processos, seja a que título for:
i) Natureza jurídica; e
ii) Código de Classificação das Atividades Económicas;
g) Dados relativos aos processos de divórcio:
i) Data do casamento;
ii) Número de casamentos anteriores dissolvidos por divórcio;
iii) Número de casamentos anteriores dissolvidos por viuvez;
iv) Forma de celebração do casamento;
v) Localização da casa de morada de família, com a indicação da freguesia, no caso de localização em
Portugal, ou do Estado, no caso de localização no estrangeiro;
vi) Fundamentos do divórcio; e
vii) Datas de nascimento dos filhos menores.
2 – O disposto no número anterior não prejudica o tratamento, com salvaguarda do segredo estatístico,
dos demais dados previstos na presente lei, tendo em vista a elaboração das estatísticas oficiais da justiça.
3 – O disposto na alínea e) do n.º 1 implica, designadamente, a identificação dos casos de violência
doméstica e de tráfico de pessoas.
CAPÍTULO IX
Sanções
Artigo 47.º
Desvio de dados
1 – Quem copiar, subtrair, ceder, ou transferir, a título oneroso ou gratuito, dados pessoais tratados ao
abrigo da presente lei, sem previsão legal ou consentimento, é punido com pena de prisão até 2 anos ou multa
até 240 dias.
2 – A pena é agravada para o dobro nos seus limites quando a conduta:
a) For conseguida através de violação de regras técnicas de segurança;
b) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial; ou
c) Tiver prejudicado inquéritos, investigações, processos judiciais ou a execução de sanções penais.
Página 50
II SÉRIE-A — NÚMERO 131
50
Artigo 48.º
Utilização de dados de forma incompatível com a finalidade da recolha
Quem utilizar dados pessoais tratados ao abrigo da presente lei de forma incompatível com a finalidade
determinante da respetiva recolha é punido com pena de prisão até 2 anos ou com pena de multa até 240
dias.
Artigo 49.º
Interconexão ilegal de dados
Quem intencionalmente promover ou efetuar uma interconexão ilegal de qualquer dos dados previstos na
presente lei é punido com pena de prisão até 2 anos ou multa até 240 dias.
Artigo 50.º
Acesso indevido aos dados
1 – Quem, sem a devida autorização ou justificação, aceder, por qualquer modo, a dados pessoais tratados
ao abrigo da presente lei é punido com pena de prisão até um ano ou com pena de multa até 120 dias.
2 – A pena é agravada para o dobro dos seus limites quando o acesso:
a) For conseguido através de violação de regras técnicas de segurança;
b) (Revogada); ou
c) Tiver proporcionado ao agente ou a terceiros benefício de vantagem patrimonial.
Artigo 51.º
Viciação ou destruição de dados
1 – Quem, sem a devida autorização ou justificação, apagar, destruir, danificar, ocultar, suprimir ou
modificar dados pessoais, tornando-os inutilizáveis ou afetando o seu potencial de utilização, é punido com
pena de prisão até dois anos ou com pena de multa até 240 dias.
2 – A pena é agravada para o dobro dos seus limites se o dano produzido for particularmente grave.
3 – Se o agente atuar com negligência é punido com pena de prisão:
a) Até um ano ou multa até 120 dias, no caso previsto no n.º 1;
b) Até dois anos ou multa até 240 dias, no caso previsto no n.º 2.
Artigo 52.º
Violação do dever de sigilo
1 – Quem, obrigado a sigilo profissional nos termos da lei, sem justa causa e sem o devido consentimento,
revelar ou divulgar no todo ou em parte dados pessoais é punido com pena de prisão até um ano ou com pena
de multa até 120 dias.
2 – A pena é agravada para o dobro nos seus limites se o agente:
a) For trabalhador em funções públicas ou equiparado, nos termos da lei penal;
b) For encarregado de proteção de dados;
c) For determinado pela intenção de obter qualquer vantagem patrimonial ou outro benefício ilegítimo;
d) Puser em perigo a reputação, a honra ou a intimidade da vida privada de terceiros.
3 – A negligência é punível com pena de prisão até 6 meses ou multa até 120 dias.
Página 51
22 DE JULHO DE 2019
51
Artigo 52.º-A
Inserção de dados falsos
1 – Quem inserir ou facilitar a inserção de dados pessoais falsos, com a intenção de obter vantagem
indevida para si ou para terceiro, ou para causar prejuízo, é punido com pena de prisão até dois anos ou com
pena de multa até 240 dias.
2 – A pena é agravada para o dobro nos seus limites se da inserção referida no número anterior resultar um
prejuízo efetivo.
Artigo 52.º-B
Desobediência qualificada
Quem não cumprir as obrigações previstas na presente lei, depois de ultrapassado o prazo que tiver sido
fixado pela autoridade de controlo para o respetivo cumprimento, é punido com a pena correspondente ao
crime de desobediência qualificada.
Artigo 53.º
Punição da tentativa
Nos crimes previstos no presente capítulo, a tentativa é sempre punível.
Artigo 54.º
Sanções acessórias
Conjuntamente com as penas previstas no presente capítulo, podem ser ordenadas as penas acessórias
previstas no artigo 56.º da Lei n.º [PPL 120/XIII].
Artigo 55.º
Aplicabilidade de outros regimes sancionatórios
1 – O disposto no presente capítulo não prejudica a aplicação das disposições da Lei n.º [PPL 120/XIII], da
Lei n.º [PPL 125/XIII] ou do Código Penal, se de tal aplicação resultar, em concreto, uma sanção mais grave.
2 – O disposto no presente capítulo não prejudica a aplicação da Lei n.º 109/2009, de 15 de setembro.
Artigo 56.º
Responsabilidade civil e disciplinar
O disposto no presente capítulo não prejudica a efetivação da responsabilidade civil nem da
responsabilidade disciplinar.
CAPÍTULO X
Alteração legislativa
Artigo 57.º
Alteração ao estatuto do administrador da insolvência
(Revogado.)
Página 52
II SÉRIE-A — NÚMERO 131
52
CAPÍTULO XI
Disposições finais
Artigo 58.º
Direito subsidiário
Às matérias relativas à proteção de dados pessoais previstas na presente lei é subsidiariamente aplicável o
disposto no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, na
Lei n.º [PPL 120/XIII], que assegura a sua execução na ordem jurídica interna, e na Lei n.º [PPL 125/XIII], que
transpõe para a ordem jurídica interna a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27
de abril de 2016.
Artigo 59.º
Adaptações técnicas
As adaptações necessárias ao cumprimento dos requisitos técnicos previstos na presente lei são efetuadas
no prazo máximo de dois anos após a sua entrada em vigor.
Artigo 60.º
Entrada em vigor do artigo 159.º da Lei de Organização e Funcionamento dos Tribunais Judiciais
O artigo 159.º da Lei n.º 52/2008, de 28 de agosto, que aprova a Lei de Organização e Funcionamento dos
Tribunais Judiciais, entra em vigor, para todo o território nacional, no dia seguinte ao da publicação da
presente lei.
Artigo 61.º
Entrada em vigor
Sem prejuízo do disposto no artigo anterior, a presente lei entra em vigor seis meses após a data da sua
publicação.
———
DECRETO DA ASSEMBLEIA DA REPÚBLICA N.º 336/XIII
APROVA AS REGRAS RELATIVAS AO TRATAMENTO DE DADOS PESSOAIS PARA EFEITOS DE
PREVENÇÃO, DETEÇÃO, INVESTIGAÇÃO OU REPRESSÃO DE INFRAÇÕES PENAIS OU DE
EXECUÇÃO DE SANÇÕES PENAIS, TRANSPONDO A DIRETIVA (UE) 2016/680 DO PARLAMENTO
EUROPEU E DO CONSELHO, DE 27 DE ABRIL DE 2016
A Assembleia da República decreta, nos termos da alínea c) do artigo 161.º da Constituição, o seguinte:
CAPÍTULO I
Disposições gerais
Artigo 1.º
Objeto
A presente lei estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao
Página 53
22 DE JULHO DE 2019
53
tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, deteção,
investigação ou repressão de infrações penais ou de execução de sanções penais, incluindo a salvaguarda e a
prevenção de ameaças à segurança pública, transpondo para a ordem jurídica interna a Diretiva (UE)
2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.
Artigo 2.º
Âmbito de aplicação
1 - A presente lei é aplicável ao tratamento de dados pessoais para os efeitos previstos no artigo anterior,
nos termos da lei processual penal e demais legislação aplicável.
2 - A presente lei aplica-se ao tratamento de dados pessoais por meios total ou parcialmente
automatizados, bem como ao tratamento de dados pessoais contidos num ficheiro ou a ele destinados por
meios não automatizados.
3 - A presente lei não se aplica ao tratamento de dados pessoais relacionados com a segurança nacional.
4 - O intercâmbio de dados pessoais entre autoridades competentes na União Europeia, quando
legalmente exigido, não é limitado nem proibido por razões relacionadas com a proteção das pessoas
singulares no que diz respeito ao tratamento de dados pessoais.
Artigo 3.º
Definições
1 – Para os efeitos do disposto na presente lei, entende-se por:
a) «Estado-Membro», Estado-Membro da União Europeia;
b) «País terceiro», Estado que não integra a União Europeia;
c) «Dados pessoais», informações relativas a uma pessoa singular identificada ou identificável («titular dos
dados»);
d) «Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre
conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo,
a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a
utilização, a divulgação por transmissão, por difusão ou por qualquer outra forma de disponibilização, a
comparação ou interconexão, a limitação, o apagamento ou a destruição;
e) «Limitação do tratamento», a inserção de uma marca nos dados pessoais conservados com o objetivo
de limitar o seu tratamento no futuro;
f) «Definição de perfis», qualquer forma de tratamento automatizado de dados pessoais que consista em
utilizar esses dados para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para
analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, a sua
saúde, as suas preferências pessoais, os seus interesses, a sua fiabilidade, o seu comportamento, a sua
localização ou as suas deslocações;
g) «Pseudonimização», o tratamento de dados pessoais para que deixem de poder ser atribuídos a um
titular de dados específico sem recurso a informações suplementares, desde que estas sejam mantidas
separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não
possam ser atribuídos a uma pessoa singular identificada ou identificável;
h) «Ficheiro», um conjunto estruturado de dados pessoais acessíveis segundo critérios específicos,
centralizado, descentralizado ou repartido de modo funcional ou geográfico;
i) «Autoridade competente», uma autoridade pública responsável pela prevenção, investigação, deteção
ou repressão de infrações penais ou de execução de sanções penais, incluindo a salvaguarda e a prevenção
de ameaças à segurança pública, ou qualquer outro organismo ou entidade que exerça, nos termos da lei, a
autoridade pública e os poderes públicos para os referidos efeitos;
j) «Responsável pelo tratamento», a entidade competente que, individualmente ou em conjunto com
outras, determina as finalidades e os meios de tratamento dos dados pessoais, ou, no caso em que estes são
determinados por lei, a autoridade nela indicada;
Página 54
II SÉRIE-A — NÚMERO 131
54
k) «Subcontratante», a pessoa singular ou coletiva, a autoridade pública, o serviço ou outro organismo que
trata dados pessoais por conta do responsável pelo tratamento;
l) «Destinatário», a pessoa singular ou coletiva, a autoridade pública, o serviço ou outro organismo que
recebe comunicações de dados pessoais, independentemente de ser ou não um terceiro, com exceção das
autoridades públicas que recebem dados pessoais no âmbito de inquéritos específicos nos termos da lei, as
quais, não sendo destinatários, observam as regras de proteção de dados pessoais, em função das finalidades
do tratamento;
m) «Violação de dados pessoais», uma violação da segurança que provoque, de modo acidental ou ilícito,
a destruição, a perda, a alteração, a divulgação não autorizada de dados pessoais transmitidos, conservados
ou tratados de outro modo, ou o acesso não autorizado a esses dados;
n) «Dados genéticos», dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de
uma pessoa singular, que forneçam informações únicas sobre a sua fisiologia ou sobre a sua saúde que
resultem, designadamente, da análise de uma amostra biológica da pessoa singular em causa;
o) «Dados biométricos», dados pessoais resultantes de um tratamento técnico específico, relativos às
características físicas, fisiológicas ou comportamentais de uma pessoa singular, que permitam ou confirmem a
sua identificação única, tais como imagens faciais ou dados dactiloscópicos;
p) «Dados relativos à saúde», dados pessoais relativos à saúde física ou mental de uma pessoa singular,
incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde;
q) «Autoridade de controlo», a Comissão Nacional de Proteção de Dados (CNPD), nos termos do disposto
no artigo 43.º;
r) «Organização internacional», uma organização internacional e os organismos de direito internacional
público por ela tutelados, ou outro organismo criado por um acordo celebrado entre dois ou mais países ou
com base num acordo dessa natureza.
2 – Para os efeitos do disposto na alínea c) do número anterior, considera-se identificável uma pessoa
singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador
como o nome, o número de identificação, dados de localização, identificadores em linha ou um ou mais
elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa
pessoa.
3 – Para os efeitos do disposto na alínea i) do n.º 1, são autoridades competentes as forças e os serviços
de segurança, os órgãos de polícia criminal, as autoridades judiciárias e os serviços prisionais e de reinserção
social, no âmbito das suas atribuições de prevenção, deteção, investigação ou repressão de infrações penais
ou de execução de sanções penais, nos termos previstos nos respetivos estatutos e nas leis de segurança
interna, de organização da investigação criminal e do processo penal.
CAPÍTULO II
Princípios relativos ao tratamento de dados pessoais
Artigo 4.º
Princípios gerais de proteção de dados
1 – O tratamento de dados pessoais deve processar-se no estrito respeito pelos direitos, liberdades e
garantias das pessoas singulares, em especial pelo direito à proteção dos dados pessoais.
2 – Os dados pessoais são:
a) Objeto de um tratamento lícito e leal;
b) Recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser tratados de forma
incompatível com essas finalidades;
c) Adequados, pertinentes e limitados ao mínimo necessário à prossecução das finalidades para as quais
são tratados;
d) Exatos e atualizados sempre que necessário, devendo ser tomadas todas as medidas razoáveis para
Página 55
22 DE JULHO DE 2019
55
que os dados inexatos sejam apagados ou retificados sem demora;
e) Conservados de forma a permitir a identificação dos titulares dos dados apenas durante o período
necessário para as finalidades para as quais são tratados;
f) Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não
autorizado ou ilícito e contra a sua perda, destruição ou danificação acidentais, recorrendo a medidas técnicas
ou organizativas adequadas.
3 – O responsável pelo tratamento deve adotar as medidas que lhe permitam comprovar que o tratamento
de dados pessoais é realizado em conformidade com os princípios enunciados no número anterior.
Artigo 5.º
Licitude do tratamento
1 - O tratamento de dados pessoais só é lícito se estiver previsto na lei e na medida em que for necessário
para o exercício de uma atribuição da autoridade competente para os efeitos previstos no artigo 1.º, sem
prejuízo do disposto no n.º 3.
2 - A lei indica, pelo menos, os objetivos do tratamento, os dados pessoais a tratar e as finalidades do
tratamento.
3 - Caso não esteja autorizado por lei, o tratamento dos dados pessoais apenas pode ser realizado se for
necessário para a proteção dos interesses vitais do titular dos dados ou de outra pessoa singular.
Artigo 6.º
Tratamento de categorias especiais de dados pessoais
1 – O tratamento dos dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as
convicções religiosas ou filosóficas ou a filiação sindical, bem como dos dados genéticos, dos dados
biométricos destinados a identificar uma pessoa singular de forma inequívoca, dos dados relativos à saúde ou
dos dados relativos à vida sexual ou à orientação sexual, só pode ser efetuado se for estritamente necessário,
se estiver sujeito a garantias adequadas de proteção dos direitos e liberdades do titular dos dados, e se:
a) For autorizado por lei;
b) Se destinar a proteger os interesses vitais do titular dos dados ou de outra pessoa singular; ou
c) Estiver relacionado com dados manifestamente tornados públicos pelo titular dos dados.
2 – São proibidas as definições de perfis que conduzam à discriminação de pessoas singulares com base
nas categorias especiais de dados pessoais previstos no número anterior.
Artigo 7.º
Finalidades do tratamento
1 - É permitido o tratamento dos dados pessoais, pelo mesmo ou por outro responsável pelo tratamento,
para finalidades diferentes daquelas para as quais os dados pessoais foram recolhidos, desde que essas
outras finalidades se enquadrem nos fins previstos no artigo 1.º e que:
a) O responsável pelo tratamento esteja autorizado por lei a tratar os dados pessoais para essa finalidade;
e
b) O tratamento seja necessário e proporcional a essa outra finalidade, nos termos da lei.
2 - O tratamento pelo mesmo ou por outro responsável inclui o arquivo de interesse público e a utilização
científica, estatística ou histórica dos dados para os efeitos previstos no artigo 1.º, sob reserva de garantias
adequadas dos direitos, liberdades e garantias do titular dos dados.
Página 56
II SÉRIE-A — NÚMERO 131
56
Artigo 8.º
Condições específicas de tratamento
1 - Os dados pessoais recolhidos pelas autoridades competentes para os fins previstos no artigo 1.º não
podem ser tratados para fins diferentes, salvo se esse tratamento for autorizado por lei, sendo neste caso
aplicável ao tratamento de dados para esses e outros fins o disposto no Regulamento (UE) 2016/679 do
Parlamento Europeu e do Conselho, de 27 de abril de 2016, e na Lei n.º [PPL 120/XIII].
2 - Nos casos em que as autoridades competentes exerçam atribuições para efeitos diversos dos previstos
no artigo 1.º, é aplicável ao tratamento de dados para esses outros fins, incluindo os de arquivo de interesse
público, de investigação científica ou histórica ou fins estatísticos, o disposto no Regulamento (UE) 2016/679
do Parlamento Europeu e do Conselho, de 27 de abril de 2016, e na Lei n.º [PPL 120/XIII].
3 - Se a autoridade competente proceder a uma transmissão de dados cujo tratamento esteja sujeito a
condições específicas, a autoridade transmissora informa o destinatário dos dados pessoais dessas condições
e da obrigação de as cumprir.
4 - Na transmissão de dados à Eurojust, à Europol e a outros organismos de cooperação judiciária e policial
em matéria penal criados no âmbito da União Europeia, bem como às autoridades competentes de outros
Estados-Membros, não podem ser aplicadas condições específicas diferentes das previstas para as
transmissões de dados similares entre autoridades nacionais.
Artigo 9.º
Distinção entre diferentes categorias de titulares de dados
O responsável pelo tratamento deve estabelecer, se aplicável e sempre que possível, uma distinção clara
entre os dados pessoais de diferentes categorias de titulares de dados, tais como:
a) Pessoas relativamente às quais existem motivos fundados para crer que cometeram ou estão prestes a
cometer uma infração penal;
b) Pessoas condenadas pela prática de uma infração penal;
c) Vítimas de uma infração penal ou pessoas relativamente às quais certos factos levam a crer que
possam vir a ser vítimas de uma infração penal; e
d) Terceiros envolvidos numa infração penal, tais como pessoas que possam ser chamadas a testemunhar
em processo penal, pessoas que possam fornecer informações sobre infrações penais, ou contactos ou
associados de uma das pessoas a que se referem as alíneas a) e b).
Artigo 10.º
Distinção entre dados pessoais e verificação da qualidade dos dados pessoais
1 - Sempre que possível, os dados pessoais baseados em factos devem ser distinguidos dos dados
pessoais baseados em apreciações pessoais.
2 - Não podem ser transmitidos nem disponibilizados dados pessoais inexatos, incompletos, desatualizados
ou não confiáveis.
3 - Para os efeitos previstos no número anterior, as autoridades competentes verificam, sempre que
possível, a qualidade dos dados pessoais antes de estes serem transmitidos ou disponibilizados.
4 - Nos casos de transmissão de dados pessoais, as autoridades competentes que os transferem devem
fornecer, sempre que possível, as informações necessárias para que as autoridades competentes que os
recebem possam apreciar se os dados são exatos, completos, atuais e fiáveis.
5 - Se se verificar que foram transmitidos dados inexatos ou que foram transmitidos dados pessoais de
forma ilícita, o destinatário deve ser informado sem demora, devendo proceder-se à retificação ou ao
apagamento dos dados em causa ou à limitação do seu tratamento, nos termos do artigo 17.º.
Página 57
22 DE JULHO DE 2019
57
Artigo 11.º
Decisões individuais automatizadas
1 - São proibidas as decisões tomadas exclusivamente com base no tratamento automatizado, incluindo a
definição de perfis, que produzam efeitos adversos na esfera jurídica do titular dos dados ou que o afetem de
forma significativa, exceto quando autorizadas por lei, desde que seja previsto o direito de o titular dos dados
obter a intervenção humana do responsável pelo tratamento.
2 - As decisões a que se refere o número anterior não podem basear-se nas categorias especiais de dados
pessoais previstos no artigo 6.º.
Artigo 12.º
Prazos para conservação e avaliação
1 - Os dados pessoais só podem ser tratados durante o período necessário para a prossecução das
finalidades da recolha, ou do tratamento posterior autorizado nos termos do artigo 7.º, findo o qual devem ser
apagados, sem prejuízo da sua pseudonimização logo que as finalidades do tratamento o permitam.
2 - O responsável pelo tratamento avalia periodicamente a necessidade de conservar os dados pessoais
tratados, de acordo com procedimentos internos adotados para esse efeito, nos quais se deve fixar,
nomeadamente, a periodicidade da avaliação.
3 - A periodicidade de avaliação da necessidade de conservar os dados pessoais deve ser determinada em
função das diferentes categorias de titulares de dados previstos no artigo 9.º, bem como da necessidade de
conservação dos dados em causa para as finalidades do tratamento.
4 - A decisão de conservar os dados pessoais por períodos adicionais ao prazo de conservação original
deve ser documentada, justificada e notificada aos titulares dos dados, sem prejuízo do disposto no artigo 16.º.
5 - As autoridades competentes devem utilizar sistemas informáticos que facilitem a avaliação periódica da
necessidade de conservar os dados e o seu apagamento ou pseudonimização, nomeadamente através de
alertas e de medidas de proteção automáticas, tais como a limitação de acesso ou a ocultação dos dados.
CAPÍTULO III
Direitos do titular dos dados
Artigo 13.º
Comunicações e exercício dos direitos do titular dos dados
1 - O responsável pelo tratamento facilita o exercício dos direitos do titular dos dados nos termos dos
artigos 11.º e 15.º a 19.º.
2 - O responsável pelo tratamento fornece ao titular dos dados as informações a que se refere o artigo 14.º
e efetua as comunicações relativas aos artigos 11.º, 15.º a 19.º e 33.º de uma forma concisa, inteligível e de
fácil acesso, utilizando uma linguagem clara e simples, e pelos meios adequados, incluindo meios eletrónicos,
e, sempre que possível, com recurso ao meio utilizado no pedido.
3 - O responsável pelo tratamento informa o titular dos dados do seguimento dado ao seu pedido, por
escrito, e sem demora injustificada, num prazo não superior a 30 dias, que pode ser renovado por mais 30
dias, em caso de motivo justificado.
4 - A prestação de informações e o exercício dos direitos são gratuitos, sem prejuízo do disposto no número
seguinte.
5 - Nos casos em que o pedido do titular dos dados seja manifestamente infundado ou excessivo,
designadamente devido ao seu caráter repetitivo, o responsável pelo tratamento, mediante decisão
fundamentada, pode:
a) Exigir o pagamento de uma taxa de montante a fixar por portaria do membro do Governo responsável
pela área da justiça, tendo em conta os custos administrativos associados; ou
Página 58
II SÉRIE-A — NÚMERO 131
58
b) Recusar dar seguimento ao pedido.
6 - Se tiver dúvidas razoáveis quanto à identidade da pessoa que apresenta o pedido ao abrigo dos artigos
15.º e 17.º, o responsável pelo tratamento pode solicitar ao requerente que lhe sejam fornecidas as
informações adicionais necessárias para confirmar a sua identidade.
Artigo 14.º
Informações a disponibilizar ou a fornecer pelo responsável pelo tratamento
1 - O responsável pelo tratamento disponibiliza publicamente e de forma permanentemente acessível as
informações sobre:
a) A identidade e os contactos do responsável pelo tratamento;
b) Os contactos do encarregado da proteção de dados;
c) As finalidades do tratamento a que os dados pessoais se destinam;
d) O direito de apresentar queixa à autoridade de controlo e os contactos dessa autoridade;
e) O direito de solicitar ao responsável pelo tratamento acesso aos dados pessoais que lhe dizem respeito,
bem como a sua retificação ou o seu apagamento e a limitação do tratamento.
2 - Para além das informações a que se refere o número anterior, e sem prejuízo do disposto no número
seguinte, o responsável pelo tratamento fornece ao titular dos dados as seguintes informações adicionais a fim
de lhe permitir exercer os seus direitos:
a) O fundamento jurídico do tratamento;
b) O prazo de conservação dos dados pessoais, os critérios utilizados para o definir ou os procedimentos
previstos para revisão periódica da necessidade de conservação;
c) As categorias de destinatários dos dados pessoais, se for o caso, inclusivamente nos países terceiros
ou nas organizações internacionais;
d) Se necessário, outras informações adicionais, especialmente se os dados pessoais tiverem sido
recolhidos sem o conhecimento do seu titular.
3 - A prestação de informações a que se refere o número anterior pode ser adiada, limitada ou recusada se
e enquanto tal for necessário e proporcional para:
a) Evitar prejuízo para investigações, inquéritos ou processos judiciais;
b) Evitar prejuízo para a prevenção, deteção, investigação ou repressão de infrações penais ou para a
execução de sanções penais;
c) Proteger a segurança pública;
d) Proteger a segurança nacional; ou
e) Proteger os direitos, liberdades e garantias de terceiros.
Artigo 15.º
Direito de acesso do titular dos dados aos seus dados pessoais
1 - Sem prejuízo do disposto no artigo seguinte, o titular dos dados tem direito a obter do responsável pelo
tratamento, com periodicidade razoável, informação sobre se os dados pessoais que lhe dizem respeito estão
ou não a ser objeto de tratamento.
2 - Em caso afirmativo, o titular dos dados tem o direito de aceder aos seus dados pessoais e às
informações sobre:
a) As finalidades e o fundamento jurídico do tratamento;
b) As categorias dos dados pessoais em causa;
Página 59
22 DE JULHO DE 2019
59
c) Os destinatários ou as categorias de destinatários aos quais os dados pessoais foram transmitidos,
especialmente se se tratar de destinatários de países terceiros ou de organizações internacionais;
d) Sempre que possível, o prazo previsto de conservação dos dados pessoais ou, se não for possível, os
critérios utilizados para fixar esse prazo;
e) O direito de solicitar ao responsável pelo tratamento a retificação ou o apagamento dos dados pessoais
ou a limitação do tratamento dos dados pessoais que lhe dizem respeito;
f) O direito de apresentar queixa à autoridade de controlo e de obter os contactos dessa autoridade;
g) A comunicação dos dados pessoais sujeitos a tratamento, bem como as informações disponíveis sobre
a origem dos mesmos.
Artigo 16.º
Limitações do direito de acesso
1 - O responsável pelo tratamento pode recusar ou restringir o direito de acesso do titular dos dados
enquanto tal limitação constituir uma medida necessária e proporcional para:
a) Evitar prejuízo para investigações, inquéritos ou processos judiciais;
b) Evitar prejuízo para a prevenção, deteção, investigação ou repressão de infrações penais ou para a
execução de sanções penais;
c) Proteger a segurança pública;
d) Proteger a segurança nacional; ou
e) Proteger os direitos, liberdades e garantias de terceiros.
2 - Nos casos previstos no número anterior, o responsável pelo tratamento informa o titular dos dados, por
escrito e sem demora injustificada, dos motivos da recusa ou da limitação do acesso.
3 - A informação a que se refere o número anterior pode ser omitida apenas na medida em que a sua
prestação possa prejudicar uma das finalidades enunciadas no n.º 1.
4 - Nos casos previstos no número anterior, o responsável pelo tratamento informa o titular dos dados do
direito que lhe assiste de apresentar um pedido de verificação à autoridade de controlo nos termos do artigo
18.º, ou de intentar a competente ação judicial.
5 - O responsável pelo tratamento disponibiliza à autoridade de controlo informação sobre os motivos de
facto e de direito que fundamentam a decisão de recusa ou de limitação do direito de acesso, bem como da
omissão de informação ao titular dos dados.
Artigo 17.º
Direito de retificação ou apagamento dos dados pessoais e de limitação do tratamento
1 - O titular dos dados tem o direito de obter do responsável pelo tratamento, sem demora injustificada, a
retificação dos dados pessoais inexatos que lhe digam respeito, bem como o direito a que os seus dados
pessoais incompletos sejam completados, nomeadamente por meio de declaração adicional.
2 - O titular dos dados tem o direito de obter do responsável pelo tratamento, sem demora injustificada, o
apagamento dos dados pessoais que lhe digam respeito nos casos em que o tratamento não respeite o
disposto nos artigos 4.º a 7.º ou nos casos em que o apagamento seja exigido para dar cumprimento a uma
obrigação legal a que o responsável pelo tratamento esteja sujeito.
3 - Em vez de proceder ao apagamento, o responsável pelo tratamento limita o tratamento, no caso de:
a) O titular dos dados contestar a exatidão dos dados pessoais e a sua exatidão ou inexatidão não puder
ser apurada;
b) Os dados pessoais deverem ser conservados para efeitos de prova.
4 - Nos casos previstos na alínea a) do número anterior, o responsável pelo tratamento informa o titular dos
dados antes de pôr termo à limitação do tratamento.
Página 60
II SÉRIE-A — NÚMERO 131
60
5 - A limitação do tratamento implica que os dados só possam ser tratados para as finalidades que
impediram o seu apagamento, devendo o responsável pelo tratamento adotar as medidas técnicas e
organizativas adequadas para assegurar que a limitação é respeitada.
6 - O titular dos dados é informado, por escrito, da decisão de recusa do pedido de retificação ou de
apagamento ou da limitação do tratamento e dos respetivos fundamentos.
7 - A informação a que se refere o número anterior pode ser omitida ou limitada pelo responsável pelo
tratamento na medida em que tal omissão ou limitação constitua uma medida necessária e proporcional para:
a) Evitar prejuízo para investigações, inquéritos, ou processos judiciais;
b) Evitar prejuízo para a prevenção, deteção, investigação ou repressão de infrações penais ou a
execução de sanções penais;
c) Proteger a segurança pública;
d) Proteger a segurança nacional; ou
e) Proteger os direitos e as liberdades de terceiros.
8 - Nos casos previstos no número anterior, o responsável pelo tratamento informa o titular dos dados do
direito de apresentar um pedido de verificação à autoridade de controlo nos termos do artigo 18.º, ou de
intentar a competente ação judicial.
9 - A retificação dos dados pessoais é comunicada à autoridade competente de origem dos dados inexatos.
10 - Em caso de transmissão de dados, o responsável pelo tratamento informa os destinatários da retificação
ou do apagamento ou da limitação do tratamento, devendo estes retificar ou apagar os dados ou limitar o
tratamento em conformidade com essa informação.
Artigo 18.º
Exercício dos direitos do titular dos dados e verificação pela autoridade de controlo
1 - Em caso de recusa de informação, acesso, retificação, apagamento ou limitação de tratamento com
fundamento no disposto no n.º 3 do artigo 14.º, no n.º 1 do artigo 16.º ou no n.º 7 do artigo anterior, o titular
dos dados pode solicitar à autoridade de controlo que verifique a licitude do tratamento.
2 - O responsável pelo tratamento informa o titular dos dados do direito que lhe assiste nos termos do
número anterior.
3 - Nos casos referidos no n.º 1, a autoridade de controlo informa o titular dos dados de que procedeu a
todas as verificações necessárias ou a um reexame do tratamento e do direito que lhe assiste de intentar a
competente ação judicial.
Artigo 19.º
Direitos do titular dos dados em casos especiais
Os direitos de informação, de acesso, de retificação, de apagamento e de limitação do tratamento de dados
pessoais constantes de um processo penal, de uma decisão judicial ou do registo criminal são exercidos nos
termos da lei processual penal e da demais legislação aplicável.
CAPÍTULO IV
Responsável pelo tratamento e subcontratante
Artigo 20.º
Obrigações do responsável pelo tratamento
1 - O responsável pelo tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do
tratamento dos dados, bem como os riscos para os direitos, liberdades e garantias das pessoas, adota as
medidas técnicas e organizativas adequadas para assegurar e poder comprovar que o tratamento é realizado
Página 61
22 DE JULHO DE 2019
61
em conformidade com a presente lei.
2 - As medidas adotadas nos termos do número anterior são regularmente avaliadas e atualizadas.
Artigo 21.º
Requisitos mínimos da proteção de dados
1 - O responsável pelo tratamento adota as medidas técnicas e organizativas que assegurem de forma
eficaz o respeito pelos princípios da proteção de dados, bem como as garantias necessárias para satisfazer os
requisitos estabelecidos na presente lei e para proteger os direitos dos titulares dos dados.
2 - O responsável pelo tratamento aplica as medidas técnicas e organizativas adequadas que assegurem
que apenas são tratados os dados pessoais necessários para cada finalidade específica do tratamento.
3 - Para os efeitos do número anterior, o responsável pelo tratamento avalia o volume de dados pessoais
recolhidos, a extensão do tratamento, o prazo de conservação e a acessibilidade, devendo assegurar que, por
defeito, os dados pessoais não são disponibilizados a um número indeterminado de pessoas sem o
consentimento do respetivo titular dos dados.
4 - As medidas referidas no n.º 1 são asseguradas tanto nos momentos da conceção, do desenvolvimento
e da aplicação dos meios de tratamento como no momento do próprio tratamento, de modo a permitir,
designadamente, a pseudonimização e a minimização dos dados.
Artigo 22.º
Responsáveis conjuntos pelo tratamento
1 - Para os efeitos da presente lei, quando dois ou mais responsáveis pelo tratamento de dados
determinam conjuntamente as finalidades e os meios do tratamento, ambos são responsáveis conjuntos pelo
tratamento.
2 - Os responsáveis conjuntos determinam as respetivas responsabilidades por mútuo acordo, de forma
transparente e devidamente documentada a fim de garantir o cumprimento da presente lei, nomeadamente no
que diz respeito ao exercício dos direitos do titular dos dados e aos deveres de facultar a informação a que se
refere o artigo 14.º, salvo nos casos em que a responsabilidade seja determinada por lei.
3 - O acordo previsto no número anterior identifica qual dos responsáveis é o ponto de contacto dos
titulares dos dados para o exercício dos seus direitos, sem prejuízo de a pretensão poder ser dirigida a
qualquer deles.
Artigo 23.º
Tratamento dos dados por subcontratante
1 - O responsável pelo tratamento pode recorrer a subcontratantes que apresentem garantias suficientes de
adoção de medidas técnicas e organizativas adequadas de modo a que o tratamento satisfaça os requisitos
estabelecidos na presente lei e assegure a proteção dos direitos do titular dos dados.
2 - O subcontratante não pode recorrer a outro subcontratante sem a autorização prévia específica ou
geral, por escrito, do responsável pelo tratamento, com exceção dos casos em que a subcontratação esteja
prevista na lei.
3 - Em caso de autorização geral, o subcontratante informa o responsável pelo tratamento de todas as
alterações pretendidas quanto à contratação de outros subcontratantes, podendo o responsável pelo
tratamento opor-se a essas alterações.
4 - O tratamento de dados em subcontratação é regulado por contrato escrito ou por lei que estabeleça o
objeto, a duração, a natureza e a finalidade do tratamento, o tipo de dados pessoais e as categorias de
titulares de dados a tratar, bem como as obrigações e os direitos do responsável pelo tratamento.
5 - O contrato ou a lei referidos no número anterior preveem, designadamente, que o subcontratante:
a) Só aja de acordo com as instruções do responsável pelo tratamento;
b) Assegure que as pessoas autorizadas a tratar os dados pessoais assumem um compromisso de
Página 62
II SÉRIE-A — NÚMERO 131
62
confidencialidade ou se encontram sujeitas a obrigações legais de confidencialidade;
c) Preste assistência ao responsável pelo tratamento por todos os meios adequados de modo a assegurar
o cumprimento das disposições relativas aos direitos do titular dos dados;
d) Após concluir os serviços de tratamento, apague de forma definitiva ou devolva os dados ao
responsável pelo tratamento, consoante a escolha deste, e apague as cópias existentes, a menos que a sua
conservação seja exigida por lei;
e) Disponibilize ao responsável pelo tratamento as informações necessárias para demonstrar o
cumprimento do disposto no presente artigo;
f) Respeite as condições referidas nos n.os 2 e 3 no que respeita à contratação de outro subcontratante;
g) Adote as medidas técnicas e organizativas adequadas que assegurem a proteção dos dados pessoais,
em conformidade com o exigido na presente lei, devendo considerar o princípio da proteção de dados desde a
conceção e por defeito.
Artigo 24.º
Tratamento sob a autoridade do responsável pelo tratamento ou do subcontratante
O subcontratante, bem como qualquer pessoa que, agindo sob a autoridade deste ou do responsável pelo
tratamento, tenha acesso a dados pessoais, não pode efetuar o respetivo tratamento sem instruções do
responsável pelo tratamento.
Artigo 25.º
Dever de sigilo
Os responsáveis pelo tratamento, os subcontratantes, bem como qualquer outra pessoa que, no exercício
das suas funções, tenha acesso aos dados pessoais, ficam obrigados a sigilo profissional, mesmo após o
termo das suas funções.
Artigo 26.º
Registos das atividades de tratamento
1 - O responsável pelo tratamento conserva um registo de todas as categorias de atividades de tratamento
sob a sua responsabilidade.
2 - O registo deve conter:
a) O nome e os contactos do responsável pelo tratamento e, se for o caso, dos responsáveis conjuntos
pelo tratamento e do encarregado da proteção de dados;
b) As finalidades do tratamento;
c) As categorias de destinatários aos quais os dados pessoais são divulgados ou facultados, incluindo os
destinatários estabelecidos em países terceiros ou organizações internacionais;
d) A descrição das categorias de titulares de dados e das categorias de dados pessoais;
e) A utilização da definição de perfis, se for caso disso;
f) As categorias de transferências de dados pessoais para um país terceiro ou para uma organização
internacional, se for caso disso;
g) A indicação do fundamento jurídico do tratamento, incluindo das transferências, a que os dados
pessoais se destinam;
h) Se possível, os prazos de conservação das diferentes categorias de dados pessoais ou os
procedimentos previstos para revisão periódica da necessidade de conservação;
i) Uma descrição geral das medidas técnicas e organizativas em matéria de segurança referidas no artigo
31.º;
j) Os pedidos apresentados pelos titulares dos dados e a respetiva tramitação, bem como as decisões do
responsável pelo tratamento com a correspondente fundamentação.
Página 63
22 DE JULHO DE 2019
63
3 - O subcontratante conserva um registo de todas as categorias de atividades de tratamento realizadas em
nome do responsável pelo tratamento, do qual constam:
a) O nome e os contactos do subcontratante ou subcontratantes, de cada responsável pelo tratamento em
nome do qual atua o subcontratante e do encarregado da proteção de dados, se for caso disso;
b) As categorias de tratamentos de dados efetuados em nome de cada responsável pelo tratamento;
c) Se for caso disso, as transferências de dados pessoais para um país terceiro ou para uma organização
internacional e as instruções do responsável pelo tratamento para as transferências, incluindo a identificação
desse país terceiro ou dessa organização internacional;
d) Uma descrição geral das medidas técnicas e organizativas em matéria de segurança referidas no artigo
31.º.
4 - Os registos a que se referem os números anteriores são conservados por escrito e em suporte
duradouro, designadamente em formato eletrónico.
5 - O responsável pelo tratamento e o subcontratante facultam os registos previstos nos números anteriores
à autoridade de controlo, a pedido desta.
Artigo 27.º
Registo cronológico
1 - O responsável pelo tratamento e o subcontratante conservam em sistemas de tratamento automatizado
registos cronológicos das seguintes operações de tratamento:
a) Recolha;
b) Alteração;
c) Consulta;
d) Divulgação, incluindo transferências;
e) Interconexão;
f) Apagamento; e
g) Limitação do tratamento, incluindo as datas de início e de cessação da limitação.
2 - Os registos cronológicos das operações de consulta e de divulgação devem permitir determinar o
motivo, a data e a hora dessas operações, a identificação da pessoa que consultou ou divulgou dados
pessoais e, sempre que possível, a identidade dos destinatários desses dados pessoais.
3 - Os registos cronológicos são utilizados exclusivamente para efeitos de verificação da licitude do
tratamento, autocontrolo, exercício do poder disciplinar e garantia da integridade e segurança dos dados
pessoais, bem como no âmbito e para efeitos de processo penal.
4 - O responsável pelo tratamento e o subcontratante disponibilizam os registos cronológicos à autoridade
de controlo, a pedido desta.
5 - As leis específicas reguladoras das operações de tratamento dos dados para as finalidades previstas no
artigo 1.º definem os períodos de conservação aplicáveis aos registos cronológicos.
6 - O responsável pelo tratamento e o subcontratante adotam medidas técnicas que garantam a integridade
dos registos cronológicos.
Artigo 28.º
Dever de colaboração
O responsável pelo tratamento e o subcontratante colaboram plenamente com a autoridade de controlo no
exercício das suas atribuições.
Página 64
II SÉRIE-A — NÚMERO 131
64
Artigo 29.º
Avaliação de impacto
1 - No caso de um certo tipo de tratamento ser suscetível de representar um elevado risco para os direitos,
liberdades e garantias das pessoas, o responsável pelo mesmo deve efetuar uma avaliação do impacto das
operações que o compõem antes de lhe dar início.
2 - Tendo em conta os direitos, liberdades e garantias das pessoas, a avaliação do impacto inclui:
a) Uma descrição geral das operações de tratamento previstas;
b) Uma avaliação dos riscos para os direitos, liberdades e garantias dos titulares dos dados;
c) As medidas previstas para fazer face aos riscos mencionados na alínea anterior;
d) As garantias, as medidas de segurança e os mecanismos para assegurar a proteção dos dados
pessoais e demonstrar a conformidade do tratamento com a presente lei.
Artigo 30.º
Consulta prévia da autoridade de controlo
1 - O responsável pelo tratamento ou o subcontratante consultam a autoridade de controlo antes de
proceder ao tratamento de dados pessoais a integrar em ficheiro a criar nos casos em que:
a) A avaliação de impacto prevista no artigo anterior indique que o tratamento resultaria num elevado risco,
na ausência de medidas adequadas para atenuar esse risco; ou
b) O tipo de tratamento envolva um elevado risco para os direitos, liberdades e garantias dos titulares dos
dados, designadamente se utilizar novas tecnologias.
2 - A autoridade de controlo é consultada durante a elaboração de instrumentos jurídicos em preparação na
União Europeia ou em instituições internacionais e durante a elaboração de acordos bilaterais ou multilaterais
a celebrar entre o Estado português e outros estados, bem como de propostas legislativas e regulamentares
referentes ao tratamento de dados pessoais, podendo, igualmente, emitir pareceres, por iniciativa própria,
sobre qualquer questão relacionada com a proteção de dados pessoais.
3 - A autoridade de controlo pode elaborar e publicitar uma lista das operações de tratamento sujeitas a
consulta prévia nos termos do n.º 1.
4 - O responsável pelo tratamento fornece à autoridade de controlo a avaliação de impacto prevista no
artigo anterior e, quando solicitado, qualquer outra informação que lhe permita avaliar a conformidade do
tratamento com a presente lei, os riscos para a proteção dos dados pessoais e as respetivas garantias.
5 - Caso considere que o tratamento previsto no n.º 1 viola o disposto na presente lei, especialmente se o
responsável pelo tratamento não tiver identificado ou atenuado de forma suficiente os riscos, a autoridade de
controlo dá orientações por escrito ao responsável pelo tratamento ou ao subcontratante no prazo de seis
semanas a contar da receção do pedido de consulta, sem prejuízo de poder adotar outras medidas da sua
competência.
6 - O prazo previsto no número anterior pode ser prorrogado por um mês, tendo em conta a complexidade
do tratamento em causa, devendo a autoridade de controlo informar o responsável pelo tratamento ou o
subcontratante dessa prorrogação e dos respetivos fundamentos.
Artigo 31.º
Segurança do tratamento
1 - O responsável pelo tratamento e o subcontratante adotam as medidas técnicas e organizativas
apropriadas a fim de assegurarem um nível de segurança adequado ao risco, em particular no que diz respeito
ao tratamento das categorias especiais de dados pessoais referidos no artigo 6.º.
2 - No que respeita ao tratamento automatizado de dados, o responsável pelo tratamento ou o
subcontratante, tendo em conta a avaliação dos riscos, devem aplicar medidas que:
Página 65
22 DE JULHO DE 2019
65
a) Impeçam o acesso de pessoas não autorizadas ao equipamento utilizado para o tratamento (controlo de
acesso ao equipamento);
b) Impeçam que os suportes de dados sejam lidos, copiados, alterados ou retirados sem autorização
(controlo dos suportes de dados);
c) Impeçam a introdução não autorizada de dados pessoais, bem como qualquer operação não autorizada
relativamente a dados pessoais conservados (controlo da conservação);
d) Impeçam que os sistemas de tratamento automatizado sejam utilizados por pessoas não autorizadas
por meio de equipamento de comunicação de dados (controlo dos utilizadores);
e) Assegurem que as pessoas autorizadas a utilizar um sistema de tratamento automatizado só tenham
acesso aos dados pessoais abrangidos pela sua autorização de acesso (controlo do acesso aos dados);
f) Assegurem que possa ser verificado e determinado a que organismos os dados pessoais foram ou
podem ser transmitidos ou facultados utilizando equipamento de comunicação de dados (controlo da
comunicação);
g) Assegurem que possa ser verificado e determinado a posteriori quais os dados pessoais introduzidos
nos sistemas de tratamento automatizado, quando e por quem foram introduzidos (controlo da introdução);
h) Impeçam que, durante as transferências de dados pessoais ou o transporte de suportes de dados, os
dados pessoais possam ser lidos, copiados, alterados ou suprimidos sem autorização (controlo do transporte);
i) Assegurem que os sistemas utilizados possam ser restaurados em caso de interrupção (recuperação);
j) Assegurem que as funções do sistema funcionam, que os erros de funcionamento sejam assinalados
(fiabilidade) e que os dados pessoais conservados não possam ser falseados por funcionamento defeituoso do
sistema (integridade).
3 - O disposto no número anterior é aplicável, com as devidas adaptações, ao tratamento manual de dados
contidos ou destinados a um ficheiro estruturado.
Artigo 32.º
Notificação de uma violação de dados pessoais à autoridade de controlo
1 - Caso se verifique uma violação de dados pessoais, o responsável pelo tratamento notifica a autoridade
de controlo no prazo de 72 horas após ter conhecimento da situação, a menos que a violação não seja
suscetível de resultar num risco para os direitos, liberdades e garantias das pessoas singulares.
2 - Nos casos em que não seja possível efetuar a notificação no prazo de 72 horas, o responsável pelo
tratamento deve indicar os motivos do atraso.
3 - A notificação a que se refere o n.º 1 é confidencial e deve, no mínimo:
a) Descrever a natureza da violação de dados pessoais, incluindo, se possível e adequado, as categorias e
o número aproximado de titulares dos dados afetados e as categorias e o número aproximado de registos de
dados pessoais em causa;
b) Comunicar o nome e os contactos do encarregado da proteção de dados ou de outro ponto de contacto,
para efeitos de prestação de informações adicionais;
c) Descrever as consequências prováveis da violação de dados pessoais;
d) Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação
de dados pessoais, nomeadamente, se for caso disso, para atenuar os seus eventuais efeitos negativos.
4 - Nos casos em que não seja possível serem prestadas em simultâneo, as informações referidas no
número anterior podem ser fornecidas posteriormente à notificação, sem demora injustificada.
5 - O responsável pelo tratamento documenta qualquer violação de dados pessoais, incluindo os factos
com ela relacionados, os seus efeitos e as medidas de reparação adotadas, de modo a permitir à autoridade
de controlo verificar o cumprimento do disposto no presente artigo.
6 - Caso a violação de dados envolva dados pessoais que tenham sido transmitidos pelo ou ao responsável
pelo tratamento de outro Estado-Membro, as informações referidas no n.º 3 são-lhe comunicadas, sem demora
Página 66
II SÉRIE-A — NÚMERO 131
66
injustificada.
7 - Nos casos de subcontratação, o subcontratante notifica o responsável pelo tratamento de qualquer
violação de dados pessoais de que tenha conhecimento, sem demora injustificada.
8 - A notificação prevista nos números anteriores não prejudica a comunicação de incidentes às
autoridades competentes.
Artigo 33.º
Comunicação de uma violação de dados pessoais ao titular dos dados
1 - Caso se verifique uma violação de dados pessoais suscetível de resultar num elevado risco para os
direitos, liberdades e garantias do titular dos dados, o responsável pelo tratamento comunica-lhe a violação,
sem demora injustificada.
2 - A comunicação ao titular dos dados descreve, numa linguagem clara e simples, a natureza da violação
dos dados pessoais e inclui as informações e as medidas referidas nas alíneas b), c) e d) do n.º 3 do artigo
anterior.
3 - A comunicação é dispensada nos casos em que:
a) O responsável pelo tratamento tiver adotado medidas de proteção adequadas, tanto tecnológicas como
organizativas, e estas tiverem sido aplicadas aos dados afetados pela violação de dados pessoais,
designadamente a cifragem;
b) O responsável pelo tratamento tiver tomado medidas subsequentes que assegurem que a concretização
do elevado risco referido no n.º 1 deixou de ser provável; ou
c) Implicar um esforço desproporcionado, devendo, neste caso, o responsável pelo tratamento informar os
titulares dos dados de outra forma igualmente eficaz, nomeadamente através de comunicação pública.
4 - Se o responsável pelo tratamento não tiver comunicado a violação de dados pessoais ao titular dos
dados, a autoridade de controlo, caso considere que da violação de dados pessoais resulta um elevado risco
para os seus direitos, liberdades e garantias, pode exigir ao responsável que proceda a essa comunicação ou
dispensá-la pelos motivos indicados no número anterior.
5 - A comunicação prevista no n.º 1 pode ser adiada, limitada ou omitida sob reserva das condições e pelos
motivos enunciados no n.º 5 do artigo 13.º.
Artigo 34.º
Designação do encarregado da proteção de dados
1 - O responsável pelo tratamento designa um encarregado de proteção de dados para o assistir no
controlo do cumprimento das obrigações decorrentes da presente lei, incluindo no tratamento dos dados
efetuado por sua conta pelo subcontratante.
2 - A obrigação prevista no número anterior não se aplica aos tribunais nem ao Ministério Público, no
exercício das suas competências processuais.
3 - O encarregado da proteção de dados é designado com base nas suas qualidades profissionais, em
especial nos seus conhecimentos especializados no domínio da legislação e das práticas de proteção de
dados e na sua capacidade para desempenhar as funções referidas no artigo seguinte.
4 - Pode ser designado um único encarregado da proteção de dados para várias autoridades competentes,
tendo em conta a sua dimensão e estrutura organizativa.
5 - Sem prejuízo do disposto na alínea b) do n.º 1 do artigo 14.º, o responsável pelo tratamento comunica à
autoridade de controlo os contactos do encarregado da proteção de dados.
Artigo 35.º
Funções do encarregado da proteção de dados
Ao encarregado da proteção de dados compete, designadamente:
Página 67
22 DE JULHO DE 2019
67
a) Informar e aconselhar o responsável pelo tratamento e os trabalhadores que efetuam o tratamento
quanto às obrigações que lhes incumbem por força da presente lei e de outras disposições legais relativas à
proteção de dados pessoais;
b) Fiscalizar o cumprimento da presente lei e de outras disposições legais sobre proteção de dados
pessoais, bem como das orientações do responsável pelo tratamento em matéria de proteção de dados
pessoais, incluindo a repartição de responsabilidades, a sensibilização e a formação do pessoal envolvido nas
operações de tratamento e as auditorias correspondentes;
c) Prestar aconselhamento, quando solicitado, no que respeita à avaliação de impacto e controlar a sua
realização, nos termos do artigo 29.º;
d) Cooperar com a autoridade de controlo;
e) Ser ponto de contacto e apoiar a autoridade de controlo nos assuntos relacionados com o tratamento de
dados, incluindo a consulta prévia a que se refere o artigo 29.º.
Artigo 36.º
Exercício de funções pelo encarregado da proteção de dados
1 - O responsável pelo tratamento assegura que o encarregado da proteção de dados é envolvido, de
forma adequada e em tempo útil, em todas as questões relacionadas com a proteção de dados pessoais.
2 - O responsável pelo tratamento apoia o encarregado da proteção de dados no desempenho das suas
funções, concedendo-lhe acesso aos dados pessoais e às operações de tratamento, e fornecendo-lhe os
recursos necessários para esse efeito e para a atualização dos seus conhecimentos.
3 - O responsável pelo tratamento e o subcontratante asseguram que o encarregado da proteção de dados
não recebe instruções relativamente ao exercício das suas funções e que não pode ser destituído nem
penalizado pelo facto de as exercer.
4 - O encarregado da proteção de dados não está impedido de exercer outras funções, desde que o
responsável pelo tratamento ou o subcontratante assegurem que do seu exercício não resulta um conflito de
interesses.
CAPÍTULO V
Transferências de dados pessoais para países terceiros ou para organizações internacionais
Artigo 37.º
Princípios gerais aplicáveis às transferências de dados pessoais
1 - Sem prejuízo de outras condições exigidas na lei, as autoridades competentes só podem transferir
dados pessoais para um país terceiro ou para uma organização internacional, inclusivamente dados que se
destinem a transferências ulteriores para outro país terceiro ou para outra organização internacional, se:
a) A transferência for necessária para a prossecução das finalidades previstas no artigo 1.º;
b) Os dados pessoais forem transferidos para um responsável pelo tratamento no país terceiro ou na
organização internacional com competência para os efeitos previstos no artigo 1.º, sem prejuízo do disposto no
artigo 41.º;
c) No caso de os dados pessoais terem sido transmitidos ou disponibilizados por outro Estado-Membro,
esse Estado tiver dado o seu consentimento prévio à transferência, sem prejuízo do disposto no número
seguinte;
d) Tiver sido adotada uma decisão de adequação, nos termos do disposto no artigo 38.º, ou tiverem sido
apresentadas garantias adequadas, nos termos do artigo 39.º, ou forem aplicáveis as derrogações previstas
no artigo 40.º;
e) No caso de uma transferência ulterior para um país terceiro ou para uma organização internacional, a
autoridade competente que realizou a transferência inicial ou outra autoridade competente do mesmo Estado-
Página 68
II SÉRIE-A — NÚMERO 131
68
Membro autorizar a transferência ulterior, após ter em conta todos os fatores pertinentes, nomeadamente a
gravidade da infração penal, a finalidade para que os dados pessoais foram inicialmente transferidos e o nível
de proteção no país terceiro ou na organização internacional para os quais os dados pessoais forem
ulteriormente transferidos; e
f) A transferência não comprometer o nível de proteção das pessoas assegurado pela presente lei.
2 - As transferências sem o consentimento prévio a que alude a alínea c) do número anterior apenas são
permitidas se forem necessárias para prevenir uma ameaça imediata e grave à segurança pública de um
Estado-Membro ou de um país terceiro, ou aos interesses essenciais de um Estado-Membro, e o
consentimento prévio não puder ser obtido em tempo útil.
3 - No caso previsto no número anterior, a autoridade responsável por dar o consentimento é informada
sem demora.
Artigo 38.º
Transferências com base numa decisão de adequação
1 - A transferência de dados pessoais para um país terceiro ou para uma organização internacional pode
ser efetuada com base numa decisão de adequação da Comissão Europeia que determine que o país terceiro,
território ou um ou mais setores específicos desse país terceiro, ou a organização internacional em causa,
asseguram um nível de proteção adequado.
2 - A transferência de dados pessoais com base numa decisão de adequação dispensa uma autorização
específica.
3 - Os atos da Comissão Europeia que revoguem, alterem ou suspendam a decisão de adequação não
prejudicam as transferências de dados pessoais para o país terceiro, território ou setor específico do país
terceiro, ou para a organização internacional em causa, efetuadas nos termos dos artigos 39.º e 40.º.
Artigo 39.º
Transferências sujeitas a garantias adequadas
1 - Na falta de decisão de adequação, ou nos casos de revogação ou suspensão de decisões de
adequação, os dados pessoais podem ser transferidos para um país terceiro ou para uma organização
internacional se:
a) Tiverem sido apresentadas garantias adequadas no que diz respeito à proteção de dados pessoais
mediante um instrumento juridicamente vinculativo; ou
b) O responsável pelo tratamento tiver avaliado todas as circunstâncias inerentes à transferência de dados
pessoais e concluído que existem garantias adequadas no que diz respeito à proteção desses dados.
2 - O responsável pelo tratamento informa a autoridade de controlo sobre as categorias de transferências
abrangidas pela alínea b) do número anterior.
3 - As transferências baseadas na alínea b) do n.º 1 são documentadas, devendo o responsável pelo
tratamento disponibilizar à autoridade de controlo, a pedido desta, toda a documentação pertinente, incluindo
informações sobre a data e a hora da transferência, a autoridade competente que as recebe, a justificação da
transferência e os dados pessoais transferidos.
Artigo 40.º
Derrogações aplicáveis em situações específicas
1 - Na falta, revogação ou suspensão de uma decisão de adequação ou de garantias adequadas nos
termos dos artigos anteriores, a transferência ou as categorias de transferências de dados pessoais para um
país terceiro ou para uma organização internacional só podem ser efetuadas se forem necessárias:
Página 69
22 DE JULHO DE 2019
69
a) Para proteger os interesses vitais do titular dos dados ou de outra pessoa;
b) Para salvaguardar os legítimos interesses do titular dos dados;
c) Para prevenir uma ameaça imediata e grave contra a segurança pública de um Estado-Membro ou de
um país terceiro;
d) Em casos específicos, para a prossecução das finalidades estabelecidas no artigo 1.º; ou
e) Em casos específicos, para declarar, exercer ou defender, no âmbito de um processo judicial, um direito
relacionado com as finalidades estabelecidas no artigo 1.º.
2 - Ainda que se verifiquem os fundamentos previstos na alínea d) ou na alínea e) do número anterior, os
dados pessoais não são transferidos se a autoridade competente para proceder à transferência considerar que
os direitos, liberdades e garantias fundamentais do titular dos dados em causa prevalecem sobre as
finalidades que motivariam a transferência por interesse público.
3 - As transferências de dados efetuadas nos termos do n.º 1 são limitadas aos dados estritamente
necessários para a finalidade prosseguida.
4 - O responsável pelo tratamento documenta a informação pertinente referente às transferências
realizadas ao abrigo do n.º 1, devendo disponibilizar a documentação à autoridade de controlo, a pedido desta,
incluindo informações sobre a data e a hora da transferência, a autoridade competente que as recebe, a
justificação da transferência e os dados pessoais transferidos.
Artigo 41.º
Transferências de dados pessoais para destinatários estabelecidos em países terceiros
1 - Em derrogação do disposto na alínea b) do n.º 1 do artigo 37.º e sem prejuízo de um acordo
internacional tal como definido no número seguinte, uma autoridade pública com poderes de prevenção,
investigação, deteção ou repressão de infrações penais ou de execução de sanções penais, incluindo a
salvaguarda e a prevenção de ameaças à segurança pública, pode, em casos específicos, transferir dados
pessoais diretamente para destinatários estabelecidos em países terceiros, desde que, respeitadas as
disposições da presente lei, estejam preenchidas as seguintes condições cumulativas:
a) A transferência ser estritamente necessária a uma função desempenhada pela autoridade competente
que efetua a transferência e prevista por lei, tendo em vista as finalidades indicadas no artigo 1.º;
b) A autoridade competente que efetua a transferência considerar que os direitos, liberdades e garantias
fundamentais do titular dos dados em causa não prevalecem sobre as finalidades que exigem a transferência
no caso em apreço;
c) A autoridade competente que efetua a transferência considerar que a transferência para uma autoridade
competente para os efeitos referidos no artigo 1.º, no país terceiro, se revela ineficaz ou desadequada,
nomeadamente por não ser possível efetuá-la em tempo útil;
d) A autoridade competente para os efeitos referidos no artigo 1.º, no país terceiro, ser informada sem
demora injustificada, a menos que tal se revele ineficaz ou inadequado; e
e) A autoridade competente que efetua a transferência informar o destinatário da finalidade ou das
finalidades específicas para as quais deve tratar os dados pessoais, desde que o tratamento seja necessário.
2 - Para os efeitos previstos no número anterior, por acordo internacional entende-se um acordo
internacional bilateral ou multilateral em vigor entre os Estados-Membros e países terceiros no domínio da
cooperação judiciária em matéria penal e da cooperação policial.
3 - A autoridade competente que efetuar a transferência informa a autoridade de controlo sobre as
transferências abrangidas pelo presente artigo.
4 - As transferências efetuadas nos termos do presente artigo devem ser documentadas pelo responsável
pelo tratamento.
Página 70
II SÉRIE-A — NÚMERO 131
70
Artigo 42.º
Cooperação internacional no domínio da proteção de dados pessoais
Em relação a países terceiros e a organizações internacionais, os responsáveis pelo tratamento adotam as
medidas necessárias destinadas a:
a) Estabelecer procedimentos internacionais de cooperação que visem facilitar a aplicação efetiva da
legislação em matéria de proteção de dados pessoais;
b) Prestar assistência mútua no domínio da aplicação da legislação de proteção de dados pessoais,
nomeadamente através da notificação, da transmissão de queixas, da assistência na investigação e do
intercâmbio de informações, sob reserva das garantias adequadas para a proteção dos dados pessoais e dos
outros direitos e liberdades fundamentais;
c) Associar as partes interessadas aos debates e às atividades que visem promover a cooperação
internacional no âmbito da aplicação da legislação relativa à proteção de dados pessoais;
d) Promover o intercâmbio e a documentação da legislação e das práticas em matéria de proteção de
dados pessoais, inclusivamente sobre conflitos jurisdicionais com países terceiros.
CAPÍTULO VI
Autoridade de controlo
Artigo 43.º
Autoridade de controlo
1 - Incumbe à CNPD a garantia e fiscalização do cumprimento da presente lei.
2 - O disposto do número anterior não se aplica ao tratamento de dados pessoais efetuado pelos tribunais e
pelo Ministério Público no exercício das suas competências processuais.
3 - Para efeitos do n.º 1, a CNPD integra um magistrado judicial, designado pelo Conselho Superior da
Magistratura, e um magistrado do Ministério Público, designado pelo Conselho Superior do Ministério Público.
4 - Cabe exclusivamente aos magistrados a que se refere o número anterior, sem prejuízo das
competências do presidente da CNPD, o exercício das atribuições da CNPD que impliquem o acesso a dados
objeto de tratamento ou aos registos cronológicos das operações de tratamento.
5 - A designação dos membros da CNPD a que se refere o n.º 3 é efetuada em comissão de serviço.
Artigo 44.º
Atribuições
1 - No exercício das funções a que se refere o n.º 1 do artigo anterior, compete à CNPD:
a) Fiscalizar o cumprimento e fazer aplicar o disposto na presente lei;
b) Promover a sensibilização e a compreensão do público relativamente aos riscos, às regras, às garantias
e aos direitos associados ao tratamento de dados pessoais;
c) Propor e emitir parecer sobre medidas legislativas e administrativas relacionadas com a proteção dos
direitos e liberdades das pessoas em matéria de tratamento de dados pessoais;
d) Promover a sensibilização dos responsáveis pelo tratamento e dos subcontratantes para as obrigações
que lhes incumbem nos termos da presente lei;
e) Prestar informações aos titulares de dados, se tal lhe for solicitado, sobre o exercício dos seus direitos
nos termos da presente lei;
f) Tratar e decidir as queixas apresentadas pelos titulares dos dados ou por um organismo, organização
ou associação sem fins lucrativos, nos termos dos artigos 47.º e 50.º, e investigar, na medida do necessário, o
conteúdo da queixa, informando o seu autor do andamento e do resultado da investigação num prazo
razoável, especialmente se forem necessárias operações de investigação ou de coordenação complementares
Página 71
22 DE JULHO DE 2019
71
com outra autoridade de controlo;
g) Verificar a licitude do tratamento e, num prazo razoável, informar o titular dos dados do resultado da
verificação, nos termos do disposto no artigo 18.º, ou dos motivos que impediram a sua realização;
h) Cooperar, nomeadamente partilhando informações, e prestar assistência mútua a outras autoridades de
controlo, tendo em vista assegurar a coerência da aplicação e da execução da presente lei;
i) Conduzir investigações sobre a aplicação da presente lei, nomeadamente com base em informações
recebidas de outra autoridade de controlo ou de outra autoridade pública;
j) Acompanhar os desenvolvimentos relevantes, em particular ao nível da evolução das tecnologias da
informação e comunicação, na medida em que tenham incidência na proteção de dados pessoais;
k) Prestar aconselhamento sobre as operações de tratamento referidas no artigo 30.º;
l) Contribuir para as atividades do Comité criado pelo Regulamento (UE) 2016/679 do Parlamento
Europeu e do Conselho, de 27 de abril de 2016, no âmbito das atribuições a que se refere o artigo 51.º da
Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.
2 - A CNPD facilita a apresentação de queixas previstas na alínea f) do n.º 1, nomeadamente
disponibilizando formulários para preenchimento e apresentação eletrónica, sem excluir outros meios de
comunicação.
3 - O exercício das atribuições da CNPD é gratuito para o titular de dados e para o encarregado da
proteção de dados.
4 - Nos casos em que o pedido do titular dos dados seja manifestamente infundado ou excessivo,
designadamente devido ao seu caráter repetitivo, o responsável pelo tratamento, mediante decisão
fundamentada, pode:
a) Exigir o pagamento de uma taxa de montante a fixar por portaria do membro do Governo responsável
pela área da justiça, tendo em conta os custos administrativos associados; ou
b) Recusar dar seguimento ao pedido.
5 - Nos casos previstos no número anterior, a decisão da CNPD deve ser devidamente fundamentada e
demonstrar o caráter manifestamente infundado ou excessivo do pedido.
Artigo 45.º
Poderes
1 - No exercício das suas atribuições, a CNPD detém poderes de investigação e de correção.
2 - Os poderes de investigação a que se refere o número anterior incluem o poder de obter do responsável
pelo tratamento de dados e do subcontratante autorização de acesso a todos os dados pessoais objeto de
tratamento e a todas as informações necessárias ao exercício das suas atribuições.
3 - No exercício dos poderes de correção, a CNPD pode:
a) Advertir o responsável pelo tratamento de dados ou o subcontratante de que as operações de
tratamento previstas são suscetíveis de violar o disposto na presente lei;
b) Ordenar ao responsável pelo tratamento de dados ou ao subcontratante que conforme as operações de
tratamento às disposições da presente lei, se necessário de determinada forma e num prazo determinado, e,
em especial, ordenar a retificação ou o apagamento dos dados pessoais ou a limitação de tratamento nos
termos do artigo 17.º;
c) Impor uma limitação temporária ou definitiva ao tratamento.
4 - O exercício dos poderes conferidos à autoridade de controlo nos termos dos números anteriores está
sujeito a garantias processuais adequadas nos termos da lei, incluindo o direito à ação judicial e a um
processo justo e equitativo.
5 - A CNPD comunica as violações das disposições da presente lei às autoridades judiciárias e aos órgãos
com competência disciplinar e, se adequado, pode intentar ações judiciais ou intervir em processos judiciais,
Página 72
II SÉRIE-A — NÚMERO 131
72
nos termos da lei.
6 - As comunicações de violações da presente lei ou com elas relacionadas estão sujeitas a sigilo.
Artigo 46.º
Relatório de atividades
1 - A CNPD elabora um relatório anual de atividades sobre a fiscalização da aplicação e do cumprimento da
presente lei, o qual pode incluir uma lista dos tipos de violações notificadas e dos tipos de sanções aplicadas,
devendo nas matérias respeitantes aos tribunais e ao Ministério Público ser acautelada a necessária reserva.
2 - O relatório é apresentado à Assembleia da República e enviado ao membro do Governo responsável
pela área da justiça, ao Conselho Superior da Magistratura, à Procuradoria-Geral da República e aos demais
organismos e entidades responsáveis pela gestão de dados, nos termos da Lei n.º 34/2009, de 14 de julho, na
sua redação atual.
3 - O relatório é disponibilizado ao público, à Comissão Europeia e ao Comité a que se refere a alínea l) do
n.º 1 do artigo 44.º.
CAPÍTULO VII
Meios de tutela e responsabilidade
Artigo 47.º
Direito de apresentar queixa à autoridade de controlo
1 - Sem prejuízo de outros meios de tutela legalmente previstos, o titular dos dados tem o direito de
apresentar queixa à autoridade de controlo, com o fundamento de que o tratamento dos seus dados pessoais
viola disposições da presente lei.
2 - Se a queixa não for apresentada à autoridade de controlo competente nos termos do n.º 1 do artigo 43.º,
a autoridade de controlo a que é apresentada transmite-a, sem demora injustificada, à autoridade de controlo
competente, informando o titular dos dados dessa transmissão e prestando-lhe, caso este o solicite,
assistência complementar.
3 - O titular dos dados é informado pela autoridade de controlo do andamento e do resultado da queixa,
nomeadamente da possibilidade de intentar ação judicial nos termos do artigo seguinte.
Artigo 48.º
Direito de intentar ação judicial contra a autoridade de controlo
1 - Sem prejuízo de outros meios de tutela legalmente previstos, qualquer pessoa singular ou coletiva tem o
direito de intentar uma ação judicial contra qualquer decisão juridicamente vinculativa que lhe diga respeito
tomada pela autoridade de controlo.
2 - Os titulares dos dados têm o direito de intentar ação judicial nos casos em que a autoridade de controlo
não apreciar a queixa apresentada ou não informar o titular dos dados, no prazo de três meses, do andamento
ou do resultado da queixa apresentada.
Artigo 49.º
Direito de intentar ação judicial contra um responsável pelo tratamento ou um subcontratante
Sem prejuízo de outros meios de tutela legalmente previstos, nomeadamente do direito de apresentar
queixa à autoridade de controlo, os titulares dos dados têm o direito de intentar ação judicial contra o
responsável pelo tratamento ou contra o subcontratante com fundamento em violação dos direitos conferidos
pela presente lei.
Página 73
22 DE JULHO DE 2019
73
Artigo 50.º
Representação dos titulares dos dados
O titular dos dados tem o direito de mandatar um organismo, organização ou associação sem fins
lucrativos, devidamente constituído nos termos da lei, cujos objetivos estatutários sejam de interesse público e
cuja atividade abranja a proteção dos direitos e liberdades dos titulares de dados no que respeita à proteção
dos seus dados pessoais, para apresentar queixa ou intentar ação judicial em seu nome, ao abrigo dos artigos
anteriores, sem prejuízo da obrigatoriedade de representação por advogado, nos termos da legislação
aplicável.
Artigo 51.º
Direito de indemnização
Qualquer pessoa que tenha sofrido danos, patrimoniais ou não patrimoniais, causados por uma violação
das disposições da presente lei tem direito a receber do responsável pelo tratamento ou de qualquer outra
autoridade competente uma indemnização pelos danos sofridos, nos termos do regime da responsabilidade
civil extracontratual do Estado e demais entidades públicas.
CAPÍTULO VIII
Sanções
SECÇÃO I
Contraordenações
Artigo 52.º
Contraordenações
1 - Sem prejuízo do regime sancionatório estabelecido na Lei n.º [PPL 120/XIII], aplicável por
incumprimento das obrigações previstas no Regulamento (UE) 2016/679 do Parlamento Europeu e do
Conselho, de 27 de abril de 2016, no âmbito de aplicação da presente lei constituem contraordenações muito
graves as seguintes condutas:
a) O recurso a outro subcontratante sem autorização prévia do responsável pelo tratamento de dados
pessoais, em violação do n.º 2 do artigo 23.º;
b) O recurso a outro subcontratante em oposição à vontade manifestada pelo responsável pelo tratamento
de dados, ainda que exista a autorização geral a que se refere o n.º 3 do artigo 23.º;
c) O processamento dos dados pessoais em violação ou para além das instruções do responsável pelo
tratamento de dados, em incumprimento da obrigação prevista na alínea a) do n.º 5 do artigo 23.º;
d) O incumprimento da obrigação de eliminação de forma definitiva ou de devolução dos dados pessoais
ao responsável, consoante a escolha deste, após a conclusão dos serviços de processamento dos dados,
prevista na alínea d) do n.º 5 do artigo 23.º;
e) O incumprimento da obrigação de conservação dos registos cronológicos previstos no n.º 1 do artigo
27.º;
f) A conservação de registos cronológicos que não abranjam a totalidade das operações de tratamento
previstas no n.º 1 do artigo 27.º ou que não cumpram os requisitos previstos nos n.os 2 e 6 do mesmo artigo;
g) A utilização dos registos cronológicos para efeitos não previstos no n.º 3 do artigo 27.º;
h) O incumprimento da obrigação de adoção de medidas técnicas e organizativas adequadas à proteção
dos dados pessoais, em violação das exigências previstas nos n.os 2 e 3 do artigo 31.º.
2 - Sem prejuízo do regime sancionatório estabelecido pela Lei n.º [PL 120/XIII], aplicável por
incumprimento das obrigações previstas no Regulamento (UE) 2016/679 do Parlamento Europeu e do
Página 74
II SÉRIE-A — NÚMERO 131
74
Conselho, de 27 de abril de 2016, no âmbito de aplicação da presente lei constituem contraordenações graves
as seguintes condutas:
a) O incumprimento da obrigação de informar previamente o responsável pelo tratamento de dados das
alterações à contratação de outros subcontratantes, prevista no n.º 3 do artigo 23.º;
b) O incumprimento da obrigação de notificar o responsável pelo tratamento, sem demora justificada, em
caso de violação de dados pessoais, prevista no n.º 7 do artigo 32.º;
c) O incumprimento da obrigação de conservar um registo de atividades ou a conservação de um registo
de atividades que não cumpra a totalidade das exigências previstas nos n.os 3 e 4 do artigo 26.º.
3 - A prática das contraordenações previstas no n.º 1 é punida com coima:
a) De 5000 € a 20 000 000 € ou 4% do volume de negócios anual, a nível mundial, conforme o que for
mais elevado, tratando-se de grande empresa;
b) De 2000 € a 2 000 000 € ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais
elevado, tratando-se de pequena e média empresa;
c) De 1000 € a 500 000 €, tratando-se de pessoa singular.
4 - A prática das contraordenações previstas no n.º 2 é punida com coima:
a) De 2500 € a 10 000 000 € ou 2% do volume de negócios anual, a nível mundial, conforme o que for
mais elevado, tratando-se de grande empresa;
b) De 1000 € a 1 000 000 € ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais
elevado, tratando-se de pequena e média empresa;
c) De 500 € a 250 000 €, tratando-se de pessoa singular.
5 - O disposto nos números anteriores aplica-se de igual modo às entidades públicas e privadas, sem
prejuízo de as entidades públicas, mediante pedido devidamente fundamentado, poderem solicitar à CNPD a
dispensa da aplicação de coimas durante o prazo de três anos a contar da entrada em vigor da presente lei.
SECÇÃO II
Crimes
Artigo 53.º
Acesso indevido aos dados
1 - Quem, sem a devida autorização ou justificação, aceder, por qualquer modo, a dados pessoais tratados
ao abrigo da presente lei, é punido com pena de prisão até um ano ou com pena de multa até 120 dias.
2 - A pena é agravada para o dobro nos seus limites quando o acesso:
a) For conseguido através de violação de regras técnicas de segurança;
b) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial; ou
c) Tiver prejudicado inquéritos, investigações, processos judiciais ou a execução de sanções penais.
Artigo 54.º
Desvio de dados
1 - Quem copiar, subtrair, ceder ou transferir, a título oneroso ou gratuito, dados pessoais tratados ao abrigo
da presente lei, sem previsão legal ou consentimento, é punido com pena de prisão até 2 anos ou com pena
de multa até 240 dias.
2 - A pena é agravada para o dobro nos seus limites quando a conduta:
Página 75
22 DE JULHO DE 2019
75
a) For conseguida através de violação de regras técnicas de segurança;
b) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial; ou
c) Tiver prejudicado inquéritos, investigações, processos judiciais ou a execução de sanções penais.
Artigo 55.º
Utilização de dados de forma incompatível com a finalidade da recolha
Quem utilizar dados pessoais tratados ao abrigo da presente lei de forma incompatível com a finalidade
determinante da respetiva recolha é punido com pena de prisão até 2 anos ou com pena de multa até 240
dias.
Artigo 56.º
Interconexão ilegal de dados
Quem, intencionalmente, promover ou efetuar uma interconexão ilegal de dados pessoais tratados ao
abrigo da presente lei, é punido com pena de prisão até 2 anos ou com pena de multa até 240 dias.
Artigo 57.º
Viciação ou destruição de dados
1 - Quem, sem a devida autorização ou justificação, apagar, destruir, danificar, ocultar, suprimir ou modificar
dados pessoais tratados ao abrigo da presente lei, tornando-os inutilizáveis ou afetando o seu potencial de
utilização, é punido com pena de prisão até 2 anos ou com pena de multa até 240 dias.
2 - A pena é agravada para o dobro nos seus limites se o dano produzido for particularmente grave.
3 - Nas situações previstas nos números anteriores, se o agente atuar com negligência, é punido:
a) Com pena de prisão até 1 ano ou com pena de multa até 120 dias, no caso previsto no n.º 1;
b) Com pena de prisão até 2 anos ou multa até 240 dias, no caso previsto no n.º 2.
Artigo 58.º
Violação do dever de sigilo
1 - Quem, obrigado a sigilo profissional nos termos da lei, sem justa causa e sem o devido consentimento,
revelar ou divulgar, no todo ou em parte, dados pessoais tratados ao abrigo da presente lei, é punido com
pena de prisão até 2 anos ou com pena de multa até 240 dias.
2 - A pena é agravada para o dobro nos seus limites se o agente:
a) For funcionário ou equiparado, nos termos da lei penal, advogado ou solicitador;
b) For encarregado de proteção de dados;
c) For determinado pela intenção de obter qualquer vantagem patrimonial ou outro benefício ilegítimo;
d) Puser em perigo a reputação, a honra ou a intimidade da vida privada de terceiros; ou
e) Tiver prejudicado inquéritos, investigações, processos judiciais ou a execução de sanções penais.
3 - A negligência é punível com pena de prisão até 6 meses ou com pena de multa até 120 dias.
Artigo 59.º
Desobediência qualificada
1 - Quem não cumprir as obrigações previstas na presente lei, depois de ultrapassado o prazo que tiver
sido fixado pela autoridade de controlo para o respetivo cumprimento é punido com a pena correspondente ao
crime de desobediência qualificada.
2 - Incorre na mesma pena do número anterior quem, depois de notificado:
Página 76
II SÉRIE-A — NÚMERO 131
76
a) Não disponibilizar os registos cronológicos à CNPD, nos termos do n.º 4 do artigo 27.º;
b) Recusar, sem justa causa, a colaboração que concretamente lhe for exigida nos termos do artigo 28.º;
c) Recusar o acesso previsto no n.º 2 do artigo 45.º;
d) Não cumprir ordem dada nos termos da alínea b) do n.º 3 do artigo 45.º, em especial não proceder ao
apagamento ou retificação de dados pessoais;
e) Não respeitar a imposição de limitação temporária ou definitiva ao tratamento de dados pessoais, nos
termos da alínea c) do n.º 3 do artigo 45.º.
Artigo 60.º
Inserção de dados falsos
1 - Quem inserir ou facilitar a inserção de dados pessoais falsos, com a intenção de obter vantagem
indevida para si ou para terceiro, ou para causar prejuízo, é punido com pena de prisão até 2 anos ou com
pena de multa até 240 dias.
2 - A pena é agravada para o dobro nos seus limites se da inserção referida no número anterior resultar um
prejuízo efetivo.
Artigo 61.º
Punibilidade da tentativa
Nos crimes previstos no presente capítulo, a tentativa é sempre punível.
Artigo 62.º
Responsabilidade das pessoas coletivas
As pessoas coletivas e entidades equiparadas, com exceção do Estado, de pessoas coletivas no exercício
de prerrogativas de poder público e de organizações de direito internacional público, são responsáveis pelos
crimes previstos na presente secção, nos termos do artigo 11.º do Código Penal.
SECÇÃO III
Disposições comuns
Artigo 63.º
Concurso de infrações
1 - Se o mesmo facto constituir simultaneamente crime e contraordenação, o agente é sempre punido a
título de crime.
2 - Quando se verifique concurso de crime e contraordenação, ou quando, pelo mesmo facto, uma pessoa
deva responder a título de crime e outra a título de contraordenação, o processamento da contraordenação
cabe às autoridades competentes para o processo criminal, nos termos do regime geral do ilícito de mera
ordenação social.
Artigo 64.º
Pena acessória
Conjuntamente com as penas previstas no presente capítulo, podem ser aplicadas as sanções acessórias
previstas no artigo 56.º da Lei n.º [PPL 120/XIII].
Artigo 65.º
Aplicabilidade de outros regimes sancionatórios
1 - O disposto no presente capítulo não prejudica a aplicação dos artigos 37.º a 56.º da Lei n.º [PPL
120/XIII], ou das disposições do Código Penal, se de tal aplicação resultar, em concreto, uma sanção mais
Página 77
22 DE JULHO DE 2019
77
grave.
2 - O disposto no presente capítulo não prejudica a aplicação da Lei n.º 109/2009, de 15 de setembro.
Artigo 66.º
Responsabilidade civil e disciplinar
O disposto no presente capítulo não prejudica a efetivação da responsabilidade civil nem da
responsabilidade disciplinar.
CAPÍTULO IX
Disposições finais e transitórias
Artigo 67.º
Relação com outros atos jurídicos da União Europeia e acordos internacionais em vigor
1 - As disposições específicas de proteção de dados pessoais previstas em atos jurídicos da União
Europeia adotados antes de 6 de maio de 2016 no domínio da cooperação judiciária em matéria penal e da
cooperação policial, que regulem o tratamento entre os Estados-Membros e o acesso das autoridades
designadas dos Estados-Membros aos sistemas de informação criados por força dos Tratados, mantêm-se
inalteradas.
2 - Os acordos internacionais que impliquem a transferência de dados pessoais para países terceiros ou
para organizações internacionais, celebrados pelo Estado Português antes de 6 de maio de 2016, e que sejam
conformes com o direito da União Europeia aplicável antes dessa data, continuam a vigorar até serem
alterados, substituídos ou revogados.
3 - Todas as referências feitas à Lei da Proteção de Dados Pessoais, aprovada pela Lei n.º 67/98, de 26 de
outubro, consideram-se feitas para o regime da presente lei, quando disserem respeito à proteção das
pessoas singulares relativamente ao tratamento de dados pessoais pelas autoridades competentes para
efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções
penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública.
Artigo 68.º
Dados referentes ao sistema judiciário
1 – O tratamento de dados constante de processo penal, de decisão judicial ou do registo criminal é
regulado nos termos da lei processual penal.
2 – Ao tratamento de dados referentes ao sistema judicial é aplicável o regime jurídico próprio, constante
da Lei n.º 34/2009, de 14 de julho.
Artigo 69.º
Sistema integrado de informação criminal
O disposto na presente lei não implica qualquer restrição ou limitação na partilha e intercâmbio de dados
entre os órgãos de polícia criminal e destes com as autoridades judiciárias, no âmbito do dever de cooperação
estabelecido na lei de organização da investigação criminal, designadamente do sistema integrado de
informação criminal instituído nos termos da Lei n.º 73/2009, de 12 de agosto, alterada pela Lei n.º 38/2015, de
11 de maio.
Artigo 70.º
Regime transitório
1 - A conformação dos sistemas de tratamento automatizado criados antes de 6 de maio de 2016 com os
Página 78
II SÉRIE-A — NÚMERO 131
78
requisitos previstos no artigo 27.º deve ser assegurada pelos responsáveis pelo tratamento logo que possível,
até 6 de maio de 2023, ou, quando o cumprimento deste prazo cause graves dificuldades ao funcionamento de
um sistema de tratamento automatizado, até 6 de maio de 2026.
2 - Sem prejuízo do disposto no número anterior, o responsável pelo tratamento de dados deve dispor de
métodos eficazes para, até ao final do prazo de conformação, poder demonstrar a licitude do tratamento de
dados, permitir o autocontrolo e garantir a integridade e segurança dos dados, tais como registos cronológicos
ou outros.
Artigo 71.º
Entrada em vigor
A presente lei entra em vigor no dia seguinte ao da sua publicação.
Aprovado em 14 de junho de 2019.
O Presidente da Assembleia da República, Eduardo Ferro Rodrigues.
———
DECRETO DA ASSEMBLEIA DA REPÚBLICA N.º 337/XIII
REGULA O EXERCÍCIO DA PROFISSÃO DE CRIMINÓLOGO
A Assembleia da República decreta, nos termos da alínea c) do artigo 161.º da Constituição, o seguinte:
CAPÍTULO I
Disposições gerais
Artigo 1.º
Objeto
A presente lei procede à definição dos princípios gerais relativos ao exercício profissional dos criminólogos,
reconhecendo e regulamentando a profissão de «criminólogo».
Artigo 2.º
Âmbito
1 – São abrangidos pelo presente regime todos os criminólogos que exerçam a sua atividade no território
nacional, em regime de trabalho subordinado ou de forma independente.
2 – O exercício das funções de criminólogo em regime profissional depende da criação da profissão de
criminólogo.
3 – O presente regime é vinculativo para todas as entidades empregadoras dos setores público, privado,
cooperativo e social.
Artigo 3.º
Conceitos e competências
1 – Para os devidos efeitos, considera-se:
Página 79
22 DE JULHO DE 2019
79
a) «Criminologia» a profissão que, na área das ciências sociais, analisa e estuda o fenómeno criminal,
presta apoio às instituições de controlo e colabora na realização da prova pericial, entre outros atos de
natureza análoga;
b) «Criminólogo» o profissional habilitado com uma licenciatura em Criminologia, legalmente reconhecida.
2 – No exercício das suas funções, os criminólogos:
a) Estudam os fenómenos criminógenos;
b) Analisam os métodos utilizados no cometimento do crime, com o propósito de auxiliar à descoberta do
crime;
c) Estudam os fenómenos e causas da delinquência, da vitimação, da criminalidade e da sua relação com a
segurança e do alarme social da reação social ao crime;
d) Prestam apoio às autoridades judiciárias na produção da prova pericial requerida ao abrigo do n.º 6 do
artigo 159.º e do n.º 2 do artigo 160.º do Código de Processo Penal, quando solicitados;
e) Desempenham quaisquer outras funções, no âmbito da sua formação, para as quais a lei lhes atribua
competência.
CAPÍTULO II
Exercício da profissão
Artigo 4.º
Funções dos criminólogos
1 – São funções dos criminólogos:
a) Análise criminológica;
b) Investigação criminal;
c) Conceção e execução de programas de prevenção da criminalidade e de avaliação do risco de
reincidência;
d) Intervenção comunitária e conceção de políticas sociais e penais;
e) Investigação científica e ensino, no âmbito da sua formação.
2 – Para efeitos do número anterior, os criminólogos podem exercer a sua atividade profissional,
nomeadamente, em:
a) Tribunais;
b) Gabinetes de mediação;
c) Estabelecimentos prisionais;
d) Serviços de reinserção social;
e) Avaliação de risco e competências do ofensor;
f) Centros educativos para menores delinquentes;
g) Centros e projetos de prevenção e tratamento da toxicodependência;
h) Órgãos de polícia criminal;
i) Equipas de gestão e local de crime;
j) Laboratórios de polícia técnico-científica;
k) Serviços de inspeção;
l) Serviços de informações;
m) Comissões de proteção de crianças e jovens;
n) Centros de acolhimento e de assistência a vítimas;
o) Autarquias locais;
Página 80
II SÉRIE-A — NÚMERO 131
80
p) Polícia municipal;
q) Forças e serviços de segurança;
r) Empresas de segurança privada;
s) Projetos de investigação científica;
t) Universidades.
3 – As competências atribuídas na presente lei não podem prejudicar as competências próprias de outros
profissionais definidas por lei.
Artigo 5.º
Modalidades do exercício da profissão
1 – A profissão de criminólogo pode ser exercida por conta própria, quer em nome individual quer em
sociedade, ou por conta de outrem, tanto no setor público como no setor privado.
2 – O exercício da atividade profissional por conta de outrem não afeta a autonomia técnica nem dispensa
o cumprimento dos deveres deontológicos.
Artigo 6.º
Deontologia profissional
Constituem princípios de conduta profissional dos criminólogos:
a) Pautar a sua ação, nas diferentes áreas de atuação profissional, pelos princípios éticos que regem a sua
atividade;
b) Cumprir e fazer cumprir todas as normas legais e regulamentares aplicáveis à profissão;
c) Atuar com independência e isenção profissional;
d) Respeitar e defender o respeito pela confidencialidade;
e) Respeitar as incompatibilidades e os impedimentos legais.
CAPÍTULO III
Disposições transitórias e finais
Artigo 7.º
Profissão de criminólogo
A profissão de criminólogo é criada por lei.
Artigo 8.º
Regulamentação
O Governo regulamenta, nos 60 dias seguintes à publicação desta lei, as matérias de foro disciplinar a que
ficam sujeitos os profissionais da criminologia.
Artigo 9.º
Reconhecimento da profissão de criminólogo
As entidades fornecedoras de dados estatísticos, 30 dias após a publicação da presente lei, tomam as
diligências necessárias ao reconhecimento da profissão de criminólogo.
Página 81
22 DE JULHO DE 2019
81
Artigo 10.º
Entrada em vigor
A presente lei entra em vigor 30 dias após a sua publicação.
Aprovado em 7 de junho de 2019.
O Presidente da Assembleia da República, Eduardo Ferro Rodrigues.
———
DECRETO DA ASSEMBLEIA DA REPÚBLICA N.º 339/XIII
ASSEGURA A EXECUÇÃO, NA ORDEM JURÍDICA NACIONAL, DO REGULAMENTO (UE) 2016/679 DO
PARLAMENTO E DO CONSELHO, DE 27 DE ABRIL DE 2016, RELATIVO À PROTEÇÃO DAS PESSOAS
SINGULARES NO QUE DIZ RESPEITO AO TRATAMENTO DE DADOS PESSOAIS E À LIVRE
CIRCULAÇÃO DESSES DADOS
A Assembleia da República decreta, nos termos da alínea c) do artigo 161.º da Constituição, o seguinte:
CAPÍTULO I
Disposições gerais
Artigo 1.º
Objeto
A presente lei assegura a execução, na ordem jurídica interna, do Regulamento (UE) 2016/679 do
Parlamento Europeu e do Conselho de 27 de abril de 2016, relativo à proteção das pessoas singulares no que
diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, doravante designado
abreviadamente por Regulamento Geral de Proteção de Dados (RGPD).
Artigo 2.º
Âmbito de aplicação
1 - A presente lei aplica-se aos tratamentos de dados pessoais realizados no território nacional,
independentemente da natureza pública ou privada do responsável pelo tratamento ou do subcontratante,
mesmo que o tratamento de dados pessoais seja efetuado em cumprimento de obrigações legais ou no âmbito
da prossecução de missões de interesse público, aplicando-se todas as exclusões previstas no artigo 2.º do
RGPD.
2 - A presente lei aplica-se ainda aos tratamentos de dados pessoais realizados fora do território nacional
quando:
a) Sejam efetuados no âmbito da atividade de um estabelecimento situado no território nacional; ou
b) Afetem titulares de dados que se encontrem no território nacional, quando as atividades de tratamento
estejam subordinadas ao disposto no n.º 2 do artigo 3.º do RGPD; ou
c) Afetem dados que estejam inscritos nos postos consulares de que sejam titulares portugueses
residentes no estrangeiro.
3 - A presente lei não se aplica aos ficheiros de dados pessoais constituídos e mantidos sob a
Página 82
II SÉRIE-A — NÚMERO 131
82
responsabilidade do Sistema de Informações da República Portuguesa, que se rege por disposições
específicas, nos termos da lei.
CAPÍTULO II
Comissão Nacional de Proteção de Dados
Artigo 3.º
Autoridade de controlo nacional
AComissão Nacional de Proteção de Dados (CNPD) é a autoridade de controlo nacional para efeitos do
RGPD e da presente lei.
Artigo 4.º
Natureza e independência
1 - A CNPD é uma entidade administrativa independente, com personalidade jurídica de direito público e
poderes de autoridade, dotada de autonomia administrativa e financeira, que funciona junto da Assembleia da
República.
2 - A CNPD controla e fiscaliza o cumprimento do RGPD e da presente lei, bem como das demais
disposições legais e regulamentares em matéria de proteção de dados pessoais,a fim de defender os direitos,
liberdades e garantias das pessoas singulares no âmbito dos tratamentos de dados pessoais.
3 - A CNPD age com independência na prossecução das suas atribuições e no exercício dos poderes que
lhe são atribuídos pela presente lei.
4 - Os membros da CNPD ficam sujeitos ao regime de incompatibilidades estabelecido para os titulares de
altos cargos públicos, não podendo, durante o seu mandato, desempenhar outra atividade, remunerada ou
não, com exceção da atividade de docência no ensino superior e de investigação.
Artigo 5.º
Composição e funcionamento
A composição, o modo de designação e o estatuto remuneratório dos membros da CNPD, bem como a
respetiva orgânica e quadro de pessoal, são aprovados por lei da Assembleia da República.
Artigo 6.º
Atribuições e competências
1 - Para além do disposto no artigo 57.º do RGPD, a CNPD prossegue as seguintes atribuições:
a) Pronunciar-se, a título não vinculativo, sobre as medidas legislativas e regulamentares relativas à
proteção de dados pessoais, bem como sobre instrumentos jurídicos em preparação, em instituições
europeias ou internacionais, relativos à mesma matéria;
b) Fiscalizar o cumprimento das disposições do RGPD e das demais disposições legais e regulamentares
relativas à proteção de dados pessoais e dos direitos, liberdades e garantias dos titulares dos dados, e corrigir
e sancionar o seu incumprimento;
c) Disponibilizar uma lista de tratamentos sujeitos à avaliação do impacto sobre a proteção de dados, nos
termos do n.º 4 do artigo 35.º do RGPD, definindo igualmente critérios que permitam densificar a noção de
elevado risco prevista nesse artigo;
d) Elaborar e apresentar ao Comité Europeu para a Proteção de Dados, previsto no RGPD, os projetos de
critérios para a acreditação dos organismos de monitorização de códigos de conduta e dos organismos de
certificação, nos termos dos artigos 41.º e 43.º do RGPD, e assegurar a posterior publicação dos critérios,
caso sejam aprovados;
Página 83
22 DE JULHO DE 2019
83
e) Cooperar com o Instituto Português de Acreditação, I.P. (IPAC, I.P.), relativamente à aplicação do
disposto no artigo 14.º da presente lei, bem como na definição de requisitos adicionais de acreditação, tendo
em vista a salvaguarda da coerência de aplicação do RGPD.
2 - A CNPD exerce as competências previstas no artigo 58.º do RGPD.
Artigo 7.º
Avaliações prévias de impacto
1 - Nos termos do n.º 5 do artigo 35.º do RGPD, a CNPD difunde uma lista de tipos de tratamentos de
dados cuja avaliação prévia de impacto não é obrigatória.
2 - O disposto no número anterior não impede os responsáveis pelo tratamento de efetuar uma avaliação
prévia de impacto por iniciativa própria.
3 - As listas referidas nos n.os 4 e 5 do artigo 35.º do RGPD são publicitadas no sítio da CNPD na Internet.
Artigo 8.º
Dever de colaboração
1 - As entidades públicas e privadas devem prestar a sua colaboração à CNPD, facultando-lhe todas as
informações que por esta lhes sejam solicitadas, no exercício das suas atribuições e competências.
2 - O dever de colaboração é assegurado, designadamente, quando a CNPD tiver necessidade, para o
cabal exercício das suas funções, de examinar o sistema informático e os ficheiros de dados pessoais, bem
como toda a documentação relativa ao tratamento e transmissão de dados pessoais.
3 - Os membros da CNPD, bem como os seus trabalhadores, prestadores de serviços ou pessoas por si
mandatadas, estão obrigados ao dever de sigilo profissional, nomeadamente quanto aos dados pessoais,
segredo profissional, segredo industrial ou comercial ou informações confidenciais a que tenham acesso no
exercício das suas funções.
4 - O dever de sigilo mantém-se após o termo das respetivas funções.
5 - O dever de colaboração previsto nos números anteriores, bem como os poderes de fiscalização da
CNPD, não prejudicam o dever de segredo a que o responsável pelo tratamento esteja obrigado nos termos
da lei ou de normas internacionais.
CAPÍTULO III
Encarregado de proteção de dados
Artigo 9.º
Disposição geral
1- O encarregado de proteção de dados é designado com base nos requisitos previstos no n.º 5 do artigo
37.º do RGPD, não carecendo de certificação profissional para o efeito.
2- Independentemente da natureza da sua relação jurídica, o encarregado de proteção de dados exerce a
sua função com autonomia técnica perante a entidade responsável pelo tratamento ou subcontratante.
Artigo 10.º
Dever de sigilo e confidencialidade
1 – De acordo com o disposto no n.º 5 do artigo 38.º do RGPD, o encarregado de proteção de dados está
obrigado a um dever de sigilo profissional em tudo o que diga respeito ao exercício dessas funções, que se
mantém após o termo das funções que lhes deram origem.
2 – O encarregado de proteção de dados, bem como os responsáveis pelo tratamento de dados, incluindo
os subcontratantes, e todas as pessoas que intervenham em qualquer operação de tratamento de dados,
Página 84
II SÉRIE-A — NÚMERO 131
84
estão obrigados a um dever de confidencialidade que acresce aos deveres de sigilo profissional previsto na lei.
Artigo 11.º
Funções do encarregado de proteção de dados
Para além do disposto nos artigos 37.º a 39.º do RGPD, são funções do encarregado de proteção de
dados:
a) Assegurar a realização de auditorias, quer periódicas, quer não programadas;
b) Sensibilizar os utilizadores para a importância da deteção atempada de incidentes de segurança e para
a necessidade de informar imediatamente o responsável pela segurança;
c) Assegurar as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e pela legislação
nacional em matéria de proteção de dados.
Artigo 12.º
Encarregados de proteção de dados em entidades públicas
1 - Nos termos da alínea a) do n.º 1 do artigo 37.º do RGPD, é obrigatória a designação de encarregados
de proteção de dados nas entidades públicas, de acordo com o disposto nos números seguintes.
2 - Para efeitos do número anterior, entende-se por entidades públicas:
a) O Estado;
b) As regiões autónomas;
c) As autarquias locais e as entidades supranacionais previstas na lei;
d) As entidades administrativas independentes e o Banco de Portugal;
e) Os institutos públicos;
f) As instituições de ensino superior públicas, independentemente da sua natureza;
g) As empresas do setor empresarial do Estado e dos setores empresariais regionais e locais;
h) As associações públicas.
3 - Independentemente de quem seja responsável pelo tratamento, existe pelo menos um encarregado de
proteção de dados:
a) Por cada ministério ou área governativa, no caso do Estado, sendo designado pelo respetivo ministro,
com faculdade de delegação em qualquer secretário de Estado que o coadjuvar;
b) Por cada secretaria regional, no caso das regiões autónomas, sendo designado pelo respetivo
secretário regional, com faculdade de delegação em dirigente superior de 1.º grau;
c) Por cada município, sendo designado pela câmara municipal, com faculdade de delegação no
presidente e subdelegação em qualquer vereador;
d) Nas freguesias em que tal se justifique, nomeadamente naquelas com mais de 750 habitantes, sendo
designado pela junta de freguesia, com faculdade de delegação no presidente;
e) Por cada entidade, no caso das demais entidades referidas no número anterior, sendo designada pelo
respetivo órgão executivo, de administração ou gestão, com faculdade de delegação no respetivo presidente.
4 - Nos termos do n.º 3 do artigo 37.º do RGPD, pode ser designado o mesmo encarregado de proteção
de dados para vários ministérios ou áreas governativas, secretarias regionais, autarquias locais ou outras
pessoas coletivas públicas.
5 - Cabe a cada entidade a designação do encarregado de proteção de dados, não sendo obrigatório o
exercício de funções em regime de exclusividade.
6 - O encarregado de proteção de dados de uma entidade pública que tenha atribuições de regulação ou
controlo não pode exercer essas funções simultaneamente em entidade sujeita ao controlo, ou inserida no
perímetro regulatório daquela entidade.
Página 85
22 DE JULHO DE 2019
85
Artigo 13.º
Encarregados de proteção de dados em entidades privadas
O responsável pelo tratamento e o subcontratante designam um encarregado de proteção de dados
sempre que a atividade privada desenvolvida, a título principal, implique:
a) Operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular
e sistemático dos titulares dos dados em grande escala; ou
b) Operações de tratamento em grande escala das categorias especiais de dados nos termos do artigo 9.º
do RGPD, ou de dados pessoais relacionados com condenações penais e contraordenacionais nos termos do
artigo 10.º do RGPD.
CAPÍTULO IV
Acreditação, certificação e códigos de conduta
Artigo 14.º
Acreditação e certificação
1 - Nos termos da alínea b) do n.º 1 do artigo 43.º do RGPD, a autoridade competentepara a acreditação
dos organismos de certificação em matéria de proteção de dados é o IPAC, IP.
2 - O ato de acreditação emitido pelo IPAC, IP, deve tomar em consideração os requisitos previstos no
RGPD, bem como os requisitos adicionais estabelecidos pela CNPD.
3 - A certificação, bem como a emissão de selos e marcas de proteção de dados, é efetuada por
organismos de certificação acreditados nos termos do n.º 1, destinando-se a atestar que os procedimentos
implementados cumprem o disposto no RGPD e na presente lei.
Artigo 15.º
Códigos de conduta
1 - Compete à CNPD fomentar a elaboração de códigos de conduta que regulem atividades
determinadas, os quais devem tomar em atenção as necessidades específicas das micro, pequenas e médias
empresas.
2 - O tratamento de dados pessoais pela administração direta e indireta do Estado é objeto de códigos de
conduta próprios.
CAPÍTULO V
Disposições especiais
Artigo 16.º
Consentimento de menores
1 - Nos termos do artigo 8.º do RGPD, os dados pessoais de crianças só podem ser objeto de tratamento
com base no consentimento previsto na alínea a) do n.º 1 do artigo 6.º do RGPD e relativo à oferta direta de
serviços da sociedade de informação quando as mesmas já tenham completado 13 anos de idade.
2 - Caso a criança tenha idade inferior a 13 anos, o tratamento só é lícito se o consentimento for dado pelos
representantes legais desta, de preferência com recurso a meios de autenticação segura.
Página 86
II SÉRIE-A — NÚMERO 131
86
Artigo 17.º
Proteção de dados pessoais de pessoas falecidas
1 - Os dados pessoais de pessoas falecidas são protegidos nos termos do RGPD e da presente lei quando
se integrem nas categorias especiais de dados pessoais a que se refere o n.º 1 do artigo 9.º do RGPD, ou
quando se reportem à intimidade da vida privada, à imagem ou aos dados relativos às comunicações,
ressalvados os casos previstos no n.º 2 do mesmo artigo.
2 - Os direitos previstos no RGPD relativos a dados pessoais de pessoas falecidas, abrangidos pelo
número anterior, nomeadamente os direitos de acesso, retificação e apagamento, são exercidos por quem a
pessoa falecida haja designado para o efeito ou, na sua falta, pelos respetivos herdeiros.
3 - Os titulares dos dados podem igualmente, nos termos legais aplicáveis, deixar determinada a
impossibilidade de exercício dos direitos referidos no número anterior após a sua morte.
Artigo 18.º
Portabilidade e interoperabilidade dos dados
1 - O direito de portabilidade dos dados, previsto no artigo 20.º do RGPD, abrange apenas os dados
fornecidos pelos respetivos titulares.
2 - A portabilidade dos dados deve, sempre que possível, ter lugar em formato aberto.
3 - No âmbito da Administração Pública, sempre que a interoperabilidade dos dados não seja tecnicamente
possível, o titular dos dados tem o direito de exigir que os mesmos lhe sejam entregues num formato digital
aberto, de acordo com o Regulamento Nacional de Interoperabilidade Digital em vigor.
Artigo 19.º
Videovigilância
1 - Sem prejuízo das disposições legais específicas que imponham a sua utilização, nomeadamente por
razões de segurança pública, os sistemas de videovigilância cuja finalidade seja a proteção de pessoas e bens
asseguram os requisitos previstos no artigo 31.º da Lei n.º 34/2013, de 16 de maio, com os limites definidos no
número seguinte.
2 - As câmaras não podem incidir sobre:
a) Vias públicas, propriedades limítrofes ou outros locais que não sejam do domínio exclusivo do
responsável, exceto no que seja estritamente necessário para cobrir os acessos ao imóvel;
b) A zona de digitação de códigos de caixas multibanco ou outros terminais de pagamento ATM;
c) O interior de áreas reservadas a clientes ou utentes onde deva ser respeitada a privacidade,
designadamente instalações sanitárias, zonas de espera e provadores de vestuário;
d) O interior de áreas reservadas aos trabalhadores, designadamente zonas de refeição, vestiários,
ginásios, instalações sanitárias e zonas exclusivamente afetas ao seu descanso.
3- Nos estabelecimentos de ensino, as câmaras de videovigilância só podem incidir sobre os perímetros
externos e locais de acesso, e ainda sobre espaços cujos bens e equipamentos requeiram especial proteção,
como laboratórios ou salas de informática.
4- Nos casos em que é admitida a videovigilância, é proibida a captação de som, exceto no período em
que as instalações vigiadas estejam encerradas ou mediante autorização prévia da CNPD.
Artigo 20.º
Dever de segredo
1 – Os direitos de informação e de acesso a dados pessoais previstos nos artigos 13.º a 15.º do RGPD não
podem ser exercidos quando a lei imponha ao responsável pelo tratamento ou ao subcontratante um dever de
segredo que seja oponível ao próprio titular dos dados.
Página 87
22 DE JULHO DE 2019
87
2 – O titular dos dados pode solicitar à CNPD a emissão de parecer quanto à oponibilidade do dever de
segredo, sem prejuízo do disposto no Capítulo VII.
Artigo 21.º
Prazo de conservação de dados pessoais
1 - O prazo de conservação de dados pessoais é o que estiver fixado por norma legal ou regulamentar ou,
na falta desta, o que se revele necessário para a prossecução da finalidade.
2 - Quando, pela natureza e finalidade do tratamento, designadamente para fins de arquivo de interesse
público, fins de investigação científica ou histórica ou fins estatísticos, não seja possível determinar
antecipadamente o momento em que o mesmo deixa de ser necessário, é lícita a conservação dos dados
pessoais, desde que sejam adotadas medidas técnicas e organizativas adequadas a garantir os direitos do
titular dos dados, designadamente a informação da sua conservação.
3 - Quando os dados pessoais sejam necessários para o responsável pelo tratamento, ou o subcontratante,
comprovar o cumprimento de obrigações contratuais ou de outra natureza, os mesmos podem ser
conservados enquanto não decorrer o prazo de prescrição dos direitos correspetivos.
4 - Quando cesse a finalidade que motivou o tratamento, inicial ou posterior, de dados pessoais, o
responsável pelo tratamento deve proceder à sua destruição ou anonimização.
5 - Nos casos em que existe um prazo de conservação de dados imposto por lei, só pode ser exercido o
direito ao apagamento previsto no artigo 17.º do RGPD findo esse prazo.
6 - Os dados relativos a declarações contributivas para efeitos de aposentação ou reforma podem ser
conservados sem limite de prazo, a fim de auxiliar o titular na reconstituição das carreiras contributivas, desde
que sejam adotadas medidas técnicas e organizativas adequadas a garantir os direitos do titular dos dados.
Artigo 22.º
Transferências de dados
As transferências de dados para países terceiros à União Europeia ou organizações internacionais,
efetuadas no cumprimento de obrigações legais, por entidades públicas no exercício de poderes de
autoridade, são consideradas de interesse público para efeitos do disposto no n.º 4 do artigo 49.º do RGPD.
Artigo 23.º
Tratamento de dados pessoais por entidades públicas para finalidades diferentes
1 – O tratamento de dados pessoais por entidades públicas para finalidades diferentes das determinadas
pela recolha tem natureza excecional e deve ser devidamente fundamentado com vista a assegurar a
prossecução do interesse público que de outra forma não possa ser acautelado, nos termos da alínea e) do n.º
1, do n.º 4 do artigo 6.º e da alínea g) do n.º 2 do artigo 9.º do RGPD.
2 – A transmissão de dados pessoais entre entidades públicas para finalidades diferentes das determinadas
pela recolha tem natureza excecional, deve ser devidamente fundamentada nos termos referidos no número
anterior e deve ser objeto de protocolo que estabeleça as responsabilidades de cada entidade interveniente,
quer no ato de transmissão, quer em outros tratamentos a efetuar.
CAPÍTULO VI
Situações específicas de tratamento de dados pessoais
Artigo 24.º
Liberdade de expressão e informação
1 - A proteção de dados pessoais, nos termos do RGPD e da presente lei, não prejudica o exercício da
liberdade de expressão, informação e imprensa, incluindo o tratamento de dados para fins jornalísticos e para
Página 88
II SÉRIE-A — NÚMERO 131
88
fins de expressão académica, artística ou literária.
2 - O exercício da liberdade de informação, especialmente quando revele dados pessoais previstos no n.º 1
do artigo 9.º do RGPD e no artigo 17.º da presente lei, deve respeitar o princípio da dignidade da pessoa
humana previsto na Constituição da República Portuguesa, bem como os direitos de personalidade nela e na
legislação nacional consagrados.
3 - O tratamento para fins jornalísticos deve respeitar a legislação nacional sobre acesso e exercício da
profissão.
4 - O exercício da liberdade de expressão não legitima a divulgação de dados pessoais como moradas e
contactos, à exceção daqueles que sejam de conhecimento generalizado.
Artigo 25.º
Publicação em jornal oficial
1 - A publicação de dados pessoais em jornais oficiais deve obedecer ao artigo 5.º do RGPD,
nomeadamente aos princípios da finalidade e da minimização.
2 - Sempre que o dado pessoal «nome» seja suficiente para garantir a identificação do titular e a eficácia do
tratamento, não devem ser publicados outros dados pessoais.
3 - Os dados pessoais publicados em jornal oficial não podem, em circunstância alguma, ser alterados,
rasurados ou ocultados.
4 - O direito ao apagamento de dados pessoais publicados em jornal oficial tem natureza excecional e só
se pode concretizar nas condições previstas no artigo 17.º do RGPD, nos casos em que essa seja a única
forma de acautelar o direito ao esquecimento e ponderados os demais interesses em presença.
5 - O disposto no número anterior realiza-se através da desindexação dos dados pessoais em motores de
busca, sempre sem eliminação da publicação que faz fé pública.
6 - Em caso de publicação de dados pessoais em jornais oficiais, considera-se responsável pelo tratamento
a entidade que manda proceder à publicação, ou, no caso dos gabinetes dos membros do Governo, as
respetivas secretarias-gerais.
Artigo 26.º
Acesso a documentos administrativos
O acesso a documentos administrativos que contenham dados pessoais rege-se pelo disposto na Lei n.º
26/2016, de 22 de agosto.
Artigo 27.º
Publicação de dados no âmbito da contratação pública
No âmbito da contratação pública, e caso seja necessária a publicação de dados pessoais, não devem ser
publicados outros dados pessoais para além do nome, sempre que este seja suficiente para garantir a
identificação do contraente público e do cocontratante.
Artigo 28.º
Relações laborais
1 - O empregador pode tratar os dados pessoais dos seus trabalhadores para as finalidades e com os
limites definidos no Código do Trabalho e respetiva legislação complementar ou noutros regimes setoriais,
com as especificidades estabelecidas no presente artigo.
2 - O número anterior abrange igualmente o tratamento efetuado por subcontratante ou contabilista
certificado em nome do empregador, para fins de gestão das relações laborais, desde que realizado ao abrigo
de um contrato de prestação de serviços e sujeito a iguais garantias de sigilo.
3 - Salvo norma legal em contrário, o consentimento do trabalhador não constitui requisito de legitimidade
do tratamento dos seus dados pessoais:
Página 89
22 DE JULHO DE 2019
89
a) Se do tratamento resultar uma vantagem jurídica ou económica para o trabalhador; ou
b) Se esse tratamento estiver abrangido pelo disposto na alínea b) do n.º 1 do artigo 6.º do RGPD.
4 - As imagens gravadas e outros dados pessoais registados através da utilização de sistemas de vídeo ou
outros meios tecnológicos de vigilância à distância, nos termos previstos no artigo 20.º do Código do Trabalho,
só podem ser utilizados no âmbito do processo penal.
5 - Nos casos previstos no número anterior, as imagens gravadas e outros dados pessoais podem também
ser utilizados para efeitos de apuramento de responsabilidade disciplinar, na medida em que o sejam no
âmbito do processo penal.
6 - O tratamento de dados biométricos dos trabalhadores só é considerado legítimo para controlo de
assiduidade e para controlo de acessos às instalações do empregador, devendo assegurar-se que apenas se
utilizem representações dos dados biométricos e que o respetivo processo de recolha não permita a
reversibilidade dos referidos dados.
Artigo 29.º
Tratamento de dados de saúde e dados genéticos
1 – Nos tratamentos de dados de saúde e de dados genéticos, o acesso a dados pessoais rege-se pelo
princípio da necessidade de conhecer a informação.
2 – Nos casos previstos nas alíneas h) e i) do n.º 2 do artigo 9.º do RGPD, o tratamento dos dados
previstos no n.º 1 do mesmo artigo deve ser efetuado por um profissional obrigado a sigilo ou por outra pessoa
sujeita a dever de confidencialidade, devendo ser garantidas medidas adequadas de segurança da
informação.
3 – O acesso aos dados a que alude o número anterior é feito exclusivamente de forma eletrónica, salvo
impossibilidade técnica ou expressa indicação em contrário do titular dos dados, sendo vedada a sua
divulgação ou transmissão posterior.
4 – Os titulares de órgãos, trabalhadores e prestadores de serviços do responsável pelo tratamento de
dados de saúde e de dados genéticos, o encarregado de proteção de dados, os estudantes e investigadores
na área da saúde e da genética e todos os profissionais de saúde que tenham acesso a dados relativos à
saúde estão obrigados a um dever de sigilo.
5 – O dever de sigilo referido no número anterior é também aplicável a todos os titulares de órgãos e
trabalhadores que, no contexto do acompanhamento, financiamento ou fiscalização da atividade de prestação
de cuidados de saúde, tenham acesso a dados relativos à saúde.
6 – O titular dos dados deve ser notificado de qualquer acesso realizado aos seus dados pessoais,
cabendo ao responsável pelo tratamento assegurar a disponibilização desse mecanismo de rastreabilidade e
notificação.
7 – As medidas e os requisitos técnicos mínimos de segurança inerentes ao tratamento de dados a que
alude o n.º 1 são aprovados por portaria dos membros do Governo responsáveis pelas áreas da saúde e da
justiça, que deve regulamentar, nomeadamente, as seguintes matérias:
a) Estabelecimento de permissões de acesso aos dados pessoais diferenciados, em razão da necessidade
de conhecer e da segregação de funções;
b) Requisitos de autenticação prévia de quem acede;
c) Registo eletrónico dos acessos e dos dados acedidos.
Artigo 30.º
Bases de dados ou registos centralizados de saúde
1 - Os dados relativos à saúde podem ser organizados em bases de dados ou registos centralizados
assentes em plataformas únicas, quando tratados para efeitos das finalidades legalmente previstas no RGPD
e na legislação nacional.
Página 90
II SÉRIE-A — NÚMERO 131
90
2 - As bases de dados de saúde ou registos centralizados assentes nas plataformas únicas referidas no
número anterior devem preencher os requisitos de segurança e de inviolabilidade previstos no RGPD.
Artigo 31.º
Tratamentos para fins de arquivo de interesse público, fins de investigação científica ou histórica ou
fins estatísticos
1 - O tratamento para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins
estatísticos deve respeitar o princípio da minimização dos dados e incluir a anonimização ou a
pseudonimização dos mesmos sempre que os fins visados possam ser atingidos por uma destas vias.
2 - Quando os dados pessoais sejam tratados para fins de arquivo de interesse público, fins de
investigação científica ou histórica ou fins estatísticos, ficam prejudicados os direitos de acesso, retificação,
limitação do tratamento e de oposição previstos nos artigos 15.º, 16.º, 18.º e 21.º do RGPD, na medida do
necessário, se esses direitos forem suscetíveis de tornar impossível ou prejudicar gravemente a realização
desses fins.
3 - Ao tratamento de dados pessoais para fins de arquivo de interesse público é aplicável o Decreto-Lei n.º
16/93, de 23 de janeiro, na sua redação atual.
4 - O consentimento relativo ao tratamento de dados para fins de investigação científica pode abranger
diversas áreas de investigação ou ser dado unicamente para determinados domínios ou projetos de
investigação específicos, devendo em qualquer caso ser respeitados os padrões éticos reconhecidos pela
comunidade científica.
5 - Sem prejuízo do disposto na Lei do Sistema Estatístico Nacional, os dados pessoais tratados para fins
estatísticos devem ser anonimizados ou pseudonimizados, de modo a acautelar a tutela dos titulares dos
dados, nomeadamente no que respeita à impossibilidade de reidentificação logo que concluída a operação
estatística.
CAPÍTULO VII
Tutela administrativa e jurisdicional
SECÇÃO I
Disposições gerais
Artigo 32.º
Tutela administrativa
Sem prejuízo do direito de apresentação de queixa à CNPD, qualquer pessoa pode recorrer a meios de
tutela administrativa, designadamente de cariz petitório ou impugnatório, para garantir o cumprimento das
disposições legais em matéria de proteção de dados pessoais, nos termos previstos no Código do
Procedimento Administrativo.
Artigo 33.º
Responsabilidade civil
1 - Qualquer pessoa que tenha sofrido um dano devido ao tratamento ilícito de dados ou a qualquer outro
ato que viole disposições do RGPD ou da lei nacional em matéria de proteção de dados pessoais, tem o direito
de obter do responsável ou subcontratante a reparação pelo dano sofrido.
2 - O responsável pelo tratamento e o subcontratante não incorrem em responsabilidade civil se provarem
que o facto que causou o dano não lhes é imputável.
3 - À responsabilidade do Estado e demais pessoas coletivas públicas é aplicável o regime previsto na Lei
n.º 67/2007, de 31 de dezembro, alterado pela Lei n.º 31/2008, de 17 de julho.
Página 91
22 DE JULHO DE 2019
91
Artigo 34.º
Tutela jurisdicional
1 - Qualquer pessoa, de acordo com as regras gerais de legitimidade processual, pode propor ações contra
as decisões, nomeadamente de natureza contraordenacional, e omissões da CNPD, bem como ações de
responsabilidade civil pelos danos que tais atos ou omissões possam ter causado.
2 - As ações propostas contra a CNPD são da competência dos tribunais administrativos.
3 - O titular dos dados pode propor ações contra o responsável pelo tratamento ou o subcontratante,
incluindo ações de responsabilidade civil.
4 - As ações intentadas contra o responsável pelo tratamento ou um subcontratante são propostas nos
tribunais nacionais se o responsável ou subcontratante tiver estabelecimento em território nacional ou se o
titular dos dados aqui residir habitualmente.
Artigo 35.º
Representação dos titulares dos dados
Sem prejuízo da observância das regras relativas ao patrocínio judiciário, o titular dos dados tem o direito
de mandatar um organismo, uma organização ou uma associação sem fins lucrativos constituída em
conformidade com o direito nacional, cujos fins estatutários sejam de interesse público e cuja atividade abranja
a defesa dos direitos, liberdades e garantias do titular dos dados quanto à proteção de dados pessoais para,
em seu nome, exercer os direitos previstos nos artigos 77.º, 78.º, 79.º e 82.º do RGPD.
Artigo 36.º
Legitimidade da CNPD
A CNPD tem legitimidade para intervir em processos judiciais no caso de violação das disposições do
RGPD e da presente lei, e deve denunciar ao Ministério Público as infrações penais de que tiver
conhecimento, no exercício das suas funções e por causa delas, bem como praticar os atos cautelares
necessários e urgentes para assegurar os meios de prova.
SECÇÃO II
Contraordenações
Artigo 37.º
Contraordenações muito graves
1 - Constituem contraordenações muito graves:
a) Os tratamentos de dados pessoais com inobservância dolosa dos princípios consagrados no artigo 5.º
do RGDP;
b) Os tratamentos de dados pessoais que não tenham por base o consentimento ou outra condição de
legitimidade, nos termos do artigo 6.º do RGPD ou de norma nacional;
c) O incumprimento das regras relativas à prestação do consentimento previstas no artigo 7.º do RGPD;
d) Os tratamentos de dados pessoais previstos no n.º 1 do artigo 9.º do RGPD sem que se verifique uma
das circunstâncias previstas no n.º 2 do mesmo artigo;
e) Os tratamentos de dados pessoais previstos no artigo 10.º do RGPD que contrariem as regras aí
previstas;
f) A exigência do pagamento de uma quantia em dinheiro fora dos casos previstos no n.º 5 do artigo 12.º
do RGPD;
g) A exigência do pagamento de uma quantia em dinheiro, nos casos previstos no n.º 5 do artigo 12.º do
RGPD, que exceda os custos necessários para satisfazer o direito do titular dos dados;
h) A não prestação de informação relevante nos termos dos artigos 13.º e 14.º do RGPD, o que ocorre nas
Página 92
II SÉRIE-A — NÚMERO 131
92
seguintes circunstâncias:
i) Omissão de informação das finalidades a que se destina o tratamento;
ii) Omissão de informação acerca dos destinatários ou categorias de destinatários dos dados pessoais;
iii) Omissão de informação acerca do direito de retirar o consentimento nos casos previstos na alínea a)
do n.º 1 do artigo 6.º e na alínea a) do n.º 2 do artigo 9.º do RGPD;
i) Não permitir, não assegurar ou dificultar o exercício dos direitos previstos nos artigos 15.º a 22.º do
RGPD;
j) A transferência internacional de dados pessoais em violação do disposto nos artigos 44.º a 49.º do
RGPD;
k) O incumprimento das decisões da autoridade de controlo previstas no n.º 2 do artigo 58.º do RGPD, ou
recusa da colaboração que lhe seja exigida pela CNPD, no exercício dos seus poderes;
l) A violação das regras previstas no capítulo VI da presente lei.
2 - As contraordenações referidas no número anterior são punidas com coima:
a) De 5000 € a 20 000 000 € ou 4% do volume de negócios anual, a nível mundial, conforme o que for
mais elevado, tratando-se de grande empresa;
b) De 2000 € a 2 000 000 € ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais
elevado, tratando-se de PME;
c) De 1000 € a 500 000 €, no caso de pessoas singulares.
Artigo 38.º
Contraordenações graves
1 - Constituem contraordenações graves:
a) A violação do disposto no artigo 8.º do RGPD;
b) A não prestação da restante informação prevista nos artigos 13.º e 14.º do RGPD;
c) A violação do disposto nos artigos 24.º e 25.º do RGPD;
d) A violação das obrigações previstas no artigo 26.º do RGPD;
e) A violação do disposto no artigo 27.º do RGPD;
f) A violação das obrigações previstas no artigo 28.º do RGPD;
g) A violação do disposto no artigo 29.º do RGPD;
h) A ausência de registo dos tratamentos de dados pessoais em violação do disposto no artigo 30.º do
RGPD;
i) A violação das regras de segurança previstas no artigo 32.º do RGPD;
j) O incumprimento dos deveres previstos no artigo 33.º do RGPD;
k) O incumprimento do dever de informar o titular dos dados pessoais nas situações previstas no artigo
34.º do RGPD;
l) O incumprimento da obrigação de realizar avaliações de impacto nos casos previstos no artigo 35.º do
RGPD;
m) O incumprimento da obrigação de consultar a autoridade de controlo previamente à realização de
operações de tratamento de dados nos casos previstos no artigo 36.º do RGPD;
n) O incumprimento dos deveres previstos no artigo 37.º do RGPD;
o) A violação do disposto no artigo 38.º do RGPD, nomeadamente no que respeita às garantias de
independência do encarregado de proteção de dados;
p) O incumprimento dos deveres previstos no artigo 39.º do RGPD;
q) A prática de atos de supervisão de códigos de conduta por organismos não acreditados pela autoridade
de controlo nos termos do artigo 41.º do RGPD;
r) O incumprimento, por parte dos organismos de supervisão de códigos de conduta, do previsto no n.º 4
Página 93
22 DE JULHO DE 2019
93
do artigo 41.º do RGPD;
s) A utilização de selos ou marcas de proteção de dados que não tinham sido emitidos por organismos de
certificação devidamente acreditados nos termos dos artigos 42.º e 43.º do RGPD;
t) O incumprimento, por parte dos organismos de certificação, dos deveres previstos no artigo 43.º do
RGPD;
u) A violação do disposto no artigo 19.º da presente lei.
2 - As contraordenações referidas no número anterior são punidas com coima de:
a) De 2500 € a 10 000 000 € ou 2% do volume de negócios anual, a nível mundial, conforme o que for
mais elevado, tratando-se de grande empresa;
b) De 1000 € a 1 000 000 € ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais
elevado, tratando-se de PME;
c) De 500 € a 250 000 €, no caso de pessoas singulares.
Artigo 39.º
Determinação da medida da coima
1 - Na determinação da medida da coima, a CNPD tem em conta, para além dos critérios estabelecidos
no n.º 2 do artigo 83.º do RGPD:
a) A situação económica do agente, no caso de pessoa singular, ou o volume de negócios e o balanço
anual, no caso de pessoa coletiva;
b) O caráter continuado da infração;
c) A dimensão da entidade, tendo em conta o número de trabalhadores e a natureza dos serviços
prestados.
2 - Para efeitos da aplicação do disposto nos artigos anteriores, os conceitos de pequenas e médias
empresas (PME) e grande empresa são os definidos na Recomendação n.º 2003/361/CE, da Comissão
Europeia, de 6 de maio de 2003.
3 - Exceto em caso de dolo, a instauração de processo de contraordenação depende de prévia
advertência do agente, por parte da CNPD, para cumprimento da obrigação omitida ou reintegração da
proibição violada em prazo razoável.
Artigo 40.º
Prescrição do procedimento por contraordenação
O procedimento por contraordenação extingue-se por efeito da prescrição logo que sobre a prática da
contraordenação hajam decorrido os seguintes prazos:
a) Três anos, quando se trate de contraordenação muito grave;
b) Dois anos, quando se trate de contraordenação grave.
Artigo 41.º
Prazo de prescrição das coimas
As coimas previstas na presente lei prescrevem nos seguintes prazos:
a) Três anos, no caso de coimas de montante superior a 100 000 €;
b) Dois anos, no caso de coimas de montante igual ou inferior a 100 000 €.
Página 94
II SÉRIE-A — NÚMERO 131
94
Artigo 42.º
Destino das coimas
O montante das coimas cobradas reverte em 60% para o Estado e em 40% para a CNPD.
Artigo 43.º
Cumprimento do dever omitido
Sempre que a contraordenação resulte da omissão de um dever, a aplicação da sanção e o pagamento da
coima não dispensam o infrator do seu cumprimento se este ainda for possível.
Artigo 44.º
Âmbito de aplicação das contraordenações
1 – As coimas previstas no RGPD e na presente lei aplicam-se de igual modo às entidades públicas e
privadas.
2 – Nos termos do disposto no n.º 7 do artigo 83.º do RGPD, as entidades públicas, mediante pedido
devidamente fundamentado, podem solicitar à CNPD a dispensa da aplicação de coimas durante o prazo de
três anos a contar da entrada em vigor da presente lei.
3 – As entidades públicas estão sujeitas aos poderes de correção da CNPD, tal como previstos no RGPD e
na presente lei, com exceção da aplicação de coimas nos termos definidos no número anterior.
Artigo 45.º
Regime subsidiário
Em tudo o que não esteja previsto na presente lei em matéria contraordenacional, aplica-se o disposto no
regime geral do ilícito de mera ordenação social.
SECÇÃO III
Crimes
Artigo 46.º
Utilização de dados de forma incompatível com a finalidade da recolha
1 - Quem utilizar dados pessoais de forma incompatível com a finalidade determinante da recolha é punido
com pena de prisão até um ano ou com pena de multa até 120 dias.
2 - A pena é agravada para o dobro nos seus limites quando se tratar dos dados pessoais a que se referem
os artigos 9.º e 10.º do RGPD.
Artigo 47.º
Acesso indevido
1 - Quem, sem a devida autorização ou justificação, aceder, por qualquer modo, a dados pessoais é punido
com pena de prisão até um ano ou com pena de multa até 120 dias.
2 - A pena é agravada para o dobro nos seus limites quando se tratar dos dados pessoais a que se referem
os artigos 9.º e 10.º do RGPD.
3 - A pena é também agravada para o dobro nos seus limites quando o acesso:
a) For conseguido através de violação de regras técnicas de segurança; ou
b) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial.
Página 95
22 DE JULHO DE 2019
95
Artigo 48.º
Desvio de dados
1 - Quem copiar, subtrair, ceder ou transferir, a título oneroso ou gratuito, dados pessoais sem previsão
legal ou consentimento, independentemente da finalidade prosseguida, é punido com pena de prisão até 1 ano
ou com pena de multa até 120 dias.
2 - A pena é agravada para o dobro nos seus limites quando se tratar dos dados pessoais a que se referem
os artigos 9.º e 10.º do RGPD.
3 - A pena é também agravada para o dobro nos seus limites quando o acesso:
a) For conseguido através de violação de regras técnicas de segurança; ou
b) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial.
Artigo 49.º
Viciação ou destruição de dados
1 - Quem, sem a devida autorização ou justificação, apagar, destruir, danificar, ocultar, suprimir ou
modificar dados pessoais, tornando-os inutilizáveis ou afetando o seu potencial de utilização, é punido com
pena de prisão até 2 anos ou com pena de multa até 240 dias.
2 - A pena é agravada para o dobro nos seus limites se o dano produzido for particularmente grave.
3 - Nas situações previstas nos números anteriores, se o agente atuar com negligência é punido com pena
de prisão:
a) Até 1 ano ou multa até 120 dias, no caso previsto no n.º 1;
b) Até 2 anos ou multa até 240 dias, no caso previsto no n.º 2.
Artigo 50.º
Inserção de dados falsos
1 - Quem inserir ou facilitar a inserção de dados pessoais falsos, com a intenção de obter vantagem
indevida para si ou para terceiro, ou para causar prejuízo, é punido com pena de prisão até 2 anos ou com
pena de multa até 240 dias.
2 - A pena é agravada para o dobro nos seus limites se da inserção referida no número anterior resultar um
prejuízo efetivo.
Artigo 51.º
Violação do dever de sigilo
1 - Quem, obrigado a sigilo profissional nos termos da lei, sem justa causa e sem o devido consentimento,
revelar ou divulgar no todo ou em parte dados pessoais é punido com pena de prisão até 1 ano ou com pena
de multa até 120 dias.
2 - A pena é agravada para o dobro nos seus limites se o agente:
a) For trabalhador em funções públicas ou equiparado, nos termos da lei penal;
b) For encarregado de proteção de dados;
c) For determinado pela intenção de obter qualquer vantagem patrimonial ou outro benefício ilegítimo;
d) Puser em perigo a reputação, a honra ou a intimidade da vida privada de terceiros.
3 - A negligência é punível com pena de prisão até 6 meses ou com pena de multa até 60 dias.
Página 96
II SÉRIE-A — NÚMERO 131
96
Artigo 52.º
Desobediência
1 - Quem não cumprir as obrigações previstas no RGPD e na presente lei, depois de ultrapassado o prazo
que tiver sido fixado pela CNPD para o respetivo cumprimento, é punido com pena de prisão até 1 ano ou com
pena de multa até 120 dias.
2 - A pena é agravada para o dobro nos seus limites se, depois de notificado para o efeito, o agente:
a) Não interromper, cessar ou bloquear o tratamento ilícito de dados;
b) Não proceder ao apagamento ou destruição dos dados quando legalmente exigível, ou findo o prazo de
conservação fixado nos termos da presente lei; ou
c) Recusar, sem justa causa, a colaboração que lhe for exigida nos termos do artigo 8.º da presente lei.
Artigo 53.º
Punibilidade da tentativa
Nos crimes previstos na presente secção, a tentativa é sempre punível.
Artigo 54.º
Responsabilidade das pessoas coletivas
As pessoas coletivas e entidades equiparadas, com exceção do Estado, de pessoas coletivas no exercício
de prerrogativas de poder público e de organizações de direito internacional público, são responsáveis pelos
crimes previstos na presente secção, nos termos do artigo 11.º do Código Penal.
SECÇÃO IV
Disposições comuns
Artigo 55.º
Concurso de infrações
1 - Se o mesmo facto constituir simultaneamente crime e contraordenação, o agente é sempre punido a
título de crime.
2 - Quando se verifique concurso de crime e contraordenação, ou quando, pelo mesmo facto, uma pessoa
deva responder a título de crime e outra a título de contraordenação, o processamento da contraordenação
cabe às autoridades competentes para o processo criminal, nos termos do regime geral do ilícito de mera
ordenação social.
Artigo 56.º
Sanções acessórias
1 - Conjuntamente com as sanções aplicadas pode ser ordenada, acessoriamente, a proibição temporária
ou definitiva do tratamento, o bloqueio, o apagamento ou a destruição total ou parcial dos dados.
2 - Tratando-se de crimes, ou de coimas de montante superior a 100 000 €, pode acessoriamente ser
determinada a publicidade da condenação, por meio de extrato contendo a identificação do agente, os
elementos da infração e as sanções aplicadas, no Portal do Cidadão, por período não inferior a 90 dias.
Página 97
22 DE JULHO DE 2019
97
CAPÍTULO VIII
Disposições finais e transitórias
Artigo 57.º
Comissão Nacional de Proteção de Dados
Os membros da CNPD em exercício à data da entrada em vigor da presente lei mantêm-se em funções até
ao fim dos respetivos mandatos.
Artigo 58.º
Orientações técnicas
As orientações técnicas para a aplicação do RGPD pela administração direta e indireta do Estado são
aprovadas por resolução do Conselho de Ministros, a qual pode recomendar a sua aplicação também ao setor
empresarial do Estado.
Artigo 59.º
Aplicabilidade das coimas às entidades públicas
A possibilidade de não aplicabilidade de coimas às entidades públicas, nos termos previstos no n.º 2 do
artigo 44.º da presente lei, deve ser objeto de reavaliação três anos após a entrada em vigor da presente lei.
Artigo 60.º
Situações de tratamentos de dados pessoais pré-existentes
1 - Os tratamentos de dados pessoais objeto de registo público, nos termos do artigo 31.º da Lei n.º 67/98,
de 26 de outubro, permanecem conservados sob a responsabilidade da CNPD e disponíveis para consulta
gratuita por qualquer pessoa.
2 - As notificações e pedidos de autorização já decididos pela CNPD no momento da entrada em vigor da
presente lei, mas ainda não publicados, devem sê-lo nos termos da legislação prevista no número anterior.
3 - Os pedidos de registo e de autorização pendentes na CNPD na data da entrada em vigor da presente lei
caducam com a sua entrada em vigor.
4 - Os responsáveis pelos tratamentos de dados pessoais realizados com base em autorizações emitidas
nos termos da Lei n.º 67/98, de 26 de outubro, bem como os subcontratantes, estão vinculados a cumprir as
obrigações impostas pelo RGPD, com exceção da avaliação de impacto sobre a proteção de dados a que se
refere o artigo 35.º desse regulamento.
Artigo 61.º
Renovação do consentimento
1 - Quando o tratamento dos dados pessoais em curso à data da entrada em vigor da presente lei se
basear no consentimento do respetivo titular, não é necessário obter novo consentimento se o anterior tiver
observado as exigências constantes do RGPD.
2 - Caso a caducidade do consentimento seja motivo de cessação de contrato em que o titular de dados
seja parte, o tratamento de dados é lícito até que esta ocorra.
Artigo 62.º
Regimes de proteção de dados pessoais
1 - As normas relativas à proteção de dados pessoais previstas em legislação especial mantêm-se em
vigor, em tudo o que não contrarie o disposto no RGPD e na presente lei, sem prejuízo do disposto no número
seguinte.
Página 98
II SÉRIE-A — NÚMERO 131
98
2 - Todas as normas que prevejam autorizações ou notificações de tratamento de dados pessoais à
CNPD, fora dos casos previstos no RGPD e na presente lei, deixam de vigorar à data de entrada em vigor do
RGPD.
CAPÍTULO IX
Alterações legislativas
Artigo 63.º
Alteração à Lei n.º 43/2004, de 18 de agosto
1 – Os artigos 2.º, 3.º, 8.º, 16.º a 22.º e 24.º a 31.º da Lei de Organização e Funcionamento da Comissão
Nacional de Proteção de Dados, aprovada pela Lei n.º 43/2004, de 18 de agosto, alterada pela Lei n.º 55-
A/2010, de 31 de dezembro, passam a ter a seguinte redação:
«Artigo 2.º
[...]
1 – A CNPD é uma entidade administrativa independente, com personalidade jurídica de direito público e
poderes de autoridade, dotada de autonomia administrativa e financeira, que funciona junto da Assembleia da
República.
2 – A CNPD é a autoridade de controlo nacional para efeitos do Regulamento Geral de Proteção de Dados
(RGPD), aprovado pelo Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de
2016, e da lei que assegura a sua execução na ordem jurídica interna.
3 – A CNPD controla e fiscaliza o cumprimento do RGPD e da presente lei, bem como das demais
disposições legais e regulamentares em matéria de proteção de dados pessoais, a fim de defender os direitos,
liberdades e garantias das pessoas singulares no âmbito dos tratamentos de dados pessoais.
4 – A CNPD age com independência na prossecução das suas atribuições e no exercício dos poderes que
lhe são atribuídos pela presente lei.
Artigo 3.º
Composição, designação e mandato dos membros
1 – A CNPD é composta por sete membros de integridade e mérito reconhecidos:
a) Um presidente, eleito pela Assembleia da República;
b) Duas personalidades eleitas pela Assembleia da República segundo o método da média mais alta de
Hondt;
c) Dois magistrados, sendo um magistrado judicial, designado pelo Conselho Superior da Magistratura, e
um magistrado do Ministério Público, designado pelo Conselho Superior do Ministério Público;
d) Duas personalidades designadas pelo Governo.
3 – O mandato dos membros da CNPD é de cinco anos, renovável duas vezes, e cessa com a posse dos
novos membros.
4 – A designação dos membros da CNPD consta de lista publicada na 1.ª série do Diário da República.
5 – Os membros da CNPD tomam posse perante o Presidente da Assembleia da República nos 10 dias
seguintes à publicação da lista referida no número anterior.
Artigo 8.º
[...]
Constituem deveres dos membros da CNPD:
Página 99
22 DE JULHO DE 2019
99
a) ...................................................................................................................................................................... ;
b) ...................................................................................................................................................................... ;
c) Guardar sigilo sobre as questões ou processos que estejam a ser objeto de apreciação, nos termos
previstos no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 e na
Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.
Artigo 16.º
Publicidade
1 – São publicadas no sítio da Internet da CNPD as deliberações relativas a:
a) Acreditação e certificação;
b) Revogação e anulação de acreditação e de certificação;
c) Códigos de conduta;
d) Autorizações;
e) Regras vinculativas.
2 – São ainda publicados naquele sítio os regulamentos e os pareceres sobre disposições legais e
regulamentares e instrumentos jurídicos em preparação em instituições da União Europeia e internacionais,
bem como as orientações e recomendações genéricas.
3 – São publicados na 2.ª série do Diário da República os regulamentos administrativos, incluindo os
relativos à fixação de taxas e os emitidos ao abrigo do disposto no n.º 3 do artigo 22.º.
Artigo 17.º
Denúncias e participações
1 – As denúncias e participações são apresentadas por escrito, em local específico para o efeito no sítio da
CNPD, sem prejuízo de, excecionalmente, desde que devidamente fundamentado, se admitir a sua
apresentação por correio eletrónico ou correio postal, podendo ser exigida a confirmação da identidade dos
seus autores.
2 – (Revogado).
3 – ...................................................................................................................................................................
4 – ...................................................................................................................................................................
Artigo 18.º
[...]
1 – ...................................................................................................................................................................
2 – A CNPD pode aprovar modelos ou formulários, em suporte eletrónico, com vista a permitir melhor
instrução dos processos.
3 – (Revogado).
4 – Os pedidos de parecer sobre disposições legais e regulamentares em preparação devem ser remetidos
à CNPD pelo titular do órgão com poder legiferante ou regulamentar, instruídos com o respetivo estudo de
impacto sobre a proteção de dados pessoais.
5 – Os pedidos de parecer sobre quaisquer outros instrumentos jurídicos da União Europeia ou
internacionais em preparação, relativos ao tratamento de dados pessoais, devem ser remetidos à CNPD pela
entidade que representa o Estado português no processo de elaboração da iniciativa, devidamente instruídos.
Artigo 19.º
[…]
1 – ................................................................................................................................................................... :
Página 100
II SÉRIE-A — NÚMERO 131
100
a) ...................................................................................................................................................................... ;
b) ...................................................................................................................................................................... ;
c) ...................................................................................................................................................................... ;
d) Ouvida a Comissão, nomear o pessoal do mapa e autorizar transferências, requisições e
destacamentos;
e) ...................................................................................................................................................................... ;
f) ....................................................................................................................................................................... ;
g) ...................................................................................................................................................................... ;
h) ...................................................................................................................................................................... ;
i) ....................................................................................................................................................................... ;
j) ....................................................................................................................................................................... ;
l) ....................................................................................................................................................................... .
2 – ...................................................................................................................................................................
Artigo 20.º
[...]
1 – As receitas e despesas da CNPD, que goza de autonomia administrativa e financeira, constam de
orçamento anual.
2 – Além das dotações que lhe sejam atribuídas no orçamento da Assembleia da República, nos termos da
Lei n.º 59/90, de 21 de novembro, constituem receitas da CNPD:
a) ..................................................................................................................................................................... ;
b) O produto da venda de publicações;
c) ..................................................................................................................................................................... ;
d) O montante das coimas cobradas que, nos termos da lei, revertam a seu favor;
e) ..................................................................................................................................................................... ;
f) Os subsídios, subvenções, comparticipações, doações e legados, concedidos por entidades, públicas e
privadas, nacionais, estrangeiras, da União Europeia ou internacionais;
3 – ...................................................................................................................................................................
4 – ...................................................................................................................................................................
5 – ...................................................................................................................................................................
6 – A gestão do orçamento da CNPD, incluindo as dotações não integradas no orçamento da Assembleia
da República, fica sujeita ao regime deste último, sendo igualmente aplicável o regime previsto no n.º 10 do
artigo 60.º da Lei n.º 71/2018, de 31 de dezembro.
Artigo 21.º
[...]
1 – ...................................................................................................................................................................
a) Pela acreditação e certificação;
b) Pela consulta prévia;
c) Pela emissão de autorizações;
d) Pela apreciação de códigos de conduta;
e) Nos demais casos previstos por lei.
2 – O montante das taxas, que deve ser proporcional à complexidade do pedido e ao serviço prestado, é
fixado em regulamento pela CNPD.
3 – ...................................................................................................................................................................
Página 101
22 DE JULHO DE 2019
101
Artigo 22.º
[...]
1 – A CNPD dispõe de serviços de apoio próprios que compreendem unidades e núcleos.
2 – Os serviços de apoio são constituídos pelas seguintes unidades:
a) Unidade de Direitos e Sanções;
b) Unidade de Inspeção;
c) Unidade de Relações Públicas e Internacionais;
d) Unidade de Informática;
e) Unidade de Apoio Administrativo e Financeiro.
3 – Compete à CNPD aprovar o regulamento de organização e funcionamento dos serviços de apoio, bem
como o regulamento de avaliação dos trabalhadores.
4 – (Anterior n.º 3).
5 – O secretário é nomeado por despacho do presidente, obtido parecer favorável da Comissão, com
observância dos requisitos legais adequados ao desempenho das respetivas funções, escolhido
preferencialmente de entre funcionários já pertencentes ao mapa da CNPD, habilitados com licenciatura e de
reconhecida competência para o desempenho do lugar.
6 – (Anterior n.º 5).
Artigo 24.º
Unidade de Direitos e Sanções
Compete à Unidade de Direitos e Sanções assegurar o apoio técnico-jurídico, designadamente:
a) Instruir os processos de contraordenação, bem como outros processos abertos com base em
participações ou denúncias;
b) Preparar as peças processuais e representar a CNPD em processos judiciais, quando mandatados para
o efeito;
c) Preparar pareceres sobre projetos legislativos e regulamentares e sobre instrumentos jurídicos em
preparação em instituições da União Europeia e internacionais;
d) Analisar e preparar orientações sobre estudos de avaliação do impacto sobre a proteção de dados;
e) Instruir e propor decisões sobre processos de autorização prévia nos casos previstos em lei;
f) Instruir e propor decisões sobre processos de acreditação e de revisão de acreditação e certificações;
g) Analisar e preparar decisões em processos de notificação de violações de dados pessoais;
h) Analisar e preparar decisões sobre códigos de conduta;
i) Interagir com encarregados de proteção de dados;
j) Colaborar na organização de colóquios, seminários e outras iniciativas de difusão de matérias de
proteção de dados pessoais;
k) Instruir e propor decisões relativas ao exercício de direitos pelos titulares dos dados pessoais;
l) Desempenhar quaisquer outras tarefas de âmbito técnico-jurídico.
Artigo 25.º
Unidade de Relações Públicas e Internacionais
Compete à Unidade de Relações Públicas e Internacionais assegurar o apoio em matéria de informação,
documentação e relações públicas e na interação com autoridades europeias e internacionais,
designadamente:
a) Gerir os conteúdos do sítio da Internet e da Intranet da CNPD;
Página 102
II SÉRIE-A — NÚMERO 131
102
b) Organizar e manter atualizado um centro de documentação com a função de recolher bibliografia,
documentação, textos, diplomas legais, atos normativos e administrativos e demais elementos de informação
científica e técnica relacionada com a proteção de dados pessoais;
c) Promover a divulgação e o esclarecimento de direitos e obrigações relativos à proteção de dados
pessoais;
d) Assegurar os contactos com os órgãos de comunicação social;
e) Organizar, assessorar e dinamizar a realização de colóquios, seminários e outros eventos;
f) Colaborar na conceção e edição de publicações, bem como no relatório anual de atividades;
g) Desempenhar quaisquer outras tarefas, no âmbito da informação e comunicação;
h) Gerir as relações institucionais com organizações da União Europeia ou internacionais em matéria de
proteção de dados pessoais;
i) Assegurar as relações com as autoridades de controlo congéneres, em especial no âmbito das
competências do Comité Europeu para a Proteção de Dados;
j) Instruir e preparar decisões nos procedimentos de cooperação e coerência;
k) Instruir e preparar decisões quanto a transferências internacionais de dados pessoais.
Artigo 26.º
Unidade de Informática
1 – Compete à Unidade de Informática garantir o normal funcionamento das infraestruturas de informação e
comunicação da CNPD e o apoio técnico necessário na área das tecnologias de informação, nomeadamente:
a) Assegurar a gestão integrada e a manutenção do parque informático da CNPD e do respetivo sistema
de comunicações;
b) Assegurar o correto funcionamento da rede informática e dos sistemas de informação da CNPD;
c) Proceder aos estudos técnicos necessários à aquisição de material informático e de comunicação;
d) Assegurar o apoio aos utilizadores dos sistemas de informação e comunicação, bem como fomentar
junto dos mesmos boas práticas para uma utilização segura e adequada desses sistemas;
e) Assegurar a aplicação de normas de segurança que garantam a fiabilidade, confidencialidade e
durabilidade dos sistemas de informação;
f) Conceber a arquitetura global do sistema de informação da CNPD;
g) Desenhar, desenvolver e operacionalizar as aplicações e as interfaces necessárias ao exercício da
atividade da CNPD;
h) Desenhar, desenvolver e operacionalizar o sítio da Internet da CNPD;
i) Efetuar estudos sobre novas tecnologias com impacto no tratamento de dados pessoais.
Artigo 27.º
Unidade de Apoio Administrativo e Financeiro
Compete à Unidade de Apoio Administrativo e Financeiro apoiar a CNPD na gestão dos processos e dos
recursos humanos, financeiros e materiais, designadamente:
a) [Anterior alínea c)];
b) [Anterior alínea d)];
c) [Anterior alínea e)];
d) Promover as aquisições de bens e serviços;
e) Administrar os bens de consumo, bem como gerir as instalações, viaturas e demais equipamentos ao
serviço da CNPD;
f) Elaborar e manter atualizado o inventário geral;
g) Promover o recrutamento, promoção e a contratação de trabalhadores, bem como a aplicação dos
instrumentos de mobilidade;
h) Processar os vencimentos dos trabalhadores, dos membros da CNPD e do fiscal único;
Página 103
22 DE JULHO DE 2019
103
i) Organizar e manter atualizada a informação relativa aos trabalhadores, aos membros da CNPD e ao
fiscal único;
j) Promover a formação dos trabalhadores;
k) Promover a execução da avaliação dos trabalhadores;
l) Instruir e propor decisão em processos disciplinares;
m) Secretariar o presidente e o secretário;
n) Assegurar o registo e encaminhamento da correspondência, bem como a organização e arquivo de
documentos;
o) Assegurar o atendimento externo e o apoio a reuniões;
p) Assegurar a condução de viaturas e a sua manutenção e receber e entregar expediente e encomendas;
q) Desempenhar quaisquer outras tarefas que, no contexto da sua área funcional, sejam determinadas
pelo presidente ou pelo secretário.
Artigo 28.º
[...]
1 – Aos trabalhadores da CNPD aplica-se o regime geral do trabalho em funções públicas.
2 – ...................................................................................................................................................................
Artigo 29.º
[...]
Os trabalhadores da CNPD possuem cartão de identificação, dele constando o cargo desempenhado e os
poderes inerentes à sua função.
Artigo 30.º
[...]
1 – ...................................................................................................................................................................
2 – ...................................................................................................................................................................
3 – ...................................................................................................................................................................
4 – O prazo previsto no n.º 1 do artigo 97.º da Lei Geral do Trabalho em Funções Públicas, aprovada em
anexo à Lei n.º 35/2014, de 20 de junho, não é aplicável ao regime de mobilidade para os serviços de apoio à
CNPD, podendo, porém, a mobilidade ser dada por finda por decisão do presidente, ouvida a Comissão, ou a
pedido do interessado.
5 – ...................................................................................................................................................................
6 – Para o desempenho de funções nos serviços de apoio da CNPD no âmbito dos mecanismos de
mobilidade, e sempre que se opere por iniciativa do trabalhador, é dispensado o acordo do serviço de origem.
Artigo 31.º
Trabalhadores em funções públicas
A nomeação em comissão de serviço de trabalhadores em funções públicas para o cargo de consultor não
determina a abertura de vaga no mapa de origem, ficando salvaguardados todos os direitos inerentes aos
seus anteriores cargos ou funções, designadamente para efeitos de promoção ou progressão.»
Artigo 64.º
Aditamento à Lei n.º 43/2004, de 18 de agosto
São aditados os artigos 19.º-A e 24.º-A à Lei n.º 43/2004, de 18 de agosto, com a seguinte redação:
Página 104
II SÉRIE-A — NÚMERO 131
104
«Artigo 19.º-A
Fiscal único
1 – O fiscal único é o órgão responsável pelo controlo da legalidade, da regularidade e da boa gestão
financeira e patrimonial da CNPD, e de consulta por esta nesse domínio.
2 – O fiscal único é um revisor oficial de contas, designado pela Assembleia da República, por resolução, e
que toma posse perante o Presidente da Assembleia da República.
3 – O mandato do fiscal único tem a duração de cinco anos, não renovável, permanecendo em exercício de
funções até à efetiva substituição.
4 – O fiscal único é remunerado por valor correspondente a 25% da remuneração base auferida pelos
membros da CNPD.
5 – Compete, designadamente, ao fiscal único:
a) Acompanhar e controlar a gestão financeira e patrimonial da CNPD;
b) Examinar periodicamente a situação financeira e económica da CNPD e verificar o cumprimento das
normas reguladoras da sua atividade;
c) Emitir parecer prévio, no prazo máximo de 10 dias, sobre a aquisição, oneração, arrendamento e
alienação de bens móveis;
d) Emitir parecer sobre qualquer assunto que lhe seja submetido pela CNPD;
e) Participar às entidades competentes as irregularidades que detete.
Artigo 24.º-A
Unidade de Inspeção
Compete à Unidade de Inspeção realizar inspeções e auditorias no âmbito dos processos em curso, com
mandato da CNPD, em especial:
a) Fiscalizar a conformidade do tratamento de dados pessoais, podendo para tal aceder às instalações do
responsável e do subcontratante, aos equipamentos, aos meios de tratamento de dados, bem como a toda a
documentação que se revele necessária;
b) Investigar, no âmbito da assistência mútua e das operações conjuntas previstas nos artigos 61.º e 62.º
do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016,os tratamentos de
dados pessoais, nas condições previstas na alínea anterior;
c) Realizar as auditorias da parte nacional dos sistemas de informação europeus, nos termos da legislação
da União Europeia.»
Artigo 65.º
Alteração à Lei n.º 26/2016, de 22 de agosto
O artigo 6.º do regime de acesso à informação administrativa e ambiental e de reutilização dos documentos
administrativos aprovado pela Lei n.º 26/2016, de 22 de agosto, passa a ter a seguinte redação:
«Artigo 6.º
[…]
1 – ...................................................................................................................................................................
2 – ...................................................................................................................................................................
3 – ...................................................................................................................................................................
4 – ...................................................................................................................................................................
5 – ...................................................................................................................................................................
6 – ...................................................................................................................................................................
7 – ...................................................................................................................................................................
8 – ...................................................................................................................................................................
Página 105
22 DE JULHO DE 2019
105
9 – Sem prejuízo das ponderações previstas nos números anteriores, nos pedidos de acesso a
documentos nominativos que não contenham dados pessoais que revelem a origem étnica, as opiniões
políticas, as convicções religiosas ou filosóficas, a filiação sindical, dados genéticos, biométricos ou relativos à
saúde, ou dados relativos à intimidade da vida privada, à vida sexual ou à orientação sexual de uma pessoa,
presume-se, na falta de outro indicado pelo requerente, que o pedido se fundamenta no direito de acesso a
documentos administrativos.»
Artigo 66.º
Norma revogatória
1 – É revogada a Lei n.º 67/98, de 26 de outubro, que transpõe para a ordem jurídica portuguesa a Diretiva
95/45/CE, do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção de pessoas
singulares no que diz respeito ao tratamento dos dados pessoais e à livre circulação desses dados.
2 – São revogados o n.º 3 do artigo 15.º e o n.º 2 do artigo 17.º da Lei n.º 43/2004, de 18 de agosto,
alterada pela Lei n.º 55-A/2010, de 31 de dezembro.
Artigo 67.º
Republicação
É republicada em anexo à presente lei, da qual faz parte integrante, a Lei n.º 43/2004, de 18 de agosto,
com a redação atual e com as necessárias correções formais.
Artigo 68.º
Entrada em vigor e produção de efeitos
1 – A presente lei entra em vigor no dia seguinte ao da sua publicação.
2 – O fiscal único a eleger nos termos do disposto no artigo 19.º-A da Lei n.º 43/2004, de 18 de agosto, só
pode iniciar o seu mandato a partir de 1 de janeiro de 2020.
Aprovado em 14 de junho de 2019.
O Presidente da Assembleia da República, Eduardo Ferro Rodrigues.
ANEXO
(a que se refere o artigo 67.º)
Republicação da Lei n.º 43/2004, de 18 de agosto
CAPÍTULO I
Disposições gerais
Artigo 1.º
Âmbito
A presente lei regula a organização e o funcionamento da Comissão Nacional de Proteção de Dados
(CNPD), bem como o estatuto pessoal dos seus membros.
Artigo 2.º
Natureza, atribuições e competências
1 – A CNPD é uma entidade administrativa independente, com personalidade jurídica de direito público e
Página 106
II SÉRIE-A — NÚMERO 131
106
poderes de autoridade, dotada de autonomia administrativa e financeira, que funciona junto da Assembleia da
República.
2 – A CNPD é a autoridade de controlo nacional para efeitos do Regulamento Geral de Proteção de Dados
(RGPD), aprovado pelo Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de
2016, e da lei que assegura a sua execução na ordem jurídica interna.
3 – A CNPD controla e fiscaliza o cumprimento do RGPD e da presente lei, bem como das demais
disposições legais e regulamentares em matéria de proteção de dados pessoais, a fim de defender os direitos,
liberdades e garantias das pessoas singulares no âmbito dos tratamentos de dados pessoais.
4 – A CNPD age com independência na prossecução das suas atribuições e no exercício dos poderes que
lhe são atribuídos pela presente lei.
CAPÍTULO II
Membros da CNPD
Artigo 3.º
Composição, designação e mandato dos membros
1 – A CNPD é composta por sete membros de integridade e mérito reconhecidos:
a) Um Presidente, eleito pela Assembleia da República;
b) Duas personalidades eleitas pela Assembleia da República segundo o método da média mais alta de
Hondt;
c) Dois magistrados, sendo um magistrado judicial, designado pelo Conselho Superior da Magistratura, e
um magistrado do Ministério Público, designado pelo Conselho Superior do Ministério Público;
d) Duas personalidades designadas pelo Governo;
3 – O mandato dos membros da CNPD é de cinco anos, renovável duas vezes, e cessa com a posse dos
novos membros.
4 – A designação dos membros da CNPD consta de lista publicada na 1.ª série do Diário da República.
5 – Os membros da CNPD tomam posse perante o Presidente da Assembleia da República nos 10 dias
seguintes à publicação da lista referida no número anterior.
Artigo 4.º
Incapacidades e incompatibilidades
1 – Só podem ser membros da CNPD os cidadãos que se encontrem no pleno gozo dos seus direitos civis
e políticos.
2 – Os membros da CNPD ficam sujeitos ao regime de incompatibilidades estabelecido para os titulares de
altos cargos públicos.
Artigo 5.º
Inamovibilidade
1 – Os membros da CNPD são inamovíveis, não podendo as suas funções cessar antes do termo do
mandato, salvo nos seguintes casos:
a) Morte ou impossibilidade física permanente ou com uma duração que se preveja ultrapassar a data do
termo do mandato;
b) Renúncia ao mandato;
c) Perda do mandato.
Página 107
22 DE JULHO DE 2019
107
2 – No caso de vacatura por um dos motivos previstos no número anterior, a vaga deve ser preenchida no
prazo de 30 dias após a sua verificação, através da designação de novo membro pela entidade competente.
3 – O membro designado nos termos do número anterior completa o mandato do membro que substitui.
Artigo 6.º
Renúncia
1 – Os membros da CNPD podem renunciar ao mandato através de declaração escrita apresentada à
Comissão.
2 – A renúncia torna-se efetiva com o seu anúncio e é publicada na 2.ª série do Diário da República.
Artigo 7.º
Perda do mandato
1 – Perdem o mandato os membros da CNPD que:
a) Sejam abrangidos por qualquer das incapacidades ou incompatibilidades previstas na lei;
b) Faltem, no mesmo ano civil, a três reuniões consecutivas ou a seis interpoladas, salvo motivo justificado;
c) Cometam violação do disposto na alínea c) do artigo 8.º, desde que judicialmente declarada.
2 – A perda do mandato é objeto, conforme os casos, de deliberação ou declaração a publicar na 2.ª série
do Diário da República.
Artigo 8.º
Deveres
Constituem deveres dos membros da CNPD:
a) Exercer o respetivo cargo com isenção, rigor e independência;
b) Participar ativa e assiduamente nos trabalhos do órgão que integram;
c) Guardar sigilo sobre as questões ou processos que estejam a ser objeto de apreciação, nos termos
previstos no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 e na
Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.
Artigo 9.º
Estatuto remuneratório
1 – O presidente da CNPD é remunerado de acordo com a tabela indiciária e o regime fixados para o cargo
de diretor-geral, cabendo aos restantes membros uma remuneração igual a 85% daquela, sem prejuízo da
faculdade de opção pelas remunerações correspondentes ao lugar de origem.
2 – O presidente da CNPD tem direito a um abono mensal para despesas de representação de montante
igual ao atribuído aos diretores-gerais.
3 – Os restantes membros da CNPD têm direito a um abono mensal para despesas de representação de
montante igual ao atribuído aos subdiretores-gerais.
4 – Os membros da CNPD beneficiam do regime geral de segurança social, se não estiverem abrangidos
por outro mais favorável.
Artigo 10.º
Garantias
Os membros da CNPD beneficiam das seguintes garantias:
Página 108
II SÉRIE-A — NÚMERO 131
108
a) Não podem ser prejudicados na estabilidade do seu emprego, na sua carreira profissional e no regime
de segurança social de que beneficiem;
b) O período correspondente ao exercício do mandato considera-se, para todos os efeitos legais, como
prestado no lugar de origem;
c) O período de duração do mandato suspende, a requerimento do interessado, a contagem dos prazos
para a apresentação de relatórios curriculares ou prestação de provas para a carreira de docente de ensino
superior ou para a de investigação científica, bem como a contagem dos prazos dos contratos de professores
convidados, assistentes, assistentes estagiários ou convidados;
d) Têm direito a ser dispensados das suas atividades públicas ou privadas, quando se encontrem em
funções de representação nacional ou internacional da Comissão.
Artigo 11.º
Impedimentos e suspeições
1 – Aos impedimentos e suspeições são aplicáveis, com as devidas adaptações, as disposições do Código
do Procedimento Administrativo.
2 – Os impedimentos e suspeições são apreciados pela CNPD.
Artigo 12.º
Cartão de identificação
1 – Os membros da CNPD possuem cartão de identificação, dele constando o cargo as regalias e os
direitos inerentes à sua função.
2 – O cartão de identificação é simultaneamente de livre trânsito e de acesso a todos os locais em que
sejam tratados dados pessoais sujeitos ao controlo da CNPD.
CAPÍTULO III
Funcionamento da CNPD
Artigo 13.º
Reuniões
1 – A CNPD funciona com carácter permanente.
2 – A CNPD tem reuniões ordinárias e extraordinárias.
3 – As reuniões extraordinárias têm lugar:
a) Por iniciativa do presidente;
b) A pedido de três dos seus membros.
4 – As reuniões da CNPD não são públicas e realizam-se nas suas instalações ou, por sua deliberação, em
qualquer outro local do território nacional, sendo a periodicidade estabelecida nos termos adequados ao
desempenho das suas funções.
5 – O presidente, quando o entender conveniente, pode, com o acordo da Comissão, convidar a participar
nas reuniões, salvo na fase decisória, qualquer pessoa cuja presença seja considerada útil.
6 – Das reuniões é lavrada ata, que, depois de aprovada pela CNPD, é assinada pelo presidente e pelo
secretário.
Artigo 14.º
Ordem de trabalhos
1 – A ordem de trabalhos para cada reunião ordinária é fixada pelo presidente, devendo ser comunicada
Página 109
22 DE JULHO DE 2019
109
aos vogais com a antecedência mínima de dois dias úteis relativamente à data prevista para a sua realização.
2 – A ordem de trabalhos deve incluir os assuntos que para esse fim lhe forem indicados por qualquer
vogal, desde que sejam da competência do órgão e o pedido seja apresentado por escrito com uma
antecedência mínima de cinco dias sobre a data da reunião.
Artigo 15.º
Deliberações
1 – A CNPD só pode reunir e deliberar com a presença de pelo menos quatro membros.
2 – As deliberações da CNPD são tomadas por maioria dos membros presentes, tendo o presidente voto
de qualidade.
3 – (Revogado).
Artigo 16.º
Publicidade
1 – São publicados no sítio da Internet da CNPD as deliberações relativas a:
a) Acreditação e certificação;
b) Revogação e anulação de acreditação e de certificação;
c) Códigos de conduta;
d) Autorizações;
e) Regras vinculativas.
2 – São ainda publicados naquele sítio os regulamentos e os pareceres sobre disposições legais e
regulamentares e instrumentos jurídicos em preparação em instituições da União Europeia e internacionais,
bem como as orientações e recomendações genéricas.
3 – São publicados na 2.ª série do Diário da República os regulamentos administrativos, incluindo os
relativos à fixação de taxas e os emitidos ao abrigo do disposto no n.º 3 do artigo 22.º.
Artigo 17.º
Denúncias e participações
1 – As denúncias e participações são apresentadas por escrito, em local específico para o efeito no sítio da
CNPD, sem prejuízo de, excecionalmente, desde que devidamente fundamentado, se admitir a sua
apresentação por correio eletrónico ou correio postal, podendo ser exigida a confirmação da identidade dos
seus autores.
2 – (Revogado).
3 – Quando a questão suscitada não for da competência da CNPD, deve a mesma ser encaminhada para a
entidade competente, com informação ao exponente.
4 – As reclamações, queixas e petições manifestamente infundadas podem ser arquivadas pelo membro da
Comissão a quem o respetivo processo tenha sido distribuído.
Artigo 18.º
Formalidades
1 – Os documentos dirigidos à CNPD e o processado subsequente não estão sujeitos a formalidades
especiais.
2 – A CNPD pode aprovar modelos ou formulários, em suporte eletrónico, com vista a permitir melhor
instrução dos processos.
3 – (Revogado).
Página 110
II SÉRIE-A — NÚMERO 131
110
4 – Os pedidos de parecer sobre disposições legais e regulamentares em preparação devem ser remetidos
à CNPD pelo titular do órgão com poder legiferante ou regulamentar, instruídos com o respetivo estudo de
impacto sobre a proteção de dados pessoais.
5 – Os pedidos de parecer sobre quaisquer outros instrumentos jurídicos da União Europeia ou
internacionais em preparação, relativos ao tratamento de dados pessoais, devem ser remetidos à CNPD pela
entidade que representa o Estado português no processo de elaboração da iniciativa, devidamente instruídos.
Artigo 19.º
Competências e substituição do presidente
1 – Compete ao presidente:
a) Representar a Comissão;
b) Superintender nos serviços de apoio;
c) Convocar as sessões e fixar a ordem de trabalhos;
d) Ouvida a Comissão, nomear o pessoal do mapa e autorizar transferências, requisições e
destacamentos;
e) Ouvida a Comissão, autorizar a contratação do pessoal referido no n.º 5 do artigo 30.º;
f) Outorgar contratos em nome da Comissão e obrigá-la nos demais negócios jurídicos;
g) Autorizar a realização de despesas dentro dos limites legalmente compreendidos na competência dos
ministros;
h) Aplicar coimas e homologar deliberações, nos termos previstos na lei;
i) Ouvida a Comissão, fixar as regras de distribuição dos processos;
j) Submeter à aprovação da Comissão o plano de atividades;
l) Em geral, assegurar o cumprimento das leis e a regularidade das deliberações.
2 – O presidente é substituído, nas suas faltas e impedimentos, pelo vogal que a Comissão designar.
Artigo 19.º-A
Fiscal único
1 – O fiscal único é o órgão responsável pelo controlo da legalidade, da regularidade e da boa gestão
financeira e patrimonial da CNPD, e de consulta por esta nesse domínio.
2 – O fiscal único é um revisor oficial de contas, designado pela Assembleia da República, por resolução, e
que toma posse perante o Presidente da Assembleia da República.
3 – O mandato do fiscal único tem a duração de cinco anos, não renovável, permanecendo em exercício de
funções até à efetiva substituição.
4 – O fiscal único é remunerado por valor correspondente a 25% da remuneração base auferida pelos
membros da CNPD.
5 – Compete, designadamente, ao fiscal único:
a) Acompanhar e controlar a gestão financeira e patrimonial da CNPD;
b) Examinar periodicamente a situação financeira e económica da CNPD e verificar o cumprimento das
normas reguladoras da sua atividade;
c) Emitir parecer prévio no prazo máximo de 10 dias sobre a aquisição, oneração, arrendamento e
alienação de bens móveis;
d) Emitir parecer sobre qualquer assunto que lhe seja submetido pela CNPD;
e) Participar às entidades competentes as irregularidades que detete.
Página 111
22 DE JULHO DE 2019
111
CAPÍTULO IV
Regime financeiro
Artigo 20.º
Regime de receitas e despesas
1 – As receitas e despesas da CNPD, que goza de autonomia administrativa e financeira, constam de
orçamento anual.
2 – Além das dotações que lhe forem atribuídas no orçamento da Assembleia da República, nos termos da
Lei n.º 59/90, de 21 de novembro, constituem receitas da CNPD:
a) O produto das taxas cobradas;
b) O produto da venda de publicações;
c) O produto dos encargos da passagem de certidões e acesso a documentos;
d) O montante das coimas cobradas que, nos termos previstos na lei, revertam a seu favor;
e) O saldo de gerência do ano anterior;
f) Os subsídios, subvenções, comparticipações, doações e legados, concedidos por entidades, públicas e
privadas, nacionais, estrangeiras, da União Europeia ou internacionais;
g) Quaisquer outras receitas que lhe sejam atribuídas por lei ou contrato.
3 – Constituem despesas da CNPD as que resultem dos encargos e responsabilidades decorrentes do seu
funcionamento, bem como quaisquer outras relativas à prossecução das suas atribuições.
4 – O orçamento anual, as respetivas alterações bem como as contas são aprovados pela CNPD.
5 – As contas da CNPD ficam sujeitas, nos termos gerais, ao controlo do Tribunal de Contas.
6 – A gestão do orçamento da CNPD, incluindo as dotações não integradas no orçamento da Assembleia
da República, fica sujeita ao regime deste último, sendo igualmente aplicável o regime previsto no n.º 10 do
artigo 60.º da Lei n.º 71/2018, de 31 de dezembro.
Artigo 21.º
Taxas
1 – A CNPD pode cobrar taxas:
a) Pela acreditação e certificação;
b) Pela consulta prévia;
c) Pela emissão de autorizações;
d) Pela apreciação de códigos de conduta;
e) Nos demais casos previstos por lei.
2 – O montante das taxas, que deve ser proporcional à complexidade do pedido e ao serviço prestado, é
fixado em regulamento pela CNPD.
3 – Em caso de comprovada insuficiência económica, o interessado poderá ficar isento, total ou
parcialmente, do pagamento das taxas referidas no n.º 1, mediante deliberação da CNPD.
CAPÍTULO V
Serviços de apoio
Artigo 22.º
Organização dos serviços de apoio
1 – A CNPD dispõe de serviços de apoio próprios que compreendem unidades e núcleos.
Página 112
II SÉRIE-A — NÚMERO 131
112
2 – Os serviços de apoio são constituídos pelas seguintes unidades:
a) Unidade de Direitos e Sanções;
b) Unidade de Inspeção;
c) Unidade de Relações Públicas e Internacionais;
d) Unidade de Informática;
e) Unidade de Apoio Administrativo e Financeiro.
3 – Compete à CNPD aprovar o regulamento de organização e funcionamento dos serviços de apoio, bem
como o regulamento de avaliação dos trabalhadores.
4 – Os serviços de apoio são dirigidos por um secretário, o qual tem direito à remuneração mais elevada de
consultor-coordenador, bem como a um abono mensal para despesas de representação no valor de 8% da
remuneração base.
5 – O secretário é nomeado por despacho do presidente, obtido parecer favorável da Comissão, com
observância dos requisitos legais adequados ao desempenho das respetivas funções, escolhido
preferencialmente de entre funcionários já pertencentes ao mapa da CNPD, habilitados com licenciatura e de
reconhecida competência para o desempenho do lugar.
6 – A nomeação do secretário é feita em regime de comissão de serviço, por períodos de três anos.
Artigo 23.º
Competências do secretário
1 – Compete ao secretário:
a) Secretariar a Comissão;
b) Dar execução às decisões da Comissão, de acordo com as orientações do presidente;
c) Assegurar a boa organização e funcionamento dos serviços de apoio, nomeadamente no tocante à
gestão financeira, do pessoal e das instalações e equipamento, de acordo com as orientações do presidente;
d) Elaborar o projeto de orçamento, bem como as respetivas alterações, e assegurar a sua execução;
e) Elaborar o projeto de relatório anual.
2 – O secretário é substituído, nas suas faltas e impedimentos, pelo técnico superior ou consultor
designado pelo presidente, obtido parecer favorável da Comissão.
Artigo 24.º
Unidade de Direitos e Sanções
Compete à Unidade de Direitos e Sanções assegurar o apoio técnico-jurídico, designadamente:
a) Instruir os processos de contraordenação, bem como outros processos abertos com base em
participações ou denúncias;
b) Preparar as peças processuais e representar a CNPD em processos judiciais, quando mandatados para
o efeito;
c) Preparar pareceres sobre projetos legislativos e regulamentares e sobre instrumentos jurídicos em
preparação em instituições da União Europeia e internacionais;
d) Analisar e preparar orientações sobre estudos de avaliação do impacto sobre a proteção de dados;
e) Instruir e propor decisões sobre processos de autorização prévia nos casos previstos em lei;
f) Instruir e propor decisões sobre processos de acreditação e de revisão de acreditação e certificações;
g) Analisar e preparar decisões em processos de notificação de violações de dados pessoais;
h) Analisar e preparar decisões sobre códigos de conduta;
i) Interagir com encarregados de proteção de dados;
j) Colaborar na organização de colóquios, seminários e outras iniciativas de difusão de matérias de
Página 113
22 DE JULHO DE 2019
113
proteção de dados pessoais;
k) Instruir e propor decisões relativas ao exercício de direitos pelos titulares dos dados pessoais;
l) Desempenhar quaisquer outras tarefas de âmbito técnico-jurídico.
Artigo 24.º-A
Unidade de Inspeção
Compete à Unidade de Inspeção realizar inspeções e auditorias no âmbito dos processos em curso, com
mandato do presidente da CNPD, em especial:
a) Fiscalizar a conformidade do tratamento de dados pessoais, podendo para tal aceder às instalações do
responsável e do subcontratante, aos equipamentos, aos meios de tratamento de dados, bem como a toda a
documentação que se revele necessária;
b) Investigar, no âmbito da assistência mútua e das operações conjuntas previstas nos artigos 61.º e 62.º
do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, os tratamentos de
dados pessoais, nas condições previstas na alínea anterior;
c) Realizar as auditorias da parte nacional dos sistemas de informação europeus, nos termos da legislação
da União Europeia.»
Artigo 25.º
Unidade de Relações Públicas e Internacionais
Compete à Unidade de Relações Públicas e Internacionais assegurar o apoio em matéria de informação,
documentação e relações públicas e na interação com autoridades europeias e internacionais,
designadamente:
a) Gerir os conteúdos do sítio da Internet e da Intranet da CNPD;
b) Organizar e manter atualizado um centro de documentação com a função de recolher bibliografia,
documentação, textos, diplomas legais, atos normativos e administrativos e demais elementos de informação
científica e técnica relacionada com a proteção de dados pessoais;
c) Promover a divulgação e o esclarecimento de direitos e obrigações relativos à proteção de dados
pessoais;
d) Assegurar os contactos com os órgãos de comunicação social;
e) Organizar, assessorar e dinamizar a realização de colóquios, seminários e outros eventos;
f) Colaborar na conceção e edição de publicações, bem como no relatório anual de atividades;
g) Desempenhar quaisquer outras tarefas, no âmbito da informação e comunicação;
h) Gerir as relações institucionais com organizações da União Europeia ou internacionais em matéria de
proteção de dados pessoais;
i) Assegurar as relações com as autoridades de controlo congéneres, em especial no âmbito das
competências do Comité Europeu para a Proteção de Dados;
j) Instruir e preparar decisões nos procedimentos de cooperação e coerência;
k) Instruir e preparar decisões quanto a transferências internacionais de dados pessoais.
Artigo 26.º
Unidade de Informática
1 – Compete à Unidade de Informática garantir o normal funcionamento das infraestruturas de informação e
comunicação da CNPD e o apoio técnico necessário na área das tecnologias de informação, nomeadamente:
a) Assegurar a gestão integrada e a manutenção do parque informático da CNPD e do respetivo sistema
de comunicações;
b) Assegurar o correto funcionamento da rede informática e dos sistemas de informação da CNPD;
c) Proceder aos estudos técnicos necessários à aquisição de material informático e de comunicação;
Página 114
II SÉRIE-A — NÚMERO 131
114
d) Assegurar o apoio aos utilizadores dos sistemas de informação e comunicação, bem como fomentar
junto dos mesmos boas práticas para uma utilização segura e adequada desses sistemas;
e) Assegurar a aplicação de normas de segurança que garantam a fiabilidade, confidencialidade e
durabilidade dos sistemas de informação;
f) Conceber a arquitetura global do sistema de informação da CNPD;
g) Desenhar, desenvolver e operacionalizar as aplicações e as interfaces necessárias ao exercício da
atividade da CNPD;
h) Desenhar, desenvolver e operacionalizar o sítio da Internet da CNPD;
i) Efetuar estudos sobre novas tecnologias com impacto no tratamento de dados pessoais.
Artigo 27.º
Unidade de Apoio Administrativo e Financeiro
Compete à Unidade de Apoio Administrativo e Financeiro apoiar a CNPD na gestão dos processos e dos
recursos humanos, financeiros e materiais, designadamente:
a) Preparar as propostas de orçamento e acompanhar a sua execução;
b) Assegurar o processamento e a contabilização das receitas e das despesas;
c) Elaborar a conta de gerência e o respetivo relatório;
d) Promover as aquisições de bens e serviços;
e) Administrar os bens de consumo, bem como gerir as instalações, viaturas e demais equipamentos ao
serviço da CNPD;
f) Elaborar e manter atualizado o inventário geral;
g) Promover o recrutamento, promoção e a contratação de trabalhadores, bem como a aplicação dos
instrumentos de mobilidade;
h) Processar os vencimentos dos trabalhadores, dos membros da CNPD e do fiscal único;
i) Organizar e manter atualizada a informação relativa aos trabalhadores, aos membros da CNPD e ao
fiscal único;
j) Promover a formação dos trabalhadores;
k) Promover a execução da avaliação dos trabalhadores;
l) Instruir e propor decisão em processos disciplinares;
m) Secretariar o presidente e o secretário;
n) Assegurar o registo e encaminhamento da correspondência, bem como a organização e arquivo de
documentos;
o) Assegurar o atendimento externo e o apoio a reuniões;
p) Assegurar a condução de viaturas e a sua manutenção e receber e entregar expediente e encomendas;
q) Desempenhar quaisquer outras tarefas que, no contexto da sua área funcional, sejam determinadas
pelo presidente ou pelo secretário.
Artigo 28.º
Regime de pessoal
1 – Aos trabalhadores da CNPD aplica-se o regime geral do trabalho em funções públicas.
2 – O pessoal da CNPD está isento de horário de trabalho, não sendo por isso devida qualquer
remuneração a título de horas extraordinárias, sem prejuízo do disposto no artigo 33.º.
Artigo 29.º
Cartão de identificação
Os trabalhadores da CNPD possuem cartão de identificação, dele constando o cargo desempenhado e os
poderes inerentes à sua função.
Página 115
22 DE JULHO DE 2019
115
CAPÍTULO VI
Disposições finais e transitórias
Artigo 30.º
Quadro de pessoal
1 – O quadro de pessoal, bem como o conteúdo funcional das respetivas carreiras, é fixado em resolução
da Assembleia da República.
2 – Os lugares de consultor da CNPD serão providos em regime de comissão de serviço, por tempo
indeterminado, requisição ou destacamento, no caso da nomeação recair em funcionário público, ou em
regime de contrato individual de trabalho, quando não vinculados à Administração Pública.
3 – São condições indispensáveis ao recrutamento de consultor a elevada competência profissional e
experiência válida para o exercício da função, a avaliar com base nos respetivos curricula.
4 – O prazo previsto no n.º 1 do artigo 97.º da Lei Geral do Trabalho em Funções Públicas, aprovada em
anexo à Lei n.º 35/2014, de 20 de junho, não é aplicável ao regime de mobilidade para os serviços de apoio à
CNPD, podendo, porém, a mobilidade ser dada por finda por decisão do presidente, ouvida a Comissão, ou a
pedido do interessado.
5 – Quando a complexidade e ou especificidade dos assuntos o exigir pode o presidente autorizar a
contratação de pessoal em regime de contrato de prestação de serviços.
6 – Para o desempenho de funções nos serviços de apoio da CNPD no âmbito dos mecanismos de
mobilidade, e sempre que se opere por iniciativa do trabalhador, é dispensado o acordo do serviço de origem.
Artigo 31.º
Trabalhadores em funções públicas
A nomeação em comissão de serviço de trabalhadores em funções públicas para o cargo de consultor não
determina a abertura de vaga no mapa de origem, ficando salvaguardados todos os direitos inerentes aos
seus anteriores cargos ou funções, designadamente para efeitos de promoção ou progressão.
Artigo 32.º
Remuneração base, recrutamento, promoção e progressão dos consultores
1 – A remuneração base mensal dos consultores da CNPD consta do mapa I anexo a esta lei, de que faz
parte integrante.
2 – A promoção e progressão nas categorias de consultor-coordenador e consultor rege-se pelos princípios
aplicáveis à carreira técnica superior.
3 – Pode haver lugar a recrutamento direto para a categoria de consultor-coordenador, desde que os
candidatos possuam adequada qualificação e experiência profissional para o efeito.
4 – Podem ser recrutados como consultores-adjuntos indivíduos licenciados com qualificações para o
exercício da função, sempre que não se justifique o recrutamento na categoria de consultor.
Artigo 33.º
Disponibilidade permanente
1 – O pessoal da CNPD tem direito a um suplemento remuneratório, a título de disponibilidade permanente,
de montante mensal correspondente a 12,5% da remuneração base.
2 – O suplemento é abonado em 12 mensalidades e releva para efeitos de aposentação, sendo
considerado no cálculo da pensão pela fórmula prevista na alínea b) do n.º 1 do artigo 47.º do Estatuto da
Aposentação.
3 – Ao pessoal da CNPD abrangido pelos n.os 1, 2, 7 e 9 do artigo 34.º não é atribuído o suplemento
referido nos números anteriores.
Página 116
II SÉRIE-A — NÚMERO 131
116
Artigo 34.º
Pessoal atualmente ao serviço da CNPD
1 – Os funcionários e agentes que prestam atualmente serviço na CNPD e que beneficiam do regime do n.º
3 do artigo 26.º da Lei n.º 67/98, de 26 de outubro, transitam para o novo quadro de acordo com as regras dos
números seguintes, mantendo o seu atual estatuto remuneratório, que passa a ter a natureza de remuneração
pessoal.
2 – Ao pessoal da CNPD, não vinculado à Administração Pública, que se encontre na situação do número
anterior aplica-se idêntico regime remuneratório, sendo porém a sua relação jurídica de emprego a do contrato
individual de trabalho, ao abrigo da lei geral aplicável à Administração Pública.
3 – Os lugares da carreira técnica superior e especialista de informática previstos no quadro de pessoal,
para garantir a transição prevista nos n.os 1 e 2, são lugares a extinguir quando vagarem.
4 – Os funcionários vinculados à Administração Pública a prestar serviço na CNPD à data da entrada em
vigor da presente lei transitam para o novo quadro, mediante deliberação daquela, para a carreira e categoria
que integre as funções que o funcionário efetivamente desempenhe, sem prejuízo das habilitações e
qualificações legalmente exigidas, em escalão a que corresponda o mesmo índice remuneratório, ou, quando
não houver coincidência de índice, em escalão a que corresponda o índice superior mais aproximado na
estrutura da carreira para que se processe a transição.
5 – A correspondência referida no número anterior fixa-se entre os índices remuneratórios definidos para o
escalão 1 da categoria em que o funcionário se encontra e o escalão 1 da categoria da nova carreira.
6 – Aos funcionários que, nos termos do n.º 1, transitem para categoria diversa será contado, nesta última,
para todos os efeitos legais, o tempo de serviço prestado na anterior, desde que no exercício de funções
idênticas ou semelhantes às da nova carreira.
7 – O disposto no n.º 1 aplica-se igualmente ao atual secretário, com as necessárias adaptações
decorrentes do regime de exercício de funções.
8 – A transição para os lugares do quadro da CNPD faz-se por despacho do presidente,
independentemente de quaisquer outras formalidades, sem prejuízo do disposto no n.º 1.
9 – A CNPD pode deliberar manter as comissões, requisições ou destacamentos do pessoal ao seu serviço
à data da entrada em vigor da presente lei, mantendo os funcionários que beneficiem do n.º 3 do artigo 26.º da
Lei n.º 67/98 o seu atual estatuto remuneratório, que passa a ter natureza de remuneração pessoal.
Artigo 35.º
Norma transitória
1 – A suspensão da comissão de serviço do presidente da CNPD mantém-se até ao termo do seu
mandato.
2 – A aplicação da presente lei no corrente ano faz-se no quadro orçamental aprovado para a CNPD em
2004.
Artigo 36.º
Norma revogatória
São revogados:
a) O Decreto-Lei n.º 121/93, de 16 de abril;
b) A Resolução da Assembleia da República n.º 53/94, de 19 de agosto.
Página 117
22 DE JULHO DE 2019
117
ANEXO
MAPA I
(a que se refere o n.º 1 do artigo 32.º)
1 2 3
Consultor-coordenador . . . . . . . . . . . . . . . . . . . 770 830 900
Consultor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 690 730 770
Consultor-adjunto . . . . . . . . . . . . . . . . . . . . . . . 500
A DIVISÃO DE REDAÇÃO.