Tratamento de Dados Pessoais para Prevenção, Deteção, Investigação ou Repressão de Infrações penais ou Execução de Sanções Penais

Lei n.º 59/2019, de 08 de agosto – Tratamento de Dados Pessoais para Prevenção, Deteção, Investigação ou Repressão de Infrações penais ou Execução de Sanções Penais.

Aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, transpondo a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.

https://dre.pt/home/-/dre/123815983/details/maximized

A Assembleia da República decreta, nos termos da alínea c) do artigo 161.º da Constituição, o seguinte:

CAPÍTULO I

Disposições gerais

Artigo 1.º

Objeto

A presente lei estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública, transpondo para a ordem jurídica interna a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.

Artigo 2.º

Âmbito de aplicação

1 – A presente lei é aplicável ao tratamento de dados pessoais para os efeitos previstos no artigo anterior, nos termos da lei processual penal e demais legislação aplicável.

2 – A presente lei aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento de dados pessoais contidos num ficheiro ou a ele destinados por meios não automatizados.

3 – A presente lei não se aplica ao tratamento de dados pessoais relacionados com a segurança nacional.

4 – O intercâmbio de dados pessoais entre autoridades competentes na União Europeia, quando legalmente exigido, não é limitado nem proibido por razões relacionadas com a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais.

Artigo 3.º

Definições

1 – Para os efeitos do disposto na presente lei, entende-se por:

a) «Estado-Membro», Estado-Membro da União Europeia;

b) «País terceiro», Estado que não integra a União Europeia;

c) «Dados pessoais», informações relativas a uma pessoa singular identificada ou identificável («titular dos dados»);

d) «Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, por difusão ou por qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

e) «Limitação do tratamento», a inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro;

f) «Definição de perfis», qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, a sua saúde, as suas preferências pessoais, os seus interesses, a sua fiabilidade, o seu comportamento, a sua localização ou as suas deslocações;

g) «Pseudonimização», o tratamento de dados pessoais para que deixem de poder ser atribuídos a um titular de dados específico sem recurso a informações suplementares, desde que estas sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável;

h) «Ficheiro», um conjunto estruturado de dados pessoais acessíveis segundo critérios específicos, centralizado, descentralizado ou repartido de modo funcional ou geográfico;

i) «Autoridade competente», uma autoridade pública responsável pela prevenção, investigação, deteção ou repressão de infrações penais ou de execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública, ou qualquer outro organismo ou entidade que exerça, nos termos da lei, a autoridade pública e os poderes públicos para os referidos efeitos;

j) «Responsável pelo tratamento», a entidade competente que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento dos dados pessoais, ou, no caso em que estes são determinados por lei, a autoridade nela indicada;

k) «Subcontratante», a pessoa singular ou coletiva, a autoridade pública, o serviço ou outro organismo que trata dados pessoais por conta do responsável pelo tratamento;

l) «Destinatário», a pessoa singular ou coletiva, a autoridade pública, o serviço ou outro organismo que recebe comunicações de dados pessoais, independentemente de ser ou não um terceiro, com exceção das autoridades públicas que recebem dados pessoais no âmbito de inquéritos específicos nos termos da lei, as quais, não sendo destinatários, observam as regras de proteção de dados pessoais, em função das finalidades do tratamento;

m) «Violação de dados pessoais», uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação não autorizada de dados pessoais transmitidos, conservados ou tratados de outro modo, ou o acesso não autorizado a esses dados;

n) «Dados genéticos», dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular, que forneçam informações únicas sobre a sua fisiologia ou sobre a sua saúde que resultem, designadamente, da análise de uma amostra biológica da pessoa singular em causa;

o) «Dados biométricos», dados pessoais resultantes de um tratamento técnico específico, relativos às características físicas, fisiológicas ou comportamentais de uma pessoa singular, que permitam ou confirmem a sua identificação única, tais como imagens faciais ou dados dactiloscópicos;

p) «Dados relativos à saúde», dados pessoais relativos à saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde;

q) «Autoridade de controlo», a Comissão Nacional de Proteção de Dados (CNPD), nos termos do disposto no artigo 43.º;

r) «Organização internacional», uma organização internacional e os organismos de direito internacional público por ela tutelados, ou outro organismo criado por um acordo celebrado entre dois ou mais países ou com base num acordo dessa natureza.

2 – Para os efeitos do disposto na alínea c) do número anterior, considera-se identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador como o nome, o número de identificação, dados de localização, identificadores em linha ou um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa.

3 – Para os efeitos do disposto na alínea i) do n.º 1, são autoridades competentes as forças e os serviços de segurança, os órgãos de polícia criminal, as autoridades judiciárias e os serviços prisionais e de reinserção social, no âmbito das suas atribuições de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, nos termos previstos nos respetivos estatutos e nas leis de segurança interna, de organização da investigação criminal e do processo penal.

CAPÍTULO II

Princípios relativos ao tratamento de dados pessoais

Artigo 4.º

Princípios gerais de proteção de dados

1 – O tratamento de dados pessoais deve processar-se no estrito respeito pelos direitos, liberdades e garantias das pessoas singulares, em especial pelo direito à proteção dos dados pessoais.

2 – Os dados pessoais são:

a) Objeto de um tratamento lícito e leal;

b) Recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser tratados de forma incompatível com essas finalidades;

c) Adequados, pertinentes e limitados ao mínimo necessário à prossecução das finalidades para as quais são tratados;

d) Exatos e atualizados sempre que necessário, devendo ser tomadas todas as medidas razoáveis para que os dados inexatos sejam apagados ou retificados sem demora;

e) Conservados de forma a permitir a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados;

f) Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidentais, recorrendo a medidas técnicas ou organizativas adequadas.

3 – O responsável pelo tratamento deve adotar as medidas que lhe permitam comprovar que o tratamento de dados pessoais é realizado em conformidade com os princípios enunciados no número anterior.

Artigo 5.º

Licitude do tratamento

1 – O tratamento de dados pessoais só é lícito se estiver previsto na lei e na medida em que for necessário para o exercício de uma atribuição da autoridade competente para os efeitos previstos no artigo 1.º, sem prejuízo do disposto no n.º 3.

2 – A lei indica, pelo menos, os objetivos do tratamento, os dados pessoais a tratar e as finalidades do tratamento.

3 – Caso não esteja autorizado por lei, o tratamento dos dados pessoais apenas pode ser realizado se for necessário para a proteção dos interesses vitais do titular dos dados ou de outra pessoa singular.

Artigo 6.º

Tratamento de categorias especiais de dados pessoais

1 – O tratamento dos dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas ou a filiação sindical, bem como dos dados genéticos, dos dados biométricos destinados a identificar uma pessoa singular de forma inequívoca, dos dados relativos à saúde ou dos dados relativos à vida sexual ou à orientação sexual, só pode ser efetuado se for estritamente necessário, se estiver sujeito a garantias adequadas de proteção dos direitos e liberdades do titular dos dados, e se:

a) For autorizado por lei;

b) Se destinar a proteger os interesses vitais do titular dos dados ou de outra pessoa singular; ou

c) Estiver relacionado com dados manifestamente tornados públicos pelo titular dos dados.

2 – São proibidas as definições de perfis que conduzam à discriminação de pessoas singulares com base nas categorias especiais de dados pessoais previstos no número anterior.

Artigo 7.º

Finalidades do tratamento

1 – É permitido o tratamento dos dados pessoais, pelo mesmo ou por outro responsável pelo tratamento, para finalidades diferentes daquelas para as quais os dados pessoais foram recolhidos, desde que essas outras finalidades se enquadrem nos fins previstos no artigo 1.º e que:

a) O responsável pelo tratamento esteja autorizado por lei a tratar os dados pessoais para essa finalidade; e

b) O tratamento seja necessário e proporcional a essa outra finalidade, nos termos da lei.

2 – O tratamento pelo mesmo ou por outro responsável inclui o arquivo de interesse público e a utilização científica, estatística ou histórica dos dados para os efeitos previstos no artigo 1.º, sob reserva de garantias adequadas dos direitos, liberdades e garantias do titular dos dados.

Artigo 8.º

Condições específicas de tratamento

1 – Os dados pessoais recolhidos pelas autoridades competentes para os fins previstos no artigo 1.º não podem ser tratados para fins diferentes, salvo se esse tratamento for autorizado por lei, sendo neste caso aplicável ao tratamento de dados para esses e outros fins o disposto no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, e na Lei n.º 58/2019, de 8 de agosto.

2 – Nos casos em que as autoridades competentes exerçam atribuições para efeitos diversos dos previstos no artigo 1.º, é aplicável ao tratamento de dados para esses outros fins, incluindo os de arquivo de interesse público, de investigação científica ou histórica ou fins estatísticos, o disposto no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, e na Lei n.º 58/2019, de 8 de agosto.

3 – Se a autoridade competente proceder a uma transmissão de dados cujo tratamento esteja sujeito a condições específicas, a autoridade transmissora informa o destinatário dos dados pessoais dessas condições e da obrigação de as cumprir.

4 – Na transmissão de dados à Eurojust, à Europol e a outros organismos de cooperação judiciária e policial em matéria penal criados no âmbito da União Europeia, bem como às autoridades competentes de outros Estados-Membros, não podem ser aplicadas condições específicas diferentes das previstas para as transmissões de dados similares entre autoridades nacionais.

Artigo 9.º

Distinção entre diferentes categorias de titulares de dados

O responsável pelo tratamento deve estabelecer, se aplicável e sempre que possível, uma distinção clara entre os dados pessoais de diferentes categorias de titulares de dados, tais como:

a) Pessoas relativamente às quais existem motivos fundados para crer que cometeram ou estão prestes a cometer uma infração penal;

b) Pessoas condenadas pela prática de uma infração penal;

c) Vítimas de uma infração penal ou pessoas relativamente às quais certos factos levam a crer que possam vir a ser vítimas de uma infração penal; e

d) Terceiros envolvidos numa infração penal, tais como pessoas que possam ser chamadas a testemunhar em processo penal, pessoas que possam fornecer informações sobre infrações penais, ou contactos ou associados de uma das pessoas a que se referem as alíneas a) e b).

Artigo 10.º

Distinção entre dados pessoais e verificação da qualidade dos dados pessoais

1 – Sempre que possível, os dados pessoais baseados em factos devem ser distinguidos dos dados pessoais baseados em apreciações pessoais.

2 – Não podem ser transmitidos nem disponibilizados dados pessoais inexatos, incompletos, desatualizados ou não confiáveis.

3 – Para os efeitos previstos no número anterior, as autoridades competentes verificam, sempre que possível, a qualidade dos dados pessoais antes de estes serem transmitidos ou disponibilizados.

4 – Nos casos de transmissão de dados pessoais, as autoridades competentes que os transferem devem fornecer, sempre que possível, as informações necessárias para que as autoridades competentes que os recebem possam apreciar se os dados são exatos, completos, atuais e fiáveis.

5 – Se se verificar que foram transmitidos dados inexatos ou que foram transmitidos dados pessoais de forma ilícita, o destinatário deve ser informado sem demora, devendo proceder-se à retificação ou ao apagamento dos dados em causa ou à limitação do seu tratamento, nos termos do artigo 17.º

Artigo 11.º

Decisões individuais automatizadas

1 – São proibidas as decisões tomadas exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, que produzam efeitos adversos na esfera jurídica do titular dos dados ou que o afetem de forma significativa, exceto quando autorizadas por lei, desde que seja previsto o direito de o titular dos dados obter a intervenção humana do responsável pelo tratamento.

2 – As decisões a que se refere o número anterior não podem basear-se nas categorias especiais de dados pessoais previstos no artigo 6.º

Artigo 12.º

Prazos para conservação e avaliação

1 – Os dados pessoais só podem ser tratados durante o período necessário para a prossecução das finalidades da recolha, ou do tratamento posterior autorizado nos termos do artigo 7.º, findo o qual devem ser apagados, sem prejuízo da sua pseudonimização logo que as finalidades do tratamento o permitam.

2 – O responsável pelo tratamento avalia periodicamente a necessidade de conservar os dados pessoais tratados, de acordo com procedimentos internos adotados para esse efeito, nos quais se deve fixar, nomeadamente, a periodicidade da avaliação.

3 – A periodicidade de avaliação da necessidade de conservar os dados pessoais deve ser determinada em função das diferentes categorias de titulares de dados previstos no artigo 9.º, bem como da necessidade de conservação dos dados em causa para as finalidades do tratamento.

4 – A decisão de conservar os dados pessoais por períodos adicionais ao prazo de conservação original deve ser documentada, justificada e notificada aos titulares dos dados, sem prejuízo do disposto no artigo 16.º

5 – As autoridades competentes devem utilizar sistemas informáticos que facilitem a avaliação periódica da necessidade de conservar os dados e o seu apagamento ou pseudonimização, nomeadamente através de alertas e de medidas de proteção automáticas, tais como a limitação de acesso ou a ocultação dos dados.

CAPÍTULO III

Direitos do titular dos dados

Artigo 13.º

Comunicações e exercício dos direitos do titular dos dados

1 – O responsável pelo tratamento facilita o exercício dos direitos do titular dos dados nos termos dos artigos 11.º e 15.º a 19.º

2 – O responsável pelo tratamento fornece ao titular dos dados as informações a que se refere o artigo 14.º e efetua as comunicações relativas aos artigos 11.º, 15.º a 19.º e 33.º de uma forma concisa, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, e pelos meios adequados, incluindo meios eletrónicos, e, sempre que possível, com recurso ao meio utilizado no pedido.

3 – O responsável pelo tratamento informa o titular dos dados do seguimento dado ao seu pedido, por escrito, e sem demora injustificada, num prazo não superior a 30 dias, que pode ser renovado por mais 30 dias, em caso de motivo justificado.

4 – A prestação de informações e o exercício dos direitos são gratuitos, sem prejuízo do disposto no número seguinte.

5 – Nos casos em que o pedido do titular dos dados seja manifestamente infundado ou excessivo, designadamente devido ao seu caráter repetitivo, o responsável pelo tratamento, mediante decisão fundamentada, pode:

a) Exigir o pagamento de uma taxa de montante a fixar por portaria do membro do Governo responsável pela área da justiça, tendo em conta os custos administrativos associados; ou

b) Recusar dar seguimento ao pedido.

6 – Se tiver dúvidas razoáveis quanto à identidade da pessoa que apresenta o pedido ao abrigo dos artigos 15.º e 17.º, o responsável pelo tratamento pode solicitar ao requerente que lhe sejam fornecidas as informações adicionais necessárias para confirmar a sua identidade.

Artigo 14.º

Informações a disponibilizar ou a fornecer pelo responsável pelo tratamento

1 – O responsável pelo tratamento disponibiliza publicamente e de forma permanentemente acessível as informações sobre:

a) A identidade e os contactos do responsável pelo tratamento;

b) Os contactos do encarregado da proteção de dados;

c) As finalidades do tratamento a que os dados pessoais se destinam;

d) O direito de apresentar queixa à autoridade de controlo e os contactos dessa autoridade;

e) O direito de solicitar ao responsável pelo tratamento acesso aos dados pessoais que lhe dizem respeito, bem como a sua retificação ou o seu apagamento e a limitação do tratamento.

2 – Para além das informações a que se refere o número anterior, e sem prejuízo do disposto no número seguinte, o responsável pelo tratamento fornece ao titular dos dados as seguintes informações adicionais a fim de lhe permitir exercer os seus direitos:

a) O fundamento jurídico do tratamento;

b) O prazo de conservação dos dados pessoais, os critérios utilizados para o definir ou os procedimentos previstos para revisão periódica da necessidade de conservação;

c) As categorias de destinatários dos dados pessoais, se for o caso, inclusivamente nos países terceiros ou nas organizações internacionais;

d) Se necessário, outras informações adicionais, especialmente se os dados pessoais tiverem sido recolhidos sem o conhecimento do seu titular.

3 – A prestação de informações a que se refere o número anterior pode ser adiada, limitada ou recusada se e enquanto tal for necessário e proporcional para:

a) Evitar prejuízo para investigações, inquéritos ou processos judiciais;

b) Evitar prejuízo para a prevenção, deteção, investigação ou repressão de infrações penais ou para a execução de sanções penais;

c) Proteger a segurança pública;

d) Proteger a segurança nacional; ou

e) Proteger os direitos, liberdades e garantias de terceiros.

Artigo 15.º

Direito de acesso do titular dos dados aos seus dados pessoais

1 – Sem prejuízo do disposto no artigo seguinte, o titular dos dados tem direito a obter do responsável pelo tratamento, com periodicidade razoável, informação sobre se os dados pessoais que lhe dizem respeito estão ou não a ser objeto de tratamento.

2 – Em caso afirmativo, o titular dos dados tem o direito de aceder aos seus dados pessoais e às informações sobre:

a) As finalidades e o fundamento jurídico do tratamento;

b) As categorias dos dados pessoais em causa;

c) Os destinatários ou as categorias de destinatários aos quais os dados pessoais foram transmitidos, especialmente se se tratar de destinatários de países terceiros ou de organizações internacionais;

d) Sempre que possível, o prazo previsto de conservação dos dados pessoais ou, se não for possível, os critérios utilizados para fixar esse prazo;

e) O direito de solicitar ao responsável pelo tratamento a retificação ou o apagamento dos dados pessoais ou a limitação do tratamento dos dados pessoais que lhe dizem respeito;

f) O direito de apresentar queixa à autoridade de controlo e de obter os contactos dessa autoridade;

g) A comunicação dos dados pessoais sujeitos a tratamento, bem como as informações disponíveis sobre a origem dos mesmos.

Artigo 16.º

Limitações do direito de acesso

1 – O responsável pelo tratamento pode recusar ou restringir o direito de acesso do titular dos dados enquanto tal limitação constituir uma medida necessária e proporcional para:

a) Evitar prejuízo para investigações, inquéritos ou processos judiciais;

b) Evitar prejuízo para a prevenção, deteção, investigação ou repressão de infrações penais ou para a execução de sanções penais;

c) Proteger a segurança pública;

d) Proteger a segurança nacional; ou

e) Proteger os direitos, liberdades e garantias de terceiros.

2 – Nos casos previstos no número anterior, o responsável pelo tratamento informa o titular dos dados, por escrito e sem demora injustificada, dos motivos da recusa ou da limitação do acesso.

3 – A informação a que se refere o número anterior pode ser omitida apenas na medida em que a sua prestação possa prejudicar uma das finalidades enunciadas no n.º 1.

4 – Nos casos previstos no número anterior, o responsável pelo tratamento informa o titular dos dados do direito que lhe assiste de apresentar um pedido de verificação à autoridade de controlo nos termos do artigo 18.º, ou de intentar a competente ação judicial.

5 – O responsável pelo tratamento disponibiliza à autoridade de controlo informação sobre os motivos de facto e de direito que fundamentam a decisão de recusa ou de limitação do direito de acesso, bem como da omissão de informação ao titular dos dados.

Artigo 17.º

Direito de retificação ou apagamento dos dados pessoais e de limitação do tratamento

1 – O titular dos dados tem o direito de obter do responsável pelo tratamento, sem demora injustificada, a retificação dos dados pessoais inexatos que lhe digam respeito, bem como o direito a que os seus dados pessoais incompletos sejam completados, nomeadamente por meio de declaração adicional.

2 – O titular dos dados tem o direito de obter do responsável pelo tratamento, sem demora injustificada, o apagamento dos dados pessoais que lhe digam respeito nos casos em que o tratamento não respeite o disposto nos artigos 4.º a 7.º ou nos casos em que o apagamento seja exigido para dar cumprimento a uma obrigação legal a que o responsável pelo tratamento esteja sujeito.

3 – Em vez de proceder ao apagamento, o responsável pelo tratamento limita o tratamento, no caso de:

a) O titular dos dados contestar a exatidão dos dados pessoais e a sua exatidão ou inexatidão não puder ser apurada;

b) Os dados pessoais deverem ser conservados para efeitos de prova.

4 – Nos casos previstos na alínea a) do número anterior, o responsável pelo tratamento informa o titular dos dados antes de pôr termo à limitação do tratamento.

5 – A limitação do tratamento implica que os dados só possam ser tratados para as finalidades que impediram o seu apagamento, devendo o responsável pelo tratamento adotar as medidas técnicas e organizativas adequadas para assegurar que a limitação é respeitada.

6 – O titular dos dados é informado, por escrito, da decisão de recusa do pedido de retificação ou de apagamento ou da limitação do tratamento e dos respetivos fundamentos.

7 – A informação a que se refere o número anterior pode ser omitida ou limitada pelo responsável pelo tratamento na medida em que tal omissão ou limitação constitua uma medida necessária e proporcional para:

a) Evitar prejuízo para investigações, inquéritos, ou processos judiciais;

b) Evitar prejuízo para a prevenção, deteção, investigação ou repressão de infrações penais ou a execução de sanções penais;

c) Proteger a segurança pública;

d) Proteger a segurança nacional; ou

e) Proteger os direitos e as liberdades de terceiros.

8 – Nos casos previstos no número anterior, o responsável pelo tratamento informa o titular dos dados do direito de apresentar um pedido de verificação à autoridade de controlo nos termos do artigo 18.º, ou de intentar a competente ação judicial.

9 – A retificação dos dados pessoais é comunicada à autoridade competente de origem dos dados inexatos.

10 – Em caso de transmissão de dados, o responsável pelo tratamento informa os destinatários da retificação ou do apagamento ou da limitação do tratamento, devendo estes retificar ou apagar os dados ou limitar o tratamento em conformidade com essa informação.

Artigo 18.º

Exercício dos direitos do titular dos dados e verificação pela autoridade de controlo

1 – Em caso de recusa de informação, acesso, retificação, apagamento ou limitação de tratamento com fundamento no disposto no n.º 3 do artigo 14.º, no n.º 1 do artigo 16.º ou no n.º 7 do artigo anterior, o titular dos dados pode solicitar à autoridade de controlo que verifique a licitude do tratamento.

2 – O responsável pelo tratamento informa o titular dos dados do direito que lhe assiste nos termos do número anterior.

3 – Nos casos referidos no n.º 1, a autoridade de controlo informa o titular dos dados de que procedeu a todas as verificações necessárias ou a um reexame do tratamento e do direito que lhe assiste de intentar a competente ação judicial.

Artigo 19.º

Direitos do titular dos dados em casos especiais

Os direitos de informação, de acesso, de retificação, de apagamento e de limitação do tratamento de dados pessoais constantes de um processo penal, de uma decisão judicial ou do registo criminal são exercidos nos termos da lei processual penal e da demais legislação aplicável.

CAPÍTULO IV

Responsável pelo tratamento e subcontratante

Artigo 20.º

Obrigações do responsável pelo tratamento

1 – O responsável pelo tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos, liberdades e garantias das pessoas, adota as medidas técnicas e organizativas adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com a presente lei.

2 – As medidas adotadas nos termos do número anterior são regularmente avaliadas e atualizadas.

Artigo 21.º

Requisitos mínimos da proteção de dados

1 – O responsável pelo tratamento adota as medidas técnicas e organizativas que assegurem de forma eficaz o respeito pelos princípios da proteção de dados, bem como as garantias necessárias para satisfazer os requisitos estabelecidos na presente lei e para proteger os direitos dos titulares dos dados.

2 – O responsável pelo tratamento aplica as medidas técnicas e organizativas adequadas que assegurem que apenas são tratados os dados pessoais necessários para cada finalidade específica do tratamento.

3 – Para os efeitos do número anterior, o responsável pelo tratamento avalia o volume de dados pessoais recolhidos, a extensão do tratamento, o prazo de conservação e a acessibilidade, devendo assegurar que, por defeito, os dados pessoais não são disponibilizados a um número indeterminado de pessoas sem o consentimento do respetivo titular dos dados.

4 – As medidas referidas no n.º 1 são asseguradas tanto nos momentos da conceção, do desenvolvimento e da aplicação dos meios de tratamento como no momento do próprio tratamento, de modo a permitir, designadamente, a pseudonimização e a minimização dos dados.

Artigo 22.º

Responsáveis conjuntos pelo tratamento

1 – Para os efeitos da presente lei, quando dois ou mais responsáveis pelo tratamento de dados determinam conjuntamente as finalidades e os meios do tratamento, ambos são responsáveis conjuntos pelo tratamento.

2 – Os responsáveis conjuntos determinam as respetivas responsabilidades por mútuo acordo, de forma transparente e devidamente documentada a fim de garantir o cumprimento da presente lei, nomeadamente no que diz respeito ao exercício dos direitos do titular dos dados e aos deveres de facultar a informação a que se refere o artigo 14.º, salvo nos casos em que a responsabilidade seja determinada por lei.

3 – O acordo previsto no número anterior identifica qual dos responsáveis é o ponto de contacto dos titulares dos dados para o exercício dos seus direitos, sem prejuízo de a pretensão poder ser dirigida a qualquer deles.

Artigo 23.º

Tratamento dos dados por subcontratante

1 – O responsável pelo tratamento pode recorrer a subcontratantes que apresentem garantias suficientes de adoção de medidas técnicas e organizativas adequadas de modo a que o tratamento satisfaça os requisitos estabelecidos na presente lei e assegure a proteção dos direitos do titular dos dados.

2 – O subcontratante não pode recorrer a outro subcontratante sem a autorização prévia específica ou geral, por escrito, do responsável pelo tratamento, com exceção dos casos em que a subcontratação esteja prevista na lei.

3 – Em caso de autorização geral, o subcontratante informa o responsável pelo tratamento de todas as alterações pretendidas quanto à contratação de outros subcontratantes, podendo o responsável pelo tratamento opor-se a essas alterações.

4 – O tratamento de dados em subcontratação é regulado por contrato escrito ou por lei que estabeleça o objeto, a duração, a natureza e a finalidade do tratamento, o tipo de dados pessoais e as categorias de titulares de dados a tratar, bem como as obrigações e os direitos do responsável pelo tratamento.

5 – O contrato ou a lei referidos no número anterior preveem, designadamente, que o subcontratante:

a) Só aja de acordo com as instruções do responsável pelo tratamento;

b) Assegure que as pessoas autorizadas a tratar os dados pessoais assumem um compromisso de confidencialidade ou se encontram sujeitas a obrigações legais de confidencialidade;

c) Preste assistência ao responsável pelo tratamento por todos os meios adequados de modo a assegurar o cumprimento das disposições relativas aos direitos do titular dos dados;

d) Após concluir os serviços de tratamento, apague de forma definitiva ou devolva os dados ao responsável pelo tratamento, consoante a escolha deste, e apague as cópias existentes, a menos que a sua conservação seja exigida por lei;

e) Disponibilize ao responsável pelo tratamento as informações necessárias para demonstrar o cumprimento do disposto no presente artigo;

f) Respeite as condições referidas nos n.os 2 e 3 no que respeita à contratação de outro subcontratante;

g) Adote as medidas técnicas e organizativas adequadas que assegurem a proteção dos dados pessoais, em conformidade com o exigido na presente lei, devendo considerar o princípio da proteção de dados desde a conceção e por defeito.

Artigo 24.º

Tratamento sob a autoridade do responsável pelo tratamento ou do subcontratante

O subcontratante, bem como qualquer pessoa que, agindo sob a autoridade deste ou do responsável pelo tratamento, tenha acesso a dados pessoais, não pode efetuar o respetivo tratamento sem instruções do responsável pelo tratamento.

Artigo 25.º

Dever de sigilo

Os responsáveis pelo tratamento, os subcontratantes, bem como qualquer outra pessoa que, no exercício das suas funções, tenha acesso aos dados pessoais, ficam obrigados a sigilo profissional, mesmo após o termo das suas funções.

Artigo 26.º

Registos das atividades de tratamento

1 – O responsável pelo tratamento conserva um registo de todas as categorias de atividades de tratamento sob a sua responsabilidade.

2 – O registo deve conter:

a) O nome e os contactos do responsável pelo tratamento e, se for o caso, dos responsáveis conjuntos pelo tratamento e do encarregado da proteção de dados;

b) As finalidades do tratamento;

c) As categorias de destinatários aos quais os dados pessoais são divulgados ou facultados, incluindo os destinatários estabelecidos em países terceiros ou organizações internacionais;

d) A descrição das categorias de titulares de dados e das categorias de dados pessoais;

e) A utilização da definição de perfis, se for caso disso;

f) As categorias de transferências de dados pessoais para um país terceiro ou para uma organização internacional, se for caso disso;

g) A indicação do fundamento jurídico do tratamento, incluindo das transferências, a que os dados pessoais se destinam;

h) Se possível, os prazos de conservação das diferentes categorias de dados pessoais ou os procedimentos previstos para revisão periódica da necessidade de conservação;

i) Uma descrição geral das medidas técnicas e organizativas em matéria de segurança referidas no artigo 31.º;

j) Os pedidos apresentados pelos titulares dos dados e a respetiva tramitação, bem como as decisões do responsável pelo tratamento com a correspondente fundamentação.

3 – O subcontratante conserva um registo de todas as categorias de atividades de tratamento realizadas em nome do responsável pelo tratamento, do qual constam:

a) O nome e os contactos do subcontratante ou subcontratantes, de cada responsável pelo tratamento em nome do qual atua o subcontratante e do encarregado da proteção de dados, se for caso disso;

b) As categorias de tratamentos de dados efetuados em nome de cada responsável pelo tratamento;

c) Se for caso disso, as transferências de dados pessoais para um país terceiro ou para uma organização internacional e as instruções do responsável pelo tratamento para as transferências, incluindo a identificação desse país terceiro ou dessa organização internacional;

d) Uma descrição geral das medidas técnicas e organizativas em matéria de segurança referidas no artigo 31.º

4 – Os registos a que se referem os números anteriores são conservados por escrito e em suporte duradouro, designadamente em formato eletrónico.

5 – O responsável pelo tratamento e o subcontratante facultam os registos previstos nos números anteriores à autoridade de controlo, a pedido desta.

Artigo 27.º

Registo cronológico

1 – O responsável pelo tratamento e o subcontratante conservam em sistemas de tratamento automatizado registos cronológicos das seguintes operações de tratamento:

a) Recolha;

b) Alteração;

c) Consulta;

d) Divulgação, incluindo transferências;

e) Interconexão;

f) Apagamento; e

g) Limitação do tratamento, incluindo as datas de início e de cessação da limitação.

2 – Os registos cronológicos das operações de consulta e de divulgação devem permitir determinar o motivo, a data e a hora dessas operações, a identificação da pessoa que consultou ou divulgou dados pessoais e, sempre que possível, a identidade dos destinatários desses dados pessoais.

3 – Os registos cronológicos são utilizados exclusivamente para efeitos de verificação da licitude do tratamento, autocontrolo, exercício do poder disciplinar e garantia da integridade e segurança dos dados pessoais, bem como no âmbito e para efeitos de processo penal.

4 – O responsável pelo tratamento e o subcontratante disponibilizam os registos cronológicos à autoridade de controlo, a pedido desta.

5 – As leis específicas reguladoras das operações de tratamento dos dados para as finalidades previstas no artigo 1.º definem os períodos de conservação aplicáveis aos registos cronológicos.

6 – O responsável pelo tratamento e o subcontratante adotam medidas técnicas que garantam a integridade dos registos cronológicos.

Artigo 28.º

Dever de colaboração

O responsável pelo tratamento e o subcontratante colaboram plenamente com a autoridade de controlo no exercício das suas atribuições.

Artigo 29.º

Avaliação de impacto

1 – No caso de um certo tipo de tratamento ser suscetível de representar um elevado risco para os direitos, liberdades e garantias das pessoas, o responsável pelo mesmo deve efetuar uma avaliação do impacto das operações que o compõem antes de lhe dar início.

2 – Tendo em conta os direitos, liberdades e garantias das pessoas, a avaliação do impacto inclui:

a) Uma descrição geral das operações de tratamento previstas;

b) Uma avaliação dos riscos para os direitos, liberdades e garantias dos titulares dos dados;

c) As medidas previstas para fazer face aos riscos mencionados na alínea anterior;

d) As garantias, as medidas de segurança e os mecanismos para assegurar a proteção dos dados pessoais e demonstrar a conformidade do tratamento com a presente lei.

Artigo 30.º

Consulta prévia da autoridade de controlo

1 – O responsável pelo tratamento ou o subcontratante consultam a autoridade de controlo antes de proceder ao tratamento de dados pessoais a integrar em ficheiro a criar nos casos em que:

a) A avaliação de impacto prevista no artigo anterior indique que o tratamento resultaria num elevado risco, na ausência de medidas adequadas para atenuar esse risco; ou

b) O tipo de tratamento envolva um elevado risco para os direitos, liberdades e garantias dos titulares dos dados, designadamente se utilizar novas tecnologias.

2 – A autoridade de controlo é consultada durante a elaboração de instrumentos jurídicos em preparação na União Europeia ou em instituições internacionais e durante a elaboração de acordos bilaterais ou multilaterais a celebrar entre o Estado Português e outros Estados, bem como de propostas legislativas e regulamentares referentes ao tratamento de dados pessoais, podendo, igualmente, emitir pareceres, por iniciativa própria, sobre qualquer questão relacionada com a proteção de dados pessoais.

3 – A autoridade de controlo pode elaborar e publicitar uma lista das operações de tratamento sujeitas a consulta prévia nos termos do n.º 1.

4 – O responsável pelo tratamento fornece à autoridade de controlo a avaliação de impacto prevista no artigo anterior e, quando solicitado, qualquer outra informação que lhe permita avaliar a conformidade do tratamento com a presente lei, os riscos para a proteção dos dados pessoais e as respetivas garantias.

5 – Caso considere que o tratamento previsto no n.º 1 viola o disposto na presente lei, especialmente se o responsável pelo tratamento não tiver identificado ou atenuado de forma suficiente os riscos, a autoridade de controlo dá orientações por escrito ao responsável pelo tratamento ou ao subcontratante no prazo de seis semanas a contar da receção do pedido de consulta, sem prejuízo de poder adotar outras medidas da sua competência.

6 – O prazo previsto no número anterior pode ser prorrogado por um mês, tendo em conta a complexidade do tratamento em causa, devendo a autoridade de controlo informar o responsável pelo tratamento ou o subcontratante dessa prorrogação e dos respetivos fundamentos.

Artigo 31.º

Segurança do tratamento

1 – O responsável pelo tratamento e o subcontratante adotam as medidas técnicas e organizativas apropriadas a fim de assegurarem um nível de segurança adequado ao risco, em particular no que diz respeito ao tratamento das categorias especiais de dados pessoais referidos no artigo 6.º

2 – No que respeita ao tratamento automatizado de dados, o responsável pelo tratamento ou o subcontratante, tendo em conta a avaliação dos riscos, devem aplicar medidas que:

a) Impeçam o acesso de pessoas não autorizadas ao equipamento utilizado para o tratamento (controlo de acesso ao equipamento);

b) Impeçam que os suportes de dados sejam lidos, copiados, alterados ou retirados sem autorização (controlo dos suportes de dados);

c) Impeçam a introdução não autorizada de dados pessoais, bem como qualquer operação não autorizada relativamente a dados pessoais conservados (controlo da conservação);

d) Impeçam que os sistemas de tratamento automatizado sejam utilizados por pessoas não autorizadas por meio de equipamento de comunicação de dados (controlo dos utilizadores);

e) Assegurem que as pessoas autorizadas a utilizar um sistema de tratamento automatizado só tenham acesso aos dados pessoais abrangidos pela sua autorização de acesso (controlo do acesso aos dados);

f) Assegurem que possa ser verificado e determinado a que organismos os dados pessoais foram ou podem ser transmitidos ou facultados utilizando equipamento de comunicação de dados (controlo da comunicação);

g) Assegurem que possa ser verificado e determinado a posteriori quais os dados pessoais introduzidos nos sistemas de tratamento automatizado, quando e por quem foram introduzidos (controlo da introdução);

h) Impeçam que, durante as transferências de dados pessoais ou o transporte de suportes de dados, os dados pessoais possam ser lidos, copiados, alterados ou suprimidos sem autorização (controlo do transporte);

i) Assegurem que os sistemas utilizados possam ser restaurados em caso de interrupção (recuperação);

j) Assegurem que as funções do sistema funcionam, que os erros de funcionamento sejam assinalados (fiabilidade) e que os dados pessoais conservados não possam ser falseados por funcionamento defeituoso do sistema (integridade).

3 – O disposto no número anterior é aplicável, com as devidas adaptações, ao tratamento manual de dados contidos ou destinados a um ficheiro estruturado.

Artigo 32.º

Notificação de uma violação de dados pessoais à autoridade de controlo

1 – Caso se verifique uma violação de dados pessoais, o responsável pelo tratamento notifica a autoridade de controlo no prazo de 72 horas após ter conhecimento da situação, a menos que a violação não seja suscetível de resultar num risco para os direitos, liberdades e garantias das pessoas singulares.

2 – Nos casos em que não seja possível efetuar a notificação no prazo de 72 horas, o responsável pelo tratamento deve indicar os motivos do atraso.

3 – A notificação a que se refere o n.º 1 é confidencial e deve, no mínimo:

a) Descrever a natureza da violação de dados pessoais, incluindo, se possível e adequado, as categorias e o número aproximado de titulares dos dados afetados e as categorias e o número aproximado de registos de dados pessoais em causa;

b) Comunicar o nome e os contactos do encarregado da proteção de dados ou de outro ponto de contacto, para efeitos de prestação de informações adicionais;

c) Descrever as consequências prováveis da violação de dados pessoais;

d) Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação de dados pessoais, nomeadamente, se for caso disso, para atenuar os seus eventuais efeitos negativos.

4 – Nos casos em que não seja possível serem prestadas em simultâneo, as informações referidas no número anterior podem ser fornecidas posteriormente à notificação, sem demora injustificada.

5 – O responsável pelo tratamento documenta qualquer violação de dados pessoais, incluindo os factos com ela relacionados, os seus efeitos e as medidas de reparação adotadas, de modo a permitir à autoridade de controlo verificar o cumprimento do disposto no presente artigo.

6 – Caso a violação de dados envolva dados pessoais que tenham sido transmitidos pelo ou ao responsável pelo tratamento de outro Estado-Membro, as informações referidas no n.º 3 são-lhe comunicadas, sem demora injustificada.

7 – Nos casos de subcontratação, o subcontratante notifica o responsável pelo tratamento de qualquer violação de dados pessoais de que tenha conhecimento, sem demora injustificada.

8 – A notificação prevista nos números anteriores não prejudica a comunicação de incidentes às autoridades competentes.

Artigo 33.º

Comunicação de uma violação de dados pessoais ao titular dos dados

1 – Caso se verifique uma violação de dados pessoais suscetível de resultar num elevado risco para os direitos, liberdades e garantias do titular dos dados, o responsável pelo tratamento comunica-lhe a violação, sem demora injustificada.

2 – A comunicação ao titular dos dados descreve, numa linguagem clara e simples, a natureza da violação dos dados pessoais e inclui as informações e as medidas referidas nas alíneas b), c) e d) do n.º 3 do artigo anterior.

3 – A comunicação é dispensada nos casos em que:

a) O responsável pelo tratamento tiver adotado medidas de proteção adequadas, tanto tecnológicas como organizativas, e estas tiverem sido aplicadas aos dados afetados pela violação de dados pessoais, designadamente a cifragem;

b) O responsável pelo tratamento tiver tomado medidas subsequentes que assegurem que a concretização do elevado risco referido no n.º 1 deixou de ser provável; ou

c) Implicar um esforço desproporcionado, devendo, neste caso, o responsável pelo tratamento informar os titulares dos dados de outra forma igualmente eficaz, nomeadamente através de comunicação pública.

4 – Se o responsável pelo tratamento não tiver comunicado a violação de dados pessoais ao titular dos dados, a autoridade de controlo, caso considere que da violação de dados pessoais resulta um elevado risco para os seus direitos, liberdades e garantias, pode exigir ao responsável que proceda a essa comunicação ou dispensá-la pelos motivos indicados no número anterior.

5 – A comunicação prevista no n.º 1 pode ser adiada, limitada ou omitida sob reserva das condições e pelos motivos enunciados no n.º 5 do artigo 13.º

Artigo 34.º

Designação do encarregado da proteção de dados

1 – O responsável pelo tratamento designa um encarregado de proteção de dados para o assistir no controlo do cumprimento das obrigações decorrentes da presente lei, incluindo no tratamento dos dados efetuado por sua conta pelo subcontratante.

2 – A obrigação prevista no número anterior não se aplica aos tribunais nem ao Ministério Público, no exercício das suas competências processuais.

3 – O encarregado da proteção de dados é designado com base nas suas qualidades profissionais, em especial nos seus conhecimentos especializados no domínio da legislação e das práticas de proteção de dados e na sua capacidade para desempenhar as funções referidas no artigo seguinte.

4 – Pode ser designado um único encarregado da proteção de dados para várias autoridades competentes, tendo em conta a sua dimensão e estrutura organizativa.

5 – Sem prejuízo do disposto na alínea b) do n.º 1 do artigo 14.º, o responsável pelo tratamento comunica à autoridade de controlo os contactos do encarregado da proteção de dados.

Artigo 35.º

Funções do encarregado da proteção de dados

Ao encarregado da proteção de dados compete, designadamente:

a) Informar e aconselhar o responsável pelo tratamento e os trabalhadores que efetuam o tratamento quanto às obrigações que lhes incumbem por força da presente lei e de outras disposições legais relativas à proteção de dados pessoais;

b) Fiscalizar o cumprimento da presente lei e de outras disposições legais sobre proteção de dados pessoais, bem como das orientações do responsável pelo tratamento em matéria de proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e a formação do pessoal envolvido nas operações de tratamento e as auditorias correspondentes;

c) Prestar aconselhamento, quando solicitado, no que respeita à avaliação de impacto e controlar a sua realização, nos termos do artigo 29.º;

d) Cooperar com a autoridade de controlo;

e) Ser ponto de contacto e apoiar a autoridade de controlo nos assuntos relacionados com o tratamento de dados, incluindo a consulta prévia a que se refere o artigo 29.º

Artigo 36.º

Exercício de funções pelo encarregado da proteção de dados

1 – O responsável pelo tratamento assegura que o encarregado da proteção de dados é envolvido, de forma adequada e em tempo útil, em todas as questões relacionadas com a proteção de dados pessoais.

2 – O responsável pelo tratamento apoia o encarregado da proteção de dados no desempenho das suas funções, concedendo-lhe acesso aos dados pessoais e às operações de tratamento, e fornecendo-lhe os recursos necessários para esse efeito e para a atualização dos seus conhecimentos.

3 – O responsável pelo tratamento e o subcontratante asseguram que o encarregado da proteção de dados não recebe instruções relativamente ao exercício das suas funções e que não pode ser destituído nem penalizado pelo facto de as exercer.

4 – O encarregado da proteção de dados não está impedido de exercer outras funções, desde que o responsável pelo tratamento ou o subcontratante assegurem que do seu exercício não resulta um conflito de interesses.

CAPÍTULO V

Transferências de dados pessoais para países terceiros ou para organizações internacionais

Artigo 37.º

Princípios gerais aplicáveis às transferências de dados pessoais

1 – Sem prejuízo de outras condições exigidas na lei, as autoridades competentes só podem transferir dados pessoais para um país terceiro ou para uma organização internacional, inclusivamente dados que se destinem a transferências ulteriores para outro país terceiro ou para outra organização internacional, se:

a) A transferência for necessária para a prossecução das finalidades previstas no artigo 1.º;

b) Os dados pessoais forem transferidos para um responsável pelo tratamento no país terceiro ou na organização internacional com competência para os efeitos previstos no artigo 1.º, sem prejuízo do disposto no artigo 41.º;

c) No caso de os dados pessoais terem sido transmitidos ou disponibilizados por outro Estado-Membro, esse Estado tiver dado o seu consentimento prévio à transferência, sem prejuízo do disposto no número seguinte;

d) Tiver sido adotada uma decisão de adequação, nos termos do disposto no artigo 38.º, ou tiverem sido apresentadas garantias adequadas, nos termos do artigo 39.º, ou forem aplicáveis as derrogações previstas no artigo 40.º;

e) No caso de uma transferência ulterior para um país terceiro ou para uma organização internacional, a autoridade competente que realizou a transferência inicial ou outra autoridade competente do mesmo Estado-Membro autorizar a transferência ulterior, após ter em conta todos os fatores pertinentes, nomeadamente a gravidade da infração penal, a finalidade para que os dados pessoais foram inicialmente transferidos e o nível de proteção no país terceiro ou na organização internacional para os quais os dados pessoais forem ulteriormente transferidos; e

f) A transferência não comprometer o nível de proteção das pessoas assegurado pela presente lei.

2 – As transferências sem o consentimento prévio a que alude a alínea c) do número anterior apenas são permitidas se forem necessárias para prevenir uma ameaça imediata e grave à segurança pública de um Estado-Membro ou de um país terceiro, ou aos interesses essenciais de um Estado-Membro, e o consentimento prévio não puder ser obtido em tempo útil.

3 – No caso previsto no número anterior, a autoridade responsável por dar o consentimento é informada sem demora.

Artigo 38.º

Transferências com base numa decisão de adequação

1 – A transferência de dados pessoais para um país terceiro ou para uma organização internacional pode ser efetuada com base numa decisão de adequação da Comissão Europeia que determine que o país terceiro, território ou um ou mais setores específicos desse país terceiro, ou a organização internacional em causa, asseguram um nível de proteção adequado.

2 – A transferência de dados pessoais com base numa decisão de adequação dispensa uma autorização específica.

3 – Os atos da Comissão Europeia que revoguem, alterem ou suspendam a decisão de adequação não prejudicam as transferências de dados pessoais para o país terceiro, território ou setor específico do país terceiro, ou para a organização internacional em causa, efetuadas nos termos dos artigos 39.º e 40.º

Artigo 39.º

Transferências sujeitas a garantias adequadas

1 – Na falta de decisão de adequação, ou nos casos de revogação ou suspensão de decisões de adequação, os dados pessoais podem ser transferidos para um país terceiro ou para uma organização internacional se:

a) Tiverem sido apresentadas garantias adequadas no que diz respeito à proteção de dados pessoais mediante um instrumento juridicamente vinculativo; ou

b) O responsável pelo tratamento tiver avaliado todas as circunstâncias inerentes à transferência de dados pessoais e concluído que existem garantias adequadas no que diz respeito à proteção desses dados.

2 – O responsável pelo tratamento informa a autoridade de controlo sobre as categorias de transferências abrangidas pela alínea b) do número anterior.

3 – As transferências baseadas na alínea b) do n.º 1 são documentadas, devendo o responsável pelo tratamento disponibilizar à autoridade de controlo, a pedido desta, toda a documentação pertinente, incluindo informações sobre a data e a hora da transferência, a autoridade competente que as recebe, a justificação da transferência e os dados pessoais transferidos.

Artigo 40.º

Derrogações aplicáveis em situações específicas

1 – Na falta, revogação ou suspensão de uma decisão de adequação ou de garantias adequadas nos termos dos artigos anteriores, a transferência ou as categorias de transferências de dados pessoais para um país terceiro ou para uma organização internacional só podem ser efetuadas se forem necessárias:

a) Para proteger os interesses vitais do titular dos dados ou de outra pessoa;

b) Para salvaguardar os legítimos interesses do titular dos dados;

c) Para prevenir uma ameaça imediata e grave contra a segurança pública de um Estado-Membro ou de um país terceiro;

d) Em casos específicos, para a prossecução das finalidades estabelecidas no artigo 1.º; ou

e) Em casos específicos, para declarar, exercer ou defender, no âmbito de um processo judicial, um direito relacionado com as finalidades estabelecidas no artigo 1.º

2 – Ainda que se verifiquem os fundamentos previstos na alínea d) ou na alínea e) do número anterior, os dados pessoais não são transferidos se a autoridade competente para proceder à transferência considerar que os direitos, liberdades e garantias fundamentais do titular dos dados em causa prevalecem sobre as finalidades que motivariam a transferência por interesse público.

3 – As transferências de dados efetuadas nos termos do n.º 1 são limitadas aos dados estritamente necessários para a finalidade prosseguida.

4 – O responsável pelo tratamento documenta a informação pertinente referente às transferências realizadas ao abrigo do n.º 1, devendo disponibilizar a documentação à autoridade de controlo, a pedido desta, incluindo informações sobre a data e a hora da transferência, a autoridade competente que as recebe, a justificação da transferência e os dados pessoais transferidos.

Artigo 41.º

Transferências de dados pessoais para destinatários estabelecidos em países terceiros

1 – Em derrogação do disposto na alínea b) do n.º 1 do artigo 37.º e sem prejuízo de um acordo internacional tal como definido no número seguinte, uma autoridade pública com poderes de prevenção, investigação, deteção ou repressão de infrações penais ou de execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública, pode, em casos específicos, transferir dados pessoais diretamente para destinatários estabelecidos em países terceiros, desde que, respeitadas as disposições da presente lei, estejam preenchidas as seguintes condições cumulativas:

a) A transferência ser estritamente necessária a uma função desempenhada pela autoridade competente que efetua a transferência e prevista por lei, tendo em vista as finalidades indicadas no artigo 1.º;

b) A autoridade competente que efetua a transferência considerar que os direitos, liberdades e garantias fundamentais do titular dos dados em causa não prevalecem sobre as finalidades que exigem a transferência no caso em apreço;

c) A autoridade competente que efetua a transferência considerar que a transferência para uma autoridade competente para os efeitos referidos no artigo 1.º, no país terceiro, se revela ineficaz ou desadequada, nomeadamente por não ser possível efetuá-la em tempo útil;

d) A autoridade competente para os efeitos referidos no artigo 1.º, no país terceiro, ser informada sem demora injustificada, a menos que tal se revele ineficaz ou inadequado; e

e) A autoridade competente que efetua a transferência informar o destinatário da finalidade ou das finalidades específicas para as quais deve tratar os dados pessoais, desde que o tratamento seja necessário.

2 – Para os efeitos previstos no número anterior, por acordo internacional entende-se um acordo internacional bilateral ou multilateral em vigor entre os Estados-Membros e países terceiros no domínio da cooperação judiciária em matéria penal e da cooperação policial.

3 – A autoridade competente que efetuar a transferência informa a autoridade de controlo sobre as transferências abrangidas pelo presente artigo.

4 – As transferências efetuadas nos termos do presente artigo devem ser documentadas pelo responsável pelo tratamento.

Artigo 42.º

Cooperação internacional no domínio da proteção de dados pessoais

Em relação a países terceiros e a organizações internacionais, os responsáveis pelo tratamento adotam as medidas necessárias destinadas a:

a) Estabelecer procedimentos internacionais de cooperação que visem facilitar a aplicação efetiva da legislação em matéria de proteção de dados pessoais;

b) Prestar assistência mútua no domínio da aplicação da legislação de proteção de dados pessoais, nomeadamente através da notificação, da transmissão de queixas, da assistência na investigação e do intercâmbio de informações, sob reserva das garantias adequadas para a proteção dos dados pessoais e dos outros direitos e liberdades fundamentais;

c) Associar as partes interessadas aos debates e às atividades que visem promover a cooperação internacional no âmbito da aplicação da legislação relativa à proteção de dados pessoais;

d) Promover o intercâmbio e a documentação da legislação e das práticas em matéria de proteção de dados pessoais, inclusivamente sobre conflitos jurisdicionais com países terceiros.

CAPÍTULO VI

Autoridade de controlo

Artigo 43.º

Autoridade de controlo

1 – Incumbe à CNPD a garantia e fiscalização do cumprimento da presente lei.

2 – O disposto do número anterior não se aplica ao tratamento de dados pessoais efetuado pelos tribunais e pelo Ministério Público no exercício das suas competências processuais.

3 – Para efeitos do n.º 1, a CNPD integra um magistrado judicial, designado pelo Conselho Superior da Magistratura, e um magistrado do Ministério Público, designado pelo Conselho Superior do Ministério Público.

4 – Cabe exclusivamente aos magistrados a que se refere o número anterior, sem prejuízo das competências do presidente da CNPD, o exercício das atribuições da CNPD que impliquem o acesso a dados objeto de tratamento ou aos registos cronológicos das operações de tratamento.

5 – A designação dos membros da CNPD a que se refere o n.º 3 é efetuada em comissão de serviço.

Artigo 44.º

Atribuições

1 – No exercício das funções a que se refere o n.º 1 do artigo anterior, compete à CNPD:

a) Fiscalizar o cumprimento e fazer aplicar o disposto na presente lei;

b) Promover a sensibilização e a compreensão do público relativamente aos riscos, às regras, às garantias e aos direitos associados ao tratamento de dados pessoais;

c) Propor e emitir parecer sobre medidas legislativas e administrativas relacionadas com a proteção dos direitos e liberdades das pessoas em matéria de tratamento de dados pessoais;

d) Promover a sensibilização dos responsáveis pelo tratamento e dos subcontratantes para as obrigações que lhes incumbem nos termos da presente lei;

e) Prestar informações aos titulares de dados, se tal lhe for solicitado, sobre o exercício dos seus direitos nos termos da presente lei;

f) Tratar e decidir as queixas apresentadas pelos titulares dos dados ou por um organismo, organização ou associação sem fins lucrativos, nos termos dos artigos 47.º e 50.º, e investigar, na medida do necessário, o conteúdo da queixa, informando o seu autor do andamento e do resultado da investigação num prazo razoável, especialmente se forem necessárias operações de investigação ou de coordenação complementares com outra autoridade de controlo;

g) Verificar a licitude do tratamento e, num prazo razoável, informar o titular dos dados do resultado da verificação, nos termos do disposto no artigo 18.º, ou dos motivos que impediram a sua realização;

h) Cooperar, nomeadamente partilhando informações, e prestar assistência mútua a outras autoridades de controlo, tendo em vista assegurar a coerência da aplicação e da execução da presente lei;

i) Conduzir investigações sobre a aplicação da presente lei, nomeadamente com base em informações recebidas de outra autoridade de controlo ou de outra autoridade pública;

j) Acompanhar os desenvolvimentos relevantes, em particular ao nível da evolução das tecnologias da informação e comunicação, na medida em que tenham incidência na proteção de dados pessoais;

k) Prestar aconselhamento sobre as operações de tratamento referidas no artigo 30.º;

l) Contribuir para as atividades do Comité criado pelo Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, no âmbito das atribuições a que se refere o artigo 51.º da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.

2 – A CNPD facilita a apresentação de queixas previstas na alínea f) do n.º 1, nomeadamente disponibilizando formulários para preenchimento e apresentação eletrónica, sem excluir outros meios de comunicação.

3 – O exercício das atribuições da CNPD é gratuito para o titular de dados e para o encarregado da proteção de dados.

4 – Nos casos em que o pedido do titular dos dados seja manifestamente infundado ou excessivo, designadamente devido ao seu caráter repetitivo, o responsável pelo tratamento, mediante decisão fundamentada, pode:

a) Exigir o pagamento de uma taxa de montante a fixar por portaria do membro do Governo responsável pela área da justiça, tendo em conta os custos administrativos associados; ou

b) Recusar dar seguimento ao pedido.

5 – Nos casos previstos no número anterior, a decisão da CNPD deve ser devidamente fundamentada e demonstrar o caráter manifestamente infundado ou excessivo do pedido.

Artigo 45.º

Poderes

1 – No exercício das suas atribuições, a CNPD detém poderes de investigação e de correção.

2 – Os poderes de investigação a que se refere o número anterior incluem o poder de obter do responsável pelo tratamento de dados e do subcontratante autorização de acesso a todos os dados pessoais objeto de tratamento e a todas as informações necessárias ao exercício das suas atribuições.

3 – No exercício dos poderes de correção, a CNPD pode:

a) Advertir o responsável pelo tratamento de dados ou o subcontratante de que as operações de tratamento previstas são suscetíveis de violar o disposto na presente lei;

b) Ordenar ao responsável pelo tratamento de dados ou ao subcontratante que conforme as operações de tratamento às disposições da presente lei, se necessário de determinada forma e num prazo determinado, e, em especial, ordenar a retificação ou o apagamento dos dados pessoais ou a limitação de tratamento nos termos do artigo 17.º;

c) Impor uma limitação temporária ou definitiva ao tratamento.

4 – O exercício dos poderes conferidos à autoridade de controlo nos termos dos números anteriores está sujeito a garantias processuais adequadas nos termos da lei, incluindo o direito à ação judicial e a um processo justo e equitativo.

5 – A CNPD comunica as violações das disposições da presente lei às autoridades judiciárias e aos órgãos com competência disciplinar e, se adequado, pode intentar ações judiciais ou intervir em processos judiciais, nos termos da lei.

6 – As comunicações de violações da presente lei ou com elas relacionadas estão sujeitas a sigilo.

Artigo 46.º

Relatório de atividades

1 – A CNPD elabora um relatório anual de atividades sobre a fiscalização da aplicação e do cumprimento da presente lei, o qual pode incluir uma lista dos tipos de violações notificadas e dos tipos de sanções aplicadas, devendo nas matérias respeitantes aos tribunais e ao Ministério Público ser acautelada a necessária reserva.

2 – O relatório é apresentado à Assembleia da República e enviado ao membro do Governo responsável pela área da justiça, ao Conselho Superior da Magistratura, à Procuradoria-Geral da República e aos demais organismos e entidades responsáveis pela gestão de dados, nos termos da Lei n.º 34/2009, de 14 de julho, na sua redação atual.

3 – O relatório é disponibilizado ao público, à Comissão Europeia e ao Comité a que se refere a alínea l) do n.º 1 do artigo 44.º

CAPÍTULO VII

Meios de tutela e responsabilidade

Artigo 47.º

Direito de apresentar queixa à autoridade de controlo

1 – Sem prejuízo de outros meios de tutela legalmente previstos, o titular dos dados tem o direito de apresentar queixa à autoridade de controlo, com o fundamento de que o tratamento dos seus dados pessoais viola disposições da presente lei.

2 – Se a queixa não for apresentada à autoridade de controlo competente nos termos do n.º 1 do artigo 43.º, a autoridade de controlo a que é apresentada transmite-a, sem demora injustificada, à autoridade de controlo competente, informando o titular dos dados dessa transmissão e prestando-lhe, caso este o solicite, assistência complementar.

3 – O titular dos dados é informado pela autoridade de controlo do andamento e do resultado da queixa, nomeadamente da possibilidade de intentar ação judicial nos termos do artigo seguinte.

Artigo 48.º

Direito de intentar ação judicial contra a autoridade de controlo

1 – Sem prejuízo de outros meios de tutela legalmente previstos, qualquer pessoa singular ou coletiva tem o direito de intentar uma ação judicial contra qualquer decisão juridicamente vinculativa que lhe diga respeito tomada pela autoridade de controlo.

2 – Os titulares dos dados têm o direito de intentar ação judicial nos casos em que a autoridade de controlo não apreciar a queixa apresentada ou não informar o titular dos dados, no prazo de três meses, do andamento ou do resultado da queixa apresentada.

Artigo 49.º

Direito de intentar ação judicial contra um responsável pelo tratamento ou um subcontratante

Sem prejuízo de outros meios de tutela legalmente previstos, nomeadamente do direito de apresentar queixa à autoridade de controlo, os titulares dos dados têm o direito de intentar ação judicial contra o responsável pelo tratamento ou contra o subcontratante com fundamento em violação dos direitos conferidos pela presente lei.

Artigo 50.º

Representação dos titulares dos dados

O titular dos dados tem o direito de mandatar um organismo, organização ou associação sem fins lucrativos, devidamente constituído nos termos da lei, cujos objetivos estatutários sejam de interesse público e cuja atividade abranja a proteção dos direitos e liberdades dos titulares de dados no que respeita à proteção dos seus dados pessoais, para apresentar queixa ou intentar ação judicial em seu nome, ao abrigo dos artigos anteriores, sem prejuízo da obrigatoriedade de representação por advogado, nos termos da legislação aplicável.

Artigo 51.º

Direito de indemnização

Qualquer pessoa que tenha sofrido danos, patrimoniais ou não patrimoniais, causados por uma violação das disposições da presente lei tem direito a receber do responsável pelo tratamento ou de qualquer outra autoridade competente uma indemnização pelos danos sofridos, nos termos do regime da responsabilidade civil extracontratual do Estado e demais entidades públicas.

CAPÍTULO VIII

Sanções

SECÇÃO I

Contraordenações

Artigo 52.º

Contraordenações

1 – Sem prejuízo do regime sancionatório estabelecido na Lei n.º 58/2019, de 8 de agosto, aplicável por incumprimento das obrigações previstas no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, no âmbito de aplicação da presente lei constituem contraordenações muito graves as seguintes condutas:

a) O recurso a outro subcontratante sem autorização prévia do responsável pelo tratamento de dados pessoais, em violação do n.º 2 do artigo 23.º;

b) O recurso a outro subcontratante em oposição à vontade manifestada pelo responsável pelo tratamento de dados, ainda que exista a autorização geral a que se refere o n.º 3 do artigo 23.º;

c) O processamento dos dados pessoais em violação ou para além das instruções do responsável pelo tratamento de dados, em incumprimento da obrigação prevista na alínea a) do n.º 5 do artigo 23.º;

d) O incumprimento da obrigação de eliminação de forma definitiva ou de devolução dos dados pessoais ao responsável, consoante a escolha deste, após a conclusão dos serviços de processamento dos dados, prevista na alínea d) do n.º 5 do artigo 23.º;

e) O incumprimento da obrigação de conservação dos registos cronológicos previstos no n.º 1 do artigo 27.º;

f) A conservação de registos cronológicos que não abranjam a totalidade das operações de tratamento previstas no n.º 1 do artigo 27.º ou que não cumpram os requisitos previstos nos n.os 2 e 6 do mesmo artigo;

g) A utilização dos registos cronológicos para efeitos não previstos no n.º 3 do artigo 27.º;

h) O incumprimento da obrigação de adoção de medidas técnicas e organizativas adequadas à proteção dos dados pessoais, em violação das exigências previstas nos n.os 2 e 3 do artigo 31.º

2 – Sem prejuízo do regime sancionatório estabelecido pela Lei n.º 58/2019, de 8 de agosto, aplicável por incumprimento das obrigações previstas no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, no âmbito de aplicação da presente lei constituem contraordenações graves as seguintes condutas:

a) O incumprimento da obrigação de informar previamente o responsável pelo tratamento de dados das alterações à contratação de outros subcontratantes, prevista no n.º 3 do artigo 23.º;

b) O incumprimento da obrigação de notificar o responsável pelo tratamento, sem demora justificada, em caso de violação de dados pessoais, prevista no n.º 7 do artigo 32.º;

c) O incumprimento da obrigação de conservar um registo de atividades ou a conservação de um registo de atividades que não cumpra a totalidade das exigências previstas nos n.os 3 e 4 do artigo 26.º

3 – A prática das contraordenações previstas no n.º 1 é punida com coima:

a) De 5000 (euro) a 20 000 000 (euro) ou 4 % do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de grande empresa;

b) De 2000 (euro) a 2 000 000 (euro) ou 4 % do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de pequena e média empresa;

c) De 1000 (euro) a 500 000 (euro), tratando-se de pessoa singular.

4 – A prática das contraordenações previstas no n.º 2 é punida com coima:

a) De 2500 (euro) a 10 000 000 (euro) ou 2 % do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de grande empresa;

b) De 1000 (euro) a 1 000 000 (euro) ou 2 % do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de pequena e média empresa;

c) De 500 (euro) a 250 000 (euro), tratando-se de pessoa singular.

5 – O disposto nos números anteriores aplica-se de igual modo às entidades públicas e privadas, sem prejuízo de as entidades públicas, mediante pedido devidamente fundamentado, poderem solicitar à CNPD a dispensa da aplicação de coimas durante o prazo de três anos a contar da entrada em vigor da presente lei.

SECÇÃO II

Crimes

Artigo 53.º

Acesso indevido aos dados

1 – Quem, sem a devida autorização ou justificação, aceder, por qualquer modo, a dados pessoais tratados ao abrigo da presente lei, é punido com pena de prisão até um ano ou com pena de multa até 120 dias.

2 – A pena é agravada para o dobro nos seus limites quando o acesso:

a) For conseguido através de violação de regras técnicas de segurança;

b) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial; ou

c) Tiver prejudicado inquéritos, investigações, processos judiciais ou a execução de sanções penais.

Artigo 54.º

Desvio de dados

1 – Quem copiar, subtrair, ceder ou transferir, a título oneroso ou gratuito, dados pessoais tratados ao abrigo da presente lei, sem previsão legal ou consentimento, é punido com pena de prisão até 2 anos ou com pena de multa até 240 dias.

2 – A pena é agravada para o dobro nos seus limites quando a conduta:

a) For conseguida através de violação de regras técnicas de segurança;

b) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial; ou

c) Tiver prejudicado inquéritos, investigações, processos judiciais ou a execução de sanções penais.

Artigo 55.º

Utilização de dados de forma incompatível com a finalidade da recolha

Quem utilizar dados pessoais tratados ao abrigo da presente lei de forma incompatível com a finalidade determinante da respetiva recolha é punido com pena de prisão até 2 anos ou com pena de multa até 240 dias.

Artigo 56.º

Interconexão ilegal de dados

Quem, intencionalmente, promover ou efetuar uma interconexão ilegal de dados pessoais tratados ao abrigo da presente lei, é punido com pena de prisão até 2 anos ou com pena de multa até 240 dias.

Artigo 57.º

Viciação ou destruição de dados

1 – Quem, sem a devida autorização ou justificação, apagar, destruir, danificar, ocultar, suprimir ou modificar dados pessoais tratados ao abrigo da presente lei, tornando-os inutilizáveis ou afetando o seu potencial de utilização, é punido com pena de prisão até 2 anos ou com pena de multa até 240 dias.

2 – A pena é agravada para o dobro nos seus limites se o dano produzido for particularmente grave.

3 – Nas situações previstas nos números anteriores, se o agente atuar com negligência, é punido:

a) Com pena de prisão até 1 ano ou com pena de multa até 120 dias, no caso previsto no n.º 1;

b) Com pena de prisão até 2 anos ou multa até 240 dias, no caso previsto no n.º 2.

Artigo 58.º

Violação do dever de sigilo

1 – Quem, obrigado a sigilo profissional nos termos da lei, sem justa causa e sem o devido consentimento, revelar ou divulgar, no todo ou em parte, dados pessoais tratados ao abrigo da presente lei, é punido com pena de prisão até 2 anos ou com pena de multa até 240 dias.

2 – A pena é agravada para o dobro nos seus limites se o agente:

a) For funcionário ou equiparado, nos termos da lei penal, advogado ou solicitador;

b) For encarregado de proteção de dados;

c) For determinado pela intenção de obter qualquer vantagem patrimonial ou outro benefício ilegítimo;

d) Puser em perigo a reputação, a honra ou a intimidade da vida privada de terceiros; ou

e) Tiver prejudicado inquéritos, investigações, processos judiciais ou a execução de sanções penais.

3 – A negligência é punível com pena de prisão até 6 meses ou com pena de multa até 120 dias.

Artigo 59.º

Desobediência qualificada

1 – Quem não cumprir as obrigações previstas na presente lei, depois de ultrapassado o prazo que tiver sido fixado pela autoridade de controlo para o respetivo cumprimento é punido com a pena correspondente ao crime de desobediência qualificada.

2 – Incorre na mesma pena do número anterior quem, depois de notificado:

a) Não disponibilizar os registos cronológicos à CNPD, nos termos do n.º 4 do artigo 27.º;

b) Recusar, sem justa causa, a colaboração que concretamente lhe for exigida nos termos do artigo 28.º;

c) Recusar o acesso previsto no n.º 2 do artigo 45.º;

d) Não cumprir ordem dada nos termos da alínea b) do n.º 3 do artigo 45.º, em especial não proceder ao apagamento ou retificação de dados pessoais;

e) Não respeitar a imposição de limitação temporária ou definitiva ao tratamento de dados pessoais, nos termos da alínea c) do n.º 3 do artigo 45.º

Artigo 60.º

Inserção de dados falsos

1 – Quem inserir ou facilitar a inserção de dados pessoais falsos, com a intenção de obter vantagem indevida para si ou para terceiro, ou para causar prejuízo, é punido com pena de prisão até 2 anos ou com pena de multa até 240 dias.

2 – A pena é agravada para o dobro nos seus limites se da inserção referida no número anterior resultar um prejuízo efetivo.

Artigo 61.º

Punibilidade da tentativa

Nos crimes previstos no presente capítulo, a tentativa é sempre punível.

Artigo 62.º

Responsabilidade das pessoas coletivas

As pessoas coletivas e entidades equiparadas, com exceção do Estado, de pessoas coletivas no exercício de prerrogativas de poder público e de organizações de direito internacional público, são responsáveis pelos crimes previstos na presente secção, nos termos do artigo 11.º do Código Penal.

SECÇÃO III

Disposições comuns

Artigo 63.º

Concurso de infrações

1 – Se o mesmo facto constituir simultaneamente crime e contraordenação, o agente é sempre punido a título de crime.

2 – Quando se verifique concurso de crime e contraordenação, ou quando, pelo mesmo facto, uma pessoa deva responder a título de crime e outra a título de contraordenação, o processamento da contraordenação cabe às autoridades competentes para o processo criminal, nos termos do regime geral do ilícito de mera ordenação social.

Artigo 64.º

Pena acessória

Conjuntamente com as penas previstas no presente capítulo, podem ser aplicadas as sanções acessórias previstas no artigo 56.º da Lei n.º 58/2019, de 8 de agosto.

Artigo 65.º

Aplicabilidade de outros regimes sancionatórios

1 – O disposto no presente capítulo não prejudica a aplicação dos artigos 37.º a 56.º da Lei n.º 58/2019, de 8 de agosto, ou das disposições do Código Penal, se de tal aplicação resultar, em concreto, uma sanção mais grave.

2 – O disposto no presente capítulo não prejudica a aplicação da Lei n.º 109/2009, de 15 de setembro.

Artigo 66.º

Responsabilidade civil e disciplinar

O disposto no presente capítulo não prejudica a efetivação da responsabilidade civil nem da responsabilidade disciplinar.

CAPÍTULO IX

Disposições finais e transitórias

Artigo 67.º

Relação com outros atos jurídicos da União Europeia e acordos internacionais em vigor

1 – As disposições específicas de proteção de dados pessoais previstas em atos jurídicos da União Europeia adotados antes de 6 de maio de 2016 no domínio da cooperação judiciária em matéria penal e da cooperação policial, que regulem o tratamento entre os Estados-Membros e o acesso das autoridades designadas dos Estados-Membros aos sistemas de informação criados por força dos Tratados, mantêm-se inalteradas.

2 – Os acordos internacionais que impliquem a transferência de dados pessoais para países terceiros ou para organizações internacionais, celebrados pelo Estado Português antes de 6 de maio de 2016, e que sejam conformes com o direito da União Europeia aplicável antes dessa data, continuam a vigorar até serem alterados, substituídos ou revogados.

3 – Todas as referências feitas à Lei da Proteção de Dados Pessoais, aprovada pela Lei n.º 67/98, de 26 de outubro, consideram-se feitas para o regime da presente lei, quando disserem respeito à proteção das pessoas singulares relativamente ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública.

Artigo 68.º

Dados referentes ao sistema judiciário

1 – O tratamento de dados constante de processo penal, de decisão judicial ou do registo criminal é regulado nos termos da lei processual penal.

2 – Ao tratamento de dados referentes ao sistema judicial é aplicável o regime jurídico próprio, constante da Lei n.º 34/2009, de 14 de julho.

Artigo 69.º

Sistema integrado de informação criminal

O disposto na presente lei não implica qualquer restrição ou limitação na partilha e intercâmbio de dados entre os órgãos de polícia criminal e destes com as autoridades judiciárias, no âmbito do dever de cooperação estabelecido na lei de organização da investigação criminal, designadamente do sistema integrado de informação criminal instituído nos termos da Lei n.º 73/2009, de 12 de agosto, alterada pela Lei n.º 38/2015, de 11 de maio.

Artigo 70.º

Regime transitório

1 – A conformação dos sistemas de tratamento automatizado criados antes de 6 de maio de 2016 com os requisitos previstos no artigo 27.º deve ser assegurada pelos responsáveis pelo tratamento logo que possível, até 6 de maio de 2023, ou, quando o cumprimento deste prazo cause graves dificuldades ao funcionamento de um sistema de tratamento automatizado, até 6 de maio de 2026.

2 – Sem prejuízo do disposto no número anterior, o responsável pelo tratamento de dados deve dispor de métodos eficazes para, até ao final do prazo de conformação, poder demonstrar a licitude do tratamento de dados, permitir o autocontrolo e garantir a integridade e segurança dos dados, tais como registos cronológicos ou outros.

Artigo 71.º

Entrada em vigor

A presente lei entra em vigor no dia seguinte ao da sua publicação.

Aprovada em 14 de junho de 2019.

O Presidente da Assembleia da República, Eduardo Ferro Rodrigues.

Promulgada em 26 de julho de 2019.

Publique-se.

O Presidente da República, Marcelo Rebelo de Sousa.

Referendada em 30 de julho de 2019.

Pelo Primeiro-Ministro, Augusto Ernesto Santos Silva, Ministro dos Negócios Estrangeiros.