https:\/\/dre.pt\/home\/-\/dre\/123815983\/details\/maximized<\/a><\/p>\nA Assembleia da Rep\u00fablica decreta, nos termos da al\u00ednea c) do artigo 161.\u00ba da Constitui\u00e7\u00e3o, o seguinte:<\/p>\n
CAP\u00cdTULO I<\/p>\n
Disposi\u00e7\u00f5es gerais<\/p>\n
Artigo 1.\u00ba<\/p>\n
Objeto<\/p>\n
A presente lei estabelece as regras relativas \u00e0 prote\u00e7\u00e3o das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de preven\u00e7\u00e3o, dete\u00e7\u00e3o, investiga\u00e7\u00e3o ou repress\u00e3o de infra\u00e7\u00f5es penais ou de execu\u00e7\u00e3o de san\u00e7\u00f5es penais, incluindo a salvaguarda e a preven\u00e7\u00e3o de amea\u00e7as \u00e0 seguran\u00e7a p\u00fablica, transpondo para a ordem jur\u00eddica interna a Diretiva (UE) 2016\/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.<\/p>\n
Artigo 2.\u00ba<\/p>\n
\u00c2mbito de aplica\u00e7\u00e3o<\/p>\n
1 – A presente lei \u00e9 aplic\u00e1vel ao tratamento de dados pessoais para os efeitos previstos no artigo anterior, nos termos da lei processual penal e demais legisla\u00e7\u00e3o aplic\u00e1vel.<\/p>\n
2 – A presente lei aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento de dados pessoais contidos num ficheiro ou a ele destinados por meios n\u00e3o automatizados.<\/p>\n
3 – A presente lei n\u00e3o se aplica ao tratamento de dados pessoais relacionados com a seguran\u00e7a nacional.<\/p>\n
4 – O interc\u00e2mbio de dados pessoais entre autoridades competentes na Uni\u00e3o Europeia, quando legalmente exigido, n\u00e3o \u00e9 limitado nem proibido por raz\u00f5es relacionadas com a prote\u00e7\u00e3o das pessoas singulares no que diz respeito ao tratamento de dados pessoais.<\/p>\n
Artigo 3.\u00ba<\/p>\n
Defini\u00e7\u00f5es<\/p>\n
1 – Para os efeitos do disposto na presente lei, entende-se por:<\/p>\n
a) \u00abEstado-Membro\u00bb, Estado-Membro da Uni\u00e3o Europeia;<\/p>\n
b) \u00abPa\u00eds terceiro\u00bb, Estado que n\u00e3o integra a Uni\u00e3o Europeia;<\/p>\n
c) \u00abDados pessoais\u00bb, informa\u00e7\u00f5es relativas a uma pessoa singular identificada ou identific\u00e1vel (\u00abtitular dos dados\u00bb);<\/p>\n
d) \u00abTratamento\u00bb, uma opera\u00e7\u00e3o ou um conjunto de opera\u00e7\u00f5es efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou n\u00e3o automatizados, tais como a recolha, o registo, a organiza\u00e7\u00e3o, a estrutura\u00e7\u00e3o, a conserva\u00e7\u00e3o, a adapta\u00e7\u00e3o ou altera\u00e7\u00e3o, a recupera\u00e7\u00e3o, a consulta, a utiliza\u00e7\u00e3o, a divulga\u00e7\u00e3o por transmiss\u00e3o, por difus\u00e3o ou por qualquer outra forma de disponibiliza\u00e7\u00e3o, a compara\u00e7\u00e3o ou interconex\u00e3o, a limita\u00e7\u00e3o, o apagamento ou a destrui\u00e7\u00e3o;<\/p>\n
e) \u00abLimita\u00e7\u00e3o do tratamento\u00bb, a inser\u00e7\u00e3o de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro;<\/p>\n
f) \u00abDefini\u00e7\u00e3o de perfis\u00bb, qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situa\u00e7\u00e3o econ\u00f3mica, a sua sa\u00fade, as suas prefer\u00eancias pessoais, os seus interesses, a sua fiabilidade, o seu comportamento, a sua localiza\u00e7\u00e3o ou as suas desloca\u00e7\u00f5es;<\/p>\n
g) \u00abPseudonimiza\u00e7\u00e3o\u00bb, o tratamento de dados pessoais para que deixem de poder ser atribu\u00eddos a um titular de dados espec\u00edfico sem recurso a informa\u00e7\u00f5es suplementares, desde que estas sejam mantidas separadamente e sujeitas a medidas t\u00e9cnicas e organizativas para assegurar que os dados pessoais n\u00e3o possam ser atribu\u00eddos a uma pessoa singular identificada ou identific\u00e1vel;<\/p>\n
h) \u00abFicheiro\u00bb, um conjunto estruturado de dados pessoais acess\u00edveis segundo crit\u00e9rios espec\u00edficos, centralizado, descentralizado ou repartido de modo funcional ou geogr\u00e1fico;<\/p>\n
i) \u00abAutoridade competente\u00bb, uma autoridade p\u00fablica respons\u00e1vel pela preven\u00e7\u00e3o, investiga\u00e7\u00e3o, dete\u00e7\u00e3o ou repress\u00e3o de infra\u00e7\u00f5es penais ou de execu\u00e7\u00e3o de san\u00e7\u00f5es penais, incluindo a salvaguarda e a preven\u00e7\u00e3o de amea\u00e7as \u00e0 seguran\u00e7a p\u00fablica, ou qualquer outro organismo ou entidade que exer\u00e7a, nos termos da lei, a autoridade p\u00fablica e os poderes p\u00fablicos para os referidos efeitos;<\/p>\n
j) \u00abRespons\u00e1vel pelo tratamento\u00bb, a entidade competente que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento dos dados pessoais, ou, no caso em que estes s\u00e3o determinados por lei, a autoridade nela indicada;<\/p>\n
k) \u00abSubcontratante\u00bb, a pessoa singular ou coletiva, a autoridade p\u00fablica, o servi\u00e7o ou outro organismo que trata dados pessoais por conta do respons\u00e1vel pelo tratamento;<\/p>\n
l) \u00abDestinat\u00e1rio\u00bb, a pessoa singular ou coletiva, a autoridade p\u00fablica, o servi\u00e7o ou outro organismo que recebe comunica\u00e7\u00f5es de dados pessoais, independentemente de ser ou n\u00e3o um terceiro, com exce\u00e7\u00e3o das autoridades p\u00fablicas que recebem dados pessoais no \u00e2mbito de inqu\u00e9ritos espec\u00edficos nos termos da lei, as quais, n\u00e3o sendo destinat\u00e1rios, observam as regras de prote\u00e7\u00e3o de dados pessoais, em fun\u00e7\u00e3o das finalidades do tratamento;<\/p>\n
m) \u00abViola\u00e7\u00e3o de dados pessoais\u00bb, uma viola\u00e7\u00e3o da seguran\u00e7a que provoque, de modo acidental ou il\u00edcito, a destrui\u00e7\u00e3o, a perda, a altera\u00e7\u00e3o, a divulga\u00e7\u00e3o n\u00e3o autorizada de dados pessoais transmitidos, conservados ou tratados de outro modo, ou o acesso n\u00e3o autorizado a esses dados;<\/p>\n
n) \u00abDados gen\u00e9ticos\u00bb, dados pessoais relativos \u00e0s caracter\u00edsticas gen\u00e9ticas, heredit\u00e1rias ou adquiridas, de uma pessoa singular, que forne\u00e7am informa\u00e7\u00f5es \u00fanicas sobre a sua fisiologia ou sobre a sua sa\u00fade que resultem, designadamente, da an\u00e1lise de uma amostra biol\u00f3gica da pessoa singular em causa;<\/p>\n
o) \u00abDados biom\u00e9tricos\u00bb, dados pessoais resultantes de um tratamento t\u00e9cnico espec\u00edfico, relativos \u00e0s caracter\u00edsticas f\u00edsicas, fisiol\u00f3gicas ou comportamentais de uma pessoa singular, que permitam ou confirmem a sua identifica\u00e7\u00e3o \u00fanica, tais como imagens faciais ou dados dactilosc\u00f3picos;<\/p>\n
p) \u00abDados relativos \u00e0 sa\u00fade\u00bb, dados pessoais relativos \u00e0 sa\u00fade f\u00edsica ou mental de uma pessoa singular, incluindo a presta\u00e7\u00e3o de servi\u00e7os de sa\u00fade, que revelem informa\u00e7\u00f5es sobre o seu estado de sa\u00fade;<\/p>\n
q) \u00abAutoridade de controlo\u00bb, a Comiss\u00e3o Nacional de Prote\u00e7\u00e3o de Dados (CNPD), nos termos do disposto no artigo 43.\u00ba;<\/p>\n
r) \u00abOrganiza\u00e7\u00e3o internacional\u00bb, uma organiza\u00e7\u00e3o internacional e os organismos de direito internacional p\u00fablico por ela tutelados, ou outro organismo criado por um acordo celebrado entre dois ou mais pa\u00edses ou com base num acordo dessa natureza.<\/p>\n
2 – Para os efeitos do disposto na al\u00ednea c) do n\u00famero anterior, considera-se identific\u00e1vel uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por refer\u00eancia a um identificador como o nome, o n\u00famero de identifica\u00e7\u00e3o, dados de localiza\u00e7\u00e3o, identificadores em linha ou um ou mais elementos espec\u00edficos da identidade f\u00edsica, fisiol\u00f3gica, gen\u00e9tica, mental, econ\u00f3mica, cultural ou social dessa pessoa.<\/p>\n
3 – Para os efeitos do disposto na al\u00ednea i) do n.\u00ba 1, s\u00e3o autoridades competentes as for\u00e7as e os servi\u00e7os de seguran\u00e7a, os \u00f3rg\u00e3os de pol\u00edcia criminal, as autoridades judici\u00e1rias e os servi\u00e7os prisionais e de reinser\u00e7\u00e3o social, no \u00e2mbito das suas atribui\u00e7\u00f5es de preven\u00e7\u00e3o, dete\u00e7\u00e3o, investiga\u00e7\u00e3o ou repress\u00e3o de infra\u00e7\u00f5es penais ou de execu\u00e7\u00e3o de san\u00e7\u00f5es penais, nos termos previstos nos respetivos estatutos e nas leis de seguran\u00e7a interna, de organiza\u00e7\u00e3o da investiga\u00e7\u00e3o criminal e do processo penal.<\/p>\n
CAP\u00cdTULO II<\/p>\n
Princ\u00edpios relativos ao tratamento de dados pessoais<\/p>\n
Artigo 4.\u00ba<\/p>\n
Princ\u00edpios gerais de prote\u00e7\u00e3o de dados<\/p>\n
1 – O tratamento de dados pessoais deve processar-se no estrito respeito pelos direitos, liberdades e garantias das pessoas singulares, em especial pelo direito \u00e0 prote\u00e7\u00e3o dos dados pessoais.<\/p>\n
2 – Os dados pessoais s\u00e3o:<\/p>\n
a) Objeto de um tratamento l\u00edcito e leal;<\/p>\n
b) Recolhidos para finalidades determinadas, expl\u00edcitas e leg\u00edtimas, n\u00e3o podendo ser tratados de forma incompat\u00edvel com essas finalidades;<\/p>\n
c) Adequados, pertinentes e limitados ao m\u00ednimo necess\u00e1rio \u00e0 prossecu\u00e7\u00e3o das finalidades para as quais s\u00e3o tratados;<\/p>\n
d) Exatos e atualizados sempre que necess\u00e1rio, devendo ser tomadas todas as medidas razo\u00e1veis para que os dados inexatos sejam apagados ou retificados sem demora;<\/p>\n
e) Conservados de forma a permitir a identifica\u00e7\u00e3o dos titulares dos dados apenas durante o per\u00edodo necess\u00e1rio para as finalidades para as quais s\u00e3o tratados;<\/p>\n
f) Tratados de uma forma que garanta a sua seguran\u00e7a, incluindo a prote\u00e7\u00e3o contra o seu tratamento n\u00e3o autorizado ou il\u00edcito e contra a sua perda, destrui\u00e7\u00e3o ou danifica\u00e7\u00e3o acidentais, recorrendo a medidas t\u00e9cnicas ou organizativas adequadas.<\/p>\n
3 – O respons\u00e1vel pelo tratamento deve adotar as medidas que lhe permitam comprovar que o tratamento de dados pessoais \u00e9 realizado em conformidade com os princ\u00edpios enunciados no n\u00famero anterior.<\/p>\n
Artigo 5.\u00ba<\/p>\n
Licitude do tratamento<\/p>\n
1 – O tratamento de dados pessoais s\u00f3 \u00e9 l\u00edcito se estiver previsto na lei e na medida em que for necess\u00e1rio para o exerc\u00edcio de uma atribui\u00e7\u00e3o da autoridade competente para os efeitos previstos no artigo 1.\u00ba, sem preju\u00edzo do disposto no n.\u00ba 3.<\/p>\n
2 – A lei indica, pelo menos, os objetivos do tratamento, os dados pessoais a tratar e as finalidades do tratamento.<\/p>\n
3 – Caso n\u00e3o esteja autorizado por lei, o tratamento dos dados pessoais apenas pode ser realizado se for necess\u00e1rio para a prote\u00e7\u00e3o dos interesses vitais do titular dos dados ou de outra pessoa singular.<\/p>\n
Artigo 6.\u00ba<\/p>\n
Tratamento de categorias especiais de dados pessoais<\/p>\n
1 – O tratamento dos dados pessoais que revelem a origem racial ou \u00e9tnica, as opini\u00f5es pol\u00edticas, as convic\u00e7\u00f5es religiosas ou filos\u00f3ficas ou a filia\u00e7\u00e3o sindical, bem como dos dados gen\u00e9ticos, dos dados biom\u00e9tricos destinados a identificar uma pessoa singular de forma inequ\u00edvoca, dos dados relativos \u00e0 sa\u00fade ou dos dados relativos \u00e0 vida sexual ou \u00e0 orienta\u00e7\u00e3o sexual, s\u00f3 pode ser efetuado se for estritamente necess\u00e1rio, se estiver sujeito a garantias adequadas de prote\u00e7\u00e3o dos direitos e liberdades do titular dos dados, e se:<\/p>\n
a) For autorizado por lei;<\/p>\n
b) Se destinar a proteger os interesses vitais do titular dos dados ou de outra pessoa singular; ou<\/p>\n
c) Estiver relacionado com dados manifestamente tornados p\u00fablicos pelo titular dos dados.<\/p>\n
2 – S\u00e3o proibidas as defini\u00e7\u00f5es de perfis que conduzam \u00e0 discrimina\u00e7\u00e3o de pessoas singulares com base nas categorias especiais de dados pessoais previstos no n\u00famero anterior.<\/p>\n
Artigo 7.\u00ba<\/p>\n
Finalidades do tratamento<\/p>\n
1 – \u00c9 permitido o tratamento dos dados pessoais, pelo mesmo ou por outro respons\u00e1vel pelo tratamento, para finalidades diferentes daquelas para as quais os dados pessoais foram recolhidos, desde que essas outras finalidades se enquadrem nos fins previstos no artigo 1.\u00ba e que:<\/p>\n
a) O respons\u00e1vel pelo tratamento esteja autorizado por lei a tratar os dados pessoais para essa finalidade; e<\/p>\n
b) O tratamento seja necess\u00e1rio e proporcional a essa outra finalidade, nos termos da lei.<\/p>\n
2 – O tratamento pelo mesmo ou por outro respons\u00e1vel inclui o arquivo de interesse p\u00fablico e a utiliza\u00e7\u00e3o cient\u00edfica, estat\u00edstica ou hist\u00f3rica dos dados para os efeitos previstos no artigo 1.\u00ba, sob reserva de garantias adequadas dos direitos, liberdades e garantias do titular dos dados.<\/p>\n
Artigo 8.\u00ba<\/p>\n
Condi\u00e7\u00f5es espec\u00edficas de tratamento<\/p>\n
1 – Os dados pessoais recolhidos pelas autoridades competentes para os fins previstos no artigo 1.\u00ba n\u00e3o podem ser tratados para fins diferentes, salvo se esse tratamento for autorizado por lei, sendo neste caso aplic\u00e1vel ao tratamento de dados para esses e outros fins o disposto no Regulamento (UE) 2016\/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, e na Lei n.\u00ba 58\/2019, de 8 de agosto.<\/p>\n
2 – Nos casos em que as autoridades competentes exer\u00e7am atribui\u00e7\u00f5es para efeitos diversos dos previstos no artigo 1.\u00ba, \u00e9 aplic\u00e1vel ao tratamento de dados para esses outros fins, incluindo os de arquivo de interesse p\u00fablico, de investiga\u00e7\u00e3o cient\u00edfica ou hist\u00f3rica ou fins estat\u00edsticos, o disposto no Regulamento (UE) 2016\/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, e na Lei n.\u00ba 58\/2019, de 8 de agosto.<\/p>\n
3 – Se a autoridade competente proceder a uma transmiss\u00e3o de dados cujo tratamento esteja sujeito a condi\u00e7\u00f5es espec\u00edficas, a autoridade transmissora informa o destinat\u00e1rio dos dados pessoais dessas condi\u00e7\u00f5es e da obriga\u00e7\u00e3o de as cumprir.<\/p>\n
4 – Na transmiss\u00e3o de dados \u00e0 Eurojust, \u00e0 Europol e a outros organismos de coopera\u00e7\u00e3o judici\u00e1ria e policial em mat\u00e9ria penal criados no \u00e2mbito da Uni\u00e3o Europeia, bem como \u00e0s autoridades competentes de outros Estados-Membros, n\u00e3o podem ser aplicadas condi\u00e7\u00f5es espec\u00edficas diferentes das previstas para as transmiss\u00f5es de dados similares entre autoridades nacionais.<\/p>\n
Artigo 9.\u00ba<\/p>\n
Distin\u00e7\u00e3o entre diferentes categorias de titulares de dados<\/p>\n
O respons\u00e1vel pelo tratamento deve estabelecer, se aplic\u00e1vel e sempre que poss\u00edvel, uma distin\u00e7\u00e3o clara entre os dados pessoais de diferentes categorias de titulares de dados, tais como:<\/p>\n
a) Pessoas relativamente \u00e0s quais existem motivos fundados para crer que cometeram ou est\u00e3o prestes a cometer uma infra\u00e7\u00e3o penal;<\/p>\n
b) Pessoas condenadas pela pr\u00e1tica de uma infra\u00e7\u00e3o penal;<\/p>\n
c) V\u00edtimas de uma infra\u00e7\u00e3o penal ou pessoas relativamente \u00e0s quais certos factos levam a crer que possam vir a ser v\u00edtimas de uma infra\u00e7\u00e3o penal; e<\/p>\n
d) Terceiros envolvidos numa infra\u00e7\u00e3o penal, tais como pessoas que possam ser chamadas a testemunhar em processo penal, pessoas que possam fornecer informa\u00e7\u00f5es sobre infra\u00e7\u00f5es penais, ou contactos ou associados de uma das pessoas a que se referem as al\u00edneas a) e b).<\/p>\n
Artigo 10.\u00ba<\/p>\n
Distin\u00e7\u00e3o entre dados pessoais e verifica\u00e7\u00e3o da qualidade dos dados pessoais<\/p>\n
1 – Sempre que poss\u00edvel, os dados pessoais baseados em factos devem ser distinguidos dos dados pessoais baseados em aprecia\u00e7\u00f5es pessoais.<\/p>\n
2 – N\u00e3o podem ser transmitidos nem disponibilizados dados pessoais inexatos, incompletos, desatualizados ou n\u00e3o confi\u00e1veis.<\/p>\n
3 – Para os efeitos previstos no n\u00famero anterior, as autoridades competentes verificam, sempre que poss\u00edvel, a qualidade dos dados pessoais antes de estes serem transmitidos ou disponibilizados.<\/p>\n
4 – Nos casos de transmiss\u00e3o de dados pessoais, as autoridades competentes que os transferem devem fornecer, sempre que poss\u00edvel, as informa\u00e7\u00f5es necess\u00e1rias para que as autoridades competentes que os recebem possam apreciar se os dados s\u00e3o exatos, completos, atuais e fi\u00e1veis.<\/p>\n
5 – Se se verificar que foram transmitidos dados inexatos ou que foram transmitidos dados pessoais de forma il\u00edcita, o destinat\u00e1rio deve ser informado sem demora, devendo proceder-se \u00e0 retifica\u00e7\u00e3o ou ao apagamento dos dados em causa ou \u00e0 limita\u00e7\u00e3o do seu tratamento, nos termos do artigo 17.\u00ba<\/p>\n
Artigo 11.\u00ba<\/p>\n
Decis\u00f5es individuais automatizadas<\/p>\n
1 – S\u00e3o proibidas as decis\u00f5es tomadas exclusivamente com base no tratamento automatizado, incluindo a defini\u00e7\u00e3o de perfis, que produzam efeitos adversos na esfera jur\u00eddica do titular dos dados ou que o afetem de forma significativa, exceto quando autorizadas por lei, desde que seja previsto o direito de o titular dos dados obter a interven\u00e7\u00e3o humana do respons\u00e1vel pelo tratamento.<\/p>\n
2 – As decis\u00f5es a que se refere o n\u00famero anterior n\u00e3o podem basear-se nas categorias especiais de dados pessoais previstos no artigo 6.\u00ba<\/p>\n
Artigo 12.\u00ba<\/p>\n
Prazos para conserva\u00e7\u00e3o e avalia\u00e7\u00e3o<\/p>\n
1 – Os dados pessoais s\u00f3 podem ser tratados durante o per\u00edodo necess\u00e1rio para a prossecu\u00e7\u00e3o das finalidades da recolha, ou do tratamento posterior autorizado nos termos do artigo 7.\u00ba, findo o qual devem ser apagados, sem preju\u00edzo da sua pseudonimiza\u00e7\u00e3o logo que as finalidades do tratamento o permitam.<\/p>\n
2 – O respons\u00e1vel pelo tratamento avalia periodicamente a necessidade de conservar os dados pessoais tratados, de acordo com procedimentos internos adotados para esse efeito, nos quais se deve fixar, nomeadamente, a periodicidade da avalia\u00e7\u00e3o.<\/p>\n
3 – A periodicidade de avalia\u00e7\u00e3o da necessidade de conservar os dados pessoais deve ser determinada em fun\u00e7\u00e3o das diferentes categorias de titulares de dados previstos no artigo 9.\u00ba, bem como da necessidade de conserva\u00e7\u00e3o dos dados em causa para as finalidades do tratamento.<\/p>\n
4 – A decis\u00e3o de conservar os dados pessoais por per\u00edodos adicionais ao prazo de conserva\u00e7\u00e3o original deve ser documentada, justificada e notificada aos titulares dos dados, sem preju\u00edzo do disposto no artigo 16.\u00ba<\/p>\n
5 – As autoridades competentes devem utilizar sistemas inform\u00e1ticos que facilitem a avalia\u00e7\u00e3o peri\u00f3dica da necessidade de conservar os dados e o seu apagamento ou pseudonimiza\u00e7\u00e3o, nomeadamente atrav\u00e9s de alertas e de medidas de prote\u00e7\u00e3o autom\u00e1ticas, tais como a limita\u00e7\u00e3o de acesso ou a oculta\u00e7\u00e3o dos dados.<\/p>\n
CAP\u00cdTULO III<\/p>\n
Direitos do titular dos dados<\/p>\n
Artigo 13.\u00ba<\/p>\n
Comunica\u00e7\u00f5es e exerc\u00edcio dos direitos do titular dos dados<\/p>\n
1 – O respons\u00e1vel pelo tratamento facilita o exerc\u00edcio dos direitos do titular dos dados nos termos dos artigos 11.\u00ba e 15.\u00ba a 19.\u00ba<\/p>\n
2 – O respons\u00e1vel pelo tratamento fornece ao titular dos dados as informa\u00e7\u00f5es a que se refere o artigo 14.\u00ba e efetua as comunica\u00e7\u00f5es relativas aos artigos 11.\u00ba, 15.\u00ba a 19.\u00ba e 33.\u00ba de uma forma concisa, intelig\u00edvel e de f\u00e1cil acesso, utilizando uma linguagem clara e simples, e pelos meios adequados, incluindo meios eletr\u00f3nicos, e, sempre que poss\u00edvel, com recurso ao meio utilizado no pedido.<\/p>\n
3 – O respons\u00e1vel pelo tratamento informa o titular dos dados do seguimento dado ao seu pedido, por escrito, e sem demora injustificada, num prazo n\u00e3o superior a 30 dias, que pode ser renovado por mais 30 dias, em caso de motivo justificado.<\/p>\n
4 – A presta\u00e7\u00e3o de informa\u00e7\u00f5es e o exerc\u00edcio dos direitos s\u00e3o gratuitos, sem preju\u00edzo do disposto no n\u00famero seguinte.<\/p>\n
5 – Nos casos em que o pedido do titular dos dados seja manifestamente infundado ou excessivo, designadamente devido ao seu car\u00e1ter repetitivo, o respons\u00e1vel pelo tratamento, mediante decis\u00e3o fundamentada, pode:<\/p>\n
a) Exigir o pagamento de uma taxa de montante a fixar por portaria do membro do Governo respons\u00e1vel pela \u00e1rea da justi\u00e7a, tendo em conta os custos administrativos associados; ou<\/p>\n
b) Recusar dar seguimento ao pedido.<\/p>\n
6 – Se tiver d\u00favidas razo\u00e1veis quanto \u00e0 identidade da pessoa que apresenta o pedido ao abrigo dos artigos 15.\u00ba e 17.\u00ba, o respons\u00e1vel pelo tratamento pode solicitar ao requerente que lhe sejam fornecidas as informa\u00e7\u00f5es adicionais necess\u00e1rias para confirmar a sua identidade.<\/p>\n
Artigo 14.\u00ba<\/p>\n
Informa\u00e7\u00f5es a disponibilizar ou a fornecer pelo respons\u00e1vel pelo tratamento<\/p>\n
1 – O respons\u00e1vel pelo tratamento disponibiliza publicamente e de forma permanentemente acess\u00edvel as informa\u00e7\u00f5es sobre:<\/p>\n
a) A identidade e os contactos do respons\u00e1vel pelo tratamento;<\/p>\n
b) Os contactos do encarregado da prote\u00e7\u00e3o de dados;<\/p>\n
c) As finalidades do tratamento a que os dados pessoais se destinam;<\/p>\n
d) O direito de apresentar queixa \u00e0 autoridade de controlo e os contactos dessa autoridade;<\/p>\n
e) O direito de solicitar ao respons\u00e1vel pelo tratamento acesso aos dados pessoais que lhe dizem respeito, bem como a sua retifica\u00e7\u00e3o ou o seu apagamento e a limita\u00e7\u00e3o do tratamento.<\/p>\n
2 – Para al\u00e9m das informa\u00e7\u00f5es a que se refere o n\u00famero anterior, e sem preju\u00edzo do disposto no n\u00famero seguinte, o respons\u00e1vel pelo tratamento fornece ao titular dos dados as seguintes informa\u00e7\u00f5es adicionais a fim de lhe permitir exercer os seus direitos:<\/p>\n
a) O fundamento jur\u00eddico do tratamento;<\/p>\n
b) O prazo de conserva\u00e7\u00e3o dos dados pessoais, os crit\u00e9rios utilizados para o definir ou os procedimentos previstos para revis\u00e3o peri\u00f3dica da necessidade de conserva\u00e7\u00e3o;<\/p>\n
c) As categorias de destinat\u00e1rios dos dados pessoais, se for o caso, inclusivamente nos pa\u00edses terceiros ou nas organiza\u00e7\u00f5es internacionais;<\/p>\n
d) Se necess\u00e1rio, outras informa\u00e7\u00f5es adicionais, especialmente se os dados pessoais tiverem sido recolhidos sem o conhecimento do seu titular.<\/p>\n
3 – A presta\u00e7\u00e3o de informa\u00e7\u00f5es a que se refere o n\u00famero anterior pode ser adiada, limitada ou recusada se e enquanto tal for necess\u00e1rio e proporcional para:<\/p>\n
a) Evitar preju\u00edzo para investiga\u00e7\u00f5es, inqu\u00e9ritos ou processos judiciais;<\/p>\n
b) Evitar preju\u00edzo para a preven\u00e7\u00e3o, dete\u00e7\u00e3o, investiga\u00e7\u00e3o ou repress\u00e3o de infra\u00e7\u00f5es penais ou para a execu\u00e7\u00e3o de san\u00e7\u00f5es penais;<\/p>\n
c) Proteger a seguran\u00e7a p\u00fablica;<\/p>\n
d) Proteger a seguran\u00e7a nacional; ou<\/p>\n
e) Proteger os direitos, liberdades e garantias de terceiros.<\/p>\n
Artigo 15.\u00ba<\/p>\n
Direito de acesso do titular dos dados aos seus dados pessoais<\/p>\n
1 – Sem preju\u00edzo do disposto no artigo seguinte, o titular dos dados tem direito a obter do respons\u00e1vel pelo tratamento, com periodicidade razo\u00e1vel, informa\u00e7\u00e3o sobre se os dados pessoais que lhe dizem respeito est\u00e3o ou n\u00e3o a ser objeto de tratamento.<\/p>\n
2 – Em caso afirmativo, o titular dos dados tem o direito de aceder aos seus dados pessoais e \u00e0s informa\u00e7\u00f5es sobre:<\/p>\n
a) As finalidades e o fundamento jur\u00eddico do tratamento;<\/p>\n
b) As categorias dos dados pessoais em causa;<\/p>\n
c) Os destinat\u00e1rios ou as categorias de destinat\u00e1rios aos quais os dados pessoais foram transmitidos, especialmente se se tratar de destinat\u00e1rios de pa\u00edses terceiros ou de organiza\u00e7\u00f5es internacionais;<\/p>\n
d) Sempre que poss\u00edvel, o prazo previsto de conserva\u00e7\u00e3o dos dados pessoais ou, se n\u00e3o for poss\u00edvel, os crit\u00e9rios utilizados para fixar esse prazo;<\/p>\n
e) O direito de solicitar ao respons\u00e1vel pelo tratamento a retifica\u00e7\u00e3o ou o apagamento dos dados pessoais ou a limita\u00e7\u00e3o do tratamento dos dados pessoais que lhe dizem respeito;<\/p>\n
f) O direito de apresentar queixa \u00e0 autoridade de controlo e de obter os contactos dessa autoridade;<\/p>\n
g) A comunica\u00e7\u00e3o dos dados pessoais sujeitos a tratamento, bem como as informa\u00e7\u00f5es dispon\u00edveis sobre a origem dos mesmos.<\/p>\n
Artigo 16.\u00ba<\/p>\n
Limita\u00e7\u00f5es do direito de acesso<\/p>\n
1 – O respons\u00e1vel pelo tratamento pode recusar ou restringir o direito de acesso do titular dos dados enquanto tal limita\u00e7\u00e3o constituir uma medida necess\u00e1ria e proporcional para:<\/p>\n
a) Evitar preju\u00edzo para investiga\u00e7\u00f5es, inqu\u00e9ritos ou processos judiciais;<\/p>\n
b) Evitar preju\u00edzo para a preven\u00e7\u00e3o, dete\u00e7\u00e3o, investiga\u00e7\u00e3o ou repress\u00e3o de infra\u00e7\u00f5es penais ou para a execu\u00e7\u00e3o de san\u00e7\u00f5es penais;<\/p>\n
c) Proteger a seguran\u00e7a p\u00fablica;<\/p>\n
d) Proteger a seguran\u00e7a nacional; ou<\/p>\n
e) Proteger os direitos, liberdades e garantias de terceiros.<\/p>\n
2 – Nos casos previstos no n\u00famero anterior, o respons\u00e1vel pelo tratamento informa o titular dos dados, por escrito e sem demora injustificada, dos motivos da recusa ou da limita\u00e7\u00e3o do acesso.<\/p>\n
3 – A informa\u00e7\u00e3o a que se refere o n\u00famero anterior pode ser omitida apenas na medida em que a sua presta\u00e7\u00e3o possa prejudicar uma das finalidades enunciadas no n.\u00ba 1.<\/p>\n
4 – Nos casos previstos no n\u00famero anterior, o respons\u00e1vel pelo tratamento informa o titular dos dados do direito que lhe assiste de apresentar um pedido de verifica\u00e7\u00e3o \u00e0 autoridade de controlo nos termos do artigo 18.\u00ba, ou de intentar a competente a\u00e7\u00e3o judicial.<\/p>\n
5 – O respons\u00e1vel pelo tratamento disponibiliza \u00e0 autoridade de controlo informa\u00e7\u00e3o sobre os motivos de facto e de direito que fundamentam a decis\u00e3o de recusa ou de limita\u00e7\u00e3o do direito de acesso, bem como da omiss\u00e3o de informa\u00e7\u00e3o ao titular dos dados.<\/p>\n
Artigo 17.\u00ba<\/p>\n
Direito de retifica\u00e7\u00e3o ou apagamento dos dados pessoais e de limita\u00e7\u00e3o do tratamento<\/p>\n
1 – O titular dos dados tem o direito de obter do respons\u00e1vel pelo tratamento, sem demora injustificada, a retifica\u00e7\u00e3o dos dados pessoais inexatos que lhe digam respeito, bem como o direito a que os seus dados pessoais incompletos sejam completados, nomeadamente por meio de declara\u00e7\u00e3o adicional.<\/p>\n
2 – O titular dos dados tem o direito de obter do respons\u00e1vel pelo tratamento, sem demora injustificada, o apagamento dos dados pessoais que lhe digam respeito nos casos em que o tratamento n\u00e3o respeite o disposto nos artigos 4.\u00ba a 7.\u00ba ou nos casos em que o apagamento seja exigido para dar cumprimento a uma obriga\u00e7\u00e3o legal a que o respons\u00e1vel pelo tratamento esteja sujeito.<\/p>\n
3 – Em vez de proceder ao apagamento, o respons\u00e1vel pelo tratamento limita o tratamento, no caso de:<\/p>\n
a) O titular dos dados contestar a exatid\u00e3o dos dados pessoais e a sua exatid\u00e3o ou inexatid\u00e3o n\u00e3o puder ser apurada;<\/p>\n
b) Os dados pessoais deverem ser conservados para efeitos de prova.<\/p>\n
4 – Nos casos previstos na al\u00ednea a) do n\u00famero anterior, o respons\u00e1vel pelo tratamento informa o titular dos dados antes de p\u00f4r termo \u00e0 limita\u00e7\u00e3o do tratamento.<\/p>\n
5 – A limita\u00e7\u00e3o do tratamento implica que os dados s\u00f3 possam ser tratados para as finalidades que impediram o seu apagamento, devendo o respons\u00e1vel pelo tratamento adotar as medidas t\u00e9cnicas e organizativas adequadas para assegurar que a limita\u00e7\u00e3o \u00e9 respeitada.<\/p>\n
6 – O titular dos dados \u00e9 informado, por escrito, da decis\u00e3o de recusa do pedido de retifica\u00e7\u00e3o ou de apagamento ou da limita\u00e7\u00e3o do tratamento e dos respetivos fundamentos.<\/p>\n
7 – A informa\u00e7\u00e3o a que se refere o n\u00famero anterior pode ser omitida ou limitada pelo respons\u00e1vel pelo tratamento na medida em que tal omiss\u00e3o ou limita\u00e7\u00e3o constitua uma medida necess\u00e1ria e proporcional para:<\/p>\n
a) Evitar preju\u00edzo para investiga\u00e7\u00f5es, inqu\u00e9ritos, ou processos judiciais;<\/p>\n
b) Evitar preju\u00edzo para a preven\u00e7\u00e3o, dete\u00e7\u00e3o, investiga\u00e7\u00e3o ou repress\u00e3o de infra\u00e7\u00f5es penais ou a execu\u00e7\u00e3o de san\u00e7\u00f5es penais;<\/p>\n
c) Proteger a seguran\u00e7a p\u00fablica;<\/p>\n
d) Proteger a seguran\u00e7a nacional; ou<\/p>\n
e) Proteger os direitos e as liberdades de terceiros.<\/p>\n
8 – Nos casos previstos no n\u00famero anterior, o respons\u00e1vel pelo tratamento informa o titular dos dados do direito de apresentar um pedido de verifica\u00e7\u00e3o \u00e0 autoridade de controlo nos termos do artigo 18.\u00ba, ou de intentar a competente a\u00e7\u00e3o judicial.<\/p>\n
9 – A retifica\u00e7\u00e3o dos dados pessoais \u00e9 comunicada \u00e0 autoridade competente de origem dos dados inexatos.<\/p>\n
10 – Em caso de transmiss\u00e3o de dados, o respons\u00e1vel pelo tratamento informa os destinat\u00e1rios da retifica\u00e7\u00e3o ou do apagamento ou da limita\u00e7\u00e3o do tratamento, devendo estes retificar ou apagar os dados ou limitar o tratamento em conformidade com essa informa\u00e7\u00e3o.<\/p>\n
Artigo 18.\u00ba<\/p>\n
Exerc\u00edcio dos direitos do titular dos dados e verifica\u00e7\u00e3o pela autoridade de controlo<\/p>\n
1 – Em caso de recusa de informa\u00e7\u00e3o, acesso, retifica\u00e7\u00e3o, apagamento ou limita\u00e7\u00e3o de tratamento com fundamento no disposto no n.\u00ba 3 do artigo 14.\u00ba, no n.\u00ba 1 do artigo 16.\u00ba ou no n.\u00ba 7 do artigo anterior, o titular dos dados pode solicitar \u00e0 autoridade de controlo que verifique a licitude do tratamento.<\/p>\n
2 – O respons\u00e1vel pelo tratamento informa o titular dos dados do direito que lhe assiste nos termos do n\u00famero anterior.<\/p>\n
3 – Nos casos referidos no n.\u00ba 1, a autoridade de controlo informa o titular dos dados de que procedeu a todas as verifica\u00e7\u00f5es necess\u00e1rias ou a um reexame do tratamento e do direito que lhe assiste de intentar a competente a\u00e7\u00e3o judicial.<\/p>\n
Artigo 19.\u00ba<\/p>\n
Direitos do titular dos dados em casos especiais<\/p>\n
Os direitos de informa\u00e7\u00e3o, de acesso, de retifica\u00e7\u00e3o, de apagamento e de limita\u00e7\u00e3o do tratamento de dados pessoais constantes de um processo penal, de uma decis\u00e3o judicial ou do registo criminal s\u00e3o exercidos nos termos da lei processual penal e da demais legisla\u00e7\u00e3o aplic\u00e1vel.<\/p>\n
CAP\u00cdTULO IV<\/p>\n
Respons\u00e1vel pelo tratamento e subcontratante<\/p>\n
Artigo 20.\u00ba<\/p>\n
Obriga\u00e7\u00f5es do respons\u00e1vel pelo tratamento<\/p>\n
1 – O respons\u00e1vel pelo tratamento, tendo em conta a natureza, o \u00e2mbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos, liberdades e garantias das pessoas, adota as medidas t\u00e9cnicas e organizativas adequadas para assegurar e poder comprovar que o tratamento \u00e9 realizado em conformidade com a presente lei.<\/p>\n
2 – As medidas adotadas nos termos do n\u00famero anterior s\u00e3o regularmente avaliadas e atualizadas.<\/p>\n
Artigo 21.\u00ba<\/p>\n
Requisitos m\u00ednimos da prote\u00e7\u00e3o de dados<\/p>\n
1 – O respons\u00e1vel pelo tratamento adota as medidas t\u00e9cnicas e organizativas que assegurem de forma eficaz o respeito pelos princ\u00edpios da prote\u00e7\u00e3o de dados, bem como as garantias necess\u00e1rias para satisfazer os requisitos estabelecidos na presente lei e para proteger os direitos dos titulares dos dados.<\/p>\n
2 – O respons\u00e1vel pelo tratamento aplica as medidas t\u00e9cnicas e organizativas adequadas que assegurem que apenas s\u00e3o tratados os dados pessoais necess\u00e1rios para cada finalidade espec\u00edfica do tratamento.<\/p>\n
3 – Para os efeitos do n\u00famero anterior, o respons\u00e1vel pelo tratamento avalia o volume de dados pessoais recolhidos, a extens\u00e3o do tratamento, o prazo de conserva\u00e7\u00e3o e a acessibilidade, devendo assegurar que, por defeito, os dados pessoais n\u00e3o s\u00e3o disponibilizados a um n\u00famero indeterminado de pessoas sem o consentimento do respetivo titular dos dados.<\/p>\n
4 – As medidas referidas no n.\u00ba 1 s\u00e3o asseguradas tanto nos momentos da conce\u00e7\u00e3o, do desenvolvimento e da aplica\u00e7\u00e3o dos meios de tratamento como no momento do pr\u00f3prio tratamento, de modo a permitir, designadamente, a pseudonimiza\u00e7\u00e3o e a minimiza\u00e7\u00e3o dos dados.<\/p>\n
Artigo 22.\u00ba<\/p>\n
Respons\u00e1veis conjuntos pelo tratamento<\/p>\n
1 – Para os efeitos da presente lei, quando dois ou mais respons\u00e1veis pelo tratamento de dados determinam conjuntamente as finalidades e os meios do tratamento, ambos s\u00e3o respons\u00e1veis conjuntos pelo tratamento.<\/p>\n
2 – Os respons\u00e1veis conjuntos determinam as respetivas responsabilidades por m\u00fatuo acordo, de forma transparente e devidamente documentada a fim de garantir o cumprimento da presente lei, nomeadamente no que diz respeito ao exerc\u00edcio dos direitos do titular dos dados e aos deveres de facultar a informa\u00e7\u00e3o a que se refere o artigo 14.\u00ba, salvo nos casos em que a responsabilidade seja determinada por lei.<\/p>\n
3 – O acordo previsto no n\u00famero anterior identifica qual dos respons\u00e1veis \u00e9 o ponto de contacto dos titulares dos dados para o exerc\u00edcio dos seus direitos, sem preju\u00edzo de a pretens\u00e3o poder ser dirigida a qualquer deles.<\/p>\n
Artigo 23.\u00ba<\/p>\n
Tratamento dos dados por subcontratante<\/p>\n
1 – O respons\u00e1vel pelo tratamento pode recorrer a subcontratantes que apresentem garantias suficientes de ado\u00e7\u00e3o de medidas t\u00e9cnicas e organizativas adequadas de modo a que o tratamento satisfa\u00e7a os requisitos estabelecidos na presente lei e assegure a prote\u00e7\u00e3o dos direitos do titular dos dados.<\/p>\n
2 – O subcontratante n\u00e3o pode recorrer a outro subcontratante sem a autoriza\u00e7\u00e3o pr\u00e9via espec\u00edfica ou geral, por escrito, do respons\u00e1vel pelo tratamento, com exce\u00e7\u00e3o dos casos em que a subcontrata\u00e7\u00e3o esteja prevista na lei.<\/p>\n
3 – Em caso de autoriza\u00e7\u00e3o geral, o subcontratante informa o respons\u00e1vel pelo tratamento de todas as altera\u00e7\u00f5es pretendidas quanto \u00e0 contrata\u00e7\u00e3o de outros subcontratantes, podendo o respons\u00e1vel pelo tratamento opor-se a essas altera\u00e7\u00f5es.<\/p>\n
4 – O tratamento de dados em subcontrata\u00e7\u00e3o \u00e9 regulado por contrato escrito ou por lei que estabele\u00e7a o objeto, a dura\u00e7\u00e3o, a natureza e a finalidade do tratamento, o tipo de dados pessoais e as categorias de titulares de dados a tratar, bem como as obriga\u00e7\u00f5es e os direitos do respons\u00e1vel pelo tratamento.<\/p>\n
5 – O contrato ou a lei referidos no n\u00famero anterior preveem, designadamente, que o subcontratante:<\/p>\n
a) S\u00f3 aja de acordo com as instru\u00e7\u00f5es do respons\u00e1vel pelo tratamento;<\/p>\n
b) Assegure que as pessoas autorizadas a tratar os dados pessoais assumem um compromisso de confidencialidade ou se encontram sujeitas a obriga\u00e7\u00f5es legais de confidencialidade;<\/p>\n
c) Preste assist\u00eancia ao respons\u00e1vel pelo tratamento por todos os meios adequados de modo a assegurar o cumprimento das disposi\u00e7\u00f5es relativas aos direitos do titular dos dados;<\/p>\n
d) Ap\u00f3s concluir os servi\u00e7os de tratamento, apague de forma definitiva ou devolva os dados ao respons\u00e1vel pelo tratamento, consoante a escolha deste, e apague as c\u00f3pias existentes, a menos que a sua conserva\u00e7\u00e3o seja exigida por lei;<\/p>\n
e) Disponibilize ao respons\u00e1vel pelo tratamento as informa\u00e7\u00f5es necess\u00e1rias para demonstrar o cumprimento do disposto no presente artigo;<\/p>\n
f) Respeite as condi\u00e7\u00f5es referidas nos n.os 2 e 3 no que respeita \u00e0 contrata\u00e7\u00e3o de outro subcontratante;<\/p>\n
g) Adote as medidas t\u00e9cnicas e organizativas adequadas que assegurem a prote\u00e7\u00e3o dos dados pessoais, em conformidade com o exigido na presente lei, devendo considerar o princ\u00edpio da prote\u00e7\u00e3o de dados desde a conce\u00e7\u00e3o e por defeito.<\/p>\n
Artigo 24.\u00ba<\/p>\n
Tratamento sob a autoridade do respons\u00e1vel pelo tratamento ou do subcontratante<\/p>\n
O subcontratante, bem como qualquer pessoa que, agindo sob a autoridade deste ou do respons\u00e1vel pelo tratamento, tenha acesso a dados pessoais, n\u00e3o pode efetuar o respetivo tratamento sem instru\u00e7\u00f5es do respons\u00e1vel pelo tratamento.<\/p>\n
Artigo 25.\u00ba<\/p>\n
Dever de sigilo<\/p>\n
Os respons\u00e1veis pelo tratamento, os subcontratantes, bem como qualquer outra pessoa que, no exerc\u00edcio das suas fun\u00e7\u00f5es, tenha acesso aos dados pessoais, ficam obrigados a sigilo profissional, mesmo ap\u00f3s o termo das suas fun\u00e7\u00f5es.<\/p>\n
Artigo 26.\u00ba<\/p>\n
Registos das atividades de tratamento<\/p>\n
1 – O respons\u00e1vel pelo tratamento conserva um registo de todas as categorias de atividades de tratamento sob a sua responsabilidade.<\/p>\n
2 – O registo deve conter:<\/p>\n
a) O nome e os contactos do respons\u00e1vel pelo tratamento e, se for o caso, dos respons\u00e1veis conjuntos pelo tratamento e do encarregado da prote\u00e7\u00e3o de dados;<\/p>\n
b) As finalidades do tratamento;<\/p>\n
c) As categorias de destinat\u00e1rios aos quais os dados pessoais s\u00e3o divulgados ou facultados, incluindo os destinat\u00e1rios estabelecidos em pa\u00edses terceiros ou organiza\u00e7\u00f5es internacionais;<\/p>\n
d) A descri\u00e7\u00e3o das categorias de titulares de dados e das categorias de dados pessoais;<\/p>\n
e) A utiliza\u00e7\u00e3o da defini\u00e7\u00e3o de perfis, se for caso disso;<\/p>\n
f) As categorias de transfer\u00eancias de dados pessoais para um pa\u00eds terceiro ou para uma organiza\u00e7\u00e3o internacional, se for caso disso;<\/p>\n
g) A indica\u00e7\u00e3o do fundamento jur\u00eddico do tratamento, incluindo das transfer\u00eancias, a que os dados pessoais se destinam;<\/p>\n
h) Se poss\u00edvel, os prazos de conserva\u00e7\u00e3o das diferentes categorias de dados pessoais ou os procedimentos previstos para revis\u00e3o peri\u00f3dica da necessidade de conserva\u00e7\u00e3o;<\/p>\n
i) Uma descri\u00e7\u00e3o geral das medidas t\u00e9cnicas e organizativas em mat\u00e9ria de seguran\u00e7a referidas no artigo 31.\u00ba;<\/p>\n
j) Os pedidos apresentados pelos titulares dos dados e a respetiva tramita\u00e7\u00e3o, bem como as decis\u00f5es do respons\u00e1vel pelo tratamento com a correspondente fundamenta\u00e7\u00e3o.<\/p>\n
3 – O subcontratante conserva um registo de todas as categorias de atividades de tratamento realizadas em nome do respons\u00e1vel pelo tratamento, do qual constam:<\/p>\n
a) O nome e os contactos do subcontratante ou subcontratantes, de cada respons\u00e1vel pelo tratamento em nome do qual atua o subcontratante e do encarregado da prote\u00e7\u00e3o de dados, se for caso disso;<\/p>\n
b) As categorias de tratamentos de dados efetuados em nome de cada respons\u00e1vel pelo tratamento;<\/p>\n
c) Se for caso disso, as transfer\u00eancias de dados pessoais para um pa\u00eds terceiro ou para uma organiza\u00e7\u00e3o internacional e as instru\u00e7\u00f5es do respons\u00e1vel pelo tratamento para as transfer\u00eancias, incluindo a identifica\u00e7\u00e3o desse pa\u00eds terceiro ou dessa organiza\u00e7\u00e3o internacional;<\/p>\n
d) Uma descri\u00e7\u00e3o geral das medidas t\u00e9cnicas e organizativas em mat\u00e9ria de seguran\u00e7a referidas no artigo 31.\u00ba<\/p>\n
4 – Os registos a que se referem os n\u00fameros anteriores s\u00e3o conservados por escrito e em suporte duradouro, designadamente em formato eletr\u00f3nico.<\/p>\n
5 – O respons\u00e1vel pelo tratamento e o subcontratante facultam os registos previstos nos n\u00fameros anteriores \u00e0 autoridade de controlo, a pedido desta.<\/p>\n
Artigo 27.\u00ba<\/p>\n
Registo cronol\u00f3gico<\/p>\n
1 – O respons\u00e1vel pelo tratamento e o subcontratante conservam em sistemas de tratamento automatizado registos cronol\u00f3gicos das seguintes opera\u00e7\u00f5es de tratamento:<\/p>\n
a) Recolha;<\/p>\n
b) Altera\u00e7\u00e3o;<\/p>\n
c) Consulta;<\/p>\n
d) Divulga\u00e7\u00e3o, incluindo transfer\u00eancias;<\/p>\n
e) Interconex\u00e3o;<\/p>\n
f) Apagamento; e<\/p>\n
g) Limita\u00e7\u00e3o do tratamento, incluindo as datas de in\u00edcio e de cessa\u00e7\u00e3o da limita\u00e7\u00e3o.<\/p>\n
2 – Os registos cronol\u00f3gicos das opera\u00e7\u00f5es de consulta e de divulga\u00e7\u00e3o devem permitir determinar o motivo, a data e a hora dessas opera\u00e7\u00f5es, a identifica\u00e7\u00e3o da pessoa que consultou ou divulgou dados pessoais e, sempre que poss\u00edvel, a identidade dos destinat\u00e1rios desses dados pessoais.<\/p>\n
3 – Os registos cronol\u00f3gicos s\u00e3o utilizados exclusivamente para efeitos de verifica\u00e7\u00e3o da licitude do tratamento, autocontrolo, exerc\u00edcio do poder disciplinar e garantia da integridade e seguran\u00e7a dos dados pessoais, bem como no \u00e2mbito e para efeitos de processo penal.<\/p>\n
4 – O respons\u00e1vel pelo tratamento e o subcontratante disponibilizam os registos cronol\u00f3gicos \u00e0 autoridade de controlo, a pedido desta.<\/p>\n
5 – As leis espec\u00edficas reguladoras das opera\u00e7\u00f5es de tratamento dos dados para as finalidades previstas no artigo 1.\u00ba definem os per\u00edodos de conserva\u00e7\u00e3o aplic\u00e1veis aos registos cronol\u00f3gicos.<\/p>\n
6 – O respons\u00e1vel pelo tratamento e o subcontratante adotam medidas t\u00e9cnicas que garantam a integridade dos registos cronol\u00f3gicos.<\/p>\n
Artigo 28.\u00ba<\/p>\n
Dever de colabora\u00e7\u00e3o<\/p>\n
O respons\u00e1vel pelo tratamento e o subcontratante colaboram plenamente com a autoridade de controlo no exerc\u00edcio das suas atribui\u00e7\u00f5es.<\/p>\n
Artigo 29.\u00ba<\/p>\n
Avalia\u00e7\u00e3o de impacto<\/p>\n
1 – No caso de um certo tipo de tratamento ser suscet\u00edvel de representar um elevado risco para os direitos, liberdades e garantias das pessoas, o respons\u00e1vel pelo mesmo deve efetuar uma avalia\u00e7\u00e3o do impacto das opera\u00e7\u00f5es que o comp\u00f5em antes de lhe dar in\u00edcio.<\/p>\n
2 – Tendo em conta os direitos, liberdades e garantias das pessoas, a avalia\u00e7\u00e3o do impacto inclui:<\/p>\n
a) Uma descri\u00e7\u00e3o geral das opera\u00e7\u00f5es de tratamento previstas;<\/p>\n
b) Uma avalia\u00e7\u00e3o dos riscos para os direitos, liberdades e garantias dos titulares dos dados;<\/p>\n
c) As medidas previstas para fazer face aos riscos mencionados na al\u00ednea anterior;<\/p>\n
d) As garantias, as medidas de seguran\u00e7a e os mecanismos para assegurar a prote\u00e7\u00e3o dos dados pessoais e demonstrar a conformidade do tratamento com a presente lei.<\/p>\n
Artigo 30.\u00ba<\/p>\n
Consulta pr\u00e9via da autoridade de controlo<\/p>\n
1 – O respons\u00e1vel pelo tratamento ou o subcontratante consultam a autoridade de controlo antes de proceder ao tratamento de dados pessoais a integrar em ficheiro a criar nos casos em que:<\/p>\n
a) A avalia\u00e7\u00e3o de impacto prevista no artigo anterior indique que o tratamento resultaria num elevado risco, na aus\u00eancia de medidas adequadas para atenuar esse risco; ou<\/p>\n
b) O tipo de tratamento envolva um elevado risco para os direitos, liberdades e garantias dos titulares dos dados, designadamente se utilizar novas tecnologias.<\/p>\n
2 – A autoridade de controlo \u00e9 consultada durante a elabora\u00e7\u00e3o de instrumentos jur\u00eddicos em prepara\u00e7\u00e3o na Uni\u00e3o Europeia ou em institui\u00e7\u00f5es internacionais e durante a elabora\u00e7\u00e3o de acordos bilaterais ou multilaterais a celebrar entre o Estado Portugu\u00eas e outros Estados, bem como de propostas legislativas e regulamentares referentes ao tratamento de dados pessoais, podendo, igualmente, emitir pareceres, por iniciativa pr\u00f3pria, sobre qualquer quest\u00e3o relacionada com a prote\u00e7\u00e3o de dados pessoais.<\/p>\n
3 – A autoridade de controlo pode elaborar e publicitar uma lista das opera\u00e7\u00f5es de tratamento sujeitas a consulta pr\u00e9via nos termos do n.\u00ba 1.<\/p>\n
4 – O respons\u00e1vel pelo tratamento fornece \u00e0 autoridade de controlo a avalia\u00e7\u00e3o de impacto prevista no artigo anterior e, quando solicitado, qualquer outra informa\u00e7\u00e3o que lhe permita avaliar a conformidade do tratamento com a presente lei, os riscos para a prote\u00e7\u00e3o dos dados pessoais e as respetivas garantias.<\/p>\n
5 – Caso considere que o tratamento previsto no n.\u00ba 1 viola o disposto na presente lei, especialmente se o respons\u00e1vel pelo tratamento n\u00e3o tiver identificado ou atenuado de forma suficiente os riscos, a autoridade de controlo d\u00e1 orienta\u00e7\u00f5es por escrito ao respons\u00e1vel pelo tratamento ou ao subcontratante no prazo de seis semanas a contar da rece\u00e7\u00e3o do pedido de consulta, sem preju\u00edzo de poder adotar outras medidas da sua compet\u00eancia.<\/p>\n
6 – O prazo previsto no n\u00famero anterior pode ser prorrogado por um m\u00eas, tendo em conta a complexidade do tratamento em causa, devendo a autoridade de controlo informar o respons\u00e1vel pelo tratamento ou o subcontratante dessa prorroga\u00e7\u00e3o e dos respetivos fundamentos.<\/p>\n
Artigo 31.\u00ba<\/p>\n
Seguran\u00e7a do tratamento<\/p>\n
1 – O respons\u00e1vel pelo tratamento e o subcontratante adotam as medidas t\u00e9cnicas e organizativas apropriadas a fim de assegurarem um n\u00edvel de seguran\u00e7a adequado ao risco, em particular no que diz respeito ao tratamento das categorias especiais de dados pessoais referidos no artigo 6.\u00ba<\/p>\n
2 – No que respeita ao tratamento automatizado de dados, o respons\u00e1vel pelo tratamento ou o subcontratante, tendo em conta a avalia\u00e7\u00e3o dos riscos, devem aplicar medidas que:<\/p>\n
a) Impe\u00e7am o acesso de pessoas n\u00e3o autorizadas ao equipamento utilizado para o tratamento (controlo de acesso ao equipamento);<\/p>\n
b) Impe\u00e7am que os suportes de dados sejam lidos, copiados, alterados ou retirados sem autoriza\u00e7\u00e3o (controlo dos suportes de dados);<\/p>\n
c) Impe\u00e7am a introdu\u00e7\u00e3o n\u00e3o autorizada de dados pessoais, bem como qualquer opera\u00e7\u00e3o n\u00e3o autorizada relativamente a dados pessoais conservados (controlo da conserva\u00e7\u00e3o);<\/p>\n
d) Impe\u00e7am que os sistemas de tratamento automatizado sejam utilizados por pessoas n\u00e3o autorizadas por meio de equipamento de comunica\u00e7\u00e3o de dados (controlo dos utilizadores);<\/p>\n
e) Assegurem que as pessoas autorizadas a utilizar um sistema de tratamento automatizado s\u00f3 tenham acesso aos dados pessoais abrangidos pela sua autoriza\u00e7\u00e3o de acesso (controlo do acesso aos dados);<\/p>\n
f) Assegurem que possa ser verificado e determinado a que organismos os dados pessoais foram ou podem ser transmitidos ou facultados utilizando equipamento de comunica\u00e7\u00e3o de dados (controlo da comunica\u00e7\u00e3o);<\/p>\n
g) Assegurem que possa ser verificado e determinado a posteriori quais os dados pessoais introduzidos nos sistemas de tratamento automatizado, quando e por quem foram introduzidos (controlo da introdu\u00e7\u00e3o);<\/p>\n
h) Impe\u00e7am que, durante as transfer\u00eancias de dados pessoais ou o transporte de suportes de dados, os dados pessoais possam ser lidos, copiados, alterados ou suprimidos sem autoriza\u00e7\u00e3o (controlo do transporte);<\/p>\n
i) Assegurem que os sistemas utilizados possam ser restaurados em caso de interrup\u00e7\u00e3o (recupera\u00e7\u00e3o);<\/p>\n
j) Assegurem que as fun\u00e7\u00f5es do sistema funcionam, que os erros de funcionamento sejam assinalados (fiabilidade) e que os dados pessoais conservados n\u00e3o possam ser falseados por funcionamento defeituoso do sistema (integridade).<\/p>\n
3 – O disposto no n\u00famero anterior \u00e9 aplic\u00e1vel, com as devidas adapta\u00e7\u00f5es, ao tratamento manual de dados contidos ou destinados a um ficheiro estruturado.<\/p>\n
Artigo 32.\u00ba<\/p>\n
Notifica\u00e7\u00e3o de uma viola\u00e7\u00e3o de dados pessoais \u00e0 autoridade de controlo<\/p>\n
1 – Caso se verifique uma viola\u00e7\u00e3o de dados pessoais, o respons\u00e1vel pelo tratamento notifica a autoridade de controlo no prazo de 72 horas ap\u00f3s ter conhecimento da situa\u00e7\u00e3o, a menos que a viola\u00e7\u00e3o n\u00e3o seja suscet\u00edvel de resultar num risco para os direitos, liberdades e garantias das pessoas singulares.<\/p>\n
2 – Nos casos em que n\u00e3o seja poss\u00edvel efetuar a notifica\u00e7\u00e3o no prazo de 72 horas, o respons\u00e1vel pelo tratamento deve indicar os motivos do atraso.<\/p>\n
3 – A notifica\u00e7\u00e3o a que se refere o n.\u00ba 1 \u00e9 confidencial e deve, no m\u00ednimo:<\/p>\n
a) Descrever a natureza da viola\u00e7\u00e3o de dados pessoais, incluindo, se poss\u00edvel e adequado, as categorias e o n\u00famero aproximado de titulares dos dados afetados e as categorias e o n\u00famero aproximado de registos de dados pessoais em causa;<\/p>\n
b) Comunicar o nome e os contactos do encarregado da prote\u00e7\u00e3o de dados ou de outro ponto de contacto, para efeitos de presta\u00e7\u00e3o de informa\u00e7\u00f5es adicionais;<\/p>\n
c) Descrever as consequ\u00eancias prov\u00e1veis da viola\u00e7\u00e3o de dados pessoais;<\/p>\n
d) Descrever as medidas adotadas ou propostas pelo respons\u00e1vel pelo tratamento para reparar a viola\u00e7\u00e3o de dados pessoais, nomeadamente, se for caso disso, para atenuar os seus eventuais efeitos negativos.<\/p>\n
4 – Nos casos em que n\u00e3o seja poss\u00edvel serem prestadas em simult\u00e2neo, as informa\u00e7\u00f5es referidas no n\u00famero anterior podem ser fornecidas posteriormente \u00e0 notifica\u00e7\u00e3o, sem demora injustificada.<\/p>\n
5 – O respons\u00e1vel pelo tratamento documenta qualquer viola\u00e7\u00e3o de dados pessoais, incluindo os factos com ela relacionados, os seus efeitos e as medidas de repara\u00e7\u00e3o adotadas, de modo a permitir \u00e0 autoridade de controlo verificar o cumprimento do disposto no presente artigo.<\/p>\n
6 – Caso a viola\u00e7\u00e3o de dados envolva dados pessoais que tenham sido transmitidos pelo ou ao respons\u00e1vel pelo tratamento de outro Estado-Membro, as informa\u00e7\u00f5es referidas no n.\u00ba 3 s\u00e3o-lhe comunicadas, sem demora injustificada.<\/p>\n
7 – Nos casos de subcontrata\u00e7\u00e3o, o subcontratante notifica o respons\u00e1vel pelo tratamento de qualquer viola\u00e7\u00e3o de dados pessoais de que tenha conhecimento, sem demora injustificada.<\/p>\n
8 – A notifica\u00e7\u00e3o prevista nos n\u00fameros anteriores n\u00e3o prejudica a comunica\u00e7\u00e3o de incidentes \u00e0s autoridades competentes.<\/p>\n
Artigo 33.\u00ba<\/p>\n
Comunica\u00e7\u00e3o de uma viola\u00e7\u00e3o de dados pessoais ao titular dos dados<\/p>\n
1 – Caso se verifique uma viola\u00e7\u00e3o de dados pessoais suscet\u00edvel de resultar num elevado risco para os direitos, liberdades e garantias do titular dos dados, o respons\u00e1vel pelo tratamento comunica-lhe a viola\u00e7\u00e3o, sem demora injustificada.<\/p>\n
2 – A comunica\u00e7\u00e3o ao titular dos dados descreve, numa linguagem clara e simples, a natureza da viola\u00e7\u00e3o dos dados pessoais e inclui as informa\u00e7\u00f5es e as medidas referidas nas al\u00edneas b), c) e d) do n.\u00ba 3 do artigo anterior.<\/p>\n
3 – A comunica\u00e7\u00e3o \u00e9 dispensada nos casos em que:<\/p>\n
a) O respons\u00e1vel pelo tratamento tiver adotado medidas de prote\u00e7\u00e3o adequadas, tanto tecnol\u00f3gicas como organizativas, e estas tiverem sido aplicadas aos dados afetados pela viola\u00e7\u00e3o de dados pessoais, designadamente a cifragem;<\/p>\n
b) O respons\u00e1vel pelo tratamento tiver tomado medidas subsequentes que assegurem que a concretiza\u00e7\u00e3o do elevado risco referido no n.\u00ba 1 deixou de ser prov\u00e1vel; ou<\/p>\n
c) Implicar um esfor\u00e7o desproporcionado, devendo, neste caso, o respons\u00e1vel pelo tratamento informar os titulares dos dados de outra forma igualmente eficaz, nomeadamente atrav\u00e9s de comunica\u00e7\u00e3o p\u00fablica.<\/p>\n
4 – Se o respons\u00e1vel pelo tratamento n\u00e3o tiver comunicado a viola\u00e7\u00e3o de dados pessoais ao titular dos dados, a autoridade de controlo, caso considere que da viola\u00e7\u00e3o de dados pessoais resulta um elevado risco para os seus direitos, liberdades e garantias, pode exigir ao respons\u00e1vel que proceda a essa comunica\u00e7\u00e3o ou dispens\u00e1-la pelos motivos indicados no n\u00famero anterior.<\/p>\n
5 – A comunica\u00e7\u00e3o prevista no n.\u00ba 1 pode ser adiada, limitada ou omitida sob reserva das condi\u00e7\u00f5es e pelos motivos enunciados no n.\u00ba 5 do artigo 13.\u00ba<\/p>\n
Artigo 34.\u00ba<\/p>\n
Designa\u00e7\u00e3o do encarregado da prote\u00e7\u00e3o de dados<\/p>\n
1 – O respons\u00e1vel pelo tratamento designa um encarregado de prote\u00e7\u00e3o de dados para o assistir no controlo do cumprimento das obriga\u00e7\u00f5es decorrentes da presente lei, incluindo no tratamento dos dados efetuado por sua conta pelo subcontratante.<\/p>\n
2 – A obriga\u00e7\u00e3o prevista no n\u00famero anterior n\u00e3o se aplica aos tribunais nem ao Minist\u00e9rio P\u00fablico, no exerc\u00edcio das suas compet\u00eancias processuais.<\/p>\n
3 – O encarregado da prote\u00e7\u00e3o de dados \u00e9 designado com base nas suas qualidades profissionais, em especial nos seus conhecimentos especializados no dom\u00ednio da legisla\u00e7\u00e3o e das pr\u00e1ticas de prote\u00e7\u00e3o de dados e na sua capacidade para desempenhar as fun\u00e7\u00f5es referidas no artigo seguinte.<\/p>\n
4 – Pode ser designado um \u00fanico encarregado da prote\u00e7\u00e3o de dados para v\u00e1rias autoridades competentes, tendo em conta a sua dimens\u00e3o e estrutura organizativa.<\/p>\n
5 – Sem preju\u00edzo do disposto na al\u00ednea b) do n.\u00ba 1 do artigo 14.\u00ba, o respons\u00e1vel pelo tratamento comunica \u00e0 autoridade de controlo os contactos do encarregado da prote\u00e7\u00e3o de dados.<\/p>\n
Artigo 35.\u00ba<\/p>\n
Fun\u00e7\u00f5es do encarregado da prote\u00e7\u00e3o de dados<\/p>\n
Ao encarregado da prote\u00e7\u00e3o de dados compete, designadamente:<\/p>\n
a) Informar e aconselhar o respons\u00e1vel pelo tratamento e os trabalhadores que efetuam o tratamento quanto \u00e0s obriga\u00e7\u00f5es que lhes incumbem por for\u00e7a da presente lei e de outras disposi\u00e7\u00f5es legais relativas \u00e0 prote\u00e7\u00e3o de dados pessoais;<\/p>\n
b) Fiscalizar o cumprimento da presente lei e de outras disposi\u00e7\u00f5es legais sobre prote\u00e7\u00e3o de dados pessoais, bem como das orienta\u00e7\u00f5es do respons\u00e1vel pelo tratamento em mat\u00e9ria de prote\u00e7\u00e3o de dados pessoais, incluindo a reparti\u00e7\u00e3o de responsabilidades, a sensibiliza\u00e7\u00e3o e a forma\u00e7\u00e3o do pessoal envolvido nas opera\u00e7\u00f5es de tratamento e as auditorias correspondentes;<\/p>\n
c) Prestar aconselhamento, quando solicitado, no que respeita \u00e0 avalia\u00e7\u00e3o de impacto e controlar a sua realiza\u00e7\u00e3o, nos termos do artigo 29.\u00ba;<\/p>\n
d) Cooperar com a autoridade de controlo;<\/p>\n
e) Ser ponto de contacto e apoiar a autoridade de controlo nos assuntos relacionados com o tratamento de dados, incluindo a consulta pr\u00e9via a que se refere o artigo 29.\u00ba<\/p>\n
Artigo 36.\u00ba<\/p>\n
Exerc\u00edcio de fun\u00e7\u00f5es pelo encarregado da prote\u00e7\u00e3o de dados<\/p>\n
1 – O respons\u00e1vel pelo tratamento assegura que o encarregado da prote\u00e7\u00e3o de dados \u00e9 envolvido, de forma adequada e em tempo \u00fatil, em todas as quest\u00f5es relacionadas com a prote\u00e7\u00e3o de dados pessoais.<\/p>\n
2 – O respons\u00e1vel pelo tratamento apoia o encarregado da prote\u00e7\u00e3o de dados no desempenho das suas fun\u00e7\u00f5es, concedendo-lhe acesso aos dados pessoais e \u00e0s opera\u00e7\u00f5es de tratamento, e fornecendo-lhe os recursos necess\u00e1rios para esse efeito e para a atualiza\u00e7\u00e3o dos seus conhecimentos.<\/p>\n
3 – O respons\u00e1vel pelo tratamento e o subcontratante asseguram que o encarregado da prote\u00e7\u00e3o de dados n\u00e3o recebe instru\u00e7\u00f5es relativamente ao exerc\u00edcio das suas fun\u00e7\u00f5es e que n\u00e3o pode ser destitu\u00eddo nem penalizado pelo facto de as exercer.<\/p>\n
4 – O encarregado da prote\u00e7\u00e3o de dados n\u00e3o est\u00e1 impedido de exercer outras fun\u00e7\u00f5es, desde que o respons\u00e1vel pelo tratamento ou o subcontratante assegurem que do seu exerc\u00edcio n\u00e3o resulta um conflito de interesses.<\/p>\n
CAP\u00cdTULO V<\/p>\n
Transfer\u00eancias de dados pessoais para pa\u00edses terceiros ou para organiza\u00e7\u00f5es internacionais<\/p>\n
Artigo 37.\u00ba<\/p>\n
Princ\u00edpios gerais aplic\u00e1veis \u00e0s transfer\u00eancias de dados pessoais<\/p>\n
1 – Sem preju\u00edzo de outras condi\u00e7\u00f5es exigidas na lei, as autoridades competentes s\u00f3 podem transferir dados pessoais para um pa\u00eds terceiro ou para uma organiza\u00e7\u00e3o internacional, inclusivamente dados que se destinem a transfer\u00eancias ulteriores para outro pa\u00eds terceiro ou para outra organiza\u00e7\u00e3o internacional, se:<\/p>\n
a) A transfer\u00eancia for necess\u00e1ria para a prossecu\u00e7\u00e3o das finalidades previstas no artigo 1.\u00ba;<\/p>\n
b) Os dados pessoais forem transferidos para um respons\u00e1vel pelo tratamento no pa\u00eds terceiro ou na organiza\u00e7\u00e3o internacional com compet\u00eancia para os efeitos previstos no artigo 1.\u00ba, sem preju\u00edzo do disposto no artigo 41.\u00ba;<\/p>\n
c) No caso de os dados pessoais terem sido transmitidos ou disponibilizados por outro Estado-Membro, esse Estado tiver dado o seu consentimento pr\u00e9vio \u00e0 transfer\u00eancia, sem preju\u00edzo do disposto no n\u00famero seguinte;<\/p>\n
d) Tiver sido adotada uma decis\u00e3o de adequa\u00e7\u00e3o, nos termos do disposto no artigo 38.\u00ba, ou tiverem sido apresentadas garantias adequadas, nos termos do artigo 39.\u00ba, ou forem aplic\u00e1veis as derroga\u00e7\u00f5es previstas no artigo 40.\u00ba;<\/p>\n
e) No caso de uma transfer\u00eancia ulterior para um pa\u00eds terceiro ou para uma organiza\u00e7\u00e3o internacional, a autoridade competente que realizou a transfer\u00eancia inicial ou outra autoridade competente do mesmo Estado-Membro autorizar a transfer\u00eancia ulterior, ap\u00f3s ter em conta todos os fatores pertinentes, nomeadamente a gravidade da infra\u00e7\u00e3o penal, a finalidade para que os dados pessoais foram inicialmente transferidos e o n\u00edvel de prote\u00e7\u00e3o no pa\u00eds terceiro ou na organiza\u00e7\u00e3o internacional para os quais os dados pessoais forem ulteriormente transferidos; e<\/p>\n
f) A transfer\u00eancia n\u00e3o comprometer o n\u00edvel de prote\u00e7\u00e3o das pessoas assegurado pela presente lei.<\/p>\n
2 – As transfer\u00eancias sem o consentimento pr\u00e9vio a que alude a al\u00ednea c) do n\u00famero anterior apenas s\u00e3o permitidas se forem necess\u00e1rias para prevenir uma amea\u00e7a imediata e grave \u00e0 seguran\u00e7a p\u00fablica de um Estado-Membro ou de um pa\u00eds terceiro, ou aos interesses essenciais de um Estado-Membro, e o consentimento pr\u00e9vio n\u00e3o puder ser obtido em tempo \u00fatil.<\/p>\n
3 – No caso previsto no n\u00famero anterior, a autoridade respons\u00e1vel por dar o consentimento \u00e9 informada sem demora.<\/p>\n
Artigo 38.\u00ba<\/p>\n
Transfer\u00eancias com base numa decis\u00e3o de adequa\u00e7\u00e3o<\/p>\n
1 – A transfer\u00eancia de dados pessoais para um pa\u00eds terceiro ou para uma organiza\u00e7\u00e3o internacional pode ser efetuada com base numa decis\u00e3o de adequa\u00e7\u00e3o da Comiss\u00e3o Europeia que determine que o pa\u00eds terceiro, territ\u00f3rio ou um ou mais setores espec\u00edficos desse pa\u00eds terceiro, ou a organiza\u00e7\u00e3o internacional em causa, asseguram um n\u00edvel de prote\u00e7\u00e3o adequado.<\/p>\n
2 – A transfer\u00eancia de dados pessoais com base numa decis\u00e3o de adequa\u00e7\u00e3o dispensa uma autoriza\u00e7\u00e3o espec\u00edfica.<\/p>\n
3 – Os atos da Comiss\u00e3o Europeia que revoguem, alterem ou suspendam a decis\u00e3o de adequa\u00e7\u00e3o n\u00e3o prejudicam as transfer\u00eancias de dados pessoais para o pa\u00eds terceiro, territ\u00f3rio ou setor espec\u00edfico do pa\u00eds terceiro, ou para a organiza\u00e7\u00e3o internacional em causa, efetuadas nos termos dos artigos 39.\u00ba e 40.\u00ba<\/p>\n
Artigo 39.\u00ba<\/p>\n
Transfer\u00eancias sujeitas a garantias adequadas<\/p>\n
1 – Na falta de decis\u00e3o de adequa\u00e7\u00e3o, ou nos casos de revoga\u00e7\u00e3o ou suspens\u00e3o de decis\u00f5es de adequa\u00e7\u00e3o, os dados pessoais podem ser transferidos para um pa\u00eds terceiro ou para uma organiza\u00e7\u00e3o internacional se:<\/p>\n
a) Tiverem sido apresentadas garantias adequadas no que diz respeito \u00e0 prote\u00e7\u00e3o de dados pessoais mediante um instrumento juridicamente vinculativo; ou<\/p>\n
b) O respons\u00e1vel pelo tratamento tiver avaliado todas as circunst\u00e2ncias inerentes \u00e0 transfer\u00eancia de dados pessoais e conclu\u00eddo que existem garantias adequadas no que diz respeito \u00e0 prote\u00e7\u00e3o desses dados.<\/p>\n
2 – O respons\u00e1vel pelo tratamento informa a autoridade de controlo sobre as categorias de transfer\u00eancias abrangidas pela al\u00ednea b) do n\u00famero anterior.<\/p>\n
3 – As transfer\u00eancias baseadas na al\u00ednea b) do n.\u00ba 1 s\u00e3o documentadas, devendo o respons\u00e1vel pelo tratamento disponibilizar \u00e0 autoridade de controlo, a pedido desta, toda a documenta\u00e7\u00e3o pertinente, incluindo informa\u00e7\u00f5es sobre a data e a hora da transfer\u00eancia, a autoridade competente que as recebe, a justifica\u00e7\u00e3o da transfer\u00eancia e os dados pessoais transferidos.<\/p>\n
Artigo 40.\u00ba<\/p>\n
Derroga\u00e7\u00f5es aplic\u00e1veis em situa\u00e7\u00f5es espec\u00edficas<\/p>\n
1 – Na falta, revoga\u00e7\u00e3o ou suspens\u00e3o de uma decis\u00e3o de adequa\u00e7\u00e3o ou de garantias adequadas nos termos dos artigos anteriores, a transfer\u00eancia ou as categorias de transfer\u00eancias de dados pessoais para um pa\u00eds terceiro ou para uma organiza\u00e7\u00e3o internacional s\u00f3 podem ser efetuadas se forem necess\u00e1rias:<\/p>\n
a) Para proteger os interesses vitais do titular dos dados ou de outra pessoa;<\/p>\n
b) Para salvaguardar os leg\u00edtimos interesses do titular dos dados;<\/p>\n
c) Para prevenir uma amea\u00e7a imediata e grave contra a seguran\u00e7a p\u00fablica de um Estado-Membro ou de um pa\u00eds terceiro;<\/p>\n
d) Em casos espec\u00edficos, para a prossecu\u00e7\u00e3o das finalidades estabelecidas no artigo 1.\u00ba; ou<\/p>\n
e) Em casos espec\u00edficos, para declarar, exercer ou defender, no \u00e2mbito de um processo judicial, um direito relacionado com as finalidades estabelecidas no artigo 1.\u00ba<\/p>\n
2 – Ainda que se verifiquem os fundamentos previstos na al\u00ednea d) ou na al\u00ednea e) do n\u00famero anterior, os dados pessoais n\u00e3o s\u00e3o transferidos se a autoridade competente para proceder \u00e0 transfer\u00eancia considerar que os direitos, liberdades e garantias fundamentais do titular dos dados em causa prevalecem sobre as finalidades que motivariam a transfer\u00eancia por interesse p\u00fablico.<\/p>\n
3 – As transfer\u00eancias de dados efetuadas nos termos do n.\u00ba 1 s\u00e3o limitadas aos dados estritamente necess\u00e1rios para a finalidade prosseguida.<\/p>\n
4 – O respons\u00e1vel pelo tratamento documenta a informa\u00e7\u00e3o pertinente referente \u00e0s transfer\u00eancias realizadas ao abrigo do n.\u00ba 1, devendo disponibilizar a documenta\u00e7\u00e3o \u00e0 autoridade de controlo, a pedido desta, incluindo informa\u00e7\u00f5es sobre a data e a hora da transfer\u00eancia, a autoridade competente que as recebe, a justifica\u00e7\u00e3o da transfer\u00eancia e os dados pessoais transferidos.<\/p>\n
Artigo 41.\u00ba<\/p>\n
Transfer\u00eancias de dados pessoais para destinat\u00e1rios estabelecidos em pa\u00edses terceiros<\/p>\n
1 – Em derroga\u00e7\u00e3o do disposto na al\u00ednea b) do n.\u00ba 1 do artigo 37.\u00ba e sem preju\u00edzo de um acordo internacional tal como definido no n\u00famero seguinte, uma autoridade p\u00fablica com poderes de preven\u00e7\u00e3o, investiga\u00e7\u00e3o, dete\u00e7\u00e3o ou repress\u00e3o de infra\u00e7\u00f5es penais ou de execu\u00e7\u00e3o de san\u00e7\u00f5es penais, incluindo a salvaguarda e a preven\u00e7\u00e3o de amea\u00e7as \u00e0 seguran\u00e7a p\u00fablica, pode, em casos espec\u00edficos, transferir dados pessoais diretamente para destinat\u00e1rios estabelecidos em pa\u00edses terceiros, desde que, respeitadas as disposi\u00e7\u00f5es da presente lei, estejam preenchidas as seguintes condi\u00e7\u00f5es cumulativas:<\/p>\n
a) A transfer\u00eancia ser estritamente necess\u00e1ria a uma fun\u00e7\u00e3o desempenhada pela autoridade competente que efetua a transfer\u00eancia e prevista por lei, tendo em vista as finalidades indicadas no artigo 1.\u00ba;<\/p>\n
b) A autoridade competente que efetua a transfer\u00eancia considerar que os direitos, liberdades e garantias fundamentais do titular dos dados em causa n\u00e3o prevalecem sobre as finalidades que exigem a transfer\u00eancia no caso em apre\u00e7o;<\/p>\n
c) A autoridade competente que efetua a transfer\u00eancia considerar que a transfer\u00eancia para uma autoridade competente para os efeitos referidos no artigo 1.\u00ba, no pa\u00eds terceiro, se revela ineficaz ou desadequada, nomeadamente por n\u00e3o ser poss\u00edvel efetu\u00e1-la em tempo \u00fatil;<\/p>\n
d) A autoridade competente para os efeitos referidos no artigo 1.\u00ba, no pa\u00eds terceiro, ser informada sem demora injustificada, a menos que tal se revele ineficaz ou inadequado; e<\/p>\n
e) A autoridade competente que efetua a transfer\u00eancia informar o destinat\u00e1rio da finalidade ou das finalidades espec\u00edficas para as quais deve tratar os dados pessoais, desde que o tratamento seja necess\u00e1rio.<\/p>\n
2 – Para os efeitos previstos no n\u00famero anterior, por acordo internacional entende-se um acordo internacional bilateral ou multilateral em vigor entre os Estados-Membros e pa\u00edses terceiros no dom\u00ednio da coopera\u00e7\u00e3o judici\u00e1ria em mat\u00e9ria penal e da coopera\u00e7\u00e3o policial.<\/p>\n
3 – A autoridade competente que efetuar a transfer\u00eancia informa a autoridade de controlo sobre as transfer\u00eancias abrangidas pelo presente artigo.<\/p>\n
4 – As transfer\u00eancias efetuadas nos termos do presente artigo devem ser documentadas pelo respons\u00e1vel pelo tratamento.<\/p>\n
Artigo 42.\u00ba<\/p>\n
Coopera\u00e7\u00e3o internacional no dom\u00ednio da prote\u00e7\u00e3o de dados pessoais<\/p>\n
Em rela\u00e7\u00e3o a pa\u00edses terceiros e a organiza\u00e7\u00f5es internacionais, os respons\u00e1veis pelo tratamento adotam as medidas necess\u00e1rias destinadas a:<\/p>\n
a) Estabelecer procedimentos internacionais de coopera\u00e7\u00e3o que visem facilitar a aplica\u00e7\u00e3o efetiva da legisla\u00e7\u00e3o em mat\u00e9ria de prote\u00e7\u00e3o de dados pessoais;<\/p>\n
b) Prestar assist\u00eancia m\u00fatua no dom\u00ednio da aplica\u00e7\u00e3o da legisla\u00e7\u00e3o de prote\u00e7\u00e3o de dados pessoais, nomeadamente atrav\u00e9s da notifica\u00e7\u00e3o, da transmiss\u00e3o de queixas, da assist\u00eancia na investiga\u00e7\u00e3o e do interc\u00e2mbio de informa\u00e7\u00f5es, sob reserva das garantias adequadas para a prote\u00e7\u00e3o dos dados pessoais e dos outros direitos e liberdades fundamentais;<\/p>\n
c) Associar as partes interessadas aos debates e \u00e0s atividades que visem promover a coopera\u00e7\u00e3o internacional no \u00e2mbito da aplica\u00e7\u00e3o da legisla\u00e7\u00e3o relativa \u00e0 prote\u00e7\u00e3o de dados pessoais;<\/p>\n
d) Promover o interc\u00e2mbio e a documenta\u00e7\u00e3o da legisla\u00e7\u00e3o e das pr\u00e1ticas em mat\u00e9ria de prote\u00e7\u00e3o de dados pessoais, inclusivamente sobre conflitos jurisdicionais com pa\u00edses terceiros.<\/p>\n
CAP\u00cdTULO VI<\/p>\n
Autoridade de controlo<\/p>\n
Artigo 43.\u00ba<\/p>\n
Autoridade de controlo<\/p>\n
1 – Incumbe \u00e0 CNPD a garantia e fiscaliza\u00e7\u00e3o do cumprimento da presente lei.<\/p>\n
2 – O disposto do n\u00famero anterior n\u00e3o se aplica ao tratamento de dados pessoais efetuado pelos tribunais e pelo Minist\u00e9rio P\u00fablico no exerc\u00edcio das suas compet\u00eancias processuais.<\/p>\n
3 – Para efeitos do n.\u00ba 1, a CNPD integra um magistrado judicial, designado pelo Conselho Superior da Magistratura, e um magistrado do Minist\u00e9rio P\u00fablico, designado pelo Conselho Superior do Minist\u00e9rio P\u00fablico.<\/p>\n
4 – Cabe exclusivamente aos magistrados a que se refere o n\u00famero anterior, sem preju\u00edzo das compet\u00eancias do presidente da CNPD, o exerc\u00edcio das atribui\u00e7\u00f5es da CNPD que impliquem o acesso a dados objeto de tratamento ou aos registos cronol\u00f3gicos das opera\u00e7\u00f5es de tratamento.<\/p>\n
5 – A designa\u00e7\u00e3o dos membros da CNPD a que se refere o n.\u00ba 3 \u00e9 efetuada em comiss\u00e3o de servi\u00e7o.<\/p>\n
Artigo 44.\u00ba<\/p>\n
Atribui\u00e7\u00f5es<\/p>\n
1 – No exerc\u00edcio das fun\u00e7\u00f5es a que se refere o n.\u00ba 1 do artigo anterior, compete \u00e0 CNPD:<\/p>\n
a) Fiscalizar o cumprimento e fazer aplicar o disposto na presente lei;<\/p>\n
b) Promover a sensibiliza\u00e7\u00e3o e a compreens\u00e3o do p\u00fablico relativamente aos riscos, \u00e0s regras, \u00e0s garantias e aos direitos associados ao tratamento de dados pessoais;<\/p>\n
c) Propor e emitir parecer sobre medidas legislativas e administrativas relacionadas com a prote\u00e7\u00e3o dos direitos e liberdades das pessoas em mat\u00e9ria de tratamento de dados pessoais;<\/p>\n
d) Promover a sensibiliza\u00e7\u00e3o dos respons\u00e1veis pelo tratamento e dos subcontratantes para as obriga\u00e7\u00f5es que lhes incumbem nos termos da presente lei;<\/p>\n
e) Prestar informa\u00e7\u00f5es aos titulares de dados, se tal lhe for solicitado, sobre o exerc\u00edcio dos seus direitos nos termos da presente lei;<\/p>\n
f) Tratar e decidir as queixas apresentadas pelos titulares dos dados ou por um organismo, organiza\u00e7\u00e3o ou associa\u00e7\u00e3o sem fins lucrativos, nos termos dos artigos 47.\u00ba e 50.\u00ba, e investigar, na medida do necess\u00e1rio, o conte\u00fado da queixa, informando o seu autor do andamento e do resultado da investiga\u00e7\u00e3o num prazo razo\u00e1vel, especialmente se forem necess\u00e1rias opera\u00e7\u00f5es de investiga\u00e7\u00e3o ou de coordena\u00e7\u00e3o complementares com outra autoridade de controlo;<\/p>\n
g) Verificar a licitude do tratamento e, num prazo razo\u00e1vel, informar o titular dos dados do resultado da verifica\u00e7\u00e3o, nos termos do disposto no artigo 18.\u00ba, ou dos motivos que impediram a sua realiza\u00e7\u00e3o;<\/p>\n
h) Cooperar, nomeadamente partilhando informa\u00e7\u00f5es, e prestar assist\u00eancia m\u00fatua a outras autoridades de controlo, tendo em vista assegurar a coer\u00eancia da aplica\u00e7\u00e3o e da execu\u00e7\u00e3o da presente lei;<\/p>\n
i) Conduzir investiga\u00e7\u00f5es sobre a aplica\u00e7\u00e3o da presente lei, nomeadamente com base em informa\u00e7\u00f5es recebidas de outra autoridade de controlo ou de outra autoridade p\u00fablica;<\/p>\n
j) Acompanhar os desenvolvimentos relevantes, em particular ao n\u00edvel da evolu\u00e7\u00e3o das tecnologias da informa\u00e7\u00e3o e comunica\u00e7\u00e3o, na medida em que tenham incid\u00eancia na prote\u00e7\u00e3o de dados pessoais;<\/p>\n
k) Prestar aconselhamento sobre as opera\u00e7\u00f5es de tratamento referidas no artigo 30.\u00ba;<\/p>\n
l) Contribuir para as atividades do Comit\u00e9 criado pelo Regulamento (UE) 2016\/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, no \u00e2mbito das atribui\u00e7\u00f5es a que se refere o artigo 51.\u00ba da Diretiva (UE) 2016\/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.<\/p>\n
2 – A CNPD facilita a apresenta\u00e7\u00e3o de queixas previstas na al\u00ednea f) do n.\u00ba 1, nomeadamente disponibilizando formul\u00e1rios para preenchimento e apresenta\u00e7\u00e3o eletr\u00f3nica, sem excluir outros meios de comunica\u00e7\u00e3o.<\/p>\n
3 – O exerc\u00edcio das atribui\u00e7\u00f5es da CNPD \u00e9 gratuito para o titular de dados e para o encarregado da prote\u00e7\u00e3o de dados.<\/p>\n
4 – Nos casos em que o pedido do titular dos dados seja manifestamente infundado ou excessivo, designadamente devido ao seu car\u00e1ter repetitivo, o respons\u00e1vel pelo tratamento, mediante decis\u00e3o fundamentada, pode:<\/p>\n
a) Exigir o pagamento de uma taxa de montante a fixar por portaria do membro do Governo respons\u00e1vel pela \u00e1rea da justi\u00e7a, tendo em conta os custos administrativos associados; ou<\/p>\n
b) Recusar dar seguimento ao pedido.<\/p>\n
5 – Nos casos previstos no n\u00famero anterior, a decis\u00e3o da CNPD deve ser devidamente fundamentada e demonstrar o car\u00e1ter manifestamente infundado ou excessivo do pedido.<\/p>\n
Artigo 45.\u00ba<\/p>\n
Poderes<\/p>\n
1 – No exerc\u00edcio das suas atribui\u00e7\u00f5es, a CNPD det\u00e9m poderes de investiga\u00e7\u00e3o e de corre\u00e7\u00e3o.<\/p>\n
2 – Os poderes de investiga\u00e7\u00e3o a que se refere o n\u00famero anterior incluem o poder de obter do respons\u00e1vel pelo tratamento de dados e do subcontratante autoriza\u00e7\u00e3o de acesso a todos os dados pessoais objeto de tratamento e a todas as informa\u00e7\u00f5es necess\u00e1rias ao exerc\u00edcio das suas atribui\u00e7\u00f5es.<\/p>\n
3 – No exerc\u00edcio dos poderes de corre\u00e7\u00e3o, a CNPD pode:<\/p>\n
a) Advertir o respons\u00e1vel pelo tratamento de dados ou o subcontratante de que as opera\u00e7\u00f5es de tratamento previstas s\u00e3o suscet\u00edveis de violar o disposto na presente lei;<\/p>\n
b) Ordenar ao respons\u00e1vel pelo tratamento de dados ou ao subcontratante que conforme as opera\u00e7\u00f5es de tratamento \u00e0s disposi\u00e7\u00f5es da presente lei, se necess\u00e1rio de determinada forma e num prazo determinado, e, em especial, ordenar a retifica\u00e7\u00e3o ou o apagamento dos dados pessoais ou a limita\u00e7\u00e3o de tratamento nos termos do artigo 17.\u00ba;<\/p>\n
c) Impor uma limita\u00e7\u00e3o tempor\u00e1ria ou definitiva ao tratamento.<\/p>\n
4 – O exerc\u00edcio dos poderes conferidos \u00e0 autoridade de controlo nos termos dos n\u00fameros anteriores est\u00e1 sujeito a garantias processuais adequadas nos termos da lei, incluindo o direito \u00e0 a\u00e7\u00e3o judicial e a um processo justo e equitativo.<\/p>\n
5 – A CNPD comunica as viola\u00e7\u00f5es das disposi\u00e7\u00f5es da presente lei \u00e0s autoridades judici\u00e1rias e aos \u00f3rg\u00e3os com compet\u00eancia disciplinar e, se adequado, pode intentar a\u00e7\u00f5es judiciais ou intervir em processos judiciais, nos termos da lei.<\/p>\n
6 – As comunica\u00e7\u00f5es de viola\u00e7\u00f5es da presente lei ou com elas relacionadas est\u00e3o sujeitas a sigilo.<\/p>\n
Artigo 46.\u00ba<\/p>\n
Relat\u00f3rio de atividades<\/p>\n
1 – A CNPD elabora um relat\u00f3rio anual de atividades sobre a fiscaliza\u00e7\u00e3o da aplica\u00e7\u00e3o e do cumprimento da presente lei, o qual pode incluir uma lista dos tipos de viola\u00e7\u00f5es notificadas e dos tipos de san\u00e7\u00f5es aplicadas, devendo nas mat\u00e9rias respeitantes aos tribunais e ao Minist\u00e9rio P\u00fablico ser acautelada a necess\u00e1ria reserva.<\/p>\n
2 – O relat\u00f3rio \u00e9 apresentado \u00e0 Assembleia da Rep\u00fablica e enviado ao membro do Governo respons\u00e1vel pela \u00e1rea da justi\u00e7a, ao Conselho Superior da Magistratura, \u00e0 Procuradoria-Geral da Rep\u00fablica e aos demais organismos e entidades respons\u00e1veis pela gest\u00e3o de dados, nos termos da Lei n.\u00ba 34\/2009, de 14 de julho, na sua reda\u00e7\u00e3o atual.<\/p>\n
3 – O relat\u00f3rio \u00e9 disponibilizado ao p\u00fablico, \u00e0 Comiss\u00e3o Europeia e ao Comit\u00e9 a que se refere a al\u00ednea l) do n.\u00ba 1 do artigo 44.\u00ba<\/p>\n
CAP\u00cdTULO VII<\/p>\n
Meios de tutela e responsabilidade<\/p>\n
Artigo 47.\u00ba<\/p>\n
Direito de apresentar queixa \u00e0 autoridade de controlo<\/p>\n
1 – Sem preju\u00edzo de outros meios de tutela legalmente previstos, o titular dos dados tem o direito de apresentar queixa \u00e0 autoridade de controlo, com o fundamento de que o tratamento dos seus dados pessoais viola disposi\u00e7\u00f5es da presente lei.<\/p>\n
2 – Se a queixa n\u00e3o for apresentada \u00e0 autoridade de controlo competente nos termos do n.\u00ba 1 do artigo 43.\u00ba, a autoridade de controlo a que \u00e9 apresentada transmite-a, sem demora injustificada, \u00e0 autoridade de controlo competente, informando o titular dos dados dessa transmiss\u00e3o e prestando-lhe, caso este o solicite, assist\u00eancia complementar.<\/p>\n
3 – O titular dos dados \u00e9 informado pela autoridade de controlo do andamento e do resultado da queixa, nomeadamente da possibilidade de intentar a\u00e7\u00e3o judicial nos termos do artigo seguinte.<\/p>\n
Artigo 48.\u00ba<\/p>\n
Direito de intentar a\u00e7\u00e3o judicial contra a autoridade de controlo<\/p>\n
1 – Sem preju\u00edzo de outros meios de tutela legalmente previstos, qualquer pessoa singular ou coletiva tem o direito de intentar uma a\u00e7\u00e3o judicial contra qualquer decis\u00e3o juridicamente vinculativa que lhe diga respeito tomada pela autoridade de controlo.<\/p>\n
2 – Os titulares dos dados t\u00eam o direito de intentar a\u00e7\u00e3o judicial nos casos em que a autoridade de controlo n\u00e3o apreciar a queixa apresentada ou n\u00e3o informar o titular dos dados, no prazo de tr\u00eas meses, do andamento ou do resultado da queixa apresentada.<\/p>\n
Artigo 49.\u00ba<\/p>\n
Direito de intentar a\u00e7\u00e3o judicial contra um respons\u00e1vel pelo tratamento ou um subcontratante<\/p>\n
Sem preju\u00edzo de outros meios de tutela legalmente previstos, nomeadamente do direito de apresentar queixa \u00e0 autoridade de controlo, os titulares dos dados t\u00eam o direito de intentar a\u00e7\u00e3o judicial contra o respons\u00e1vel pelo tratamento ou contra o subcontratante com fundamento em viola\u00e7\u00e3o dos direitos conferidos pela presente lei.<\/p>\n
Artigo 50.\u00ba<\/p>\n
Representa\u00e7\u00e3o dos titulares dos dados<\/p>\n
O titular dos dados tem o direito de mandatar um organismo, organiza\u00e7\u00e3o ou associa\u00e7\u00e3o sem fins lucrativos, devidamente constitu\u00eddo nos termos da lei, cujos objetivos estatut\u00e1rios sejam de interesse p\u00fablico e cuja atividade abranja a prote\u00e7\u00e3o dos direitos e liberdades dos titulares de dados no que respeita \u00e0 prote\u00e7\u00e3o dos seus dados pessoais, para apresentar queixa ou intentar a\u00e7\u00e3o judicial em seu nome, ao abrigo dos artigos anteriores, sem preju\u00edzo da obrigatoriedade de representa\u00e7\u00e3o por advogado, nos termos da legisla\u00e7\u00e3o aplic\u00e1vel.<\/p>\n
Artigo 51.\u00ba<\/p>\n
Direito de indemniza\u00e7\u00e3o<\/p>\n
Qualquer pessoa que tenha sofrido danos, patrimoniais ou n\u00e3o patrimoniais, causados por uma viola\u00e7\u00e3o das disposi\u00e7\u00f5es da presente lei tem direito a receber do respons\u00e1vel pelo tratamento ou de qualquer outra autoridade competente uma indemniza\u00e7\u00e3o pelos danos sofridos, nos termos do regime da responsabilidade civil extracontratual do Estado e demais entidades p\u00fablicas.<\/p>\n
CAP\u00cdTULO VIII<\/p>\n
San\u00e7\u00f5es<\/p>\n
SEC\u00c7\u00c3O I<\/p>\n
Contraordena\u00e7\u00f5es<\/p>\n
Artigo 52.\u00ba<\/p>\n
Contraordena\u00e7\u00f5es<\/p>\n
1 – Sem preju\u00edzo do regime sancionat\u00f3rio estabelecido na Lei n.\u00ba 58\/2019, de 8 de agosto, aplic\u00e1vel por incumprimento das obriga\u00e7\u00f5es previstas no Regulamento (UE) 2016\/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, no \u00e2mbito de aplica\u00e7\u00e3o da presente lei constituem contraordena\u00e7\u00f5es muito graves as seguintes condutas:<\/p>\n
a) O recurso a outro subcontratante sem autoriza\u00e7\u00e3o pr\u00e9via do respons\u00e1vel pelo tratamento de dados pessoais, em viola\u00e7\u00e3o do n.\u00ba 2 do artigo 23.\u00ba;<\/p>\n
b) O recurso a outro subcontratante em oposi\u00e7\u00e3o \u00e0 vontade manifestada pelo respons\u00e1vel pelo tratamento de dados, ainda que exista a autoriza\u00e7\u00e3o geral a que se refere o n.\u00ba 3 do artigo 23.\u00ba;<\/p>\n
c) O processamento dos dados pessoais em viola\u00e7\u00e3o ou para al\u00e9m das instru\u00e7\u00f5es do respons\u00e1vel pelo tratamento de dados, em incumprimento da obriga\u00e7\u00e3o prevista na al\u00ednea a) do n.\u00ba 5 do artigo 23.\u00ba;<\/p>\n
d) O incumprimento da obriga\u00e7\u00e3o de elimina\u00e7\u00e3o de forma definitiva ou de devolu\u00e7\u00e3o dos dados pessoais ao respons\u00e1vel, consoante a escolha deste, ap\u00f3s a conclus\u00e3o dos servi\u00e7os de processamento dos dados, prevista na al\u00ednea d) do n.\u00ba 5 do artigo 23.\u00ba;<\/p>\n
e) O incumprimento da obriga\u00e7\u00e3o de conserva\u00e7\u00e3o dos registos cronol\u00f3gicos previstos no n.\u00ba 1 do artigo 27.\u00ba;<\/p>\n
f) A conserva\u00e7\u00e3o de registos cronol\u00f3gicos que n\u00e3o abranjam a totalidade das opera\u00e7\u00f5es de tratamento previstas no n.\u00ba 1 do artigo 27.\u00ba ou que n\u00e3o cumpram os requisitos previstos nos n.os 2 e 6 do mesmo artigo;<\/p>\n
g) A utiliza\u00e7\u00e3o dos registos cronol\u00f3gicos para efeitos n\u00e3o previstos no n.\u00ba 3 do artigo 27.\u00ba;<\/p>\n
h) O incumprimento da obriga\u00e7\u00e3o de ado\u00e7\u00e3o de medidas t\u00e9cnicas e organizativas adequadas \u00e0 prote\u00e7\u00e3o dos dados pessoais, em viola\u00e7\u00e3o das exig\u00eancias previstas nos n.os 2 e 3 do artigo 31.\u00ba<\/p>\n
2 – Sem preju\u00edzo do regime sancionat\u00f3rio estabelecido pela Lei n.\u00ba 58\/2019, de 8 de agosto, aplic\u00e1vel por incumprimento das obriga\u00e7\u00f5es previstas no Regulamento (UE) 2016\/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, no \u00e2mbito de aplica\u00e7\u00e3o da presente lei constituem contraordena\u00e7\u00f5es graves as seguintes condutas:<\/p>\n
a) O incumprimento da obriga\u00e7\u00e3o de informar previamente o respons\u00e1vel pelo tratamento de dados das altera\u00e7\u00f5es \u00e0 contrata\u00e7\u00e3o de outros subcontratantes, prevista no n.\u00ba 3 do artigo 23.\u00ba;<\/p>\n
b) O incumprimento da obriga\u00e7\u00e3o de notificar o respons\u00e1vel pelo tratamento, sem demora justificada, em caso de viola\u00e7\u00e3o de dados pessoais, prevista no n.\u00ba 7 do artigo 32.\u00ba;<\/p>\n
c) O incumprimento da obriga\u00e7\u00e3o de conservar um registo de atividades ou a conserva\u00e7\u00e3o de um registo de atividades que n\u00e3o cumpra a totalidade das exig\u00eancias previstas nos n.os 3 e 4 do artigo 26.\u00ba<\/p>\n
3 – A pr\u00e1tica das contraordena\u00e7\u00f5es previstas no n.\u00ba 1 \u00e9 punida com coima:<\/p>\n
a) De 5000 (euro) a 20 000 000 (euro) ou 4 % do volume de neg\u00f3cios anual, a n\u00edvel mundial, conforme o que for mais elevado, tratando-se de grande empresa;<\/p>\n
b) De 2000 (euro) a 2 000 000 (euro) ou 4 % do volume de neg\u00f3cios anual, a n\u00edvel mundial, conforme o que for mais elevado, tratando-se de pequena e m\u00e9dia empresa;<\/p>\n
c) De 1000 (euro) a 500 000 (euro), tratando-se de pessoa singular.<\/p>\n
4 – A pr\u00e1tica das contraordena\u00e7\u00f5es previstas no n.\u00ba 2 \u00e9 punida com coima:<\/p>\n
a) De 2500 (euro) a 10 000 000 (euro) ou 2 % do volume de neg\u00f3cios anual, a n\u00edvel mundial, conforme o que for mais elevado, tratando-se de grande empresa;<\/p>\n
b) De 1000 (euro) a 1 000 000 (euro) ou 2 % do volume de neg\u00f3cios anual, a n\u00edvel mundial, conforme o que for mais elevado, tratando-se de pequena e m\u00e9dia empresa;<\/p>\n
c) De 500 (euro) a 250 000 (euro), tratando-se de pessoa singular.<\/p>\n
5 – O disposto nos n\u00fameros anteriores aplica-se de igual modo \u00e0s entidades p\u00fablicas e privadas, sem preju\u00edzo de as entidades p\u00fablicas, mediante pedido devidamente fundamentado, poderem solicitar \u00e0 CNPD a dispensa da aplica\u00e7\u00e3o de coimas durante o prazo de tr\u00eas anos a contar da entrada em vigor da presente lei.<\/p>\n
SEC\u00c7\u00c3O II<\/p>\n
Crimes<\/p>\n
Artigo 53.\u00ba<\/p>\n
Acesso indevido aos dados<\/p>\n
1 – Quem, sem a devida autoriza\u00e7\u00e3o ou justifica\u00e7\u00e3o, aceder, por qualquer modo, a dados pessoais tratados ao abrigo da presente lei, \u00e9 punido com pena de pris\u00e3o at\u00e9 um ano ou com pena de multa at\u00e9 120 dias.<\/p>\n
2 – A pena \u00e9 agravada para o dobro nos seus limites quando o acesso:<\/p>\n
a) For conseguido atrav\u00e9s de viola\u00e7\u00e3o de regras t\u00e9cnicas de seguran\u00e7a;<\/p>\n
b) Tiver proporcionado ao agente ou a terceiros benef\u00edcio ou vantagem patrimonial; ou<\/p>\n
c) Tiver prejudicado inqu\u00e9ritos, investiga\u00e7\u00f5es, processos judiciais ou a execu\u00e7\u00e3o de san\u00e7\u00f5es penais.<\/p>\n
Artigo 54.\u00ba<\/p>\n
Desvio de dados<\/p>\n
1 – Quem copiar, subtrair, ceder ou transferir, a t\u00edtulo oneroso ou gratuito, dados pessoais tratados ao abrigo da presente lei, sem previs\u00e3o legal ou consentimento, \u00e9 punido com pena de pris\u00e3o at\u00e9 2 anos ou com pena de multa at\u00e9 240 dias.<\/p>\n
2 – A pena \u00e9 agravada para o dobro nos seus limites quando a conduta:<\/p>\n
a) For conseguida atrav\u00e9s de viola\u00e7\u00e3o de regras t\u00e9cnicas de seguran\u00e7a;<\/p>\n
b) Tiver proporcionado ao agente ou a terceiros benef\u00edcio ou vantagem patrimonial; ou<\/p>\n
c) Tiver prejudicado inqu\u00e9ritos, investiga\u00e7\u00f5es, processos judiciais ou a execu\u00e7\u00e3o de san\u00e7\u00f5es penais.<\/p>\n
Artigo 55.\u00ba<\/p>\n
Utiliza\u00e7\u00e3o de dados de forma incompat\u00edvel com a finalidade da recolha<\/p>\n
Quem utilizar dados pessoais tratados ao abrigo da presente lei de forma incompat\u00edvel com a finalidade determinante da respetiva recolha \u00e9 punido com pena de pris\u00e3o at\u00e9 2 anos ou com pena de multa at\u00e9 240 dias.<\/p>\n
Artigo 56.\u00ba<\/p>\n
Interconex\u00e3o ilegal de dados<\/p>\n
Quem, intencionalmente, promover ou efetuar uma interconex\u00e3o ilegal de dados pessoais tratados ao abrigo da presente lei, \u00e9 punido com pena de pris\u00e3o at\u00e9 2 anos ou com pena de multa at\u00e9 240 dias.<\/p>\n
Artigo 57.\u00ba<\/p>\n
Vicia\u00e7\u00e3o ou destrui\u00e7\u00e3o de dados<\/p>\n
1 – Quem, sem a devida autoriza\u00e7\u00e3o ou justifica\u00e7\u00e3o, apagar, destruir, danificar, ocultar, suprimir ou modificar dados pessoais tratados ao abrigo da presente lei, tornando-os inutiliz\u00e1veis ou afetando o seu potencial de utiliza\u00e7\u00e3o, \u00e9 punido com pena de pris\u00e3o at\u00e9 2 anos ou com pena de multa at\u00e9 240 dias.<\/p>\n
2 – A pena \u00e9 agravada para o dobro nos seus limites se o dano produzido for particularmente grave.<\/p>\n
3 – Nas situa\u00e7\u00f5es previstas nos n\u00fameros anteriores, se o agente atuar com neglig\u00eancia, \u00e9 punido:<\/p>\n
a) Com pena de pris\u00e3o at\u00e9 1 ano ou com pena de multa at\u00e9 120 dias, no caso previsto no n.\u00ba 1;<\/p>\n
b) Com pena de pris\u00e3o at\u00e9 2 anos ou multa at\u00e9 240 dias, no caso previsto no n.\u00ba 2.<\/p>\n
Artigo 58.\u00ba<\/p>\n
Viola\u00e7\u00e3o do dever de sigilo<\/p>\n
1 – Quem, obrigado a sigilo profissional nos termos da lei, sem justa causa e sem o devido consentimento, revelar ou divulgar, no todo ou em parte, dados pessoais tratados ao abrigo da presente lei, \u00e9 punido com pena de pris\u00e3o at\u00e9 2 anos ou com pena de multa at\u00e9 240 dias.<\/p>\n
2 – A pena \u00e9 agravada para o dobro nos seus limites se o agente:<\/p>\n
a) For funcion\u00e1rio ou equiparado, nos termos da lei penal, advogado ou solicitador;<\/p>\n
b) For encarregado de prote\u00e7\u00e3o de dados;<\/p>\n
c) For determinado pela inten\u00e7\u00e3o de obter qualquer vantagem patrimonial ou outro benef\u00edcio ileg\u00edtimo;<\/p>\n
d) Puser em perigo a reputa\u00e7\u00e3o, a honra ou a intimidade da vida privada de terceiros; ou<\/p>\n
e) Tiver prejudicado inqu\u00e9ritos, investiga\u00e7\u00f5es, processos judiciais ou a execu\u00e7\u00e3o de san\u00e7\u00f5es penais.<\/p>\n
3 – A neglig\u00eancia \u00e9 pun\u00edvel com pena de pris\u00e3o at\u00e9 6 meses ou com pena de multa at\u00e9 120 dias.<\/p>\n
Artigo 59.\u00ba<\/p>\n
Desobedi\u00eancia qualificada<\/p>\n
1 – Quem n\u00e3o cumprir as obriga\u00e7\u00f5es previstas na presente lei, depois de ultrapassado o prazo que tiver sido fixado pela autoridade de controlo para o respetivo cumprimento \u00e9 punido com a pena correspondente ao crime de desobedi\u00eancia qualificada.<\/p>\n
2 – Incorre na mesma pena do n\u00famero anterior quem, depois de notificado:<\/p>\n
a) N\u00e3o disponibilizar os registos cronol\u00f3gicos \u00e0 CNPD, nos termos do n.\u00ba 4 do artigo 27.\u00ba;<\/p>\n
b) Recusar, sem justa causa, a colabora\u00e7\u00e3o que concretamente lhe for exigida nos termos do artigo 28.\u00ba;<\/p>\n
c) Recusar o acesso previsto no n.\u00ba 2 do artigo 45.\u00ba;<\/p>\n
d) N\u00e3o cumprir ordem dada nos termos da al\u00ednea b) do n.\u00ba 3 do artigo 45.\u00ba, em especial n\u00e3o proceder ao apagamento ou retifica\u00e7\u00e3o de dados pessoais;<\/p>\n
e) N\u00e3o respeitar a imposi\u00e7\u00e3o de limita\u00e7\u00e3o tempor\u00e1ria ou definitiva ao tratamento de dados pessoais, nos termos da al\u00ednea c) do n.\u00ba 3 do artigo 45.\u00ba<\/p>\n
Artigo 60.\u00ba<\/p>\n
Inser\u00e7\u00e3o de dados falsos<\/p>\n
1 – Quem inserir ou facilitar a inser\u00e7\u00e3o de dados pessoais falsos, com a inten\u00e7\u00e3o de obter vantagem indevida para si ou para terceiro, ou para causar preju\u00edzo, \u00e9 punido com pena de pris\u00e3o at\u00e9 2 anos ou com pena de multa at\u00e9 240 dias.<\/p>\n
2 – A pena \u00e9 agravada para o dobro nos seus limites se da inser\u00e7\u00e3o referida no n\u00famero anterior resultar um preju\u00edzo efetivo.<\/p>\n
Artigo 61.\u00ba<\/p>\n
Punibilidade da tentativa<\/p>\n
Nos crimes previstos no presente cap\u00edtulo, a tentativa \u00e9 sempre pun\u00edvel.<\/p>\n
Artigo 62.\u00ba<\/p>\n
Responsabilidade das pessoas coletivas<\/p>\n
As pessoas coletivas e entidades equiparadas, com exce\u00e7\u00e3o do Estado, de pessoas coletivas no exerc\u00edcio de prerrogativas de poder p\u00fablico e de organiza\u00e7\u00f5es de direito internacional p\u00fablico, s\u00e3o respons\u00e1veis pelos crimes previstos na presente sec\u00e7\u00e3o, nos termos do artigo 11.\u00ba do C\u00f3digo Penal.<\/p>\n
SEC\u00c7\u00c3O III<\/p>\n
Disposi\u00e7\u00f5es comuns<\/p>\n
Artigo 63.\u00ba<\/p>\n
Concurso de infra\u00e7\u00f5es<\/p>\n
1 – Se o mesmo facto constituir simultaneamente crime e contraordena\u00e7\u00e3o, o agente \u00e9 sempre punido a t\u00edtulo de crime.<\/p>\n
2 – Quando se verifique concurso de crime e contraordena\u00e7\u00e3o, ou quando, pelo mesmo facto, uma pessoa deva responder a t\u00edtulo de crime e outra a t\u00edtulo de contraordena\u00e7\u00e3o, o processamento da contraordena\u00e7\u00e3o cabe \u00e0s autoridades competentes para o processo criminal, nos termos do regime geral do il\u00edcito de mera ordena\u00e7\u00e3o social.<\/p>\n
Artigo 64.\u00ba<\/p>\n
Pena acess\u00f3ria<\/p>\n
Conjuntamente com as penas previstas no presente cap\u00edtulo, podem ser aplicadas as san\u00e7\u00f5es acess\u00f3rias previstas no artigo 56.\u00ba da Lei n.\u00ba 58\/2019, de 8 de agosto.<\/p>\n
Artigo 65.\u00ba<\/p>\n
Aplicabilidade de outros regimes sancionat\u00f3rios<\/p>\n
1 – O disposto no presente cap\u00edtulo n\u00e3o prejudica a aplica\u00e7\u00e3o dos artigos 37.\u00ba a 56.\u00ba da Lei n.\u00ba 58\/2019, de 8 de agosto, ou das disposi\u00e7\u00f5es do C\u00f3digo Penal, se de tal aplica\u00e7\u00e3o resultar, em concreto, uma san\u00e7\u00e3o mais grave.<\/p>\n
2 – O disposto no presente cap\u00edtulo n\u00e3o prejudica a aplica\u00e7\u00e3o da Lei n.\u00ba 109\/2009, de 15 de setembro.<\/p>\n
Artigo 66.\u00ba<\/p>\n
Responsabilidade civil e disciplinar<\/p>\n
O disposto no presente cap\u00edtulo n\u00e3o prejudica a efetiva\u00e7\u00e3o da responsabilidade civil nem da responsabilidade disciplinar.<\/p>\n
CAP\u00cdTULO IX<\/p>\n
Disposi\u00e7\u00f5es finais e transit\u00f3rias<\/p>\n
Artigo 67.\u00ba<\/p>\n
Rela\u00e7\u00e3o com outros atos jur\u00eddicos da Uni\u00e3o Europeia e acordos internacionais em vigor<\/p>\n
1 – As disposi\u00e7\u00f5es espec\u00edficas de prote\u00e7\u00e3o de dados pessoais previstas em atos jur\u00eddicos da Uni\u00e3o Europeia adotados antes de 6 de maio de 2016 no dom\u00ednio da coopera\u00e7\u00e3o judici\u00e1ria em mat\u00e9ria penal e da coopera\u00e7\u00e3o policial, que regulem o tratamento entre os Estados-Membros e o acesso das autoridades designadas dos Estados-Membros aos sistemas de informa\u00e7\u00e3o criados por for\u00e7a dos Tratados, mant\u00eam-se inalteradas.<\/p>\n
2 – Os acordos internacionais que impliquem a transfer\u00eancia de dados pessoais para pa\u00edses terceiros ou para organiza\u00e7\u00f5es internacionais, celebrados pelo Estado Portugu\u00eas antes de 6 de maio de 2016, e que sejam conformes com o direito da Uni\u00e3o Europeia aplic\u00e1vel antes dessa data, continuam a vigorar at\u00e9 serem alterados, substitu\u00eddos ou revogados.<\/p>\n
3 – Todas as refer\u00eancias feitas \u00e0 Lei da Prote\u00e7\u00e3o de Dados Pessoais, aprovada pela Lei n.\u00ba 67\/98, de 26 de outubro, consideram-se feitas para o regime da presente lei, quando disserem respeito \u00e0 prote\u00e7\u00e3o das pessoas singulares relativamente ao tratamento de dados pessoais pelas autoridades competentes para efeitos de preven\u00e7\u00e3o, dete\u00e7\u00e3o, investiga\u00e7\u00e3o ou repress\u00e3o de infra\u00e7\u00f5es penais ou de execu\u00e7\u00e3o de san\u00e7\u00f5es penais, incluindo a salvaguarda e a preven\u00e7\u00e3o de amea\u00e7as \u00e0 seguran\u00e7a p\u00fablica.<\/p>\n
Artigo 68.\u00ba<\/p>\n
Dados referentes ao sistema judici\u00e1rio<\/p>\n
1 – O tratamento de dados constante de processo penal, de decis\u00e3o judicial ou do registo criminal \u00e9 regulado nos termos da lei processual penal.<\/p>\n
2 – Ao tratamento de dados referentes ao sistema judicial \u00e9 aplic\u00e1vel o regime jur\u00eddico pr\u00f3prio, constante da Lei n.\u00ba 34\/2009, de 14 de julho.<\/p>\n
Artigo 69.\u00ba<\/p>\n
Sistema integrado de informa\u00e7\u00e3o criminal<\/p>\n
O disposto na presente lei n\u00e3o implica qualquer restri\u00e7\u00e3o ou limita\u00e7\u00e3o na partilha e interc\u00e2mbio de dados entre os \u00f3rg\u00e3os de pol\u00edcia criminal e destes com as autoridades judici\u00e1rias, no \u00e2mbito do dever de coopera\u00e7\u00e3o estabelecido na lei de organiza\u00e7\u00e3o da investiga\u00e7\u00e3o criminal, designadamente do sistema integrado de informa\u00e7\u00e3o criminal institu\u00eddo nos termos da Lei n.\u00ba 73\/2009, de 12 de agosto, alterada pela Lei n.\u00ba 38\/2015, de 11 de maio.<\/p>\n
Artigo 70.\u00ba<\/p>\n
Regime transit\u00f3rio<\/p>\n
1 – A conforma\u00e7\u00e3o dos sistemas de tratamento automatizado criados antes de 6 de maio de 2016 com os requisitos previstos no artigo 27.\u00ba deve ser assegurada pelos respons\u00e1veis pelo tratamento logo que poss\u00edvel, at\u00e9 6 de maio de 2023, ou, quando o cumprimento deste prazo cause graves dificuldades ao funcionamento de um sistema de tratamento automatizado, at\u00e9 6 de maio de 2026.<\/p>\n
2 – Sem preju\u00edzo do disposto no n\u00famero anterior, o respons\u00e1vel pelo tratamento de dados deve dispor de m\u00e9todos eficazes para, at\u00e9 ao final do prazo de conforma\u00e7\u00e3o, poder demonstrar a licitude do tratamento de dados, permitir o autocontrolo e garantir a integridade e seguran\u00e7a dos dados, tais como registos cronol\u00f3gicos ou outros.<\/p>\n
Artigo 71.\u00ba<\/p>\n
Entrada em vigor<\/p>\n
A presente lei entra em vigor no dia seguinte ao da sua publica\u00e7\u00e3o.<\/p>\n
Aprovada em 14 de junho de 2019.<\/p>\n
O Presidente da Assembleia da Rep\u00fablica, Eduardo Ferro Rodrigues.<\/p>\n
Promulgada em 26 de julho de 2019.<\/p>\n
Publique-se.<\/p>\n
O Presidente da Rep\u00fablica, Marcelo Rebelo de Sousa.<\/p>\n
Referendada em 30 de julho de 2019.<\/p>\n
Pelo Primeiro-Ministro, Augusto Ernesto Santos Silva, Ministro dos Neg\u00f3cios Estrangeiros.<\/p>\n","protected":false},"excerpt":{"rendered":"
Lei n.\u00ba 59\/2019, de 08 de agosto – Tratamento de Dados Pessoais para Preven\u00e7\u00e3o, Dete\u00e7\u00e3o, Investiga\u00e7\u00e3o ou Repress\u00e3o de Infra\u00e7\u00f5es penais ou Execu\u00e7\u00e3o de San\u00e7\u00f5es Penais. Aprova as regras relativas ao tratamento de dados pessoais para efeitos de preven\u00e7\u00e3o, dete\u00e7\u00e3o, investiga\u00e7\u00e3o ou repress\u00e3o de infra\u00e7\u00f5es penais ou de execu\u00e7\u00e3o de san\u00e7\u00f5es penais, transpondo a Diretiva […]<\/p>\n","protected":false},"author":1,"featured_media":146,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":""},"categories":[6,3],"tags":[],"_links":{"self":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/145"}],"collection":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/comments?post=145"}],"version-history":[{"count":1,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/145\/revisions"}],"predecessor-version":[{"id":147,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/145\/revisions\/147"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/media\/146"}],"wp:attachment":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/media?parent=145"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/categories?post=145"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/tags?post=145"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}