Políticas de Privacidade
Por meio desta política de proteção de dados, a DOCEREINA SOBREMESAS LDA. informa os usuários do seu site sobre a forma como serão gerenciados seus dados, para que possam decidir, livre e voluntariamente, se desejam fornecer as informações solicitadas.
PRINCÍPIOS E GARANTIA DE PRIVACIDADE
Neste site, os dados pessoais dos usuários são respeitados e protegidos. Por isso, você deve saber que seus direitos estão garantidos.
A DOCEREINA SOBREMESAS LDA, garante o cumprimento dos seguintes princípios para assegurar sua privacidade:
- Nunca solicitamos informação pessoal a menos que seja realmente necessária para fornecer os serviços requeridos pelo cliente.
- Nunca compartilhamos informação pessoal de nossos usuários com terceiros, exceto para cumprir com a lei ou no caso de termos autorização expressa do usuário.
- Nunca utilizamos seus dados pessoais para uma finalidade diferente daquela expressa nesta política de privacidade.
Ressaltamos que esta Política de Privacidade pode ser modificada para se adequar a novas exigências normativas. Por isso, aconselhamos os usuários a revisá-la periodicamente.
A DOCEREINA SOBREMESAS LDA, adequou este site às exigências da Lei n.º 93/2021,estabelece o regime geral de proteção de denunciantes de infrações, transpondo a Diretiva (UE) 2019/1937 do Parlamento Europeu e do Conselho, de 23 de outubro de 2019, relativa à proteção das pessoas que denunciam violações do direito da União Europeia.
RESPONSÁVEL PELO TRATAMENTO
Razão social: DOCEREINA SOBREMESAS LDA.
CIF: 508869978
Endereço: Parq. Industrial Manuel da Mota, 35A
Telefone: 00351 236 210 900
Email: info@docereina.com
Para o tratamento dos dados dos nossos usuários, implementamos todas as medidas técnicas e organizacionais de segurança estabelecidas na legislação vigente.
PRINCÍPIOS DE APLICAÇÃO A INFORMAÇÃO PESSOAL:
Ao tratar seus dados pessoais, aplicaremos os seguintes princípios, conforme as exigências da Lei da Protecção de Dados Pessoais :
- Licitude, lealdade e transparência: Sempre solicitaremos seu consentimento para o tratamento de seus dados pessoais para uma ou mais finalidades específicas, informadas previamente com total transparência.
- Minimização de dados: Solicitaremos apenas os dados estritamente necessários para as finalidades propostas.
- Limitação do prazo de conservação: Os dados serão mantidos apenas pelo tempo necessário para sua finalidade.
- Integridade e confidencialidade: Os dados serão tratados garantindo segurança e confidencialidade. A DOCEREINA SOBREMESAS LDA, tomará as medidas necessárias para evitar acessos não autorizados ou uso indevido dos dados.
Como obtemos seus dados?
Os dados pessoais que tratamos são obtidos através de:
- Formulário de contato
- Inscrição em newsletter
- Cadastro como usuário
- Inscrição em eventos e atividades
Finalidade do tratamento dos seus dados pessoais
Quando um usuário interage com nosso site, seja para comentar um post, enviar um e-mail, se inscrever ou contratar um serviço, está fornecendo informações pessoais que são de responsabilidade da Docereina Sobremesas Lda. Ao fornecer essas informações, o usuário consente com sua coleta, uso, gestão e armazenamento.
DOCEREINA SOBREMESAS LDA, não compartilhará dados de caráter pessoal que possam identificar o usuário com terceiros sem consentimento prévio.
Qual é a base legal para o tratamento dos seus dados?
A Docereina Sobremesas Lda, está legitimada ao tratamento dos seus dados pessoais com base no consentimento do interessado, conforme a Lei n.º 67/98, de 26 de outubro Lei da Protecção de Dados Pessoais.
Prazo de conservação dos dados
Os dados pessoais fornecidos serão conservados enquanto houver relação comercial e pelo tempo necessário para cumprir com as obrigações legais ou até que o interessado solicite sua remoção.
Direitos do usuário
Os interessados têm direito a:
- Acesso: Consultar seus dados pessoais armazenados pela Docereina Sobremesas Lda.
- Retificação: Corrigir dados incorretos.
- Cancelamento: Excluir seus dados quando não forem mais necessários.
- Oposição: Opor-se ao uso dos seus dados para finalidades diferentes das contratadas.
- Portabilidade: Solicitar a transferência dos seus dados para outro prestador.
- Limitação: Restringir o uso de seus dados conforme legislação fiscal.
- Retirada (Direito ao Esquecimento): Solicitar a remoção de seus dados da Internet.
Para exercer esses direitos, entre em contato por e-mail: jose.herrero@valegalespaña.com.
Medidas de segurança
A Docereina Sobremesas, Lda, compromete-se a tratar os dados com segurança, garantindo confidencialidade e prevenindo acessos não autorizados. Em caso de incidente de segurança, notificaremos o usuário sem demora indevida.
Aceitação e consentimento
O usuário declara ter sido informado sobre a política de proteção de dados e aceita o tratamento dos seus dados pela Docereina Sobremesas Lda.
Modificação da política de privacidade
A Docereina Sobremesas Lda, reserva-se o direito de modificar esta política para adaptá-la a novas legislações ou práticas da indústria. As alterações serão anunciadas previamente nesta página.
LEGISLAÇÃO APLICAVEL:
Lei n.º 93/2021, de 20 de dezembro
Publicação: Diário da República n.º 244/2021, Série I de 2021-12-20, páginas 3 – 15
Emissor: Assembleia da República
Data de Publicação: 2021-12-20
SUMÁRIO
Estabelece o regime geral de proteção de denunciantes de infrações, transpondo a Diretiva (UE) 2019/1937 do Parlamento Europeu e do Conselho, de 23 de outubro de 2019, relativa à proteção das pessoas que denunciam violações do direito da União
Lei n.º 93/2021
de 20 de dezembro
Estabelece o regime geral de proteção de denunciantes de infrações, transpondo a Diretiva (UE) 2019/1937 do Parlamento Europeu e do Conselho, de 23 de outubro de 2019, relativa à proteção das pessoas que denunciam violações do direito da União
A Assembleia da República decreta, nos termos da alínea c) do artigo 161.º da Constituição, o seguinte:
CAPÍTULO I
Disposições gerais
Artigo 1.º
Objeto
A presente lei estabelece o regime geral de proteção de denunciantes de infrações, transpondo para a ordem jurídica interna a Diretiva (UE) 2019/1937 do Parlamento Europeu e do Conselho, de 23 de outubro de 2019, relativa à proteção das pessoas que denunciam violações do direito da União.
Artigo 2.º
Âmbito de aplicação
1 – Para efeitos da presente lei, considera-se infração:
a) O ato ou omissão contrário a regras constantes dos atos da União Europeia referidos no anexo da Diretiva (UE) 2019/1937 do Parlamento Europeu e do Conselho, a normas nacionais que executem, transponham ou deem cumprimento a tais atos ou a quaisquer outras normas constantes de atos legislativos de execução ou transposição dos mesmos, incluindo as que prevejam crimes ou contraordenações, referentes aos domínios de:
i) Contratação pública;
ii) Serviços, produtos e mercados financeiros e prevenção do branqueamento de capitais e do financiamento do terrorismo;
iii) Segurança e conformidade dos produtos;
iv) Segurança dos transportes;
v) Proteção do ambiente;
vi) Proteção contra radiações e segurança nuclear;
vii) Segurança dos alimentos para consumo humano e animal, saúde animal e bem-estar animal;
viii) Saúde pública;
ix) Defesa do consumidor;
x) Proteção da privacidade e dos dados pessoais e segurança da rede e dos sistemas de informação;
b) O ato ou omissão contrário e lesivo dos interesses financeiros da União Europeia a que se refere o artigo 325.º do Tratado sobre o Funcionamento da União Europeia (TFUE), conforme especificado nas medidas da União Europeia aplicáveis;
c) O ato ou omissão contrário às regras do mercado interno a que se refere o n.º 2 do artigo 26.º do TFUE, incluindo as regras de concorrência e auxílios estatais, bem como as regras de fiscalidade societária;
d) A criminalidade violenta, especialmente violenta e altamente organizada, bem como os crimes previstos no n.º 1 do artigo 1.º da Lei n.º 5/2002, de 11 de janeiro, que estabelece medidas de combate à criminalidade organizada e económico-financeira; e
e) O ato ou omissão que contrarie o fim das regras ou normas abrangidas pelas alíneas a) a c).
2 – Nos domínios da defesa e segurança nacionais, só é considerado infração, para efeitos da presente lei, o ato ou omissão contrário às regras de contratação constantes dos atos da União Europeia referidos na parte i.A do anexo da Diretiva (UE) 2019/1937 do Parlamento Europeu e do Conselho, ou que contrarie os fins destas regras.
Artigo 3.º
Articulação com outros regimes
1 – O disposto na presente lei não prejudica os regimes de proteção de denunciantes previstos nos atos setoriais específicos da União Europeia referidos na parte ii do anexo da Diretiva (UE) 2019/1937 do Parlamento Europeu e do Conselho, ou nos atos legislativos de execução, transposição ou que deem cumprimento a tais atos, sendo que em tudo o que não estiver previsto nesses atos, ou sempre que tal se mostrar mais favorável ao denunciante, é aplicável o disposto na presente lei.
2 – O disposto na presente lei não prejudica a aplicação de outras disposições de proteção de denunciantes mais favoráveis ao denunciante ou às pessoas referidas no n.º 4 do artigo 6.º, consoante o caso.
3 – O disposto na presente lei não prejudica a aplicação do direito nacional ou da União Europeia sobre:
a) A proteção de informações classificadas;
b) A proteção do segredo religioso e do segredo profissional do médico, dos advogados e dos jornalistas;
c) O segredo de justiça.
4 – O disposto na presente lei não prejudica as normas do processo penal nem do processo contraordenacional, na sua fase administrativa ou judicial.
5 – O disposto na presente lei não prejudica ainda:
a) O direito dos trabalhadores de consultarem os seus representantes ou sindicatos nem as regras de proteção associadas ao exercício desse direito;
b) A autonomia e o direito das associações sindicais, das associações de empregadores e dos empregadores de celebrar um instrumento de regulamentação coletiva de trabalho.
Artigo 4.º
Objeto e conteúdo da denúncia ou divulgação pública
A denúncia ou divulgação pública pode ter por objeto infrações cometidas, que estejam a ser cometidas ou cujo cometimento se possa razoavelmente prever, bem como tentativas de ocultação de tais infrações.
Artigo 5.º
Denunciante
1 – A pessoa singular que denuncie ou divulgue publicamente uma infração com fundamento em informações obtidas no âmbito da sua atividade profissional, independentemente da natureza desta atividade e do setor em que é exercida, é considerada denunciante.
2 – Para efeitos do número anterior, podem ser considerados denunciantes, nomeadamente:
a) Os trabalhadores do setor privado, social ou público;
b) Os prestadores de serviços, contratantes, subcontratantes e fornecedores, bem como quaisquer pessoas que atuem sob a sua supervisão e direção;
c) Os titulares de participações sociais e as pessoas pertencentes a órgãos de administração ou de gestão ou a órgãos fiscais ou de supervisão de pessoas coletivas, incluindo membros não executivos;
d) Voluntários e estagiários, remunerados ou não remunerados.
3 – Não obsta à consideração de pessoa singular como denunciante a circunstância de a denúncia ou de a divulgação pública de uma infração ter por fundamento informações obtidas numa relação profissional entretanto cessada, bem como durante o processo de recrutamento ou durante outra fase de negociação pré-contratual de uma relação profissional constituída ou não constituída.
Artigo 6.º
Condições de proteção
1 – Beneficia da proteção conferida pela presente lei o denunciante que, de boa-fé, e tendo fundamento sério para crer que as informações são, no momento da denúncia ou da divulgação pública, verdadeiras, denuncie ou divulgue publicamente uma infração nos termos estabelecidos no capítulo ii.
2 – O denunciante anónimo que seja posteriormente identificado beneficia da proteção conferida pela presente lei, contanto que satisfaça as condições previstas no número anterior.
3 – O denunciante que apresente uma denúncia externa sem observar as regras de precedência previstas nas alíneas a) a e) do n.º 2 do artigo 7.º beneficia da proteção conferida pela presente lei se, aquando da apresentação, ignorava, sem culpa, tais regras.
4 – A proteção conferida pela presente lei é extensível, com as devidas adaptações, a:
a) Pessoa singular que auxilie o denunciante no procedimento de denúncia e cujo auxílio deva ser confidencial, incluindo representantes sindicais ou representantes dos trabalhadores;
b) Terceiro que esteja ligado ao denunciante, designadamente colega de trabalho ou familiar, e possa ser alvo de retaliação num contexto profissional; e
c) Pessoas coletivas ou entidades equiparadas que sejam detidas ou controladas pelo denunciante, para as quais o denunciante trabalhe ou com as quais esteja de alguma forma ligado num contexto profissional.
5 – O denunciante que apresente uma denúncia de infração às instituições, órgãos ou organismos da União Europeia competentes beneficia da proteção estabelecida na presente lei nas mesmas condições que o denunciante que apresenta uma denúncia externa.
CAPÍTULO II
Meios de denúncia e divulgação pública
SECÇÃO I
Precedência entre os meios de denúncia e divulgação pública
Artigo 7.º
Precedência entre os meios de denúncia e divulgação pública
1 – As denúncias de infrações são apresentadas pelo denunciante através dos canais de denúncia interna ou externa ou divulgadas publicamente.
2 – O denunciante só pode recorrer a canais de denúncia externa quando:
a) Não exista canal de denúncia interna;
b) O canal de denúncia interna admita apenas a apresentação de denúncias por trabalhadores, não o sendo o denunciante;
c) Tenha motivos razoáveis para crer que a infração não pode ser eficazmente conhecida ou resolvida a nível interno ou que existe risco de retaliação;
d) Tenha inicialmente apresentado uma denúncia interna sem que lhe tenham sido comunicadas as medidas previstas ou adotadas na sequência da denúncia nos prazos previstos no artigo 11.º; ou
e) A infração constitua crime ou contraordenação punível com coima superior a 50 000 (euro).
3 – O denunciante só pode divulgar publicamente uma infração quando:
a) Tenha motivos razoáveis para crer que a infração pode constituir um perigo iminente ou manifesto para o interesse público, que a infração não pode ser eficazmente conhecida ou resolvida pelas autoridades competentes, atendendo às circunstâncias específicas do caso, ou que existe um risco de retaliação inclusivamente em caso de denúncia externa; ou
b) Tenha apresentado uma denúncia interna e uma denúncia externa, ou diretamente uma denúncia externa nos termos previstos na presente lei, sem que tenham sido adotadas medidas adequadas nos prazos previstos nos artigos 11.º e 15.º
4 – A pessoa singular que, fora dos casos previstos no número anterior, der conhecimento de uma infração a órgão de comunicação social ou a jornalista não beneficia da proteção conferida pela presente lei, sem prejuízo das regras aplicáveis em matéria de sigilo jornalístico e de proteção de fontes.
5 – O disposto na presente lei não prejudica a obrigação de denúncia prevista no artigo 242.º do Código de Processo Penal.
SECÇÃO II
Denúncia interna
Artigo 8.º
Obrigação de estabelecer canais de denúncia interna
1 – As pessoas coletivas, incluindo o Estado e as demais pessoas coletivas de direito público, que empreguem 50 ou mais trabalhadores e, independentemente disso, as entidades que estejam contempladas no âmbito de aplicação dos atos da União Europeia referidos na parte i.B e ii do anexo da Diretiva (UE) 2019/1937 do Parlamento Europeu e do Conselho, doravante designadas por entidades obrigadas, dispõem de canais de denúncia interna.
2 – As entidades obrigadas que não sejam de direito público e que empreguem entre 50 e 249 trabalhadores podem partilhar recursos no que respeita à receção de denúncias e ao respetivo seguimento.
3 – O disposto nos números anteriores é aplicável, com as necessárias adaptações, às sucursais situadas em território nacional de pessoas coletivas com sede no estrangeiro.
4 – O Estado dispõe, pelo menos, de um canal de denúncia interna em cada uma das seguintes entidades:
a) Presidência da República;
b) Assembleia da República;
c) Cada ministério ou área governativa;
d) Tribunal Constitucional;
e) Conselho Superior da Magistratura;
f) Conselho Superior dos Tribunais Administrativos e Fiscais;
g) Tribunal de Contas;
h) Procuradoria-Geral da República;
i) Representantes da República nas regiões autónomas.
5 – As regiões autónomas dispõem de um canal de denúncia interna na assembleia legislativa regional e de um canal de denúncia interna por cada secretaria regional.
6 – Não têm de dispor de canais de denúncia as autarquias locais que, embora empregando 50 ou mais trabalhadores, tenham menos de 10 000 habitantes.
7 – As autarquias locais podem partilhar canais de denúncia no que respeita à receção de denúncias e ao respetivo seguimento.
Artigo 9.º
Características dos canais de denúncia interna
1 – Os canais de denúncia interna permitem a apresentação e o seguimento seguros de denúncias, a fim de garantir a exaustividade, integridade e conservação da denúncia, a confidencialidade da identidade ou o anonimato dos denunciantes e a confidencialidade da identidade de terceiros mencionados na denúncia, e de impedir o acesso de pessoas não autorizadas.
2 – Os canais de denúncia interna são operados internamente, para efeitos de receção e seguimento de denúncias, por pessoas ou serviços designados para o efeito, sem prejuízo do número seguinte.
3 – Os canais de denúncia podem ser operados externamente, para efeitos de receção de denúncias.
4 – Nas situações previstas nos n.os 2 e 3, deve ser garantida a independência, a imparcialidade, a confidencialidade, a proteção de dados, o sigilo e a ausência de conflitos de interesses no desempenho das funções.
Artigo 10.º
Forma e admissibilidade da denúncia interna
1 – Os canais de denúncia interna permitem, designadamente, a apresentação de denúncias, por escrito e ou verbalmente, por trabalhadores, anónimas ou com identificação do denunciante.
2 – Caso seja admissível a denúncia verbal, os canais de denúncia interna permitem a sua apresentação por telefone ou através de outros sistemas de mensagem de voz e, a pedido do denunciante, em reunião presencial.
3 – A denúncia pode ser apresentada com recurso a meios de autenticação eletrónica com cartão de cidadão ou chave móvel digital, ou com recurso a outros meios de identificação eletrónica emitidos em outros Estados-Membros e reconhecidos para o efeito nos termos do artigo 6.º do Regulamento (UE) n.º 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014, desde que, em qualquer caso, os meios estejam disponíveis.
Artigo 11.º
Seguimento da denúncia interna
1 – As entidades obrigadas notificam, no prazo de sete dias, o denunciante da receção da denúncia e informam-no, de forma clara e acessível, dos requisitos, autoridades competentes e forma e admissibilidade da denúncia externa, nos termos do n.º 2 do artigo 7.º e dos artigos 12.º e 14.º
2 – No seguimento da denúncia, as entidades obrigadas praticam os atos internos adequados à verificação das alegações aí contidas e, se for caso disso, à cessação da infração denunciada, inclusive através da abertura de um inquérito interno ou da comunicação a autoridade competente para investigação da infração, incluindo as instituições, órgãos ou organismos da União Europeia.
3 – As entidades obrigadas comunicam ao denunciante as medidas previstas ou adotadas para dar seguimento à denúncia e a respetiva fundamentação, no prazo máximo de três meses a contar da data da receção da denúncia.
4 – O denunciante pode requerer, a qualquer momento, que as entidades obrigadas lhe comuniquem o resultado da análise efetuada à denúncia no prazo de 15 dias após a respetiva conclusão.
SECÇÃO III
Denúncia externa
Artigo 12.º
Autoridades competentes
1 – As denúncias externas são apresentadas às autoridades que, de acordo com as suas atribuições e competências, devam ou possam conhecer da matéria em causa na denúncia, incluindo:
a) O Ministério Público;
b) Os órgãos de polícia criminal;
c) O Banco de Portugal;
d) As autoridades administrativas independentes;
e) Os institutos públicos;
f) As inspeções-gerais e entidades equiparadas e outros serviços centrais da administração direta do Estado dotados de autonomia administrativa;
g) As autarquias locais; e
h) As associações públicas.
2 – Quando seja apresentada a autoridade incompetente, a denúncia é remetida oficiosamente à autoridade competente, disso se notificando o denunciante, sendo que, neste caso, considera-se como data da receção da denúncia a data em que a autoridade competente a recebeu.
3 – Nos casos em que não exista autoridade competente para conhecer da denúncia ou nos casos em que a denúncia vise uma autoridade competente, deve a mesma ser dirigida ao Mecanismo Nacional Anticorrupção e, sendo esta a autoridade visada, ao Ministério Público, que procede ao seu seguimento, designadamente através da abertura de inquérito sempre que os factos descritos na denúncia constituam crime.
4 – Se a infração respeitar a crime ou a contraordenação, as denúncias externas podem sempre ser apresentadas através dos canais de denúncia externa do Ministério Público ou dos órgãos de polícia criminal, quanto ao crime, e das autoridades administrativas competentes ou das autoridades policiais e fiscalizadoras, quanto à contraordenação.
Artigo 13.º
Características dos canais de denúncia externa
1 – As autoridades competentes estabelecem canais de denúncia externa, independentes e autónomos dos demais canais de comunicação, para receber e dar seguimento às denúncias, que assegurem a exaustividade, a integridade e a confidencialidade da denúncia, impeçam o acesso de pessoas não autorizadas e permitam a sua conservação nos termos do artigo 20.º
2 – As autoridades competentes designam os funcionários responsáveis pelo tratamento de denúncias, que inclui:
a) Prestar a todas as pessoas interessadas informações sobre os procedimentos de denúncia, garantindo a confidencialidade do aconselhamento e da identidade das pessoas;
b) Receber e dar seguimento às denúncias;
c) Prestar informações fundamentadas ao denunciante sobre as medidas previstas ou adotadas para dar seguimento à denúncia e solicitar informações adicionais, se necessário.
3 – Os funcionários referidos no número anterior devem receber formação específica para efeitos de tratamento de denúncias.
4 – As autoridades competentes reveem, a cada três anos, os procedimentos para a receção e seguimento de denúncias, tendo em consideração a sua experiência, bem como a de outras autoridades competentes.
Artigo 14.º
Forma e admissibilidade da denúncia externa
1 – Os canais de denúncia externa permitem a apresentação de denúncias por escrito e ou verbalmente, anónimas ou com identificação do denunciante.
2 – Os canais de denúncia externa permitem a apresentação de denúncia verbal por telefone ou através de outros sistemas de mensagem de voz e, a pedido do denunciante, em reunião presencial.
3 – Caso as denúncias sejam recebidas por canais não destinados ao efeito ou por pessoas não responsáveis pelo seu tratamento, devem ser imediatamente transmitidas, sem qualquer modificação, a funcionário responsável.
4 – As denúncias são arquivadas, não havendo lugar ao respetivo seguimento, quando as autoridades competentes, mediante decisão fundamentada a notificar ao denunciante, considerem que:
a) A infração denunciada é de gravidade diminuta, insignificante ou manifestamente irrelevante;
b) A denúncia é repetida e não contém novos elementos de facto ou de direito que justifiquem um seguimento diferente do que foi dado relativamente à primeira denúncia; ou
c) A denúncia é anónima e dela não se retiram indícios de infração.
5 – O disposto no número anterior não prejudica as disposições próprias do processo penal e contraordenacional.
Artigo 15.º
Seguimento da denúncia externa
1 – As autoridades competentes notificam o denunciante da receção da denúncia no prazo de sete dias, salvo pedido expresso em contrário do denunciante ou caso tenham motivos razoáveis para crer que a notificação pode comprometer a proteção da identidade do denunciante.
2 – No seguimento da denúncia, as autoridades competentes praticam os atos adequados à verificação das alegações aí contidas e, se for caso disso, à cessação da infração denunciada, inclusive através da abertura de inquérito ou de processo ou da comunicação a autoridade competente, incluindo as instituições, órgãos ou organismos da União Europeia.
3 – As autoridades competentes comunicam ao denunciante as medidas previstas ou adotadas para dar seguimento à denúncia e a respetiva fundamentação no prazo máximo de três meses a contar da data da receção da denúncia, ou de seis meses quando a complexidade da denúncia o justifique.
4 – O denunciante pode requerer, a qualquer momento, que as autoridades competentes lhe comuniquem o resultado da análise efetuada à denúncia no prazo de 15 dias após a respetiva conclusão.
Artigo 16.º
Obrigação de informação
As autoridades competentes publicam nos respetivos sítios na Internet, em secção separada, facilmente identificável e acessível, pelo menos as seguintes informações:
a) Condições para beneficiar de proteção ao abrigo da presente lei ou ao abrigo dos regimes de proteção de denunciantes previstos nos atos setoriais específicos da União Europeia referidos na parte ii do anexo da Diretiva (UE) 2019/1937 do Parlamento Europeu e do Conselho ou nos atos legislativos de execução, transposição ou que deem cumprimento a tais atos, se aplicável;
b) Dados de contacto dos canais de denúncia externa, nomeadamente os endereços eletrónicos e postais e os números de telefone, com indicação sobre se as comunicações telefónicas são gravadas;
c) Procedimentos aplicáveis à denúncia de infrações, nomeadamente a forma pela qual a autoridade competente pode solicitar ao denunciante que clarifique a denúncia apresentada ou que preste informações adicionais, inclusivamente em situações de anonimato, e o prazo que a autoridade tem para prestar ao denunciante informações fundamentadas sobre as medidas previstas ou tomadas para dar seguimento à denúncia;
d) Regime de confidencialidade aplicável às denúncias, em particular quanto ao tratamento de dados pessoais;
e) Tipo de medidas que podem ser tomadas para dar seguimento às denúncias;
f) Vias de recurso e procedimentos de proteção contra atos de retaliação;
g) Disponibilidade de aconselhamento confidencial para as pessoas que ponderam apresentar uma denúncia; e
h) Condições em que o denunciante não incorre em responsabilidade por violação de deveres de confidencialidade ou outros nos termos do artigo 24.º
Artigo 17.º
Relatórios anuais
As autoridades competentes apresentam à Assembleia da República, até ao fim do mês de março de cada ano, um relatório anual contendo:
a) O número de denúncias externas recebidas;
b) O número de processos iniciados com base naquelas denúncias e o seu resultado;
c) A natureza e o tipo das infrações denunciadas;
d) O que demais considerem pertinente para melhorar os mecanismos de apresentação e seguimento de denúncias, de proteção de denunciantes, de pessoas relacionadas e de pessoas visadas, e a ação sancionatória.
SECÇÃO IV
Disposições aplicáveis a denúncias internas e externas
Artigo 18.º
Confidencialidade
1 – A identidade do denunciante, bem como as informações que, direta ou indiretamente, permitam deduzir a sua identidade, têm natureza confidencial e são de acesso restrito às pessoas responsáveis por receber ou dar seguimento a denúncias.
2 – A obrigação de confidencialidade referida no número anterior estende-se a quem tiver recebido informações sobre denúncias, ainda que não responsável ou incompetente para a sua receção e tratamento.
3 – A identidade do denunciante só é divulgada em decorrência de obrigação legal ou de decisão judicial.
4 – Sem prejuízo do disposto em outras disposições legais, a divulgação da informação é precedida de comunicação escrita ao denunciante indicando os motivos da divulgação dos dados confidenciais em causa, exceto se a prestação dessa informação comprometer as investigações ou processos judiciais relacionados.
5 – As denúncias recebidas pelas autoridades competentes que contenham informações sujeitas a segredo comercial são tratadas apenas para efeito de dar seguimento à denúncia, ficando quem dela tenha conhecimento obrigado a sigilo.
Artigo 19.º
Tratamento de dados pessoais
1 – O tratamento de dados pessoais ao abrigo da presente lei, incluindo o intercâmbio ou a transmissão de dados pessoais pelas autoridades competentes, observa o disposto no Regulamento Geral sobre a Proteção de Dados, aprovado pelo Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, na Lei n.º 58/2019, de 8 de agosto, que assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679, e na Lei n.º 59/2019, de 8 de agosto, que aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais.
2 – Os dados pessoais que manifestamente não forem relevantes para o tratamento da denúncia não são conservados, devendo ser imediatamente apagados.
3 – O disposto no número anterior não prejudica o dever de conservação de denúncias apresentadas verbalmente, quando essa conservação se faça mediante gravação da comunicação em suporte duradouro e recuperável.
Artigo 20.º
Conservação de denúncias
1 – As entidades obrigadas e as autoridades competentes responsáveis por receber e tratar denúncias ao abrigo da presente lei devem manter um registo das denúncias recebidas e conservá-las, pelo menos, durante o período de cinco anos e, independentemente desse prazo, durante a pendência de processos judiciais ou administrativos referentes à denúncia.
2 – O disposto no número anterior não prejudica as regras de conservação arquivística dos tribunais judiciais e dos tribunais administrativos e fiscais.
3 – As denúncias apresentadas verbalmente, através de linha telefónica com gravação ou outro sistema de mensagem de voz gravada, são registadas, obtido o consentimento do denunciante, mediante:
a) Gravação da comunicação em suporte duradouro e recuperável; ou
b) Transcrição completa e exata da comunicação.
4 – Caso o canal de denúncia verbal usado não permita a sua gravação, as entidades obrigadas e as autoridades competentes lavram uma ata fidedigna da comunicação.
5 – Caso a denúncia seja apresentada em reunião presencial, as entidades obrigadas e as autoridades competentes asseguram, obtido o consentimento do denunciante, o registo da reunião mediante:
a) Gravação da comunicação em suporte duradouro e recuperável; ou
b) Ata fidedigna.
6 – Nos casos referidos nos n.os 3 a 5, as entidades obrigadas e as autoridades competentes permitem ao denunciante ver, retificar e aprovar a transcrição ou ata da comunicação ou da reunião, assinando-a.
CAPÍTULO III
Medidas de proteção
Artigo 21.º
Proibição de retaliação
1 – É proibido praticar atos de retaliação contra o denunciante.
2 – Considera-se ato de retaliação o ato ou omissão que, direta ou indiretamente, ocorrendo em contexto profissional e motivado por uma denúncia interna, externa ou divulgação pública, cause ou possa causar ao denunciante, de modo injustificado, danos patrimoniais ou não patrimoniais.
3 – As ameaças e as tentativas dos atos e omissões referidos no número anterior são igualmente havidas como atos de retaliação.
4 – Aquele que praticar um ato de retaliação indemniza o denunciante pelos danos causados.
5 – Independentemente da responsabilidade civil a que haja lugar, o denunciante pode requerer as providências adequadas às circunstâncias do caso, com o fim de evitar a verificação ou a expansão dos danos.
6 – Presumem-se motivados por denúncia interna, externa ou divulgação pública, até prova em contrário, os seguintes atos, quando praticados até dois anos após a denúncia ou divulgação pública:
a) Alterações das condições de trabalho, tais como funções, horário, local de trabalho ou retribuição, não promoção do trabalhador ou incumprimento de deveres laborais;
b) Suspensão de contrato de trabalho;
c) Avaliação negativa de desempenho ou referência negativa para fins de emprego;
d) Não conversão de um contrato de trabalho a termo num contrato sem termo, sempre que o trabalhador tivesse expectativas legítimas nessa conversão;
e) Não renovação de um contrato de trabalho a termo;
f) Despedimento;
g) Inclusão numa lista, com base em acordo à escala setorial, que possa levar à impossibilidade de, no futuro, o denunciante encontrar emprego no setor ou indústria em causa;
h) Resolução de contrato de fornecimento ou de prestação de serviços;
i) Revogação de ato ou resolução de contrato administrativo, conforme definidos nos termos do Código do Procedimento Administrativo.
7 – A sanção disciplinar aplicada ao denunciante até dois anos após a denúncia ou divulgação pública presume-se abusiva.
8 – O disposto nos números anteriores é correspondentemente aplicável às pessoas referidas no n.º 4 do artigo 6.º
Artigo 22.º
Medidas de apoio
1 – Os denunciantes têm direito, nos termos gerais, a proteção jurídica.
2 – Os denunciantes podem beneficiar, nos termos gerais, de medidas para proteção de testemunhas em processo penal.
3 – As autoridades competentes prestam o auxílio e colaboração necessários a outras autoridades para efeitos de garantir a proteção do denunciante contra atos de retaliação, inclusivamente através de certificação de que o denunciante é reconhecido como tal ao abrigo da presente lei, sempre que este o solicite.
4 – A Direção-Geral da Política de Justiça disponibiliza informação sobre a proteção dos denunciantes no Portal da Justiça, sem prejuízo dos mecanismos próprios do acesso ao direito e aos tribunais.
CAPÍTULO IV
Tutela jurisdicional
SECÇÃO I
Disposições gerais
Artigo 23.º
Tutela jurisdicional efetiva
Os denunciantes gozam de todas as garantias de acesso aos tribunais para defesa dos seus direitos e interesses legalmente protegidos.
Artigo 24.º
Responsabilidade do denunciante
1 – A denúncia ou a divulgação pública de uma infração, feita de acordo com os requisitos impostos pela presente lei, não constitui, por si, fundamento de responsabilidade disciplinar, civil, contraordenacional ou criminal do denunciante.
2 – Sem prejuízo dos regimes de segredo salvaguardados pelo disposto no n.º 3 do artigo 3.º, o denunciante que denuncie ou divulgue publicamente uma infração de acordo com os requisitos impostos pela presente lei não responde pela violação de eventuais restrições à comunicação ou divulgação de informações constantes da denúncia ou da divulgação pública.
3 – O denunciante que denuncie ou divulgue publicamente uma infração de acordo com os requisitos impostos pela presente lei não é responsável pela obtenção ou acesso às informações que motivam a denúncia ou a divulgação pública, exceto nos casos em que a obtenção ou acesso às informações constitua crime.
4 – O disposto nos números anteriores não prejudica a eventual responsabilidade dos denunciantes por atos ou omissões não relacionados com a denúncia ou a divulgação pública, ou que não sejam necessários à denúncia ou à divulgação pública de uma infração nos termos da presente lei.
Artigo 25.º
Proteção da pessoa visada
1 – O regime previsto na presente lei não prejudica quaisquer direitos ou garantias processuais reconhecidos, nos termos gerais, às pessoas que, na denúncia ou na divulgação pública, sejam referidas como autoras da infração ou que a esta sejam associadas, designadamente a presunção da inocência e as garantias de defesa do processo penal.
2 – O disposto na presente lei relativamente à confidencialidade da identidade do denunciante é também aplicável à identidade das pessoas referidas no número anterior.
3 – A pessoa referida na alínea a) do n.º 4 do artigo 6.º responde solidariamente com o denunciante pelos danos causados pela denúncia ou pela divulgação pública feita em violação dos requisitos impostos pela presente lei.
4 – A Direção-Geral da Política de Justiça disponibiliza informação sobre os direitos da pessoa visada no Portal da Justiça, sem prejuízo dos mecanismos próprios do acesso ao direito e aos tribunais.
Artigo 26.º
Indisponibilidade dos direitos
1 – Os direitos e garantias previstos na presente lei não podem ser objeto de renúncia ou limitação por acordo.
2 – São nulas as disposições contratuais que limitem ou obstem à apresentação ou seguimento de denúncias ou à divulgação pública de infrações nos termos da presente lei.
SECÇÃO II
Contraordenações
Artigo 27.º
Contraordenações e coimas
1 – Constitui contraordenação muito grave:
a) Impedir a apresentação ou o seguimento de denúncia de acordo com o disposto no artigo 7.º;
b) Praticar atos retaliatórios, nos termos do artigo 21.º, contra as pessoas referidas no artigo 5.º ou no n.º 4 do artigo 6.º;
c) Não cumprir o dever de confidencialidade previsto no artigo 18.º;
d) Comunicar ou divulgar publicamente informações falsas.
2 – As contraordenações previstas no número anterior são puníveis com coimas de 1 000 (euro) a 25 000 (euro) ou de 10 000 (euro) a 250 000 (euro) consoante o agente seja uma pessoa singular ou coletiva.
3 – Constitui contraordenação grave:
a) Não dispor de canal de denúncia interno, nos termos previstos no artigo 8.º e nos n.os 2 e 3 do artigo 9.º;
b) Dispor de um canal de denúncia interno sem garantias de exaustividade, integridade ou conservação de denúncias ou de confidencialidade da identidade ou anonimato dos denunciantes ou da identidade de terceiros mencionados na denúncia, ou sem regras que impeçam o acesso a pessoas não autorizadas, nos termos do n.º 1 do artigo 9.º;
c) A receção ou seguimento de denúncia em violação dos requisitos de independência, imparcialidade e de ausência de conflitos de interesse, nos termos previstos no n.º 4 do artigo 9.º;
d) Dispor de canal de denúncia interno que não garanta a possibilidade de denúncia a todos os trabalhadores, não garanta a possibilidade de apresentar denúncia com identificação do denunciante ou anónima, ou que não garanta a apresentação da denúncia por escrito, verbalmente ou de ambos os modos, nos termos do n.º 1 do artigo 10.º e da primeira parte do n.º 2 do artigo 10.º;
e) Recusar reunião presencial com o denunciante em caso de admissibilidade de denúncia verbal, nos termos da parte final do n.º 2 do artigo 10.º;
f) A não notificação ao denunciante da receção da denúncia ou dos requisitos para apresentação de denúncia externa nos termos do n.º 2 do artigo 7.º, no prazo previsto no n.º 1 do artigo 11.º;
g) A não comunicação ou a comunicação incompleta ou imprecisa ao denunciante dos procedimentos para apresentação de denúncias externas às autoridades competentes, nos termos dos artigos 12.º e 14.º, no prazo previsto no n.º 1 do artigo 11.º;
h) A não comunicação ao denunciante do resultado da análise da denúncia, se este a tiver requerido, no prazo previsto no n.º 4 do artigo 11.º;
i) Não dispor de canal de denúncia externa, nos termos do n.º 1 do artigo 13.º;
j) Dispor de um canal de denúncia externa que não seja independente e autónomo, ou que não assegure a exaustividade, integridade, confidencialidade ou conservação da denúncia, ou que não impeça o acesso a pessoas não autorizadas, nos termos do n.º 1 do artigo 13.º;
k) Não designar funcionários responsáveis pelo tratamento de denúncias, nos termos do n.º 2 do artigo 13.º;
l) Não ministrar formação aos funcionários responsáveis pelo tratamento de denúncias, nos termos do n.º 3 do artigo 13.º;
m) Não analisar, a cada três anos, os procedimentos para receção e seguimento de denúncias, a fim de verificar se são necessárias correções ou se podem ser introduzidas melhorias, nos termos do n.º 4 do artigo 13.º;
n) Não dispor de canal de denúncia externa que permita, em simultâneo, a apresentação de denúncias por escrito, verbalmente, com identificação do denunciante ou anónimas, nos termos do n.º 1 do artigo 14.º e da primeira parte do n.º 2 do artigo 14.º;
o) Recusar reunião presencial com o denunciante, nos termos da parte final do n.º 2 do artigo 14.º;
p) Não publicar os elementos referidos nas alíneas a) a h) do artigo 16.º em secção separada, facilmente identificável e acessível dos respetivos sítios na Internet;
q) Não registar ou não conservar a denúncia recebida pelo período mínimo de cinco anos ou durante a pendência de processos judiciais ou administrativos pertinentes à denúncia recebida, nos termos do n.º 1 do artigo 20.º;
r) Registar as denúncias através dos meios previstos nos n.os 3 e 5 do artigo 20.º, sem consentimento do denunciante;
s) Não permitir ao denunciante ver, retificar ou aprovar a transcrição ou ata da comunicação ou da reunião, nos termos previstos no n.º 6 do artigo 20.º
4 – As contraordenações previstas no número anterior são puníveis com coimas de 500 (euro) a 12 500 (euro) ou de 1 000 (euro) a 125 000 (euro), consoante o agente seja uma pessoa singular ou coletiva.
5 – A tentativa é punível, sendo os limites máximos das coimas identificados nos n.os 2 e 4 reduzidos em metade.
6 – A negligência é punível, sendo os limites máximos das coimas identificados nos n.os 2 e 4 reduzidos em metade.
Artigo 28.º
Concurso de infrações
Se o mesmo facto constituir simultaneamente crime e uma das contraordenações referidas no artigo anterior, o agente é sempre punido a título de crime.
Artigo 29.º
Competência para o processamento e aplicação das coimas
1 – O processamento das contraordenações a que se refere o artigo 27.º e a aplicação das coimas correspondentes competem ao Mecanismo Nacional Anticorrupção, sem prejuízo do disposto no número seguinte.
2 – Caso as contraordenações previstas no artigo 27.º sejam praticadas por pessoas singulares, pessoas coletivas ou entidades equiparadas sujeitas aos regimes previstos no n.º 1 do artigo 3.º, o processamento dessas contraordenações e a aplicação das coimas correspondentes competem às autoridades que tenham competência sancionatória, nos termos dos atos setoriais específicos da União Europeia ou nos atos legislativos nacionais em que estejam previstos os regimes de proteção de denunciantes.
3 – Nos casos previstos no número anterior, havendo mais do que uma autoridade com competência sancionatória, a determinação da autoridade competente faz-se de acordo com as regras previstas nos atos setoriais específicos da União Europeia ou nos atos legislativos nacionais em que estejam previstos os regimes de proteção de denunciantes ou, na sua falta, nos termos do regime geral do ilícito de mera ordenação social, aprovado pelo Decreto-Lei n.º 433/82, de 27 de outubro.
Artigo 30.º
Regime subsidiário
Em tudo o que não esteja previsto na presente lei, em matéria contraordenacional, aplica-se o disposto no regime geral do ilícito de mera ordenação social, aprovado pelo Decreto-Lei n.º 433/82, de 27 de outubro.
CAPÍTULO V
Disposição final
Artigo 31.º
Entrada em vigor
A presente lei entra em vigor 180 dias após a sua publicação.
Aprovada em 26 de novembro de 2021.
O Presidente da Assembleia da República, Eduardo Ferro Rodrigues.
Promulgada em 9 de dezembro de 2021.
Publique-se.
O Presidente da República, Marcelo Rebelo de Sousa.
Referendada em 13 de dezembro de 2021.
O Primeiro-Ministro, António Luís Santos da Costa.
Lei n.º 67/98, de 26 de outubro Protecção de Dados Pessois.
Lei da Protecção de Dados Pessoais (transpõe para a ordem jurídica portuguesa a Directiva n.º >95/46/CE, do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento dos dados pessoais e à livre circulação desses dados).
A Assembleia da República decreta, nos termos da alínea c) do artigo 161.º, das alíneas b) e c) do n.º 1 do artigo 165.º e do n.º 3 do artigo 166.º da Constituição, para valer como lei geral da República, o seguinte:
CAPÍTULO I
Disposições gerais
Artigo 1.º
Objecto
A presente lei transpõe para a ordem jurídica interna a Directiva n.º 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
Artigo 2.º
Princípio geral
O tratamento de dados pessoais deve processar-se de forma transparente e no estrito respeito pela reserva da vida privada, bem como pelos direitos, liberdades e garantias fundamentais.
Artigo 3.º
Definições
Para efeitos da presente lei, entende-se por:
a) «Dados pessoais»: qualquer informação, de qualquer natureza e independentemente do respectivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável a pessoa que possa ser identificada directa ou indirectamente, designadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social;
b) «Tratamento de dados pessoais» («tratamento»): qualquer operação ou conjunto de operações sobre dados pessoais, efectuadas com ou sem meios automatizados, tais como a recolha, o registo, a organização, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a comunicação por transmissão, por difusão ou por qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição;
c) «Ficheiro de dados pessoais» («ficheiro»): qualquer conjunto estruturado de dados pessoais, acessível segundo critérios determinados, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;
d) «Responsável pelo tratamento»: a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais; sempre que as finalidades e os meios do tratamento sejam determinados por disposições legislativas ou regulamentares, o responsável pelo tratamento deve ser indicado na lei de organização e funcionamento ou no estatuto da entidade legal ou estatutariamente competente para tratar os dados pessoais em causa;
e) «Subcontratante»: a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que trate os dados pessoais por conta do responsável pelo tratamento;
f) «Terceiro»: a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que, não sendo o titular dos dados, o responsável pelo tratamento, o subcontratante ou outra pessoa sob autoridade directa do responsável pelo tratamento ou do subcontratante, esteja habilitado a tratar os dados;
g) «Destinatário»: a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo a quem sejam comunicados dados pessoais, independentemente de se tratar ou não de um terceiro, sem prejuízo de não serem consideradas destinatários as autoridades a quem sejam comunicados dados no âmbito de uma disposição legal;
h) «Consentimento do titular dos dados»: qualquer manifestação de vontade, livre, específica e informada, nos termos da qual o titular aceita que os seus dados pessoais sejam objecto de tratamento;
i) «Interconexão de dados»: forma de tratamento que consiste na possibilidade de relacionamento dos dados de um ficheiro com os dados de um ficheiro ou ficheiros mantidos por outro ou outros responsáveis, ou mantidos pelo mesmo responsável com outra finalidade.
Artigo 4.º
Âmbito de aplicação
1 – A presente lei aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros manuais ou a estes destinados.
2 – A presente lei não se aplica ao tratamento de dados pessoais efectuado por pessoa singular no exercício de actividades exclusivamente pessoais ou domésticas.
3 – A presente lei aplica-se ao tratamento de dados pessoais efectuado:
a) No âmbito das actividades de estabelecimento do responsável do tratamento situado em território português;
b) Fora do território nacional, em local onde a legislação portuguesa seja aplicável por força do direito internacional;
c) Por responsável que, não estando estabelecido no território da União Europeia, recorra, para tratamento de dados pessoais, a meios, automatizados ou não, situados no território português, salvo se esses meios só forem utilizados para trânsito através do território da União Europeia.
4 – A presente lei aplica-se à videovigilância e outras formas de captação, tratamento e difusão de sons e imagens que permitam identificar pessoas sempre que o responsável pelo tratamento esteja domiciliado ou sediado em Portugal ou utilize um fornecedor de acesso a redes informáticas e telemáticas estabelecido em território português.
5 – No caso referido na alínea c) do n.º 3, o responsável pelo tratamento deve designar, mediante comunicação à Comissão Nacional de Protecção de Dados (CNPD), um representante estabelecido em Portugal, que se lhe substitua em todos os seus direitos e obrigações, sem prejuízo da sua própria responsabilidade.
6 – O disposto no número anterior aplica-se no caso de o responsável pelo tratamento estar abrangido por estatuto de extraterritorialidade, de imunidade ou por qualquer outro que impeça o procedimento criminal.
7 – A presente lei aplica-se ao tratamento de dados pessoais que tenham por objectivo a segurança pública, a defesa nacional e a segurança do Estado, sem prejuízo do disposto em normas especiais constantes de instrumentos de direito internacional a que Portugal se vincule e de legislação específica atinente aos respectivos sectores.
CAPÍTULO II
Tratamento de dados pessoais
SECÇÃO I
Qualidade dos dados e legitimidade do seu tratamento
Artigo 5.º
Qualidade dos dados
1 – Os dados pessoais devem ser:
a) Tratados de forma lícita e com respeito pelo princípio da boa fé;
b) Recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser posteriormente tratados de forma incompatível com essas finalidades;
c) Adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos e posteriormente tratados;
d) Exactos e, se necessário, actualizados, devendo ser tomadas as medidas adequadas para assegurar que sejam apagados ou rectificados os dados inexactos ou incompletos, tendo em conta as finalidades para que foram recolhidos ou para que são tratados posteriormente;
e) Conservados de forma a permitir a identificação dos seus titulares apenas durante o período necessário para a prossecução das finalidades da recolha ou do tratamento posterior.
2 – Mediante requerimento do responsável pelo tratamento, e caso haja interesse legítimo, a CNPD pode autorizar a conservação de dados para fins históricos, estatísticos ou científicos por período superior ao referido na alínea e) do número anterior.
3 – Cabe ao responsável pelo tratamento assegurar a observância do disposto nos números anteriores.
Artigo 6.º
Condições de legitimidade do tratamento de dados
O tratamento de dados pessoais só pode ser efectuado se o seu titular tiver dado de forma inequívoca o seu consentimento ou se o tratamento for necessário para:
a) Execução de contrato ou contratos em que o titular dos dados seja parte ou de diligências prévias à formação do contrato ou declaração da vontade negocial efectuadas a seu pedido;
b) Cumprimento de obrigação legal a que o responsável pelo tratamento esteja sujeito;
c) Protecção de interesses vitais do titular dos dados, se este estiver física ou legalmente incapaz de dar o seu consentimento;
d) Execução de uma missão de interesse público ou no exercício de autoridade pública em que esteja investido o responsável pelo tratamento ou um terceiro a quem os dados sejam comunicados;
e) Prossecução de interesses legítimos do responsável pelo tratamento ou de terceiro a quem os dados sejam comunicados, desde que não devam prevalecer os interesses ou os direitos, liberdades e garantias do titular dos dados.
Artigo 7.º
Tratamento de dados sensíveis
1 – É proibido o tratamento de dados pessoais referentes a convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e origem racial ou étnica, bem como o tratamento de dados relativos à saúde e à vida sexual, incluindo os dados genéticos.
2 – Mediante disposição legal ou autorização da CNPD, pode ser permitido o tratamento dos dados referidos no número anterior quando por motivos de interesse público importante esse tratamento for indispensável ao exercício das atribuições legais ou estatutárias do seu responsável, ou quando o titular dos dados tiver dado o seu consentimento expresso para esse tratamento, em ambos os casos com garantias de não discriminação e com as medidas de segurança previstas no artigo 15.º
3 – O tratamento dos dados referidos no n.º 1 é ainda permitido quando se verificar uma das seguintes condições:
a) Ser necessário para proteger interesses vitais do titular dos dados ou de uma outra pessoa e o titular dos dados estiver física ou legalmente incapaz de dar o seu consentimento;
b) Ser efectuado, com o consentimento do titular, por fundação, associação ou organismo sem fins lucrativos de carácter político, filosófico, religioso ou sindical, no âmbito das suas actividades legítimas, sob condição de o tratamento respeitar apenas aos membros desse organismo ou às pessoas que com ele mantenham contactos periódicos ligados às suas finalidades, e de os dados não serem comunicados a terceiros sem consentimento dos seus titulares;
c) Dizer respeito a dados manifestamente tornados públicos pelo seu titular, desde que se possa legitimamente deduzir das suas declarações o consentimento para o tratamento dos mesmos;
d) Ser necessário à declaração, exercício ou defesa de um direito em processo judicial e for efectuado exclusivamente com essa finalidade.
4 – O tratamento dos dados referentes à saúde e à vida sexual, incluindo os dados genéticos, é permitido quando for necessário para efeitos de medicina preventiva, de diagnóstico médico, de prestação de cuidados ou tratamentos médicos ou de gestão de serviços de saúde, desde que o tratamento desses dados seja efectuado por um profissional de saúde obrigado a sigilo ou por outra pessoa sujeita igualmente a segredo profissional, seja notificado à CNPD, nos termos do artigo 27.º, e sejam garantidas medidas adequadas de segurança da informação.
Artigo 8.º
Suspeitas de actividades ilícitas, infracções penais e contra-ordenações
1 – A criação e a manutenção de registos centrais relativos a pessoas suspeitas de actividades ilícitas, infracções penais, contra-ordenações e decisões que apliquem penas, medidas de segurança, coimas e sanções acessórias só podem ser mantidas por serviços públicos com competência específica prevista na respectiva lei de organização e funcionamento, observando normas procedimentais e de protecção de dados previstas em diploma legal, com prévio parecer da CNPD.
2 – O tratamento de dados pessoais relativos a suspeitas de actividades ilícitas, infracções penais, contra-ordenações e decisões que apliquem penas, medidas de segurança, coimas e sanções acessórias pode ser autorizado pela CNPD, observadas as normas de protecção de dados e de segurança da informação, quando tal tratamento for necessário à execução de finalidades legítimas do seu responsável, desde que não prevaleçam os direitos, liberdades e garantias do titular dos dados.
3 – O tratamento de dados pessoais para fins de investigação policial deve limitar-se ao necessário para a prevenção de um perigo concreto ou repressão de uma infracção determinada, para o exercício de competências previstas no respectivo estatuto orgânico ou noutra disposição legal e ainda nos termos de acordo ou convenção internacional de que Portugal seja parte.
Artigo 9.º
Interconexão de dados pessoais
1 – A interconexão de dados pessoais que não esteja prevista em disposição legal está sujeita a autorização da CNPD solicitada pelo responsável ou em conjunto pelos correspondentes responsáveis dos tratamentos, nos termos previstos no artigo 27.º
2 – A interconexão de dados pessoais deve ser adequada à prossecução das finalidades legais ou estatutárias e de interesses legítimos dos responsáveis dos tratamentos, não implicar discriminação ou diminuição dos direitos, liberdades e garantias dos titulares dos dados, ser rodeada de adequadas medidas de segurança e ter em conta o tipo de dados objecto de interconexão.
SECÇÃO II
Direitos do titular dos dados
Artigo 10.º
Direito de informação
1 – Quando recolher dados pessoais directamente do seu titular, o responsável pelo tratamento ou o seu representante deve prestar-lhe, salvo se já dele forem conhecidas, as seguintes informações:
a) Identidade do responsável pelo tratamento e, se for caso disso, do seu representante;
b) Finalidades do tratamento;
c) Outras informações, tais como:
Os destinatários ou categorias de destinatários dos dados;
O carácter obrigatório ou facultativo da resposta, bem como as possíveis consequências se não responder;
A existência e as condições do direito de acesso e de rectificação, desde que sejam necessárias, tendo em conta as circunstâncias específicas da recolha dos dados, para garantir ao seu titular um tratamento leal dos mesmos.
2 – Os documentos que sirvam de base à recolha de dados pessoais devem conter as informações constantes do número anterior.
3 – Se os dados não forem recolhidos junto do seu titular, e salvo se dele já forem conhecidas, o responsável pelo tratamento, ou o seu representante, deve prestar-lhe as informações previstas no n.º 1 no momento do registo dos dados ou, se estiver prevista a comunicação a terceiros, o mais tardar aquando da primeira comunicação desses dados.
4 – No caso de recolha de dados em redes abertas, o titular dos dados deve ser informado, salvo se disso já tiver conhecimento, de que os seus dados pessoais podem circular na rede sem condições de segurança, correndo o risco de serem vistos e utilizados por terceiros não autorizados.
5 – A obrigação de informação pode ser dispensada, mediante disposição legal ou deliberação da CNPD, por motivos de segurança do Estado e prevenção ou investigação criminal, e, bem assim, quando, nomeadamente no caso do tratamento de dados com finalidades estatísticas, históricas ou de investigação científica, a informação do titular dos dados se revelar impossível ou implicar esforços desproporcionados ou ainda quando a lei determinar expressamente o registo dos dados ou a sua divulgação.
6 – A obrigação de informação, nos termos previstos no presente artigo, não se aplica ao tratamento de dados efectuado para fins exclusivamente jornalísticos ou de expressão artística ou literária.
Artigo 11.º
Direito de acesso
1 – O titular dos dados tem o direito de obter do responsável pelo tratamento, livremente e sem restrições, com periodicidade razoável e sem demoras ou custos excessivos:
a) A confirmação de serem ou não tratados dados que lhe digam respeito, bem como informação sobre as finalidades desse tratamento, as categorias de dados sobre que incide e os destinatários ou categorias de destinatários a quem são comunicados os dados;
b) A comunicação, sob forma inteligível, dos seus dados sujeitos a tratamento e de quaisquer informações disponíveis sobre a origem desses dados;
c) O conhecimento da lógica subjacente ao tratamento automatizado dos dados que lhe digam respeito;
d) A rectificação, o apagamento ou o bloqueio dos dados cujo tratamento não cumpra o disposto na presente lei, nomeadamente devido ao carácter incompleto ou inexacto desses dados;
e) A notificação aos terceiros a quem os dados tenham sido comunicados de qualquer rectificação, apagamento ou bloqueio efectuado nos termos da alínea d), salvo se isso for comprovadamente impossível.
2 – No caso de tratamento de dados pessoais relativos à segurança do Estado e à prevenção ou investigação criminal, o direito de acesso é exercido através da CNPD ou de outra autoridade independente a quem a lei atribua a verificação do cumprimento da legislação de protecção de dados pessoais.
3 – No caso previsto no n.º 6 do artigo anterior, o direito de acesso é exercido através da CNPD com salvaguarda das normas constitucionais aplicáveis, designadamente as que garantem a liberdade de expressão e informação, a liberdade de imprensa e a independência e sigilo profissionais dos jornalistas.
4 – Nos casos previstos nos n.os 2 e 3, se a comunicação dos dados ao seu titular puder prejudicar a segurança do Estado, a prevenção ou a investigação criminal ou ainda a liberdade de expressão e informação ou a liberdade de imprensa, a CNPD limita-se a informar o titular dos dados das diligências efectuadas.
5 – O direito de acesso à informação relativa a dados da saúde, incluindo os dados genéticos, é exercido por intermédio de médico escolhido pelo titular dos dados.
6 – No caso de os dados não serem utilizados para tomar medidas ou decisões em relação a pessoas determinadas, a lei pode restringir o direito de acesso nos casos em que manifestamente não exista qualquer perigo de violação dos direitos, liberdades e garantias do titular dos dados, designadamente do direito à vida privada, e os referidos dados forem exclusivamente utilizados para fins de investigação científica ou conservados sob forma de dados pessoais durante um período que não exceda o necessário à finalidade exclusiva de elaborar estatísticas.
Artigo 12.º
Direito de oposição do titular dos dados
O titular dos dados tem o direito de:
a) Salvo disposição legal em contrário, e pelo menos nos casos referidos nas alíneas d) e e) do artigo 6.º, se opor em qualquer altura, por razões ponderosas e legítimas relacionadas com a sua situação particular, a que os dados que lhe digam respeito sejam objecto de tratamento, devendo, em caso de oposição justificada, o tratamento efectuado pelo responsável deixar de poder incidir sobre esses dados;
b) Se opor, a seu pedido e gratuitamente, ao tratamento dos dados pessoais que lhe digam respeito previsto pelo responsável pelo tratamento para efeitos de marketing directo ou qualquer outra forma de prospecção, ou de ser informado, antes de os dados pessoais serem comunicados pela primeira vez a terceiros para fins de marketing directo ou utilizados por conta de terceiros, e de lhe ser expressamente facultado o direito de se opor, sem despesas, a tais comunicações ou utilizações.
Artigo 13.º
Decisões individuais automatizadas
1 – Qualquer pessoa tem o direito de não ficar sujeita a uma decisão que produza efeitos na sua esfera jurídica ou que a afecte de modo significativo, tomada exclusivamente com base num tratamento automatizado de dados destinado a avaliar determinados aspectos da sua personalidade, designadamente a sua capacidade profissional, o seu crédito, a confiança de que é merecedora ou o seu comportamento.
2 – Sem prejuízo do cumprimento das restantes disposições da presente lei, uma pessoa pode ficar sujeita a uma decisão tomada nos termos do n.º 1, desde que tal ocorra no âmbito da celebração ou da execução de um contrato, e sob condição de o seu pedido de celebração ou execução do contrato ter sido satisfeito, ou de existirem medidas adequadas que garantam a defesa dos seus interesses legítimos, designadamente o seu direito de representação e expressão.
3 – Pode ainda ser permitida a tomada de uma decisão nos termos do n.º 1 quando a CNPD o autorize, definindo medidas de garantia da defesa dos interesses legítimos do titular dos dados.
SECÇÃO III
Segurança e confidencialidade do tratamento
Artigo 14.º
Segurança do tratamento
1 – O responsável pelo tratamento deve pôr em prática as medidas técnicas e organizativas adequadas para proteger os dados pessoais contra a destruição, acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede, e contra qualquer outra forma de tratamento ilícito; estas medidas devem assegurar, atendendo aos conhecimentos técnicos disponíveis e aos custos resultantes da sua aplicação, um nível de segurança adequado em relação aos riscos que o tratamento apresenta e à natureza dos dados a proteger.
2 – O responsável pelo tratamento, em caso de tratamento por sua conta, deverá escolher um subcontratante que ofereça garantias suficientes em relação às medidas de segurança técnica e de organização do tratamento a efectuar, e deverá zelar pelo cumprimento dessas medidas.
3 – A realização de operações de tratamento em subcontratação deve ser regida por um contrato ou acto jurídico que vincule o subcontratante ao responsável pelo tratamento e que estipule, designadamente, que o subcontratante apenas actua mediante instruções do responsável pelo tratamento e que lhe incumbe igualmente o cumprimento das obrigações referidas no n.º 1.
4 – Os elementos de prova da declaração negocial, do contrato ou do acto jurídico relativos à protecção dos dados, bem como as exigências relativas às medidas referidas no n.º 1, são consignados por escrito em documento em suporte com valor probatório legalmente reconhecido.
Artigo 15.º
Medidas especiais de segurança
1 – Os responsáveis pelo tratamento dos dados referidos no n.º 2 do artigo 7.º e no n.º 1 do artigo 8.º devem tomar as medidas adequadas para:
a) Impedir o acesso de pessoa não autorizada às instalações utilizadas para o tratamento desses dados (controlo da entrada nas instalações);
b) Impedir que suportes de dados possam ser lidos, copiados, alterados ou retirados por pessoa não autorizada (controlo dos suportes de dados);
c) Impedir a introdução não autorizada, bem como a tomada de conhecimento, a alteração ou a eliminação não autorizadas de dados pessoais inseridos (controlo da inserção);
d) Impedir que sistemas de tratamento automatizados de dados possam ser utilizados por pessoas não autorizadas através de instalações de transmissão de dados (controlo da utilização);
e) Garantir que as pessoas autorizadas só possam ter acesso aos dados abrangidos pela autorização (controlo de acesso);
f) Garantir a verificação das entidades a quem possam ser transmitidos os dados pessoais através das instalações de transmissão de dados (controlo da transmissão);
g) Garantir que possa verificar-se a posteriori, em prazo adequado à natureza do tratamento, a fixar na regulamentação aplicável a cada sector, quais os dados pessoais introduzidos quando e por quem (controlo da introdução);
h) Impedir que, na transmissão de dados pessoais, bem como no transporte do seu suporte, os dados possam ser lidos, copiados, alterados ou eliminados de forma não autorizada (controlo do transporte).
2 – Tendo em conta a natureza das entidades responsáveis pelo tratamento e o tipo das instalações em que é efectuado, a CNPD pode dispensar a existência de certas medidas de segurança, garantido que se mostre o respeito pelos direitos, liberdades e garantias dos titulares dos dados.
3 – Os sistemas devem garantir a separação lógica entre os dados referentes à saúde e à vida sexual, incluindo os genéticos, dos restantes dados pessoais.
4 – A CNPD pode determinar que, nos casos em que a circulação em rede de dados pessoais referidos nos artigos 7.º e 8.º possa pôr em risco direitos, liberdades e garantias dos respectivos titulares, a transmissão seja cifrada.
Artigo 16.º
Tratamento por subcontratante
Qualquer pessoa que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, bem como o próprio subcontratante, tenha acesso a dados pessoais não pode proceder ao seu tratamento sem instruções do responsável pelo tratamento, salvo por força de obrigações legais.
Artigo 17.º
Sigilo profissional
1 – Os responsáveis do tratamento de dados pessoais, bem como as pessoas que, no exercício das suas funções, tenham conhecimento dos dados pessoais tratados, ficam obrigados a sigilo profissional, mesmo após o termo das suas funções.
2 – Igual obrigação recai sobre os membros da CNPD, mesmo após o termo do mandato.
3 – O disposto nos números anteriores não exclui o dever do fornecimento das informações obrigatórias, nos termos legais, excepto quando constem de ficheiros organizados para fins estatísticos.
4 – Os funcionários, agentes ou técnicos que exerçam funções de assessoria à CNPD ou aos seus vogais estão sujeitos à mesma obrigação de sigilo profissional.
CAPÍTULO III
Transferência de dados pessoais
SECÇÃO I
Transferência de dados pessoais na União Europeia
Artigo 18.º
Princípio
É livre a circulação de dados pessoais entre Estados membros da União Europeia, sem prejuízo do disposto nos actos comunitários de natureza fiscal e aduaneira.
SECÇÃO II
Transferência de dados pessoais para fora da União Europeia
Artigo 19.º
Princípios
1 – Sem prejuízo do disposto no artigo seguinte, a transferência, para um Estado que não pertença à União Europeia, de dados pessoais que sejam objecto de tratamento ou que se destinem a sê-lo só pode realizar-se com o respeito das disposições da presente lei e se o Estado para onde são transferidos assegurar um nível de protecção adequado.
2 – A adequação do nível de protecção num Estado que não pertença à União Europeia é apreciada em função de todas as circunstâncias que rodeiem a transferência ou o conjunto de transferências de dados; em especial, devem ser tidas em consideração a natureza dos dados, a finalidade e a duração do tratamento ou tratamentos projectados, os países de origem e de destino final, as regras de direito, gerais ou sectoriais, em vigor no Estado em causa, bem como as regras profissionais e as medidas de segurança que são respeitadas nesse Estado.
3 – Cabe à CNPD decidir se um Estado que não pertença à União Europeia assegura um nível de protecção adequado.
4 – A CNPD comunica, através do Ministério dos Negócios Estrangeiros, à Comissão Europeia os casos em que tenha considerado que um Estado não assegura um nível de protecção adequado.
5 – Não é permitida a transferência de dados pessoais de natureza idêntica aos que a Comissão Europeia tiver considerado que não gozam de protecção adequada no Estado a que se destinam.
Artigo 20.º
Derrogações
1 – A transferência de dados pessoais para um Estado que não assegure um nível de protecção adequado na acepção do n.º 2 do artigo 19.º pode ser permitida pela CNPD se o titular dos dados tiver dado de forma inequívoca o seu consentimento à transferência ou se essa transferência:
a) For necessária para a execução de um contrato entre o titular dos dados e o responsável pelo tratamento ou de diligências prévias à formação do contrato decididas a pedido do titular dos dados;
b) For necessária para a execução ou celebração de um contrato celebrado ou a celebrar, no interesse do titular dos dados, entre o responsável pelo tratamento e um terceiro; ou
c) For necessária ou legalmente exigida para a protecção de um interesse público importante, ou para a declaração, o exercício ou a defesa de um direito num processo judicial; ou
d) For necessária para proteger os interesses vitais do titular dos dados; ou
e) For realizada a partir de um registo público que, nos termos de disposições legislativas ou regulamentares, se destine à informação do público e se encontre aberto à consulta do público em geral ou de qualquer pessoa que possa provar um interesse legítimo, desde que as condições estabelecidas na lei para a consulta sejam cumpridas no caso concreto.
2 – Sem prejuízo do disposto no n.º 1, a CNPD pode autorizar uma transferência ou um conjunto de transferências de dados pessoais para um Estado que não assegure um nível de protecção adequado na acepção do n.º 2 do artigo 19.º desde que o responsável pelo tratamento assegure mecanismos suficientes de garantia de protecção da vida privada e dos direitos e liberdades fundamentais das pessoas, bem como do seu exercício, designadamente, mediante cláusulas contratuais adequadas.
3 – A CNPD informa a Comissão Europeia, através do Ministério dos Negócios Estrangeiros, bem como as autoridades competentes dos restantes Estados da União Europeia, das autorizações que conceder nos termos do n.º 2.
4 – A concessão ou derrogação das autorizações previstas no n.º 2 efectua-se pela CNPD nos termos de processo próprio e de acordo com as decisões da Comissão Europeia.
5 – Sempre que existam cláusulas contratuais tipo aprovadas pela Comissão Europeia, segundo procedimento próprio, por oferecerem as garantias suficientes referidas no n.º 2, a CNPD autoriza a transferência de dados pessoais que se efectue ao abrigo de tais cláusulas.
6 – A transferência de dados pessoais que constitua medida necessária à protecção da segurança do Estado, da defesa, da segurança pública e da prevenção, investigação e repressão das infracções penais é regida por disposições legais específicas ou pelas convenções e acordos internacionais em que Portugal é parte.
CAPÍTULO IV
Comissão Nacional de Protecção de Dados
SECÇÃO I
Natureza, atribuições e competências
Artigo 21.º
Natureza
1 – A CNPD é uma entidade administrativa independente, com poderes de autoridade, que funciona junto da Assembleia da República.
2 – A CNPD, independentemente do direito nacional aplicável a cada tratamento de dados em concreto, exerce as suas competências em todo o território nacional.
3 – A CNPD pode ser solicitada a exercer os seus poderes por uma autoridade de controlo de protecção de dados de outro Estado membro da União Europeia ou do Conselho da Europa.
4 – A CNPD coopera com as autoridades de controlo de protecção de dados de outros Estados na difusão do direito e das regulamentações nacionais em matéria de protecção de dados pessoais, bem como na defesa e no exercício dos direitos de pessoas residentes no estrangeiro.
Artigo 22.º
Atribuições
1 – A CNPD é a autoridade nacional que tem como atribuição controlar e fiscalizar o cumprimento das disposições legais e regulamentares em matéria de protecção de dados pessoais, em rigoroso respeito pelos direitos do homem e pelas liberdades e garantias consagradas na Constituição e na lei.
2 – A CNPD deve ser consultada sobre quaisquer disposições legais, bem como sobre instrumentos jurídicos em preparação em instituições comunitárias ou internacionais, relativos ao tratamento de dados pessoais.
3 – A CNPD dispõe:
a) De poderes de investigação e de inquérito, podendo aceder aos dados objecto de tratamento e recolher todas as informações necessárias ao desempenho das suas funções de controlo;
b) De poderes de autoridade, designadamente o de ordenar o bloqueio, apagamento ou destruição dos dados, bem como o de proibir, temporária ou definitivamente, o tratamento de dados pessoais, ainda que incluídos em redes abertas de transmissão de dados a partir de servidores situados em território português;
c) Do poder de emitir pareceres prévios ao tratamento de dados pessoais, assegurando a sua publicitação.
4 – Em caso de reiterado não cumprimento das disposições legais em matéria de dados pessoais, a CNPD pode advertir ou censurar publicamente o responsável pelo tratamento, bem como suscitar a questão, de acordo com as respectivas competências, à Assembleia da República, ao Governo ou a outros órgãos ou autoridades.
5 – A CNPD tem legitimidade para intervir em processos judiciais no caso de violação das disposições da presente lei e deve denunciar ao Ministério Público as infracções penais de que tiver conhecimento, no exercício das suas funções e por causa delas, bem como praticar os actos cautelares necessários e urgentes para assegurar os meios de prova.
6 – A CNPD é representada em juízo pelo Ministério Público e está isenta de custas nos processos em que intervenha.
Artigo 23.º
Competências
1 – Compete em especial à CNPD:
a) Emitir parecer sobre disposições legais, bem como sobre instrumentos jurídicos em preparação em instituições comunitárias e internacionais, relativos ao tratamento de dados pessoais;
b) Autorizar ou registar, consoante os casos, os tratamentos de dados pessoais;
c) Autorizar excepcionalmente a utilização de dados pessoais para finalidades não determinantes da recolha, com respeito pelos princípios definidos no artigo 5.º;
d) Autorizar, nos casos previstos no artigo 9.º, a interconexão de tratamentos automatizados de dados pessoais;
e) Autorizar a transferência de dados pessoais nos casos previstos no artigo 20.º;
f) Fixar o tempo da conservação dos dados pessoais em função da finalidade, podendo emitir directivas para determinados sectores de actividade;
g) Fazer assegurar o direito de acesso à informação, bem como do exercício do direito de rectificação e actualização;
h) Autorizar a fixação de custos ou de periodicidade para o exercício do direito de acesso, bem como fixar os prazos máximos de cumprimento, em cada sector de actividade, das obrigações que, por força dos artigos 11.º a 13.º, incumbem aos responsáveis pelo tratamento de dados pessoais;
i) Dar seguimento ao pedido efectuado por qualquer pessoa, ou por associação que a represente, para protecção dos seus direitos e liberdades no que diz respeito ao tratamento de dados pessoais e informá-la do resultado;
j) Efectuar, a pedido de qualquer pessoa, a verificação de licitude de um tratamento de dados, sempre que esse tratamento esteja sujeito a restrições de acesso ou de informação, e informá-la da realização da verificação;
k) Apreciar as reclamações, queixas ou petições dos particulares;
l) Dispensar a execução de medidas de segurança, nos termos previstos no n.º 2 do artigo 15.º, podendo emitir directivas para determinados sectores de actividade;
m) Assegurar a representação junto de instâncias comuns de controlo e em reuniões comunitárias e internacionais de entidades independentes de controlo da protecção de dados pessoais, bem como participar em reuniões internacionais no âmbito das suas competências, designadamente exercer funções de representação e fiscalização no âmbito dos sistemas Schengen e Europol, nos termos das disposições aplicáveis;
n) Deliberar sobre a aplicação de coimas;
o) Promover e apreciar códigos de conduta;
p) Promover a divulgação e esclarecimento dos direitos relativos à protecção de dados e dar publicidade periódica à sua actividade, nomeadamente através da publicação de um relatório anual;
q) Exercer outras competências legalmente previstas.
2 – No exercício das suas competências de emissão de directivas ou de apreciação de códigos de conduta, a CNPD deve promover a audição das associações de defesa dos interesses em causa.
3 – No exercício das suas funções, a CNPD profere decisões com força obrigatória, passíveis de reclamação e de recurso para o Tribunal Central Administrativo.
4 – A CNPD pode sugerir à Assembleia da República as providências que entender úteis à prossecução das suas atribuições e ao exercício das suas competências.
Artigo 24.º
Dever de colaboração
1 – As entidades públicas e privadas devem prestar a sua colaboração à CNPD, facultando-lhe todas as informações que por esta, no exercício das suas competências, lhes forem solicitadas.
2 – O dever de colaboração é assegurado, designadamente, quando a CNPD tiver necessidade, para o cabal exercício das suas funções, de examinar o sistema informático e os ficheiros de dados pessoais, bem como toda a documentação relativa ao tratamento e transmissão de dados pessoais.
3 – A CNPD ou os seus vogais, bem como os técnicos por ela mandatados, têm direito de acesso aos sistemas informáticos que sirvam de suporte ao tratamento dos dados, bem como à documentação referida no número anterior, no âmbito das suas atribuições e competências.
SECÇÃO II
Composição e funcionamento
Artigo 25.º
Composição e mandato
1 – A CNPD é composta por sete membros de integridade e mérito reconhecidos, dos quais o presidente e dois dos vogais são eleitos pela Assembleia da República segundo o método da média mais alta de Hondt.
2 – Os restantes vogais são:
a) Dois magistrados com mais de 10 anos de carreira, sendo um magistrado judicial, designado pelo Conselho Superior da Magistratura, e um magistrado do Ministério Público, designado pelo Conselho Superior do Ministério Público;
b) Duas personalidades de reconhecida competência designadas pelo Governo.
3 – O mandato dos membros da CNPD é de cinco anos e cessa com a posse dos novos membros.
4 – Os membros da CNPD constam de lista publicada na 1.ª série do Diário da República.
5 – Os membros da CNPD tomam posse perante o Presidente da Assembleia da República nos 10 dias seguintes à publicação da lista referida no número anterior.
Artigo 26.º
Funcionamento
1 – São aprovados por lei da Assembleia da República:
a) A lei orgânica e o quadro de pessoal da CNPD;
b) O regime de incompatibilidades, de impedimentos, de suspeições e de perda de mandato, bem como o estatuto remuneratório dos membros da CNPD.
2 – O estatuto dos membros da CNPD garante a independência do exercício das suas funções.
3 – A Comissão dispõe de quadro próprio para apoio técnico e administrativo, beneficiando os seus funcionários e agentes do estatuto e regalias do pessoal da Assembleia da República.
SECÇÃO III
Notificação
Artigo 27.º
Obrigação de notificação à CNPD
1 – O responsável pelo tratamento ou, se for caso disso, o seu representante deve notificar a CNPD antes da realização de um tratamento ou conjunto de tratamentos, total ou parcialmente autorizados, destinados à prossecução de uma ou mais finalidades interligadas.
2 – A CNPD pode autorizar a simplificação ou a isenção da notificação para determinadas categorias de tratamentos que, tendendo aos dados a tratar, não sejam susceptíveis de pôr em causa os direitos e liberdades dos titulares dos dados e tenham em conta critérios de celeridade, economia e eficiência.
3 – A autorização, que está sujeita a publicação no Diário da República, deve especificar as finalidades do tratamento, os dados ou categorias de dados a tratar, a categoria ou categorias de titulares dos dados, os destinatários ou categorias de destinatários a quem podem ser comunicados os dados e o período de conservação dos dados.
4 – Estão isentos de notificação os tratamentos cuja única finalidade seja a manutenção de registos que, nos termos de disposições legislativas ou regulamentares, se destinem a informação do público e possam ser consultados pelo público em geral ou por qualquer pessoa que provar um interesse legítimo.
5 – Os tratamentos não automatizados dos dados pessoais previstos no n.º 1 do artigo 7.º estão sujeitos a notificação quando tratados ao abrigo da alínea a) do n.º 3 do mesmo artigo.
Artigo 28.º
Controlo prévio
1 – Carecem de autorização da CNPD:
a) O tratamento dos dados pessoais a que se referem o n.º 2 do artigo 7.º e o n.º 2 do artigo 8.º;
b) O tratamento dos dados pessoais relativos ao crédito e à solvabilidade dos seus titulares;
c) A interconexão de dados pessoais prevista no artigo 9.º;
d) A utilização de dados pessoais para fins não determinantes da recolha.
2 – Os tratamentos a que se refere o número anterior podem ser autorizados por diploma legal, não carecendo neste caso de autorização da CNPD.
Artigo 29.º
Conteúdo dos pedidos de parecer ou de autorização e da notificação
Os pedidos de parecer ou de autorização, bem como as notificações, remetidos à CNPD devem conter as seguintes informações:
a) Nome e endereço do responsável pelo tratamento e, se for o caso, do seu representante;
b) As finalidades do tratamento;
c) Descrição da ou das categorias de titulares dos dados e dos dados ou categorias de dados pessoais que lhes respeitem;
d) Destinatários ou categorias de destinatários a quem os dados podem ser comunicados e em que condições;
e) Entidade encarregada do processamento da informação, se não for o próprio responsável do tratamento;
f) Eventuais interconexões de tratamentos de dados pessoais;
g) Tempo de conservação dos dados pessoais;
h) Forma e condições como os titulares dos dados podem ter conhecimento ou fazer corrigir os dados pessoais que lhes respeitem;
i) Transferências de dados previstas para países terceiros;
j) Descrição geral que permita avaliar de forma preliminar a adequação das medidas tomadas para garantir a segurança do tratamento em aplicação dos artigos 14.º e 15.º
Artigo 30.º
Indicações obrigatórias
1 – Os diplomas legais referidos no n.º 2 do artigo 7.º e no n.º 1 do artigo 8.º, bem como as autorizações da CNPD e os registos de tratamentos de dados pessoais, devem, pelo menos, indicar:
a) O responsável do ficheiro e, se for caso disso, o seu representante;
b) As categorias de dados pessoais tratados;
c) As finalidades a que se destinam os dados e as categorias de entidades a quem podem ser transmitidos;
d) A forma de exercício do direito de acesso e de rectificação;
e) Eventuais interconexões de tratamentos de dados pessoais;
f) Transferências de dados previstas para países terceiros.
2 – Qualquer alteração das indicações constantes do n.º 1 está sujeita aos procedimentos previstos nos artigos 27.º e 28.º
Artigo 31.º
Publicidade dos tratamentos
1 – O tratamento dos dados pessoais, quando não for objecto de diploma legal e dever ser autorizado ou notificado, consta de registo na CNPD, aberto à consulta por qualquer pessoa.
2 – O registo contém as informações enumeradas nas alíneas a) a d) e i) do artigo 29.º
3 – O responsável por tratamento de dados não sujeito a notificação está obrigado a prestar, de forma adequada, a qualquer pessoa que lho solicite, pelo menos as informações referidas no n.º 1 do artigo 30.º
4 – O disposto no presente artigo não se aplica a tratamentos cuja única finalidade seja a manutenção de registos que, nos termos de disposições legislativas ou regulamentares, se destinem à informação do público e se encontrem abertos à consulta do público em geral ou de qualquer pessoa que possa provar um interesse legítimo.
5 – A CNPD deve publicar no seu relatório anual todos os pareceres e autorizações elaborados ou concedidas ao abrigo da presente lei, designadamente as autorizações previstas no n.º 2 do artigo 7.º e no n.º 2 do artigo 9.º
CAPÍTULO V
Códigos de conduta
Artigo 32.º
Códigos de conduta
1 – A CNPD apoia a elaboração de códigos de conduta destinados a contribuir, em função das características dos diferentes sectores, para a boa execução das disposições da presente lei.
2 – As associações profissionais e outras organizações representativas de categorias de responsáveis pelo tratamento de dados que tenham elaborado projectos de códigos de conduta podem submetê-los à apreciação da CNPD.
3 – A CNPD pode declarar a conformidade dos projectos com as disposições legais e regulamentares vigentes em matéria de protecção de dados pessoais.
CAPÍTULO VI
Tutela administrativa e jurisdicional
SECÇÃO I
Tutela administrativa e jurisdicional
Artigo 33.º
Tutela administrativa e jurisdicional
Sem prejuízo do direito de apresentação de queixa à CNPD, qualquer pessoa pode, nos termos da lei, recorrer a meios administrativos ou jurisdicionais para garantir o cumprimento das disposições legais em matéria de protecção de dados pessoais.
Artigo 34.º
Responsabilidade civil
1 – Qualquer pessoa que tiver sofrido um prejuízo devido ao tratamento ilícito de dados ou a qualquer outro acto que viole disposições legais em matéria de protecção de dados pessoais tem o direito de obter do responsável a reparação pelo prejuízo sofrido.
2 – O responsável pelo tratamento pode ser parcial ou totalmente exonerado desta responsabilidade se provar que o facto que causou o dano lhe não é imputável.
SECÇÃO II
Contra-ordenações
Artigo 35.º
Legislação subsidiária
Às infracções previstas na presente secção é subsidiariamente aplicável o regime geral das contra-ordenações, com as adaptações constantes dos artigos seguintes.
Artigo 36.º
Cumprimento do dever omitido
Sempre que a contra-ordenação resulte de omissão de um dever, a aplicação da sanção e o pagamento da coima não dispensam o infractor do seu cumprimento, se este ainda for possível.
Artigo 37.º
Omissão ou defeituoso cumprimento de obrigações
1 – As entidades que, por negligência, não cumpram a obrigação de notificação à CNPD do tratamento de dados pessoais a que se referem os n.os 1 e 5 do artigo 27.º, prestem falsas informações ou cumpram a obrigação de notificação com inobservância dos termos previstos no artigo 29.º, ou ainda quando, depois de notificadas pela CNPD, mantiverem o acesso às redes abertas de transmissão de dados a responsáveis por tratamento de dados pessoais que não cumpram as disposições da presente lei, praticam contra-ordenação punível com as seguintes coimas:
a) Tratando-se de pessoa singular, no mínimo de 50000$00 e no máximo de 500000$00;
b) Tratando-se de pessoa colectiva ou de entidade sem personalidade jurídica, no mínimo de 300000$00 e no máximo de 3000000$00.
2 – A coima é agravada para o dobro dos seus limites quando se trate de dados sujeitos a controlo prévio, nos termos do artigo 28.º
Artigo 38.º
Contra-ordenações
1 – Praticam contra-ordenação punível com a coima mínima de 100000$00 e máxima de 1000000$00, as entidades que não cumprirem alguma das seguintes disposições da presente lei:
a) Designar representante nos termos previstos no n.º 5 do artigo 4.º;
b) Observar as obrigações estabelecidas nos artigos 5.º, 10.º, 11.º, 12.º, 13.º, 15.º, 16.º e 31.º, n.º 3.
2 – A pena é agravada para o dobro dos seus limites quando não forem cumpridas as obrigações constantes dos artigos 6.º, 7.º, 8.º, 9.º, 19.º e 20.º
Artigo 39.º
Concurso de infracções
1 – Se o mesmo facto constituir, simultaneamente, crime e contra-ordenação, o agente é punido sempre a título de crime.
2 – As sanções aplicadas às contra-ordenações em concurso são sempre cumuladas materialmente.
Artigo 40.º
Punição de negligência e da tentativa
1 – A negligência é sempre punida nas contra-ordenações previstas no artigo 38.º
2 – A tentativa é sempre punível nas contra-ordenações previstas nos artigos 37.º e 38.º
Artigo 41.º
Aplicação das coimas
1 – A aplicação das coimas previstas na presente lei compete ao presidente da CNPD, sob prévia deliberação da Comissão.
2 – A deliberação da CNPD, depois de homologada pelo presidente, constitui título executivo, no caso de não ser impugnada no prazo legal.
Artigo 42.º
Destino das receitas cobradas
O montante das importâncias cobradas, em resultado da aplicação das coimas, reverte, em partes iguais, para o Estado e para a CNPD.
SECÇÃO III
Crimes
Artigo 43.º
Não cumprimento de obrigações relativas a protecção de dados
1 – É punido com prisão até um ano ou multa até 120 dias quem intencionalmente:
a) Omitir a notificação ou o pedido de autorização a que se referem os artigos 27.º e 28.º;
b) Fornecer falsas informações na notificação ou nos pedidos de autorização para o tratamento de dados pessoais ou neste proceder a modificações não consentidas pelo instrumento de legalização;
c) Desviar ou utilizar dados pessoais, de forma incompatível com a finalidade determinante da recolha ou com o instrumento de legalização;
d) Promover ou efectuar uma interconexão ilegal de dados pessoais;
e) Depois de ultrapassado o prazo que lhes tiver sido fixado pela CNPD para cumprimento das obrigações previstas na presente lei ou em outra legislação de protecção de dados, as não cumprir;
f) Depois de notificado pela CNPD para o não fazer, mantiver o acesso a redes abertas de transmissão de dados a responsáveis pelo tratamento de dados pessoais que não cumpram as disposições da presente lei.
2 – A pena é agravada para o dobro dos seus limites quando se tratar de dados pessoais a que se referem os artigos 7.º e 8.º
Artigo 44.º
Acesso indevido
1 – Quem, sem a devida autorização, por qualquer modo, aceder a dados pessoais cujo acesso lhe está vedado é punido com prisão até um ano ou multa até 120 dias.
2 – A pena é agravada para o dobro dos seus limites quando o acesso:
a) For conseguido através de violação de regras técnicas de segurança;
b) Tiver possibilitado ao agente ou a terceiros o conhecimento de dados pessoais;
c) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial.
3 – No caso do n.º 1 o procedimento criminal depende de queixa.
Artigo 45.º
Viciação ou destruição de dados pessoais
1 – Quem, sem a devida autorização, apagar, destruir, danificar, suprimir ou modificar dados pessoais, tornando-os inutilizáveis ou afectando a sua capacidade de uso, é punido com prisão até dois anos ou multa até 240 dias.
2 – A pena é agravada para o dobro nos seus limites se o dano produzido for particularmente grave.
3 – Se o agente actuar com negligência, a pena é, em ambos os casos, de prisão até um ano ou multa até 120 dias.
Artigo 46.º
Desobediência qualificada
1 – Quem, depois de notificado para o efeito, não interromper, cessar ou bloquear o tratamento de dados pessoais é punido com a pena correspondente ao crime de desobediência qualificada.
2 – Na mesma pena incorre quem, depois de notificado:
a) Recusar, sem justa causa, a colaboração que concretamente lhe for exigida nos termos do artigo 24.º;
b) Não proceder ao apagamento, destruição total ou parcial de dados pessoais;
c) Não proceder à destruição de dados pessoais, findo o prazo de conservação previsto no artigo 5.º
Artigo 47.º
Violação do dever de sigilo
1 – Quem, obrigado a sigilo profissional, nos termos da lei, sem justa causa e sem o devido consentimento, revelar ou divulgar no todo ou em parte dados pessoais é punido com prisão até dois anos ou multa até 240 dias.
2 – A pena é agravada de metade dos seus limites se o agente:
a) For funcionário público ou equiparado, nos termos da lei penal;
b) For determinado pela intenção de obter qualquer vantagem patrimonial ou outro benefício ilegítimo;
c) Puser em perigo a reputação, a honra e consideração ou a intimidade da vida privada de outrem.
3 – A negligência é punível com prisão até seis meses ou multa até 120 dias.
4 – Fora dos casos previstos no n.º 2, o procedimento criminal depende de queixa.
Artigo 48.º
Punição da tentativa
Nos crimes previstos nas disposições anteriores, a tentativa é sempre punível.
Artigo 49.º
Pena acessória
1 – Conjuntamente com as coimas e penas aplicadas pode, acessoriamente, ser ordenada:
a) A proibição temporária ou definitiva do tratamento, o bloqueio, o apagamento ou a destruição total ou parcial dos dados;
b) A publicidade da sentença condenatória;
c) A advertência ou censura públicas do responsável pelo tratamento, nos termos do n.º 4 do artigo 22.º
2 – A publicidade da decisão condenatória faz-se a expensas do condenado, na publicação periódica de maior expansão editada na área da comarca da prática da infracção ou, na sua falta, em publicação periódica da comarca mais próxima, bem como através da afixação de edital em suporte adequado, por período não inferior a 30 dias.
3 – A publicação é feita por extracto de que constem os elementos da infracção e as sanções aplicadas, bem como a identificação do agente.
CAPÍTULO VII
Disposições finais
Artigo 50.º
Disposição transitória
1 – Os tratamentos de dados existentes em ficheiros manuais à data da entrada em vigor da presente lei devem cumprir o disposto nos artigos 7.º, 8.º, 10.º e 11.º no prazo de cinco anos.
2 – Em qualquer caso, o titular dos dados pode obter, a seu pedido e, nomeadamente, aquando do exercício do direito de acesso, a rectificação, o apagamento ou o bloqueio dos dados incompletos, inexactos ou conservados de modo incompatível com os fins legítimos prosseguidos pelo responsável pelo tratamento.
3 – A CNPD pode autorizar que os dados existentes em ficheiros manuais e conservados unicamente com finalidades de investigação histórica não tenham que cumprir os artigos 7.º, 8.º e 9.º, desde que não sejam em nenhum caso reutilizados para finalidade diferente.
Artigo 51.º
Disposição revogatória
São revogadas as Leis n.os 10/91, de 29 de Abril, e 28/94, de 29 de Agosto.
Artigo 52.º
Entrada em vigor
A presente lei entra em vigor no dia seguinte ao da sua publicação.
Aprovada em 24 de Setembro de 1998.
O Presidente da Assembleia da República, António de Almeida Santos.
Promulgada em 7 de Outubro de 1998.
Publique-se.
O Presidente da República, JORGE SAMPAIO.
Referendada em 14 de Outubro de 1998.
O Primeiro-Ministro, António Manuel de Oliveira Guterres.