Lei n.º 59/2019
| ELI | https://data.dre.pt/eli/lei/59/2019/08/08/p/dre |
| Data de publicação | 08 Agosto 2019 |
| Seção | Serie I |
| Órgão | Assembleia da República |
Lei n.º 59/2019
de 8 de agosto
Sumário: Aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, transpondo a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.
Aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, transpondo a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016
A Assembleia da República decreta, nos termos da alínea c) do artigo 161.º da Constituição, o seguinte:
CAPÍTULO I
Disposições gerais
Artigo 1.º
Objeto
A presente lei estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública, transpondo para a ordem jurídica interna a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.
Artigo 2.º
Âmbito de aplicação
1 - A presente lei é aplicável ao tratamento de dados pessoais para os efeitos previstos no artigo anterior, nos termos da lei processual penal e demais legislação aplicável.
2 - A presente lei aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento de dados pessoais contidos num ficheiro ou a ele destinados por meios não automatizados.
3 - A presente lei não se aplica ao tratamento de dados pessoais relacionados com a segurança nacional.
4 - O intercâmbio de dados pessoais entre autoridades competentes na União Europeia, quando legalmente exigido, não é limitado nem proibido por razões relacionadas com a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais.
Artigo 3.º
Definições
1 - Para os efeitos do disposto na presente lei, entende-se por:
a) «Estado-Membro», Estado-Membro da União Europeia;
b) «País terceiro», Estado que não integra a União Europeia;
c) «Dados pessoais», informações relativas a uma pessoa singular identificada ou identificável («titular dos dados»);
d) «Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, por difusão ou por qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;
e) «Limitação do tratamento», a inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro;
f) «Definição de perfis», qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, a sua saúde, as suas preferências pessoais, os seus interesses, a sua fiabilidade, o seu comportamento, a sua localização ou as suas deslocações;
g) «Pseudonimização», o tratamento de dados pessoais para que deixem de poder ser atribuídos a um titular de dados específico sem recurso a informações suplementares, desde que estas sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável;
h) «Ficheiro», um conjunto estruturado de dados pessoais acessíveis segundo critérios específicos, centralizado, descentralizado ou repartido de modo funcional ou geográfico;
i) «Autoridade competente», uma autoridade pública responsável pela prevenção, investigação, deteção ou repressão de infrações penais ou de execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública, ou qualquer outro organismo ou entidade que exerça, nos termos da lei, a autoridade pública e os poderes públicos para os referidos efeitos;
j) «Responsável pelo tratamento», a entidade competente que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento dos dados pessoais, ou, no caso em que estes são determinados por lei, a autoridade nela indicada;
k) «Subcontratante», a pessoa singular ou coletiva, a autoridade pública, o serviço ou outro organismo que trata dados pessoais por conta do responsável pelo tratamento;
l) «Destinatário», a pessoa singular ou coletiva, a autoridade pública, o serviço ou outro organismo que recebe comunicações de dados pessoais, independentemente de ser ou não um terceiro, com exceção das autoridades públicas que recebem dados pessoais no âmbito de inquéritos específicos nos termos da lei, as quais, não sendo destinatários, observam as regras de proteção de dados pessoais, em função das finalidades do tratamento;
m) «Violação de dados pessoais», uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação não autorizada de dados pessoais transmitidos, conservados ou tratados de outro modo, ou o acesso não autorizado a esses dados;
n) «Dados genéticos», dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular, que forneçam informações únicas sobre a sua fisiologia ou sobre a sua saúde que resultem, designadamente, da análise de uma amostra biológica da pessoa singular em causa;
o) «Dados biométricos», dados pessoais resultantes de um tratamento técnico específico, relativos às características físicas, fisiológicas ou comportamentais de uma pessoa singular, que permitam ou confirmem a sua identificação única, tais como imagens faciais ou dados dactiloscópicos;
p) «Dados relativos à saúde», dados pessoais relativos à saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde;
q) «Autoridade de controlo», a Comissão Nacional de Proteção de Dados (CNPD), nos termos do disposto no artigo 43.º;
r) «Organização internacional», uma organização internacional e os organismos de direito internacional público por ela tutelados, ou outro organismo criado por um acordo celebrado entre dois ou mais países ou com base num acordo dessa natureza.
2 - Para os efeitos do disposto na alínea c) do número anterior, considera-se identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador como o nome, o número de identificação, dados de localização, identificadores em linha ou um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa.
3 - Para os efeitos do disposto na alínea i) do n.º 1, são autoridades competentes as forças e os serviços de segurança, os órgãos de polícia criminal, as autoridades judiciárias e os serviços prisionais e de reinserção social, no âmbito das suas atribuições de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, nos termos previstos nos respetivos estatutos e nas leis de segurança interna, de organização da investigação criminal e do processo penal.
CAPÍTULO II
Princípios relativos ao tratamento de dados pessoais
Artigo 4.º
Princípios gerais de proteção de dados
1 - O tratamento de dados pessoais deve processar-se no estrito respeito pelos direitos, liberdades e garantias das pessoas singulares, em especial pelo direito à proteção dos dados pessoais.
2 - Os dados pessoais são:
a) Objeto de um tratamento lícito e leal;
b) Recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser tratados de forma incompatível com essas finalidades;
c) Adequados, pertinentes e limitados ao mínimo necessário à prossecução das finalidades para as quais são tratados;
d) Exatos e atualizados sempre que necessário, devendo ser tomadas todas as medidas razoáveis para que os dados inexatos sejam apagados ou retificados sem demora;
e) Conservados de forma a permitir a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados;
f) Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidentais, recorrendo a medidas técnicas ou organizativas adequadas.
3 - O responsável pelo tratamento deve adotar as medidas que lhe permitam comprovar que o tratamento de dados pessoais é realizado em conformidade com os princípios enunciados no número anterior.
Artigo 5.º
Licitude do tratamento
1 - O tratamento de dados pessoais só é lícito se estiver previsto na lei e na medida em que for necessário para o exercício de uma atribuição da autoridade competente para os efeitos previstos no artigo 1.º, sem prejuízo do disposto no n.º 3.
2 - A lei indica, pelo menos, os objetivos do tratamento, os dados pessoais a tratar e as finalidades do tratamento.
3 - Caso não esteja autorizado por lei, o tratamento dos dados pessoais apenas pode ser realizado se for necessário para a proteção dos interesses vitais do titular dos dados ou de outra pessoa singular.
Artigo 6.º
Tratamento de categorias especiais de dados pessoais
1 - O tratamento dos dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas ou a filiação sindical, bem como dos dados genéticos, dos dados biométricos destinados a identificar uma pessoa singular de forma inequívoca, dos dados relativos à saúde ou dos dados relativos à vida sexual ou à orientação sexual, só pode ser efetuado se for estritamente necessário, se estiver sujeito a garantias adequadas de...
Para continuar a ler
PEÇA SUA AVALIAÇÃO