Lei n.º 73/2009

Diário da República n.º 155/2009, Série I de 2009-08-12

Consolidado

Lei n.º 73/2009 - Diário da República n.º 155/2009, Série I de 2009-08-12

Estabelece as condições e os procedimentos a aplicar para assegurar a interoperabilidade entre sistemas de informação dos órgãos de polícia criminal

Lei n.º 73/2009
de 12 de Agosto
Estabelece as condições e os procedimentos a aplicar para assegurar a interoperabilidade entre sistemas de informação dos órgãos de polícia criminal
A Assembleia da República decreta, nos termos da alínea c) do artigo 161.º da Constituição, o seguinte:

Título I

Objecto e definições

Artigo 1.º

Objecto

A presente lei aprova as condições e os procedimentos a aplicar para instituir o sistema integrado de informação criminal, de acordo com o disposto no artigo 11.º da Lei n.º 49/2008, de 27 de Agosto, através da implementação de uma plataforma para o intercâmbio de informação criminal que assegure uma efectiva interoperabilidade entre sistemas de informação dos órgãos de polícia criminal.

Artigo 2.º

Plataforma para o intercâmbio de informação criminal

1 - É criada a plataforma para o intercâmbio de informação criminal por via electrónica entre os órgãos de polícia criminal, adiante abreviadamente designada por plataforma.
2 - A plataforma tem por objectivo assegurar um elevado nível de segurança no intercâmbio de informação criminal entre os órgãos de polícia criminal, para efeitos de realização de acções de prevenção e investigação criminal, com vista ao reforço da prevenção e repressão criminal.
3 - Sem prejuízo do disposto nos números anteriores e assegurado o nível de segurança e demais condições estabelecidas nesta lei para o sistema integrado de informação criminal, podem os órgãos de polícia criminal e autoridades judiciárias competentes aceder complementarmente, através da plataforma, a outros sistemas e bases de dados de natureza administrativa ou policial a que tenham, nos termos das respetivas normas legais aplicáveis, direito de acesso.
4 - O acesso aos sistemas e bases de dados referidos no número anterior só é autorizado se ocorrer na sequência de um resultado positivo numa pesquisa concreta e em relação à informação constante dessa pesquisa.
5 - Os sistemas e bases de dados referidos no n.º 3 são expressamente identificados em despacho próprio do Secretário-Geral do Sistema de Segurança Interna, dele sendo dado conhecimento, para efeitos de exercício das suas competências, ao Conselho de Fiscalização do Sistema Integrado de Informação Criminal e à Comissão Nacional de Proteção de Dados.

Artigo 3.º

Princípios

1 - Os sistemas de informação dos órgãos de polícia criminal são independentes uns dos outros e geridos por cada entidade competente de acordo com o quadro legal especificamente aplicável, devendo, todavia, ser adoptadas todas as medidas necessárias para assegurar a interoperabilidade regulada pela presente lei, com vista a possibilitar a partilha de informação através da plataforma.
2 - Os elementos dos órgãos de polícia criminal e as autoridades judiciárias devidamente autorizados têm acesso a informação criminal contida nos sistemas de informação a que se refere o número anterior em relação às matérias que, cabendo no âmbito das respectivas atribuições e competências, tiverem, em cada caso, necessidade de conhecer.
3 - O fornecimento de dados e informações deve limitar-se àquilo que for considerado relevante e necessário para o êxito da prevenção ou investigação criminal no caso concreto.
4 - O acesso aos sistemas de informação e o tratamento das matérias aí recolhidas fazem-se de acordo com o disposto na presente lei e na demais legislação aplicável.
5 - As pessoas que, no exercício das suas funções, tenham tido acesso aos sistemas de informação de órgãos de polícia criminal estão obrigadas a sigilo profissional, mesmo após o termo daquelas.

Título II

Intercâmbio de dados e informações

Artigo 4.º

Composição da plataforma

1 - À plataforma para o intercâmbio de informação criminal cabe assegurar:
a) A componente de segurança;
b) Uma interface de acesso uniforme para cada órgão de polícia criminal;
c) Uma componente técnica de apoio aos interfaces e ao acesso à informação;
d) Uma componente de indexação, pesquisa e relacionamento de dados.
2 - As comunicações necessárias ao regular funcionamento da plataforma são efectuadas numa rede virtual cifrada dedicada.

Artigo 5.º

Responsabilidades

1 - Compete ao secretário-geral do Sistema de Segurança Interna garantir a implementação e coordenação geral da plataforma e, em especial, assegurar as funcionalidades de intercâmbio de informação, bem como a supervisão e segurança global da plataforma.
2 - Cada órgão de polícia criminal deve assegurar o regular funcionamento dos seus sistemas de informação, bem como contribuir para a operacionalidade da plataforma.
3 - A criação e a gestão da rede virtual cifrada dedicada através da qual deve ser realizado o intercâmbio seguro de dados entre os utilizadores da plataforma são da responsabilidade conjugada dos serviços de informática e comunicações dos órgãos de polícia criminal.

Artigo 6.º

Segurança da plataforma

As entidades referidas no artigo anterior adoptam, de forma conjugada, as medidas necessárias, incluindo um plano de segurança, para:
a) Proteger fisicamente os dados, inclusive elaborando planos de emergência para proteger as infra-estruturas essenciais;
b) Impedir o acesso de qualquer pessoa não autorizada às instalações utilizadas para o tratamento de dados pessoais (controlo da entrada nas instalações);
c) Impedir que suportes de dados possam ser lidos, copiados, alterados ou retirados sem autorização (controlo dos suportes de dados);
d) Impedir a introdução não autorizada de dados, bem como qualquer consulta, alteração ou supressão não autorizadas de dados pessoais armazenados (controlo da conservação);
e) Impedir que sistemas automatizados de tratamento de dados possam ser utilizados por pessoas não autorizadas através de instalações de transmissão de dados (controlo da utilização);
f) Garantir que as pessoas autorizadas a utilizar um sistema automatizado de tratamento de dados só tenham acesso aos dados abrangidos pela sua autorização de acesso através de identidades de utilizador pessoais e únicas e de modos de acesso confidenciais (controlo do acesso aos dados);
g) Garantir que todas as autoridades com direito de acesso à plataforma ou às instalações de tratamento de dados criem perfis que descrevam as funções e responsabilidades das pessoas autorizadas a ter acesso, introduzir, actualizar, suprimir e consultar os dados, e ponham esses perfis à disposição da Comissão Nacional de Protecção de Dados (CNPD) sem demora e a pedido desta (perfis do pessoal);
h) Garantir a possibilidade de verificar e determinar a que entidades podem ser transmitidos os dados pessoais por meio de equipamento de transmissão de dados (controlo da transmissão);
i) Garantir que se possa verificar e determinar a posteriori quais os dados pessoais introduzidos nos sistemas automatizados de tratamento de dados, quando, por quem e com que finalidade (controlo da introdução);
j) Impedir, designadamente por meio de técnicas de cifragem adequadas, que os dados possam ser lidos, copiados, alterados ou suprimidos sem autorização durante a transmissão de dados pessoais ou o transporte dos suportes de dados (controlo do transporte);
l) Controlar a eficácia das medidas de segurança referidas no presente número e tomar as medidas organizativas necessárias relacionadas com o controlo interno de forma a assegurar a conformidade com a presente lei.

Artigo 7.º

Controlo da utilização

1 - Todos os acessos e todos os intercâmbios de dados pessoais através da plataforma são devidamente registados, por forma a verificar a legalidade da consulta e a legalidade do tratamento de dados, proceder ao autocontrolo e assegurar o bom funcionamento da plataforma, bem como a integridade e a segurança dos dados.
2 - Os registos contêm obrigatoriamente o historial das consultas, a data e a hora da transmissão dos dados, os dados utilizados para proceder a uma consulta, a referência aos dados transmitidos e os nomes da autoridade competente e do utilizador.
3 - O acesso à plataforma nas fases do inquérito e da instrução é feito através da introdução do número único identificador de processo crime (NUIPC).
4 - Compete à CNPD proceder à fiscalização da forma como são efectuadas consultas e dado cumprimento às disposições legais sobre o tratamento de dados.

Artigo 8.º

Conselho de Fiscalização do Sistema Integrado de Informação Criminal

1 - O controlo do Sistema Integrado de Informação Criminal é assegurado pelo Conselho de Fiscalização do Sistema Integrado de Informação Criminal (CFSIIC), sem prejuízo dos poderes de fiscalização da Assembleia da República, nos termos constitucionais, bem como das competências da CNPD.
2 - O Conselho de Fiscalização será composto por três cidadãos de reconhecida idoneidade e no pleno gozo dos seus direitos civis e políticos, eleitos pela Assembleia da República por voto secreto e maioria de dois terços dos deputados presentes, não inferior à maioria dos deputados em efectividade de funções, e por dois representantes designados respectivamente pelo Conselho Superior da Magistratura e pelo Conselho Superior do Ministério Público.
3 - A eleição dos três cidadãos de reconhecido mérito do Conselho é feita por lista, nominal ou plurinominal, consoante for um ou mais o número de mandatos vagos a preencher, e é válida por um prazo de quatro anos.
4 - O mandato dos membros designados pelo Conselho Superior da Magistratura e pelo Conselho Superior do Ministério Público tem a duração de quatro anos.
5 - O CFSIIC acompanha e fiscaliza a actividade do secretário-geral do Sistema de Segurança Interna bem como dos órgãos de polícia criminal no tocante ao intercâmbio de dados e informações através do Sistema Integrado de Informação Criminal (SIIC), velando pelo cumprimento da Constituição e da lei, particularmente do regime de direitos, liberdades e garantias fundamentais dos cidadãos.
6 - Compete, em especial, ao CFSIIC:
a) Apreciar os relatórios concernentes à implementação e utilização do SIIC por cada um dos órgãos de polícia criminal;
b) Receber, do secretário-geral do Sistema de Segurança Interna, com regularidade bimensal, informação sobre o cumprimento das normas legais que enquadram a criação da Plataforma para o Intercâmbio de Informação Criminal, podendo solicitar e obter os esclarecimentos e informações complementares que considere necessários ao cabal exercício dos seus poderes de fiscalização do SIIC;
c) Efectuar visitas de inspecção destinadas a colher elementos sobre o modo de funcionamento e a actividade, no que toca ao SIIC, do secretário-geral do Sistema de Segurança Interna e dos órgãos de polícia criminal;
d) Solicitar elementos que entenda necessários ao exercício das suas competências ou ao conhecimento de eventuais irregularidades ou violações da lei;
e) Emitir pareceres com regularidade mínima anual sobre o funcionamento do SIIC a apresentar à Assembleia da República;
f) Propor ao Governo a realização de procedimentos inspectivos, de inquérito ou sancionatórios, em razão de ocorrências cuja gravidade o justifique;
g) Pronunciar-se sobre quaisquer iniciativas legislativas que tenham por objecto o SIIC.
7 - O Conselho de Fiscalização funciona junto à Assembleia da República, que lhe assegura os meios indispensáveis ao cumprimento das suas atribuições e competências.
8 - Em matéria de condições de funcionamento, posse e renúncia, imunidades, deveres, direitos e regalias, são aplicáveis ao CFSIIC e aos respectivos membros as disposições do n.º 4 do artigo 9.º e dos artigos 10.º, 11.º, 12.º e 13.º da Lei n.º 30/84, de 5 de Setembro, na redacção decorrente da Lei Orgânica n.º 4/2004, de 6 de Novembro.

Artigo 9.º

Fornecimento de dados e informações

1 - Através da plataforma podem ser:
a) Acedidos directamente, com respeito pelo princípio da necessidade consagrado no n.º 2 do artigo 3.º, dados e informações não cobertos pelo segredo de justiça;
b) Requeridos dados e informações cobertos pelo segredo de justiça.
2 - Cada órgão de polícia criminal assegura que não são aplicadas ao fornecimento de dados solicitados através da plataforma condições mais restritivas do que as aplicadas ao fornecimento de dados e informações ao nível interno, em iguais circunstâncias.
3 - O intercâmbio de dados e informações, nos termos da presente lei, não depende de acordo ou autorização da autoridade judiciária quando a autoridade requerida possa, nos termos legalmente previstos, ter acesso aos dados sem tal requisito.
4 - Nos casos em que o acesso a dados ou informações dependa legalmente de acordo ou de autorização de autoridade judiciária, deve o mesmo ser solicitado pela autoridade requerida à autoridade judiciária competente, por forma a ser decidido de acordo com regras idênticas às aplicáveis ao órgão de polícia criminal requerido.
5 - Os dados acessíveis através da plataforma são introduzidos, actualizados e apagados unicamente pelos utilizadores dos sistemas de cada órgão de polícia criminal, de acordo com a legislação específica que os regula.
6 - Os dados e informações são acedidos através de meios electrónicos apenas nas condições autorizadas pela presente lei.

Artigo 10.º

Perfis de acesso

1 - O acesso à plataforma faz-se de acordo com os seguintes perfis:
a) Perfil 1 - reservado aos responsáveis máximos de cada órgão de polícia criminal;
b) Perfil 2 - reservado às chefias das unidades de investigação criminal de cada entidade participante na plataforma;
c) Perfil 3 - reservado aos utilizadores que desempenhem funções de analistas.
2 - São estabelecidos simultaneamente perfis estruturados horizontalmente, por forma que o acesso à plataforma tenha em conta as distintas atribuições e competências dos órgãos de polícia criminal decorrentes da Lei n.º 49/2008, de 27 de Agosto, e demais legislação aplicável.
3 - São aprovados pelo Conselho Coordenador dos Órgãos de Polícia Criminal os mecanismos institucionais apropriados de atribuição de perfis, as regras de registo do uso e de auditoria de acessos, bem como os demais procedimentos de segurança que garantam o cumprimento do disposto no artigo 6.º
4 - As autoridades judiciárias competentes podem, a todo o momento, no âmbito da direção da investigação criminal e da respetiva coordenação, bem como da prática de atos jurisdicionais nas fases do inquérito e da instrução, nos termos da lei de processo penal e dos respetivos estatutos, aceder à informação constante do sistema integrado de informação criminal.
5 - O Ministério Público pode ainda, no âmbito da realização de ações de prevenção criminal como tal tipificadas na lei, nos termos da lei aplicável e do respetivo estatuto, aceder, através da plataforma, à informação constante do sistema integrado de informação criminal.
6 - O acesso previsto nos n.os 4 e 5 faz-se de acordo com os seguintes perfis:
a) Perfil 1 - reservado ao Procurador-Geral da República;
b) Perfil 2 - reservado aos magistrados do Ministério Público envolvidos em funções de coordenação da investigação criminal ou no âmbito da prevenção criminal;
c) Perfil 3 - reservado aos juízes que exerçam competências no âmbito da instrução criminal, relativamente aos processos de que sejam titulares, e aos magistrados do Ministério Público afetos aos inquéritos, sempre que estes desempenhem funções no Departamento Central de Investigação e Ação Penal (DCIAP) e, no âmbito da respetiva área de jurisdição processual, nos tribunais de primeira instância ou nos departamentos de investigação e ação penal (DIAP) das comarcas.

Artigo 11.º

Prazos em caso de acesso indirecto

1 - Quando a obtenção da informação não possa ocorrer mediante acesso directo, o órgão de polícia criminal requerido institui os mecanismos que permitam responder no prazo máximo de oito horas aos pedidos de dados e informações.
2 - Se o órgão de polícia criminal detentor da informação não puder responder no prazo de oito horas, deve indicar as razões dessa impossibilidade temporária, caso em que fixa o respectivo prazo de resposta.

Artigo 12.º

Pedidos de dados e informações

1 - Podem ser solicitados dados e informações para fins de prevenção ou investigação criminal quando haja razões factuais que justifiquem o pedido, devendo neste ser indicadas tais razões factuais e explicitados os fins para os quais são solicitados os dados e informações, bem como a relação entre esses fins e a pessoa a que dizem respeito os dados e informações.
2 - A entidade requerente deve abster-se de solicitar mais dados ou informações do que os necessários para os fins a que se destina o pedido.
3 - Os pedidos de dados ou informações devem incluir os elementos fixados em formulários aprovados, nos termos do artigo 14.º da Lei n.º 49/2008, de 27 de Agosto, pelo Conselho Coordenador dos Órgãos de Polícia Criminal.

Artigo 13.º

Protecção de dados

1 - Os dados pessoais tratados no âmbito da aplicação da presente lei são protegidos em conformidade com a Lei n.º 67/98, de 26 de Outubro.
2 - Cada entidade utilizadora da plataforma deve garantir o cumprimento das regras legais e dos procedimentos suplementares específicos aprovados pelo Conselho Coordenador dos Órgãos de Polícia Criminal em matéria de protecção de dados intercambiados através da plataforma.
3 - Fica igualmente subordinada às disposições legais em vigor em matéria de protecção de dados a utilização de dados e informações que tenham sido obtidos, ao abrigo da presente lei, através da plataforma.
4 - Os dados e informações, incluindo os dados pessoais, obtidos ao abrigo da presente lei só podem ser utilizados pelas entidades que as obtiveram para os fins para que foram fornecidos, ou para prevenir ameaças graves e imediatas à segurança interna.

Artigo 14.º

Confidencialidade

1 - As entidades que obtenham dados e informações através da plataforma respeitam, em cada caso específico, as exigências de segredo de justiça, garantindo a confidencialidade de todos os dados e informações fornecidos com tal classificação.
2 - As pessoas que, no exercício das suas funções, obtenham dados e informações através do sistema integrado de informação criminal ficam sujeitas a sigilo profissional, nos termos do n.º 1 do artigo 17.º da Lei n.º 67/98, de 26 de Outubro.

Título III

Disposições finais

Artigo 15.º

Planeamento e execução

1 - O secretário-geral do Sistema de Segurança Interna submete à apreciação e aprovação do Conselho Coordenador dos Órgãos de Polícia Criminal:
a) O estudo de concepção da plataforma para o intercâmbio de informação criminal entre órgãos de polícia criminal, contendo todas as especificações tecnológicas do projecto;
b) O protótipo ilustrativo da arquitectura, organização e funcionamento da plataforma nas condições previstas na presente lei;
c) Os procedimentos suplementares específicos aplicáveis à plataforma com vista ao reforço das condições de protecção de dados;
d) O plano de acções a levar a cabo para o desenvolvimento de um sistema-piloto, bem como para o respectivo alargamento aos órgãos de polícia criminal.
2 - O secretário-geral do Sistema de Segurança Interna apresenta ao Conselho Coordenador dos Órgãos de Polícia Criminal a lista integral dos sistemas de informação existentes e acessíveis em cada órgão de polícia criminal à data da entrada em vigor da presente lei, bem como, periodicamente, informação actualizada sobre novas aplicações que possam vir a ser acedidas através da plataforma.
3 - Os mecanismos institucionais apropriados de atribuição de perfis, as regras de registo do uso e de auditoria de acessos, os formulários previstos no n.º 3 do artigo 12.º, os procedimentos suplementares específicos previstos no n.º 2 do artigo 13.º, bem como todos os procedimentos de segurança e os acessos previstos no n.º 3 do artigo 2.º são submetidos ao prévio parecer da CNPD.

Artigo 16.º

Produção de efeitos

Nos termos do n.º 2 do artigo 167.º da Constituição da República, o disposto no n.º 6 do artigo 8.º em matérias com implicações orçamentais produzirá efeitos com a entrada em vigor do Orçamento do Estado para o ano de 2010.

Aprovada em 25 de Junho de 2009.
O Presidente da Assembleia da República, Jaime Gama.
Promulgada em 29 de Julho de 2009.
Publique-se.
O Presidente da República, Aníbal Cavaco Silva.
Referendada em 30 de Julho de 2009.
O Primeiro-Ministro, José Sócrates Carvalho Pinto de Sousa.