Lei da Protecção de Dados Pessoais

Lei n.º 67/98

Diário da República n.º 247/1998, Série I-A de 1998-10-26

Revogado

Notificação

Artigo 27.º

Obrigação de notificação à CNPD

1 - O responsável pelo tratamento ou, se for caso disso, o seu representante deve notificar a CNPD antes da realização de um tratamento ou conjunto de tratamentos, total ou parcialmente automatizados, destinados à prossecução de uma ou mais finalidades interligadas.
2 - A CNPD pode autorizar a simplificação ou a isenção da notificação para determinadas categorias de tratamentos que, atendendo aos dados a tratar,, não sejam susceptíveis de pôr em causa os direitos e liberdades dos titulares dos dados e tenham em conta critérios de celeridade, economia e eficiência.
3 - A autorização, que está sujeita a publicação no Diário da República, deve especificar as finalidades do tratamento, os dados ou categorias de dados a tratar, a categoria ou categorias de titulares dos dados, os destinatários ou categorias de destinatários a quem podem ser comunicados os dados e o período de conservação dos dados.
4 - Estão isentos de notificação os tratamentos cuja única finalidade seja a manutenção de registos que, nos termos de disposições legislativas ou regulamentares, se destinem a informação do público e possam ser consultados pelo público em geral ou por qualquer pessoa que provar um interesse legítimo.
5 - Os tratamentos não automatizados dos dados pessoais previstos no n.º 1 do artigo 7.º estão sujeitos a notificação quando tratados ao abrigo da alínea a) do n.º 3 do mesmo artigo.

Artigo 28.º

Controlo prévio

1 - Carecem de autorização da CNPD:
a) O tratamento dos dados pessoais a que se referem o n.º 2 do artigo 7.º e o n.º 2 do artigo 8.º;
b) O tratamento dos dados pessoais relativos ao crédito e à solvabilidade dos seus titulares;
c) A interconexão de dados pessoais prevista no artigo 9.º;
d) A utilização de dados pessoais para fins não determinantes da recolha.
2 - Os tratamentos a que se refere o número anterior podem ser autorizados por diploma legal, não carecendo neste caso de autorização da CNPD.

Artigo 29.º

Conteúdo dos pedidos de parecer ou de autorização e da notificação

Os pedidos de parecer ou de autorização, bem como as notificações, remetidos à CNPD devem conter as seguintes informações:
a) Nome e endereço do responsável pelo tratamento e, se for o caso, do seu representante;
b) As finalidades do tratamento;
c) Descrição da ou das categorias de titulares dos dados e dos dados ou categorias de dados pessoais que lhes respeitem;
d) Destinatários ou categorias de destinatários a quem os dados podem ser comunicados e em que condições;
e) Entidade encarregada do processamento da informação, se não for o próprio responsável do tratamento;
f) Eventuais interconexões de tratamentos de dados pessoais;
g) Tempo de conservação dos dados pessoais;
h) Forma e condições como os titulares dos dados podem ter conhecimento ou fazer corrigir os dados pessoais que lhes respeitem;
i) Transferências de dados previstas para países terceiros;
j) Descrição geral que permita avaliar de forma preliminar a adequação das medidas tomadas para garantir a segurança do tratamento em aplicação dos artigos 14.º e 15.º

Artigo 30.º

Indicações obrigatórias

1 - Os diplomas legais referidos no n.º 2 do artigo 7.º e no n.º 1 do artigo 8.º, bem como as autorizações da CNPD e os registos de tratamentos de dados pessoais, devem, pelo menos, indicar:
a) O responsável do ficheiro e, se for caso disso, o seu representante;
b) As categorias de dados pessoais tratados;
c) As finalidades a que se destinam os dados e as categorias de entidades a quem podem ser transmitidos;
d) A forma de exercício do direito de acesso e de rectificação;
e) Eventuais interconexões de tratamentos de dados pessoais;
f) Transferências de dados previstas para países terceiros.
2 - Qualquer alteração das indicações constantes do n.º 1 está sujeita aos procedimentos previstos nos artigos 27.º e 28.º

Artigo 31.º

Publicidade dos tratamentos

1 - O tratamento dos dados pessoais, quando não for objecto de diploma legal e dever ser autorizado ou notificado, consta de registo na CNPD, aberto à consulta por qualquer pessoa.
2 - O registo contém as informações enumeradas nas alíneas a) a d) e i) do artigo 29.º
3 - O responsável por tratamento de dados não sujeito a notificação está obrigado a prestar, de forma adequada, a qualquer pessoa que lho solicite, pelo menos as informações referidas no n.º 1 do artigo 30.º
4 - O disposto no presente artigo não se aplica a tratamentos cuja única finalidade seja a manutenção de registos que, nos termos de disposições legislativas ou regulamentares, se destinem à informação do público e se encontrem abertos à consulta do público em geral ou de qualquer pessoa que possa provar um interesse legítimo.
5 - A CNPD deve publicar no seu relatório anual todos os pareceres e autorizações elaborados ou concedidas ao abrigo da presente lei, designadamente as autorizações previstas no n.º 2 do artigo 7.º e no n.º 2 do artigo 9.º

Capítulo V

Códigos de conduta

Artigo 32.º

Códigos de conduta

1 - A CNPD apoia a elaboração de códigos de conduta destinados a contribuir, em função das características dos diferentes sectores, para a boa execução das disposições da presente lei.
2 - As associações profissionais e outras organizações representativas de categorias de responsáveis pelo tratamento de dados que tenham elaborado projectos de códigos de conduta podem submetê-los à apreciação da CNPD.
3 - A CNPD pode declarar a conformidade dos projectos com as disposições legais e regulamentares vigentes em matéria de protecção de dados pessoais.

Capítulo VI

Tutela administrativa e jurisdicional

Secção I

Tutela administrativa e jurisdicional

Artigo 33.º

Tutela administrativa e jurisdicional

Sem prejuízo do direito de apresentação de queixa à CNPD, qualquer pessoa pode, nos termos da lei, recorrer a meios administrativos ou jurisdicionais para garantir o cumprimento das disposições legais em matéria de protecção de dados pessoais.

Artigo 34.º

Responsabilidade civil

1 - Qualquer pessoa que tiver sofrido um prejuízo devido ao tratamento ilícito de dados ou a qualquer outro acto que viole disposições legais em matéria de protecção de dados pessoais tem o direito de obter do responsável a reparação pelo prejuízo sofrido.
2 - O responsável pelo tratamento pode ser parcial ou totalmente exonerado desta responsabilidade se provar que o facto que causou o dano lhe não é imputável.

Secção II

Contra-ordenações

Artigo 35.º

Legislação subsidiária

Às infracções previstas na presente secção é subsidiariamente aplicável o regime geral das contra-ordenações, com as adaptações constantes dos artigos seguintes.

Artigo 36.º

Cumprimento do dever omitido

Sempre que a contra-ordenação resulte de omissão de um dever, a aplicação da sanção e o pagamento da coima não dispensam o infractor do seu cumprimento, se este ainda for possível.

Artigo 37.º

Omissão ou defeituoso cumprimento de obrigações

1 - As entidades que, por negligência, não cumpram a obrigação de notificação à CNPD do tratamento de dados pessoais a que se referem os n.os 1 e 5 do artigo 27.º, prestem falsas informações ou cumpram a obrigação de notificação com inobservância dos termos previstos no artigo 29.º, ou ainda quando, depois de notificadas pela CNPD, mantiverem o acesso às redes abertas de transmissão de dados a responsáveis por tratamento de dados pessoais que não cumpram as disposições da presente lei, praticam contra-ordenação punível com as seguintes coimas:
a) Tratando-se de pessoa singular, no mínimo de 50000$00 e no máximo de 500000$00;
b) Tratando-se de pessoa colectiva ou de entidade sem personalidade jurídica, no mínimo de 300000$00 e no máximo de 3000000$00.
2 - A coima é agravada para o dobro dos seus limites quando se trate de dados sujeitos a controlo prévio, nos termos do artigo 28.º

Artigo 38.º

Contra-ordenações

1 - Praticam contra-ordenação punível com a coima mínima de 100000$00 e máxima de 1000000$00, as entidades que não cumprirem alguma das seguintes disposições da presente lei:
a) Designar representante nos termos previstos no n.º 5 do artigo 4.º;
b) Observar as obrigações estabelecidas nos artigos 5.º, 10.º, 11.º, 12.º, 13.º, 15.º, 16.º e 31.º, n.º 3.
2 - A pena é agravada para o dobro dos seus limites quando não forem cumpridas as obrigações constantes dos artigos 6.º, 7.º, 8.º, 9.º, 19.º e 20.º

Artigo 39.º

Concurso de infracções

1 - Se o mesmo facto constituir, simultaneamente, crime e contra-ordenação, o agente é punido sempre a título de crime.
2 - As sanções aplicadas às contra-ordenações em concurso são sempre cumuladas materialmente.

Artigo 40.º

Punição de negligência e da tentativa

1 - A negligência é sempre punida nas contra-ordenações previstas no artigo 38.º
2 - A tentativa é sempre punível nas contra-ordenações previstas nos artigos 37.º e 38.º

Artigo 41.º

Aplicação das coimas

1 - A aplicação das coimas previstas na presente lei compete ao presidente da CNPD, sob prévia deliberação da Comissão.
2 - A deliberação da CNPD, depois de homologada pelo presidente, constitui título executivo, no caso de não ser impugnada no prazo legal.

Artigo 42.º

Destino das receitas cobradas

O montante das importâncias cobradas, em resultado da aplicação das coimas, reverte, em partes iguais, para o Estado e para a CNPD.

Secção III

Crimes

Artigo 43.º

Não cumprimento de obrigações relativas a protecção de dados

1 - É punido com prisão até um ano ou multa até 120 dias quem intencionalmente:
a) Omitir a notificação ou o pedido de autorização a que se referem os artigos 27.º e 28.º;
b) Fornecer falsas informações na notificação ou nos pedidos de autorização para o tratamento de dados pessoais ou neste proceder a modificações não consentidas pelo instrumento de legalização;
c) Desviar ou utilizar dados pessoais, de forma incompatível com a finalidade determinante da recolha ou com o instrumento de legalização;
d) Promover ou efectuar uma interconexão ilegal de dados pessoais;
e) Depois de ultrapassado o prazo que lhes tiver sido fixado pela CNPD para cumprimento das obrigações previstas na presente lei ou em outra legislação de protecção de dados, as não cumprir;
f) Depois de notificado pela CNPD para o não fazer, mantiver o acesso a redes abertas de transmissão de dados a responsáveis pelo tratamento de dados pessoais que não cumpram as disposições da presente lei.
2 - A pena é agravada para o dobro dos seus limites quando se tratar de dados pessoais a que se referem os artigos 7.º e 8.º

Artigo 44.º

Acesso indevido

1 - Quem, sem a devida autorização, por qualquer modo, aceder a dados pessoais cujo acesso lhe está vedado é punido com prisão até um ano ou multa até 120 dias.
2 - A pena é agravada para o dobro dos seus limites quando o acesso:
a) For conseguido através de violação de regras técnicas de segurança;
b) Tiver possibilitado ao agente ou a terceiros o conhecimento de dados pessoais;
c) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial.
3 - No caso do n.º 1 o procedimento criminal depende de queixa.

Artigo 45.º

Viciação ou destruição de dados pessoais

1 - Quem, sem a devida autorização, apagar, destruir, danificar, suprimir ou modificar dados pessoais, tornando-os inutilizáveis ou afectando a sua capacidade de uso, é punido com prisão até dois anos ou multa até 240 dias.
2 - A pena é agravada para o dobro nos seus limites se o dano produzido for particularmente grave.
3 - Se o agente actuar com negligência, a pena é, em ambos os casos, de prisão até um ano ou multa até 120 dias.

Artigo 45.º-A

Inserção de dados falsos

(Entrada em vigor: 2015-09-23)
1 - Quem inserir ou facilitar a inserção de dados pessoais falsos, com a intenção de obter vantagem indevida para si ou para outrem ou para causar prejuízo, é punido com pena de prisão até 2 anos ou com pena de multa até 240 dias.
2 - A pena é agravada para o dobro se da alteração referida no número anterior resultar efetivo prejuízo para uma pessoa.