Lei n.º 58/2019

CourtAssembleia da República
Coming into Force09 Ago 2019
ELIhttps://data.dre.pt/eli/lei/58/2019/08/08/p/dre
Publication Date08 Ago 2019

Lei n.º 58/2019

de 8 de agosto

Sumário: Assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

Assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados

A Assembleia da República decreta, nos termos da alínea c) do artigo 161.º da Constituição, o seguinte:

CAPÍTULO I

Disposições gerais

Artigo 1.º

Objeto

A presente lei assegura a execução, na ordem jurídica interna, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, doravante designado abreviadamente por Regulamento Geral de Proteção de Dados (RGPD).

Artigo 2.º

Âmbito de aplicação

1 - A presente lei aplica-se aos tratamentos de dados pessoais realizados no território nacional, independentemente da natureza pública ou privada do responsável pelo tratamento ou do subcontratante, mesmo que o tratamento de dados pessoais seja efetuado em cumprimento de obrigações legais ou no âmbito da prossecução de missões de interesse público, aplicando-se todas as exclusões previstas no artigo 2.º do RGPD.

2 - A presente lei aplica-se ainda aos tratamentos de dados pessoais realizados fora do território nacional quando:

a) Sejam efetuados no âmbito da atividade de um estabelecimento situado no território nacional; ou

b) Afetem titulares de dados que se encontrem no território nacional, quando as atividades de tratamento estejam subordinadas ao disposto no n.º 2 do artigo 3.º do RGPD; ou

c) Afetem dados que estejam inscritos nos postos consulares de que sejam titulares portugueses residentes no estrangeiro.

3 - A presente lei não se aplica aos ficheiros de dados pessoais constituídos e mantidos sob a responsabilidade do Sistema de Informações da República Portuguesa, que se rege por disposições específicas, nos termos da lei.

CAPÍTULO II

Comissão Nacional de Proteção de Dados

Artigo 3.º

Autoridade de controlo nacional

A Comissão Nacional de Proteção de Dados (CNPD) é a autoridade de controlo nacional para efeitos do RGPD e da presente lei.

Artigo 4.º

Natureza e independência

1 - A CNPD é uma entidade administrativa independente, com personalidade jurídica de direito público e poderes de autoridade, dotada de autonomia administrativa e financeira, que funciona junto da Assembleia da República.

2 - A CNPD controla e fiscaliza o cumprimento do RGPD e da presente lei, bem como das demais disposições legais e regulamentares em matéria de proteção de dados pessoais, a fim de defender os direitos, liberdades e garantias das pessoas singulares no âmbito dos tratamentos de dados pessoais.

3 - A CNPD age com independência na prossecução das suas atribuições e no exercício dos poderes que lhe são atribuídos pela presente lei.

4 - Os membros da CNPD ficam sujeitos ao regime de incompatibilidades estabelecido para os titulares de altos cargos públicos, não podendo, durante o seu mandato, desempenhar outra atividade, remunerada ou não, com exceção da atividade de docência no ensino superior e de investigação.

Artigo 5.º

Composição e funcionamento

A composição, o modo de designação e o estatuto remuneratório dos membros da CNPD, bem como a respetiva orgânica e quadro de pessoal, são aprovados por lei da Assembleia da República.

Artigo 6.º

Atribuições e competências

1 - Para além do disposto no artigo 57.º do RGPD, a CNPD prossegue as seguintes atribuições:

a) Pronunciar-se, a título não vinculativo, sobre as medidas legislativas e regulamentares relativas à proteção de dados pessoais, bem como sobre instrumentos jurídicos em preparação, em instituições europeias ou internacionais, relativos à mesma matéria;

b) Fiscalizar o cumprimento das disposições do RGPD e das demais disposições legais e regulamentares relativas à proteção de dados pessoais e dos direitos, liberdades e garantias dos titulares dos dados, e corrigir e sancionar o seu incumprimento;

c) Disponibilizar uma lista de tratamentos sujeitos à avaliação do impacto sobre a proteção de dados, nos termos do n.º 4 do artigo 35.º do RGPD, definindo igualmente critérios que permitam densificar a noção de elevado risco prevista nesse artigo;

d) Elaborar e apresentar ao Comité Europeu para a Proteção de Dados, previsto no RGPD, os projetos de critérios para a acreditação dos organismos de monitorização de códigos de conduta e dos organismos de certificação, nos termos dos artigos 41.º e 43.º do RGPD, e assegurar a posterior publicação dos critérios, caso sejam aprovados;

e) Cooperar com o Instituto Português de Acreditação, I. P. (IPAC, I. P.), relativamente à aplicação do disposto no artigo 14.º da presente lei, bem como na definição de requisitos adicionais de acreditação, tendo em vista a salvaguarda da coerência de aplicação do RGPD;

2 - A CNPD exerce as competências previstas no artigo 58.º do RGPD.

Artigo 7.º

Avaliações prévias de impacto

1 - Nos termos do n.º 5 do artigo 35.º do RGPD, a CNPD difunde uma lista de tipos de tratamentos de dados cuja avaliação prévia de impacto não é obrigatória.

2 - O disposto no número anterior não impede os responsáveis pelo tratamento de efetuar uma avaliação prévia de impacto por iniciativa própria.

3 - As listas referidas nos n.os 4 e 5 do artigo 35.º do RGPD são publicitadas no sítio da CNPD na Internet.

Artigo 8.º

Dever de colaboração

1 - As entidades públicas e privadas devem prestar a sua colaboração à CNPD, facultando-lhe todas as informações que por esta lhes sejam solicitadas, no exercício das suas atribuições e competências.

2 - O dever de colaboração é assegurado, designadamente, quando a CNPD tiver necessidade, para o cabal exercício das suas funções, de examinar o sistema informático e os ficheiros de dados pessoais, bem como toda a documentação relativa ao tratamento e transmissão de dados pessoais.

3 - Os membros da CNPD, bem como os seus trabalhadores, prestadores de serviços ou pessoas por si mandatadas, estão obrigados ao dever de sigilo profissional, nomeadamente quanto aos dados pessoais, segredo profissional, segredo industrial ou comercial ou informações confidenciais a que tenham acesso no exercício das suas funções.

4 - O dever de sigilo mantém-se após o termo das respetivas funções.

5 - O dever de colaboração previsto nos números anteriores, bem como os poderes de fiscalização da CNPD, não prejudicam o dever de segredo a que o responsável pelo tratamento esteja obrigado nos termos da lei ou de normas internacionais.

CAPÍTULO III

Encarregado de proteção de dados

Artigo 9.º

Disposição geral

1 - O encarregado de proteção de dados é designado com base nos requisitos previstos no n.º 5 do artigo 37.º do RGPD, não carecendo de certificação profissional para o efeito.

2 - Independentemente da natureza da sua relação jurídica, o encarregado de proteção de dados exerce a sua função com autonomia técnica perante a entidade responsável pelo tratamento ou subcontratante.

Artigo 10.º

Dever de sigilo e confidencialidade

1 - De acordo com o disposto no n.º 5 do artigo 38.º do RGPD, o encarregado de proteção de dados está obrigado a um dever de sigilo profissional em tudo o que diga respeito ao exercício dessas funções, que se mantém após o termo das funções que lhes deram origem.

2 - O encarregado de proteção de dados, bem como os responsáveis pelo tratamento de dados, incluindo os subcontratantes, e todas as pessoas que intervenham em qualquer operação de tratamento de dados, estão obrigados a um dever de confidencialidade que acresce aos deveres de sigilo profissional previsto na lei.

Artigo 11.º

Funções do encarregado de proteção de dados

Para além do disposto nos artigos 37.º a 39.º do RGPD, são funções do encarregado de proteção de dados:

a) Assegurar a realização de auditorias, quer periódicas, quer não programadas;

b) Sensibilizar os utilizadores para a importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança;

c) Assegurar as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e pela legislação nacional em matéria de proteção de dados.

Artigo 12.º

Encarregados de proteção de dados em entidades públicas

1 - Nos termos da alínea a) do n.º 1 do artigo 37.º do RGPD, é obrigatória a designação de encarregados de proteção de dados nas entidades públicas, de acordo com o disposto nos números seguintes.

2 - Para efeitos do número anterior, entende-se por entidades públicas:

a) O Estado;

b) As regiões autónomas;

c) As autarquias locais e as entidades supranacionais previstas na lei;

d) As entidades administrativas independentes e o Banco de Portugal;

e) Os institutos públicos;

f) As instituições de ensino superior públicas, independentemente da sua natureza;

g) As empresas do setor empresarial do Estado e dos setores empresariais regionais e locais;

h) As associações públicas.

3 - Independentemente de quem seja responsável pelo tratamento, existe pelo menos um encarregado de proteção de dados:

a) Por cada ministério ou área governativa, no caso do Estado, sendo designado pelo respetivo ministro, com faculdade de delegação em qualquer secretário de Estado que o coadjuvar;

b) Por cada secretaria regional, no caso das regiões autónomas, sendo designado pelo respetivo secretário regional, com faculdade de delegação em dirigente superior de 1.º grau;

c) Por cada município, sendo designado pela câmara municipal, com faculdade de delegação no presidente e subdelegação em qualquer vereador;

d) Nas freguesias em que tal se justifique, nomeadamente naquelas com mais de 750 habitantes, sendo designado pela junta de freguesia, com faculdade de delegação no presidente;

e) Por cada entidade, no caso das demais entidades...

Para continuar a ler

PEÇA SUA AVALIAÇÃO