Atenção, o seu browser está desactualizado.
Para ter uma boa experiência de navegação recomendamos que utilize uma versão actualizada do Chrome, Firefox, Safari, Opera ou Internet Explorer.

Lei de Protecção de Dados Pessoais

Notícias
06 Setembro 2019

No dia 8 de Agosto foi publicada a Lei n.º 58/2019, que vem assegurar a execução, na ordem jurídica portuguesa, do Regulamento Geral de Protecção de Dados, o Regulamento (UE) 679/2016 (RGPD).

A lei nacional vem nomear como autoridade de controlo nacional a Comissão Nacional de Protecção de Dados como era, aliás, esperado.

Por outro lado, a Lei n.º 58/2019 vem estabelecer algumas regras no âmbito dos temas que foram deixados, pelo RGPD, à consideração dos Estados-Membros, pelo que existem algumas notas que merecem destaque.

1. Encarregado de Protecção de Dados (EPD)
a. Fica esclarecido que o EPD não requer certificação profissional para exercício das suas funções;
b. É estabelecido o dever legal de sigilo profissional do EPD;
c. Em aditamento ao disposto no RGPD, o EPD:
i. Assegura a realização de auditorias periódicas e/ou programadas;
ii. Sensibiliza os utilizadores de dados da importância da detecção atempada dos incidentes de segurança;
iii. Assegura as relações com os titulares de dados pessoais.

2. Acreditação, certificação e códigos de conduta:
a. O IPAC IP foi nomeado autoridade competente para acreditar os organismos de certificação em matéria de protecção de dados;
b. A CNPD fomentará a elaboração de códigos de conduta que regulem actividades determinadas.

3. Videovigilância:
a. Os sistemas de videovigilância devem cumprir o disposto na Lei da Actividade da Segurança Privada (Lei n.º 34/2013, de 16 de Maio), mas as câmaras não podem incidir sobre:
i. Vias públicas;
ii. Zonas de pagamento (digitação de códigos) em caixa multibanco ou ATM;
iii. Interior de áreas reservadas a clientes onde deva ser preservada a privacidade (instalações sanitárias, zonas de espera ou provadores de vestuário, etc.);
iv. Interior de áreas reservadas a trabalhadores (zonas de refeição, vestiários, ginásios, instalações sanitárias, zonas de descanso, etc.);
b. Ainda que admitida a videovigilância, é proibida a captação de som.

4. Relações Laborais:
a. O consentimento do trabalhador não é necessário no âmbito da execução contratual e processamento salarial e, ainda, quando do tratamento de dados resultar uma vantagem jurídica ou económica para o trabalhador;
b. As imagens gravadas e outros dados pessoais registados através da utilização de meios tecnológicos de vigilância à distância podem ser utilizados no âmbito do processo penal, mas também podem ser utilizados para efeitos de apuramento de responsabilidades disciplinares na medida em que o sejam no âmbito do processo penal;
c. O tratamento de dados biométricos apenas é permitido para controlo de assiduidade e controlo de acessos às instalações.

5. Dados de Saúde e Dados Genéticos:
a. No tratamento de dados de saúde e genéticos, o acesso aos dados rege-se pelo princípio da necessidade de conhecer a informação;
b. Todos os profissionais que tenham acesso aos dados de saúde e genéticos ficam obrigados a um dever legal de sigilo;
c. As medidas de segurança inerentes ao tratamento destes dados serão aprovadas por meio de portaria governamental.

6. Tutela administrativa e jurisdicional:
a. Tutela administrativa – qualquer pessoa pode recorrer a meios de cariz petitório ou impugnatório para garantir o cumprimento das disposições legais em matéria de protecção de dados;
b. Tutela jurisdicional – qualquer pessoa que tenha sofrido um dano devido à violação de disposições legais em matéria de protecção de dados pode demandar o responsável pelo tratamento, o subcontratante e a CNPD (relativamente a decisões ou omissões desta autoridade).

7. Contraordenações:
a. Foram tipificadas contraordenações muito graves (punidas com coimas de € 1.000,00 a € 20.000.000,00 ou 4% do volume de negócios mundial) e graves (punidas com coimas de € 500,00 a € 10.000.000,00 ou 2% do volume de negócios mundial);
b. O procedimento por contraordenação prescreve:
i. No prazo de 3 anos após a prática da contraordenação muito grave;
ii. No prazo de 2 anos após a prática da contraordenação grave.

8. Crimes:
a. Foram tipificados os seguintes crimes:
i. Utilização de dados de forma incompatível com a finalidade da recolha – punido com pena de prisão até um ano ou com pena de multa até 120 dias;
ii. Acesso indevido - punido com pena de prisão até um ano ou com pena de multa até 120 dias;
iii. Desvio de dados - punido com pena de prisão até um ano ou com pena de multa até 120 dias;
iv. Viciação ou destruição de dados - punido com pena de prisão até dois anos ou com pena de multa até 240 dias;
v. Inserção de dados falsos - punido com pena de prisão até dois anos ou com pena de multa até 240 dias;
vi. Violação do dever de sigilo - punido com pena de prisão até um ano ou com pena de multa até 120 dias;
vii. Desobediência - punido com pena de prisão até um ano ou com pena de multa até 120 dias;
b. As penas referidas são objecto de agravamento para o dobro em circunstâncias específicas.

9. Sanções acessórias:
a. Conjuntamente com as sanções aplicadas pode ser ordenada a proibição temporária ou definitiva do tratamento, o bloqueio, o apagamento ou a destruição total ou parcial dos dados;
b. Pode ser, ainda, determinada a publicidade da condenação no Portal do Cidadão.

10. Consentimento:
a. Fica determinado que a renovação do consentimento não é necessária se o consentimento anterior à entrada em vigor da lei tiver cumprido com as exigências decorrentes do RGPD.

A CNPD tem vindo a actualizar a sua página de internet com novos recursos, pelo que aconselhamos a sua consulta em https://www.cnpd.pt/.