Direito da Informática – Internet e Direitos

Convenção para protecção das pessoas relativamente ao tratamento automatizado de dados de carácter pessoal

Preâmbulo

Os Estados membros do conselho da Europa, signatários da presente Convenção:

Considerando que a finalidade do Conselho da Europa é conseguir uma união mais estreita entre os seuas membros, nomeadamente no respeito pela supremacia do direito, bem como dos direitos do homem e das liberdades fundamentais;

Considerando desejável alargar a protecção dos direitos e das liberdades fundamentais de todas as pessoas, nomeadamente o direito ao respeito pela vida privada, tendo em consideração o fluxo crescente, através das fronteiras, de dados de carácter pessoal susceptíveis de tratamento automatizado;

Reafirmando ao mesmo tempo o seu empenhamento a favor da liberdade de informação sem limite de fronteiras;

Reconhecendo a necessidade de conciliar os valores fundamentais do respeito pela vida privada e da livre circulação entre os povos, acordaram o seguinte:

CAPÍTULO I – Disposições gerais

Art. 1º Objectivos e finalidades

A presente Convenção destina-se a garantir, no território de cada Parte, a todas as pessoas singulares, seja qual for a sua nacionalidade ou residência, o respeito pelos seus direitos e liberdades fundamentais, e especialmente pelo seu direito à vida privada, face ao tratamento automatizado dos dados de carácter pessoal que lhes digam respeito («protecção dos dados»).

Art. 2º Definições

Para os fins da presente Convenção:

a) «dados de carácter pessoal» significa qualquer informação relativa a uma pessoa singular identificada ou suscepítivel de identificação («titular dos dados»);

b) «ficheiro automatizado» significa qualquer conjunto de informações objecto de tratamento automatizado;

c) «tratamento automatizado» compreende as seguintes operações, efectuadas, no todo ou em parte, com a ajuda de processos automatizados: registo de dados, aplicação a esses dados de operações lógicas e ou aritméticas, bem como a sua modificação, supressão, extracção ou difusão;

d) «responsável pelo ficheiro» significa a pessoa, singular ou colectiva, autoridade pública, serviço ou qualquer outro organismo competente, segundo a lei nacional, para decidir sobre a finalidade do ficheiro automatizado, as categorias de dados de carácter pessoal que devem ser registadas e as operações que lhes serão aplicadas.

Art. 3º Campo de aplicação

1. As Partes comprometeram-se a aplicar a presente Convenção aos ficheiros e tratamentos automatizados de carácter pessoal nos sectores público e privado.

2. Qualquer Estado poderá, no momento da assinatura ou do depósito do seu instrumento de ratificação, de aceitação, de aprovação ou de adesão, ou em qualquer momento posterior, comunicar, por declaração dirigida ao Secretário-Geral do Conselho da Europa:

a) Que não aplicará a presente Convenção a certas categorias de ficheiros automatizados de dados de carácter pessoal, cuja lista será depositada. Contudo, não deverá incluir nessa lista categorias de ficheiros automatizados que estejam sujeitos, segundo o seu direito interno, a disposições de protecção de dados. Assim, deverá alterar essa lista mediante nova declaração sempre que categorias suplementares de ficheiros automatizados de dados de carácter pessoal fiquem sujeitas ao seu regime de protecção de dados;

b) Que também aplicará a presente Convenção a informações relativas a grupos, associações, fundações, sociedades, corporações ou quaisquer outros organismos que abranjam, directa ou indirectamente, pessoas singulares, quer gozem ou não de personalidade jurídica;

c) Que também aplicará a presente Convenção aos ficheiros de dados de carácter pessoal que não sejam objecto de tratamento automatizado.

3. qualquer Estado que tenha ampliada o campo de aplicação da presente Convenção mediante qualquer das declarações referidas nas alínes b) ou c) do nº 2 deste artigo poderá, na respectiva declaração, indicar que essa ampliação apenas se aplicará a certas categorias de ficheiros de carácter pessoal, cuja lista será depositada.

4. Qualquer Parte que tenha excluído certas categorias de ficheiros automatizados de dados de carácter pessoal mediante a declaração prevista na alínea a) do nº2 deste artigo não poderá pretender a aplicação da presente Convenção a essas categorias de ficheiros por uma Parte que não as tenha excluído.

5. Do mesmo modo, uma Parte que não tenha procedido a qualquer das ampliações previstas nas alíneas b) e c) do nº2 deste artigo não poderá prevalecer-se da aplicação da presente Convenção no tocante a esses aspectos face a uma Parte que haja procedido às mesmas ampliações.

6. As declarações previstas no nº2 deste artigo produzirão efeito no momento da entrada em vigor da Convenção relativamente ao Estado que as tenha formulado, desde que este Estado as tenha emitido no momento da assinatura ou do depósito do seu instrumento de ratificação, de aceitação, de aprovação ou de adesão, ou três meses após a sua recepção pelo Secretário-Geral do Conselho da Europa, se tiverem sido formuladas em momento ulterior. Estas declarações podem ser total ou parcialmente retiradas mediante notificação dirigida ao Secretário-Geral do Conselho da Europa. A retirada produzirá efeitos três meses após a data de recepção da notificação.

CAPÍTULO II – Princípios básicos para a protecção de dados

Art. 4º Deveres das Partes

1. as Partes devem adoptar no seu direito interno as medidas necessárias com vista à aplicação dos princípios básicos para a protecção de dados enunciados no presente capítulo.

2. Essas medidas devem ser adoptadas, o mais tardar, até ao momento da entrada em vigor da presente Convenção relativamente a essa Parte.

Art. 5º Qualidade dos dados

Os dados de carácter pessoal que sejam objecto de um tratamento automatizado devem ser:

a) Obtidos e tratados de forma leal e lícita;

b) Registados para finalidades determinadas e legítimas, não podendo ser utilizados de modo incompatível com essas finalidades;

c) Adequados, pertinentes e não excessivos em relação às finalidades para as quais foram registados;

d) Exactos e, se necessário , actualizados;

e) Conservados de forma que permitam a identificação das pessoas a que respeitam por um período que não exceda o tempo necessário às finalidades determinantes do seu registo.

Art. 6º Categorias especiais de dados

Os dados de carácter pessoal que revelem a origem racial, as opiniões políticas, as convicções religiosas ou outras, bem como os dados de carácter pessoal relativos à saúde ou à vida sexual, só poderão ser objecto de tratamento automatizado desde que o direito interna preveja garantias adequadas. O mesmo vale para os dados de carácter pessoal relativos a condenações penais.

Art. 7º Segurança dos dados

Para a protecção dos dados de carácter pessoal registados em ficheiros automatizados devem ser tomadas medidas de segurança apropriadas contra a destruição, acidental ou não autorizada, e a perda acidental e também contra o acesso, a modificação ou difusão não autorizados.

Art. 8º Garantias adicionais para o titular dos dados

Qualquer pessoa poderá:

a) Tomar conhecimento da existência de um ficheiro automatizado de dados de carácter pessoal e das suas principais finalidades, bem como da identidade e da residência habitual ou principal estabelecimento do responsável pelo ficheiro;

b) Obter, a intervalos razoáveis e sem demoras ou despesas excessiavas, a confirmação da existência ou não no ficheiro automatizado de dados de carácter pessoal que lhe digam respeito, bem como a comunicação desses dados de forma inteligível;

c) Obter, conforme o caso, a rectificação ou supressão desses dados, quando tenham sido tratados com violação das disposições do direito interno que apliquem os princípios básicos definidos nos artigos 5º e 6º da presente Convenção;

d) Dispor de uma via de recurso se não for dado seguimento a um pedido de confirmação, ou conforme o caso, de comunicação, de rectificação ou de supressão, tal como previsto na alínea b) e c) deste artigo.

Art. 9º Excepções e restrições

1. Não é admitida qualquer excepção às disposições dos artigos 5º, 6º e 8º da presente Convenção salvo dentro dos limites estabelecidos neste artigo.

2. É possível derrogar as disposições dos artigos 5º, 6º e 8º da presente Convenção quando tal derrogação, prevista pela lei da Parte, constitua medida necessária numa sociedade democrática:

a) Para protecção da segurança do Estado, da segurança pública, dos interesses monetários do Estado ou para repressão das infracções penais;

b) Para protecção do titular dos dados e dos direitos e liberdades de outrem.

3. Podem ser previstas por lei restrições ao exercício dos direitos referidos nas alíneas b), c) e d) do artigo 8º relativamente aos ficheiros automatizados de dados de carácter pessoal utilizados para fins de estatística ou de pesquisa científica quando manifestamente não haja risco de atentado à vida privado dos seus titulares.

Art. 10º Sanções e recursos

As Partes comprometem-se a estabelecer sanções e vias de recurso apropriadas em face da violação das disposições do direito interno que confiram eficácia aos princípios básicos para a protecção dos dados, enunciados no presente capítulo.

Art. 11º Protecção mais ampla

Nenhuma das disposições do presente capítulo poderá ser interpretada como limitando ou afectando a faculdade de cada Parte conceder aos titulares dos dados uma protecção mais ampla do que a prevista na presente Convenção.

CAPÍTULO III – Fluxos transfronteiras de dados

Art. 12º Fluxos transfronteiras de dados de carácter pessoal e direito interno

1. As disposições que se seguem aplicam-se à transmissão através das fronteiras nacionais, qualquer que seja o suporte utilizado, de dados de carácter pessoal objecto de tratamento automatizado ou recolhidos a fim de serem submetidos a um tal tratamento.

2. Uma parte não poderá, com a exclusiva finalidade de protecção da vida privada, proibir ou submeter a autorização especial os fluxos transfronteiras de dados de carácter pessoal com destino ao território de uma outra Parte.

3. Contudo, qualquer Parte terá a faculdade de introduzir derrogações às disposições do nº2 :

a) Na medida em que a sua legislação preveja uma regulamentação específica para certas categorias de dados de carácter pessoal ou de ficheiros automatizados de dados de carácter pessoal, em virtude da natureza desses dados ou ficheiros, salvo se a regulamentação da outra Parte previr uma protecção equivalente;

b) Quando a transferência for efectuada a partir do seu território para o território de um Estado não contratante, através do território de uma outra Parte, a fim de evitar que essas transferências se subtraiam à legislação da Parte referida no início deste número.

CAPÍTULO IV – Assistência mútua

Art. 13º Cooperação entre as Partes

1. As Partes comprometem-se a prestar assistência mútua com vista à aplicação da presente Convenção.

2. Para esse efeito:

a) Cada Parte designrá uma ou mais autoridades cujo nome e endereço serão comunicados ao Secretário-Geral do Conselho da Europa;

b) As Partes que tenham designado várias autoridades indicarão, na comunicação referida na alínea anterior, a competência de cada uma delas.

3. A autoridade designada por uma Parte deverá, a pedido da autoridade designada por outra Parte:

a) Fornecer informações sobre o seu direito e a sua prática administrativa em matéria de protecção de dados;

b) Adoptar, em conformidade com o seu direito interno e apenas para efeitos de protecção da vida privada, as medidas adequadas à prestação de informações factuais relativas a um determinado tratamento automatizado efectuado no seu território, à excepção, contudo, dos dados de carácter pessoal que sejam abjecto desse tratamento.

Art. 14º Assistência aos titulares dos dados residentes no estrangeiro

1. As Partes deverão prestar assistência a qualquer pessoa residente no estrangeiro com vista ao exercício dos direitos previstos pelo seu direito interno em aplicação dos princípios referidos no artº8 da presente Convenção.

2. Se essa pessoa residir no território de uma Parte, deverá gozar da faculdade de apresentar o seu pedido por intermédio da autoridade designada por esta Parte.

3. O pedido de assistência deverá conter todas as indicações necessárias e especialmente:

a) O nome, endereço e quaisquer outros elementos de identificação pertinentes relativos ao requerente;

b) O ficheiro automatizado de dados de carácter pessoal a que se refere o Pedido ou o responsável por esse ficheiro;

c) A finalidade do pedido.

Art. 15º Garantias relativas à assistência prestada pelas autoridades designadas

1. A autoridade designada por uma Parte que tenha recebido informações de autoridade designada por outra Parte, quer instruindo um pedido de assistência, quer em resposta a um pedido de assistência por ela formulado, não poderá fazer uso dessas informações para fins diversos dos especificados no pedido de assistência.

2. As Partes deverão providenciar a fim de que as pessoas pertencentes ou agindo em nome da autoridade designada fiquem vinculadas a obrigações adequadas de sigilo ou de confidencialidade relativamente a essas informações.

3. Em nenhum caso a autoridade designada será autorizada a formular, nos termos do nº.2 do artº 14º , um pedido de assistência em nome de uma pessoa a quem os dados respeitem residente no estrangeiro por sua própria iniciativa e sem o consentimento expresso dessa pessoa.

Art. 16º Recusa dos pedidos de assistência

A autoridade designada a quem seja dirigido um pedido de assistência nos termos dos artigos 13º ou 14º da presente Convenção só poderá recusar-se a dar-lhe seguimento se:

a) O pedido for incompatível com as competências, no domínio da protecção dos dados, das autoridades habilitadas a responder;

b) O pedido não estiver em conformidade com as disposições da presente Convenção;

c) A execução do pedido for incompatível com a soberania, a segurança ou a ordem pública da Parte que a tiver designado ou com os direitos e liberdades fundamentais das pessoas sob a jurisdição dessa Parte.

Art. 17º Custos e procedimentos da assistência

1. A assistência mútua acordada pelas Partes nos termos do artigo 13º, bem como a assistência que prestem aos titulares dos dados residentes no estrangeiro nos termos do artigo 14º , não dará lugar ao pagamento de custos e encargos, salvo os referentes a peritos e intérpretes. Esses custos e encargos ficarão a cargo da Parte que tenha designado a autoridade que formulou o pedido de assistência.

2. O titular dos dados só poderá ser obrigado a pagar, relativamente às diligência efectuadas por sua conta no território de uma Parte, custos e encargos exigíveis às outra pessoas residentes no território desta Parte.

3. Quaisquer outras modalidades relativas à assistência que digam respeito, nomeadamente, às formas e procedimentos, bem como às linguas a utilizar, serão estabelecidas, directamente entre as Partes interessadas.

CAPÍTULO V – Comité Consultivo

Art. 18º Composição do Comité

1. Após a entrada em vigor da presente Convenção, será constituído um Comité Consultivo.

2. As Partes designarão um representante e um suplente no Comité. Qualquer Estado membro do Conselho da Europa que não seja Parte na Convenção tem o direito de se fazer representar no Comité por um observador.

3. O Comité Consultivo poderá, mediante decisão tomada por unanimidade, convidar qualquer Estado não membro do Conselho da Europa que não seja Parte na Convenção a fazer-se representar por um observador numa das reuniões.

Art. 19º Funções do Comité

O Comité Consultivo:

a) Pode fazer propostas com vista a facilitar ou a melhorar a aplicação da Convenção;

b) Pode fazer propostas de alteração à presente, em conformidade com o artigo 21º.

c) Emite parecer sobre qualquer proposta de alteração à presente Convenção que lhe seja submetida em conformidade com o nº 3 do artigo 21º.;

d) Pode, a pedido de uma Parte, emitir parecer sobre qualquer questão relativa à aplicação da presente Convenção.

Art. 20º Processo

1. O comité Consultivo será convocado pelo Secretário-Geral do Conselho da Europa. A sua primeira reunião realizar-se-á nos 12 meses seguintes à entrada em vigor da presente Convenção. Posteriormente, reunirá pelo menos uma vez em cada dois anos e, em todo o caso, sempre que um terço dos representantes das Partes requeira a sua convocação.

2. O quórum necessário à realização de qualquer reunião do Comité Consultivo é constituído pela maioria dos representantes das Partes.

3. Após cada reunião, o Comité Consultivo apresentará ao Comité de Ministros do Conselho da Europa um relatório sobre os seus trabalhos e sobre o funcionamento da Convenção.

4. O Comité Consultivo elaborará o seu regulamento interno, sem prejuízo das disposições da presente Convenção.

CAPÍTULO VI – Alterações

Art. 21º Alterações

1. Podem ser propostas alterações à presente Convenção por uma Parte, pelo Comité de Ministros do Conselho da Europa ou pelo Comité Consultivo.

2. Qualquer proposta de alteração será comunicada pelo Secretário-Geral do Conselho da Europa aos Estados membros do Conselho da Europa e a cada um dos Estados não membros que tenha aderido ou sido convidado a aderir à presente Convenção em conformidade com as disposições do artigo 23º.

3. Além disso, qualquer alteração proposta por uma Parte ou pelo Comité de Ministros é comunicada ao Comité Consultivo, que submeterá ao Comité de Ministros o seu parecer sobre a alteração proposta.

4. O Comité de Ministros examinará a alteração proposta e qualquer do Comité Consultivo, podendo aprovar a alteração.

5. O texto de qualquer alteração aprovada pelo Comité de Ministros em conformidade com o nº4 deste artigo será enviado às Partes para aceitação.

6. Qualquer alteração aprovada em conformidade com o nº. 4 deste artigo entrará em vigor no 30º dia posterior à data em que todas as Partes tenham informado o Secretário-Geral de que a aceitaram.

CAPÍTULO VII – Disposições finais

Art. 22º Entrada em vigor

1. A presente Convenção é aberta à assinatura dos Estados membros do Conselho da Europa. Será submetida a ratificação, aceitação ou aprovação. Os instrumentos de ratificação, de aceitação ou de aprovação serão depositados junto do Secretário-Geral do Conselho da Europa.

2. A presente Convenção entrará em vigor no 1º dia do mês seguinte ao termo de um prazo de três meses após a data em que cinco Estados membros do Conselho da Eutopa tenham expressado o seu consentimento em ficar vinculados pela Convenção em conformidade com as disposições do número anterior.

3. Para qualquer Estado membro que expresse posteriormente o seu consentimento em ficar vinculado pela Convenção, esta entrará em vigor no 1º dia do mês seguinte ao termo de um prazo de três meses após a data do depósito do instrumento de ratificação, de aceitação ou de aprovação.

Art. 23º Adesão de Estados não membros

1. Após a entrada em vigor da presente Convenção, o Comité de Ministros do Conselho da Europa poderá convidar qualquer Estado não membro do Conselho da Europa a aderir à presente Convenção mediante decisão tomada pela maioria prevista na alínea d) do artigo 20º. da Estatuto do Conselho da Europa e por unanimidade dos representantes dos Estados contratantes com direito de assento no Comité.

2. Para qualquer Estado aderente, a Convenção entrará em vigor no 1º dia do mês seguinte ao termo de um prazo de três meses após a data do depósito do instrumento de adesão junto do Secretário-Geral da Europa.

Art. 24º Clásula territorial

1. Qualquer Estado pode, no momento da assinatura ou no momento do depósito do seu instrumento de ratificação, de aceitação ,de aprovação ou de adesão, designar o território ou os territórios aos quais se aplicará a presente Convenção.

2. Qualquer Estado pode, em qualquer outro momento posterior, mediante declaração dirigida ao Secretário-Geral do Conselho da Europa, alargar a aplicação da presente Convenção a qualquer outro território designado na declaração. A Convenção entrará em vigor, relativamente a esse território, no 1º dia dos mês seguinte ao termo de um prazo de três meses após a data de recepção da declaração pelo Secretário-Geral.

3. Qualquer declaração feita ao abrigo dos dois números anteriores poderá ser retirada, relativamente a qualquer território nela designado, mediante notificação dirigida ao Secretário-Geral. A retirada produzirá efeito no 1º dia dos mês seguinte ao termo de um prazo de seis meses após a data de recepção da notificação pelo Secretário-Geral.

Art. 25º Reservas

Não são admitidas reservas às disposições da presente Convenção.

Art. 26º Denúncia

1. Qualquer Parte poderá, em qualquer momento, denunciar a presente Convenção mediante notificação dirigida ao Secretário-Geral do Conselho da Europa.

2. A denúncia produzirá efeito no 1º dia do mês seguinte ao termo de um prazo de seis meses após a data de recepção da notificação pelo Secretário-Geral.

Art. 27º Notificação

O Secretário-Geral do Conselho da Europa notificará aos Estados membros do Conselho da Europa e a qualquer Estado que tenha aderido à presente Convenção:

a) Qualquer assinatura;

b) O depósito de qualquer instrumento de ratificação, de aceitação, de aprovação ou de adesão;

c) Qualquer data de entrada em vigor da presente Convenção em conformidade com os artigos 22º, 23º e 24º.

d) Qualquer outro acto, notificação ou comunicação relativos à presente Convenção.

Em fé do que os abaixo assinados, devidamente autorizados para o efeito, assinaram a presente Convenção.

Feito em Estrasburgo, a 28 de Janeiro de 1981.

Acesso à Informação Contida no Ficheiro Central de Pessoas Colectivas

Condições jurídicas e financeiras

Portaria n.º 599/93, de 23 de Junho

Considerando que, por força do disposto no n.º 3 do artigo 60.º do Decreto-Lei n.º 42/89, de 3 de Fevereiro, as condições jurídicas e financeiras do acesso à informação contida no ficheiro central de pessoas colectivas devem ser fixadas por portaria do Ministro da Justiça;

Considerando que o acesso à informação deve obedecer às disposições gerais de protecção de dados pessoais constantes da Lei n.º 10/91, de 29 de Abril, bem como às disposições específicas previstas nos artigos 57.º a 60.º do Decreto-Lei n.º 42/89, de 3 de Fevereiro;

Considerando que, por sua vez, a prestação de informação nominativa relativa a entidades sujeitas a registo comercial é disciplinada pelo Código do Registo Comercial, de harmonia com o carácter público do registo, e que a informação nominativa relativa a outras entidades deve ser prestada nos termos previstos no Código do Procedimento Administrativo:

Manda o Governo, pelo Ministro da Justiça, o seguinte:

1.º- A informação nominativa relativa a entidades sujeitas a registo comercial é prestada a qualquer pessoa, a seu pedido.

2.º- A informação nominativa relativa a entidades não sujeitas a registo comercial pode ser pedida por qualquer interessado, nos termos previstos no artigo 62.º do Código do Procedimento Administrativo, ou por qualquer que prove ter interesse legítimo, ao abrigo do artigo 64.º do mesmo Código.

3.º- A informação nominativa pode ainda ser prestada a serviços de interesse público, na medida do necessária para a prossecução das suas atribuições estatutárias, ao abrigo da alínea b) do n.º 1 do artigo 59.º do Decreto-Lei n.º 42/89, de 3 de Fevereiro.

4.º- A informação nominativa é prestada por reprodução do registo correspondente, devidamente autenticada.

5.º- A informação nominativa pode ser transmitida por telecópia, a pedido do requerente, não sendo , neste caso, sujeita a autenticação.

6.º- Por cada informação nominativa é devida a importância prevista na tabela de emolumentos do Registo Nacional de Pessoas Colectivas.

7º- O acesso ao conteúdo total ou parcial do ficheiro central de pessoas colectivas é reservado às entidades referidas no n.º 1 do artigo 60.º do Decreto-Lei n.º 42/89, de 3 de Fevereiro, nas condições aí previstas.

8.º- O acesso previsto no número anterior pode ter lugar, seja por consulta em linha, seja pelo fornecimento de cópias em suporte magnético ou, quando o reduzido volume da informação o aconselhar, em suporte papel.

9.º- O acesso em linha é autorizado mediante protocolo celebrado com o Registo Nacional de Pessoas Colectivas e efectua-sepor consulta às bases de dados localizadas na Direcção-Geral dos Serviços de Informática.

10.º- No protocolo a que se refere o número anterior, as entidades consulentes obrigam-se a:

a) Respeitar integralmente as finalidades para as quais foi autorizada a consulta, limitando o acesso ao estritamente necessário e não utilizando a informação para outro fins;

b) Não transmitir a informação a terceiros, salvo autorização escrita do Registo Nacional de Pessoas Colectivas e no respeito das disposições legais e regulamentares em matéria de protecção de dados pessoais;

c) Tomar as medidas de segurança necessárias a prevenir qualquer acção tendente a alterar o conteúdo da base de dados ou a interferir por qualquer forma no seu funcionamento.

11.º- O Registo Nacional de Pessoas Colectivas cominicará à Direcção-Geral dos Serviços de Informática as autorizações concedidas para consulta em linha, a fim de que este organismo providencie para que a referida consulta possa ser efectuada.

12.º- A Direcção-Geral dos Serviços de Informática deve tomar as medidas de segurança necessárias para que, por força da consulta, se não possa registar qualquer alteração de informação, bloqueio ou diminuição dos tempos de resposta das bases de dados.

13.º- Por cada consulta em linha ou por cada cópia de ficheiro serão cobradas as quantias fixadas por despacho ministerial, sob proposta do Registo Nacional de Pessoas Colectivas, ouvida a Direcção-Geral dos Serviçõs de Informática, e nele será definida a parte devida a cada um dos serviços referidos no presente número.

14.º- Por despacho do Ministro da Justiça pode , por motivos relevantes de interesse público, ser dispensado o pagamento referido no número anterior.

Lei da Protecção de Dados Pessoais

Lei n.º 67/98, de 26 de Outubro

(TRANSPÕE PARA A ORDEM JURÍDICA PORTUGUESA A DIRECTIVA 95/46/CE, DO PARLAMENTO EUROPEU E DO CONSELHO, DE 24 DE OUTUBRO DE 1995, RELATIVA À PROTECÇÃO DAS PESSOAS SINGULARES NO QUE DIZ RESPEITO AO TRATAMENTO DOS DADOS PESSOAIS E À LIVRE CIRCULAÇÃO DESSES DADOS).

A Assembleia da República decreta, nos termos da alínea c) do artigo 161.º, das alíneas b) e c) do n.º 1 do artigo 165.º e do n.º 3 do artigo 166.º da Constituição, para valer como lei geral da República, o seguinte:

Capítulo I – Disposições gerais

Artigo 1.º Objecto

A presente lei transpõe para a ordem jurídica interna a Directiva n.º 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

Artigo 2.º Princípio geral

O tratamento de dados pessoais deve processar-se de forma transparente e no estrito respeito pela reserva da vida privada, bem como pelos direitos, liberdades e garantias fundamentais.

Artigo 3.º Definições

Para efeitos da presente lei, entende-se por:

a) «Dados pessoais»: qualquer informação, de qualquer natureza e independentemente do respectivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável a pessoa que possa ser identificada directa ou indirectamente, designadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social;

b) «Tratamento de dados pessoais» («tratamento»): qualquer operação ou conjunto de operações sobre dados pessoais, efectuadas com ou sem meios automatizados, tais como a recolha, o registo, a organização, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a comunicação por transmissão, por difusão ou por qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição;

c) «Ficheiro de dados pessoais» («ficheiro»): qualquer conjunto estruturado de dados pessoais, acessível segundo critérios determinados, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;

d) «Responsável pelo tratamento»: a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais; sempre que as finalidades e os meios do tratamento sejam determinados por disposições legislativas ou regulamentares, o responsável pelo tratamento deve ser indicado na lei de organização e funcionamento ou no estatuto da entidade legal ou estatutariamente competente para tratar os dados pessoais em causa;

e) «Subcontratante»: a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que trate os dados pessoais por conta do responsável pelo tratamento;

f) «Terceiro»: a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que, não sendo o titular dos dados, o responsável pelo tratamento, o subcontratante ou outra pessoa sob autoridade directa do responsável pelo tratamento ou do subcontratante, esteja habilitado a tratar os dados;

g) «Destinatário»: a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo a quem sejam comunicados dados pessoais, independentemente de se tratar ou não de um terceiro, sem prejuízo de não serem consideradas destinatários as autoridades a quem sejam comunicados dados no âmbito de uma disposição legal;

h) «Consentimento do titular dos dados»: qualquer manifestação de vontade, livre, específica e informada, nos termos da qual o titular aceita que os seus dados pessoais sejam objecto de tratamento;

i) «Interconexão de dados»: forma de tratamento que consiste na possibilidade de relacionamento dos dados de um ficheiro com os dados de um ficheiro ou ficheiros mantidos por outro ou outros responsáveis, ou mantidos pelo mesmo responsável com outra finalidade.

Artigo 4.º Âmbito de aplicação

1 – A presente lei aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros manuais ou a estes destinados.

2 – A presente lei não se aplica ao tratamento de dados pessoais efectuado por pessoa singular no exercício de actividades exclusivamente pessoais ou domésticas.

3- A presente lei aplica-se ao tratamento de dados pessoais efectuado:

a) No âmbito das actividades de estabelecimento do responsável do tratamento situado em território português;

b) Fora do território nacional, em local onde a legislação portuguesa seja aplicável por força do direito internacional;

c) Por responsável que, não estando estabelecido no território da União Europeia, recorra, para tratamento de dados pessoais, a meios, automatizados ou não, situados no território português, salvo se esses meios só forem utilizados para trânsito através do território da União Europeia.

4 – A presente lei aplica-se à videovigilância e outras formas de captação, tratamento e difusão de sons e imagens que permitam identificar pessoas sempre que o responsável pelo tratamento esteja domiciliado ou sediado em Portugal ou utilize um fornecedor de acesso a redes informáticas e telemáticas estabelecido em território português.

5 – No caso referido na alínea c) do n.º 3, o responsável pelo tratamento deve designar, mediante comunicação a Comissão Nacional de Protecção de Dados (CNPD), um representante estabelecido em Portugal, que se lhe substitua em todos os seus direitos e obrigações, sem prejuízo da sua própria responsabilidade.

6 – O disposto no número anterior aplica-se no caso de o responsável pelo tratamento estar abrangido por estatuto de extraterritorialidade, de imunidade ou por qualquer outro que impeça o procedimento criminal.

7 – A presente lei aplica-se ao tratamento e dados pessoais que tenham por objectivo a segurança pública, a defesa nacional e a segurança do Estado, sem prejuízo do disposto em normas especiais constantes de instrumentos de direito internacional a que Portugal se vincule e de legislação específica atinente aos respectivos sectores.

Capítulo II – Tratamento de dados pessoais

Secção I – Qualidade dos dados e legitimidade do seu tratamento

Artigo 5.º Qualidade dos dados

1 – Os dados pessoais devem ser:

a) Tratados de forma lícita e com respeito pelo princípio da boa fé;

b) Recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser posteriormente tratados de forma incompatível com essas finalidades;

c) Adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos e posteriormente tratados;

d) Exactos e, se necessário, actualizados, devendo ser tomadas as medidas adequadas para assegurar que sejam apagados ou rectificados os dados inexactos ou incompletos, tendo em conta as finalidades para que foram recolhidos ou para que são tratados posteriormente;

e) Conservados de forma a permitir a identificação dos seus titulares apenas durante o período necessário para a prossecução das finalidades da recolha ou do tratamento posterior.

2 – Mediante requerimento do responsável pelo tratamento, e caso haja interesse legítimo, a CNPD pode autorizar a conservação de dados para fins históricos, estatísticos ou científicos por período superior ao referido na alínea e) do número anterior.

3 – Cabe ao responsável pelo tratamento assegurar a observância do disposto nos números anteriores.

Artigo 6.º Condições de legitimidade do tratamento de dados

O tratamento de dados pessoais só pode ser efectuado se o seu titular tiver dado de forma inequívoca o seu consentimento ou se o tratamento for necessário para:

a) Execução de contrato ou contratos em que o titular dos dados seja parte ou de diligências prévias à formação do contrato ou declaração da vontade negocial efectuadas a seu pedido;

b) Cumprimento de obrigação legal a que o responsável pelo tratamento esteja sujeito;

c) Protecção de interesses vitais do titular dos dados, se este estiver física ou legalmente incapaz de dar o seu consentimento;

d) Execução de uma missão de interesse público ou no exercício de autoridade pública em que esteja investido o responsável pelo tratamento ou um terceiro a quem os dados sejam comunicados;

e) Prossecução de interesses legítimos do responsável pelo tratamento ou de terceiro a quem os dados sejam comunicados, desde que não devam prevalecer os interesses ou os direitos, liberdades e garantias do titular dos dados.

Artigo 7.º Tratamento de dados sensíveis

1 – É proibido o tratamento de dados pessoais referentes a convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e origem racial ou étnica, bem como o tratamento de dados relativos à saúde e à vida sexual, incluindo os dados genéticos.

2 – Mediante disposição legal ou autorização da CNPD, pode ser permitido o tratamento dos dados referidos no número anterior quando por motivos de interesse público importante esse tratamento for indispensável ao exercício das atribuições legais ou estatutárias do seu responsável, ou quando o titular dos dados tiver dado o seu consentimento expresso para esse tratamento, em ambos os casos com garantias de não discriminação e com as medidas de segurança previstas no artigo 15.º.

3 – O tratamento dos dados referidos no n.º 1 é ainda permitido quando se verificar uma das seguintes condições:

a) Ser necessário para proteger interesses vitais do titular dos dados ou de uma outra pessoa e o titular dos dados estiver física ou legalmente incapaz de dar o seu consentimento;

b) Ser efectuado, com o consentimento do titular, por fundação, associação ou organismo sem fins lucrativos de carácter político, filosófico, religioso ou sindical, no âmbito das suas actividades legítimas, sob condição de o tratamento respeitar apenas aos membros desse organismo ou às pessoas que com ele mantenham contactos periódicos ligados às suas finalidades, e de os dados não serem comunicados a terceiros sem consentimento dos seus titulares;

c) Dizer respeito a dados manifestamente tornados públicos pelo seu titular, desde que se possa legitimamente deduzir das suas declarações o consentimento para o tratamento dos mesmos;

d) Ser necessário à declaração, exercício ou defesa de um direito em processo judicial e for efectuado exclusivamente com essa finalidade.

4 – O tratamento dos dados referentes à saúde e à vida sexual, incluindo os dados genéticos, é permitido quando for necessário para efeitos de medicina preventiva, de diagnóstico médico, de prestação de cuidados ou tratamentos médicos ou de gestão de serviços de saúde, desde que o tratamento desses dados seja efectuado por um profissional de saúde obrigado a sigilo ou por outra pessoa sujeita igualmente a segredo profissional, seja notificado à CNPD, nos termos do artigo 27.º, e sejam garantidas medidas adequadas de segurança da informação.

Artigo 8.º Suspeitas de actividades ilícitas, infracções penais e contra-ordenações

1 – A criação e manutenção de registos centrais relativos a pessoas suspeitas de actividades ilícitas, infracções penais, contra-ordenações e decisões que apliquem penas, medidas de segurança, coimas e sanções acessórias só pode ser mantida por serviços públicos com competência específica prevista na respectiva lei de organização e funcionamento, observando normas procedimentais e de protecção de dados previstas em diploma legal, com prévio parecer da CNPD.

2 – O tratamento de dados pessoais relativos a suspeitas de actividades ilícitas, infracções penais, contra-ordenações e decisões que apliquem penas, medidas de segurança, coimas e sanções acessórias pode ser autorizado pela CNPD, observadas as normas de protecção de dados e de segurança da informação, quando tal tratamento for necessário à execução de finalidades legítimas do seu responsável, desde que não prevaleçam os direitos, liberdades e garantias do titular dos dados.

3 – O tratamento de dados pessoais para fins de investigação policial deve limitar-se ao necessário para a prevenção de um perigo concreto ou repressão de uma infracção determinada, para o exercício de competências previstas no respectivo estatuto orgânico ou noutra disposição legal e ainda nos termos de acordo ou convenção internacional de que Portugal seja parte.

Artigo 9.º Interconexão de dados pessoais

1 – A interconexão de dados pessoais que não esteja prevista em disposição legal está sujeita a autorização da CNPD solicitada pelo responsável ou em conjunto pelos correspondentes responsáveis dos tratamentos, nos termos previstos no artigo 27.º.

2 – A interconexão de dados pessoais deve ser adequada à prossecução das finalidades legais ou estatutárias e de interesses legítimos dos responsáveis dos tratamentos, não implicar discriminação ou diminuição dos direitos, liberdades e garantias dos titulares dos dados, ser rodeada de adequadas medidas de segurança e ter em conta o tipo de dados objecto de interconexão.

Secção II – Direitos do titular dos dados

Artigo 10.º Direito de informação

1 – Quando recolher dados pessoais directamente do seu titular, o responsável pelo tratamento ou o seu representante deve prestar-lhe, salvo se já dele forem conhecidas, as seguintes informações:

a) Identidade do responsável pelo tratamento e, se for caso disso, do seu representante;

b) Finalidades do tratamento;

c) Outras informações, tais como:

Os destinatários ou categorias de destinatários dos dados;

O carácter obrigatório ou facultativo da resposta, bem como as possíveis consequências se não responder;

A existência e as condições do direito de acesso e de rectificação, desde que sejam necessárias, tendo em conta as circunstâncias específicas da recolha dos dados, para garantir ao seu titular um tratamento leal dos mesmos.

2 – Os documentos que sirvam de base à recolha de dados pessoais devem conter as informações constantes do número anterior.

3 – Se os dados não forem recolhidos junto do seu titular, e salvo se dele já forem conhecidas, o responsável pelo tratamento, ou o seu representante, deve prestar-lhe as informações previstas no n.º 1 no momento do registo dos dados ou, se estiver prevista a comunicação a terceiros, o mais tardar aquando da primeira comunicação desses dados.

4 – No caso de recolha de dados em redes abertas, o titular dos dados deve ser informado, salvo se disso já tiver conhecimento, de que os seus dados pessoais podem circular na rede sem condições de segurança, correndo o risco de serem vistos e utilizados por terceiros não autorizados.

5 – A obrigação de informação pode ser dispensada, mediante disposição legal ou deliberação da CNPD, por motivos de segurança do Estado e prevenção ou investigação criminal, e, bem assim, quando, nomeadamente no caso do tratamento de dados com finalidades estatísticas, históricas ou de investigação científica, a informação do titular dos dados se revelar impossível ou implicar esforços desproporcionados ou ainda quando a lei determinar expressamente o registo dos dados ou a sua divulgação.

6 – A obrigação de informação, nos termos previstos no presente artigo, não se aplica ao tratamento de dados efectuado para fins exclusivamente jornalísticos ou de expressão artística ou literária.

Artigo 11.º Direito de acesso

1 – O titular dos dados tem o direito de obter do responsável pelo tratamento, livremente e sem restrições, com periodicidade razoável e sem demoras ou custos excessivos:

a) A confirmação de serem ou não tratados dados que lhe digam respeito, bem como informação sobre as finalidades desse tratamento, as categorias de dados sobre que incide e os destinatários ou categorias de destinatários a quem são comunicados os dados;

b) A comunicação, sob forma inteligível, dos seus dados sujeitos a tratamento e de quaisquer informações disponíveis sobre a origem desses dados;

c) O conhecimento da lógica subjacente ao tratamento automatizado dos dados que lhe digam respeito;

d) A rectificação, o apagamento ou o bloqueio dos dados cujo tratamento não cumpra o disposto na presente lei, nomeadamente devido ao carácter incompleto ou inexacto desses dados;

e) A notificação aos terceiros a quem os dados tenham sido comunicados de qualquer rectificação, apagamento ou bloqueio efectuado nos termos da alínea d), salvo se isso for comprovadamente impossível.

2 – No caso de tratamento de dados pessoais relativos à segurança do Estado e à prevenção ou investigação criminal, o direito de acesso é exercido através da CNPD ou de outra autoridade independente a quem a lei atribua a verificação do cumprimento da legislação de protecção de dados pessoais.

3 – No caso previsto no n.º 6 do artigo anterior, o direito de acesso é exercido através da CNPD com salvaguarda das normas constitucionais aplicáveis, designadamente as que garantem a liberdade de expressão e informação, a liberdade de imprensa e a independência e sigilo profissionais dos jornalistas.

4 – Nos casos previstos nos n.os 2 e 3, se a comunicação dos dados ao seu titular puder prejudicar a segurança do Estado, a prevenção ou a investigação criminal ou ainda a liberdade de expressão e informação ou a liberdade de imprensa, a CNPD limita-se a informar o titular dos dados das diligências efectuadas.

5 – O direito de acesso à informação relativa a dados da saúde, incluindo os dados genéticos, é exercido por intermédio de médico escolhido pelo titular dos dados.

6 – No caso de os dados não serem utilizados para tomar medidas ou decisões em relação a pessoas determinadas, a lei pode restringir o direito de acesso nos casos em que manifestamente não exista qualquer perigo de violação dos direitos, liberdades e garantias do titular dos dados, designadamente do direito à vida privada, e os referidos dados forem exclusivamente utilizados para fins de investigação científica ou conservados sob forma de dados pessoais durante um período que não exceda o necessário à finalidade exclusiva de elaborar estatísticas.

Artigo 12.º Direito de oposição do titular dos dados

O titular dos dados tem o direito de:

a) Salvo disposição legal em contrário, e pelo menos nos casos referidos nas alíneas d) e e) do artigo 6.º, se opor em qualquer altura, por razões ponderosas e legítimas relacionadas com a sua situação particular, a que os dados que lhe digam respeito sejam objecto de tratamento, devendo, em caso de oposição justificada, o tratamento efectuado pelo responsável deixar de poder incidir sobre esses dados;

b) Se opor, a seu pedido e gratuitamente, ao tratamento dos dados pessoais que lhe digam respeito previsto pelo responsável pelo tratamento para efeitos de marketing directo ou qualquer outra forma de prospecção, ou de ser informado, antes de os dados pessoais serem comunicados pela primeira vez a terceiros para fins de marketing directo ou utilizados por conta de terceiros, e de lhe ser expressamente facultado o direito de se opor, sem despesas, a tais comunicações ou utilizações.

Artigo 13.º Decisões individuais automatizadas

1 – Qualquer pessoa tem o direito de não ficar sujeita a uma decisão que produza efeitos na sua esfera jurídica ou que a afecte de modo significativo, tomada exclusivamente com base num tratamento automatizado de dados destinado a avaliar determinados aspectos da sua personalidade, designadamente a sua capacidade profissional, o seu crédito, a confiança de que é merecedora ou o seu comportamento.

2 – Sem prejuízo do cumprimento das restantes disposições da presente lei, uma pessoa pode ficar sujeita a uma decisão tomada nos termos do n.º 1, desde que tal ocorra no âmbito da celebração ou da execução de um contrato, e sob condição de o seu pedido de celebração ou execução do contrato ter sido satisfeito, ou de existirem medidas adequadas que garantam a defesa dos seus interesses legítimos, designadamente o seu direito de representação e expressão.

3 – Pode ainda ser permitida a tomada de uma decisão nos termos do n.º 1 quando a CNPD o autorize, definindo medidas de garantia da defesa dos interesses legítimos do titular dos dados.

Secção III – Segurança e confidencialidade do tratamento

Artigo 14.º Segurança do tratamento

1 – O responsável pelo tratamento deve pôr em prática as medidas técnicas e organizativas adequadas para proteger os dados pessoais contra a destruição, acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede, e contra qualquer outra forma de tratamento ilícito; estas medidas devem assegurar, atendendo aos conhecimentos técnicos disponíveis e aos custos resultantes da sua aplicação, um nível de segurança adequado em relação aos riscos que o tratamento apresenta e à natureza dos dados a proteger.

2 – O responsável pelo tratamento, em caso de tratamento por sua conta, deverá escolher um subcontratante que ofereça garantias suficientes em relação às medidas de segurança técnica e de organização do tratamento a efectuar, e deverá zelar pelo cumprimento dessas medidas.

3 – A realização de operações de tratamento em subcontratação deve ser regida por um contrato ou acto jurídico que vincule o subcontratante ao responsável pelo tratamento e que estipule, designadamente, que o subcontratante apenas actua mediante instruções do responsável pelo tratamento e que lhe incumbe igualmente o cumprimento das obrigações referidas no n.º 1.

4 – Os elementos de prova da declaração negocial, do contrato ou do acto jurídico relativos à protecção dos dados, bem como as exigências relativas às medidas referidas no n.º 1, são consignados por escrito em documento em suporte com valor probatório legalmente reconhecido.

Artigo 15.º Medidas especiais de segurança

1 – Os responsáveis pelo tratamento dos dados referidos no n.o 2 do artigo 7.º e no n.º 1 do artigo 8.º devem tomar as medidas adequadas para:

a) Impedir o acesso de pessoa não autorizada às instalações utilizadas para o tratamento desses dados (controlo da entrada nas instalações);

b) Impedir que suportes de dados possam ser lidos, copiados, alterados ou retirados por pessoa não autorizada (controlo dos suportes de dados);

c) Impedir a introdução não autorizada, bem como a tomada de conhecimento, a alteração ou a eliminação não autorizadas de dados pessoais inseridos (controlo da inserção);

d) Impedir que sistemas de tratamento automatizados de dados possam ser utilizados por pessoas não autorizadas através de instalações de transmissão de dados (controlo da utilização);

e) Garantir que as pessoas autorizadas só possam ter acesso aos dados abrangidos pela autorização (controlo de acesso);

f) Garantir a verificação das entidades a quem possam ser transmitidos os dados pessoais através das instalações de transmissão de dados (controlo da transmissão);

g) Garantir que possa verificar-se a posteriori, em prazo adequado à natureza do tratamento, a fixar na regulamentação aplicável a cada sector, quais os dados pessoais introduzidos quando e por quem (controlo da introdução);

h) Impedir que, na transmissão de dados pessoais, bem como no transporte do seu suporte, os dados possam ser lidos, copiados, alterados ou eliminados de forma não autorizada (controlo do transporte).

2 – Tendo em conta a natureza das entidades responsáveis pelo tratamento e o tipo das instalações em que é efectuado, a CNPD pode dispensar a existência de certas medidas de segurança, garantido que se mostre o respeito pelos direitos, liberdades e garantias dos titulares dos dados.

3 – Os sistemas devem garantir a separação lógica entre os dados referentes à saúde e à vida sexual, incluindo os genéticos, dos restantes dados pessoais.

4 – A CNPD pode determinar que, nos casos em que a circulação em rede de dados pessoais referidos nos artigos 7.º e 8.º possa pôr em risco direitos, liberdades e garantias dos respectivos titulares, a transmissão seja cifrada.

Artigo 16.º Tratamento por subcontratante

Qualquer pessoa que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, bem como o próprio subcontratante, tenha acesso a dados pessoais não pode proceder ao seu tratamento sem instruções do responsável pelo tratamento, salvo por força de obrigações legais.

Artigo 17.º Sigilo profissional

1 – Os responsáveis do tratamento de dados pessoais, bem como as pessoas que, no exercício das suas funções, tenham conhecimento dos dados pessoais tratados, ficam obrigados a sigilo profissional, mesmo após o termo das suas funções.

2 – Igual obrigação recai sobre os membros da CNPD, mesmo após o termo do mandato.

3 – O disposto nos números anteriores não exclui o dever do fornecimento das informações obrigatórias, nos termos legais, excepto quando constem de ficheiros organizados para fins estatísticos.

4 – Os funcionários, agentes ou técnicos que exerçam funções de assessoria à CNPD ou aos seus vogais estão sujeitos à mesma obrigação de sigilo profissional.

Capítulo III – Transferência de dados pessoais

Secção I – Transferência de dados pessoais na União Europeia

Artigo 18.º Princípio

É livre a circulação de dados pessoais entre Estados membros da União Europeia, sem prejuízo do disposto nos actos comunitários de natureza fiscal e aduaneira.

Secção II – Transferência de dados pessoais para fora da União Europeia

Artigo 19.º Princípios

1 – Sem prejuízo do disposto no artigo seguinte, a transferência, para um Estado que não pertença à União Europeia, de dados pessoais que sejam objecto de tratamento ou que se destinem a sê-lo só pode realizar-se com o respeito das disposições da presente lei e se o Estado para onde são transferidos assegurar um nível de protecção adequado.

2 – A adequação do nível de protecção num Estado que não pertença à União Europeia é apreciada em função de todas as circunstâncias que rodeiem a transferência ou o conjunto de transferências de dados; em especial, devem ser tidas em consideração a natureza dos dados, a finalidade e a duração do tratamento ou tratamentos projectados, os países de origem e de destino final, as regras de direito, gerais ou sectoriais, em vigor no Estado em causa, bem como as regras profissionais e as medidas de segurança que são respeitadas nesse Estado.

3 – Cabe à CNPD decidir se um Estado que não pertença à União Europeia assegura um nível de protecção adequado.

4 – A CNPD comunica, através do Ministério dos Negócios Estrangeiros, à Comissão Europeia os casos em que tenha considerado que um Estado não assegura um nível de protecção adequado.

5 – Não é permitida a transferência de dados pessoais de natureza idêntica aos que a Comissão Europeia tiver considerado que não gozam de protecção adequada no Estado a que se destinam.

Artigo 20.º Derrogações

1 – A transferência de dados pessoais para um Estado que não assegure um nível de protecção adequado na acepção do n.º 2 do artigo 19.º pode ser permitida pela CNPD se o titular dos dados tiver dado de forma inequívoca o seu consentimento à transferência ou se essa transferência:

a) For necessária para a execução de um contrato entre o titular dos dados e o responsável pelo tratamento ou de diligências prévias à formação do contrato decididas a pedido do titular dos dados;

b) For necessária para a execução ou celebração de um contrato celebrado ou a celebrar, no interesse do titular dos dados, entre o responsável pelo tratamento e um terceiro; ou

c) For necessária ou legalmente exigida para a protecção de um interesse público importante, ou para a declaração, o exercício ou a defesa de um direito num processo judicial; ou

d) For necessária para proteger os interesses vitais do titular dos dados; ou

e) For realizada a partir de um registo público que, nos termos de disposições legislativas ou regulamentares, se destine à informação do público e se encontre aberto à consulta do público em geral ou de qualquer pessoa que possa provar um interesse legítimo, desde que as condições estabelecidas na lei para a consulta sejam cumpridas no caso concreto.

2 – Sem prejuízo do disposto no n.º 1, a CNPD pode autorizar uma transferência ou um conjunto de transferências de dados pessoais para um Estado que não assegure um nível de protecção adequado na acepção do n.º 2 do artigo 19.º, desde que o responsável pelo tratamento assegure mecanismos suficientes de garantia de protecção da vida privada e dos direitos e liberdades fundamentais das pessoas, bem como do seu exercício, designadamente, mediante cláusulas contratuais adequadas.

3 – A CNPD informa a Comissão Europeia, através do Ministério dos Negócios Estrangeiros, bem como as autoridades competentes dos restantes Estados da União Europeia, das autorizações que conceder nos termos do n.º 2.

4 – A concessão ou derrogação das autorizações previstas no n.º 2 efectua-se pela CNPD nos termos de processo próprio e de acordo com as decisões da Comissão Europeia.

5 – Sempre que existam cláusulas contratuais-tipo aprovadas pela Comissão Europeia, segundo procedimento próprio, por oferecerem as garantias suficientes referidas no n.º 2, a CNPD autoriza a transferência de dados pessoais que se efectue ao abrigo de tais cláusulas.

6 – A transferência de dados pessoais que constitua medida necessária à protecção da segurança do Estado, da defesa, da segurança pública e da prevenção, investigação e repressão das infracções penais é regida por disposições legais específicas ou pelas convenções e acordos internacionais em que Portugal é parte.

Capítulo IV – Comissão Nacional de Protecção de Dados

Secção I – Natureza, atribuições e competências

Artigo 21.º Natureza

1 – A CNPD é uma entidade administrativa independente, com poderes de autoridade, que funciona junto da Assembleia da República.

2 – A CNPD, independentemente do direito nacional aplicável a cada tratamento de dados em concreto, exerce as suas competências em todo o território nacional.

3 – A CNPD pode ser solicitada a exercer os seus poderes por uma autoridade de controlo de protecção de dados de outro Estado membro da União Europeia ou do Conselho da Europa.

4 – A CNPD coopera com as autoridades de controlo de protecção de dados de outros Estados na difusão do direito e das regulamentações nacionais em matéria de protecção de dados pessoais, bem como na defesa e no exercício dos direitos de pessoas residentes no estrangeiro.

Artigo 22.º Atribuições

1 – A CNPD é a autoridade nacional que tem como atribuição controlar e fiscalizar o cumprimento das disposições legais e regulamentares em matéria de protecção de dados pessoais, em rigoroso respeito pelos direitos do homem e pelas liberdades e garantias consagradas na Constituição e na lei.

2 – A CNPD deve ser consultada sobre quaisquer disposições legais, bem como sobre instrumentos jurídicos em preparação em instituições comunitárias ou internacionais, relativos ao tratamento de dados pessoais.

3 – A CNPD dispõe:

a) De poderes de investigação e de inquérito, podendo aceder aos dados objecto de tratamento e recolher todas as informações necessárias ao desempenho das suas funções de controlo;

b) De poderes de autoridade, designadamente o de ordenar o bloqueio, apagamento ou destruição dos dados, bem como o de proibir, temporária ou definitivamente, o tratamento de dados pessoais, ainda que incluídos em redes abertas de transmissão de dados a partir de servidores situados em território português;

c) Do poder de emitir pareceres prévios ao tratamentos de dados pessoais, assegurando a sua publicitação.

4 – Em caso de reiterado não cumprimento das disposições legais em matéria de dados pessoais, a CNPD pode advertir ou censurar publicamente o responsável pelo tratamento, bem como suscitar a questão, de acordo com as respectivas competências, à Assembleia da República, ao Governo ou a outros órgãos ou autoridades.

5 – A CNPD tem legitimidade para intervir em processos judiciais no caso de violação das disposições da presente lei e deve denunciar ao Ministério Público as infracções penais de que tiver conhecimento, no exercício das suas funções e por causa delas, bem como praticar os actos cautelares necessários e urgentes para assegurar os meios de prova.

6 – A CNPD é representada em juízo pelo Ministério Público e está isenta de custas nos processos em que intervenha.

Artigo 23.º Competências

1 – Compete em especial à CNPD:

a) Emitir parecer sobre disposições legais, bem como sobre instrumentos jurídicos em preparação em instituições comunitárias e internacionais, relativos ao tratamento de dados pessoais;

b) Autorizar ou registar, consoante os casos, os tratamentos de dados pessoais;

c) Autorizar excepcionalmente a utilização de dados pessoais para finalidades não determinantes da recolha, com respeito pelos princípios definidos no artigo 5.º;

d) Autorizar, nos casos previstos no artigo 9.º, a interconexão de tratamentos automatizados de dados pessoais;

e) Autorizar a transferência de dados pessoais nos casos previstos no artigo 20.º;

f) Fixar o tempo da conservação dos dados pessoais em função da finalidade, podendo emitir directivas para determinados sectores de actividade;

g) Fazer assegurar o direito de acesso à informação, bem como do exercício do direito de rectificação e actualização;

h) Autorizar a fixação de custos ou de periodicidade para o exercício do direito de acesso, bem como fixar os prazos máximos de cumprimento, em cada sector de actividade, das obrigações que, por força dos artigos 11.º a 13.º, incumbem aos responsáveis pelo tratamento de dados pessoais;

i) Dar seguimento ao pedido efectuado por qualquer pessoa, ou por associação que a represente, para protecção dos seus direitos e liberdades no que diz respeito ao tratamento de dados pessoais e informá-la do resultado;

j) Efectuar, a pedido de qualquer pessoa, a verificação da licitude de um tratamento de dados, sempre que esse tratamento esteja sujeito a restrições de acesso ou de informação, e informá-la da realização da verificação;

k) Apreciar as reclamações, queixas ou petições dos particulares;

l) Dispensar a execução de medidas de segurança, nos termos previstos no n.º 2 do artigo 15.º, podendo emitir directivas para determinados sectores de actividade;

m) Assegurar a representação junto de instâncias comuns de controlo e em reuniões comunitárias e internacionais de entidades independentes de controlo da protecção de dados pessoais, bem como participar em reuniões internacionais no âmbito das suas competências, designadamente exercer funções de representação e fiscalização no âmbito dos sistemas Schengen e Europol, nos termos das disposições aplicáveis;

n) Deliberar sobre a aplicação de coimas;

o) Promover e apreciar códigos de conduta;

p) Promover a divulgação e esclarecimento dos direitos relativos à protecção de dados e dar publicidade periódica à sua actividade, nomeadamente através da publicação de um relatório anual;

q) Exercer outras competências legalmente previstas.

2 – No exercício das suas competências de emissão de directivas ou de apreciação de códigos de conduta, a CNPD deve promover a audição das associações de defesa dos interesses em causa.

3 – No exercício das suas funções, a CNPD profere decisões com força obrigatória, passíveis de reclamação e de recurso para o Tribunal Central Administrativo.

4 – A CNPD pode sugerir à Assembleia da República as providências que entender úteis à prossecução das suas atribuições e ao exercício das suas competências.

Artigo 24.º Dever de colaboração

1 – As entidades públicas e privadas devem prestar a sua colaboração à CNPD, facultando-lhe todas as informações que por esta, no exercício das suas competências, lhe forem solicitadas.

2 – O dever de colaboração é assegurado, designadamente, quando a CNPD tiver necessidade, para o cabal exercício das suas funções, de examinar o sistema informático e os ficheiros de dados pessoais, bem como toda a documentação relativa ao tratamento e transmissão de dados pessoais.

3 – A CNPD ou os seus vogais, bem como os técnicos por ela mandatados, têm direito de acesso aos sistemas informáticos que sirvam de suporte ao tratamento dos dados, bem como à documentação referida no número anterior, no âmbito das suas atribuições e competências.

Secção II – Composição e funcionamento

Artigo 25.º Composição e mandato

1 – A CNPD é composta por sete membros de integridade e mérito reconhecidos, dos quais o presidente e dois dos vogais são eleitos pela Assembleia da República segundo o método da média mais alta de Hondt.

2 – Os restantes vogais são:

a) Dois magistrados com mais de 10 anos de carreira, sendo um magistrado judicial, designado pelo Conselho Superior da Magistratura, e um magistrado do Ministério Público, designado pelo Conselho Superior do Ministério Público;

b) Duas personalidades de reconhecida competência designadas pelo Governo.

3 – O mandato dos membros da CNPD é de cinco anos e cessa com a posse dos novos membros.

4 – Os membros da CNPD constam de lista publicada na 1.ª série do Diário da República.

5 – Os membros da CNPD tomam posse perante o Presidente da Assembleia da República nos 10 dias seguintes à publicação da lista referida no número anterior.

Artigo 26.º Funcionamento

1 – São aprovados por lei da Assembleia da República:

a) A lei orgânica e o quadro de pessoal da CNPD;

b) O regime de incompatibilidades, de impedimentos, de suspeições e de perda de mandato, bem como o estatuto remuneratório dos membros da CNPD.

2 – O estatuto dos membros da CNPD garante a independência do exercício das suas funções.

3 – A Comissão dispõe de quadro próprio para apoio técnico e administrativo, beneficiando os seus funcionários e agentes do estatuto e regalias do pessoal da Assembleia da República.

Secção III – Notificação

Artigo 27.º Obrigação de notificação à CNPD

1 – O responsável pelo tratamento ou, se for caso disso, o seu representante deve notificar a CNPD antes da realização de um tratamento ou conjunto de tratamentos, total ou parcialmente automatizados, destinados à prossecução de uma ou mais finalidades interligadas.

2 – A CNPD pode autorizar a simplificação ou a isenção da notificação para determinadas categorias de tratamentos que, atendendo aos dados a tratar, não sejam susceptíveis de pôr em causa os direitos e liberdades dos titulares dos dados e tenham em conta critérios de celeridade, economia e eficiência.

3 – A autorização, que está sujeita a publicação no Diário da República, deve especificar as finalidades do tratamento, os dados ou categorias de dados a tratar, a categoria ou categorias de titulares dos dados, os destinatários ou categorias de destinatários a quem podem ser comunicados os dados e o período de conservação dos dados.

4 – Estão isentos de notificação os tratamentos cuja única finalidade seja a manutenção de registos que, nos termos de disposições legislativas ou regulamentares, se destinem a informação do público e possam ser consultados pelo público em geral ou por qualquer pessoa que provar um interesse legítimo.

5 – Os tratamentos não automatizados dos dados pessoais previstos no n.º 1 do artigo 7.º estão sujeitos a notificação quando tratados ao abrigo da alínea a) do n.º 3 do mesmo artigo.

Artigo 28.º Controlo prévio

1 – Carecem de autorização da CNPD:

a)O tratamento dos dados pessoais a que se referem o n.º 2 do artigo 7.º e o n.º 2 do artigo 8.º;

b) O tratamento dos dados pessoais relativos ao crédito e à solvabilidade dos seus titulares;

c) A interconexão de dados pessoais prevista no artigo 9.º;

d) A utilização de dados pessoais para fins não determinantes da recolha.

2 – Os tratamentos a que se refere o número anterior podem ser autorizados por diploma legal, não carecendo neste caso de autorização da CNPD.

Artigo 29.º Conteúdo dos pedidos de parecer ou de autorização e da notificação

Os pedidos de parecer ou de autorização, bem como as notificações, remetidos à CNPD devem conter as seguintes informações:

a) Nome e endereço do responsável pelo tratamento e, se for o caso, do seu representante;

b) As finalidades do tratamento;

c) Descrição da ou das categorias de titulares dos dados e dos dados ou categorias de dados pessoais que lhes respeitem;

d) Destinatários ou categorias de destinatários a quem os dados podem ser comunicados e em que condições;

e) Entidade encarregada do processamento da informação, se não for o próprio responsável do tratamento;

f) Eventuais interconexões de tratamentos de dados pessoais;

g) Tempo de conservação dos dados pessoais;

h) Forma e condições como os titulares dos dados podem ter conhecimento ou fazer corrigir os dados pessoais que lhes respeitem;

i) Transferências de dados previstas para países terceiros;

j) Descrição geral que permita avaliar de forma preliminar a adequação das medidas tomadas para garantir a segurança do tratamento em aplicação dos artigos 14.º e 15.º.

Artigo 30.º Indicações obrigatórias

1 – Os diplomas legais referidos no n.o 2 do artigo 7.º e no n.º 1 do artigo 8.º, bem como as autorizações da CNPD e os registos de tratamentos de dados pessoais devem, pelo menos, indicar:

a) O responsável do ficheiro e, se for caso disso, o seu representante;

b) As categorias de dados pessoais tratados;

c) As finalidades a que se destinam os dados e as categorias de entidades a quem podem ser transmitidos;

d) A forma de exercício do direito de acesso e de rectificação;

e) Eventuais interconexões de tratamentos de dados pessoais;

f) Transferências de dados previstas para países terceiros.

2 – Qualquer alteração das indicações constantes do n.º 1 está sujeita aos procedimentos previstos nos artigos 27.º e 28.º.

Artigo 31.º Publicidade dos tratamentos

1 – O tratamento dos dados pessoais, quando não for objecto de diploma legal e dever ser autorizado ou notificado, consta de registo na CNPD, aberto à consulta por qualquer pessoa.

2 – O registo contém as informações enumeradas nas alíneas a) a d) e i) do artigo 29.º.

3 – O responsável por tratamento de dados não sujeito a notificação está obrigado a prestar, de forma adequada, a qualquer pessoa que lho solicite, pelo menos as informações referidas no n.º 1 do artigo 30.º.

4 – O disposto no presente artigo não se aplica a tratamentos cuja única finalidade seja a manutenção de registos que, nos termos de disposições legislativas ou regulamentares, se destinem à informação do público e se encontrem abertos à consulta do público em geral ou de qualquer pessoa que possa provar um interesse legítimo.

5 – A CNPD deve publicar no seu relatório anual todos os pareceres e autorizações elaborados ou concedidas ao abrigo da presente lei, designadamente as autorizações previstas no n.º 2 do artigo 7.º e no n.º 2 do artigo 9.º.

Capítulo V – Códigos de conduta

Artigo 32.º Códigos de conduta

1 – A CNPD apoia a elaboração de códigos de conduta destinados a contribuir, em função das características dos diferentes sectores, para a boa execução das disposições da presente lei.

2 – As associações profissionais e outras organizações representativas de categorias de responsáveis pelo tratamento de dados que tenham elaborado projectos de códigos de conduta podem submetê-los à apreciação da CNPD.

3 – A CNPD pode declarar a conformidade dos projectos com as disposições legais e regulamentares vigentes em matéria de protecção de dados pessoais.

Capítulo VI – Tutela administrativa e jurisdicional

Secção I – Tutela administrativa e jurisdicional

Artigo 33.º Tutela administrativa e jurisdicional

Sem prejuízo do direito de apresentação de queixa à CNPD, qualquer pessoa pode, nos termos da lei, recorrer a meios administrativos ou jurisdicionais para garantir o cumprimento das disposições legais em matéria de protecção de dados pessoais.

Artigo 34.º Responsabilidade civil

1 – Qualquer pessoa que tiver sofrido um prejuízo devido ao tratamento ilícito de dados ou a qualquer outro acto que viole disposições legais em matéria de protecção de dados pessoais tem o direito de obter do responsável a reparação pelo prejuízo sofrido.

2 – O responsável pelo tratamento pode ser parcial ou totalmente exonerado desta responsabilidade se provar que o facto que causou o dano lhe não é imputável.

Secção II – Contra-ordenações

Artigo 35.º Legislação subsidiária

Às infracções previstas na presente secção é subsidiariamente aplicável o regime geral das contra-ordenações, com as adaptações constantes dos artigos seguintes.

Artigo 36.º Cumprimento do dever omitido

Sempre que a contra-ordenação resulte de omissão de um dever, a aplicação da sanção e o pagamento da coima não dispensam o infractor do seu cumprimento, se este ainda for possível.

Artigo 37.º Omissão ou defeituoso cumprimento de obrigações

1 – As entidades que, por negligência, não cumpram a obrigação de notificação à CNPD do tratamento de dados pessoais a que se referem os n.os 1 e 5 do artigo 27.º, prestem falsas informações ou cumpram a obrigação de notificação com inobservância dos termos previstos no artigo 29.º, ou ainda quando, depois de notificadas pela CNPD, mantiverem o acesso às redes abertas de transmissão de dados a responsáveis por tratamento de dados pessoais que não cumpram as disposições da presente lei, praticam contra-ordenação punível com as seguintes coimas:

a) Tratando-se de pessoa singular, no mínimo de 50 000$ e no máximo de 500 000$;

b) Tratando-se de pessoa colectiva ou de entidade sem personalidade jurídica, no mínimo de 300 000$ e no máximo de 3 000 000$.

2 – A coima é agravada para o dobro dos seus limites quando se trate de dados sujeitos a controlo prévio, nos termos do artigo 28.º.

Artigo 38.º Contra-ordenações

1 – Praticam contra-ordenação punível com a coima mínima de 100 000$ e máxima de 1 000 000$, as entidades que não cumprirem alguma das seguintes disposições da presente lei:

a) Designar representante nos termos previstos no n.º 5 do artigo 4.º;

b) Observar as obrigações estabelecidas nos artigos 5.º, 10.º, 11.º, 12.º, 13.º, 15.º, 16.º e 31.º, n.º 3.

2 – A pena é agravada para o dobro dos seus limites quando não forem cumpridas as obrigações constantes dos artigos 6.º, 7.º, 8.º, 9.º, 19.º e 20.º.

Artigo 39.º Concurso de infracções

1 – Se o mesmo facto constituir, simultaneamente, crime e contra-ordenação, o agente é punido sempre a título de crime.

2 – As sanções aplicadas às contra-ordenações em concurso são sempre cumuladas materialmente.

Artigo 40.º Punição da negligência e da tentativa

1 – A negligência é sempre punida nas contra-ordenações previstas no artigo 38.º.

2 – A tentativa é sempre punível nas contra-ordenações previstas nos artigos 37.º e 38.º.

Artigo 41.º Aplicação das coimas

1 – A aplicação das coimas previstas na presente lei compete ao Presidente da CNPD, sob prévia deliberação da Comissão.

2 – A deliberação da CNPD, depois de homologada pelo Presidente, constitui título executivo, no caso de não ser impugnada no prazo legal.

Artigo 42.º Destino das receitas cobradas

O montante das importâncias cobradas, em resultado da aplicação das coimas, reverte, em partes iguais, para o Estado e para a CNPD.

Secção III – Crimes

Artigo 43.º Não cumprimento de obrigações relativas a protecção de dados

1 – É punido com prisão até um ano ou multa até 120 dias quem intencionalmente:

a) Omitir a notificação ou o pedido de autorização a que se referem os artigos 27.º e 28.º;

b) Fornecer falsas informações na notificação ou nos pedidos de autorização para o tratamento de dados pessoais ou neste proceder a modificações não consentidas pelo instrumento de legalização;

c) Desviar ou utilizar dados pessoais, de forma incompatível com a finalidade determinante da recolha ou com o instrumento de legalização;

d) Promover ou efectuar uma interconexão ilegal de dados pessoais;

e) Depois de ultrapassado o prazo que lhes tiver sido fixado pela CNPD para cumprimento das obrigações previstas na presente lei ou em outra legislação de protecção de dados, as não cumprir;

f) Depois de notificado pela CNPD para o não fazer, mantiver o acesso a redes abertas de transmissão de dados a responsáveis pelo tratamento de dados pessoais que não cumpram as disposições da presente lei.

2 – A pena é agravada para o dobro dos seus limites quando se tratar de dados pessoais a que se referem os artigos 7.º e 8.º.

Artigo 44.º Acesso indevido

1 – Quem, sem a devida autorização, por qualquer modo, aceder a dados pessoais cujo acesso lhe está vedado, é punido com prisão até um ano ou multa até 120 dias.

2 – A pena é agravada para o dobro dos seus limites quando o acesso:

a) For conseguido através de violação de regras técnicas de segurança;

b) Tiver possibilitado ao agente ou a terceiros o conhecimento de dados pessoais;

c) Tiver proporcionado ao agente ou a terceiros, benefício ou vantagem patrimonial.

3 – No caso do n.º 1 o procedimento criminal depende de queixa.

Artigo 45.º Viciação ou destruição de dados pessoais

1 – Quem, sem a devida autorização, apagar, destruir, danificar, suprimir ou modificar dados pessoais, tornando-os inutilizáveis ou afectando a sua capacidade de uso, é punido com prisão até dois anos ou multa até 240 dias.

2 – A pena é agravada para o dobro nos seus limites se o dano produzido for particularmente grave.

3 – Se o agente actuar com negligência, a pena é, em ambos os casos, de prisão até um ano ou multa até 120 dias.

Artigo 46.º Desobediência qualificada

1 – Quem, depois de notificado para o efeito, não interromper, cessar ou bloquear o tratamento de dados pessoais é punido com a pena correspondente ao crime de desobediência qualificada.

2 – Na mesma pena incorre quem, depois de notificado:

a) Recusar, sem justa causa, a colaboração que concretamente lhe for exigida nos termos do artigo 24.º;

b) Não proceder ao apagamento, destruição total ou parcial de dados pessoais;

c) Não proceder à destruição de dados pessoais, findo o prazo de conservação previsto no artigo 5.º.

Artigo 47.º Violação do dever de sigilo

1 – Quem, obrigado a sigilo profissional, nos termos da lei, sem justa causa e sem o devido consentimento, revelar ou divulgar no todo ou em parte dados pessoais é punido com prisão até dois anos ou multa até 240 dias.

2 – A pena é agravada de metade dos seus limites se o agente:

a) For funcionário público ou equiparado, nos termos da lei penal;

b) For determinado pela intenção de obter qualquer vantagem patrimonial ou outro benefício ilegítimo;

c) Puser em perigo a reputação, a honra e consideração ou a intimidade da vida privada de outrem.

3 – A negligência é punível com prisão até seis meses ou multa até 120 dias.

4 – Fora dos casos previstos no n.º 2, o procedimento criminal depende de queixa.

Artigo 48.º Punição da tentativa

Nos crimes previstos nas disposições anteriores, a tentativa é sempre punível.

Artigo 49.º Pena acessória

1 – Conjuntamente com as coimas e penas aplicadas pode, acessoriamente, ser ordenada:

a) A proibição temporária ou definitiva do tratamento, o bloqueio, o apagamento ou a destruição total ou parcial dos dados;

b) A publicidade da sentença condenatória;

c) A advertência ou censura públicas do responsável pelo tratamento, nos termos do n.º 4 do artigo 22.º.

2 – A publicidade da decisão condenatória faz-se a expensas do condenado, na publicação periódica de maior expansão editada na área da comarca da prática da infracção ou, na sua falta, em publicação periódica da comarca mais próxima, bem como através da afixação de edital em suporte adequado, por período não inferior a 30 dias.

3 – A publicação é feita por extracto de que constem os elementos da infracção e as sanções aplicadas, bem como a identificação do agente.

Capítulo VII – Disposições finais

Artigo 50.º Disposição transitória

1 – Os tratamentos de dados existentes em ficheiros manuais à data da entrada em vigor da presente lei devem cumprir o disposto nos artigos 7.º, 8.º, 10.º e 11.º no prazo de cinco anos.

2 – Em qualquer caso, o titular dos dados pode obter, a seu pedido e, nomeadamente, aquando do exercício do direito de acesso, a rectificação, o apagamento ou o bloqueio dos dados incompletos, inexactos ou conservados de modo incompatível com os fins legítimos prosseguidos pelo responsável pelo tratamento.

3 – A CNPD pode autorizar que os dados existentes em ficheiros manuais e conservados unicamente com finalidades de investigação histórica não tenham que cumprir os artigos 7.º, 8.º e 9.º, desde que não sejam em nenhum caso reutilizados para finalidade diferente.

Artigo 51.º Disposição revogatória

São revogadas as Leis n.os 10/91, de 29 de Abril, e 28/94, de 29 de Agosto.

Artigo 52.º Entrada em vigor

A presente lei entra em vigor no dia seguinte ao da sua publicação.

Aprovado em 24 de Setembro de 1998.

O Presidente da Assembleia da República, António de Almeida Santos

Publique-se.

O Presidente da República, Jorge Sampaio.

Referendada em 14 de Outubro de 1998.

O Primeiro-Ministro, António Manuel de Oliveira Guterres

REGIME JURÍDICO DOS DOCUMENTOS ELECTRÓNICOS E DA ASSINATURA DIGITAL

Decreto-Lei Nº 290-D/99, de 2 de Agosto REGIME JURÍDICO DOS DOCUMENTOS ELECTRÓNICOS E DA ASSINATURA DIGITAL

A Resolução do Conselho de Ministros nº. 115/98, de 1 de Setembro, determinou a definição do regime jurídico aplicável aos documentos electrónicos e assinatura digital, como um dos objectivos a alcançar no âmbito da Iniciativa Nacional para o Comércio Electrónico, necessário à plena afirmação do comércio electrónico.

As redes electrónicas abertas, como a Internet, têm assumido uma importância crescente na vida quotidiana dos cidadãos e dos agentes económicos, proporcionando uma teia de relações comerciais globais. Para aproveitar da melhor forma estas oportunidades, urge criar um ambiente seguro para a autenticação electrónica. Na realidade, as comunicações e o comércio electrónicos exigem assinaturas electrónicas e serviços a elas associados que permitam a autenticação electrónica dos dados.

As assinaturas electrónicas possibilitam ao utente de dados enviados electronicamente que verifique a sua origem (autenticação), bem como se os dados foram entretanto alterados (integridade). Em matéria de assinatura electrónica, o presente diploma assenta no modelo tecnológico ora prevalecente: a assinatura digital produzida através de técnicas criptográficas. Como se depreende dos estudos disponíveis sobre tecnologias de assinaturas digitais baseadas na criptografia de chaves públicas, a assinatura digital constitui, neste momento, a técnica mais reconhecida de assinatura electrónica, apresentando o mais elevado grau de segurança para as trocas de dados em redes abertas. E é esta constatação do estado da tecnologia que tem levado as experiências legislativas estrangeiras a privilegiar esta forma de assinatura electrónica.

Contudo, e considerando que em face do constante desenvolvimento tecnológico esta solução de autenticação de dados pode ser, em pouco tempo, tecnicamente ultrapassada pela afirmação de outras formas de assinatura electrónica, o regime previsto no presente diploma poderá vir a ser aplicado a outras modalidades de assinatura electrónica que satisfaçam os requisitos de segurança da assinatura digital.

A verificação da autenticidade e da integridade dos dados, facultada pelas assinaturas electrónicas, em geral, e pela assinatura digital, em particular, não prova necessariamente a identidade do signatário que cria as assinaturas electrónicas. Assim, considera-se necessário, de acordo com a prática tecnicamente recomendada e internacionalmente consagrada, instituir um sistema de confirmação por entidades certificadoras, às quais incumbe assegurar os elevados níveis de segurança do sistema indispensáveis para a criação da desejada confiança no tocante às assinaturas de documentos electrónicos.

Neste contexto, o presente diploma, por um lado, regula o reconhecimento e o valor jurídico dos documentos electrónicos e das assinaturas digitais e, por outro, confia o controle da actividade de certificação de assinaturas a uma entidade a designar e define os poderes e procedimentos desta, bem como as condições de credenciação da actividade e os direitos e os deveres das entidades certificadoras.

Esta actividade de certificação de assinaturas digitais, de harmonia com a orientação consagrada já noutros países da União Europeia, não está sujeita a autorização administrativa prévia. Importa, porém, que o Estado providencie um controle das condições de idoneidade e segurança asseguradas pelas entidades certificadoras, e desse modo ofereça ao público e ao mercado a orientação e a garantia de qualidade que são indispensáveis para a confiança nos novos meios de documentação e assinatura. De harmonia com este desiderato, prevê-se um sistema voluntário de credenciação e fiscalização das entidades certificadoras pela autoridade competente.

Com este diploma dá-se, em Portugal, o primeiro passo no sentido da consagração legal das assinaturas electrónicas, acolhendo-se, designadamente, as soluções avançadas no quadro da União Europeia, na proposta de Directiva do Parlamento Europeu e do Conselho, relativa a um quadro legal comunitário para as assinaturas electrónicas. A evolução tecnológica, que nesta matéria é constante, determinará a médio prazo a revisão, adaptação e aprofundamento do regime estabelecido no presente diploma.

Assim:

Nos termos da alínea a) do nº. 1 do artigo 198º. da Constituição, o Governo decreta, para valer como lei geral da República, o seguinte:

Capítulo I – Documentos e actos jurídicos electrónicos

Artigo 1.º Objecto

1.O presente diploma regula a validade, eficácia e valor probatório dos documentos electrónicos e a assinatura digital.

2.O regime previsto no presente diploma pode ser tornado aplicável a outras modalidades de assinatura electrónica que satisfaçam exigências de segurança idênticas às da assinatura digital.

Artigo 2.º Definições

Para os fins do presente diploma, entende-se por:

a.Documento electrónico: documento elaborado mediante processamento electrónico de dados;

b.Assinatura electrónica: resultado de um processamento electrónico de dados susceptível de constituir objecto de direito individual e exclusivo e de ser utilizado para dar a conhecer a autoria de um documento electrónico ao qual seja aposta, de modo que:

i.Identifique de forma unívoca o titular como autor do documento;

ii.A sua aposição ao documento dependa apenas da vontade do titular;

iii.A sua conexão com o documento permita detectar toda e qualquer alteração superveniente do conteúdo deste;

a.Assinatura digital: processo de assinatura electrónica baseado em sistema criptográfico assimétrico composto de um algoritmo ou série de algoritmos, mediante o qual é gerado um par de chaves assimétricas exclusivas e interdependentes, uma das quais privada e outra pública, e que permite ao titular usar a chave privada para declarar a autoria do documento electrónico ao qual a assinatura é aposta e concordância com o seu conteúdo, e ao declaratário usar a chave pública para verificar se a assinatura foi criada mediante o uso da correspondente chave privada e se o documento electrónico foi alterado depois de aposta a assinatura;

b.Chave privada: elemento do par de chaves assimétricas destinado a ser conhecido apenas pelo seu titular, mediante o qual se apõe a assinatura digital no documento electrónico, ou se decifra um documento electrónico previamente cifrado com a correspondente chave pública;

c.Chave pública: elemento do par de chaves assimétricas destinado a ser divulgado, com o qual se verifica a assinatura digital aposta no documento electrónico pelo titular do par de chaves assimétricas, ou se cifra um documento electrónico a transmitir ao titular do mesmo par de chaves;

d.Credenciação: acto pelo qual é reconhecido a uma entidade que o solicite e que exerça actividade de entidade certificadora referida na alínea h) deste artigo o preenchimento dos requisitos definidos no presente diploma para os efeitos nele previstos.

e.Autoridade credenciadora: entidade competente para a credenciação e fiscalização das entidades certificadoras;

f.Entidade certificadora: entidade ou pessoa singular ou colectiva credenciada que cria ou fornece meios para a criação das chaves, emite os certificados de assinatura, assegura a respectiva publicidade e presta outros serviços relativos a assinaturas digitais;

g.Certificado de assinatura: documento electrónico autenticado com assinatura digital e que certifique a titularidade de uma chave pública e o prazo de validade da mesma chave;

h.Validação cronológica: declaração de entidade certificadora que atesta a data e hora da criação, expedição ou recepção de um documento electrónico;

i.Endereço electrónico: identificação de um equipamento informático adequado para receber e arquivar documentos electrónicos.

Artigo 3º Forma e força probatória

1.O documento electrónico satisfaz o requisito legal de forma escrita quando o seu conteúdo seja susceptível de representação como declaração escrita.

2.Quando lhe seja aposta uma assinatura digital certificada por uma entidade credenciada e com os requisitos previstos neste diploma, o documento electrónico com o conteúdo referido no número anterior tem a força probatória de documento particular assinado, nos termos do artigo 376º do Código Civil.

3.Quando lhe seja aposta uma assinatura digital certificada por uma entidade credenciada e com os requisitos previstos neste diploma, o documento electrónico cujo conteúdo não seja susceptível de representação como declaração escrita tem a força probatória prevista no artigo 368º do Código Civil e no artigo 167º do Código de Processo Penal.

4.O disposto nos números anteriores não obsta à utilização de outro meio de comprovação da autoria e integridade de documentos electrónicos, incluindo a assinatura electrónica não conforme com os requisitos do presente diploma, desde que tal meio seja adoptado pelas partes ao abrigo de válida convenção sobre prova ou seja aceite pela pessoa a quem for oposto o documento.

5.O valor probatório dos documentos electrónicos aos quais não seja aposta uma assinatura digital certificada por uma entidade credenciada e com os requisitos previstos neste diploma é apreciado nos termos gerais de direito.

Artigo 4º Cópias de documentos

As cópias de documentos electrónicos, sobre idêntico ou diferente tipo de suporte, são válidas e eficazes nos termos gerais de direito e têm a força probatória atribuída às cópias fotográficas pelo nº 2 do artigo 387º do Código Civil e pelo artigo 168º do Código de Processo Penal, se forem observados os requisitos aí previstos.

Artigo 5º Documentos electrónicos dos organismos públicos

1.Os organismos públicos podem emitir documentos electrónicos com assinatura digital aposta em conformidade com as normas do presente diploma.

2.Nas operações relativas à criação, emissão, arquivo, reprodução, cópia e transmissão de documentos electrónicos que formalizem actos administrativos através de sistemas informáticos, incluindo a sua transmissão por meios de telecomunicações, os dados relativos ao organismo interessado e à pessoa que tenha praticado cada acto administrativo devem ser indicados de forma a torná-los facilmente identificáveis e a comprovar a função ou cargo desempenhado pela pessoa signatária de cada documento.

Artigo 6.º Comunicação de documentos electrónicos

1.O documento electrónico comunicado por um meio de telecomunicações considera-se enviado e recebido pelo destinatário se for transmitido para o endereço electrónico definido por acordo das partes e neste for recebido.

2.São oponíveis entre as partes e a terceiros a data e a hora da criação, da expedição ou da recepção de um documento electrónico que contenha uma validação cronológica emitida por uma entidade certificadora.

3.A comunicação do documento electrónico, assinado de acordo com os requisitos do presente diploma, por meio de telecomunicações que assegure a efectiva recepção equivale à remessa por via postal registada e, se a recepção for comprovada por mensagem de confirmação dirigida ao remetente pelo destinatário com assinatura digital e recebida pelo remetente, equivale à remessa por via postal registada com aviso de recepção.

4.Os dados e documentos comunicados por meio de telecomunicações consideram-se em poder do remetente até à recepção pelo destinatário.

5.Os operadores que assegurem a comunicação de documentos electrónicos por meio de telecomunicações não podem tomar conhecimento do seu conteúdo, nem duplicá-los por qualquer meio ou ceder a terceiros qualquer informação, ainda que resumida ou por extracto, sobre a existência ou sobre o conteúdo desses documentos, salvo quando se trate de informação que, pela sua natureza ou por indicação expressa do seu remetente, se destine a ser tornada pública.

Capítulo II – Assinaturas digitais

Artigo 7.º

Assinatura digital

1.A aposição de uma assinatura digital a um documento electrónico ou a uma cópia deste equivale à assinatura autógrafa dos documentos com forma escrita sobre suporte de papel e cria a presunção de que:

a.a pessoa que apôs a assinatura digital é o titular desta ou é representante, com poderes bastantes, da pessoa colectiva titular da assinatura digital;

b.a assinatura digital foi aposta com a intenção de assinar o documento electrónico;

c.o documento electrónico não sofreu alteração desde que lhe foi aposta a assinatura digital, sempre que seja utilizada para verificação uma chave pública contida em certificado válido emitido por entidade certificadora credenciada nos termos deste diploma.

1.A assinatura digital deve referir-se inequivocamente a uma só pessoa singular ou colectiva e ao documento ao qual é aposta.

2.A aposição de assinatura digital substitui, para todos os efeitos legais, a aposição de selos, carimbos, marcas ou outros sinais identificadores do seu titular.

3.Para a aposição de assinatura digital deve utilizar-se uma chave privada cuja correspondente chave pública conste de certificado válido, emitido por entidade certificadora credenciada nos termos deste diploma, e que, na data da aposição da assinatura digital, não se encontre suspenso ou revogado por decisão da entidade certificadora, e cujo prazo de validade não tenha terminado.

4.A aposição de assinatura digital cuja chave pública conste de certificado que esteja revogado, caduco ou suspenso, na data da aposição, ou não respeite as condições dele constantes equivale à falta de assinatura.

Artigo 8.º Obtenção das chaves e certificado

Quem pretenda utilizar uma assinatura digital para os fins deste diploma deve, nos termos do nº 1 do artigo 29.º, criar ou obter a emissão de um par de chaves assimétricas, bem como obter o certificado da respectiva chave pública emitido por entidade certificadora credenciada nos termos deste diploma.

Capítulo III – Certificação

Secção I – Acesso à actividade de certificação

Artigo 9º Livre acesso à actividade de certificação

É livre o exercício da actividade de entidade certificadora referida na alínea h) do artigo 2º, sendo facultativa a solicitação da credenciação regulada nos artigos 11º e seguintes.

Artigo 10.º Livre escolha da entidade certificadora

1.É livre a escolha da entidade certificadora.

2.A escolha de entidade determinada não pode constituir condição de oferta ou de celebração de qualquer negócio jurídico.

Artigo 11º Entidade competente para a credenciação

A credenciação de entidades certificadoras para efeitos do presente diploma compete à entidade, a designar nos termos do artigo 40º, adiante designado autoridade credenciadora.

Artigo 12.º Credenciação da entidade certificadora

Será concedida a credenciação de entidades certificadoras de assinaturas digitais, mediante pedido apresentado à autoridade credenciadora, a entidades que satisfaçam os seguintes requisitos:

a.Estejam dotadas de capital e meios financeiros adequados;

b.Dêem garantias de absoluta integridade e independência no exercício da actividade de certificação de assinaturas digitais;

c.Disponham de recursos técnicos e humanos que satisfaçam os padrões de segurança e de eficácia que sejam previstos na regulamentação a que se refere o artigo 38º;

d.Mantenham contrato de seguro válido para cobertura adequada da responsabilidade civil emergente da actividade de certificação.

Artigo 13º Pedido de credenciação

1.O pedido de credenciação de entidade certificadora de assinaturas digitais será instruído com os seguintes documentos:

a.Estatutos da pessoa colectiva e, tratando-se de sociedade, contrato de sociedade ou, tratando-se de pessoa singular, a respectiva identificação e domicílio;

b.Tratando-se de sociedade, relação de todos os sócios, com especificação das respectivas participações, bem como dos membros dos órgãos de administração e de fiscalização, e, tratando-se de sociedade anónima, relação de todos os accionistas com participações significativas, directas ou indirectas;

c.Declarações subscritas por todas as pessoas singulares e colectivas referidas no nº 1 do artigo 15º de que não se encontram em nenhuma das situações indiciadoras de inidoneidade referidas no respectivo n.º 2.

d.Prova do substrato patrimonial e dos meios financeiros disponíveis e, designadamente, tratando-se de sociedade, da realização integral do capital social;

e.Descrição da organização interna e plano de segurança;

f.Descrição dos recursos materiais e técnicos disponíveis, incluindo características e localização de todos os imóveis utilizados;

g.Designação do auditor de segurança;

h.Programa geral da actividade prevista para os primeiros três anos;

i.Descrição geral das actividades exercidas nos últimos três anos ou no tempo decorrido desde a constituição, se for inferior, e balanço e contas dos exercícios correspondentes;

j.Comprovação de contrato de seguro válido para cobertura adequada da responsabilidade civil emergente da actividade de certificação.

2.Se à data do pedido a pessoa colectiva não estiver constituída, o pedido será instruído, em substituição do previsto na alínea a) do número anterior, com os seguintes documentos:

a.Acta da reunião em que foi deliberada a constituição;

b.Projecto de estatutos ou contrato de sociedade;

c.Declaração de compromisso, subscrita por todos os fundadores, de que no acto de constituição, e como condição dela, estará integralmente realizado o substrato patrimonial exigido por lei.

2.As declarações previstas na alínea c) do nº 1, poderão ser entregues em momento posterior ao pedido, nos termos e prazo que a autoridade credenciadora fixar.

3.Consideram-se como participações significativas, para os efeitos do presente diploma, as que igualem ou excedam dez por cento do capital da sociedade anónima.

Artigo 14.º Requisitos patrimoniais

1.As entidades certificadoras privadas, que sejam pessoas jurídicas, devem estar dotadas de capital social no valor mínimo de Esc. 40.000.000$00, ou, não sendo sociedades, do substrato patrimonial equivalente.

2.O substrato patrimonial, e designadamente o capital social mínimo de sociedade, encontrar-se-á sempre integralmente realizado à data da credenciação, se a pessoa colectiva estiver já constituída, ou será sempre integralmente realizado com a constituição da pessoa colectiva, se esta ocorrer posteriormente.

3.As entidades certificadoras que sejam pessoas singulares devem ter e manter durante toda a sua actividade um património, livre de quaisquer ónus, de valor equivalente ao previsto no nº 1.

Artigo 15.º Requisitos de idoneidade

1.A pessoa singular e, no caso de pessoa colectiva, os membros dos órgãos de administração e fiscalização, os empregados, comitidos e representantes das entidades certificadoras com acesso aos actos e instrumentos de certificação, os sócios da sociedade e, tratando-se de sociedade anónima, os accionistas com participações significativas serão sempre pessoas de reconhecida idoneidade.

2.Entre outras circunstâncias atendíveis, considera-se indiciador de falta de idoneidade o facto de a pessoa ter sido:

a.Condenada, no país ou no estrangeiro, por crime de furto, roubo, burla, burla informática e nas comunicações, extorsão, abuso de confiança, infidelidade, falsificação, falsas declarações, insolvência dolosa, insolvência negligente, favorecimento de credores, emissão de cheques sem provisão, abuso de cartão de garantia ou de crédito, apropriação ilegítima de bens do sector público ou cooperativo, administração danosa em unidade económica do sector público ou cooperativo, usura, suborno, corrupção, recepção não autorizada de depósitos ou outros fundos reembolsáveis, prática ilícita de actos ou operações inerentes à actividade seguradora ou dos fundos de pensões, branqueamento de capitais, abuso de informação, manipulação do mercado de valores mobiliários ou crime previsto no Código das Sociedades Comerciais;

b.Declarada, por sentença nacional ou estrangeira, falida ou insolvente ou julgada responsável por falência ou insolvência de empresa por ela dominada ou de cujos órgãos de administração ou fiscalização tenha sido membro;

c.Sujeita a sanções, no País ou no estrangeiro, pela prática de infracções às normas legais ou regulamentares que regem as actividades de produção, autenticação, registo e conservação de documentos, e designadamente as do notariado, dos registos públicos, do funcionalismo judicial, das bibliotecas públicas, e da certificação de assinaturas digitais.

3.A falta dos requisitos de idoneidade previstos no presente artigo constitui fundamento de recusa e de revogação da credenciação, nos termos da alínea c) do nº 1 do artigo 19.º e da alínea f) do nº 1 do artigo 21º.

Artigo 16.º Auditor de segurança

1.Todas as entidades certificadoras terão um auditor de segurança, pessoa singular ou colectiva, o qual elaborará um relatório anual de segurança e o enviará à autoridade credenciadora, até 31 de Março de cada ano civil.

2.A designação do auditor de segurança será sujeita a aprovação prévia pela autoridade credenciadora.

Artigo 17.º Seguro obrigatório de responsabilidade civil

O Ministro das Finanças definirá, por portaria, as características do contrato de seguro de responsabilidade civil a que se refere a alínea d) do artigo12.º

Artigo 18.º Decisão

1.A autoridade credenciadora poderá solicitar dos requerentes informações complementares e proceder, por si ou por quem para o efeito designar, às averiguações, inquirições e inspecções que entenda necessárias para a apreciação do pedido.

2.A decisão sobre o pedido de credenciação deve ser notificada aos interessados no prazo de três meses a contar da recepção do pedido ou, se for o caso, a contar da recepção das informações complementares solicitadas ou da conclusão das diligências que entenda necessárias, não podendo no entanto exceder o prazo de seis meses sobre a data da recepção daquele.

3.A falta de notificação nos prazos referidos no número anterior constitui presunção de indeferimento tácito do pedido.

4.A autoridade credenciadora poderá incluir na credenciação condições adicionais desde que necessárias para assegurar o cumprimento das disposições legais e regulamentares aplicáveis ao exercício da actividade pela entidade certificadora.

5.A emissão da credenciação será acompanhada da emissão pela autoridade credenciadora do certificado das chaves a ser usado pela entidade certificadora na emissão de certificados.

6.A decisão de credenciação será comunicada às autoridades fiscalizadoras dos Estados-Membros da União Europeia.

Artigo 19.º Recusa de credenciação

1.A credenciação será recusada sempre que:

a.O pedido de credenciação não estiver instruído com todas as informações e documentos necessários;

b.A instrução do pedido enfermar de inexactidões ou falsidades;

c.A autoridade credenciadora não considerar demonstrado algum dos requisitos enumerados nos artigos 12.º e 15º.

2.Se o pedido estiver deficientemente instruído, a autoridade credenciadora, antes de recusar a credenciação, notificará o requerente, dando-lhe prazo razoável para suprir a deficiência.

Artigo 20.º Caducidade da credenciação

1.A credenciação caduca se os requerentes a ela expressamente renunciarem, se não iniciarem a actividade no prazo de doze meses ou, tratando-se de pessoa colectiva, esta não for constituída no prazo de seis meses.

2.A credenciação caduca ainda se a pessoa colectiva for dissolvida, sem prejuízo da prática dos actos necessários à respectiva liquidação.

Artigo 21º Revogação da credenciação

1.A credenciação será revogada, sem prejuízo de outras sanções aplicáveis nos termos da lei, quando se verifique alguma das seguintes situações:

a.Se tiver sido obtida por meio de falsas declarações ou outros expedientes ilícitos;

b.Se deixar de se verificar algum dos requisitos enumerados no artigo 12.º;

c.Se a entidade cessar a actividade de certificação ou a reduzir para nível insignificante por período superior a doze meses;

d.Se ocorrerem irregularidades graves na administração, organização ou fiscalização interna da entidade;

e.Se no exercício da actividade de certificação ou de outra actividade social forem praticados actos ilícitos que lesem ou ponham em perigo a confiança do público na certificação;

f.Se supervenientemente se verificar alguma das circunstâncias de inidoneidade referidas no artigo 15º em relação a qualquer das pessoas a que alude o seu número 1.

2.A revogação da credenciação compete à autoridade credenciadora, em decisão fundamentada que será notificada à entidade no prazo de oito dias úteis.

3.A autoridade credenciadora dará à decisão de revogação publicidade adequada.

4.A decisão de revogação será comunicada às autoridades fiscalizadoras dos Estados membros da União Europeia.

Artigo 22.º Anomalias nos órgãos de administração e fiscalização

1.Se por qualquer motivo deixarem de estar preenchidos os requisitos legais e estatutários do normal funcionamento dos órgãos de administração ou fiscalização, a autoridade credenciadora fixará prazo para ser regularizada a situação.

2.Não sendo regularizada a situação no prazo fixado, será revogada a credenciação nos termos do artigo anterior.

Artigo 23.º Comunicação de alterações

Devem ser comunicadas à autoridade credenciadora, no prazo de trinta dias, as alterações das entidades certificadoras relativas a:

a.Firma ou denominação;

b.Objecto;

c.Local da sede, salvo se a mudança ocorrer dentro do mesmo concelho ou para concelho limítrofe;

d.Substrato patrimonial ou património, desde que se trate de uma alteração significativa ;

e.Estrutura de administração e de fiscalização;

f.Limitação dos poderes dos órgãos de administração e fiscalização;

g.Cisão, fusão e dissolução.

Artigo 24.º Registo

1.O registo das pessoas referidas no número 1 do artigo 15.º deve ser solicitado à autoridade credenciadora no prazo de quinze dias após assumirem qualquer das qualidades nele referidas, mediante pedido da entidade certificadora ou dos interessados, juntamente com as provas de que se encontram preenchidos os requisitos definidos no mesmo artigo, e sob pena da credenciação ser revogada

2.Poderão a entidade certificadora ou os interessados solicitar o registo provisório, antes da assunção por estes de qualquer das qualidades referidas no número 1 do artigo 15º, devendo a conversão do registo em definitivo ser requerida no prazo de 30 dias a contar da designação, sob pena de caducidade.

3.Em caso de recondução, será esta averbada no registo, a pedido da entidade certificadora ou dos interessados.

4.O registo será recusado em caso de inidoneidade, nos termos do artigo 15.º, e a recusa será comunicada aos interessados e à entidade certificadora, a qual tomará as medidas adequadas para que aqueles cessem imediatamente funções ou deixem de estar para com a pessoa colectiva na relação prevista no mesmo artigo, seguindo-se no aplicável o disposto no artigo 22.º.

5.Sem prejuízo do que resulte de outras disposições legais aplicáveis, a falta de registo não determina por si só invalidade dos actos jurídicos praticados pela pessoa em causa no exercício das suas funções.

Secção II – Exercício da actividade

Artigo 25.º Deveres da entidade certificadora

Compete à entidade certificadora:

a.Verificar rigorosamente a identidade dos requerentes de pares de chaves e respectivos certificados e, tratando-se de representantes de pessoas colectivas, os respectivos poderes de representação, bem como, quando aplicável, as qualidades específicas a que se refere a alínea i) do nº 1 do artigo 30º;

b.Emitir os pares de chaves ou fornecer os meios técnicos necessários para a sua criação, bem como o certificado de assinatura com rigorosa observância do disposto neste diploma e nas normas regulamentares, zelando pela correspondência funcional das duas chaves de cada par e pela exactidão das informações constantes dos certificados;

c.Especificar no certificado de assinatura ou num certificado complementar, a pedido do requerente do par de chaves, a existência dos poderes de representação ou de outros títulos relativos à actividade profissional ou a outros cargos desempenhados;

d.Informar os requerentes, de modo completo e claro, sobre o processo de certificação e sobre os requisitos técnicos necessários para ter acesso ao mesmo;

e.Cumprir as regras de segurança para tratamento de dados pessoais estabelecidas na legislação respectiva;

f.Assegurar a publicidade das chaves públicas e respectivos certificados e prestar informação sobre eles a qualquer pessoa que deseje consultá-los, por meios informáticos e de telecomunicações adequados e expeditos;

g.Abster-se de tomar conhecimento do conteúdo das chaves privadas, aceitar o seu depósito, conservá-las, reproduzi-las ou prestar quaisquer informações sobre as mesmas;

h.Proceder à publicação imediata da revogação ou suspensão dos certificados, nos casos previstos no presente diploma;

i.Conservar os certificados que emitir, por um período não inferior a vinte anos;

j.Assegurar que a data e hora da emissão, suspensão e revogação dos certificados possam ser determinadas, através de validação cronológica.

Artigo 26.º Protecção de dados

1.As entidades certificadoras só podem coligir dados pessoais necessários ao exercício das suas actividades e obtê-los directamente das pessoas interessadas na titularidade de pares de chaves e respectivos certificados, ou de terceiros junto dos quais aquelas pessoas autorizem a sua colecta.

2.Os dados pessoais coligidos pela entidade certificadora não poderão ser utilizados para outra finalidade que não seja a de certificação, salvo se outro uso for consentido expressamente por lei ou pela pessoa interessada.

3.As entidades certificadoras e a autoridade credenciadora respeitarão as normas legais vigentes sobre a protecção, tratamento e circulação dos dados pessoais e sobre a protecção da privacidade no sector das telecomunicações.

4.As entidades certificadoras comunicarão à autoridade judiciária, sempre que esta o ordenar nos termos legalmente previstos, os dados relativos à identidade dos titulares de certificados que sejam emitidos com pseudónimo seguindo-se, no aplicável, o regime do artigo 182.º do Código de Processo Penal.

Artigo 27.º Responsabilidade civil

1.A entidade certificadora é responsável civilmente pelos danos sofridos pelos titulares dos certificados e quaisquer terceiros, em consequência do incumprimento culposo dos deveres decorrentes do presente diploma e sua regulamentação.

2.São nulas as convenções de exoneração e limitação da responsabilidade prevista no n.º 1.

Artigo 28.º Cessação da actividade

1.No caso de pretender cessar voluntariamente a sua actividade, a entidade certificadora deve comunicar essa intenção à autoridade credenciadora e às pessoas a quem tenha emitido certificados que permaneçam em vigor, com a antecipação mínima de três meses, indicando também qual a entidade certificadora à qual transmitirá a sua documentação ou a revogação dos certificados no termo daquele prazo, devendo neste último caso colocar a sua documentação à guarda da autoridade credenciadora.

2.A entidade certificadora que se encontre em risco de decretação de falência, de processo de recuperação de empresa ou de cessação da actividade por qualquer outro motivo alheio à sua vontade deve informar imediatamente a autoridade credenciadora.

3.No caso previsto no número anterior, se a entidade certificadora vier a cessar a sua actividade, a autoridade credenciadora promoverá a transmissão da documentação daquela para outra entidade certificadora ou, se tal transmissão for impossível, a revogação dos certificados emitidos e a conservação dos elementos de tais certificados pelo prazo em que deveria fazê-lo a entidade certificadora.

Secção III – Certificados

Artigo 29.º Emissão das chaves e dos certificados

1.A entidade certificadora, a pedido de uma pessoa singular ou colectiva interessada, cuja identidade e poderes de representação, quando existam, verificará por meio legalmente idóneo e seguro, emitirá a favor daquela um par de chaves, privada e pública, ou porá à disposição dessa pessoa, se esta o solicitar, os meios técnicos necessários para que ela crie o par de chaves.

2.A entidade certificadora emitirá, a pedido do titular do par de chaves, uma ou mais vias do certificado de assinatura e do certificado complementar.

3.A entidade certificadora deve tomar medidas adequadas para impedir a falsificação ou alteração dos dados constantes dos certificados e assegurar o cumprimento das normas legais e regulamentares aplicáveis recorrendo a pessoal devidamente habilitado.

4.A entidade certificadora fornecerá aos titulares dos certificados as informações necessárias para a utilização correcta e segura das assinaturas digitais, nomeadamente as respeitantes:

a.às obrigações do titular do certificado e da entidade certificadora;

b.ao procedimento de aposição e verificação de uma assinatura digital;

c.à conveniência de os documentos aos quais foi aposta uma assinatura digital serem novamente assinados quando ocorrerem circunstâncias técnicas que o justifiquem.

1.A entidade certificadora organizará e manterá permanentemente actualizado um registo informático dos certificados emitidos, suspensos ou revogados, o qual estará acessível a qualquer pessoa para consulta, inclusivamente por meio de telecomunicações, e será protegido contra alterações não autorizadas.

Artigo 30.º Conteúdo dos certificados

1.O certificado de assinatura deve conter, pelo menos, as seguintes informações:

a.Nome ou denominação do titular da assinatura e outros elementos necessários para a sua identificação inequívoca e, quando existam poderes de representação, o nome do seu representante ou representantes habilitados, ou um pseudónimo distintivo do titular da assinatura, claramente mencionado como tal;

b.Nome e assinatura digital da entidade certificadora, bem como indicação do país onde está estabelecida;

c.Chave pública correspondente à chave privada detida pelo titular;

d.Número de série do certificado;

e.Início e termo de validade do certificado;

f.Identificadores de algoritmos necessários para o uso da chave pública do titular e da chave pública da entidade certificadora;

g.Indicação de o uso do certificado ser ou não restrito a determinados tipos de utilização, bem como eventuais limites do valor das transacções para as quais o certificado é válido;

h.Limitações convencionais da responsabilidade da entidade certificadora, sem prejuízo do disposto no nº 2 do artigo 27.º;

i.Eventual referência a uma qualidade específica do titular da assinatura, em função da utilização a que o certificado estiver destinado.

2.A pedido do titular podem ser incluídas no certificado de assinatura ou em certificado complementar informações relativas a poderes de representação conferidos ao titular por terceiro, à sua qualificação profissional ou a outros atributos, mediante fornecimento da respectiva prova, ou com a menção de se tratar de informações não confirmadas.

Artigo 31.º Suspensão e revogação de certificados

1. A entidade certificadora suspenderá o certificado:

a.A pedido por escrito do titular, devidamente identificado para o efeito;

b.Quando existam fundadas razões para crer que o certificado foi emitido com base em informações erróneas ou falsas, que as informações nele contidas deixaram de ser conformes com a realidade ou que a confidencialidade da chave privada foi violada.

2.A suspensão com um dos fundamentos previstos na alínea b) do número anterior será sempre motivada e comunicada prontamente ao titular, bem como imediatamente inscrita no registo do certificado, podendo ser levantada quando se verifique que tal fundamento não corresponde à realidade.

3.A entidade certificadora revogará o certificado:

a.A pedido por escrito do titular, devidamente identificado para o efeito;

b.Quando, após suspensão do certificado, se confirme que o certificado foi emitido com base em informações erróneas ou falsas, que as informações nele contidas deixaram de ser conformes com a realidade, ou que a confidencialidade da chave privada foi violada;

c.Quando a entidade certificadora cesse as suas actividades sem ter transmitido a sua documentação a outra entidade certificadora;

d.Quando a autoridade credenciadora ordene a revogação do certificado por motivo legalmente fundado;

e.Quando finde o prazo do certificado;

f.Quando tomar conhecimento do falecimento, interdição ou inabilitação da pessoa singular ou da extinção da pessoa colectiva.

4.A decisão de revogação do certificado com um dos fundamentos previstos nas alíneas b), c), d) e e) do n.º 3 será sempre fundamentada e comunicada ao titular, bem como imediatamente inscrita.

5.A suspensão e a revogação do certificado são oponíveis a terceiros a partir da inscrição no registo respectivo, salvo se for provado que o seu motivo já era do conhecimento do terceiro.

6.A entidade certificadora conservará as informações referentes aos certificados durante um prazo não inferior a vinte anos a contar da suspensão ou revogação de cada certificado e facultá-las-á a qualquer interessado.

7.A revogação ou suspensão do ceritificado indicará a data e hora a partir das quais produzem efeitos, não podendo essa data e hora ser anterior àquela em que essa informação for divulgada publicamente.

8.A partir da suspensão ou revogação de um certificado, ou do termo do seu prazo de validade é proibida a emissão de certificado referente ao mesmo par de chaves pela mesma ou outra entidade certificadora.

Artigo 32.º Obrigações do titular

1.O titular do certificado deve tomar todas as medidas de organização e técnicas que sejam necessárias para evitar danos a terceiros e para preservar a confidencialidade de toda a informação transmitida.

2.Em caso de dúvida quanto à perda de confidencialidade da chave privada, o titular deve pedir a suspensão do certificado e, se a perda for confirmada, a sua revogação.

3.A partir da suspensão ou revogação de um certificado, ou do termo do seu prazo de validade, é proibida ao titular a utilização da respectiva chave privada para gerar uma assinatura digital.

4.Sempre que se verifiquem motivos que justifiquem a revogação ou suspensão do certificado, deve o respectivo titular efectuar, com a necessária celeridade e diligência, o correspondente pedido de suspensão ou revogação à entidade certificadora.

Capítulo IV – Fiscalização

Artigo 33.º Deveres de informação das entidades certificadoras

1.As entidades certificadoras fornecerão à autoridade credenciadora, de modo pronto e exaustivo, todas as informações que ela lhes solicite para fins de fiscalização da sua actividade e facultar-lhe-ão para os mesmos fins a inspecção dos seus estabelecimentos e o exame local de documentos, objectos, equipamentos de hardware e software e procedimentos operacionais, no decorrer dos quais a autoridade credenciadora poderá fazer as cópias e registos que sejam necessários.

2.As entidades certificadoras comunicarão sempre à autoridade credenciadora, no mais breve prazo possível, todas as alterações relevantes que sobrevenham nos requisitos e elementos referidos nos artigos 13º e 15º.

3.Até ao último dia útil de cada semestre, as entidades certificadoras enviarão à autoridade credenciadora uma versão actualizada das relações referidas na alínea b) do nº 1 do artigo 13.º.

Artigo 34.º Revisores oficiais de contas e auditores externos

Os revisores oficiais de contas ao serviço das entidades certificadoras e os auditores externos que, por imposição legal, prestem às mesmas entidades serviços de auditoria devem comunicar à autoridade credenciadora as infracções graves às normas legais ou regulamentares relevantes para a fiscalização e que detectem no exercício das suas funções.

Artigo 35.º Recursos

Nos recursos interpostos das decisões tomadas pela autoridade credenciadora no exercício dos seus poderes de credenciação e fiscalização, presume-se, até prova em contrário, que a suspensão da eficácia determina grave lesão do interesse público.

Artigo 36.º Colaboração das autoridades

A autoridade credenciadora poderá solicitar às autoridades policiais e judiciárias e a quaisquer outras autoridades e serviços públicos toda a colaboração ou auxílio que julgue necessários para a credenciação e fiscalização da actividade de certificação.

Capítulo V – Disposições finais

Artigo 37.º Certificados de outros países

1.As assinaturas digitais susceptíveis de serem verificadas por uma chave pública constante de um certificado emitido ou garantido por entidade certificadora credenciada em outro Estado membro da União Europeia, ou noutro Estado abrangido por um acordo internacional que vincule o Estado Português, serão equiparadas às assinaturas digitais certificadas nos termos do presente diploma.

2.A autoridade credenciadora divulgará, sempre que possível e pelos meios de publicidade que considerar adequados, e facultará aos interessados, a pedido, as informações de que dispuser acerca das entidades certificadoras credenciadas em Estados estrangeiros.

Artigo 38.º Normas regulamentares

1.A regulamentação do presente diploma, nomeadamente no que se refere às normas de carácter técnico e de segurança constará de decreto regulamentar, a adoptar no prazo de 150 dias.

2.Os serviços e organismos da Administração Pública poderão emitir normas regulamentares relativas aos requisitos a que devem obedecer os documentos que recebam por via electrónica.

Artigo 39º Evolução tecnológica

A autoridade credenciadora acompanhará a evolução tecnológica em matéria de assinatura electrónica, podendo propor a aplicação do regime previsto no presente diploma para a assinatura digital a outras modalidades de assinatura electrónica que satisfaçam os requisitos de segurança e fiabilidade daquela.

Artigo 40º Designação da autoridade credenciadora

A autoridade pública referida no artigo 11º será designada, em diploma próprio, no prazo de 150 dias.

Artigo 41º Entrada em vigor

O presente diploma entra em vigor no dia imediato ao da sua publicação.