Skip to main content

Artigo 27.º - Publicação de dados no âmbito da contratação pública - Situações específicas de tratamento de dados pessoais - Lei n.º 58/2019 - RGPD

CAPÍTULO VI - Situações específicas de tratamento de dados pessoais

No âmbito da contratação pública, e caso seja necessária a publicação de dados pessoais, não devem ser publicados outros dados pessoais para além do nome, sempre que este seja suficiente para garantir a identificação do contraente público e do cocontratante.

Artigo 28.º - Relações laborais - Situações específicas de tratamento de dados pessoais - Lei n.º 58/2019 - RGPD

CAPÍTULO VI - Situações específicas de tratamento de dados pessoais

  1. O empregador pode tratar os dados pessoais dos seus trabalhadores para as finalidades e com os limites definidos no Código do Trabalho e respetiva legislação complementar ou noutros regimes setoriais, com as especificidades estabelecidas no presente artigo.
  2. O número anterior abrange igualmente o tratamento efetuado por subcontratante ou contabilista certificado em nome do empregador, para fins de gestão das relações laborais, desde que realizado ao abrigo de um contrato de prestação de serviços e sujeito a iguais garantias de sigilo.
  3. Salvo norma legal em contrário, o consentimento do trabalhador não constitui requisito de legitimidade do tratamento dos seus dados pessoais:
    1. Se do tratamento resultar uma vantagem jurídica ou económica para o trabalhador; ou
    2. Se esse tratamento estiver abrangido pelo disposto na alínea b) do n.º 1 do artigo 6.º do RGPD.
  4. As imagens gravadas e outros dados pessoais registados através da utilização de sistemas de vídeo ou outros meios tecnológicos de vigilância à distância, nos termos previstos no artigo 20.º do Código do Trabalho, só podem ser utilizados no âmbito do processo penal.
  5. Nos casos previstos no número anterior, as imagens gravadas e outros dados pessoais podem também ser utilizados para efeitos de apuramento de responsabilidade disciplinar, na medida em que o sejam no âmbito do processo penal.
  6. O tratamento de dados biométricos dos trabalhadores só é considerado legítimo para controlo de assiduidade e para controlo de acessos às instalações do empregador, devendo assegurar-se que apenas se utilizem representações dos dados biométricos e que o respetivo processo de recolha não permita a reversibilidade dos referidos dados.

Artigo 29.º - Tratamento de dados de saúde e dados genéticos - Situações específicas de tratamento de dados pessoais - Lei n.º 58/2019 - RGPD

CAPÍTULO VI - Situações específicas de tratamento de dados pessoais

  1. Nos tratamentos de dados de saúde e de dados genéticos, o acesso a dados pessoais rege-se pelo princípio da necessidade de conhecer a informação.
  2. Nos casos previstos nas alíneas h) e i) do n.º 2 do artigo 9.º do RGPD, o tratamento dos dados previstos no n.º 1 do mesmo artigo deve ser efetuado por um profissional obrigado a sigilo ou por outra pessoa sujeita a dever de confidencialidade, devendo ser garantidas medidas adequadas de segurança da informação.
  3. O acesso aos dados a que alude o número anterior é feito exclusivamente de forma eletrónica, salvo impossibilidade técnica ou expressa indicação em contrário do titular dos dados, sendo vedada a sua divulgação ou transmissão posterior.
  4. Os titulares de órgãos, trabalhadores e prestadores de serviços do responsável pelo tratamento de dados de saúde e de dados genéticos, o encarregado de proteção de dados, os estudantes e investigadores na área da saúde e da genética e todos os profissionais de saúde que tenham acesso a dados relativos à saúde estão obrigados a um dever de sigilo.
  5. O dever de sigilo referido no número anterior é também aplicável a todos os titulares de órgãos e trabalhadores que, no contexto do acompanhamento, financiamento ou fiscalização da atividade de prestação de cuidados de saúde, tenham acesso a dados relativos à saúde.
  6. O titular dos dados deve ser notificado de qualquer acesso realizado aos seus dados pessoais, cabendo ao responsável pelo tratamento assegurar a disponibilização desse mecanismo de rastreabilidade e notificação.
  7. As medidas e os requisitos técnicos mínimos de segurança inerentes ao tratamento de dados a que alude o n.º 1 são aprovados por portaria dos membros do Governo responsáveis pelas áreas da saúde e da justiça, que deve regulamentar, nomeadamente, as seguintes matérias:
    1. Estabelecimento de permissões de acesso aos dados pessoais diferenciados, em razão da necessidade de conhecer e da segregação de funções;
    2. Requisitos de autenticação prévia de quem acede;
    3. Registo eletrónico dos acessos e dos dados acedidos.

Artigo 30.º - Bases de dados ou registos centralizados de saúde - Situações específicas de tratamento de dados pessoais - Lei n.º 58/2019 - RGPD

CAPÍTULO VI - Situações específicas de tratamento de dados pessoais

  1. Os dados relativos à saúde podem ser organizados em bases de dados ou registos centralizados assentes em plataformas únicas, quando tratados para efeitos das finalidades legalmente previstas no RGPD e na legislação nacional.
  2. As bases de dados de saúde ou registos centralizados assentes nas plataformas únicas referidas no número anterior devem preencher os requisitos de segurança e de inviolabilidade previstos no RGPD.

Artigo 31.º - Tratamentos para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos - Situações específicas de tratamento de dados pessoais - Lei n.º 58/2019 - RGPD

CAPÍTULO VI - Situações específicas de tratamento de dados pessoais

  1. O tratamento para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos deve respeitar o princípio da minimização dos dados e incluir a anonimização ou a pseudonimização dos mesmos sempre que os fins visados possam ser atingidos por uma destas vias.
  2. Quando os dados pessoais sejam tratados para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos, ficam prejudicados os direitos de acesso, retificação, limitação do tratamento e de oposição previstos nos artigos 15.º, 16.º, 18.º e 21.º do RGPD, na medida do necessário, se esses direitos forem suscetíveis de tornar impossível ou prejudicar gravemente a realização desses fins.
  3. Ao tratamento de dados pessoais para fins de arquivo de interesse público é aplicável o Decreto-Lei n.º 16/93, de 23 de janeiro, na sua redação atual.
  4. O consentimento relativo ao tratamento de dados para fins de investigação científica pode abranger diversas áreas de investigação ou ser dado unicamente para determinados domínios ou projetos de investigação específicos, devendo em qualquer caso ser respeitados os padrões éticos reconhecidos pela comunidade científica.
  5. Sem prejuízo do disposto na Lei do Sistema Estatístico Nacional, os dados pessoais tratados para fins estatísticos devem ser anonimizados ou pseudonimizados, de modo a acautelar a tutela dos titulares dos dados, nomeadamente no que respeita à impossibilidade de reidentificação logo que concluída a operação estatística.

Artigo 32.º - Tutela administrativa - Tutela administrativa e jurisdicional - Disposições gerais - Lei n.º 58/2019 - RGPD

CAPÍTULO VII - Tutela administrativa e jurisdicional

SECÇÃO I - Disposições gerais

 Sem prejuízo do direito de apresentação de queixa à CNPD, qualquer pessoa pode recorrer a meios de tutela administrativa, designadamente de cariz petitório ou impugnatório, para garantir o cumprimento das disposições legais em matéria de proteção de dados pessoais, nos termos previstos no Código do Procedimento Administrativo.

Artigo 33.º - Responsabilidade civil - Tutela administrativa e jurisdicional - Disposições gerais - Lei n.º 58/2019 - RGPD

CAPÍTULO VII - Tutela administrativa e jurisdicional

SECÇÃO I - Disposições gerais

  1. Qualquer pessoa que tenha sofrido um dano devido ao tratamento ilícito de dados ou a qualquer outro ato que viole disposições do RGPD ou da lei nacional em matéria de proteção de dados pessoais, tem o direito de obter do responsável ou subcontratante a reparação pelo dano sofrido.
  2. O responsável pelo tratamento e o subcontratante não incorrem em responsabilidade civil se provarem que o facto que causou o dano não lhes é imputável.
  3. À responsabilidade do Estado e demais pessoas coletivas públicas é aplicável o regime previsto na Lei n.º 67/2007, de 31 de dezembro, alterado pela Lei n.º 31/2008, de 17 de julho.

Artigo 34.º - Tutela jurisdicional - Tutela administrativa e jurisdicional - Disposições gerais - Lei n.º 58/2019 - RGPD

CAPÍTULO VII - Tutela administrativa e jurisdicional

SECÇÃO I - Disposições gerais

  1. Qualquer pessoa, de acordo com as regras gerais de legitimidade processual, pode propor ações contra as decisões, nomeadamente de natureza contraordenacional, e omissões da CNPD, bem como ações de responsabilidade civil pelos danos que tais atos ou omissões possam ter causado.
  2. As ações propostas contra a CNPD são da competência dos tribunais administrativos.
  3. O titular dos dados pode propor ações contra o responsável pelo tratamento ou o subcontratante, incluindo ações de responsabilidade civil.
  4. As ações intentadas contra o responsável pelo tratamento ou um subcontratante são propostas nos tribunais nacionais se o responsável ou subcontratante tiver estabelecimento em território nacional ou se o titular dos dados aqui residir habitualmente.

Artigo 35.º - Representação dos titulares dos dados - Tutela administrativa e jurisdicional - Disposições gerais - Lei n.º 58/2019 - RGPD

CAPÍTULO VII - Tutela administrativa e jurisdicional

SECÇÃO I - Disposições gerais

Sem prejuízo da observância das regras relativas ao patrocínio judiciário, o titular dos dados tem o direito de mandatar um organismo, uma organização ou uma associação sem fins lucrativos constituída em conformidade com o direito nacional, cujos fins estatutários sejam de interesse público e cuja atividade abranja a defesa dos direitos, liberdades e garantias do titular dos dados quanto à proteção de dados pessoais para, em seu nome, exercer os direitos previstos nos artigos 77.º, 78.º, 79.º e 82.º do RGPD.

Artigo 36.º - Legitimidade da CNPD - Tutela administrativa e jurisdicional - Disposições gerais - Lei n.º 58/2019 - RGPD

CAPÍTULO VII - Tutela administrativa e jurisdicional

SECÇÃO I - Disposições gerais

A CNPD tem legitimidade para intervir em processos judiciais no caso de violação das disposições do RGPD e da presente lei, e deve denunciar ao Ministério Público as infrações penais de que tiver conhecimento, no exercício das suas funções e por causa delas, bem como praticar os atos cautelares necessários e urgentes para assegurar os meios de prova.

Artigo 37.º - Contraordenações muito graves - Tutela administrativa e jurisdicional - Contraordenações - Lei n.º 58/2019 - RGPD

CAPÍTULO VII - Tutela administrativa e jurisdicional

SECÇÃO II - Contraordenações

  1. Constituem contraordenações muito graves:
    1. Os tratamentos de dados pessoais com inobservância dolosa dos princípios consagrados no artigo 5.º do RGDP;
    2. Os tratamentos de dados pessoais que não tenham por base o consentimento ou outra condição de legitimidade, nos termos do artigo 6.º do RGPD ou de norma nacional;
    3. O incumprimento das regras relativas à prestação do consentimento previstas no artigo 7.º do RGPD;
    4. Os tratamentos de dados pessoais previstos no n.º 1 do artigo 9.º do RGPD sem que se verifique uma das circunstâncias previstas no n.º 2 do mesmo artigo;
    5. Os tratamentos de dados pessoais previstos no artigo 10.º do RGPD que contrariem as regras aí previstas;
    6. A exigência do pagamento de uma quantia em dinheiro fora dos casos previstos no n.º 5 do artigo 12.º do RGPD;
    7. A exigência do pagamento de uma quantia em dinheiro, nos casos previstos no n.º 5 do artigo 12.º do RGPD, que exceda os custos necessários para satisfazer o direito do titular dos dados;
    8. A não prestação de informação relevante nos termos dos artigos 13.º e 14.º do RGPD, o que ocorre nas seguintes circunstâncias:
      1. Omissão de informação das finalidades a que se destina o tratamento;
      2. Omissão de informação acerca dos destinatários ou categorias de destinatários dos dados pessoais;
      3. Omissão de informação acerca do direito de retirar o consentimento nos casos previstos na alínea a) do n.º 1 do artigo 6.º e na alínea a) do n.º 2 do artigo 9.º do RGPD;
    9. Não permitir, não assegurar ou dificultar o exercício dos direitos previstos nos artigos 15.º a 22.º do RGPD;
    10. A transferência internacional de dados pessoais em violação do disposto nos artigos 44.º a 49.º do RGPD;
    11. O incumprimento das decisões da autoridade de controlo previstas no n.º 2 do artigo 58.º do RGPD, ou recusa da colaboração que lhe seja exigida pela CNPD, no exercício dos seus poderes;
    12. A violação das regras previstas no capítulo vi da presente lei.
  2. As contraordenações referidas no número anterior são punidas com coima:
    1. De 5000 (euro) a 20 000 000 (euro) ou 4 % do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de grande empresa;
    2. De 2000 (euro) a 2 000 000 (euro) ou 4 % do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de PME;
    3. De 1000 (euro) a 500 000 (euro), no caso de pessoas singulares.

Artigo 38.º - Contraordenações graves - Tutela administrativa e jurisdicional - Contraordenações - Lei n.º 58/2019 - RGPD

CAPÍTULO VII - Tutela administrativa e jurisdicional

SECÇÃO II - Contraordenações

  1. Constituem contraordenações graves:
    1. A violação do disposto no artigo 8.º do RGPD;
    2. A não prestação da restante informação prevista nos artigos 13.º e 14.º do RGPD;
    3. A violação do disposto nos artigos 24.º e 25.º do RGPD;
    4. A violação das obrigações previstas no artigo 26.º do RGPD;
    5. A violação do disposto no artigo 27.º do RGPD;
    6. A violação das obrigações previstas no artigo 28.º do RGPD;
    7. A violação do disposto no artigo 29.º do RGPD;
    8. A ausência de registo dos tratamentos de dados pessoais em violação do disposto no artigo 30.º do RGPD;
    9. A violação das regras de segurança previstas no artigo 32.º do RGPD;
    10. O incumprimento dos deveres previstos no artigo 33.º do RGPD;
    11. O incumprimento do dever de informar o titular dos dados pessoais nas situações previstas no artigo 34.º do RGPD;
    12. O incumprimento da obrigação de realizar avaliações de impacto nos casos previstos no artigo 35.º do RGPD;
    13. O incumprimento da obrigação de consultar a autoridade de controlo previamente à realização de operações de tratamento de dados nos casos previstos no artigo 36.º do RGPD;
    14. O incumprimento dos deveres previstos no artigo 37.º do RGPD;
    15. A violação do disposto no artigo 38.º do RGPD, nomeadamente no que respeita às garantias de independência do encarregado de proteção de dados;
    16. O incumprimento dos deveres previstos no artigo 39.º do RGPD;
    17. A prática de atos de supervisão de códigos de conduta por organismos não acreditados pela autoridade de controlo nos termos do artigo 41.º do RGPD;
    18. O incumprimento, por parte dos organismos de supervisão de códigos de conduta, do previsto no n.º 4 do artigo 41.º do RGPD;
    19. A utilização de selos ou marcas de proteção de dados que não tinham sido emitidos por organismos de certificação devidamente acreditados nos termos dos artigos 42.º e 43.º do RGPD;
    20. O incumprimento, por parte dos organismos de certificação, dos deveres previstos no artigo 43.º do RGPD;
    21. A violação do disposto no artigo 19.º da presente lei.
  2.  As contraordenações referidas no número anterior são punidas com coima de:
    1. De 2500 (euro) a 10 000 000 (euro) ou 2 % do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de grande empresa;
    2. De 1000 (euro) a 1 000 000 (euro) ou 2 % do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de PME;
    3. De 500 (euro) a 250 000 (euro), no caso de pessoas singulares.

Artigo 39.º - Determinação da medida da coima - Tutela administrativa e jurisdicional - Contraordenações - Lei n.º 58/2019 - RGPD

CAPÍTULO VII - Tutela administrativa e jurisdicional

SECÇÃO II - Contraordenações

  1. Na determinação da medida da coima, a CNPD tem em conta, para além dos critérios estabelecidos no n.º 2 do artigo 83.º do RGPD:
    1. A situação económica do agente, no caso de pessoa singular, ou o volume de negócios e o balanço anual, no caso de pessoa coletiva;
    2. O caráter continuado da infração;
    3. A dimensão da entidade, tendo em conta o número de trabalhadores e a natureza dos serviços prestados.
  2. Para efeitos da aplicação do disposto nos artigos anteriores, os conceitos de pequenas e médias empresas (PME) e grande empresa são os definidos na Recomendação n.º 2003/361/CE, da Comissão Europeia, de 6 de maio de 2003.
  3. Exceto em caso de dolo, a instauração de processo de contraordenação depende de prévia advertência do agente, por parte da CNPD, para cumprimento da obrigação omitida ou reintegração da proibição violada em prazo razoável.

Artigo 4.º - Natureza e independência - Comissão Nacional de Proteção de Dados - Lei n.º 58/2019 - RGPD

CAPÍTULO II - Comissão Nacional de Proteção de Dados

  1. A CNPD é uma entidade administrativa independente, com personalidade jurídica de direito público e poderes de autoridade, dotada de autonomia administrativa e financeira, que funciona junto da Assembleia da República.
  2. A CNPD controla e fiscaliza o cumprimento do RGPD e da presente lei, bem como das demais disposições legais e regulamentares em matéria de proteção de dados pessoais, a fim de defender os direitos, liberdades e garantias das pessoas singulares no âmbito dos tratamentos de dados pessoais.
  3. A CNPD age com independência na prossecução das suas atribuições e no exercício dos poderes que lhe são atribuídos pela presente lei.
  4. Os membros da CNPD ficam sujeitos ao regime de incompatibilidades estabelecido para os titulares de altos cargos públicos, não podendo, durante o seu mandato, desempenhar outra atividade, remunerada ou não, com exceção da atividade de docência no ensino superior e de investigação.

Enquadramento

Este artigo da Lei n.º 58/2019 estabelece a natureza, independência e funções da Comissão Nacional de Proteção de Dados (CNPD) em Portugal. Este artigo é fundamental para entender como a proteção de dados pessoais é gerida e regulamentada no país.

Este artigo é crucial para a proteção de dados em Portugal, pois estabelece a CNPD como uma entidade chave, com a autoridade e independência necessárias para supervisionar e garantir o cumprimento da legislação de proteção de dados. A CNPD, portanto, desempenha um papel central na salvaguarda dos direitos dos cidadãos no que diz respeito ao tratamento dos seus dados pessoais.

Artigo 40.º - Prescrição do procedimento por contraordenação - Tutela administrativa e jurisdicional - Contraordenações - Lei n.º 58/2019 - RGPD

CAPÍTULO VII - Tutela administrativa e jurisdicional

SECÇÃO II - Contraordenações

O procedimento por contraordenação extingue-se por efeito da prescrição logo que sobre a prática da contraordenação hajam decorrido os seguintes prazos:

  1. Três anos, quando se trate de contraordenação muito grave;
  2. Dois anos, quando se trate de contraordenação grave.

Artigo 44.º - Âmbito de aplicação das contraordenações - Tutela administrativa e jurisdicional - Contraordenações - Lei n.º 58/2019 - RGPD

CAPÍTULO VII - Tutela administrativa e jurisdicional

SECÇÃO II - Contraordenações

  1.  As coimas previstas no RGPD e na presente lei aplicam-se de igual modo às entidades públicas e privadas.
  2. Nos termos do disposto no n.º 7 do artigo 83.º do RGPD, as entidades públicas, mediante pedido devidamente fundamentado, podem solicitar à CNPD a dispensa da aplicação de coimas durante o prazo de três anos a contar da entrada em vigor da presente lei.
  3. As entidades públicas estão sujeitas aos poderes de correção da CNPD, tal como previstos no RGPD e na presente lei, com exceção da aplicação de coimas nos termos definidos no número anterior.