Skip to main content

Artigo 1.º - Objeto - Disposições gerais - Lei n.º 58/2019 - RGPD

CAPÍTULO I - Disposições gerais

A presente lei assegura a execução, na ordem jurídica interna, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, doravante designado abreviadamente por Regulamento Geral de Proteção de Dados (RGPD).

Enquadramento

A Lei n.º 58/2019, de 8 de agosto, é uma legislação importante de Portugal que trata da proteção de dados pessoais e da implementação do Regulamento Geral sobre a Proteção de Dados (RGPD) no ordenamento jurídico português.

Este artigo, estabelece o propósito e o âmbito da lei. Basicamente, este artigo define o objetivo principal da lei, que é assegurar a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, bem como garantir a livre circulação desses dados.

Este artigo é fundamental porque estabelece o contexto e a razão de ser da legislação. Ele serve como um ponto de partida para perceber como e por que a lei foi criada, bem como os princípios gerais que irão guiar a sua aplicação e interpretação.

A Lei n.º 58/2019 é uma legislação detalhada que aborda vários aspectos da proteção de dados pessoais, incluindo os direitos dos titulares dos dados, as obrigações dos responsáveis pelo tratamento de dados, as condições para o tratamento de dados, entre outros temas. Este artigo é a base sobre a qual todos esses temas são desenvolvidos e interpretados no contexto português.

Artigo 10.º - Dever de sigilo e confidencialidade - Encarregado de proteção de dados - Lei n.º 58/2019 - RGPD

CAPÍTULO III - Encarregado de proteção de dados

  1. De acordo com o disposto no n.º 5 do artigo 38.º do RGPD, o encarregado de proteção de dados está obrigado a um dever de sigilo profissional em tudo o que diga respeito ao exercício dessas funções, que se mantém após o termo das funções que lhes deram origem.
  2. O encarregado de proteção de dados, bem como os responsáveis pelo tratamento de dados, incluindo os subcontratantes, e todas as pessoas que intervenham em qualquer operação de tratamento de dados, estão obrigados a um dever de confidencialidade que acresce aos deveres de sigilo profissional previsto na lei.

Artigo 11.º - Funções do encarregado de proteção de dados - Encarregado de proteção de dados - Lei n.º 58/2019 - RGPD

CAPÍTULO III - Encarregado de proteção de dados

Para além do disposto nos artigos 37.º a 39.º do RGPD, são funções do encarregado de proteção de dados:

  1. Assegurar a realização de auditorias, quer periódicas, quer não programadas;
  2. Sensibilizar os utilizadores para a importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança;
  3. Assegurar as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e pela legislação nacional em matéria de proteção de dados.

Artigo 12.º - Encarregados de proteção de dados em entidades públicas - Encarregado de proteção de dados - Lei n.º 58/2019 - RGPD

CAPÍTULO III - Encarregado de proteção de dados

  1. Nos termos da alínea a) do n.º 1 do artigo 37.º do RGPD, é obrigatória a designação de encarregados de proteção de dados nas entidades públicas, de acordo com o disposto nos números seguintes.
  2. Para efeitos do número anterior, entende-se por entidades públicas:
    1. O Estado;
    2. As regiões autónomas;
    3. As autarquias locais e as entidades supranacionais previstas na lei;
    4. As entidades administrativas independentes e o Banco de Portugal;
    5. Os institutos públicos;
    6. As instituições de ensino superior públicas, independentemente da sua natureza;
    7. As empresas do setor empresarial do Estado e dos setores empresariais regionais e locais;
    8. As associações públicas.
  3. Independentemente de quem seja responsável pelo tratamento, existe pelo menos um encarregado de proteção de dados:
    1. Por cada ministério ou área governativa, no caso do Estado, sendo designado pelo respetivo ministro, com faculdade de delegação em qualquer secretário de Estado que o coadjuvar;
    2. Por cada secretaria regional, no caso das regiões autónomas, sendo designado pelo respetivo secretário regional, com faculdade de delegação em dirigente superior de 1.º grau;
    3. Por cada município, sendo designado pela câmara municipal, com faculdade de delegação no presidente e subdelegação em qualquer vereador;
    4. Nas freguesias em que tal se justifique, nomeadamente naquelas com mais de 750 habitantes, sendo designado pela junta de freguesia, com faculdade de delegação no presidente;
    5. Por cada entidade, no caso das demais entidades referidas no número anterior, sendo designada pelo respetivo órgão executivo, de administração ou gestão, com faculdade de delegação no respetivo presidente.
  4. Nos termos do n.º 3 do artigo 37.º do RGPD, pode ser designado o mesmo encarregado de proteção de dados para vários ministérios ou áreas governativas, secretarias regionais, autarquias locais ou outras pessoas coletivas públicas.
  5. Cabe a cada entidade a designação do encarregado de proteção de dados, não sendo obrigatório o exercício de funções em regime de exclusividade.
  6. O encarregado de proteção de dados de uma entidade pública que tenha atribuições de regulação ou controlo não pode exercer essas funções simultaneamente em entidade sujeita ao controlo, ou inserida no perímetro regulatório daquela entidade.

Artigo 13.º - Encarregados de proteção de dados em entidades privadas - Encarregado de proteção de dados - Lei n.º 58/2019 - RGPD

CAPÍTULO III - Encarregado de proteção de dados

O responsável pelo tratamento e o subcontratante designam um encarregado de proteção de dados sempre que a atividade privada desenvolvida, a título principal, implique:

  1. Operações de tratamento que, devido à sua natureza, âmbito e ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou
  2. Operações de tratamento em grande escala das categorias especiais de dados nos termos do artigo 9.º do RGPD, ou de dados pessoais relacionados com condenações penais e contraordenacionais nos termos do artigo 10.º do RGPD.

Artigo 14.º - Acreditação e certificação - Acreditação, certificação e códigos de conduta - Lei n.º 58/2019 - RGPD

CAPÍTULO IV - Acreditação, certificação e códigos de conduta

  1. Nos termos da alínea b) do n.º 1 do artigo 43.º do RGPD, a autoridade competente para a acreditação dos organismos de certificação em matéria de proteção de dados é o IPAC, I. P.
  2. O ato de acreditação emitido pelo IPAC, I. P., deve tomar em consideração os requisitos previstos no RGPD, bem como os requisitos adicionais estabelecidos pela CNPD.
  3. A certificação, bem como a emissão de selos e marcas de proteção de dados, é efetuada por organismos de certificação acreditados nos termos do n.º 1, destinando-se a atestar que os procedimentos implementados cumprem o disposto no RGPD e na presente lei.

Artigo 15.º - Códigos de conduta - Acreditação, certificação e códigos de conduta - Lei n.º 58/2019 - RGPD

CAPÍTULO IV - Acreditação, certificação e códigos de conduta

  1. Compete à CNPD fomentar a elaboração de códigos de conduta que regulem atividades determinadas, os quais devem tomar em atenção as necessidades específicas das micro, pequenas e médias empresas.
  2. O tratamento de dados pessoais pela administração direta e indireta do Estado é objeto de códigos de conduta próprios.

Artigo 16.º - Consentimento de menores - Disposições especiais - Lei n.º 58/2019 - RGPD

CAPÍTULO V - Disposições especiais

  1. Nos termos do artigo 8.º do RGPD, os dados pessoais de crianças só podem ser objeto de tratamento com base no consentimento previsto na alínea a) do n.º 1 do artigo 6.º do RGPD e relativo à oferta direta de serviços da sociedade de informação quando as mesmas já tenham completado 13 anos de idade.
  2. Caso a criança tenha idade inferior a 13 anos, o tratamento só é lícito se o consentimento for dado pelos representantes legais desta, de preferência com recurso a meios de autenticação segura.

Artigo 17.º - Proteção de dados pessoais de pessoas falecidas - Disposições especiais - Lei n.º 58/2019 - RGPD

CAPÍTULO V - Disposições especiais

  1. Os dados pessoais de pessoas falecidas são protegidos nos termos do RGPD e da presente lei quando se integrem nas categorias especiais de dados pessoais a que se refere o n.º 1 do artigo 9.º do RGPD, ou quando se reportem à intimidade da vida privada, à imagem ou aos dados relativos às comunicações, ressalvados os casos previstos no n.º 2 do mesmo artigo.
  2. Os direitos previstos no RGPD relativos a dados pessoais de pessoas falecidas, abrangidos pelo número anterior, nomeadamente os direitos de acesso, retificação e apagamento, são exercidos por quem a pessoa falecida haja designado para o efeito ou, na sua falta, pelos respetivos herdeiros.
  3. Os titulares dos dados podem igualmente, nos termos legais aplicáveis, deixar determinada a impossibilidade de exercício dos direitos referidos no número anterior após a sua morte.

Artigo 18.º - Portabilidade e interoperabilidade dos dados - Disposições especiais - Lei n.º 58/2019 - RGPD

CAPÍTULO V - Disposições especiais

  1. O direito de portabilidade dos dados, previsto no artigo 20.º do RGPD, abrange apenas os dados fornecidos pelos respetivos titulares.
  2. A portabilidade dos dados deve, sempre que possível, ter lugar em formato aberto.
  3. No âmbito da Administração Pública, sempre que a interoperabilidade dos dados não seja tecnicamente possível, o titular dos dados tem o direito de exigir que os mesmos lhe sejam entregues num formato digital aberto, de acordo com o Regulamento Nacional de Interoperabilidade Digital em vigor.

Artigo 19.º - Videovigilância - Disposições especiais - Lei n.º 58/2019 - RGPD

CAPÍTULO V - Disposições especiais

  1. Sem prejuízo das disposições legais específicas que imponham a sua utilização, nomeadamente por razões de segurança pública, os sistemas de videovigilância cuja finalidade seja a proteção de pessoas e bens asseguram os requisitos previstos no artigo 31.º da Lei n.º 34/2013, de 16 de maio, com os limites definidos no número seguinte.
  2. As câmaras não podem incidir sobre:
    1. Vias públicas, propriedades limítrofes ou outros locais que não sejam do domínio exclusivo do responsável, exceto no que seja estritamente necessário para cobrir os acessos ao imóvel;
    2. A zona de digitação de códigos de caixas multibanco ou outros terminais de pagamento ATM;
    3. O interior de áreas reservadas a clientes ou utentes onde deva ser respeitada a privacidade, designadamente instalações sanitárias, zonas de espera e provadores de vestuário;
    4. O interior de áreas reservadas aos trabalhadores, designadamente zonas de refeição, vestiários, ginásios, instalações sanitárias e zonas exclusivamente afetas ao seu descanso.
  3. Nos estabelecimentos de ensino, as câmaras de videovigilância só podem incidir sobre os perímetros externos e locais de acesso, e ainda sobre espaços cujos bens e equipamentos requeiram especial proteção, como laboratórios ou salas de informática.
  4. Nos casos em que é admitida a videovigilância, é proibida a captação de som, exceto no período em que as instalações vigiadas estejam encerradas ou mediante autorização prévia da CNPD.

Artigo 2.º - Âmbito de aplicação - Disposições gerais - Lei n.º 58/2019 - RGPD

CAPÍTULO I - Disposições gerais

  1. A presente lei aplica-se aos tratamentos de dados pessoais realizados no território nacional, independentemente da natureza pública ou privada do responsável pelo tratamento ou do subcontratante, mesmo que o tratamento de dados pessoais seja efetuado em cumprimento de obrigações legais ou no âmbito da prossecução de missões de interesse público, aplicando-se todas as exclusões previstas no artigo 2.º do RGPD.
  2. A presente lei aplica-se ainda aos tratamentos de dados pessoais realizados fora do território nacional quando:
    1. Sejam efetuados no âmbito da atividade de um estabelecimento situado no território nacional; ou
    2. Afetem titulares de dados que se encontrem no território nacional, quando as atividades de tratamento estejam subordinadas ao disposto no n.º 2 do artigo 3.º do RGPD; ou
    3. Afetem dados que estejam inscritos nos postos consulares de que sejam titulares portugueses residentes no estrangeiro.
  3. A presente lei não se aplica aos ficheiros de dados pessoais constituídos e mantidos sob a responsabilidade do Sistema de Informações da República Portuguesa, que se rege por disposições específicas, nos termos da lei.

Enquadramento

Lei n.º 58/2019 é uma legislação importante em Portugal relacionada à proteção de dados pessoais e à aplicação do Regulamento Geral sobre a Proteção de Dados (RGPD) no ordenamento jurídico português.

Este artigo especifica a abrangência da lei, isto é, em que situações e a quem se aplica esta legislação. Este artigo é crucial porque define os limites dentro dos quais a lei opera, delineando as circunstâncias e os agentes aos quais as regras e obrigações estipuladas na lei se aplicam.

Perceber este artigo é fundamental para qualquer pessoa ou entidade que lide com dados pessoais em Portugal, pois determina a extensão das suas obrigações legais e os direitos dos titulares dos dados sob esta legislação. É a base para entender que atividades estão reguladas pela lei e, consequentemente, que medidas devem ser adotadas para garantir a conformidade.

Artigo 20.º - Dever de segredo - Disposições especiais - Lei n.º 58/2019 - RGPD

CAPÍTULO V - Disposições especiais

  1. Os direitos de informação e de acesso a dados pessoais previstos nos artigos 13.º a 15.º do RGPD não podem ser exercidos quando a lei imponha ao responsável pelo tratamento ou ao subcontratante um dever de segredo que seja oponível ao próprio titular dos dados.
  2. O titular dos dados pode solicitar à CNPD a emissão de parecer quanto à oponibilidade do dever de segredo, sem prejuízo do disposto no Capítulo VII.

Artigo 21.º - Prazo de conservação de dados pessoais - Disposições especiais - Lei n.º 58/2019 - RGPD

CAPÍTULO V - Disposições especiais

  1. O prazo de conservação de dados pessoais é o que estiver fixado por norma legal ou regulamentar ou, na falta desta, o que se revele necessário para a prossecução da finalidade.
  2. Quando, pela natureza e finalidade do tratamento, designadamente para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos, não seja possível determinar antecipadamente o momento em que o mesmo deixa de ser necessário, é lícita a conservação dos dados pessoais, desde que sejam adotadas medidas técnicas e organizativas adequadas a garantir os direitos do titular dos dados, designadamente a informação da sua conservação.
  3. Quando os dados pessoais sejam necessários para o responsável pelo tratamento, ou o subcontratante, comprovar o cumprimento de obrigações contratuais ou de outra natureza, os mesmos podem ser conservados enquanto não decorrer o prazo de prescrição dos direitos correspetivos.
  4. Quando cesse a finalidade que motivou o tratamento, inicial ou posterior, de dados pessoais, o responsável pelo tratamento deve proceder à sua destruição ou anonimização.
  5. Nos casos em que existe um prazo de conservação de dados imposto por lei, só pode ser exercido o direito ao apagamento previsto no artigo 17.º do RGPD findo esse prazo.
  6. Os dados relativos a declarações contributivas para efeitos de aposentação ou reforma podem ser conservados sem limite de prazo, a fim de auxiliar o titular na reconstituição das carreiras contributivas, desde que sejam adotadas medidas técnicas e organizativas adequadas a garantir os direitos do titular dos dados.

Artigo 23.º - Tratamento de dados pessoais por entidades públicas para finalidades diferentes - Disposições especiais - Lei n.º 58/2019 - RGPD

CAPÍTULO V - Disposições especiais

  1. O tratamento de dados pessoais por entidades públicas para finalidades diferentes das determinadas pela recolha tem natureza excecional e deve ser devidamente fundamentado com vista a assegurar a prossecução do interesse público que de outra forma não possa ser acautelado, nos termos da alínea e) do n.º 1, do n.º 4 do artigo 6.º e da alínea g) do n.º 2 do artigo 9.º do RGPD.
  2. A transmissão de dados pessoais entre entidades públicas para finalidades diferentes das determinadas pela recolha tem natureza excecional, deve ser devidamente fundamentada nos termos referidos no número anterior e deve ser objeto de protocolo que estabeleça as responsabilidades de cada entidade interveniente, quer no ato de transmissão, quer em outros tratamentos a efetuar.

Artigo 24.º - Liberdade de expressão e informação - Situações específicas de tratamento de dados pessoais - Lei n.º 58/2019 - RGPD

CAPÍTULO VI - Situações específicas de tratamento de dados pessoais

  1. A proteção de dados pessoais, nos termos do RGPD e da presente lei, não prejudica o exercício da liberdade de expressão, informação e imprensa, incluindo o tratamento de dados para fins jornalísticos e para fins de expressão académica, artística ou literária.
  2. O exercício da liberdade de informação, especialmente quando revele dados pessoais previstos no n.º 1 do artigo 9.º do RGPD e no artigo 17.º da presente lei, deve respeitar o princípio da dignidade da pessoa humana previsto na Constituição da República Portuguesa, bem como os direitos de personalidade nela e na legislação nacional consagrados.
  3. O tratamento para fins jornalísticos deve respeitar a legislação nacional sobre acesso e exercício da profissão.
  4. O exercício da liberdade de expressão não legitima a divulgação de dados pessoais como moradas e contactos, à exceção daqueles que sejam de conhecimento generalizado.

Artigo 25.º - Publicação em jornal oficial - Situações específicas de tratamento de dados pessoais - Lei n.º 58/2019 - RGPD

CAPÍTULO VI - Situações específicas de tratamento de dados pessoais

  1. A publicação de dados pessoais em jornais oficiais deve obedecer ao artigo 5.º do RGPD, nomeadamente aos princípios da finalidade e da minimização.
  2. Sempre que o dado pessoal «nome» seja suficiente para garantir a identificação do titular e a eficácia do tratamento, não devem ser publicados outros dados pessoais.
  3. Os dados pessoais publicados em jornal oficial não podem, em circunstância alguma, ser alterados, rasurados ou ocultados.
  4. O direito ao apagamento de dados pessoais publicados em jornal oficial tem natureza excecional e só se pode concretizar nas condições previstas no artigo 17.º do RGPD, nos casos em que essa seja a única forma de acautelar o direito ao esquecimento e ponderados os demais interesses em presença.
  5. O disposto no número anterior realiza-se através da desindexação dos dados pessoais em motores de busca, sempre sem eliminação da publicação que faz fé pública.
  6. Em caso de publicação de dados pessoais em jornais oficiais, considera-se responsável pelo tratamento a entidade que manda proceder à publicação, ou, no caso dos gabinetes dos membros do Governo, as respetivas secretarias-gerais.