A.3 – Protecção de dados pessoaisProtecção de dados pessoais na ConstituiçãoConstituição da República
(artigo 35 – Utilização da informática)
1 - Todos os cidadãos têm o direito de acesso aos dados informatizados que lhe digam respeito, podendo exigir a sua rectificação e actualização, e o direito de conhecer a finalidade a que se destinam nos termos da lei.
2 - A lei define o conceito de dados pessoais, bem como as condições aplicáveis ao seu tratamento automatizado, conexão, transmissão e utilização, e garante a sua protecção, designadamente através de entidade administrativa independente.
3 - A informática não pode ser utilizada para tratamento de dados referentes a convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e origem étnica, salvo mediante consentimento expresso do titular, autorização prevista por lei com garantias de não discriminação ou para processamento de dados estatísticos não individualmente identificáveis.
4 - É proibido o acesso a dados pessoais de terceiros, salvo em casos excepcionais previstos na lei.
5 - É proibida a atribuição de um número nacional único aos cidadãos.
6 - A todos é garantido livre acesso às redes informáticas de uso público, definindo a lei o regime aplicável aos fluxos de dados transfronteiras e as formas adequadas de protecção de dados pessoais e de outros cuja salvaguarda se justifique por razões de interesse nacional.
7 - Os dados pessoais constantes de ficheiros manuais gozam de protecção idêntica à prevista nos números anteriores, nos termos da lei.
Lei de protecção de dados Pessoais (Lei 67/98, 26 Outubro)Lei da Protecção de Dados Pessoais (Transpõe para a ordem jurídica portuguesa a Directiva 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento dos dados pessoais e à livre circulação desses dados).A Assembleia da República decreta, nos termos da alínea c) do artigo 161.º, das alíneas b) e c) do n.º 1 do artigo 165.º e do n.º 3 do artigo 166.º da Constituição, para valer como lei geral da República, o seguinte:Capítulo IDisposições gerais
Artigo 1.ºObjectoA presente lei transpõe para a ordem jurídica interna a Directiva n.º 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
Artigo 2.ºPrincípio geralO tratamento de dados pessoais deve processar-se de forma transparente e no estrito respeito pela reserva da vida privada, bem como pelos direitos, liberdades e garantias fundamentais.
Artigo 3.ºDefiniçõesPara efeitos da presente lei, entende-se por:
a) «Dados pessoais»: qualquer informação, de qualquer natureza e independentemente do respectivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável a pessoa que possa ser identificada directa ou indirectamente, designadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social;
b) «Tratamento de dados pessoais» («tratamento»): qualquer operação ou conjunto de operações sobre dados pessoais, efectuadas com ou sem meios automatizados, tais como a recolha, o registo, a organização, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a comunicação por transmissão, por difusão ou por qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição;
c) «Ficheiro de dados pessoais» («ficheiro»): qualquer conjunto estruturado de dados pessoais, acessível segundo critérios determinados, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;
d) «Responsável pelo tratamento»: a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais; sempre que as finalidades e os meios do tratamento sejam determinados por disposições legislativas ou regulamentares, o responsável pelo tratamento deve ser indicado na lei de organização e funcionamento ou no estatuto da entidade legal ou estatutariamente competente para tratar os dados pessoais em causa;
e) «Subcontratante»: a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que trate os dados pessoais por conta do responsável pelo tratamento;
Artigo 6.ºCondições de legitimidade do tratamento de dadosO tratamento de dados pessoais só pode ser efectuado se o seu titular tiver dado de forma inequívoca o seu consentimento ou se o tratamento for necessário para:
a) Execução de contrato ou contratos em que o titular dos dados seja parte ou de diligências prévias à formação do contrato ou declaração da vontade negocial efectuadas a seu pedido;
b) Cumprimento de obrigação legal a que o responsável pelo tratamento esteja sujeito;
c) Protecção de interesses vitais do titular dos dados, se este estiver física ou legalmente incapaz de dar o seu consentimento;
d) Execução de uma missão de interesse público ou no exercício de autoridade pública em que esteja investido o responsável pelo tratamento ou um terceiro a quem os dados sejam comunicados;
e) Prossecução de interesses legítimos do responsável pelo tratamento ou de terceiro a quem os dados sejam comunicados, desde que não devam prevalecer os interesses ou os direitos, liberdades e garantias do titular dos dados.
Artigo 7.ºTratamento de dados sensíveis
1 - É proibido o tratamento de dados pessoais referentes a convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e origem racial ou étnica, bem como o tratamento de dados relativos à saúde e à vida sexual, incluindo os dados genéticos.
2 - Mediante disposição legal ou autorização da CNPD, pode ser permitido o tratamento dos dados referidos no número anterior quando por motivos de interesse público importante esse tratamento for indispensável ao exercício das atribuições legais ou estatutárias do seu responsável, ou quando o titular dos dados tiver dado o seu consentimento expresso para esse tratamento, em ambos os casos com garantias de não discriminação e com as medidas de segurança previstas no artigo 15.º.
3 - O tratamento dos dados referidos no n.º 1 é ainda permitido quando se verificar uma das seguintes condições:
a) Ser necessário para proteger interesses vitais do titular dos dados ou de uma outra pessoa e o titular dos dados estiver física ou legalmente incapaz de dar o seu consentimento;
b) Ser efectuado, com o consentimento do titular, por fundação, associação ou organismo sem fins lucrativos de carácter político, filosófico, religioso ou sindical, no âmbito das suas actividades legítimas, sob condição de o tratamento respeitar apenas aos membros desse organismo ou às pessoas que com ele mantenham contactos periódicos ligados às suas finalidades, e de os dados não serem comunicados a terceiros sem consentimento dos seus titulares;
c) Dizer respeito a dados manifestamente tornados públicos pelo seu titular, desde que se possa legitimamente deduzir das suas declarações o consentimento para o tratamento dos mesmos;
d) Ser necessário à declaração, exercício ou defesa de um direito em processo judicial e for efectuado exclusivamente com essa finalidade.
4- O tratamento dos dados referentes à saúde e à vida sexual, incluindo os dados genéticos, é permitido quando for necessário para efeitos de medicina preventiva, de diagnóstico médico, de prestação de cuidados ou tratamentos médicos ou de gestão de serviços de saúde, desde que o tratamento desses dados seja efectuado por um profissional de saúde obrigado a sigilo ou por outra pessoa sujeita igualmente a segredo profissional, seja notificado à CNPD, nos termos do artigo 27.º, e sejam garantidas medidas adequadas de segurança da informação.
Artigo 10.ºDireito de informação
1 - Quando recolher dados pessoais directamente do seu titular, o responsável pelo tratamento ou o seu representante deve prestar-lhe, salvo se já dele forem conhecidas, as seguintes informações:
a) Identidade do responsável pelo tratamento e, se for caso disso, do seu representante;
b) Finalidades do tratamento;
c) Outras informações, tais como:
Os destinatários ou categorias de destinatários dos dados;O carácter obrigatório ou facultativo da resposta, bem como as possíveis consequências se não responder;A existência e as condições do direito de acesso e de rectificação, desde que sejam necessárias, tendo em conta as circunstâncias específicas da recolha dos dados, para garantir ao seu titular um tratamento leal dos mesmos.
2 - Os documentos que sirvam de base à recolha de dados pessoais devem conter as informações constantes do número anterior.
3 - Se os dados não forem recolhidos junto do seu titular, e salvo se dele já forem conhecidas, o responsável pelo tratamento, ou o seu representante, deve prestar-lhe as informações previstas no n.º 1 no momento do registo dos dados ou, se estiver prevista a comunicação a terceiros, o mais tardar aquando da primeira comunicação desses dados.
4 - No caso de recolha de dados em redes abertas, o titular dos dados deve ser informado, salvo se disso já tiver conhecimento, de que os seus dados pessoais podem circular na rede sem condições de segurança, correndo o risco de serem vistos e utilizados por terceiros não autorizados.
5 - A obrigação de informação pode ser dispensada, mediante disposição legal ou deliberação da CNPD, por motivos de segurança do Estado e prevenção ou investigação criminal, e, bem assim, quando, nomeadamente no caso do tratamento de dados com finalidades estatísticas, históricas ou de investigação científica, a informação do titular dos dados se revelar impossível ou implicar esforços desproporcionados ou ainda quando a lei determinar expressamente o registo dos dados ou a sua divulgação.
6 - A obrigação de informação, nos termos previstos no presente artigo, não se aplica ao tratamento de dados efectuado para fins exclusivamente jornalísticos ou de expressão artística ou literária.
Artigo 11.ºDireito de acesso
1 - O titular dos dados tem o direito de obter do responsável pelo tratamento, livremente e sem restrições, com periodicidade razoável e sem demoras ou custos excessivos:
a) A confirmação de serem ou não tratados dados que lhe digam respeito, bem como informação sobre as finalidades desse tratamento, as categorias de dados sobre que incide e os destinatários ou categorias de destinatários a quem são comunicados os dados;
b) A comunicação, sob forma inteligível, dos seus dados sujeitos a tratamento e de quaisquer informações disponíveis sobre a origem desses dados;
c) O conhecimento da lógica subjacente ao tratamento automatizado dos dados que lhe digam respeito;
d) A rectificação, o apagamento ou o bloqueio dos dados cujo tratamento não cumpra o disposto na presente lei, nomeadamente devido ao carácter incompleto ou inexacto desses dados;
e) A notificação aos terceiros a quem os dados tenham sido comunicados de qualquer rectificação, apagamento ou bloqueio efectuado nos termos da alínea d), salvo se isso for comprovadamente impossível.
2 - No caso de tratamento de dados pessoais relativos à segurança do Estado e à prevenção ou investigação criminal, o direito de acesso é exercido através da CNPD ou de outra autoridade independente a quem a lei atribua a verificação do cumprimento da legislação de protecção de dados pessoais.
3 - No caso previsto no n.º 6 do artigo anterior, o direito de acesso é exercido através da CNPD com salvaguarda das normas constitucionais aplicáveis, designadamente as que garantem a liberdade de expressão e informação, a liberdade de imprensa e a independência e sigilo profissionais dos jornalistas.
4 - Nos casos previstos nos n.os 2 e 3, se a comunicação dos dados ao seu titular puder prejudicar a segurança do Estado, a prevenção ou a investigação criminal ou ainda a liberdade de expressão e informação ou a liberdade de imprensa, a CNPD limita-se a informar o titular dos dados das diligências efectuadas.
5 - O direito de acesso à informação relativa a dados da saúde, incluindo os dados genéticos, é exercido por intermédio de médico escolhido pelo titular dos dados.
6 - No caso de os dados não serem utilizados para tomar medidas ou decisões em relação a pessoas determinadas, a lei pode restringir o direito de acesso nos casos em que manifestamente não exista qualquer perigo de violação dos direitos, liberdades e garantias do titular dos dados, designadamente do direito à vida privada, e os referidos dados forem exclusivamente utilizados para fins de investigação científica ou conservados sob forma de dados pessoais durante um período que não exceda o necessário à finalidade exclusiva de elaborar estatísticas.
Artigo 12.ºDireito de oposição do titular dos dados
O titular dos dados tem o direito de:
a) Salvo disposição legal em contrário, e pelo menos nos casos referidos nas alíneas d) e e) do artigo 6.º, se opor em qualquer altura, por razões ponderosas e legítimas relacionadas com a sua situação particular, a que os dados que lhe digam respeito sejam objecto de tratamento, devendo, em caso de oposição justificada, o tratamento efectuado pelo responsável deixar de poder incidir sobre esses dados;
b) Se opor, a seu pedido e gratuitamente, ao tratamento dos dados pessoais que lhe digam respeito previsto pelo responsável pelo tratamento para efeitos de marketing directo ou qualquer outra forma de prospecção, ou de ser informado, antes de os dados pessoais serem comunicados pela primeira vez a terceiros para fins de marketing directo ou utilizados por conta de terceiros, e de lhe ser expressamente facultado o direito de se opor, sem despesas, a tais comunicações ou utilizações.
Secção IIISegurança e confidencialidade do tratamento
Artigo 14.ºSegurança do tratamento
1 - O responsável pelo tratamento deve pôr em prática as medidas técnicas e organizativas adequadas para proteger os dados pessoais contra a destruição, acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede, e contra qualquer outra forma de tratamento ilícito; estas medidas devem assegurar, atendendo aos conhecimentos técnicos disponíveis e aos custos resultantes da sua aplicação, um nível de segurança adequado em relação aos riscos que o tratamento apresenta e à natureza dos dados a proteger.
2 - O responsável pelo tratamento, em caso de tratamento por sua conta, deverá escolher um subcontratante que ofereça garantias suficientes em relação às medidas de segurança técnica e de organização do tratamento a efectuar, e deverá zelar pelo cumprimento dessas medidas.
3 - A realização de operações de tratamento em subcontratação deve ser regida por um contrato ou acto jurídico que vincule o subcontratante ao responsável pelo tratamento e que estipule, designadamente, que o subcontratante apenas actua mediante instruções do responsável pelo tratamento e que lhe incumbe igualmente o cumprimento das obrigações referidas no n.º 1.
4 - Os elementos de prova da declaração negocial, do contrato ou do acto jurídico relativos à protecção dos dados, bem como as exigências relativas às medidas referidas no n.º 1, são consignados por escrito em documento em suporte com valor probatório legalmente reconhecido.
Artigo 17.ºSigilo profissional1 - Os responsáveis do tratamento de dados pessoais, bem como as pessoas que, no exercício das suas funções, tenham conhecimento dos dados pessoais tratados, ficam obrigados a sigilo profissional, mesmo após o termo das suas funções.2 - Igual obrigação recai sobre os membros da CNPD, mesmo após o termo do mandato.3 - O disposto nos números anteriores não exclui o dever do fornecimento das informações obrigatórias, nos termos legais, excepto quando constem de ficheiros organizados para fins estatísticos.4 - Os funcionários, agentes ou técnicos que exerçam funções de assessoria à CNPD ou aos seus vogais estão sujeitos à mesma obrigação de sigilo profissional.Capítulo IIITransferência de dados pessoais
Secção ITransferência de dados pessoais na União Europeia
Artigo 18.ºPrincípioÉ livre a circulação de dados pessoais entre Estados membros da União Europeia, sem prejuízo do disposto nos actos comunitários de natureza fiscal e aduaneira.
Secção II
Transferência de dados pessoais para fora da União Europeia
Artigo 19.ºPrincípios
1 - Sem prejuízo do disposto no artigo seguinte, a transferência, para um Estado que não pertença à União Europeia, de dados pessoais que sejam objecto de tratamento ou que se destinem a sê-lo só pode realizar-se com o respeito das disposições da presente lei e se o Estado para onde são transferidos assegurar um nível de protecção adequado.
2 - A adequação do nível de protecção num Estado que não pertença à União Europeia é apreciada em função de todas as circunstâncias que rodeiem a transferência ou o conjunto de transferências de dados; em especial, devem ser tidas em consideração a natureza dos dados, a finalidade e a duração do tratamento ou tratamentos projectados, os países de origem e de destino final, as regras de direito, gerais ou sectoriais, em vigor no Estado em causa, bem como as regras profissionais e as medidas de segurança que são respeitadas nesse Estado.
3 - Cabe à CNPD decidir se um Estado que não pertença à União Europeia assegura um nível de protecção adequado.
4 - A CNPD comunica, através do Ministério dos Negócios Estrangeiros, à Comissão Europeia os casos em que tenha considerado que um Estado não assegura um nível de protecção adequado.
5 - Não é permitida a transferência de dados pessoais de natureza idêntica aos que a Comissão Europeia tiver considerado que não gozam de protecção adequada no Estado a que se destinam.
Artigo 34.ºResponsabilidade civil
1 - Qualquer pessoa que tiver sofrido um prejuízo devido ao tratamento ilícito de dados ou a qualquer outro acto que viole disposições legais em matéria de protecção de dados pessoais tem o direito de obter do responsável a reparação pelo prejuízo sofrido.
2 - O responsável pelo tratamento pode ser parcial ou totalmente exonerado desta responsabilidade se provar que o facto que causou o dano lhe não é imputável.
Protecção de Dados Pessoais em Portugal - (Lei 1/2005 utilização de câmeras de vídeo)-Lei sobre a utilização de câmaras de vídeoA Lei 1 / 2005 – Regula a utilização de câmaras de vídeo pelas forças e serviços de segurança em locais públicos de utilização comum, destina-se a salvaguarda a privacidade do Cidadão, mesmo em lugares públicos, exigindo que seja estabelecida a utilidade da instalação da câmara para que a mesma seja autorizada.
Protecção de Dados Pessoais em Portugal Lei 41/2004 – Privacidade nas comunicações electrónicas
Artigo 1.ºObjecto e âmbito de aplicação
1 - A presente lei transpõe para a ordem jurídica nacional a Directiva n.º 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de Julho, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas, com excepção do seu artigo 13.º, referente a comunicações não solicitadas.
2 - A presente lei aplica-se ao tratamento de dados pessoais no contexto das redes e serviços de comunicações electrónicas acessíveis ao público, especificando e complementando as disposições da Lei n.º 67/98, de 26 de Outubro (Lei da Protecção de Dados Pessoais).
3 - As disposições da presente lei asseguram a protecção dos interesses legítimos dos assinantes que sejam pessoas colectivas na medida em que tal protecção seja compatível com a sua natureza.
4 - As excepções à aplicação da presente lei que se mostrem estritamente necessárias para a protecção de actividades relacionadas com a segurança pública, a defesa, a segurança do Estado e a prevenção, investigação e repressão de infracções penais são definidas em legislação especial.
Protecção de Dados Pessoais em Portugal - Lei 109/91, 17 Agosto, Lei da criminalidade informática
A Lei da Criminalidade Informática destina-se a proteger os programas informáticos das cópias ilegítimas e os acessos ilegítimos a redes ou computadores com intuito de falsificação, intercepção, dano, sabotagem de dados. É assim, uma lei de protecção de dados pessoais informáticos, que penaliza quem indevidamente tente extrair dados pessoais informáticos por meio ilegítimos, na óptica não do uso indevido por parte de quem possuí esses dados legitimamente mas por parte de um terceiro, que os tente extrair ilegitimamente para outros usos não autorizados.
Subscrever:
Enviar feedback (Atom)
Sem comentários:
Enviar um comentário