|
Lei n.º 58/2019, de 08 de Agosto LEI DA PROTEÇÃO DE DADOS PESSOAIS(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados _____________________ |
|
Lei n.º 58/2019, de 8 de agosto
Assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados
A Assembleia da República decreta, nos termos da alínea c) do artigo 161.º da Constituição, o seguinte:
|
CAPÍTULO I
Disposições gerais
| Artigo 1.º
Objeto |
| A presente lei assegura a execução, na ordem jurídica interna, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, doravante designado abreviadamente por Regulamento Geral de Proteção de Dados (RGPD). |
| |
|
|
|
|
Artigo 2.º
Âmbito de aplicação |
1 - A presente lei aplica-se aos tratamentos de dados pessoais realizados no território nacional, independentemente da natureza pública ou privada do responsável pelo tratamento ou do subcontratante, mesmo que o tratamento de dados pessoais seja efetuado em cumprimento de obrigações legais ou no âmbito da prossecução de missões de interesse público, aplicando-se todas as exclusões previstas no artigo 2.º do RGPD.
2 - A presente lei aplica-se ainda aos tratamentos de dados pessoais realizados fora do território nacional quando:
a) Sejam efetuados no âmbito da atividade de um estabelecimento situado no território nacional; ou
b) Afetem titulares de dados que se encontrem no território nacional, quando as atividades de tratamento estejam subordinadas ao disposto no n.º 2 do artigo 3.º do RGPD; ou
c) Afetem dados que estejam inscritos nos postos consulares de que sejam titulares portugueses residentes no estrangeiro.
3 - A presente lei não se aplica aos ficheiros de dados pessoais constituídos e mantidos sob a responsabilidade do Sistema de Informações da República Portuguesa, que se rege por disposições específicas, nos termos da lei. |
| |
|
|
|
|
CAPÍTULO II
Comissão Nacional de Proteção de Dados
| Artigo 3.º
Autoridade de controlo nacional |
| A Comissão Nacional de Proteção de Dados (CNPD) é a autoridade de controlo nacional para efeitos do RGPD e da presente lei. |
| |
|
|
|
|
Artigo 4.º
Natureza e independência |
1 - A CNPD é uma entidade administrativa independente, com personalidade jurídica de direito público e poderes de autoridade, dotada de autonomia administrativa e financeira, que funciona junto da Assembleia da República.
2 - A CNPD controla e fiscaliza o cumprimento do RGPD e da presente lei, bem como das demais disposições legais e regulamentares em matéria de proteção de dados pessoais, a fim de defender os direitos, liberdades e garantias das pessoas singulares no âmbito dos tratamentos de dados pessoais.
3 - A CNPD age com independência na prossecução das suas atribuições e no exercício dos poderes que lhe são atribuídos pela presente lei.
4 - Os membros da CNPD ficam sujeitos ao regime de incompatibilidades estabelecido para os titulares de altos cargos públicos, não podendo, durante o seu mandato, desempenhar outra atividade, remunerada ou não, com exceção da atividade de docência no ensino superior e de investigação. |
| |
|
|
|
|
Artigo 5.º
Composição e funcionamento |
| A composição, o modo de designação e o estatuto remuneratório dos membros da CNPD, bem como a respetiva orgânica e quadro de pessoal, são aprovados por lei da Assembleia da República. |
| |
|
|
|
|
Artigo 6.º
Atribuições e competências |
1 - Para além do disposto no artigo 57.º do RGPD, a CNPD prossegue as seguintes atribuições:
a) Pronunciar-se, a título não vinculativo, sobre as medidas legislativas e regulamentares relativas à proteção de dados pessoais, bem como sobre instrumentos jurídicos em preparação, em instituições europeias ou internacionais, relativos à mesma matéria;
b) Fiscalizar o cumprimento das disposições do RGPD e das demais disposições legais e regulamentares relativas à proteção de dados pessoais e dos direitos, liberdades e garantias dos titulares dos dados, e corrigir e sancionar o seu incumprimento;
c) Disponibilizar uma lista de tratamentos sujeitos à avaliação do impacto sobre a proteção de dados, nos termos do n.º 4 do artigo 35.º do RGPD, definindo igualmente critérios que permitam densificar a noção de elevado risco prevista nesse artigo;
d) Elaborar e apresentar ao Comité Europeu para a Proteção de Dados, previsto no RGPD, os projetos de critérios para a acreditação dos organismos de monitorização de códigos de conduta e dos organismos de certificação, nos termos dos artigos 41.º e 43.º do RGPD, e assegurar a posterior publicação dos critérios, caso sejam aprovados;
e) Cooperar com o Instituto Português de Acreditação, I. P. (IPAC, I. P.), relativamente à aplicação do disposto no artigo 14.º da presente lei, bem como na definição de requisitos adicionais de acreditação, tendo em vista a salvaguarda da coerência de aplicação do RGPD;
2 - A CNPD exerce as competências previstas no artigo 58.º do RGPD. |
| |
|
|
|
|
Artigo 7.º
Avaliações prévias de impacto |
1 - Nos termos do n.º 5 do artigo 35.º do RGPD, a CNPD difunde uma lista de tipos de tratamentos de dados cuja avaliação prévia de impacto não é obrigatória.
2 - O disposto no número anterior não impede os responsáveis pelo tratamento de efetuar uma avaliação prévia de impacto por iniciativa própria.
3 - As listas referidas nos n.os 4 e 5 do artigo 35.º do RGPD são publicitadas no sítio da CNPD na Internet. |
| |
|
|
|
|
|