
A lei de execução do RGPD em Portugal !
Passou-se um ano sobre o início da aplicação do RGPD e chegou finalmente a tão discutida lei de execução. Esta lei vem ajudar a clarificar questões e vem também tentar regulamentar quem faz o quê e como. Pela nossa parte, é a primeira publicação que fazemos em 2019, não porque não exista uma vasta temática, mas essencialmente porque temos assistido a várias ‘guerras’ de palavras entre diferentes setores, e cada um fazendo a sua interpretação do regulamento e defendendo os seus interesses. Como consequência disto, para além da grande maioria das empresas não estar preparada ou pensar que está erradamente, também temos assistido à implementação de asneiras atrás de asneiras e a uma diabolização de consultores de RGPD. Por outro lado, quando se esperaria que os responsáveis políticos tivessem uma atitude responsável e educativa para com o tecido empresarial português , temos assistido continuamente a demonstrações públicas de ignorância nesta matéria que em nada dignificam o nome de Portugal além-fronteiras. Parafraseando João Miguel Tavares; “Aquilo que se pede aos políticos (…) é que nos deem alguma coisa em que acreditar”.
Dito isto, iremos aproveitar este marco referente à nova lei de execução do RGPD para retomar a publicação de artigos com conteúdos que sejam informativos e educativos para todos os que acedem ao nosso sítio web. E finalmente, segue-se a transcrição dos artigos da nova lei no que diz respeito especificamente ao RGPD . Para uma consulta mais completa que inclua por exemplo a organização da CNPD, sugere-se a leitura dos documentos originais.
(…)
CAPÍTULO I
Disposições gerais
Artigo 1.º
Objeto
A presente lei assegura a execução, na ordem jurídica interna, do Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, doravante designado abreviadamente por RGPD.
Artigo 2.º
Âmbito de aplicação
1 – A presente lei aplica-se aos tratamentos de dados pessoais realizados no território nacional, independentemente da natureza pública ou privada do responsável pelo tratamento ou do subcontratante, mesmo que o tratamento de dados pessoais seja efetuado em cumprimento de obrigações legais ou no âmbito da prossecução de missões de interesse público, aplicando-se todas as exclusões previstas no artigo 2.º do RGPD.
2 – A presente lei aplica-se ainda aos tratamentos de dados pessoais realizados fora do território nacional quando:
a) Sejam efetuados no âmbito da atividade de um estabelecimento situado no território nacional; ou
b) Afetem titulares de dados que se encontrem no território nacional, quando as atividades de tratamento estejam subordinadas ao disposto no n.º 2 do artigo 3.º do RGPD; ou
c) Afetem dados que estejam inscritos nos postos consulares de que sejam titulares portugueses residentes no estrangeiro.
3 – A presente lei não se aplica aos ficheiros de dados pessoais constituídos e mantidos sob a responsabilidade do Sistema de Informações da República Portuguesa, que se rege por disposições específicas, nos termos da lei.
CAPÍTULO II
Comissão Nacional de Proteção de Dados
Artigo 3.º
Autoridade de controlo nacional
A Comissão Nacional de Proteção de Dados (CNPD) é a autoridade de controlo nacional para efeitos do RGPD e da presente lei.
Artigo 4.º
Natureza e independência
1 – A CNPD é uma entidade administrativa independente, com personalidade jurídica de direito público e poderes de autoridade, dotada de autonomia administrativa e financeira, que funciona junto da Assembleia da República.
2 – A CNPD controla e fiscaliza o cumprimento do RGPD e da presente lei, bem como das demais disposições legais e regulamentares em matéria de proteção de dados pessoais, a fim de defender os direitos, liberdades e garantias das pessoas singulares no âmbito dos tratamentos de dados pessoais.
3 – A CNPD age com independência na prossecução das suas atribuições e no exercício dos poderes que lhe são atribuídos pela presente lei.
4 – Os membros da CNPD ficam sujeitos ao regime de incompatibilidades estabelecido para os titulares de altos cargos públicos, não podendo, durante o seu mandato, desempenhar outra atividade, remunerada ou não, com exceção da atividade de docência no ensino superior e de investigação.
Artigo 5.º
Composição e funcionamento
A composição, o modo de designação e o estatuto remuneratório dos membros da CNPD, bem como a respetiva orgânica e quadro de pessoal, são aprovados por lei da Assembleia da República.
Artigo 6.º
Atribuições e competências
1 – Para além do disposto no artigo 57.º do RGPD, a CNPD prossegue as seguintes atribuições:
a) Pronunciar-se, a título não vinculativo, sobre as medidas legislativas e regulamentares relativas à proteção de dados pessoais, bem como sobre instrumentos jurídicos em preparação, em instituições europeias ou internacionais, relativos à mesma matéria;
b) Fiscalizar o cumprimento das disposições do RGPD e das demais disposições legais e regulamentares relativas à proteção de dados pessoais e dos direitos, liberdades e garantias dos titulares dos dados, e corrigir e sancionar o seu incumprimento;
c) Disponibilizar uma lista de tratamentos sujeitos à avaliação do impacto sobre a proteção de dados, nos termos do n.º 4 do artigo 35.º do RGPD, definindo igualmente critérios que permitam densificar a noção de elevado risco prevista nesse artigo;
d) Elaborar e apresentar ao Comité Europeu para a Proteção de Dados, previsto no RGPD, os projetos de critérios para a acreditação dos organismos de monitorização de códigos de conduta e dos organismos de certificação, nos termos dos artigos 41.º e 43.º do RGPD, e assegurar a posterior publicação dos critérios, caso sejam aprovados;
e) Cooperar com o Instituto Português de Acreditação, I.P. (IPAC, I.P.), relativamente à aplicação do disposto no artigo 14.º da presente lei, bem como na definição de requisitos adicionais de acreditação, tendo em vista a salvaguarda da coerência de aplicação do RGPD;
2 – A CNPD exerce as competências previstas no artigo 58.º do RGPD.
Artigo 7.º
Avaliações prévias de impacto
1 – Nos termos do n.º 5 do artigo 35.º do RGPD, a CNPD difunde uma lista de tipos de tratamentos de dados cuja avaliação prévia de impacto não é obrigatória.
2 – O disposto no número anterior não impede os responsáveis pelo tratamento de efetuar uma avaliação prévia de impacto por iniciativa própria.
3 – As listas referidas nos n.os 4 e 5 do artigo 35.º do RGPD são publicitadas no sítio da CNPD na Internet.
Artigo 8.º
Dever de colaboração
1 – As entidades públicas e privadas devem prestar a sua colaboração à CNPD, facultando-lhe todas as informações que por esta, no exercício das suas atribuições e competências, lhes sejam solicitadas.
2 – O dever de colaboração é assegurado, designadamente, quando a CNPD tiver necessidade, para o cabal exercício das suas funções, de examinar o sistema informático e os ficheiros de dados pessoais, bem como toda a documentação relativa ao tratamento e transmissão de dados pessoais.
3 – Os membros da CNPD, bem como os seus trabalhadores, prestadores de serviços ou pessoas por si mandatadas, estão obrigados ao dever de sigilo profissional, nomeadamente quanto aos dados pessoais, segredo profissional, segredo industrial ou comercial ou informações confidenciais a que tenham acesso no exercício das suas funções.
4 – O dever de sigilo mantém-se após o termo das respetivas funções.
5 – O dever de colaboração previsto nos números anteriores, bem como os poderes de fiscalização da CNPD, não prejudicam o dever de segredo a que o responsável pelo tratamento esteja obrigado nos termos da lei ou de normas internacionais.
CAPÍTULO III
Encarregado de proteção de dados
Artigo 9.º
Disposição geral
1- O encarregado de proteção de dados é designado com base nos requisitos previstos no n.º 5 do artigo 37.º do RGPD, não carecendo de certificação profissional para o efeito.
2- Independentemente da natureza da sua relação jurídica, o encarregado de proteção de dados exerce a sua função com autonomia técnica perante a entidade responsável pelo tratamento ou subcontratante.
Artigo 10.º
Dever de sigilo e confidencialidade
1- De acordo com o disposto no n.º 5 do artigo 38.º do RGPD, o encarregado de proteção de dados está obrigado a um dever de sigilo profissional em tudo o que diga respeito ao exercício dessas funções, que se mantém após o termo das funções que lhes deram origem.
2 – O encarregado de proteção de dados, bem como os responsáveis pelo tratamento de dados, incluindo os subcontratantes, e todas as pessoas que intervenham em qualquer operação de tratamento de dados, estão obrigadas a um dever de confidencialidade que acresce aos deveres de sigilo profissional previsto na lei.
Artigo 11.º
Funções do encarregado de proteção de dados
Para além do disposto nos artigos 37.º a 39.º do RGPD, são funções do encarregado de proteção de dados:
a) Assegurar a realização de auditorias, quer periódicas, quer não programadas;
b) Sensibilizar os utilizadores para importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança;
c) Assegurar as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e pela legislação nacional em matéria de proteção de dados.
Artigo 12.º
Encarregados de proteção de dados em entidades públicas
1 – Nos termos da alínea a) do n.º 1 do artigo 37.º do RGPD, é obrigatória a designação de encarregados de proteção de dados nas entidades públicas, de acordo com o disposto nos números seguintes.
2 – Para efeitos do número anterior, entende-se por entidades públicas:
a) O Estado;
b) As regiões autónomas;
c) As autarquias locais e as entidades supranacionais previstas na lei;
d) As entidades administrativas independentes e o Banco de Portugal;
e) Os institutos públicos;
f) As instituições de ensino superior públicas, independentemente da sua natureza;
g) As empresas do setor empresarial do Estado e dos setores empresariais regionais e locais;
h) As associações públicas.
3 – Independentemente de quem seja responsável pelo tratamento, existe pelo menos um encarregado de proteção de dados:
a) Por cada ministério ou área governativa, no caso do Estado, sendo designado pelo respetivo ministro, com faculdade de delegação em qualquer secretário de estado que o coadjuvar;
b) Por cada secretaria regional, no caso das regiões autónomas, sendo designado pelo respetivo secretário regional, com faculdade de delegação em dirigente superior de 1.º grau;
c) Por cada município, sendo designado pela câmara municipal, com faculdade de delegação no presidente e subdelegação em qualquer vereador;
d) Nas freguesias em que tal se justifique, nomeadamente naquelas com mais de 750 habitantes, sendo designado pela junta de freguesia, com faculdade de delegação no presidente;
e) Por cada entidade, no caso das demais entidades referidas no número anterior, sendo designada pelo respetivo órgão executivo, de administração ou gestão, com faculdade de delegação no respetivo presidente.
4 – Nos termos do n.º 3 do artigo 37.º do RGPD, pode ser designado o mesmo encarregado de proteção de dados para vários ministérios ou áreas governativas, secretarias regionais, autarquias locais ou outras pessoas coletivas públicas.
5 – Cabe a cada entidade a designação do encarregado de proteção de dados, não sendo obrigatório o exercício de funções em regime de exclusividade.
6 – O encarregado de proteção de dados de uma entidade pública que tenha atribuições de regulação ou controlo não pode exercer essas funções simultaneamente em entidade sujeita ao controlo, ou inserida no perímetro regulatório daquela entidade.
Artigo 13.º
Encarregados de proteção de dados em entidades privadas
O responsável pelo tratamento e o subcontratante designam um encarregado de proteção de dados sempre que a atividade privada desenvolvida, a título principal, implique:
a) Operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou
b) Operações de tratamento em grande escala das categoriais especiais de dados nos termos do artigo 9.º do RGPD, ou de dados pessoais relacionados com condenações penais e contraordenacionais nos termos do artigo 10.º do RGPD.
CAPÍTULO IV
Acreditação, certificação e códigos de conduta
Artigo 14.º
Acreditação e certificação
1 – Nos termos da alínea b) do n.º 1 do artigo 43.º do RGPD, a autoridade competente para a acreditação dos organismos de certificação em matéria de proteção de dados é o IPAC, I.P.
2 – O ato de acreditação emitido pelo IPAC, I.P., deve tomar em consideração os requisitos previstos no RGPD, bem como os requisitos adicionais estabelecidos pela CNPD.
3 – A certificação, bem como a emissão de selos e marcas de proteção de dados, é efetuada por organismos de certificação acreditados nos termos do n.º 1, destinando-se a atestar que os procedimentos implementados cumprem o disposto no RGPD e na presente lei.
Artigo 15.º
Códigos de conduta
1 – Compete à CNPD fomentar a elaboração de códigos de conduta que regulem atividades determinadas, os quais devem tomar em atenção as necessidades específicas das micro, pequenas e médias empresas.
2 – O tratamento de dados pessoais pela administração direta e indireta do Estado é objeto de códigos de conduta próprios.
CAPÍTULO V
Disposições especiais
Artigo 16.º
Consentimento de menores
1 – Nos termos do artigo 8.º do RGPD, os dados pessoais de crianças só podem ser objeto de tratamento com base no consentimento previsto na alínea a) do n.º 1 do artigo 6.º do RGPD e relativo à oferta direta de serviços da sociedade de informação quando as mesmas já tenham completado treze anos de idade.
2 – Caso a criança tenha idade inferior a treze anos, o tratamento só é lícito se o consentimento for dado pelos representantes legais desta, de preferência com recurso a meios de autenticação segura.
Artigo 17.º
Proteção de dados pessoais de pessoas falecidas
1 – Os dados pessoais de pessoas falecidas são protegidos nos termos do RGPD e da presente lei quando se integrem nas categorias especiais de dados pessoais a que se refere o n.º 1 do artigo 9.º do RGPD, ou quando se reportem à intimidade da vida privada, à imagem ou aos dados relativos às comunicações, ressalvados os casos previstos no n.º 2 do mesmo artigo.
2 – Os direitos previstos no RGPD relativos a dados pessoais de pessoas falecidas, abrangidos pelo número anterior, nomeadamente os direitos de acesso, retificação e apagamento, são exercidos por quem a pessoa falecida haja designado para o efeito ou, na sua falta, pelos respetivos herdeiros.
3 – Os titulares dos dados podem igualmente, nos termos legais aplicáveis, deixar determinada a impossibilidade de exercício dos direitos referidos no número anterior após a sua morte.
Artigo 18.º
Portabilidade e interoperabilidade dos dados
1 – O direito de portabilidade dos dados previsto no artigo 20.º do RGPD abrange apenas os dados fornecidos pelos respetivos titulares.
2 – A portabilidade dos dados deve, sempre que possível, ter lugar em formato aberto.
3 – No âmbito da Administração Pública, sempre que a interoperabilidade dos dados não seja tecnicamente possível, o titular dos dados tem o direito de exigir que os mesmos lhe sejam entregues num formato digital aberto, de acordo com o Regulamento Nacional de Interoperabilidade Digital em vigor.
Artigo 19.º
Videovigilância
1 – Sem prejuízo das disposições legais específicas que imponham a sua utilização, nomeadamente por razões de segurança pública, os sistemas de videovigilância cuja finalidade seja a proteção de pessoas e bens asseguram os requisitos previstos no artigo 31.º da Lei n.º 34/2013, de 16 de maio, com os limites definidos no número seguinte.
2 – As câmaras não podem incidir sobre:
a) Vias públicas, propriedades limítrofes ou outros locais que não sejam do domínio exclusivo do responsável, exceto no que seja estritamente necessário para cobrir os acessos ao imóvel;
b) A zona de digitação de códigos de caixas multibanco ou outros terminais de pagamento ATM;
c) O interior de áreas reservadas a clientes ou utentes onde deva ser respeitada a privacidade, designadamente instalações sanitárias, zonas de espera e provadores de vestuário;
d) O interior de áreas reservadas aos trabalhadores, designadamente zonas de refeição, vestiários, ginásios, instalações sanitárias e zonas exclusivamente afetas ao seu descanso.
3- Nos estabelecimentos de ensino, as câmaras de videovigilância só podem incidir sobre os perímetros externos e locais de acesso, e ainda sobre espaços cujos bens e equipamentos requeiram especial proteção, como laboratórios ou salas de informática.
4- Nos casos em que é admitida a videovigilância, é proibida a captação de som, exceto no período em que as instalações vigiadas estejam encerradas ou mediante autorização prévia da CNPD.
Artigo 20.º
Dever de segredo
1 – Os direitos de informação e de acesso a dados pessoais previstos nos artigos 13.º a 15.º do RGPD não podem ser exercidos quando a lei imponha ao responsável pelo tratamento ou ao subcontratante um dever de segredo que seja oponível ao próprio titular dos dados.
2 – O titular dos dados pode solicitar à CNPD a emissão de parecer quanto à oponibilidade do dever de segredo, sem prejuízo do disposto no Capítulo VII.
Artigo 21.º
Prazo de conservação de dados pessoais
1 – O prazo de conservação de dados pessoais é o que estiver fixado por norma legal ou regulamentar ou, na falta desta, o que se revele necessário para a prossecução da finalidade<
2 – Quando, pela natureza e finalidade do tratamento, designadamente para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos,não seja possível determinar antecipadamente o momento em que o mesmo deixa de ser necessário, é lícita a conservação dos dados pessoais, desde que sejam adotadas medidas técnicas e organizativas adequadas a garantir os direitos do titular dos dados, designadamente a informação da sua conservação.
3 – Quando os dados pessoais sejam necessários para o responsável pelo tratamento, ou o subcontratante, comprovar o cumprimento de obrigações contratuais ou de outra natureza, os mesmos podem ser conservados enquanto não decorrer o prazo de prescrição dos direitos correspetivos.
4 – Quando cesse a finalidade que motivou o tratamento, inicial ou posterior, de dados pessoais, o responsável pelo tratamento deve proceder à sua destruição ou anonimização.
5 – Nos casos em que existe um prazo de conservação de dados imposto por lei, só pode ser exercido o direito ao apagamento previsto no artigo 17.º do RGPD findo esse prazo.
6 – Os dados relativos a declarações contributivas para efeitos de aposentação ou reforma podem ser conservados sem limite de prazo, a fim de auxiliar o titular na reconstituição das carreiras contributivas, desde que sejam adotadas medidas técnicas e organizativas adequadas a garantir os direitos do titular dos dados.
Artigo 22.º
Transferências de dados
As transferências de dados para países terceiros à União Europeia ou organizações internacionais, efetuadas no cumprimento de obrigações legais, por entidades públicas no exercício de poderes de autoridade, são consideradas de interesse público para efeitos do disposto no n.º 4 do artigo 49.º do RGPD.
Artigo 23.º
Tratamento de dados pessoais por entidades públicas para finalidades diferentes
1 – O tratamento de dados pessoais por entidades públicas para finalidades diferentes das determinadas pela recolha tem natureza excecional e deve ser devidamente fundamentado com vista a assegurar a prossecução do interesse público que de outra forma não possa ser acautelado, nos termos da alínea e) do n.º 1, do n.º 4 do artigo 6.º e da alínea g) do n.º2 do artigo 9.º do RGPD.
2 – A transmissão de dados pessoais entre entidades públicas para finalidades diferentes das determinadas pela recolha tem natureza excecional e deve ser devidamente fundamentado nos termos referidos no número anterior e deve ser objeto de protocolo, que estabeleça as responsabilidades de cada entidade interveniente, quer no ato de transmissão, quer em outros tratamentos a efetuar.
CAPÍTULO VI
Situações específicas de tratamento de dados pessoais
Artigo 24.º
Liberdade de expressão e informação
1 – A proteção de dados pessoais, nos termos do RGPD e da presente lei, não prejudica o exercício da liberdade de expressão, informação e imprensa, incluindo o tratamento de dados para fins jornalísticos e para fins de expressão académica, artística ou literária.
2 – O exercício da liberdade de informação, especialmente quando revele dados pessoais previstos no n.º 1 do artigo 9.º do RGPD e no artigo 17.º da presente lei, deve respeitar o princípio da dignidade da pessoa humana previsto na Constituição da RepúblicaPortuguesa, bem como os direitos de personalidade nela e na legislação nacional consagrados.
3 – O tratamento para fins jornalísticos deve respeitar a legislação nacional sobre acesso e exercício da profissão.
4 – O exercício da liberdade de expressão não legitima a divulgação de dados pessoais como moradas e contactos, à exceção daqueles que sejam de conhecimento generalizado.
Artigo 25.º
Publicação em jornal oficial
1 – A publicação de dados pessoais em jornais oficiais deve obedecer ao artigo 5.º do RGPD, nomeadamente aos princípios da finalidade e da minimização.
2 – Sempre que o dado pessoal nome seja suficiente para garantir a identificação do titular e a eficácia do tratamento, não devem ser publicados outros dados pessoais.
3 – Os dados pessoais publicados em jornal oficial não podem, em circunstância alguma, ser alterados, rasurados ou ocultados.
4 – O direito ao apagamento quanto a dados pessoais publicados em jornal oficial tem natureza excecional e só se pode concretizar nas condições previstas no artigo 17.º do RGPD, nos casos em que essa seja a única forma de acautelar o direito ao esquecimento e ponderados os demais interesses em presença.
5 – O disposto no número anterior realiza-se através da desindexação dos dados pessoais em motores de busca, sempre sem eliminação da publicação que faz fé pública.
6 – Em caso de publicação de dados pessoais em jornais oficiais, considera-se responsável pelo tratamento a entidade que manda proceder à publicação, ou, no caso dos gabinetes dos membros do Governo, as respetivas secretarias-gerais.
Artigo 26.º
Acesso a documentos administrativos
O acesso a documentos administrativos que contenham dados pessoais rege-se pelo disposto na Lei n.º 26/2016, de 22 de agosto.
Artigo 27.º
Publicação de dados no âmbito da contratação pública
No âmbito da contratação pública, e caso seja necessária a publicação de dados pessoais, não devem ser publicados outros dados pessoais para além do nome, sempre que este seja suficiente para garantir a identificação do contraente público e do cocontratante.
Artigo 28.º
Relações laborais
1 – O empregador pode tratar os dados pessoais dos seus trabalhadores para as finalidades e com os limites definidos no Código do Trabalho e respetiva legislação complementar ou noutros regimes setoriais, com as especificidades estabelecidas no presente artigo.
2 – O número anterior abrange igualmente o tratamento efetuado por subcontratante ou contabilista certificado em nome do empregador, para fins de gestão das relações laborais, desde que realizado ao abrigo de um contrato de prestação de serviços e sujeito a iguais garantias de sigilo.
3 – Salvo norma legal em contrário, o consentimento do trabalhador não constitui requisito de legitimidade do tratamento dos seus dados pessoais:
a) Se do tratamento resultar uma vantagem jurídica ou económica para o trabalhador; ou
b) Se esse tratamento estiver abrangido pelo disposto na alínea b) do n.º 1 do artigo 6.º do RGPD.
4 – As imagens gravadas e outros dados pessoais registados através da utilização de sistemas de vídeo ou outros meios tecnológicos de vigilância à distância, nos termos previstos no artigo 20.º do Código do Trabalho, só podem ser utilizadas no âmbito doprocesso penal.
5 – Nos casos previstos no número anterior, as imagens gravadas e outros dados pessoais podem também ser utilizados para efeitos de apuramento de responsabilidade disciplinar, na medida em que o sejam no âmbito do processo penal.
6 – O tratamento de dados biométricos dos trabalhadores só é considerado legítimo para controlo de assiduidade e para controlo de acessos às instalações do empregador, devendo assegurar-se que apenas se utilizem representações dos dados biométricos e que o respetivo processo de recolha não permita a reversibilidade dos referidos dados.
Artigo 29.º
Tratamento de dados de saúde e dados genéticos
1 – Nos tratamentos de dados de saúde e de dados genéticos, o acesso a dados pessoais rege-se pelo princípio da necessidade de conhecer a informação.
2 – Nos casos previstos nas alíneas h) e i) do n.º 2 do artigo 9.º do RGPD, o tratamento dos dados previstos no n.º 1 do mesmo artigo deve ser efetuado por um profissional obrigado a sigilo, ou por outra pessoa sujeita a dever de confidencialidade, devendo ser garantidas medidas adequadas de segurança da informação.
3 – O acesso aos dados a que alude o número anterior é feito exclusivamente de forma eletrónica, salvo impossibilidade técnica ou expressa indicação em contrário do titular dos dados, sendo vedada a sua divulgação ou transmissão posterior.
4 – Os titulares de órgãos, trabalhadores e prestadores de serviços do responsável pelo tratamento de dados de saúde e de dados genéticos, o encarregado de proteção de dados, os estudantes e investigadores na área da saúde e da genética e todos os profissionais de saúde que tenham acesso a dados relativos à saúde estão obrigados a um dever de sigilo.
5 – O dever de sigilo referido no número anterior é também aplicável a todos os titulares de órgãos e trabalhadores que, no contexto do acompanhamento, financiamento ou fiscalização da atividade de prestação de cuidados de saúde, tenham acesso a dados relativos à saúde.
6 – O titular dos dados deve ser notificado de qualquer acesso realizado aos seus dados pessoais, cabendo ao responsável pelo tratamento assegurar a disponibilização desse mecanismo de rastreabilidade e notificação.
7 – As medidas e os requisitos técnicos mínimos de segurança inerentes ao tratamento de dados a que alude o n.º 1 são aprovados por portaria dos membros do Governo responsáveis pelas áreas da saúde e da justiça, que deve regulamentar, nomeadamente, as seguintes matérias:
a) Estabelecimento de permissões de acesso aos dados pessoais diferenciados, em razão da necessidade de conhecer e da segregação de funções;
b) Requisitos de autenticação prévia de quem acede;
c) Registo eletrónico dos acessos e dos dados acedidos.
Artigo 30.º
Bases de dados ou registos centralizados de saúde
1 – Os dados relativos à saúde podem ser organizados em bases de dados ou registos centralizados assentes em plataformas únicas, quando tratados para efeitos das finalidades legalmente previstas no RGPD e na legislação nacional.
2 – As bases de dados de saúde ou registos centralizados assentes nas plataformas únicas referidas no número anterior devem preencher os requisitos de segurança e de inviolabilidade previstos no RGPD.
Artigo 31.º
Tratamentos para fins de arquivo de interesse público, fins de investigação
científica ou histórica ou fins estatísticos
1 – O tratamento para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos deve respeitar o princípio da minimização dos dados e incluir a anonimização ou a pseudonimização dos mesmos sempre que os fins visados possam ser atingidos por uma destas vias.
2 – Quando os dados pessoais sejam tratados para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos, ficam prejudicados os direitos de acesso, retificação, limitação do tratamento e de oposição previstos nos artigos 15.º, 16.º, 18.º e 21.º do RGPD, na medida do necessário, se esses direitos forem suscetíveis de tornar impossível ou prejudicar gravemente a realização desses fins.
3 – Ao tratamento de dados pessoais para fins de arquivo de interesse público é aplicável o Decreto-Lei n.º 16/93, de 23 de janeiro, na sua redação atual.
4 – O consentimento relativo ao tratamento de dados para fins de investigação científica pode abranger diversas áreas de investigação ou ser dado unicamente para determinados domínios ou projetos de investigação específicos, devendo em qualquer caso ser respeitados os padrões éticos reconhecidos pela comunidade científica.
5 – Sem prejuízo do disposto na Lei do Sistema Estatístico Nacional, os dados pessoais tratados para fins estatísticos devem ser anonimizados ou pseudonimizados, de modo a acautelar a tutela dos titulares dos dados, nomeadamente no que respeita à impossibilidade de reidentificação logo que concluída a operação estatística.
CAPÍTULO VII
Tutela administrativa e jurisdicional
SECÇÃO I
Disposições gerais
Artigo 32.º
Tutela administrativa
Sem prejuízo do direito de apresentação de queixa à CNPD, qualquer pessoa pode recorrer a meios de tutela administrativa, designadamente de cariz petitório ou impugnatório, para garantir o cumprimento das disposições legais em matéria de proteção de dados pessoais, nos termos previstos no Código do Procedimento Administrativo.
Artigo 33.º
Responsabilidade civil
1 – Qualquer pessoa que tenha sofrido um dano devido ao tratamento ilícito de dados ou a qualquer outro ato que viole disposições do RGPD ou da lei nacional em matéria de proteção de dados pessoais, tem o direito de obter do responsável ou subcontratante a reparação pelo dano sofrido.
2 – O responsável pelo tratamento e o subcontratante não incorrem em responsabilidade civil se provarem que o facto que causou o dano lhes não é imputável.
3 – À responsabilidade do Estado e demais pessoas coletivas públicas é aplicável o regime previsto na Lei n.º 67/2007, de 31 de dezembro, na sua redação atual.
Artigo 34.º
Tutela jurisdicional
1 – Qualquer pessoa, de acordo com as regras gerais de legitimidade processual, pode propor ações contra as decisões, nomeadamente de natureza contraordenacional, e omissões da CNPD, bem como ações de responsabilidade civil pelos danos que tais atos ou omissões possam ter causado.
2 – As ações propostas contra a CNPD são da competência dos tribunais administrativos.
3 – O titular dos dados pode propor ações contra o responsável pelo tratamento ou o subcontratante, incluindo ações de responsabilidade civil.
4 – As ações intentadas contra o responsável pelo tratamento ou um subcontratante são propostas nos tribunais nacionais se o responsável ou subcontratante tiver estabelecimento em território nacional ou se o titular dos dados aqui residir habitualmente.
Artigo 35.º
Representação dos titulares dos dados
Sem prejuízo da observância das regras relativas ao patrocínio judiciário, o titular dos dados tem o direito de mandatar um organismo, uma organização ou uma associação sem fins lucrativos constituída em conformidade com o direito nacional, cujos fins estatutários sejam de interesse público e cuja atividade abranja a defesa dos direitos, liberdades e garantias do titular dos dados quanto à proteção de dados pessoais para, em seu nome, exercer os direitos previstos nos artigos 77.º, 78.º, 79.º e 82.º do RGPD.
Artigo 36.º
Legitimidade da CNPD
A CNPD tem legitimidade para intervir em processos judiciais no caso de violação das disposições do RGPD e da presente lei, e deve denunciar ao Ministério Público as infrações penais de que tiver conhecimento, no exercício das suas funções e por causa delas, bem como praticar os atos cautelares necessários e urgentes para assegurar os meios de prova.
SECÇÃO II
Contraordenações
Artigo 37.º
Contraordenações muito graves
1 – Constituem contraordenações muito graves:
a) Os tratamentos de dados pessoais com inobservância dolosa dos princípios consagrados no artigo 5.º do RGDP;
b) Os tratamentos de dados pessoais que não tenham por base o consentimento ou outra condição de legitimidade, nos termos do artigo 6.º do RGPD ou de norma nacional;
c) O incumprimento das regras relativas à prestação do consentimento previstas no artigo 7.º do RGPD;
d) Os tratamentos de dados pessoais previstos no n.º 1 do artigo 9.º do RGPD sem que se verifique uma das circunstâncias previstas no n.º 2 do mesmo artigo;
e) Os tratamentos de dados pessoais previstos no artigo 10.º do RGPD que contrariem as regras aí previstas;
f) A exigência do pagamento de uma quantia em dinheiro fora dos casos previstos no n.º 5 do artigo 12.º do RGPD;
g) A exigência do pagamento de uma quantia em dinheiro, nos casos previstos no n.º 5 do artigo 12.º do RGPD, que exceda os custos necessários para satisfazer o direito do titular dos dados;
h) A não prestação de informação relevante nos termos dos artigos 13.º e 14.º do RGPD, o que ocorre nas seguintes circunstâncias:
i) Omissão de informação das finalidades a que se destina o tratamento;
ii) Omissão de informação acerca dos destinatários ou categorias de destinatários dos dados pessoais;
iii)Omissão de informação acerca do direito de retirar o consentimento nos casos previstos na alínea a) do n.º 1 do artigo 6.º e na alínea a) do n.º 2 do artigo 9.º do RGPD;
i) Não permitir, não assegurar ou dificultar o exercício dos direitos previstos nos artigos 15.º a 18.º e 19.º a 22.º do RGPD;
j) A transferência internacional de dados pessoais em violação do disposto nos artigos 44.º a 49.º do RGPD;
k) O incumprimento das decisões da autoridade de controlo previstas no n.º 2 do artigo 58.º do RGPD, ou recusa da colaboração que lhe seja exigida pela CNPD, no exercício dos seus poderes;
l) A violação das regras previstas no capítulo VI da presente lei.
2 – As contraordenações referidas no número anterior são punidas com coima:
a) De € 5000 a € 20 000 000 ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de grande empresa;
b) De € 2000 a € 2 000 000 ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de PME;
c) De € 1000 a € 500 000, no caso de pessoas singulares.
Artigo 38.º
Contraordenações graves
1 – Constituem contraordenações graves:
a) A violação do disposto no artigo 8.º do RGPD;
b) A não prestação da restante informação prevista nos artigos 13.º e 14.º do RGPD;
c) A violação do disposto nos artigos 24.º e 25.º do RGPD;
d) A violação das obrigações previstas no artigo 26.º do RGPD;
e) A violação do disposto no artigo 27.º do RGPD;
f) A violação das obrigações previstas no artigo 28.º do RGPD;
g) A violação do disposto no artigo 29.º do RGPD;
h) A ausência de registo dos tratamentos de dados pessoais em violação do disposto no artigo 30.º do RGPD;
i) A violação das regras de segurança previstas no artigo 32.º do RGPD;
j) O incumprimento dos deveres previstos no artigo 33.º do RGPD;
k) O incumprimento do dever de informar o titular dos dados pessoais nas situações previstas no artigo 34.º do RGPD;
l) O incumprimento da obrigação de realizar avaliações de impacto nos casos previstos no artigo 35.º do RGPD;
m) O incumprimento da obrigação de consultar a autoridade de controlo previamente à realização de operações de tratamento de dados nos casos previstos no artigo 36.º do RGPD;
n) O incumprimento dos deveres previstos no artigo 37.º do RGPD;
o) A violação do disposto no artigo 38.º do RGPD, nomeadamente no que respeita às garantias de independência do encarregado de proteção de dados;
p) O incumprimento dos deveres previstos no artigo 39.º do RGPD;
q) A prática de atos de supervisão de códigos de conduta por organismos não acreditados pela autoridade de controlo nos termos do artigo 41.º do RGPD;
r) O incumprimento, por parte dos organismos de supervisão de códigos de conduta, do previsto no n.º 4 do artigo 41.º do RGPD;
s) A utilização de selos ou marcas de proteção de dados que não tinham sido emitidos por organismos de certificação devidamente acreditados nos termos dos artigos 42.º e 43.º do RGPD;
t) O incumprimento, por parte dos organismos de certificação, dos deveres previstos no artigo 43.º do RGPD;
u) A violação do disposto no artigo 19.º da presente lei.
2 – As contraordenações referidas no número anterior são punidas com coima de:
a) De € 2500 a € 10 000 000 ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de grande empresa;
b) De € 1000 a € 1 000 000 ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de PME;
c) De € 500 a € 250 000, no caso de pessoas singulares.
Artigo 39.º
Determinação da medida da coima
1 – Na determinação da medida da coima, a CNPD tem em conta, para além dos critérios estabelecidos no n.º 2 do artigo 83.º do RGPD:
a) A situação económica do agente, no caso de pessoa singular, ou o volume de negócios e o balanço anual, no caso de pessoa coletiva;
b) O caráter continuado da infração;
c) A dimensão da entidade, tendo em conta o número de trabalhadores e a natureza dos serviços prestados.
2 – Para efeitos da aplicação do disposto nos artigos anteriores, os conceitos de PME e grande empresa são os definidos na Recomendação n.º 2003/361/CE, da Comissão Europeia, de 6 de maio de 2003.
3 – Exceto em caso de dolo, a instauração de processo de contraordenação depende de prévia advertência do agente, por parte da CNPD, para cumprimento da obrigação omitida ou reintegração da proibição violada em prazo razoável.
Artigo 40.º
Prescrição do procedimento por contraordenação
O procedimento por contraordenação extingue-se por efeito da prescrição logo que sobre a prática da contraordenação hajam decorrido os seguintes prazos:
a) Três anos, quando se trate de contraordenação muito grave;
b) Dois anos, quando se trate de contraordenação grave.
Artigo 41.º
Prazo de prescrição das coimas
As coimas previstas na presente lei prescrevem nos seguintes prazos:
a) Três anos, no caso de coimas de montante superior a € 100 000;
b) Dois anos, no caso de coimas de montante igual ou inferior a € 100 000.
Artigo 42.º
Destino das coimas
O montante das coimas cobradas reverte em 60% para o Estado e 40% para a CNPD.
Artigo 43.º
Cumprimento do dever omitido
Sempre que a contraordenação resulte da omissão de um dever, a aplicação da sanção e o pagamento da coima não dispensam o infrator do seu cumprimento se este ainda for possível.
Artigo 44.º
Âmbito de aplicação das contraordenações
1 – As coimas previstas no RGPD e na presente lei aplicam-se de igual modo às entidades públicas e privadas.
2 – Nos termos do disposto no n.º 7 do artigo 83.º do RGPD, as entidades públicas, mediante pedido devidamente fundamentado, podem solicitar à Comissão Nacional de Proteção de Dados a dispensa da aplicação de coimas durante o prazo de três anos a contar da entrada em vigor da presente lei.
3 – As entidades públicas estão sujeitas aos poderes de correção da CNPD, tal como previstos no RGPD e na presente lei, com exceção da aplicação de coimas nos termos definidos no número anterior.
Artigo 45.º
Regime subsidiário
Em tudo o que não esteja previsto na presente lei em matéria contraordenacional, aplica-se o disposto no regime geral do ilícito de mera ordenação social.
SECÇÃO III
Crimes
Artigo 46.º
Utilização de dados de forma incompatível com a finalidade da recolha
1 – Quem utilizar dados pessoais de forma incompatível com a finalidade determinante da recolha é punido com pena de prisão até um ano ou com pena de multa até 120 dias.
2 – A pena é agravada para o dobro nos seus limites quando se tratar dos dados pessoais a que se referem os artigos 9.º e 10.º do RGPD.
Artigo 47.º
Acesso indevido
1 – Quem, sem a devida autorização ou justificação, aceder, por qualquer modo, a dados pessoais é punido com pena de prisão até um ano ou com pena de multa até 120 dias.
2 – A pena é agravada para o dobro nos seus limites quando se tratar dos dados pessoais a que se referem os artigos 9.º e 10.º do RGPD.
3 – A pena é também agravada para o dobro nos seus limites quando o acesso:
a) For conseguido através de violação de regras técnicas de segurança; ou
b) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial.
Artigo 48.º
Desvio de dados
1 – Quem copiar, subtrair, ceder ou transferir, a título oneroso ou gratuito, dados pessoais sem previsão legal ou consentimento, independentemente da finalidade prosseguida, é punido com pena de prisão até um ano ou com pena de multa até 120 dias.
2 – A pena é agravada para o dobro nos seus limites quando se tratar dos dados pessoais a que se referem os artigos 9.º e 10.º do RGPD.
3 – A pena é também agravada para o dobro nos seus limites quando o acesso:
a) For conseguido através de violação de regras técnicas de segurança; ou
b) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial.
Artigo 49.º
Viciação ou destruição de dados
1 – Quem, sem a devida autorização ou justificação, apagar, destruir, danificar, ocultar, suprimir ou modificar dados pessoais, tornando-os inutilizáveis ou afetando o seu potencial de utilização, é punido com pena de prisão até dois anos ou com pena de multa até 240 dias.
2 – A pena é agravada para o dobro nos seus limites se o dano produzido for particularmente grave.
3 – Nas situações previstas nos números anteriores, se o agente atuar com negligência é punido com pena de prisão:
a) Até um ano ou multa até 120 dias, no caso previsto no n.º 1;
b) Até dois anos ou multa até 240 dias, no caso previsto no n.º 2.
Artigo 50.º
Inserção de dados falsos
1 – Quem inserir ou facilitar a inserção de dados pessoais falsos, com a intenção de obter vantagem indevida para si ou para terceiro, ou para causar prejuízo, é punido com pena de prisão até dois anos ou com pena de multa até 240 dias.
2 – A pena é agravada para o dobro nos seus limites se da inserção referida no número anterior resultar um prejuízo efetivo.
Artigo 51.º
Violação do dever de sigilo
1 – Quem, obrigado a sigilo profissional nos termos da lei, sem justa causa e sem o devido consentimento, revelar ou divulgar no todo ou em parte dados pessoais é punido com pena de prisão até um ano ou com pena de multa até 120 dias.
2 – A pena é agravada para o dobro nos seus limites se o agente:
a) For trabalhador em funções públicas ou equiparado, nos termos da lei penal;
b) For encarregado de proteção de dados;
c) For determinado pela intenção de obter qualquer vantagem patrimonial ou outro benefício ilegítimo;
d) Puser em perigo a reputação, a honra ou a intimidade da vida privada de terceiros.
3 – A negligência é punível com pena de prisão até seis meses ou com pena de multa até 60 dias.
Artigo 52.º
Desobediência
1 – Quem não cumprir as obrigações previstas no RGPD e na presente lei, depois de ultrapassado o prazo que tiver sido fixado pela CNPD para o respetivo cumprimento, é punido com pena de prisão até um ano ou com pena de multa até 120 dias.
2 – A pena é agravada para o dobro nos seus limites se, depois de notificado para o efeito, o agente:
a) Não interromper, cessar ou bloquear o tratamento ilícito de dados;
b) Não proceder ao apagamento ou destruição dos dados quando legalmente exigível, ou findo o prazo de conservação fixado nos termos da presente lei; ou
c) Recusar, sem justa causa, a colaboração que lhe for exigida nos termos do artigo 8.º da presente lei.
Artigo 53.º
Punibilidade da tentativa
Nos crimes previstos na presente secção, a tentativa é sempre punível.
Artigo 54.º
Responsabilidade das pessoas coletivas
As pessoas coletivas e entidades equiparadas, com exceção do Estado, de pessoas coletivas no exercício de prerrogativas de poder público e de organizações de direito internacional público, são responsáveis pelos crimes previstos na presente secção, nos termos do artigo 11.º do Código Penal.
SECÇÃO IV
Disposições comuns
Artigo 55.º
Concurso de infrações
1 – Se o mesmo facto constituir simultaneamente crime e contraordenação, o agente é sempre punido a título de crime.
2 – Quando se verifique concurso de crime e contraordenação, ou quando, pelo mesmo facto, uma pessoa deva responder a título de crime e outra a título de contraordenação, o processamento da contraordenação cabe às autoridades competentes para o processo criminal, nos termos do regime geral do ilícito de mera ordenação social.
Artigo 56.º
Sanções acessórias
1 – Conjuntamente com as sanções aplicadas pode, acessoriamente, ser ordenada a proibição temporária ou definitiva do tratamento, o bloqueio, o apagamento ou a destruição total ou parcial dos dados.
2 – Tratando-se de crimes, ou de coimas de montante superior a € 100 000, pode acessoriamente ser determinada a publicidade da condenação, por meio de extrato contendo a identificação do agente, os elementos da infração e as sanções aplicadas, no Portal do Cidadão, por período não inferior a 90 dias.
CAPÍTULO VIII
Disposições finais e transitórias
Artigo 57.º
Comissão Nacional de Proteção de Dados
Os membros da CNPD em exercício à data da entrada em vigor da presente lei mantêm-se em funções até ao fim dos respetivos mandatos.
Artigo 58.º
Orientações técnicas
As orientações técnicas para a aplicação do RGPD pela administração direta e indireta do Estado são aprovadas por resolução do Conselho de Ministros, a qual pode recomendar a sua aplicação também ao setor empresarial do Estado.
Artigo 59.º
Aplicabilidade das coimas às entidades públicas
A possibilidade de não aplicabilidade de coimas às entidades públicas, nos termos previstos no n.º 2 do artigo 44.º da presente lei, deve ser objeto de reavaliação três anos após a entrada em vigor da presente lei.
Artigo 60.º
Situações de tratamentos de dados pessoais pré-existentes
1 – Os tratamentos de dados pessoais objeto de registo público nos termos do artigo 31.º da Lei n.º 67/98, de 26 de outubro, permanecem conservados sob a responsabilidade da CNPD e disponíveis para consulta gratuita por qualquer pessoa.
2 – As notificações e pedidos de autorização já decididos pela CNPD no momento da entrada em vigor da presente lei, mas ainda não publicados, devem sê-lo nos termos da legislação prevista no número anterior.
3 – Os pedidos de registo e de autorização pendentes na CNPD na data da entrada em vigor da presente lei caducam com a sua entrada em vigor.
4 – Os responsáveis pelos tratamentos de dados pessoais realizados com base em autorizações emitidas nos termos da Lei n.º 67/98, de 26 de outubro, bem como os subcontratantes, estão vinculados a cumprir as obrigações impostas pelo RGPD, com exceção da avaliação de impacto sobre a proteção de dados a que se refere o artigo 35.º desse regulamento.
Artigo 61.º
Renovação do consentimento
1 – Quando o tratamento dos dados pessoais em curso à data da entrada em vigor da presente lei se basear no consentimento do respetivo titular, não é necessário obter novo consentimento se o anterior tiver observado as exigências constantes do RGPD.
2 – Caso a caducidade do consentimento seja motivo de cessação de contrato em que o titular de dados seja parte, o tratamento de dados é lícito até que esta ocorra.
Artigo 62.º
Regimes de proteção de dados pessoais
1 – As normas relativas à proteção de dados pessoais previstas em legislação especial mantêm-se em vigor, em tudo o que não contrarie o disposto no RGPD e na presente lei, sem prejuízo do disposto no número seguinte.
2 – Todas as normas que prevejam autorizações ou notificações de tratamento de dados pessoais à CNPD, fora dos casos previstos no RGPD e na presente lei, deixam de vigorar à data de entrada em vigor do RGPD.
Artigo 63.º
Alteração da Lei n.º 43/2004, de 18 de agosto
(…)
1- A CNPD é uma entidade administrativa independente, com personalidade jurídica de direito público e poderes de autoridade, dotada de autonomia administrativa e financeira, que funciona junto da Assembleia da República.
2 – A CNPD é a autoridade de controlo nacional para efeitos do Regulamento Geral de Proteção de Dados (RGPD), aprovado pelo Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, e da lei que assegura a sua execução na ordem jurídica interna.
3 – A CNPD controla e fiscaliza o cumprimento do RGPD e da presente lei, bem como das demais disposições legais e regulamentares em matéria de proteção de dados pessoais, a fim de defender os direitos, liberdades e garantias das pessoas singulares no âmbito dos tratamentos de dados pessoais.
4 – A CNPD age com independência na prossecução das suas atribuições e no exercício dos poderes que lhe são atribuídos pela presente lei.
(…)
Artigo 64.º
Aditamento à Lei n.º 43/2004, de 18 de agosto
(…)
Compete à Unidade de Inspeção realizar inspeções e auditorias no âmbito dos processos em curso, com mandato do presidente do conselho regulador, em especial:
a) Fiscalizar a conformidade dos tratamentos de dados pessoais, podendo para tal aceder às instalações do responsável e do subcontratante, aos equipamentos, aos meios de tratamento de dados, bem como a toda a documentação que se revele necessária;
b) Investigar, no âmbito da assistência mútua e das operações conjuntasprevistas nos artigos 61.º e 62.º do Regulamento (UE) 2016/679, os tratamentos de dados pessoais, nas condições previstas na alínea anterior;
c) Realizar as auditorias da parte nacional dos sistemas de informação europeus, nos termos da legislação da União europeia.»
(…)
Artigo 65.º
Alteração da Lei n.º 26/2016, de 22 de agosto
(…)
Artigo 66.º
Norma revogatória
(…)
1- A CNPD é uma entidade administrativa independente, com personalidade jurídica de direito público e poderes de autoridade, dotada de autonomia administrativa e financeira, que funciona junto da Assembleia da República.
2 – A CNPD é a autoridade de controlo nacional para efeitos do Regulamento Geral de Proteção de Dados (RGPD), aprovado pelo Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, e da lei que assegura a sua execução na ordem jurídica interna.
3 – A CNPD controla e fiscaliza o cumprimento do RGPD e da presente lei, bem como das demais disposições legais e regulamentares em matéria de proteção de dados pessoais, a fim de defender os direitos, liberdades e garantias das pessoas singulares no âmbito dos tratamentos de dados pessoais.
4 – A CNPD age com independência na prossecução das suas atribuições e no exercício dos poderes que lhe são atribuídos pela presente lei.
(…)
A “Proteção de Dados” tem estado a desenvolver um profundo conhecimento desta matéria e presta serviços de consultoria e implementação do RGPD à medida de cada empresa.