No desenvolvimento dos regimes fundamentais estabelecidos pelos artigos 30.º, 32.º e 43.º da Lei Básica da Região Administrativa Especial de Macau, a Assembleia Legislativa decreta, nos termos da alinea 1) do artigo 71.º da mesma Lei Básica, para
A presente lei estabelece o regime jurídico do tratamento e protecção de dados pessoais
O tratamento de dados pessoais deve
processar-se de forma transparente e no estrito respeito pela reserva da vida
privada, bem
1. A presente lei aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios nao automatizados de dados pessoais contidos em ficheiros manuais ou a estes destinados, quando efectuado na Região Administrativa Especial de Macau, doravante RAEM.
2 . A presente lei não se aplica ao tratamento de dados pessoais efectuado por pessoa singular no exercício de actividades exclusivamente pessoais ou domésticas salvo se se destinar a comunicação sistemática ou difusão.
3 . A presente lei aplica-se à videovigilância e outras formas de captação, tratamento e difusão de sons e imagens que permitam identificar pessoas sempre que o responsável pelo tratamento esteja domiciliado ou sediado na RAEM ou utilize um fornecedor de acesso a redes informáticas e telemáticas ali estabelecido.
4. A presente lei aplica-se ao tratamento e dados pessoais que tenham por objectivo a segurança pública, sem prejuízo do disposto em normas especiais constantes de instrumentos de direito internacional e acordos inter-regionais a que a RAEM se vincule e de leis específicas relativas àquele sector e outros correlacionados.
1. Para efeitos da presente lei, entende-se por:
1) «Dados pessoais»: qualquer informação, de qualquer natureza e independentemente do respectivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável («titular dos dados») sendo considerada identificável a pessoa que possa ser identificada directa ou indirectamente, designadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social;
2) «Titular dos dados»: pessoa singular à qual se referem os dados objecto do tratamento;
3) «Tratamento de dados pessoais» («tratamento»): qualquer operação ou conjunto de operações sobre dados pessoais, efectuadas com ou sem meios automatizados, tais como a recolha, o registo, a organização, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a comunicação por transmissão, por difusão ou por qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição;
4) «ficheiro de dados pessoais» ( «ficheiro»): qualquer conj unto estruturado de dados pessoais, acessível segundo critérios determinados, independentemente da forma ou modalidade da sua criação, armazenamento e organização;
5) «Responsável pelo tratamento»: a pessoa singular ou colectiva, a entidade pública, o serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais;
6) «Subcontratante»: a pessoa singular ou colectiva, a entidade pública, o serviço ou qualquer outro organismo que trate os dados pessoais por conta do responsável pelo tratamento;
7) «Terceiro»: a pessoa singular ou colectiva, a entidade pública, o serviço ou qualquer outro organismo que, não sendo o titular dos dados, o responsável pelo tratamento, o subcontratante ou outra pessoa sob autoridade directa do responsável pelo tratamento ou do subcontratante, esteja habilitado a tratar os dados;
8) «Destinatário»: a pessoa singular ou colectiva, a entidade pública, o serviço ou qualquer outro organismo a quem sejam comunicados dados pessoais, independentemente de se tratar ou não de um terceiro, sem prejuízo de não serem consideradas destinatários as autoridades a quem sejam comunicados dados no âmbito de disposição legal ou disposição regulamentar de natureza orgânica;
9) «Consentimento do titular dos dados»: qualquer manifestação de vontade, livre, específica e informada, nos termos da qual o titular aceita que os seus dados pessoais sejam objecto de tratamento;
10) «Interconexão de dados»: forma de tratamento que consiste na possibilidade de relacionamento dos dados de um ficheiro com os dados de um ficheiro ou ficheiros mantidos por outro ou outros responsáveis, ou mantidos pelo mesmo responsável com outra final idade.
11) «Autoridade pública»: a entidade referida no n.º 3 do artigo 79.º do Código Civil;
12) «Disposição regulamentar de natureza orgânica»: disposição constante de diploma de organização e funcionamento ou de estatuto de entidade competente para a prática de actos de tratamento de dados e outros actos referidos na presente lei.
2.
1. Os dados pessoais devem ser:
1) Tratados de forma lícita e com respeito pelo princípio da boa fé e dos princípios gerais enunciados no artigo 2.º;
2) Recolhidos para finalidades determinadas, explícitas e legítimas e directamente relacionadas com o exercício da actividade do responsável pelo tratamento, não podendo ser posteriormente tratados de forma incompatível com essas finalidades;
3) Adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos e posteriormente tratados;
4) Exactos e, se necessário, actualizados, devendo ser tomadas as medidas adequadas para assegurar que sejam apagados ou rectificados os dados inexactos ou incompletos, tendo em conta as finalidades para que foram recolhidos ou para que são tratados posteriormente;
5) Conservados de forma a permitir a identificação dos seus titulares apenas durante o período necessário para a prossecução das finalidades da recolha ou do tratamento posterior.
2. Mediante requerimento do responsável pelo tratamento, e caso haja interesse legítimo, a autoridade pública pode autorizar a conservação de dados para fins históricos, estatísticos ou científicos por período superior ao referido na alínea 5) do número anterior.
O tratamento de dados pessoais só pode ser efectuado se o seu titular tiver dado de forma inequívoca o seu consentimento ou se o tratamento for necessário para:
1) Execução de contrato ou contratos em que o titular dos dados seja parte ou de diligências prévias à formação do contrato ou declaração da vontade negocial efectuadas a seu pedido;
2) Cumprimento de obrigação legal a que o responsável pelo tratamento esteja sujeito;
3) Protecção de interesses vitais do titular dos dados, se este estiver física ou legalmente incapaz de dar o seu consentimento;
4) Execução de uma missão de interesse público ou no exercício de poderes de autoridade pública em que esteja investido o responsável pelo tratamento ou um terceiro a quem os dados sejam comunicados;
5) Prossecução de interesses legítimos do responsável pelo tratamento ou de terceiro a quem os dados sejam comunicados, desde que não devam prevalecer os interesses ou os direitos, liberdades e garantias do titular dos dados.
1 . É proibido o tratamento de dados pessoais referentes a convicções filosóficas ou políticas, filiação em associação política ou sindical, fé religiosa, vida privada e origem racial ou étnica, bem como o tratamento de dados relativos à saúde e à vida sexual, incluindo os dados genéticos.
2. O tratamento dos dados referidos no número anterior pode no entanto ser efectuado desde que com garantias de não discriminação e com as medidas de segurança previstas no artigo 16.º, nas seguintes condições:
1) Mediante disposição legal ou disposição regulamentar de natureza organlca que expressamente autorize o tratamento dos dados previstos no número anterior; ou,
2) Autorização da autoridade pública, quando por motivos de interesse público importante esse tratamento for indispensável ao exercício das atribuições e competências do seu responsável; ou,
3) Quando o titular dos dados tiver dado o seu consentimento expresso para esse tratamento.
3. O tratamento dos dados referidos no n.º 1 pode ainda ser efectuado quando se verificar uma das seguintes condições:
1) Ser necessário para proteger interesses vitais do titular dos dados ou de uma outra pessoa e o titular dos dados estiver física ou legalmente incapaz de dar o seu consentimento;
2) Ser efectuado, com o consentimento do titular, por pessoa colectiva ou organismo sem fins lucrativos de carácter político, filosófico, religioso ou sindical, no âmbito das suas actividades legítimas, sob condição de o tratamento respeitar apenas aos membros desse organismo ou às pessoas que com ele mantenham contactos periódicos ligados às suas finalidades, e de os dados não serem comunicados a terceiros sem consentimento dos seus titulares;
3) Dizer respeito a dados manifestamente tornados públicos pelo seu titular, desde que se possa legitimamente deduzir das suas declarações o consentimento para o tratamento dos mesmos;
4) Ser necessário à declaração, exercício ou defesa de um direito em processo judicial e for efectuado exclusivamente com essa final idade.
4. O tratamento dos dados referentes à saúde e à vida sexual, incluindo os dados genéticos, pode ser efectuado quando for necessário para efeitos de medicina preventiva, de diagnóstico médico, de prestação de cuidados ou tratamentos médicos ou de gestão de serviços de saúde, desde que o tratamento desses dados seja efectuado por um profissional de saúde obrigado a sigilo ou por outra pessoa sujeita igualmente a segredo profissional, seja notificado à autoridade pública, nos termos do artigo 21.º e sejam garantidas medidas adequadas de segurança da informação.
infracções administrativas
1. A criação e manutenção de registos centrais relativos a pessoas suspeitas de actividades ilícitas, infracções penais, infracções administrativas e decisões que apliquem penas, medidas de segurança, multas e sanções acessórias só pode ser mantida por serviços públicos com competência específica prevista em disposição legal ou disposição regulamentar de natureza orgânica e observando normas procedimentais e de protecção de dados vigentes.
2 . O tratamento de dados pessoais relativos a suspeitas de actividades ilícitas, infracções penais, infracções administrativas e decisões que apliquem penas, medidas de segurança, multas e sanções acessórias pode ser efectuado desde que observadas as normas de protecção de dados e de segurança da informação, quando tal tratamento for necessário à execução de finalidades legítimas do seu responsável, desde que não prevaleçam os direitos, liberdades e garantias do titular dos dados.
3. O tratamento de dados pessoais para fins de investigação policial deve limitar-se ao necessário para a prevenção de um perigo concreto ou repressão de uma infracção determinada, para o exercício de competências previstas em disposição legal ou disposição regulamentar de natureza orgânica e ainda nos termos de instrumento de direito internacional ou acordo inter-regional a que a RAEM se ache vinculado.
1. A interconexão de dados pessoais que não esteja prevista em disposição legal ou disposição regulamentar de natureza orgânica está sujeita a autorização da autoridade pública solicitada pelo responsável ou em conjunto pelos correspondentes responsáveis dos tratamentos, nos termos previstos no n.º 1 do artigo 22.º.
2. A interconexão de dados pessoais deve ser:
1) Adequada à prossecução das finalidades legais ou estatutárias e de interesses legítimos dos responsáveis dos tratamentos;
2) Não implicar discriminação ou diminuição dos direitos, liberdades e garantias dos titulares dos dados;
3) Rodeada de adequadas medidas de segurança; e,
4) Ter em conta o tipo de dados objecto de interconexão.
1. Quando recolher dados pessoais directamente do seu titular, o responsável pelo tratamento ou o seu representante deve prestar-lhe, salvo se já dele forem conhecidas, as seguintes informações:
1) Identidade do responsável pelo tratamento e, se for caso disso, do seu representante;
2) Finalidades do tratamento;
3) Outras informações, tais como:
(i) Os destinatários ou categorias de destinatários dos dados;
(ii) O carácter obrigatório ou facultativo da resposta, bem como as possíveis consequências se não responder;
(iii) A existência e as condições do direito de acesso e de rectificação, desde que sejam necessárias, tendo em conta as circunstâncias específicas da recolha dos dados, para garantir ao seu titular um tratamento leal dos mesmos.
2. Os documentos que sirvam de base à recolha de dados pessoais devem conter as informações constantes do número anterior.
3. Se os dados não forem recolhidos junto do seu titular, e salvo se dele já forem conhecidas, o responsável pelo tratamento, ou o seu representante, deve prestar-lhe as informações previstas no n.º 1 no momento do registo dos dados ou, se estiver prevista a comunicação a terceiros, até aquando da primeira comunicação desses dados.
4. No caso de recolha de dados em redes abertas, o titular dos dados deve ser informado, salvo se disso já tiver conhecimento, de que os seus dados pessoais podem circular na rede sem condições de segurança, correndo o risco de serem vistos e util izados por terceiros não autorizados.
5. A obrigação de informação prevista no presente artigo pode ser dispensada nos seguintes casos:
1) Mediante disposição legal;
2) Por motivos de segurança e prevenção ou investigação criminal;
3) Quando, nomeadamente no caso do tratamento de dados com finalidades estatísticas, históricas ou de investigação científica, a informação do titular dos dados se revelar impossível ou implicar esforços desproporcionados ou ainda quando a lei ou regulamento administrativo determinar expressamente o registo dos dados ou a sua divulgação, devendo nestes casos ser notificada a autoridade pública.
6 . A obrigação de informação, nos termos previstos no presente artigo, não se aplica ao tratamento de dados efectuado para fins exclusivamente jornalísticos ou de expressão artística ou literária no respeito dos direitos fundamentais do titular dos dados nos termos previstos no n.º 3 do artigo seguinte.
1. O titular dos dados tem o direito de obter do responsável pelo tratamento, livremente e sem restrições, com periodicidade razoável e sem demoras ou custos excessivos:
1) A confirmação de serem ou não tratados dados que lhe digam respeito, bem como informação sobre as finalidades desse tratamento, as categorias de dados sobre que incide e os destinatários ou categorias de destinatários a quem são comunicados os “dados;
2) A comunicação, sob forma inteligível, dos seus dados sujeitos a tratamento e de quaisquer informações disponíveis sobre a origem desses dados;
3) O conhecimento das razões subjacentes ao tratamento automatizado dos dados que lhe digam respeito; .
4) A rectificação, o apagamento ou o bloqueio dos dados cujo tratamento não cumpra o disposto na presente lei, nomeadamente devido ao carácter incompleto ou inexacto desses dados;
5) A notificação aos terceiros a quem os dados tenham sido comunicados de qualquer rectificação, apagamento ou bloqueio efectuado nos termos da alínea anterior, salvo se tal for comprovadamente impossível ou implicar um esforço manifestamente desproporcionado, devendo os terceiros proceder igualmente à rectificação, apagamento, destruição ou bloqueio dos dados.
2. No caso de tratamento de dados pessoais relativos à segurança e à prevenção ou investigação criminal, o direito de acesso é exercido através da autoridade competente no caso
3. No caso previsto no n.º 6 do artigo anterior, o direito de acesso é exercido através da autoridade pública com salvaguarda das normas aplicáveis, designadamente as que garantem a liberdade de expressão e informação, a liberdade de imprensa e a independência e sigilo profissionais dos jornalistas.
4. Nos casos previstos nos n.os 2 e 3, se a comunicação dos dados ao seu titular puder prejudicar a segurança, a prevenção ou a investigação criminal ou ainda a liberdade de expressão e informação ou a liberdade de imprensa, a autoridade competente no caso ou a autoridade pública, respectivamente, limitam-se a informar o titular dos dados apenas das diligências efectuadas que não sejam susceptíveis de acarretar prejuízo aos valores que se pretendem salvaguardar no presente número.
5. O direito de acesso à informação relativa a dados da saúde, incluindo os dados genéticos, é exercido por intermédio de médico escolhido pelo titular dos dados.
6. No caso de os dados não serem utilizados para tomar medidas ou decisões em relação a pessoas determinadas, a lei pode restringir o direito de acesso nos casos em que manifestamente não exista qualquer perigo de violação dos direitos, liberdades e garantias do titular dos dados, designadamente do direito à vida privada, e os referidos dados forem exclusivamente utilizados para fins de investigação científica ou conservados sob forma de dados pessoais durante um período que não exceda o necessário à finalidade exclusiva de elaborar estatísticas.
1. Salvo disposição legal em contrário, o titular dos dados tem o direito de se opor em qualquer altura, por razões ponderosas e legítimas relacionadas com a sua situação particular, a que os dados que lhe digam respeito sejam objecto de tratamento, devendo, em caso de oposição justificada, o tratamento efectuado pelo responsável deixar de poder incidir sobre esses dados;
2. O titular dos dados tem ainda o direito de se opor, a seu pedido e gratuitamente, ao tratamento dos dados pessoais que lhe digam respeito previsto pelo responsável pelo tratamento para efeitos de marketing directo ou qualquer outra forma de prospecção comercial, ou de ser informado, antes de os dados pessoais serem comunicados pela primeira vez a terceiros para fins de marketing directo ou utilizados por conta de terceiros, e de lhe ser expressamente facultado o direito de se opor, sem despesas, a tais comunicações ou utilizações.
1 . Qualquer pessoa tem o direito de não ficar sujeita a uma decisão que produza efeitos na sua esfera jurídica ou que a afecte de modo significativo, tomada exclusivamente com base num tratamento automatizado de dados destinado a avaliar determinados aspectos da sua personalidade, designadamente a· sua capacidade profissional, o seu crédito, a confiança de que é merecedora ou o seu comportamento.
2 . Sem prejuízo do cumprimento das restantes disposições da presente lei, uma pessoa pode ficar sujeita a uma decisão tomada nos termos do n.º 1, se a mesma for:
1) Tomada no âmbito da celebração ou da execução de um contrato, e sob condição de o seu pedido de celebração ou execução do contrato ter sido satisfeito, ou de existirem medidas adequadas que garantam a defesa dos seus interesses legítimos, designadamente o seu direito de representação e expressão;
2) Autorizada por lei que estabeleça medidas que garantam a defesa dos direitos e interesses legítimos do titular dos dados.
1. Qualquer pessoa que tiver sofrido um prejuízo decorrente do tratamento ilícito de dados ou de qualquer outro acto que viole disposições legais ou regulamentares em matéria de protecção de dados pessoais tem o direito de obter do responsável pelo tratamento a reparação pelo prejuízo sofrido.
2 . O responsável pelo tratamento pode ser parcial ou totalmente exonerado desta responsabilidade se provar que o facto que causou o dano lhe não é imputável.
3. Havendo subcontratação, aplicam-se as disposições relativas à relação de comissão constantes dos artigos 492.º e seguintes do Código Civil.
1. O responsável pelo tratamento deve pôr em prática as medidas técnicas e organizativas adequadas para proteger os dados pessoais contra a destruição, acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede, e contra qualquer outra forma de tratamento ilícito, devendo elas assegurar, atendendo aos conhecimentos técnicos disponíveis e aos custos resultantes da sua aplicação, um nível de segurança adequado em relação aos riscos que o tratamento apresenta e à natureza dos dados a proteger.
2. O responsável pelo tratamento, em caso de tratamento por sua conta, deverá escolher um subcontratante que ofereça garantias suficientes em relação às medidas de segurança técnica e de organização do tratamento a efectuar, e deverá zelar pelo cumprimento dessas medidas.
3. A realização de operações de tratamento em subcontratação deve ser regida por um contrato ou acto jurídico que vincule o subcontratante ao responsável pelo tratamento e que estipule, designadamente, que o subcontratante apenas actua mediante instruções do responsável pelo tratamento e que lhe incumbe igualmente o cumprimento das obrigações referidas no n.º 1.
4. Os elementos de prova da declaração negocial, do contrato ou do acto jurídico relativos à protecção dos dados, bem como as exigências relativas às medidas referidas no n.º 1, são consignados por escrito em documento com valor probatório legalmente reconhecido.
1 . Os responsáveis pelo tratamento dos dados referidos no n.º 2 do artigo 7.º e no n.º 1 do artigo 8.º devem tomar as medidas adequadas para:
1) Impedir o acesso de pessoa não autorizada às instalações utilizadas para o tratamento desses dados (controlo da entrada nas instalações);
2) Impedir que suportes de dados possam ser lidos, copiados, alterados ou retirados por pessoa não autorizada (controlo dos suportes de dados);
3) Impedir a introdução não autorizada, bem como a tomada de conhecimento, a alteração ou a eliminação não autorizadas de dados pessoais inseridos (controlo da inserção );
4) Impedir que sistemas de tratamento automatizados de dados possam ser utilizados por pessoas não autorizadas através de instalações de transmissão de dados (controlo da utilização );
5) Garantir que as pessoas autorizadas só possam ter acesso aos dados abrangidos pela autorização (controlo de acesso);
6) Garantir a verificação das entidades a quem possam ser transmitidos os dados pessoais através das instalações de transmissão de dados (controlo da transmissão);
7) Garantir que possa verificar-se a posteriori, em prazo adequado à natureza do tratamento, a fixar na regulamentação aplicável a cada sector, quais os dados pessoais introduzidos quando e por quem (controlo da introdução);
8) Impedir que, na transmissão de dados pessoais, bem como no transporte do seu suporte, os dados possam ser lidos, copiados, alterados ou eliminados de forma não autorizada (controlo do transporte).
2 , Tendo em conta a natureza das entidades responsáveis pelo tratamento e o tipo das instalações em que é efectuado, a autoridade pública pode dispensar a existência de certas medidas de segurança, garantido que se mostre o respeito pelos direitos, liberdades e garantias dos titulares dos dados.
3 . Os sistemas devem garantir a separação lógica entre os dados referentes à saúde e à vida sexual, incluindo os genéticos, dos restantes dados pessoais.
4 , A autoridade pública pode determinar que, nos casos em que a circulação em rede de dados pessoais referidos no artigo 7.º possa pôr em risco direitos, liberdades e garantias dos respectivos titulares, a transmissão seja cifrada.
Qualquer pessoa que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, bem como o próprio subcontratante, tenha acesso a dados pessoais não pode proceder ao seu tratamento sem instruções do responsável pelo tratamento, salvo por força de obrigações legais.
1 . Os responsáveis pelo tratamento de dados pessoais, bem como as pessoas que, no exercício das suas funções, tenham conhecimento dos dados pessoais tratados, ficam obrigados a sigilo profissional, mesmo após o termo das suas funções.
2 . Os funcionários, agentes ou técnicos que exerçam funções de assessoria ou consultoria à autoridade pública estão sujeitos à mesma obrigação de sigilo profissional.
3. O disposto nos números anteriores não exclui o dever do fornecimento das informações obrigatórias, nos termos legais, excepto quando constem de ficheiros organizados para fins estatísticos.
1 . A transferência de dados pessoais para local situado fora do território da RAEM só pode realizar-se com o respeito das disposições da presente lei e se o respectivo ordenamento jurídico para onde são transferidos assegurar um nível de protecção adequado.
2 . A adequação do nível de protecção referido no número anterior é apreciada em função de todas as circunstâncias que rodeiem a transferência ou o conjunto de transferências de dados, devendo ser tidas em especial consideração a natureza dos dados, a finalidade e a duração do tratamento ou tratamentos projectados, os países de origem e de destino final, as regras de direito, gerais ou sectoriais, em vigor no ordenamento jurídico em causa, bem como as regras profissionais e as medidas de segurança que são respeitadas nesse mesmo ordenamento.
3 . Cabe à autoridade pública decidir se um ordenamento jurídico assegura um nível de protecção adequado em função do disposto no número anterior.
1 . A transferência de dados pessoais para um ordenamento jurídico que não assegure um nível de protecção adequado nos termos do número 2 do artigo anterior pode ser efectuada, mediante notificação à autoridade pública, se o titular dos dados tiver dado de forma inequívoca o seu consentimento à transferência ou quando se verifique qualquer uma das seguintes situações:
1) For necessária para a execução de um contrato entre o titular dos dados e o responsável pelo tratamento ou de diligências prévias à formação do contrato decididas a pedido do titular dos dados;
2) For necessária para a execução ou celebração de um contrato celebrado ou a celebrar, no interesse do titular dos dados, entre o responsável pelo tratamento e um terceiro;
3) For necessária ou legalmente exigida para a protecção de um interesse público importante, ou para a declaração, o exercício ou a defesa de um direito num processo judicial;
4) For necessária para proteger os interesses vitais do titular dos dados;
5) For realizada a partir de um registo público que, nos termos de disposições legais ou regulamentares, se destine à informação do público e se encontre aberto à consulta do público em geral ou de qualquer pessoa que possa provar um interesse legítimo, desde que as condições estabelecidas na lei para a consulta sejam cumpridas no caso concreto.
2 . Sem prejuízo do disposto no número 1, a autoridade pública pode autorizar uma transferência ou um conjunto de transferências de dados pessoais para um ordenamento jurídico que não assegure um nível de protecção adequado nos termos do número 2 do artigo anterior, desde que o responsável pelo tratamento assegure mecanismos suficientes de garantia de protecção da vida privada e dos direitos e liberdades fundamentais das pessoas, bem como do seu exercício, designadamente, mediante cláusulas contratuais adequadas.
3 . A transferência de dados pessoais que constitua medida necessária à protecção da defesa, da segurança pública, da prevenção, investigação e repressão das infracções penais e da protecção da saúde pública é regi da por disposições legais específicas ou pelos instrumentos de direito internacional e acordos inter-regionais a que a RAEM se ache vinculada.
1. O responsável pelo tratamento ou, se for caso disso, o seu representante deve notificar, por escrito e no prazo de 8 dias, a autoridade pública do início da realização de um tratamento ou conjunto de tratamentos, total ou parcialmente automatizados, destinados à prossecução de uma ou mais finalidades interligadas.
2. A autoridade pública pode autorizar a simplificação ou a isenção da notificação para determinadas categorias de tratamentos que, atendendo aos dados a tratar, não sejam susceptíveis de pôr em causa os direitos e liberdades dos titulares dos dados e tenham em conta critérios de celeridade, economia e eficiência.
3. A autorização é publicada no Boletim Oficial da RAEM e deve especificar as finalidades do tratamento, os dados ou categorias de dados a tratar, a categoria ou categorias de titulares dos dados, os destinatários ou categorias de destinatários a quem podem ser comunicados os dados e o período de conservação dos dados.
4. Estão isentos de notificação os tratamentos cuja única finalidade seja a manutenção de registos que, nos termos de lei ou regulamento administrativo, se destinem a informação do público e possam ser consultados pelo público em geral ou por quem possa provar um interesse legítimo.
5. Os tratamentos não automatizados dos dados pessoais previstos no n.º 1 do artigo 7.º estão sujeitos a notificação quando tratados ao abrigo da alínea 1) do n.º 3 do mesmo artigo.
1 . Salvo o disposto no número 2 necessitam de autorização da autoridade públ ica:
1) O tratamento dos dados pessoais a que se refere o n.º 2 do artigo 7.º;
2) O tratamento dos dados pessoais relativos ao crédito e à solvabilidade dos seus titulares;
3) A interconexão de dados pessoais prevista no artigo 9.º;
4) A utilização de dados pessoais para fins não determinantes da recolha.
2 . Os tratamentos a que se refere o número anterior podem ser autorizados por disposição legal ou disposição regulamentar de natureza orgânica, não necessitando neste caso de autorização da autoridade pública.
Os pedidos de parecer ou de autorização, bem como as notificações, remetidos à autoridade pública devem conter as seguintes informações:
1) Nome e endereço do responsável pelo tratamento e, se for o caso, do seu representante;
2) As final idades do tratamento;
3) Descrição da ou das categorias de titulares dos dados e dos dados ou categorias de dados pessoais que lhes respeitem;
4) Destinatários ou categorias de destinatários a quem os dados podem ser comunicados e em que condições;
5) Entidade encarregada do processamento da informação, se não for o próprio responsável do tratamento;
6) Eventuais interconexões de tratamentos de dados pessoais;
7) Tempo de conservação dos dados pessoais;
8) Forma e condições como os titulares dos dados podem ter conhecimento ou fazer corrigir os dados pessoais que lhes respeitem;
9) Transferências de dados previstas para países ou territórios terceiros;
10) Descrição geral que permita avaliar de forma preliminar a adequação das medidas tomadas para garantir a segurança do tratamento em aplicação dos artigos 15.º e 16.º.
1 . As disposições legais ou disposições regulamentares de natureza orgânica referidas no n.º 2 do artigo 7.º e no n.º 1 do artigo 8.º, bem como as autorizações da autoridade pública e os registos de tratamentos de dados pessoais devem indicar, pelo menos:
1) O responsável do ficheiro e, se for caso d isso, o seu representante;
2) As categorias de dados pessoais tratados;
3) As finalidades a que se destinam os dados e as categorias de entidades a quem podem ser transmitidos;
4) A forma de exercício do direito de acesso e de rectificação;
5) Eventuais interconexões de tratamentos de dados pessoais;
6) Transferências de dados previstas para países ou territórios terceiros.
2 . Qualquer alteração das indicações constantes do n.o 1 está sujeita aos procedimentos previstos nos artigos 21.º e 22.º.
1 . O tratamento dos dados pessoais, quando não for objecto de disposição legal ou disposição regulamentar de natureza orgânica e dever ser autorizado ou notificado, consta de registo na autoridade pública, aberto à consulta por qualquer pessoa.
2 . O registo contém as informações enumeradas nas alíneas 1) a 4) e 9) do artigo 23.º.
3 . O responsável por tratamento de dados não sujeito a notificação está obrigado a prestar, de forma adequada, a qualquer pessoa que lho solicite, pelo menos as informações referidas no n.º 1 do artigo anterior.
4 . O disposto no presente artigo não se aplica a tratamentos cuja única finalidade seja a manutenção de registos que, nos termos de lei ou regulamento administrativo, se destinem à informação do público e se encontrem abertos à consulta do público em geral ou de qualquer pessoa que possa provar um interesse legítimo.
5 . A autoridade pública publica no seu relatório anual todos os pareceres e autorizações elaborados ou concedidas ao abrigo da presente lei, designadamente as autorizações previstas no n.º 2 do artigo 7.º e no n.º 1 do artigo 9.º,
A autoridade pública incentiva e apoia a elaboração de códigos de conduta destinados a contribuir, em função das características dos diferentes sectores, para a boa execução das disposições da presente lei e, em geral, para uma maior eficácia da auto-regulação e na concretização e defesa dos direitos fundamentais ligados à protecção da privacidade.
1. As associações profissionais e outras organizações representativas de categorias de responsáveis pelo tratamento de dados que tenham elaborado projectos de códigos de conduta podem, se assim o entenderem, submetê-los à autoridade pública para efeitos de registo.
2 . No caso da autoridade pública considerar que há conformidade dos projectos com as disposições legais e regulamentares vigentes em matéria de protecção de dados pessoais procede ao seu registo.
3. O registo dos códigos de conduta tem um efeito de mera declaração de conformidade legal não revestindo esses códigos natureza de normas legais ou regulamentares.
Sem prejuízo do direito de apresentação de queixa à autoridade pública, qualquer pessoa pode, nos termos da lei, recorrer a meios administrativos ou jurisdicionais para garantir o cumprimento das disposições legais e regulamentares em matéria de protecção de dados pessoais.
1. De decisão proferida por tribunal cabe sempre recurso para o Tribunal de Última Instância com fundamento em violação de direitos fundamentais garantidos na presente lei, sendo o recurso directo e per saltum, restrito à questão da violação e revestindo carácter urgente.
2. Sem prejuízo do disposto no número anterior, cabe recurso para o tribunal administrativo de actos administrativos ou da simples via de facto de poderes públicos, com fundamento na violação de direitos fundamentais garantidos na presente lei o qual reveste carácter urgente.
3. À tramitação processual dos recursos de tutela jurisdicional especial previstos nos números anteriores aplica-se, com as devidas adaptações, o disposto no artigo 7.º do Código de Processo Civil e subsidiariam ente, e com as necessárias adaptações, a lei de processo civil e a lei do processo administrativo respectivamente, com observância do disposto nos números anteriores.
Às infracções previstas na presente secção é subsidiariamente aplicável o regime geral das infracções administrativas, com as adaptações constantes dos artigos seguintes.
Sempre que a infracção administrativa resulte de omissão de um dever, a aplicação da sanção e o pagamento da multa não dispensam o infractor do seu cumprimento, se este ainda for possível.
1. As entidades que, por negligência, não cumpram a obrigação de notificação à autoridade pública do tratamento de dados pessoais a que se referem os n.os 1 e 5 do artigo 21.º, prestem falsas informações ou cumpram a obrigação de notificação com inobservância dos termos previstos no artigo 23.º, ou ainda quando, depois de notificadas pela autoridade pública, mantiverem o acesso às redes abertas de transmissão de dados a responsáveis por tratamento de dados pessoais que não cumpram as disposições da presente lei, praticam infracção administrativa punível com as seguintes multas:
1) Tratando-se de pessoa singular, no mínimo de 2 000,00 (duas mil patacas) e no máximo de 20 000,00 (vinte mil patacas);
2) Tratando-se de pessoa colectiva ou de entidade sem personalidade jurídica, no mínimo de 10000,00 (dez mil patacas) e no máximo de 100000,00 (cem mil patacas).
2. A multa é agravada para o dobro dos seus limites quando se trate de dados sujeitos a controlo prévio, nos termos do artigo 22.º.
1. Praticam infracção administrativa punível com multa de 4 000,00 (quatro mil patacas) a 40 000,00 (quarenta mil patacas) as entidades que não cumprirem alguma das seguintes disposições da presente lei estabelecidas nos artigos 5.º, 10.º, 11.º, 12.º, 13.º, 16.º, 17.º e 25.º, n.º 3.
2. Quando não forem cumpridas as obrigações constantes dos artigos 6.º, 7.º, 8.º, 9.º, 19.º e 20.º, as entidades responsáveis praticam infracção administrativa sancionável com multa de 8 000,00 (oito mil patacas) a 80 000,00 (oitenta mil patacas).
1. Se o mesmo facto constituir, simultaneamente, crime e infracção administrativa, o agente é punido sempre a título de crime.
2. As sanções aplicadas às infracções administrativas em concurso são sempre cumuladas materialmente.
1. A negl igência é sempre punida nas infracções administrativas previstas no a11igo 33.º.
2. A tentativa é sempre punível nas infracções administrativas previstas nos artigos 32.º e 33.º.
1. A aplicação das multas previstas na presente lei compete à autoridade pública.
2 A decisão da autoridade pública, constitui título executivo, no caso de não ser impugnada no prazo e nos termos legais.
1. É punido com pena de prisão até um ano ou pena de multa até 120 dias quem intencionalmente:
1) Omitir a notificação ou o pedido de autorização a que se referem os artigos 21.º e 22.º;
2) Fornecer falsas informações na notificação ou nos pedidos de autorização para o tratamento de dados pessoais ou neste proceder a modificações não consentidas pelo instrumento de legalização;
3) Desviar ou utilizar dados pessoais, de forma incompatível com a finalidade determinante da recolha ou com o instrumento de legalização;
4) Promover ou efectuar uma interconexão ilegal de dados pessoais;
5) Depois de ultrapassado o prazo que lhes tiver sido fixado pela autoridade pública para cumprimento das obrigações previstas na presente lei ou em outra legislação de protecção de dados, as não cumprir;
6) Depois de notificado pela autoridade pública para o não fazer, mantiver o acesso a redes abertas de transmissão de dados a responsáveis pelo tratamento de dados pessoais que não cumpram as disposições da presente lei.
2. A pena é agravada para o dobro dos seus limites quando se tratar de dados pessoais a que se referem os artigos 7.º e 8.º.
1. Quem, sem a devida autorização, por qualquer modo, aceder a dados pessoais cujo acesso lhe está vedado, é punido com pena de prisão até um ano ou pena de multa até 120 dias, se pena mais grave ao caso não couber por força de lei especial.
2. A pena é agravada para o dobro dos seus limites quando o acesso:
1) For conseguido através de violação de regras técnicas de segurança;
2) Tiver possibilitado ao agente ou a terceiros o conhecimento de dados pessoais;
3) Tiver proporcionado ao agente ou a terceiros, benefício ou vantagem patrimonial.
3 . No caso do número 1 o procedimento criminal depende de queixa.
1 . Quem, sem a devida autorização, apagar, destruir, danificar, suprimir ou modificar dados pessoais, tornando-os inutilizáveis ou afectando a sua capacidade de uso, é punido com pena de prisão até dois anos ou pena de multa até 240 dias, se pena mais grave ao caso não couber por força de lei especial.
2 . A pena é agravada para o dobro nos seus limites se o dano produzido for particularmente grave.
3. Se o agente actuar com negligência, a pena é, em ambos os casos previstos nos números anteriores, de prisão até um ano ou de multa até 120 dias.
1. Quem, depois de notificado para o efeito, não interromper, cessar ou bloquear o tratamento de dados pessoais é punido com a pena correspondente ao crime de desobediência qualificada.
2. Na mesma pena incorre quem, depois de notificado:
1) Recusar, sem justa causa, a colaboração que concretamente lhe for exigida pela autoridade pública;
2) Não proceder ao apagamento, destruição total ou parcial de dados pessoais;
3) Não proceder à destruição de dados pessoais, findo o prazo de conservação previsto no artigo 5.º.
1. Quem, obrigado a sigilo profissional, nos termos da lei, sem justa causa e sem o devido consentimento, revelar ou divulgar no todo ou em parte dados pessoais é punido com pena de prisão até dois anos ou pena de multa até 240 dias, se pena mais grave ao caso não couber por força de lei especial.
2. A pena é agravada de metade dos seus limites se o agente:
1) For funcionário público ou equiparado, nos termos da lei penal;
2) For determinado pela intenção de obter qualquer vantagem patrimonial ou outro benefício ilegítimo;
3) Puser em perigo a reputação, a honra e consideração ou a intimidade da vida privada de outrem.
3. A negligência é punível com pena de prisão até seis meses ou pena de multa até 120 dias.
4 . Fora dos casos previstos no número 2, o procedimento criminal depende de queixa.
Conjuntamente com as multas e penas aplicadas nos termos das secções II e III deste capítulo pode, acessoriamente, ser ordenada:
1) A proibição temporária ou definitiva do tratamento, o bloqueio, o apagamento ou a destruição total ou parcial dos dados;
2) A publicidade da sentença condenatória;
3) A advertência ou censura públicas do responsável pelo tratamento, pela autoridade públ ica.
1 . A publicidade da decisão condenatória faz-se a expensas do condenado, em uma publicação periódica de grande expansão em língua chinesa e identicamente em uma outra em I íngua portuguesa, bem como através da afixação de edital em suporte adequado, por período não inferior a 30 dias.
2 . A publicação é feita por extracto de que constem os elementos da infracção e as sanções aplicadas, bem como a identificação do agente.
1. Os tratamentos de dados existentes em ficheiros manuais à data da entrada em vigor da presente lei devem cumprir o disposto nos artigos 7.º, 8.º, 10.º e 11.º no prazo de dois anos.
2. Em qualquer caso, o titular dos dados pode obter, a seu pedido e, nomeadamente, aquando do exercício do direito de acesso, a rectificação, o apagamento ou o bloqueio dos dados incompletos, inexactos ou conservados de modo incompatível com os fins legítimos prosseguidos pelo responsável pelo tratamento.
3 . A autoridade pública pode autorizar que os dados existentes em ficheiros manuais e conservados unicamente com finalidades de investigação histórica não tenham que cumprir os artigos 7.º, 8.º e 9.º, desde que não sejam em nenhum caso reutilizados para finalidade diferente.
A presente lei entra em vigor 180 dias após a sua publicação.
Aprovada em de de 2005.
A Presidente da Assembleia Legislativa, Susana Chou.
Assinada em de de 2005.
Publique-se.
O Chefe do Executivo, Ho Hau Wah.
1. Da necessidade do presente projecto de lei
1.1 Deduz-se dos princípios gerais prev-1.stos nos arts. 30.º e 32.º da Lei Básica e no art. 17.º do Pacto Internacional dos Direitos Civis e Políticos que o tratamento de dados pessoais deve processar-se de forma transparente e no respeito pela reserva da intimidade privada, bem como pelos direitos, liberdades e garantias dos residentes.
1.2 Os princípios acima referidos também se encontram vertidos no art. 79.º do Código Civil e no capítulo relativo à incimidade da vida privada do Código Penal.
1.3 Contudo, no ordenamento jurídico da RAEM ainda não existe uma lei ordinária que regulamente de forma sistemática a recolha, o tratamento, a circulação e a interconexão de dados pessoais, bem como a gestão de ficheiros.
1.4 Considerando que o rápido desenvolvimento das tecnologias de informática e os efeitos da globalização têm tornado cada vez mais fáceis e rápidos a recolha, o tratamento e a circulação de dados pessoais, há toda a necessidade de legislar sobre a protecção desses dados.
1.5 Pelo exposto, o Governo reconhece a necessidade da elaboração de legislação reguladora desta matéria.
2. Das propostas para o aperfeiçoamento do texto do projecto de lei
Pese embora, em nosso entendimento, que o presente
projecto de lei possa representar um contributo útil para o aperfeiçoamento do
ordenamento jurídico da RAEM, conformando-o com os preceitos da Lei Básica e
os instrumentos de Direito Internacional aplicáveis a Macau, há que assegurar
que esta lei vá ao encontro das especificidades da sociedade local,
designadamente o sistema jurídico, as instituições políticas, a cultura, a
psicologia da população e a colaboração dos serviços públicos e das
entidades privadas na aplicação da lei, nomeadamente no âmbito de recursos
humanos e regimes regulamentares. Caso não for garantida uma preparação
adequada, esta acção irá produzir efeitos negativos no funcionamento normal
dos serviços da Administração, afectando directamente o exercício de
actividades do sector empresarial, das associações e dos cidadãos
2.2 o projecto de lei deve encontrar formas de permeabilizar o regime instituído às dinâmicas sociais e ao desenvolvimento das tecnologias de informação, mesmo com algum sacrifício do princípio de estabilidade do sistema jurídico.
2.3 Qualquer regime normativo regulador de dados pessoais deve ser sensível às necessidades de prevenção e combate da crimínalidade internacional.
2.4 No projecto de lei deve estar patente o princípio de que as restrições ao exercício de liberdades, direitos e garantias individuais só serão permitidas quando essenciais para a realização do interesse colectivo e público, enquanto meio de reforço da democraticidade.
2.5 O projecto de lei não deve descurar o impacto que irá provocar no funcionamento das instituições e serviços da RAEM, concedendo-lhes tempo suficiente para que, com preparação adequada, possam, por via regulamentar ou meramente operativa, adaptar os seus procedimentos, designadamente, quanto à metodologia de trabalho das estruturas responsáveis pelo tratamento de dados.
Dada a relevância deste projecto de lei e tendo em conta o regime sancionatório administrativo e penal nele previsto, é nosso entendimento que se devia fixar um período de consulta mais alargado, por forma a permitir avaliar os efeitos e o impacto do novo regime no ordenamento jurídico vigente e no funcionamento das enridades públicas e privadas. Por outro lado, é nossa opinião que noventa dias para “vacario legis” é demasiado insuficiente.
Tendo em consideração que a moldura sancionatória das infracções administrativas em muitos diplomas fundamentais que enformam o ordenamento jurídico da RAEM é definida em sede de regulamento administrativo, para manter a continuidade e coerência do sistema legislativo, propõe-se que a matéria prevista nos arts. 29.º a 35.º (infracções administrativas) do presente projecto de lei passe a integrar em regulamento administrativo.
3. Das propostas concretas para o aperfeiçoamento do texto do projecto de lei (segundo a ordem dos artigos)
Ao longo dos trabalhos de consulta, grande parte dos serviços públicos manifestou a opinião de que por insuficiência de tempo, não pôde efectuar uma análise comparativa profunda do projecto. Mesmo assim, esses serviços entenderam fazer as seguintes sugestões:
3.1 Sobre a estrutura do texto:
3.1.1 Segundo a prática legislativa de Macau, relativamente ao texto em língua portuguesa, nas epígrafes dos capítulos e secções, deve-se sempre usar a forma maiúscula para a primeira letra e a forma minúscula para as restantes.
3.1.2 Relativamente às subalíneas do art. 10.º, tanto a versão chinesa como a versão portuguesa devem sempre usar a forma de enumeração (1), (2), (3) ...
3.1.3 A epígrafe do art. 32.º deve ser alterada para “outras infracções administra tivas”.
3.2 Sendo que as expressões “instrumentos de direito internacional” usada no art. 2.º e no n.º 4 do art. 3.º e “acordo ou convenção internacional” usada nos outros artigos, nomeadamente no n.º 3 do art. 8.º e no n.º 3 do art. 20.º reportam a mesma realidade, propõe-se a utilização de uma delas ao longo do texto, por forma a manter a uniformidade terminológica.
3.3. O termo “特別法例“” constante na parte final do n.º 4 do art. 3.º da versão chinesa não corresponde à expressão “legislação específica” na versão portuguesa. Em linguagem jurídica, os conceitos “legislação especial” e “legislação específica” não são coincidentes.
3.4 Propõe-se a substituição da expressão “ ... atinente aquele sector” constante no n.º 4 do art. 3.º da versão portuguesa para “ ... atinente àquele sector ... “.
3.5 Propõe-se a substituição de dois pontos por vírgula (por exemplo, «Dados pessoais» ... ) e o ponto e ‘vírgula constante na alínea 1) do art. 4.º da versão portuguesa, passando a ser “ ..... sendo considerada ... “.
3.6 Propõe-se a substituição da redacção constante na alínea 3) do art. 4.º por “Ficheiro de dados pessoais” (“ficheiro”): quando conjunto estruturado de dados pessoais, independentemente da forma ou modalidade da sua criacão, armazenamento. organizacão e acesso.” ('個人資料資料庫' 資料庫):任何有組織結構的個人資料的集合體,不論其設置、儲存資料、管理和查閱的形式及方式為何。)
3.7 Propõe-se que a última parte da alínea 4) do art. 4.º “sempre que .... ” passe a ser o n.º 2 do mesmo artigo, com a seguinte redacção “Para efeitos do disposto na alínea 4) do número anterior. sempre que ... ” (”為適用上款(四)項的規定,如 ......”).
3.8 Propõe-se a substituição do termo “聯系” (relacionamento) na alínea 9) do art. 4.º da versão chinesa por “聯繫”.
3.9 Propõe-se o aditamento na alínea 2) do art. 5.º da seguinte frase sublinhada “... finalidades determinadas, explícitas, legítimas e directamente relacionadas com o exercício de actividade do responsável pelo tratamento, não podendo...” (”.....為了特定、明確。正當和直接與從事資料處理負責人工作有關的目的而收集”).
3.10 Propõe-se, para uniformização do texto, a substituição do termo “公眾利益”(interesse público) constante na alínea 4) do art. 6.º por “公共利益”.
3.11 Para assegurar a compatibilidade com a correspondente norma da Lei n.º 2/99/M, que estabelece o regime geral do direito de associação, propõe-se a utilização da expressão “filiação em associações políticas ou sindicais” (政治社團或工會關係) para substituir a expressão “filiação partidária ou sindical” (政黨或工會關係) constante no n.º 1 do art. 7.º.
3.12 As expressões “哲學信仰” (convicções filosóficas) e “哲學性質” (carácter filosófico) constantes no n.º 1 e na alínea 2) do n.º 3 do art. 7.º da versão chinesa não foram utilizadas de forma correcta. O sentido das palavras em chinês deve apontar para uma visão do mundo, um modo de encarar a vida, em vez de significar uma disciplina académica.
3.13 Relativamente à alinea 5) do n.º 1 do art. 11.º, propõe-se o aditamento da parte sublinhada “ ... comprovadamente impossível ou implicar um esforço desproporcionado...” ("......但證實不可能通知者, 或即使能通知, 但須付出的努力屬過度者除外").
3.14 Propõe-se a simplificação do título do art. 13.º, utilizando, por exemplo, para título “Decisões individuais automatizadas”, e acrescentar no n.º 3 a parte aqui sublinhada “ ... quando a entidade competente ou um diploma legal o autorize, definindo...” ("......經權限實體或法規許可 .......").
3.15 No n.º 2 do art. 13.º da versão chinesa, propõe-se a utilização da expressão “" em vez de “防礙”
3.16 Para efeitos de uniformização, propõe-se a substituição do termo “其它”(restantes) por “其他” (n.º 3 do art. 16.º e n.º 3 do art. 45.º da versão chillesa).
3.17 Propõe-se a seguinte alteração para a última parte do art. 17.0 da versão chinesa: ( ......., 但履行法定義務者除外 “......, salvo por força de obrigações legais”).
3.18 No n.º 1 do art. 18.º da versão portuguesa, propõe-se a substituição do termo “ ... responsáveis do tratamento ... ” por “ ... responsáveis pelo tratamento ... ”.
3.19 Propõe-se a eliminação do ponto e vírgula constante no texto do n.º 2 do art. 19.º da versão portuguesa, e a alteração da sua redacção para “ ... transferências de dados, devendo ser tidas em especial consideracão a natureza ... ”.
3.20 Propõe-se a alteração da primeira frase do n.º 1 do art. 20.º para “ 符合下列任一情況時 ” (quando se verifique qualquer uma das seguintes situações) , com vista a poder eliminar o termo “ou” que aparece em todas as suas alíneas.
3.21 Relativamente ao n.º 3 do art. 20.º da versão chinesa do projecto, propõe-se que a expressao (" (...) 防禦、保護公共安全、預防犯罪(...)”(...) da delesa, da segurança pública e da prevenção (...)) seja substituída por “(...)維護公共安全”(...)”.
3.22 Relativamente à parte final do n.º 3 do art. 20.º, propõe-se o aditamento da expressão “( ... ) 及保障公共衛生" (( ... ) da protecção da saúde pública) logo a seguir às palavras “(...) da segurança pública e da prevenção, investigação e repressão das infracções penais (...)” ((...)公共安全、預防犯罪、刑事偵查和制止刑事違法行為).
3.23 Relativamente à parte final do n.º 3 do art. 20.º da versão chinesa, propõe-se a substituição do termo “區際協定” (acordos inter-regionais) por “區際協議”.
3.24 Relativamente ao n.º 3 do art. 21.º, propõe-se a substituição da expressão 政府公報” (Boletim Oficial) por "<<澳門特別行政區公報>>" (Boletim Oficial da Região Administrativa de Macau), cuja expressão em língua portuguesa deve ser escrita em itálico.
3.25 Propõe-se o aditamento de “Salvo disposição legal ou regulamentar em contrário ...” (".... 但法律或規章另有規定者除外")
3.26 O “n.º 2 do art. 7.°” referido na alinea 1) do n.º 1 do art. 22.º deverá ser o “n.º 1 do art. 7.º”?
3.27 Propõe-se a substituição do ponto e virgula constante na alínea 4) do n.º 1 do art. 22.º por ponto final.
3.28 Para se uniformizar com a expressão utilizada no n.º 1 do art. 24.º e no n.º 3 do art. 25.º, propõe-se a substituição do termo “指示” (indicações)
constante na redacção do n.º 2 do art. 24.º por “資料” (dados).
3.29 Propõe-se a uniformização do termo “公佈" / “公布” (publicar) constante na versão chinesa do n.º 5 do art. 25.º, no n.º 2 do art. 44.º e na parte de assinatura.
3.30 Relativamente à redacção chinesa do n.º 4 do art. 25.º, a frase “...該登是為著公眾” (“ ... seja a manutenção de registos ... ”) devia ser substituída por “該登記是為著公眾”.
3.31 Propõe-se que a redacção da parte final do art. 26.º da versão portuguesa seja alterada para “ ... por uma maior eficácia na defesa dos direitos fundamentais ligados à protecção da privacidade”.
3.32 Propõe-se que o termo “associações” no n.º 1 do art. 27.º seja alterado para “associações proflssionais”.
3.33 Propõe-se que a expressão “pode sempre recorrer-se”, constante no n.º 2, e a expressão “há recurso” constante no n.º 3, ambos do art. 28.º da versão portuguesa, sejam substituídas pela expressão “cabe recurso”, bem como a expressão “tendo carácter urgente” por “e revestem sempre carácter urgente”.
3.34 A importância referida na alínea 1) do n.º 1 do art. 31.º da versão portuguesa devia ser 20 000 patacas e não 20 0000 patacas.
3.35 A importância referida no n.º 1 do art. 32.º da versão portuguesa devia ser 40 000 patacas e não 40 0000 patacas.
3.36 Propõe-se que o ponto [mal constante na última parte do n.º 1 do art. 32.º da versão chinesa, seja substituído por dois pontos.
3.37 Parece-se que a norma da alínea 1) do n.º 1 do art. 32.º se refere a uma situação de “Não observar obrigações ... “ e não de “Observar” e atendendo que este número só tem uma única alínea, deve-se seguir a solução preconizada no n.º 2.
3.38 Para uma melhor harmonização com o art. 2.º do Código Penal e o art. 14.º da Lei n.º 8/2002 e para assegurar maior rigor à redacção das normas, propõe-se, relativamente aos arts. 38.º e 39.º, que seja aditada em lugar apropriado a seguinde expressão “(...) 如按特別法不科處更重刑罰 ((...) se pena mais grave ao caso não couber por força de lei especial.)
3.39 Relativamente ao n.º 2 do art. 40.º da versão chinesa, propõe-se a substituição da frase “(...) 仍作出下列行為 (...)”por “有下列情況之一者”, uma vez que o que aqui se descreve tem a ver com situações de omissão.
3.40 Propõe-se a substituição da redacção do art. 42.º por “本節規定的犯罪之未遂須受處罰” (“Nos crimes previstos na presente secção, a tentativa é sempre punível”).
3.41 O termo correspondente à expressão “condenatória”, contida na alínea 2) do art. 43.º e no art. 44.º, se disser respeito ao processo civil, em chinês devia ser “給付判決”; se disser respeito ao processo penal, em chinês devia ser “給付判決或有罪判決”, pelo que se propõe a alteração para “µπ•IßP®M©Œ¶≥∏oßP®M”, a fim de abranger ambos os casos.
3.42 Relativamente à alínea 3) do art. 43.º da versão chinesa, propõe-se a substituição do termo “遣責” (censura) por “讉責”.
3.43 O termo chinês correspondente à expressão “condenado”, contida no n.º 1 do art. 44.º, devia ser “被判刑人” e não “被判者” .
3.44 O termo chinês correspondente à expressão “Disposição transitória” que serve de titulo ao art. 45.º devia ser “過渡規定” .
4. Das matérias que requerem um diálogo mais aprofundado
4.1 Da harmonização do projecto de lei com o ordenamento jurídico vigente.
Tal como foi anteriormente referido, a presente iniciativa legislaciva se trata da primeira lei ordinária que visa proteger a privacidade das pessoas. Até agora, as normas reguladoras da recolha e acesso de dados pessoais encontram-se disseminadas em vários diplomas. Embora o presente projecto não preveja soluções nos casos em que as suas normas colidam com a legislação vigente, acreditamos que, a sua publicação e entrada em vigor irão, de algum modo, produzir implicações nos regimes jurídicos em vigor. Citamos como exemplo alguns dos seguintes aspectos:
4.1.1 As normas de alguns diplomas vigentes contrariam o disposto do presente projecto de lei, pelo que para evitar a disconcordância de critérios na aplicação da lei pelos serviços públicos, há que definir quais os diplomas a revogar, determinar o regime de excepção ou estabelecer que os diplomas devem conformar-se com as normas do projecto de lei.
4.1.2 É provável que venha a registar-se uma incompatibilização do projecto de lei, na sua aplicação, com o Decreto-Lei n.º 73/89/M, de 31 de Outubro, que estabelece as bases gerais do regime arquivístico de Macau . Além disso, também é provável que não seja compatível com o Decreto-Lei n.º 12/98/M, de 6 de Abril, e com o art. 187.º do Código Penal.
4.1.3 A matéria prevista no n.º 2 do art. 11.º (Direito de acesso) tem repercussões nas competências da Polícia Judiciária no âmbito de acesso aos dados civis e criminais estabelecidas no diploma orgânico desta Polícia.
4.1.4 Em relação aos n.os 1 e 2 do art. 7.º (Tratamento de dados sensíveis), como precisar o conceito “interesse público importante”? Caso ocorram situações em que o tratamento é realizado ais em função dos diferentes métodos de tratamento (“automatizados” e “não automatizados”; n.º 1 do art. 3.º do projecto de lei). Caso pertencer às situações de tratamento por meios não automatizados, os dados pessoais têm que ser limitados aos contidos em ficheiros manuais ou a estes destinados?
4.7 Qual é o âmbito que abrange as expressões “comunicação sistemática ou difusão” e “videovigilância” constantes respectivamente no n.º 2 e n.º 3 do art. 3.º? Abrange os locais privados? Será que foram ponderadas as vantagens e os defeitos?
4.8 No n.º 3 do art. 3.º, não se incluem todas as formas que perrrutam identificar pessoas, como por exemplo, o DNA.
4.9 Em relação ao art. 4.º do projecto, pode-se ponderar o tratamento autónomo do conceito “titular dos dados”?
4.10 Tem-se dúvidas sobre a defmição e o âmbito de aplicação do concelto “ficheiro de dados pessoais”(afínea 3) do art. 4.º).
4.11 Quanto ao art. 5.º, porque não se permite que o prazo para conservar os dados pessoais exceda o referido na alínea 5) desse artigo, sob a autorização de entidade competente, desde que os dados a ser conservados sejam os documentos históricos, dados estaristicos ou informações científicas?
4.12 A alínea 2) do n.º 3 do an. 7.º refere a “fundação, associação ou organismo sem fins lucrativos de carácter político, filosófico, religioso ou sindical (...)”. Quais os critérios e fundamentação legal que permitem fazer a classificação dessas organizações? Será necessário fazer uma lei para regular esta matéria? Quais são os procedimentos concretos?
4.13 O n.º 1 do art. 8.º diz “A criação e manutenção de registos centrais relativos a pessoas suspeitas de actividades ilícitas, infracções penais, infracções administrativas e decisões que apliquem penas, medidas de segurança, multas e sanções acessórias só pode ser man tida por serviços públicos com competência específica prevista na respectiva lei orgânica, observando normas procedimentais e de protecção de dados previstas em diploma legal, corn prévio parecer da entidade competente.”
O n.º 1 do art. 45.º dispõe que “Os tratamentos de dados existentes em ficheiros manuais à data da entrada em vigor da presente lei devem cumprir o disposto nos arts. 7,º, 8.º, 10,º e 11,º no prazo de dois anos”.
Por outras palavras, a entidade competente para além de emitir parecer prévio sobre a criação de ficheiros, também emite parecer sobre os ficheiros existentes. Será que isto é necessário?
Dada a necessidade de articulação dos diplomas reguladores com as disposições do presente projecto de lei, de introdução de alterações nos sistemas informáticos e concertação com os serviços públicos competentes, é impossível concluir os trabalhos em dois anos.
4.14 O que se quer dizer por “custos excessivos” constante no art. 10.º? Como defmir o sentido desta expressão? O n.º 4 do art. 11.º usa a expressão “(...) limita-se a informar o titular dos dados das diligências efectuadas.” O que é que se quer dizer por “diligências efecroadas”? Se o Comissariado contra a Corrupção investigou os dados de certa pessoa, como “é que se pode informá-la da diligências?
4.15 No futuro, irão ambas as entidades referidas no n,º 2 do art. 11.º deter as atribuições de verificação do cumprimento da legislação de protecção de dados pessoais, ou apenas uma só “entidade competente”?
4.16 Será que a expressão “私人生活的權利” utilizada no n.º 6 do art. 11.º deve ser substituída por “對私人生活的權利"?
4.17 Não percebemos o sentido da alínea 2) do art. 12.º. A redacção não é muito clara, tendo as expressões de “gratuitamente” e “sem despesas” significados iguais.
4.18 Quanto ao n.º 1 do art. 13.º, o que se quer dizer com “a decisão tomada exclusivamente com base num tratamento automatizado de dados”?
4.19 O “médico” referido no n.º 5 do art. 11.º é O médico assistente do titular dos dados? E como regular a situação do outro pessoal médico e enfermagem e o próprio indivíduo que delegou a responsabilidade?
4.20 A expressão “rede” no art. 15.º e no n.º 4 do art. 16.º parece apenas indicar a internet, mas deve incluir outras formas de comunicação electrónicas e não electrónicas.
4.21 Na alínea 4) do n.º 1 do art. 16.º, deve-se incluir a situação do tratamento manual de dados.
4.22 Será que a epígrafe do art. 20.° da versão chinesa do projecto deve ser substituída por “排除適用” .
4.23 No art. 21.°, será preciso prever o prazo para a concessão da autorização?
4.24 Quais são “os dados a tratar” referidos no n.º 2 do art. 21.º?
4.25 Reza o n.º 2 do art. 22.º que “Os tratamentos a que se refere o número anterior podem ser autorizados por diploma legal ou regulamentar, não carecendo neste caso de autorização da entidade competente.” A questão que ora se coloca é a de saber se esse “diploma” se refere a diploma orgânico ou a outro tipo de diploma vigente, ou ainda um diploma elaborado especificamente para a regulamentação da concessão da autorização. Qual é a natureza deste “diploma”?
4.26 Relativamente à norma do art. 28.º, há que equaClonar a sua compatibilidade com a Lei de Bases da Organização Judiciária, para clarificar especialmente as seguintes questões que se colocam face ao disposto no n.º 2 deste artigo, quando diz que “da decisão proferida por tribunal pode sempre recorrer-se para o Tribunal de Última Instância ( ... )”.
4.26.1 Quererá a redacção desta norma significar que da decisão proferida por tribunal de primeira instância se pode recorrer, passando pelas várias instâncias, até chegar ao Tribunal de Última Instância?
4.26.2 Independentemente do tribunal de primeira instância ser o Tribunal Judicial de Base ou o Tribunal de Segunda Instância, da decisão proferida se pode recorrer directamente para o Tribunal de Última Instância. É isto o que a norma quer dizer?
4.26.3 Pode-se recorrer sempre para o Tribunal de Última Instância, seja qual for o valor da alçada?
4.26.4 Uma vez que se trata de matéria que envolve as operações processuais dos tribunais, não será conveniente consultar também os órgãos judiciais?
4.27 Uma vez que no sistema jurídico actual, a impugnação do acto administrativo, abrange os dorrúnios administrativo e judicial, deve-se indicar as espécies de impugnação no n.º 2 do art. 35.º.
4.28 A solução definida no art. 36.º é idêntica à solução definida no art. 15.º do Decreto-Lei n.º 52/99/M, de 4 de Outubro (Define o regime geral das infracções administrativas e o respectivo procedimento), por isso, não é necessário repetir.
4.29 Convém reponderar a moldura penal, tendo em conta os arts. 206.º e 207.º do Código Penal.
4.30 As penas previstas no art. 41.º não poderão ser iguais às estabelecidas nos arts. 187.º, 189.º e 191.º do Código Penal?
Gabinete da Secretária para a Administração e Justiça, aos 12 de Julho de 2005.
C) 總結
C) Conclusão
綜合所述,我們認為,就某些法律規定,本法律建議必須包含淚(或將能包含)本局的職責,以使本局在日常活動中,在處理具偶然影響(負面的)的個人資料時,能受制新的程序。
就保護個人資料法律草案,這是我們須作考慮的問題,現呈予 閣下
法律專家
A Jurista,
Exm.ª Senhora Presidente da Assembleia Legislativa
Eng.ª Susana Chou
Assunto: Lei da Protecção de Dados Pessoais
Em relação ao texto do projecto de lei em epígrafe, entendemos que, para se adaptar às necessidades reais da sociedade, a autorização da entidade competente para o tratamento de dados, referida no n.º 1 do artigo 22.º (controlo prévio), deve ser concedida mediante formalidades transparentes e eficientes.
Com os melhores cumprimentos
14 de Julho de 2005
Sociedade SmarTone Mobile Comunications (Macau) Limited.,
Ip Su Fan (O Administrador-Delegado)
Assembleia Legislativa da RAEM:
A Companhia China Unicom Limitada é a única empresa de
telecomunicações da China Continental que fornece aos seus clientes um
conjunto de serviços relativos a telecomunicações, que inclui o serviço móvel,
fixo, internacional, IP, de internet e de dados. A China Unicom é o terceiro
maior fornecedor mundial de serviço móvel, cujo número total de clientes é
superior a 100 milhões, entre os quais, mais de 25 milhões são clientes de
CDMA, ocupando o segundo lugar do mercado mundial de CDMA. A Companhia de China
Unicom (Macau) Limitada é a empresa subsidiária da Companhia de China Unicom
Limitada que, em 2004, obteve a licença para o fornecimento do serviço de CDMA
(CDMA2000 1 X)
Segundo a norma em epígrafe: “É proibido o tratamento de dados pessoais referentes a convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e origem racial ou étnica, bem como o tratamento de dados relativos à saúde e à vida sexual, incluindo os dados genéticos”. Devido à falta de clareza e de uma definição concreta quanto à referência “vida privada”, é muito difícil para o responsável pelo tratamento controlar, na prática, todo o processo de tratamento dentro das “delimitações” que o referido conceito implica, o que o leva facilmente a infringir o definido na lei, sem se aperceber, ou até sofrer danos psicológicos e prejuízos patrimoniais.
Para além disso, conhecer a origem racial e a fé
religiosa dos clientes durante o tratamento de dados, pode permitir ao responsável
pelo tratamento de dados o fornecimento de um melhor serviço aos titulares dos
dados, evitando eventuais situações que possam criar descontentamento aos
titulares, originados pela falta de elementos relativo à sua “origem
racial” e “fé religiosa. Assim sendo, propomos a introdução de alterações
a este artigo: “É proibido o tratamento de dados pessoais referentes a convicções
filosóficas ou políticas, filiação partidária ou sindical, fé religiosa,
origem racial ou étnica, bem
Neste número está previsto o seguinte: “A interconexão de dados pessoais deve ser adequada à prossecução das finalidades legais ou estatutárias e de interesses legítimos dos responsáveis dos tratamentos, não implicar discriminação ou diminuição dos direitos, liberdades e garantias dos titulares dos dados, ser rodeada de adequadas medidas de segurança e ter em conta o tipo de dados objecto de interconexão.”
Sugere-se a sua alteração para o seguinte: “A interconexão de dados pessoais deve ser adequada à prossecução das finalidades legais ou estatutárias e de interesses legítimos dos responsáveis dos tratamentos, não implicar discriminação ou diminuição dos direitos fundamentais, liberdades e garantias dos titulares dos dados, ser rodeada de adequadas medidas de segurança e ter em conta o tipo de dados objecto de interconexão, salvo se existir, da parte do titular dos dados, acta prejudicial aos interesses dos responsáveis dos tratamentos ou de terceiro.”
Consoante as suas conduta e volume de consumo e o seu grau de crédito, os clientes são agrupados, sendo-lhes prestados serviços diferentes, o que é uma regra comercial internacional. Uma estratégia de marketing que tem como objectivo prestar serviços de melhor qualidade aos clientes de elevado grau de valor e crédito, não vai prejudicar, de modo nenhum, os direitos fundamentais, liberdades e garantias dos clientes em geral, antes pelo contrário, contribui para indicar quais são os serviços mais adequados para cada grupo de consumidores.
Neste número está previsto o seguinte: “Qualquer pessoa tem o direito de não ficar sujeita a uma decisão que produza efeitos na sua esfera jurídica ou que a afecte de modo significativo, tomada exclusivamente com base num tratamento automatizado de dados destinado a avaliar determinados aspectos da sua personalidade, designadamente a sua capacidade profissional, o seu crédito, a confiança de que é merecedora ou o seu comportamento.”
Sugere-se a sua alteração para o seguinte: “Qualquer pessoa tem o direito de não ficar sujeita a uma decisão que produza efeitos na sua esfera jurídica ou que a afecte de modo significativo, tomada exclusivamente com base num tratamento automatizado de dados destinado a avaliar determinados aspectos da sua personalidade, designadamente a sua capacidade profissional, o seu crédito, a confiança de que é merecedora ou o seu comportamento, salvo se existir, da parte do titular dos dados, acto prejudicial aos interesses dos responsáveis dos tratamentos ou de terceiro.”
Neste número está previsto o seguinte: “O responsável pelo tratamento ou, se for caso disso, o seu representante deve notificar a entidade competente antes da realização de um tratamento ou conjunto de tratamentos, total ou parcialmente automatizados, destinados à prossecução de uma ou mais finalidades interligadas”
Sugere-se uma definição mais clara para o prazo limite, formas e meios da notificação prevista no artigo, bem como o prazo limite para deferimento.
Solicitamos que a Assembleia Legislativa tome como referência as referidas opiniões, quer na apreciação e aprovação da proposta de lei em causa, quer na sua futura alteração e revisão.
Aos 11 de Julho de 2005.
Regiao Administrativa Especial de Macau AssembIeia Legislativa
Aterros da Baia da Praia Grande,
Praca da A.L. Edf. da. A.L.
JuIy 12, 2005 Ref: No. MMD3/L014-03/el
Dear Sir/Madam,
Consultation Paper on the Proposed Personal Information Protection Code
We refer to the Consultation Paper as recently published at www.al.gov.mo on the proposed Personal Information Protection Code (the “Code”). We, Hutchison Telecom Macau being a key telecommunications operator in Macau, would like to take this opportunity to submit our preliminary comments on certain clauses of the proposed Code for your kind consideration :-
Chapter 1
• Clause 3.2 – 1n Clause 1, the scope of the Code is limited to personal information and therefore the reference made to “家庭活動¨°∞ ” in Clause 3.2 should be deleted as a matter of consistent.
• Clause 3.3 – “ .. 的取得、處理和傳播 .. ” should be amended and read “ .. 的取得、處理和傳播..”
Chapter 2
• Clause 5 – Generally, the Code has not addressed the information collectors’ right to delete personal information in their possession. They should be allowed to exercise such right as they see fit.
• Clause 5(1) – The principIe of “善意原則” needs to be clarified.
• Clause 5(4) – The accuracy and completeness of the collected information depend on the personal information provided by the information owners. The duty of implementing mechanisms to delete or correct inaccurate or incomplete information should not be imposed solely on the information collectors.
• Clause 5(5) - The personal information collected from the information owners is only allowed to keep during the period of use. However, from a credit control or telecom regulatory perspective, such information may be required after service disconnection or use for record keeping purposes.
• Clause 6 - The words “明確” should be deleted from the phase ”資料當事人明確同意” as ”資料當事人的同意” is a defined term. Same applies to Clause 7.2. Further, the requirement to obtain explicitIy approvals seems to be too strict and may affect normal marketing activities.
• Clause 6(5) - Please clarify and provide illustrations regarding “當事人的利益或權利、自由和保障不優於這些正當利益” .
• Clause 7.1 - The prohibition in handling certain sensitive information may not be appropriate to include in the Code, which addresses and focuses on personal information issues. Further, please clarify “私人生活” which may overlap with the definition of “personal information”. Does it include customer surveys e.g. interest, holidays destination preferences?
• Clause 9.1 - We note that information sharing is not allowed unless approved by the privacy protection authority under Clause 21 of the Code. Such approval process may create operational inefficiencies. Such concern also applies to Clauses 21.1 to 21.3 and 22(1 )2. Further, as we are currently required to send customer information to GDTTI and other operators for telecom regulatory and mobile number portability purposes, it may be necessary to identify situations where exemptions can be given to avoid delay.
• Clause 9.2 - Please clarify the meaning of “亦不得導玫岐視或削減資料當事人的權利、自由和保障”.
Chapter 3
• Clause 11.1 – information owners are given unlimited rights to inspect the information kept by the information collectors. Such rights should be limited and be exercised on a reasonable basis at a reasonable charge. Further, unless Clause 5.5 permits the information collectors to keep records of such information, the information col1ectors may not be able to fully comply with this Clause 11.1.
• C1ause 11.6 – Please provide illustrations and explain whether this Clause 11.6 intends to limit the rights of the information owners under Clause 11.1.
• Clause 13.1 – Please clarify and provide illustrations as the appiication of this Clause 13.1 seems ambiguous.
• Clause 14.1 – The potential compensation to the information owners permitted under this Clause 14.1 should be limited to breaches of the provisions of the Code onIy.
Chapter 5
• Clause 19 – We believe that it is adequate if the legal systems of the destined jurisdictions outside Macau have similar or comparable privacy protection laws (such as the PRC laws) to protect personal information transferred to them from Macau.
• Clause 20.2 – Please clarify the meaning of “私人生活、基本權利和自由的機制”
Chapter 6
• Clause 21.5 - Please explain the application of this Clause 21.5 and, in particular, the type of notice required to comply with this clause.
• Clause 22.2 - Please explain the application of this Clause 22.2.
Chapter 8
• Clauses 37 and 38 - The proposed maximum penalties and sentence terms appear to be on the high side. As the monetary penalties are not specified in the Code, it is advisable to consider and compare overseas examples of similar offences before setting the penalties and sentence terms.
• Clause 39 – Again, the proposed penalties and sentence terms appear to be on the high side. This is especially so if deletion of or damage to the records are caused by factors beyond the information collectors’ reasonable control.
We believe that the Code will have far reaching impacts on the Macau business sectors and therefore we urge you to consider conducting comprehensive information sessions to elaborate the proposed application of the Code and further rounds of consultation to fine-tune the proposed language of the Code.
Should you wish to discuss the matter further, please do not hesitate to contact the undersigned on (853) xxxxxxx.
Yours faithfully,
Hutchison Telephone (Macau) Company Limited
Elizabete Lee
Chief Executive Officer