NOTA JUSTIFICATIVA

 

O advento de novas tecnologias tem vindo a colocar inelutavelmente novos desafios ao Direito e, com particular ênfase, no domínio dos direitos fundamentais muito especialmente no que tange à protecção do direito fundamental à privacidade.

Com efeito, é consabido que novas tecnologias de informação encerram um risco conatural à efectiva protecção da privacidade de cada um de nós cidadãos. Macau não está, naturalmente, imune a estes novos desafios dado que detém um elevado grau de desenvolvimento tecnológico. Neste contexto, assume especial relevância a temática da protecção dos dados pessoais.

A protecção do direito à privacidade encontra eco em diversos textos jurídicos, nomeadamente na lei fundamental, como adiante se verá.

Em primeiro lugar cabe relembrar aqui que, nos termos do artigo 30.º da Lei Básica «Aos residentes de Macau são reconhecidos (...) o direito à reserva da intimidade da vida privada e familiar.».

Todavia, o espectro constitucional de protecção, em diferentes níveis, da privacidade não se esgota neste preceito. Na verdade, também o artigo 32.º do mesmo diploma, entre outros, fornece garantias: «A liberdade e o sigilo dos meios de comunicação dos residentes de Macau são protegidos pela lei. Nenhuma autoridade pública ou indivíduo poderá violar a liberdade e o sigilo dos meios de comunicação dos residentes, sejam quais forem os motivos (...).».

Também a Declaração Conjunta não olvidou a questão – ou, ao menos, parte dela - tendo estabelecido, no ponto V, do seu Anexo I, o direito à inviolabilidade do domicílio e das comunicações.

Por outro lado, ao nível da legislação ordinária é mister dar relevo ao Código Civil onde, no artigo 79.º, epigrafado «protecção de dados pessoais», estabelece, nomeadamente, toda a pessoa tem direito a tomar conhecimento dos dados constantes de ficheiros ou registos informáticos a seu respeito e do fim a que se destinam, podendo exigir a sua rectificação ou actualização, e que a recolha de dados pessoais para tratamento informático deve ser feita com vinculação estrita às finalidades a que se destinam esses dados, as quais devem ser dadas a conhecer ao seu titular. Prevê-se, ainda, uma autoridade pública encarregada de fiscalizar a recolha, armazenamento e utilização dos dados pessoais informatizados.

 Ainda em sede de legislação ordinária se pode surpreender uma plêiade de diplomas e de normas que directa ou indirectamente versam sobre o tema da privacidade em geral e da protecção de dados pessoais em particular. Os exemplos encontrados vão desde matéria de índole criminal a legislação sobre direitos fundamentais ou, em outra perspectiva, questões relacionadas com medicina, banca, identificação civil, direitos dos administrados, detendo, no entanto, um natural carácter fragmentário.

 Inexiste, no entanto, uma lei geral que discipline e garanta a efectiva protecção dos dados pessoais. Aí se devendo estatuir, particularmente, um conjunto de princípios estruturantes, um elenco de direitos-garantias e um quadro sancionatório.

Por outro lado, deverá caber a uma entidade independente a nobre função de tutela e protecção dos dados pessoais – todavia, a iniciativa legislativa de criação de tal entidade recai sobre o Governo, atendendo aos competentes dispositivos da Lei Básica.

 Detectada a lacuna consubstanciada na inexistência de uma lei geral sobre o assunto, os subscritores entendem adequado iniciar um processo legislativo com vista à sua eliminação, tendo para o efeito utilizado como fontes mais imediatas e directas a legislação congénere de Portugal e de Hong Kong.

 

 

 


 

Projecto de Lei n.º 50/II/2005-10

LEI DA PROTECÇÃO DE DADOS PESSOAIS

A Assembleia Legislativa decreta, nos termos da alínea 1) do artigo 71.º e dos artigos 30.º e 43.º da Lei Básica da Região Administrativa Especial de Macau, para valer como lei, o seguinte:

 

CAPÍTULO I

Disposições gerais

 

Artigo 1.º

Objecto

A presente lei estabelece o regime jurídico do tratamento e protecção de dados pessoais. 

 

Artigo 2.º

Princípio geral

O tratamento de dados pessoais deve processar-se de forma transparente e no estrito respeito pela reserva da vida privada, bem como pelos direitos, liberdades e garantias fundamentais estabelecidos na Lei Básica da Região Administrativa Especial de Macau, nos instrumentos de direito internacional e na legislação vigente.

 

Artigo 3.º

Âmbito de aplicação

1.    A presente lei aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros manuais ou a estes destinados, quando efectuado na Região Administrativa Especial de Macau, doravante RAEM.

2.    A presente lei não se aplica ao tratamento de dados pessoais efectuado por pessoa singular no exercício de actividades exclusivamente pessoais ou domésticas salvo se se destinar a comunicação sistemática ou difusão.

3 . A presente lei aplica-se à videovigilância e outras formas de captação, tratamento e difusão de sons e imagens que permitam identificar pessoas sempre que o responsável pelo tratamento esteja domiciliado ou sediado na RAEM ou utilize um fornecedor de acesso a redes informáticas e telemáticas ali estabelecido.

4.  A presente lei aplica-se ao tratamento e dados pessoais que tenham por objectivo a segurança pública, sem prejuízo do disposto em normas especiais constantes de instrumentos de direito internacional a que a RAEM se vincule e de legislação específica atinente aquele sector e outros correlacionados.

 

Artigo 4.º

Definições

Para efeitos da presente lei, entende-se por:

1) «Dados pessoais»: qualquer informação, de qualquer natureza e independentemente do respectivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável a pessoa que possa ser identificada directa ou indirectamente, designadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social;

2) «Tratamento de dados pessoais» («tratamento»): qualquer operação ou conjunto de operações sobre dados pessoais, efectuadas com ou sem meios automatizados, tais como a recolha, o registo, a organização, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a comunicação por transmissão, por difusão ou por qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição;

3) «Ficheiro de dados pessoais» («ficheiro»): qualquer conjunto estruturado de dados pessoais, acessível segundo critérios determinados, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;

4) «Responsável pelo tratamento»: a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais; sempre que as finalidades e os meios do tratamento sejam determinados por disposições legislativas ou regulamentares, o responsável pelo tratamento deve ser indicado na lei de organização e funcionamento ou no estatuto da entidade legal ou estatutariamente competente para tratar os dados pessoais em causa;

5) «Subcontratante»: a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que trate os dados pessoais por conta do responsável pelo tratamento;

6) «Terceiro»: a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que, não sendo o titular dos dados, o responsável pelo tratamento, o subcontratante ou outra pessoa sob autoridade directa do responsável pelo tratamento ou do subcontratante, esteja habilitado a tratar os dados;

7) «Destinatário»: a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo a quem sejam comunicados dados pessoais, independentemente de se tratar ou não de um terceiro, sem prejuízo de não serem consideradas destinatários as autoridades a quem sejam comunicados dados no âmbito de uma disposição legal;

8) «Consentimento do titular dos dados»: qualquer manifestação de vontade, livre, específica e informada, nos termos da qual o titular aceita que os seus dados pessoais sejam objecto de tratamento;

9) «Interconexão de dados»: forma de tratamento que consiste na possibilidade de relacionamento dos dados de um ficheiro com os dados de um ficheiro ou ficheiros mantidos por outro ou outros responsáveis, ou mantidos pelo mesmo responsável com outra finalidade.

10) «Entidade competente»: a entidade pública dotada de atribuições e especiais competências no âmbito da protecção de dados pessoais.

 

CAPÍTULO II

Tratamento e qualidade dos dados pessoais e

legitimidade do seu tratamento

 

Artigo 5.º

Qualidade dos dados

1. Os dados pessoais devem ser:

1) Tratados de forma lícita e com respeito pelo princípio da boa fé e dos princípios gerais enunciados no artigo 2.º;

2) Recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser posteriormente tratados de forma incompatível com essas finalidades;

3) Adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos e posteriormente tratados;

4) Exactos e, se necessário, actualizados, devendo ser tomadas as medidas adequadas para assegurar que sejam apagados ou rectificados os dados inexactos ou incompletos, tendo em conta as finalidades para que foram recolhidos ou para que são tratados posteriormente;

5) Conservados de forma a permitir a identificação dos seus titulares apenas durante o período necessário para a prossecução das finalidades da recolha ou do tratamento posterior.

 

Artigo 6.º

Condições de legitimidade do tratamento de dados

O tratamento de dados pessoais só pode ser efectuado se o seu titular tiver dado de forma inequívoca o seu consentimento ou se o tratamento for necessário para:

1) Execução de contrato ou contratos em que o titular dos dados seja parte ou de diligências prévias à formação do contrato ou declaração da vontade negocial efectuadas a seu pedido;

2) Cumprimento de obrigação legal a que o responsável pelo tratamento esteja sujeito;

3) Protecção de interesses vitais do titular dos dados, se este estiver física ou legalmente incapaz de dar o seu consentimento;

4) Execução de uma missão de interesse público ou no exercício de autoridade pública em que esteja investido o responsável pelo tratamento ou um terceiro a quem os dados sejam comunicados;

5) Prossecução de interesses legítimos do responsável pelo tratamento ou de terceiro a quem os dados sejam comunicados, desde que não devam prevalecer os interesses ou os direitos, liberdades e garantias do titular dos dados.

 

Artigo 7.º

Tratamento de dados sensíveis

1 . É proibido o tratamento de dados pessoais referentes a convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e origem racial ou étnica, bem como o tratamento de dados relativos à saúde e à vida sexual, incluindo os dados genéticos.

2 . Mediante disposição legal ou autorização da entidade competente, pode ser permitido o tratamento dos dados referidos no número anterior quando por motivos de interesse público importante esse tratamento for indispensável ao exercício das atribuições legais ou estatutárias do seu responsável, ou quando o titular dos dados tiver dado o seu consentimento expresso para esse tratamento, em ambos os casos com garantias de não discriminação e com as medidas de segurança previstas no artigo 16º.

3 . O tratamento dos dados referidos no n.º 1 é ainda permitido quando se verificar uma das seguintes condições:

1) Ser necessário para proteger interesses vitais do titular dos dados ou de uma outra pessoa e o titular dos dados estiver física ou legalmente incapaz de dar o seu consentimento;

2) Ser efectuado, com o consentimento do titular, por fundação, associação ou organismo sem fins lucrativos de carácter político, filosófico, religioso ou sindical, no âmbito das suas actividades legítimas, sob condição de o tratamento respeitar apenas aos membros desse organismo ou às pessoas que com ele mantenham contactos periódicos ligados às suas finalidades, e de os dados não serem comunicados a terceiros sem consentimento dos seus titulares;

3) Dizer respeito a dados manifestamente tornados públicos pelo seu titular, desde que se possa legitimamente deduzir das suas declarações o consentimento para o tratamento dos mesmos;

4) Ser necessário à declaração, exercício ou defesa de um direito em processo judicial e for efectuado exclusivamente com essa finalidade.

4 . O tratamento dos dados referentes à saúde e à vida sexual, incluindo os dados genéticos, é permitido quando for necessário para efeitos de medicina preventiva, de diagnóstico médico, de prestação de cuidados ou tratamentos médicos ou de gestão de serviços de saúde, desde que o tratamento desses dados seja efectuado por um profissional de saúde obrigado a sigilo ou por outra pessoa sujeita igualmente a segredo profissional, seja notificado à entidade competente, nos termos do artigo 21.º e sejam garantidas medidas adequadas de segurança da informação.

 

Artigo 8.º

Suspeitas de actividades ilícitas, infracções penais e infracções administrativas

1 . A criação e manutenção de registos centrais relativos a pessoas suspeitas de actividades ilícitas, infracções penais, infracções administrativas e decisões que apliquem penas, medidas de segurança, multas e sanções acessórias só pode ser mantida por serviços públicos com competência específica prevista na respectiva lei orgânica, observando normas procedimentais e de protecção de dados previstas em diploma legal ou regulamentar, com prévio parecer da entidade competente.

2 . O tratamento de dados pessoais relativos a suspeitas de actividades ilícitas, infracções penais, infracções administrativas e decisões que apliquem penas, medidas de segurança, multas e sanções acessórias pode ser autorizado pela entidade competente, observadas as normas de protecção de dados e de segurança da informação, quando tal tratamento for necessário à execução de finalidades legítimas do seu responsável, desde que não prevaleçam os direitos, liberdades e garantias do titular dos dados.

3 . O tratamento de dados pessoais para fins de investigação policial deve limitar-se ao necessário para a prevenção de um perigo concreto ou repressão de uma infracção determinada, para o exercício de competências previstas no respectivo estatuto orgânico ou noutra disposição legal e ainda nos termos de acordo ou convenção internacional a que a RAEM se ache vinculado.

 

Artigo 9.º

Interconexão de dados pessoais

1 . A interconexão de dados pessoais que não esteja prevista em disposição legal está sujeita a autorização da entidade competente solicitada pelo responsável ou em conjunto pelos correspondentes responsáveis dos tratamentos, nos termos previstos no artigo 21.º.

2 . A interconexão de dados pessoais deve ser adequada à prossecução das finalidades legais ou estatutárias e de interesses legítimos dos responsáveis dos tratamentos, não implicar discriminação ou diminuição dos direitos, liberdades e garantias dos titulares dos dados, ser rodeada de adequadas medidas de segurança e ter em conta o tipo de dados objecto de interconexão.

 

CAPÍTULO III

Direitos do titular dos dados

 

Artigo 10.º

Direito de informação

1 . Quando recolher dados pessoais directamente do seu titular, o responsável pelo tratamento ou o seu representante deve prestar-lhe, salvo se já dele forem conhecidas, as seguintes informações:

1) Identidade do responsável pelo tratamento e, se for caso disso, do seu representante;

2) Finalidades do tratamento;

3) Outras informações, tais como:

a) Os destinatários ou categorias de destinatários dos dados;

b) O carácter obrigatório ou facultativo da resposta, bem como as possíveis consequências se não responder;

c) A existência e as condições do direito de acesso e de rectificação, desde que sejam necessárias, tendo em conta as circunstâncias específicas da recolha dos dados, para garantir ao seu titular um tratamento leal dos mesmos.

2 . Os documentos que sirvam de base à recolha de dados pessoais devem conter as informações constantes do número anterior.

3 . Se os dados não forem recolhidos junto do seu titular, e salvo se dele já forem conhecidas, o responsável pelo tratamento, ou o seu representante, deve prestar-lhe as informações previstas no n.º 1 no momento do registo dos dados ou, se estiver prevista a comunicação a terceiros, o mais tardar aquando da primeira comunicação desses dados.

4 . No caso de recolha de dados em redes abertas, o titular dos dados deve ser informado, salvo se disso já tiver conhecimento, de que os seus dados pessoais podem circular na rede sem condições de segurança, correndo o risco de serem vistos e utilizados por terceiros não autorizados.

5 . A obrigação de informação pode ser dispensada, mediante disposição legal ou deliberação da entidade competente, por motivos de segurança e prevenção ou investigação criminal, e, bem assim, quando, nomeadamente no caso do tratamento de dados com finalidades estatísticas, históricas ou de investigação científica, a informação do titular dos dados se revelar impossível ou implicar esforços desproporcionados ou ainda quando a lei determinar expressamente o registo dos dados ou a sua divulgação.

6 . A obrigação de informação, nos termos previstos no presente artigo, não se aplica ao tratamento de dados efectuado para fins exclusivamente jornalísticos ou de expressão artística ou literária no respeito dos direitos fundamentais do titular dos dados nos termos previstos no n.º 3 do artigo seguinte.

 

Artigo 11.º

Direito de acesso

1 . O titular dos dados tem o direito de obter do responsável pelo tratamento, livremente e sem restrições, com periodicidade razoável e sem demoras ou custos excessivos:

1) A confirmação de serem ou não tratados dados que lhe digam respeito, bem como informação sobre as finalidades desse tratamento, as categorias de dados sobre que incide e os destinatários ou categorias de destinatários a quem são comunicados os dados;

2) A comunicação, sob forma inteligível, dos seus dados sujeitos a tratamento e de quaisquer informações disponíveis sobre a origem desses dados;

3) O conhecimento da lógica subjacente ao tratamento automatizado dos dados que lhe digam respeito;

4) A rectificação, o apagamento ou o bloqueio dos dados cujo tratamento não cumpra o disposto na presente lei, nomeadamente devido ao carácter incompleto ou inexacto desses dados;

5) A notificação aos terceiros a quem os dados tenham sido comunicados de qualquer rectificação, apagamento ou bloqueio efectuado nos termos da alínea anterior, salvo se isso for comprovadamente impossível, devendo os terceiros proceder igualmente à rectificação, apagamento, destruição ou bloqueio dos dados.

2 . No caso de tratamento de dados pessoais relativos à segurança e à prevenção ou investigação criminal, o direito de acesso é exercido através da entidade competente ou de outra autoridade independente a quem a lei atribua a verificação do cumprimento da legislação de protecção de dados pessoais.

3 . No caso previsto no n.º 6 do artigo anterior, o direito de acesso é exercido através da entidade competente com salvaguarda das normas aplicáveis , designadamente as que garantem a liberdade de expressão e informação, a liberdade de imprensa e a independência e sigilo profissionais dos jornalistas.

4 . Nos casos previstos nos n.os 2 e 3, se a comunicação dos dados ao seu titular puder prejudicar a segurança, a prevenção ou a investigação criminal ou ainda a liberdade de expressão e informação ou a liberdade de imprensa, a entidade competente limita-se a informar o titular dos dados das diligências efectuadas.

5 . O direito de acesso à informação relativa a dados da saúde, incluindo os dados genéticos, é exercido por intermédio de médico escolhido pelo titular dos dados.

6 . No caso de os dados não serem utilizados para tomar medidas ou decisões em relação a pessoas determinadas, a lei pode restringir o direito de acesso nos casos em que manifestamente não exista qualquer perigo de violação dos direitos, liberdades e garantias do titular dos dados, designadamente do direito à vida privada, e os referidos dados forem exclusivamente utilizados para fins de investigação científica ou conservados sob forma de dados pessoais durante um período que não exceda o necessário à finalidade exclusiva de elaborar estatísticas.

 

Artigo 12.º

Direito de oposição do titular dos dados

O titular dos dados tem o direito de:

1) Salvo disposição legal em contrário, e pelo menos nos casos referidos nas alíneas 4) e 5) do artigo 6.º, se opor em qualquer altura, por razões ponderosas e legítimas relacionadas com a sua situação particular, a que os dados que lhe digam respeito sejam objecto de tratamento, devendo, em caso de oposição justificada, o tratamento efectuado pelo responsável deixar de poder incidir sobre esses dados;

2) Se opor, a seu pedido e gratuitamente, ao tratamento dos dados pessoais que lhe digam respeito previsto pelo responsável pelo tratamento para efeitos de marketing directo ou qualquer outra forma de prospecção, ou de ser informado, antes de os dados pessoais serem comunicados pela primeira vez a terceiros para fins de marketing directo ou utilizados por conta de terceiros, e de lhe ser expressamente facultado o direito de se opor, sem despesas, a tais comunicações ou utilizações.

 

Artigo 13.º

Direito de não sujeição a decisões individuais automatizadas

1 . Qualquer pessoa tem o direito de não ficar sujeita a uma decisão que produza efeitos na sua esfera jurídica ou que a afecte de modo significativo, tomada exclusivamente com base num tratamento automatizado de dados destinado a avaliar determinados aspectos da sua personalidade, designadamente a sua capacidade profissional, o seu crédito, a confiança de que é merecedora ou o seu comportamento.

2 . Sem prejuízo do cumprimento das restantes disposições da presente lei, uma pessoa pode ficar sujeita a uma decisão tomada nos termos do n.º 1, desde que tal ocorra no âmbito da celebração ou da execução de um contrato, e sob condição de o seu pedido de celebração ou execução do contrato ter sido satisfeito, ou de existirem medidas adequadas que garantam a defesa dos seus interesses legítimos, designadamente o seu direito de representação e expressão.

3 . Pode ainda ser permitida a tomada de uma decisão nos termos do n.º 1 quando a entidade competente o autorize, definindo medidas de garantia da defesa dos interesses legítimos do titular dos dados.

 

Artigo 14.º

Direito de indemnização

1. Qualquer pessoa que tiver sofrido um prejuízo decorrente do tratamento ilícito de dados ou de qualquer outro acto que viole disposições legais ou regulamentares em matéria de protecção de dados pessoais tem o direito de obter do responsável pelo tratamento a reparação pelo prejuízo sofrido.

2 . O responsável pelo tratamento pode ser parcial ou totalmente exonerado desta responsabilidade se provar que o facto que causou o dano lhe não é imputável.

3. Havendo subcontratação, aplicam-se as disposições relativas à relação de comissão constantes dos artigos 492.º e seguintes do Código Civil.

 

CAPÍTULO IV

Segurança e confidencialidade do tratamento

 

Artigo 15.º

Segurança do tratamento

1 . O responsável pelo tratamento deve pôr em prática as medidas técnicas e organizativas adequadas para proteger os dados pessoais contra a destruição, acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede, e contra qualquer outra forma de tratamento ilícito; estas medidas devem assegurar, atendendo aos conhecimentos técnicos disponíveis e aos custos resultantes da sua aplicação, um nível de segurança adequado em relação aos riscos que o tratamento apresenta e à natureza dos dados a proteger.

2 . O responsável pelo tratamento, em caso de tratamento por sua conta, deverá escolher um subcontratante que ofereça garantias suficientes em relação às medidas de segurança técnica e de organização do tratamento a efectuar, e deverá zelar pelo cumprimento dessas medidas.

3 . A realização de operações de tratamento em subcontratação deve ser regida por um contrato ou acto jurídico que vincule o subcontratante ao responsável pelo tratamento e que estipule, designadamente, que o subcontratante apenas actua mediante instruções do responsável pelo tratamento e que lhe incumbe igualmente o cumprimento das obrigações referidas no n.º 1.

4 . Os elementos de prova da declaração negocial, do contrato ou do acto jurídico relativos à protecção dos dados, bem como as exigências relativas às medidas referidas no n.º 1, são consignados por escrito em documento  com valor probatório legalmente reconhecido.

 

Artigo 16.º

Medidas especiais de segurança

1 . Os responsáveis pelo tratamento dos dados referidos no n.o 2 do artigo 7.º e no n.º 1 do artigo 8.º devem tomar as medidas adequadas para:

1) Impedir o acesso de pessoa não autorizada às instalações utilizadas para o tratamento desses dados (controlo da entrada nas instalações);

2) Impedir que suportes de dados possam ser lidos, copiados, alterados ou retirados por pessoa não autorizada (controlo dos suportes de dados);

3) Impedir a introdução não autorizada, bem como a tomada de conhecimento, a alteração ou a eliminação não autorizadas de dados pessoais inseridos (controlo da inserção);

4) Impedir que sistemas de tratamento automatizados de dados possam ser utilizados por pessoas não autorizadas através de instalações de transmissão de dados (controlo da utilização);

5) Garantir que as pessoas autorizadas só possam ter acesso aos dados abrangidos pela autorização (controlo de acesso);

6) Garantir a verificação das entidades a quem possam ser transmitidos os dados pessoais através das instalações de transmissão de dados (controlo da transmissão);

7) Garantir que possa verificar-se a posteriori, em prazo adequado à natureza do tratamento, a fixar na regulamentação aplicável a cada sector, quais os dados pessoais introduzidos quando e por quem (controlo da introdução);

8) Impedir que, na transmissão de dados pessoais, bem como no transporte do seu suporte, os dados possam ser lidos, copiados, alterados ou eliminados de forma não autorizada (controlo do transporte).

2 . Tendo em conta a natureza das entidades responsáveis pelo tratamento e o tipo das instalações em que é efectuado, a entidade competente pode dispensar a existência de certas medidas de segurança, garantido que se mostre o respeito pelos direitos, liberdades e garantias dos titulares dos dados.

3 . Os sistemas devem garantir a separação lógica entre os dados referentes à saúde e à vida sexual, incluindo os genéticos, dos restantes dados pessoais.

4 . A entidade competente pode determinar que, nos casos em que a circulação em rede de dados pessoais referidos nos artigos 7.º e 8.º possa pôr em risco direitos, liberdades e garantias dos respectivos titulares, a transmissão seja cifrada.

 

Artigo 17.º

Tratamento por subcontratante

Qualquer pessoa que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, bem como o próprio subcontratante, tenha acesso a dados pessoais não pode proceder ao seu tratamento sem instruções do responsável pelo tratamento, salvo por força de obrigações legais.

 

Artigo 18.º

Sigilo profissional

1 . Os responsáveis do tratamento de dados pessoais, bem como as pessoas que, no exercício das suas funções, tenham conhecimento dos dados pessoais tratados, ficam obrigados a sigilo profissional, mesmo após o termo das suas funções.

2 . Os funcionários, agentes ou técnicos que exerçam funções de assessoria ou consultoria à entidade competente estão sujeitos à mesma obrigação de sigilo profissional.

3. O disposto nos números anteriores não exclui o dever do fornecimento das informações obrigatórias, nos termos legais, excepto quando constem de ficheiros organizados para fins estatísticos.

 

CAPÍTULO V

Transferência de dados pessoais para

local situado fora da RAEM

 

Artigo 19.º

Princípios

1 . A transferência de dados pessoais para local situado fora do território da RAEM só pode realizar-se com o respeito das disposições da presente lei e se o respectivo ordenamento jurídico para onde são transferidos assegurar um nível de protecção adequado.

2 . A adequação do nível de protecção referido no número anterior é apreciada em função de todas as circunstâncias que rodeiem a transferência ou o conjunto de transferências de dados; em especial, devem ser tidas em consideração a natureza dos dados, a finalidade e a duração do tratamento ou tratamentos projectados, os países de origem e de destino final, as regras de direito, gerais ou sectoriais, em vigor no ordenamento jurídico em causa, bem como as regras profissionais e as medidas de segurança que são respeitadas nesse mesmo ordenamento.

3 . Cabe à entidade competente decidir se um  ordenamento jurídico assegura um nível de protecção adequado em função do disposto no número anterior.

 

Artigo 20.º

Derrogações

1 . A transferência de dados pessoais para um ordenamento jurídico que não assegure um nível de protecção adequado na acepção do número 2 do artigo anterior pode ser permitida pela entidade competente se o titular dos dados tiver dado de forma inequívoca o seu consentimento à transferência ou se essa transferência:

1) For necessária para a execução de um contrato entre o titular dos dados e o responsável pelo tratamento ou de diligências prévias à formação do contrato decididas a pedido do titular dos dados; ou

2) For necessária para a execução ou celebração de um contrato celebrado ou a celebrar, no interesse do titular dos dados, entre o responsável pelo tratamento e um terceiro; ou

3) For necessária ou legalmente exigida para a protecção de um interesse público importante, ou para a declaração, o exercício ou a defesa de um direito num processo judicial; ou

4) For necessária para proteger os interesses vitais do titular dos dados; ou

5) For realizada a partir de um registo público que, nos termos de disposições legislativas ou regulamentares, se destine à informação do público e se encontre aberto à consulta do público em geral ou de qualquer pessoa que possa provar um interesse legítimo, desde que as condições estabelecidas na lei para a consulta sejam cumpridas no caso concreto.

2 . Sem prejuízo do disposto no número 1, a entidade competente pode autorizar uma transferência ou um conjunto de transferências de dados pessoais para um ordenamento jurídico que não assegure um nível de protecção adequado na acepção do número 2 do artigo anterior, desde que o responsável pelo tratamento assegure mecanismos suficientes de garantia de protecção da vida privada e dos direitos e liberdades fundamentais das pessoas, bem como do seu exercício, designadamente, mediante cláusulas contratuais adequadas.

3 . A transferência de dados pessoais que constitua medida necessária à protecção da defesa, da segurança pública e da prevenção, investigação e repressão das infracções penais é regida por disposições legais específicas ou pelas convenções e acordos internacionais e acordos inter-regionais a que a RAEM se ache vinculada.

 

CAPÍTULO VI

Notificação e autorização

 

Artigo 21.º

Obrigação de notificação

1 . O responsável pelo tratamento ou, se for caso disso, o seu representante deve notificar a entidade competente antes da realização de um tratamento ou conjunto de tratamentos, total ou parcialmente automatizados, destinados à prossecução de uma ou mais finalidades interligadas.

2 . A entidade competente pode autorizar a simplificação ou a isenção da notificação para determinadas categorias de tratamentos que, atendendo aos dados a tratar, não sejam susceptíveis de pôr em causa os direitos e liberdades dos titulares dos dados e tenham em conta critérios de celeridade, economia e eficiência.

3 . A autorização, que está sujeita a publicação no Boletim Oficial, deve especificar as finalidades do tratamento, os dados ou categorias de dados a tratar, a categoria ou categorias de titulares dos dados, os destinatários ou categorias de destinatários a quem podem ser comunicados os dados e o período de conservação dos dados.

4 . Estão isentos de notificação os tratamentos cuja única finalidade seja a manutenção de registos que, nos termos de disposições legislativas ou regulamentares, se destinem a informação do público e possam ser consultados pelo público em geral ou por quem possa provar um interesse legítimo.

5 . Os tratamentos não automatizados dos dados pessoais previstos no n.º 1 do artigo 7.º estão sujeitos a notificação quando tratados ao abrigo da alínea 1) do n.º 3 do mesmo artigo.

 

Artigo 22.º

Controlo prévio

1 . Carecem de autorização da entidade competente:

1) O tratamento dos dados pessoais a que se referem o n.º 2 do artigo 7.º e o n.º 2 do artigo 8.º;

2) O tratamento dos dados pessoais relativos ao crédito e à solvabilidade dos seus titulares;

3) A interconexão de dados pessoais prevista no artigo 9.º;

4) A utilização de dados pessoais para fins não determinantes da recolha.

2 . Os tratamentos a que se refere o número anterior podem ser autorizados por diploma legal ou regulamentar, não carecendo neste caso de autorização da entidade competente.

 

Artigo 23.º

Conteúdo dos pedidos de parecer ou de autorização e da notificação

Os pedidos de parecer ou de autorização, bem como as notificações, remetidos à entidade competente devem conter as seguintes informações:

1) Nome e endereço do responsável pelo tratamento e, se for o caso, do seu representante;

2) As finalidades do tratamento;

3) Descrição da ou das categorias de titulares dos dados e dos dados ou categorias de dados pessoais que lhes respeitem;

4) Destinatários ou categorias de destinatários a quem os dados podem ser comunicados e em que condições;

5) Entidade encarregada do processamento da informação, se não for o próprio responsável do tratamento;

6) Eventuais interconexões de tratamentos de dados pessoais;

7) Tempo de conservação dos dados pessoais;

8) Forma e condições como os titulares dos dados podem ter conhecimento ou fazer corrigir os dados pessoais que lhes respeitem;

9) Transferências de dados previstas para países ou territórios terceiros;

10) Descrição geral que permita avaliar de forma preliminar a adequação das medidas tomadas para garantir a segurança do tratamento em aplicação dos artigos 15.º e 16.º.

 

Artigo 24.º

Indicações obrigatórias

1 . Os diplomas legais ou regulamentares referidos no n.º 2 do artigo 7.º e no n.º 1 do artigo 8.º, bem como as autorizações da entidade competente e os registos de tratamentos de dados pessoais devem, pelo menos, indicar:

1) O responsável do ficheiro e, se for caso disso, o seu representante;

2) As categorias de dados pessoais tratados;

3) As finalidades a que se destinam os dados e as categorias de entidades a quem podem ser transmitidos;

4) A forma de exercício do direito de acesso e de rectificação;

5) Eventuais interconexões de tratamentos de dados pessoais;

6) Transferências de dados previstas para países ou territórios terceiros.

2 . Qualquer alteração das indicações constantes do n.º 1 está sujeita aos procedimentos previstos nos artigos 21.º e 22.º.

 

Artigo 25.º

Publicidade dos tratamentos

1 . O tratamento dos dados pessoais, quando não for objecto de diploma legal ou regulamentar e dever ser autorizado ou notificado, consta de registo na entidade competente, aberto à consulta por qualquer pessoa.

2 . O registo contém as informações enumeradas nas alíneas 1) a 4) e 9) do artigo 23.º.

3 . O responsável por tratamento de dados não sujeito a notificação está obrigado a prestar, de forma adequada, a qualquer pessoa que lho solicite, pelo menos as informações referidas no n.º 1 do artigo anterior.

4 . O disposto no presente artigo não se aplica a tratamentos cuja única finalidade seja a manutenção de registos que, nos termos de disposições legislativas ou regulamentares, se destinem à informação do público e se encontrem abertos à consulta do público em geral ou de qualquer pessoa que possa provar um interesse legítimo.

5 . A entidade competente publica no seu relatório anual todos os pareceres e autorizações elaborados ou concedidas ao abrigo da presente lei, designadamente as autorizações previstas no n.º 2 do artigo 7.º e no n.º 1 do artigo 9.º.

 

CAPÍTULO VII

Códigos de conduta

 

Artigo 26.º

Códigos de conduta

A entidade competente incentiva e apoia a elaboração de códigos de conduta destinados a contribuir, em função das características dos diferentes sectores, para a boa execução das disposições da presente lei e, em geral, para uma maior eficácia dos direitos fundamentais ligados à protecção da privacidade.

 

Artigo 27.º

Envio de projectos de códigos de conduta

1. As associações profissionais e outras organizações representativas de categorias de responsáveis pelo tratamento de dados que tenham elaborado projectos de códigos de conduta podem submetê-los à apreciação da entidade competente.

2 . A entidade competente pode declarar a conformidade dos projectos com as disposições legais e regulamentares vigentes em matéria de protecção de dados pessoais.

 

CAPÍTULO VIII

Tutela administrativa e jurisdicional

 

SECÇÃO I

Tutela administrativa e jurisdicional

 

Artigo 28.º

Tutela administrativa e jurisdicional

1. Sem prejuízo do direito de apresentação de queixa à entidade competente, qualquer pessoa pode, nos termos da lei, recorrer a meios administrativos ou jurisdicionais para garantir o cumprimento das disposições legais e regulamentares em matéria de protecção de dados pessoais.

 2. De decisão proferida por tribunal pode sempre recorrer-se para o Tribunal de Última Instância com fundamento em violação de direitos fundamentais garantidos na presente lei, sendo o recurso directo e restrito à questão da violação e tem carácter urgente.

 3. Sem prejuízo do disposto nos números anteriores, há recurso para o tribunal administrativo de actos administrativos ou da simples via de facto de poderes públicos, com fundamento na violação de direitos fundamentais garantidos na presente lei e tem carácter urgente.

 

SECÇÃO II

Infracções administrativas

 

Artigo 29.º

Legislação subsidiária

Às infracções previstas na presente secção é subsidiariamente aplicável o regime geral das infracções administrativas, com as adaptações constantes dos artigos seguintes.

 

Artigo 30.º

Cumprimento do dever omitido

Sempre que a infracção administrativa resulte de omissão de um dever, a aplicação da sanção e o pagamento da multa não dispensam o infractor do seu cumprimento, se este ainda for possível.

 

Artigo 31.º

Omissão ou defeituoso cumprimento de obrigações

1 . As entidades que, por negligência, não cumpram a obrigação de notificação à entidade competente do tratamento de dados pessoais a que se referem os n.os 1 e 5 do artigo 21.º, prestem falsas informações ou cumpram a obrigação de notificação com inobservância dos termos previstos no artigo 23.º, ou ainda quando, depois de notificadas pela entidade competente, mantiverem o acesso às redes abertas de transmissão de dados a responsáveis por tratamento de dados pessoais que não cumpram as disposições da presente lei, praticam infracção administrativa punível com as seguintes multas:

1) Tratando-se de pessoa singular, no mínimo de 2 000 patacas e no máximo de 20 0000 patacas;

2) Tratando-se de pessoa colectiva ou de entidade sem personalidade jurídica, no mínimo de 10 000 patacas e no máximo de 100 000 patacas.

2 . A multa é agravada para o dobro dos seus limites quando se trate de dados sujeitos a controlo prévio, nos termos do artigo 22.º.

 

Artigo 32.º

Infracções administrativas

1 . Praticam infracção administrativa punível com multa de 4 000 a 40 0000 patacas as entidades que não cumprirem alguma das seguintes disposições da presente lei:

1) Observar as obrigações estabelecidas nos artigos 5.º, 10.º, 11.º, 12.º, 13.º, 16.º, 17.º e 25.º, n.º 3.

2 Quando não forem cumpridas as obrigações constantes dos artigos 6.º, 7.º, 8.º, 9.º, 19.º e 20.º, as entidades responsáveis praticam infracção administrativa sancionável com multa de 8 000 a 80 000 patacas.

 

Artigo 33.º

Concurso de infracções

1 . Se o mesmo facto constituir, simultaneamente, crime e infracção administrativa, o agente é punido sempre a título de crime.

2 . As sanções aplicadas às infracções administrativas em concurso são sempre cumuladas materialmente.

 

Artigo 34.º

Punição da negligência e da tentativa

1 . A negligência é sempre punida nas infracções administrativas previstas no artigo 32.º.

2 . A tentativa é sempre punível nas infracções administrativas previstas nos artigos 31.º e 32.º.

 

Artigo 35.º

Aplicação das multas

1 . A aplicação das multas previstas na presente lei compete à entidade competente.

2 . A decisão da entidade competente, constitui título executivo, no caso de não ser impugnada no prazo legal.

 

Artigo 36.º

Destino das receitas cobradas

O montante das importâncias cobradas, em resultado da aplicação das multas, reverte para a RAEM.

 

 

SECÇÃO III

Crimes

 

Artigo 37.º

Não cumprimento de obrigações relativas a protecção de dados

1 . É punido com prisão até um ano ou multa até 120 dias quem intencionalmente:

1) Omitir a notificação ou o pedido de autorização a que se referem os artigos 21.º e 22.º;

2) Fornecer falsas informações na notificação ou nos pedidos de autorização para o tratamento de dados pessoais ou neste proceder a modificações não consentidas pelo instrumento de legalização;

3) Desviar ou utilizar dados pessoais, de forma incompatível com a finalidade determinante da recolha ou com o instrumento de legalização;

4) Promover ou efectuar uma interconexão ilegal de dados pessoais;

5) Depois de ultrapassado o prazo que lhes tiver sido fixado pela entidade competente para cumprimento das obrigações previstas na presente lei ou em outra legislação de protecção de dados, as não cumprir;

6) Depois de notificado pela entidade competente para o não fazer, mantiver o acesso a redes abertas de transmissão de dados a responsáveis pelo tratamento de dados pessoais que não cumpram as disposições da presente lei.

2 . A pena é agravada para o dobro dos seus limites quando se tratar de dados pessoais a que se referem os artigos 7.º e 8.º.

 

Artigo 38.º

Acesso indevido

1 . Quem, sem a devida autorização, por qualquer modo, aceder a dados pessoais cujo acesso lhe está vedado, é punido com prisão até um ano ou multa até 120 dias.

2 . A pena é agravada para o dobro dos seus limites quando o acesso:

1) For conseguido através de violação de regras técnicas de segurança;

2) Tiver possibilitado ao agente ou a terceiros o conhecimento de dados pessoais;

3) Tiver proporcionado ao agente ou a terceiros, benefício ou vantagem patrimonial.

3 . No caso do número 1 o procedimento criminal depende de queixa.

 

Artigo 39.º

Viciação ou destruição de dados pessoais

1 . Quem, sem a devida autorização, apagar, destruir, danificar, suprimir ou modificar dados pessoais, tornando-os inutilizáveis ou afectando a sua capacidade de uso, é punido com prisão até dois anos ou multa até 240 dias.

2 . A pena é agravada para o dobro nos seus limites se o dano produzido for particularmente grave.

3 . Se o agente actuar com negligência, a pena é, em ambos os casos previstos nos números anteriores, de prisão até um ano ou multa até 120 dias.

 

Artigo 40.º

Desobediência qualificada

1 . Quem, depois de notificado para o efeito, não interromper, cessar ou bloquear o tratamento de dados pessoais é punido com a pena correspondente ao crime de desobediência qualificada.

2 . Na mesma pena incorre quem, depois de notificado:

1) Recusar, sem justa causa, a colaboração que concretamente lhe for exigida pela entidade competente;

2) Não proceder ao apagamento, destruição total ou parcial de dados pessoais;

3) Não proceder à destruição de dados pessoais, findo o prazo de conservação previsto no artigo 5.º.

 

Artigo 41.º

Violação do dever de sigilo

1 . Quem, obrigado a sigilo profissional, nos termos da lei, sem justa causa e sem o devido consentimento, revelar ou divulgar no todo ou em parte dados pessoais é punido com prisão até dois anos ou multa até 240 dias.

2 . A pena é agravada de metade dos seus limites se o agente:

1) For funcionário público ou equiparado, nos termos da lei penal;

2) For determinado pela intenção de obter qualquer vantagem patrimonial ou outro benefício ilegítimo;

3) Puser em perigo a reputação, a honra e consideração ou a intimidade da vida privada de outrem.

3 . A negligência é punível com prisão até seis meses ou multa até 120 dias.

4 . Fora dos casos previstos no número 2, o procedimento criminal depende de queixa.

 

Artigo 42.º

Punição da tentativa

Nos crimes previstos nas disposições anteriores, a tentativa é sempre punível.

 

Artigo 43.º

Pena acessória

Conjuntamente com as multas e penas aplicadas pode, acessoriamente, ser ordenada:

1) A proibição temporária ou definitiva do tratamento, o bloqueio, o apagamento ou a destruição total ou parcial dos dados;

2) A publicidade da sentença condenatória;

3) A advertência ou censura públicas do responsável pelo tratamento, pela entidade competente.

 

Artigo 44.º

Publicação de decisão condenatória

 

1 . A publicidade da decisão condenatória faz-se a expensas do condenado, em uma publicação periódica de grande expansão em língua chinesa e identicamente em uma outra em língua portuguesa, bem como através da afixação de edital em suporte adequado, por período não inferior a 30 dias.

2 . A publicação é feita por extracto de que constem os elementos da infracção e as sanções aplicadas, bem como a identificação do agente.

 

CAPÍTULO IX

Disposições finais e transitórias

 

Artigo 45.º

Disposição transitória

1 . Os tratamentos de dados existentes em ficheiros manuais à data da entrada em vigor da presente lei devem cumprir o disposto nos artigos 7.º, 8.º, 10.º e 11.º no prazo de dois anos.

2 . Em qualquer caso, o titular dos dados pode obter, a seu pedido e, nomeadamente, aquando do exercício do direito de acesso, a rectificação, o apagamento ou o bloqueio dos dados incompletos, inexactos ou conservados de modo incompatível com os fins legítimos prosseguidos pelo responsável pelo tratamento.

3 . A entidade competente pode autorizar que os dados existentes em ficheiros manuais e conservados unicamente com finalidades de investigação histórica não tenham que cumprir os artigos 7.º, 8.º e 9.º, desde que não sejam em nenhum caso reutilizados para finalidade diferente.

 

Artigo 46.º

Entrada em vigor

A presente lei entra em vigor 90 dias após a sua publicação.

Aprovada em    de     2005.

A Presidente da Assembleia Legislativa, Susana Chou.

Assinada em       de       2005.

        Publique-se.

O Chefe do Executivo, Ho Hau Wah.