Archivos de la etiqueta: Legislacion de Cabo Verde

10Jul/18

Lei nº 133/V/2001, de 22 de Janeiro, estabelece o regime jurídico de tratamento de dados pessoais a pessoas singulares

Cabo Verde, Ley, , , ,

Lei nº 133/V/2001, de 22 de Janeiro, estabelece o regime jurídico de tratamento de dados pessoais a pessoas singulares

O Programa do Governo para o sector da justiça confere especial importância à reforma e modernização legislativas.

Com efeito, estabelece aquele Programa que o Governo promoverá a aprovação de «legislação que assegure … a tutela jurídica a um grande número de direito e a punição de inúmeras violações de lei, hoje praticamente sem garantia ou resposta…»

O domínio da protecção dos direitos, liberdades e garantias fundamentais dos cidadãos, designadamente o da protecção de dados pessoais, é, seguramente, um dos que carece de uma profunda regulamentação.

Trata-se de um domínio de capital importância e que mereceu consagração expressa no texto constitucional.

Efectivamente, a Constituição de República regula (artigo 44º), de forma relativamente pormenorizada ,a matéria de utilizaçao de meios informáticos e protecção de dados pessoais, estabelecendo (artigo 44º, nº 1), que todos «os cidadãos têm direitos de acesso aos dados informatizados que lhes digam respeito, podendo exigir a sua rectificação e actualização, bem como o direito de conhecer a finalidade a que se destinam, nos termos da lei». Estabelece, ainda, a Constituição da República ( artigo 44º, nº 3) que a «lei regula a protecção de dados pessoais constantes dos registos informáticos, as condições de acesso aos bancos de dados de constituição e de utilização por autoridades públicas e entidades privadas de tais bancos ou de suportes informáticos dos mesmos».

É, pois, neste contexto político-constitucional que se insere a aprovação da presente lei, a qual regulamenta o texto constitucional e surge com o regime quadro em mat´eria de protecção de dados pessoais.

A lei estabelece com clareza o regime dos direito dos titulares dos dados («direito de informação», «direito de acesso», «direito de opção» e «direito de não sujeição a decisão individuaais automatizadas»), regime esse de capital importância para a salvaguardar dos direitos, liberdades e garantias. Fundamentais dos cidadãos consagrados na Constituição da República.

A matéria de segurança e confidencialidade dos dados foi, também, objecto de um cuidadoso regime, salvaguardadopelo sigilo profissional, enquanto elemento de garantía do seu cumprimento rigoroso.

Estabeleceram-se importantes princípios relativos à transferências de dados pessoas, atribuindo a comissões parlamentar de fiscalização um papel de capital importância, bem como os casos de derrogação.

A fiscalização do cumprimento de toda a legislação em matéria protecção de dados pessoais foi atribuída à Assembleia Nacional, através de uma comissão parlamentar, a ser criado por lei específica, com natureza de autoridade administrativa independente e com amplos poderes de autoridade, quer de fiscalização prévia, quer à posteriori. A fiscalização pelo parlamento não dispensa, contudo, a fiscalização jurisdicional, através dos tribunais.

Para garantir o respeito pelos direitos, liberdades e garantias fundamentais dos cidadãos, o diploma estabelece um leque importante de infracções e sanções, distinguindo os casos de contra-ordenação dos de crimes.

Assim,

Tornando-se pois, necessário proceder à regulamentação do texto constitucional;

Por mandato do Povo, a Assembleia Nacional decreta, nos termos da alínea b) do artigo 147º e m) do artigo 175º da Constituição, o seguinte:

 

CAPÍTULO I.- Disposições gerais

 

Artigo 1º.- (Objecto)

A presente lei estabelece o regime jurídico geral de protecção de protecção de dados pessoais das pessoas singulares.

 

Artigo 2º (Âmbito de aplicação)

1. A presente lei aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meio não automatizados de dados pessoais contidos em ficheiros manuais ou a estes destinados.

2. A presente lei aplica-se ao tratamento de dados pessoais efectuados:

a) No âmbito das actividades de estabelecimento do responsável do tratamento situado em território nacional;

b) Fora do território nacional, em local onde a legislação cabo-verdiana seja aplicável por força do direito internacional;

c) Por responsável que, não estando estabelecido no território nacional, recorra, para tratamento de dados pessoais, a meios, automatizados ou não, situados no território nacional, salvo se esses meios só forem utilizados para trânsito.

3. A presente lei aplicá-se à video-vigilância e outras formas de captação, tratamentos e difusão de sons e imagens que permitam identificar pessoas sempre que o responsável pelo tratamento esteja domicialiado ou sediado em território nacional ou recorra a um fornecedor de acesso a redes informáticas e telemáticas aí estabelecido.

4. No caso referido na alínea c) do n.º 2, o responsável pelo tratamento deve designar, mediante comunicação à Comissão Parlamentar de Fiscalização, um representante estabelecido em território nacional, que se lhe substitua em todos os seus direitos e obrigações, sem prejuízo da sua própria responsabilidade.

5. O disposto no número anterior aplica-se no caso de o responsável pelo tratamento estar abrangido por estatuto de extraterritorialidade, de imunidade ou por qualquer outro que impeça o procedimento criminal.

6. A presente lei aplica-se ao tratamento de dados pessoais que tenham por objectivo a segurança pública, a defesa nacional e a segurança do Estado, sem prejuíso do disposto em normas especiais constantes de instrumentos de direito internacinal a que Cabo Verde se vincule e de legislação específica atinente aos respectivos sectores.

 

Artigo 3º.- (Exclusão do âmbito de aplicação)

A presente lei não se aplica ao tratamento de dados pessoais efectuados por pessoas singulares no exercício de actividades exclusivamente pessoais ou doméstica.

 

Artigo 4º.- (Princípios geral)

O tratamento de dados pessoais deve processar-se de forma transparente e no estrito respeito pela reserva da intimidade da vida privada e familiar, bem como pelos direitos, liberdades e garantias fundamentais do cidadão.

 

Artigo 5º.- (Definições)

1. Para efeitos da presente lei, entende-se por:

a) «Dados pessoais»: qualquer informação, de qualquer natureza é independentemente do respectivo suporte, incluindo som e imagem relativa a uma pessoa singular identificada ou identificável, «títular dos dados»;

b) «Tratamento de dados pessoais» ou «Tratamento»: qualquer operação ou conjunto de operações sobre dados pessoais efectuadas, total ou parcialmente, com ou sem meios autorizados, tais como a recolha, o registo, a organização, a conversação , a adaptação ou alteração, a recuperação, a consulta, a utilização, a comunicação por transmissão, por difusão ou por qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, o apagamento ou a destruição;

c) «Ficheiro de dados pessoais» ou «Ficheiro»: qualquer conjunto estruturados de dados pessoais, acessível segundo critérios determinados, quer seja centralizados, descentralizados ou repartido de modo funcional ou geográfica;

d) «Responsável pelo tratamento»: a pessoa singular ou colectiva, a autoridade pública o serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamentos dos dados pessoais;

e) «Subcontratante»: a pessoa singular ou colectiva, a autoridade pública o serviço, ou qualquer outro organismo que trate os dados pessoais por conta do responsável pelo tratamento;

f) «Terceiro»: a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que, não sendo o titular dos dados, o responsável pelo tratamento, o subcontratante ou outra pessoa sob autoridade directa do responsável pelo tratamento ou do subcontratante, esteja habilitado a tratar os daos;

g) «Destintário»: a pessoa singuar ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo a quem sejam comunicados dados pessoais, independentemente de se tratar ou não de um terceiro, sem prejuízo de não serem consideradas destinatários as autoridaes a quem sejam comunicados dados no âmbito de uma disposição legal;

h) «Consentimento do titular dos dados»: qualquer manifestação de vontade, livre, específica e informada, nos termos da qual o titular que os seus dados pessoais sejam objectos de tratamento;

i) « Interconexão de dados»: forma de tratamento que consiste na possibilidade de relacionamento dos dados de um ficheiro com os dados de um ficheiro ou ficheiros mantidos por outro ou outros responsáveis, ou mantidos pelo mesmo responsável com outra finalidade.

2. Para efeito do disposto na alínea a) do número anterior, é considerada identificável a pessoa que possa ser identificada, directa ou indirectamente, designadamente por referencia a um número de identificaçaõ ou a um ou mais elementos específicos da sua identidade física, fisiologica, psíquica, económica, cultural ou social.

3. Para efeito do disposto na alínea d) do número anterior, sempre que as finalidades e os meios de tratamento sejam determinados por disposições legislativas ou regulamentares, o responsável pelo tratamento deve ser indicado na lei de organização e funcionamento ou no estatuto da entidade legal ou estatutariamente competente para tratar dos dados pessoais em causa.

 

CAPÍTULO II.- Tratamento de dados pessoais

 

SECÇÃO I.- Qualidades de dados e legitimidade do seu tratamento

 

Artigo 6º.- (Qualidade dos dados)

1. Os dados pessoais devem ser:

a) Tratados de forma legal, lícita e com respeito pelo princípio da boa fé;

b) Recolhidos para finalidades determinadas, explicitas e legítimas, não podendo ser posteriormente tratados de formas incompatível com essas finalidades;

c) Adequados, pertinentes e não excessivos relativamentes às finalidades para que não são recolhidos e posteriormente tratados;

d) Exactos e, se necessários, actualizados, devendo ser tomadas as medidas adequadas para assegurar que sejam apagados ou rectificados inexactos ou incompleto, tendo em conta as finalidades para que não foram recolhidos ou para que são tratados posteriormente;

e) Conservar de forma a permitir a identificação dos seus titulares apenas durante o período necessário para a prossecução das finalidades da recolha ou do tratamento posterior.

2. Tratamento posterior dos dados para fins históricos, estatísticos ou científicos bem como a sua conservação para os mesmos fins por período superior ao referido na alínea e) do número anterior, podem ser autorizados pela Comissão Parlamentar de Fiscalização em caso de interesse legítimo do responsável pelo tratamento, desde que não prevaleçam os direitos, liberdades e garantias do titular de dados .

3. Cabe ao responsável pelo tratamento assegurar a observância do disposto nos números anteriores .

 

Artigo 7º.- (Condições de legitimidade do tratamento de dados)

O tratamento de dados pessoais só pode ser efectuado se o seu titular tiver dado de forma inequívoca o seu consentimento ou se o tratamento for necessário para:

a) Execução de contrato em que o titular dos dados seja parte ou de diligências prévias efectuadas a seu pedido;

b) Cumprimento de obrigação legal a que o responsável pelo tratamento esteja sujeito;

c) Protecção de interesses vitais do titular dos dados, se este estiver física ou legalmente incapaz de dar o seu consentimento;

d) Execução de uma missão de interesse público ou no exercício de autoridade pública em que esteja investido o responsável pelo tratamento ou um terceiro a quem os dados sejam comunicados;

e) Prossecução de interesses legítimos do responsável pelo tratamento ou de terceiro a quem os dados sejam comunicados, desde que não prevalecem os interesses ou os direitos, liberdades e garantias do titular dos dados.

 

Artigo 8º.- (Tratamento de dados sensíveis)

1. É proibido o tratamento de dados pessoais relativos às convicções ou punições políticas, filosóficas ou ideológicas, à fé religiosa, à filiação partidária ou sindical, à origen racial ou étnica, à vida privada, à saúde e à vida sexual, incluindo os dados genéticos, salvo:

a) Mediante consentimento expresso do titular, com garantias de não discriminação e com as medidas de segurança adequadas;

b) Mediante autorização prevista na lei, com garantias de não discriminação e com as medidas de segurança adequadas;

c) Quando se destinem a processamento de dados estatísticos não individualmente identífiacáveis, com as medidas de segurança adequadas.

2. Na concessão de autorização prevista na alínea b) do número anterior a lei deve ater-se, designadamente, à indispensabilidade do tratamento dos dados pessoais referidos no n.º 1 para o exercício das atribuições legais ou estatutárias do seu responsável, por motivos de interesse público importante.

3. O tratamento dos dados referidos no n.º 1 é ainda permitido quando se verificar uma das seguintes condições:

a) Ser necessário para proteger interesses vitais do titular dos dados ou de uma outra pessoa e o titular dos dados estiver física ou legalmente incapaz de dar o seu consentimento;

b) Ser efectuado, com o consentimento do titular, por fundação, associação ou organismo sem fins lucrativos de caráter político, filosófico, religioso ou sindical, no âmbito das suas actividades legítimas, sob condição de o tratamento respeitar apenas aos membros dessa fundação, associação ou desse organismo ou às pessoas com quem ele mantenha contactos períodicos ligados às suas finalidades legítimas, e de os dados não serem comunicados a terceiros sem consentimento dos seus titulares;

c) Dizer respeito a dados manifestamente tornados públicos pelo seu titular, desde que se possa legitimamente deduzir das suas declarações oconsentimento para o tratamento dos mesmos;

d) Ser necessário à declaração, exercício ou defesa de um direito em proceso judicial e for efectuado exclusivamente com essa finalidade.

4. O tratamento dos dados pessoais referentes à saúde e à vida sexual, incluindo os dados genéticos, é permitido quando for necessário para efeitos de medicina preventiva, de diagnóstico médico, de prestação de cuidados ou tratamentos médicos ou de gestão de serviços de saúde, desde que o trtamento desses dados seja efectuado por um profissional de saúde obrigado ao segredo profissional ou por outra pessoa igualmente sujeita a uma obrigação de segredo equivalente, tenha sido notificada a Comissão Parlamentar de Fiscalização nos termos do artigo 23º, e sejam garantidas medidas adequadas de segurança da informação.

5. O tratamento dos dados referidos no número 1 pode ainda ser efectuado, com medidas adequadas de segurança da informação, quando se mostrar indispensável à protecção da segurança do Estado, da defessa da segurança públic e da prevebção, investigação ou repressão de infracções penais.

 

Artigo 9º.- (Registos de actividades ilícitas, condenações penais, medidas de segurança, infracções e contra-ordenações)

  1. A criação e a manutenção de registos centrais relativos a pessoas suspeitas de actividades ilícitas, condenações penais, decisões que apliquem medidas de segurança, coimas e sanções acessórias e infracções e contra-ordenações só podem ser mantidas por serviços públicos com essa competência legal, observando normas procedimentais e de protecção de dados previstas em diploma legal.
  2. O tratamento de dados pessoais relativos a suspeitas de actividades ilícitas, condenações penais, decisões que impliquem medidas de segurança, coimas e sanções acessórias e infracções e contra-ordenações pode ser autorizado, observadas as normas de protecção de dados e de segurança da informação, quando tal tratamento for necessário à execução de finalidades legítimas do seu responsável, desde que não prevaleçam os direitos, liberdades e garantias do titular dos dados.
  3. O tratamento de dados pessoais para fins de investigação policial deve limitar-se ao necessário para a prevenção de um perigo concreto ou repressão de uma infracção determinada, para o exercício de competência previstas no respectivo estatuto orgânico ou noutra disposição legal e ainda nos termos de acordo, tratamento ou convenção internacional internacional de que Cabo Verde seja parte.

 

Artigo 10º.- (Interconexão de dados pessoais)

  1. Sem prejuízo de proibição expressa na lei, a interconexão de dados pessoais que não esteja estabelecida em disposição legal está sujeita a autorização da Comissão Palamentar de Fiscalização solicitada pelo responsável ou em conjunto pelos correspondentes responsáveis dos tratamentos, nos termos do artigo 23º.
  2. A interconexão de dados pessoais deve ser necessária e adequada à prossecução das finalidades legais ou estatutárias e de interesses legítimos dos responsáves dos tratamentos, não implicar discriminação ou diminuição dos direitos, liberdades e garantias fundamentais dos titulares dos dados, ter em conta o tipo de dados objecto de interconexão e ser rodeada de adequadas medidas de segurança.

 

SECÇÃO II.- Direitos do titular dos dados

 

Artigo 11º.- (Direito de informação)

1. Quando recolher dados pessoais directamente do seu titular, o responsável pelo tratamento ou o seu representante deve prestar-lhe, salvo se já forem dele conhecidas, as seguintes informações:

a) Identidade do responsável pelo tratamento e, se for caso disso, do seu representante;

b) Finalidades do tratamento;

c) Os destinatários ou categorias de destinatários dos dados;

d) O carácter obrigatório ou facultativo da resposta, bem como as possíveis consequências se não dados;

e) A existência e as condições do direito de acesso e de rectificação, desde que sejam necessárias, tendo em conta as circunstâncias específicas da recolha dos dados, para garantir ao seu titular um tratamento leal dos mesmos;

f) A decisão de comunicação dos seus dados pessoais pela primeira vez a terceiros para os fins previstos na alínea b) do artigo 13º, previamente e com a indicação expressa de que tem direito de se opor a essa comunicação;

g) A decisão de os seus dados pessoais serem utilizados por conta de terceiros, previamente e com a indicação expressa de que tem o direito de se opor a essa utilização.

2. Os documentos que sirvam de base à recolha de dados pessoais devem conter as informações constantes do número anterior.

3. Se os dados não forem recolhidos junto do seu titular e salvo se dele já forem conhecidas, o responsável pelo tratamento, ou o seu representante, deve prestar-lhe as informações previstas no número 1 no momento do registo dos dados ou, se estiver prevista a comunicação a terceiros, o mais tardar aquando da primeira comunicação desses dados.

4. No caso de recolha de dados em redes abertas, o titular dos dados deve ser informado, salvo se disso já tiver conhecimento, de que os seus dados pessoais podem circular na rede sem condições de segurança, correndo o resco de serem vistos e utilizados por terceiros não autorizados.

5. A obrigação de informação é dispensada por motivos de segurança do Estado, prevenção e investigação criminal, e bem assim, quando, nomeadamente no caso do tratamento de dados com finalidades estatísticas, históricas ou de investigação científica, a informação do titular dos dados se revelar impossível ou implicar esforços desproporcionados ou ainda quando a lei determinar expressamente o registo dos dados ou a sua divulgação.

6. A obrigação de informação não se aplica ao tratamento de dados efectuado para fins exclusivamente jornalísticos ou de expressão artística ou literária, salvo quando estiverem em causa direitos, liberdades e garantias dos titulares dos dados.

 

Artigo 12º.- (Direito de acesso)

1. O titular dos dados tem o direito de obter do responsável pelo tratamento, libremente e sem restrições, com periodicidade razoável e sem demoras ou custos excessivos:

a) A confirmação de serem ou não tratados dados que lhe digam respeito, bem como informação sobre as finalidades desse tratamento, as categorias de dados sobre que incide e os destinatários ou as categorias de destinatários a quem são comunicados os dados;

b) A comunicação, sob forma inteligível, dos seus dados sujeitos a tratamento e de quaisquer informações disponíveis sobre a origem desses dados;

c) O conhecimento da lógica subjacente ao tratamento automatizado dos dados que lhe digam respeito, no que se refere às decisões automatizadas referidas no número 1 do artigo 14º;

d) A rectificação, o pagamento ou o bloqueio dos dados cujo tratamento não respeitar o disposto na presente lei, nomeadamente devido ao carácter incompleto ou inexacto desses dados;

e) A notificação aos terceiros a quem os dados tenham sido comunicados de qualquer rectificação, apagamento ou bloqueio efectuado nos termos da alínea d), salvo se isso for comprovadamente impossível ou implicar um esforço desproporcionado.

2. Nos casos previstos nos n.ºs 4 e 5 do artigo 8º, o direito de acesso é exercido através da Comissão Parlamentar de Fiscalização.

3. No caso previsto no n.º 6 do artigo anterior, o direito de acesso é exercido através da Comissão Parlamentar de Fiscalização, com a salvaguarda das normas constitucionais aplicáveis, designadamente as que garantem a liberdade de expressão e informação, a liberdade de imprensa e a independência e sigilo profissional dos jornalistas.

4. Nos casos previstos nos n.ºs 2 e 3 deste artigo, se a cumunicação dos dados ao seu titular puder prejudicar a segurança do Estado, a prevenção ou a investigação criminal ou ainda a liberdade de expressão e informação ou a liberdade de imprensa, a Comissão Parlamentar de Fiscalização limita-se a informar o titular dos dados das diligências efectuadas.

5. O direito de acesso à informação relativa a dados da saúde, incluindo os dados genéticos, é exercido por intermédio de médico escolhido pelo titular dos dados.

6. No caso de os dados não serem utilizados para tomar medidas ou decisões em relação a pessoas determinadas, a lei pode restringir o direito de acesso nos casos em que manifestamente não exista qualquer perigo de violação dos direitos, liberdades e garantías do titular dos dados, designadamente do direito à sua intimidade da vida privada, e os referidos dados forem exclusivamente utilizados para fins de investigação científica ou conservado sob forma de dados pessoais durante um período que não exceda o necessário à finalidade exclusiva de elaborar estatísticas.

 

Artigo 13º.- (Direito de oposição)

O titular dos dados tem o direito de:

a) Salvo disposição legal em contrário, e pelo menos nos casos referidos nas alíneas d) e e) do artigo 7º, se opor em qualquer altura, por razões ponderosas e legítimas relacionadas com a sua situação particular, a que os dados que lhe digam respeito sejam objecto de tratamento, devendo, em caso de oposição justificada, o tratamento efectuado pelo responsável deixar de poder incidir sobre esses dados;

b) Se opor, a seu pedido e gratuitamente, ao tratamento dos dados pessoais que lhe digam respeito previsto pelo responsável pelo tratamento para efeitos de «marketing» directo ou qualquer outra forma de prospecção;

c) Se opor, sem despesas, a que os seus dados pessoais sejam comunicados pela primeira vez a terceiros para os fins previstos na alínea anterior ou utilizados por conta de terceiros.

 

Artigo 14º.- (Não sujeição a decisões individuais automatizadas)

  1. Qualquer pessoa tem o direito de não ficar sujeita a uma decisão que produza efeitos na sua esfera jurídica ou que a afecte de modo significativo, tomada exclusivamente com base num tratamento automatizado de dados destinado a avaliar determinados aspectos da sua personalidade, designadamente a sua capacidade profissional, o seu crédito, a confiança de que é merecedora ou o seu comportamento.
  2. Sem prejuízo do cumprimento das restantes disposições da presente lei, uma pessoa pode consentir em ser sujeita a uma decisão tomada nos termos do número 1, desde que tal ocorra no âmbito da celebração ou da execução de um contrato, e sob condição de o seu pedido de celebração ou execução do contrato ter sido satisfeito, ou de existirem medidas adequadas que garantam a defesa dos seus interesses legítimos e de expor o seu ponto de vista, designadamente o seu direito de representação e expressão.
  3. Pode ainda ser permitida a tomada de uma decisão nos termos do número 1, quando autorizadas pela Comissão Parlamentar de Fiscalização e desde que sejam tomadas medidas de garantia da defesa dos interesses legímos do titular dos dados.

 

SECÇÃO III.- Segurança e confidencialidade do tratamento

 

Artigo 15º.- (Segurança do tratamento)

  1. O responsável pelo tratamento deve pôr em prática as medidas técnicas e organizativas adequadas para proteger os dados pessoais contra a destruição, acidental ou ilícita, a perda aidental, a alteração, a difusão ou o acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede, e contra qualquer outra forma de tratamento ilícito.
  2. As medidas previstas no número anterior devem assegurar, atendendo aos conhecimentos técnicos disponíveis e aos custos resultantes da sua aplicação, um nível de segurança adequado em relação aos riscos que o tratamento apresenta e à natureza dos dados a proteger.
  3. O responsável pelo tratamento, em caso de tratamento por sua conta, deverá escolher um subcontratante que ofereça garantias suficientes em relação às medidas de segurança técnica e de organização do tratamento a efectuar, e deverá zelar pelo cumprimento dessas medidas.
  4. A realização de operações de tratamento em subcontatação deve ser regida por um contrato ou acto jurídico que vincule o subcontratante ao responsável pelo tratamento e que estipule, designadamente, que o subcontratante apenas actua mediante instruções do responsável pelo tratamento e que lhe incumbe igualmente i cumprimento das obrigações referidas nos n.ºs 1 e 2.
  5. Para efeitos de conservação de provas, os elementos da declaração negocial, do contrato ou do acto jurídico relativos à protecção dos dados, bem como as exigencias relativas às medidads referidas nos nºs 1 e 2 são consignados por escrito ou em suporte equivalente, de preferência, com valor probatório legalmente reconhecido.

 

Artigo 16º.- (Medidas especiais de segurança)

1. Os responsáveis pelo tratamento dos dados referidos nas alíneas do número 1, nos números 2 e 5 do artigo 8º e no número 1 do artigo 9º devem tomar as medidas adequadas e acrescidas de segurança da informação, designadamente para:

a) Impedir o acesso de pessoa não autorizada às instalações utilizadas para o tratamento desses dados (controlo da entrada nas instalações);

b) Impedir que suportes de dados possam ser lidos, copiados, alterados por pessoa não autorizada (controlo dos suportes de dados);

c) Impedir a introdução não autorizada, bem como a tomada de conhecimento, a alteração ou a eliminação não autorizadas de dados pessoais inseridos (controlo da inserção);

d) Impedir que sistemas de tratamento automatizados de dados possam ser utilizados por pessoas não autorizadas através de instalações de transmissão de dados (controlo da utilização);

e) Garantir que as pessoas autorizadas só possam ter acesso aos dados abragidos pela autorização (controlo de acesso);

f) Garantir a verificação das entidades a quem possam ser transmitidos os dados pessoais através das instalações de transmissão de dados (controlo da tranmissão);

g) Garantir que possa verificar-se, a posteriori, em prazo adequado à natureza do tratamento, a fixar na regulamentação aplicável a cada sector, quais os dados pessoais introduzidos, quando e por quem (controlo da introdução);

h) Impedir que, na transmissão de dados pessoais, bem como no transporte do seu suporte, os dados possam ser lidos, copiados, alterados ou eliminados de forma não autorizada (controlo do transporte).

2. Tendo em conta a natureza das entidades responsáveis pelo tratamento e o tipo das instalações em que é efectuado, a Comissão Parlamentar de Fiscalização pode dispensar a existência de certas medidas de segurança, garantido que se mostre o respeito pelos direitos, liberdades e garantias dos titulares dos dados.

3. Os sistemas devem garantir a separação lógica entre os dados referentes à saúde e à vida sexual, incluindo os genéticos, dos restantes dados pessoais.

4. A Comissão Parlamentar de Fiscalização pode determinar que a transmissão seja cifrada, nos casos em que a circulação em rede de dados pessoais referidos nos artigos 8º e 9º possa pôr em risco direitos, liberdades e garantias dos respectivos titulares.

 

Artigo 17º.- (Confidencialidade do tratamento)

Qualquer pessoa que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, bem como o próprio subcontratante, tenha acesso a dados pessoais, não pode proceder ao seu tratamento sem instruções doresponsável pelo tratamento, salvo por força de obrigações legais.

 

Artigo 18º.- (Sigilo profissional)

  1. Os responsáveis do tratamento de dados pessoais, bem como as pessoas que, no exercício das suas funções, tenham conhecimento dos dados passoais tratados, ficam obrigados a sigilo profissional, mesmo após o termo das suas funções.
  2. Igual obrigação recai sobre os membros da Comissão Parlamentar de Fiscalização, mesmo o termo do mandato.
  3. O disposto nos números anteriores não exclui o dever do fornecimento das informações obrigatórias, nos termos legais, excepto quando constem de ficheiros organizados para fins estatísticos.
  4. O pessoal que exerça funções de assessoria à Comissão Parlamentar de Fiscalização ou aos membros está sujeito à mesma obrigação de sigilo profissional.

 

CAPÍTULO III.- Transferência de dados pessoais

 

Artigo 19º.- (Princípios)

  1. Sem prejuízo no disposto no artigo seguinte, a transferência de dados pessoais que sejam objecto de tratamento ou que se destinam a sê-lo, só pode realizar-se com respeito das disposições da presente lei e demais legislação aplicável em matéria de protecção de dados pessoais e, tratando-se de transferência para o estrangeiro, para o país que asegurar um nível de protecção adequado.
  1. A adequação do nível de protecção é apreciada em função de todas as circunstancias que rodeiem a transferência ou o conjunto de transferências de dados, em especial, a natureza dos dados, a finalidade e a duração do tratamento ou tratamentos projectados, os países de origem e de destino final, as regras de direito, gerais ou sectoriais, em vigor no país em causa, bem como as regras profissionais e as medidas de segurança que são respeitadas nesse país.
  2. Cabe à Comissão Parlamentar de Fiscalização decidir se um Estado estrangeiro assegure um nível de protecção adequado.
  3. A Comissão Parlamentar de Fiscalização comunica ao Primeiro Ministro os casos em que tenha considerado que um Estado estrangeiro não assegura um nível de protecção adequado.

 

Artigo 20º.- (Derrogações)

1. A transferência de dados pessoais para um país que não assegure um nível de protecção adequado na acepção do n.º 2 do artigo anterior pode ser permitida pela Comissão Parlamentar de Fiscalização se o titular dos dados tiver dado de forma inequívoca o seu consentimento à transferência ou se essa transferência:

a) For necessária para a execução de um contrato entre o titular dos dados e o responsável pelo tratamento ou de diligências prévias à formação do contrato decididas a pedido do titular dos dados;

b) For necessária para a execução ou celebração de um contrato outorgado ou a outorgar, no interesse do titular dos dados, entre o responsável pelo tratamento e um terceiro;

c) For necessária ou legalmente exigida para a protecção de um interesse público importante, ou para a declaração, o exercício ou a defesa de um direito num processo judicial;

d) For necessária para proteger os interesses vitais do titular dos dados;

e) For realizada a partir de um registo público que, nos termos de disposições legislativas ou regulamentares, se destine à informação do público e se encontre aberto à consulta do público em geral ou de qualquer pessoa que possa provar um interesse legítimo, desde que as condições estabelecidas na lei para a consulta sejam cumpridas no caso concreto.

2. Sem prejuízo do disposto no número 1, pode ser autorizada pela Comissão Parlamentar de Fiscalização uma transferência ou um conjunto de transferências de dados pessoais para um país que não assegure um nível de protecção adequado na acepção do número 2 do artigo anterior, desde que o responsável pelo tratamento apresente garantias suficientes de protecção da vida privada e dos direito e liberdades fundamentais das pessoas, assim como do seu exercício, designadamente, mediante cláusula contratuais adequadas.

3. A Comissão Parlamentar de Fiscalização comunica ao Primeiro Ministro das autorizações que conceder nos termos do número anterior.

4. A transferência de dados pessoais que constitua medida necessária à protecção da segurança do Estado, da defesa, da segurança pública e da prevenção, investigação e repressão das infracções penais é regida por disposições legais específicas ou pelas convenções, tratados e acordos internacionais em que Cabo Verde é parte.

 

CAPÍTULO IV.- Autoridade nacional para a fiscalização de protecção de dados pessoais

 

Secção I.- Disposições gerais

 

Artigo 21º.- (Objectivos da fiscalização)

A fiscalização da protecção de dados pessoais visa acompanhar, avaliar e controlar a actividade dos órgãos ou serviços legalmente competentes para o seu tratamento, velando pelo cumprimento da Constituição e da lei, particularmente do regime de direitos, liberdades e garantias fundamentais dos cidadãos.

 

Artigo 22º.- (Natureza da fiscalização)

  1. A fiscalização da protecção de dados pessoais é assegurada pela Assembleia Nacional, através de um Comissão Parlamentar de Fiscalização.
  2. A Comissão Parlamentar de Fiscalização é assegurada por lei própria.

 

SECÇÃO II.- Notificação

 

Artigo 23º.- (Obrigação de notificação)

  1. O responsável pelo tratamento ou, se for caso disso, o seu representante deve notificar a Comissão Parlamentar de Fiscalização antes da realização de um tratamento ou conjunto de tratamentos, total ou parcialmente automatizados, destinados à prossecução de uma ou mais finalidades interligadas.
  2. A Comissão Parlamentar de Fiscalização pode autorizar a simplificação ou a isenção da notificação para determinadas categorias de tratamentos que, atendendo aos dados a tratar, não sejam susceptíveis de pôr em causa os direitos e liberdades dos titulares dos dados e tenham em conta critérios de celeridade, economia e eficiência.
  3. A autorização deve especificar as finalidades do tratamento, os dados ou categorías de dados a tratar, a categoria ou categorias de destinatários a quem podem ser comunicados os dados e o período de conservação dos dados.
  4. Estão isentos de notificação os tratamentos cuja única finalidade seja a manutenção de registos que, nos termos de disposições legislativas ou regulamentares, se destinem a informação do público e possam ser consultados pelo público em geral ou por qualquer pessoa que provar um interesse legítimo.
  5. Os tratamentos não autorizados dos dados pessoais previstos no número 1 do artigo 8º estão sujeitos a notificação quando tratados ao abrigo da alínea a) do número 3 do mesmo artigo.

 

Artigo 24º.- (Controlo prévio)

1. Salvo se autorizados por diploma legal, carecem a autorização da Comunidade Parlamentar de fiscalização;

a) O tratamento dos dados pessoais a que se referem as alíneas a) e c) do n.º 1 do artigo 8º e o n.º 2 do artigo 9º;

b) O tratamento dos dados pessoais relativos ao crédito e à solvabilidade dos seus titulares;

c) A interconexão de dados pessoais, nos ternos previstos no artigo 10º;

d) A utilização de dados pessoais para fins não determinantes da recolha.

2. O diploma legal que autorizar os tratamentos a que se refere o número anterior carece de prévio parecer da Comissão Parlamentar de Fiscalização.

 

Artigo 25º.- (Conteúdo dos pedidos de parecer ou de autorização e da notificação)

Os pedidos de parecer ou de autorização, bem como as notificações, remetidos à Comissão Parlamentar de Fiscalização devem conter as seguintes informações:

a) O nome e o endereço do responsável pelo tratamento e, se for caso, do seu representante;

b) A ou as finalidades do tratamento;

c) A descrição da ou das categorias de titulares dos dados e dos dados ou das categorias de dados pessoais que lhes respeitem;

d) Os destinatários ou as categorias de destinatários a quem os dados podem ser comunicados e em que condições;

e) A entidade encarregada do processamento da informação, se não for o próprio responsável do tratamento;

f) As eventuais interconexões de tratamentos de dados pessoais;

g) O tempo de conservação dos dados pessoais;

h) A forma e as condições como os titulares dos dados podem ter conhecimento ou fazer corrigir os dados pessoais que lhes respeitem;

i) As transferências de dados previstas para países terceiros;

j) A descrição geral que permita avaliar de forma preliminar a adequação das medidas tomadas para garantir a segurança do tratamento em aplicação dos artigos 15º e 16º.

 

Artigo 26º.- (Indicações obrigatórias)

1. Os diplomas legais referidos na alínea b) do n.º 1 do artigo 8º e no n.º 1 do artigo 9º bem como as autorizações da Comissão Parlamentar de Fiscalização e os registos de tratamentos de dados pessoais, devem, pelo menos, indicar:

a) O responsável do ficheiro e, se for caso disso, o seu representante;

b) As categorias de dados pessoais tratados;

c) A ou as finalidades a que se destinam os dados e as categorias de entidades a quem podem ser transmitidos;

d) A forma de exercício do direito de acesso e de rectificação;

e) As eventuais interconexões de tratamentos de dados pessoais;

f) As transferências de dados previstas para outros países.

2. Qualquer alteração das indicações constantes do número 1 está sujeita aos procedimentos previstos nos artigos 23º e 24º.

 

Artigo 27º.- (Publicidade dos tratamentos)

  1. O tratamento dos dados pessoais, quando não for objecto de diploma legal e deber ser autorizado ou notificado, consta de registo na Comissão Parlamentar de Fiscalização, aberto à consulta por qualquer pessoa.
  2. O registo contém as informações enumeradas nas alíneas a) a d) e i) do artigo 25º.
  3. O responsável por tratamento de dados não sujeito a notificação está obrigado a prestar, de forma adequada, a qualquer pessoa que lho solicite, pelo menos, as informações referidas no número 1 do artigo 26º.
  4. O disposto no presente artigo não se aplica a tratamentos cuja única finalidade seja a manutenção de registos que, nos termos de disposições legislativas ou regulamentares, se destinem à informação do público e se encontrem abertos à consulta do publico em geral ou de qualquer pessoa que possa provar um interesse legítimo.
  5. A Comissão Parlamentar de Fiscalização deve indicar no seu relatório anual todos os pareceres e autorizações elaborados ou concedidas ao abrigo da presente lei, designadamente as autorizações previstas nas alíneas do número 1 do artigo 8º e no número 2 do artigo 10º.

 

CAPÍTULO V.- Códigos de conduta

 

Artigo 28º.- (Finalidades)

Os códigos de conduta destinam-se a contribuir, em função das características dos diferentes sectores, para a boa execução das disposições da presente lei.

 

Artigo 29º.- (Intervenção da Comissão Parlamentar de Fiscalização)

  1. A Comunicação Parlamentar de Fiscalização apoia a elaboração de código de conduta.
  2. As associações profissionais e outras organizações representativas de categorías de responsáveis pelo tratamento de dados que tenham elaborado projectos de códigos de conduta podem submetê-la à apreciação da Comissão Parlamentar de Fiscalização.
  3. A Comissão Parlamentar de Fiscalização pode declarar a conformidade dos projectos com as disposições legais e regulamentares vigentes em matéria de protecção de dados pessoais.

 

CAPÍTULO VI.- Recursos judiciais, responsabilidade civil, infracções e sanções

 

SECÇÃO I.- Recursos judiciais e responsabilidade civil

 

Artigo 30º.- (Recursos judiciais)

Sem prejuízo do direito de apresentação de queixa ou reclamação à Comissão Parlamentar de Fiscalização, qualquer pessoa pode, nos termos da lei, recorrer judicialmente da violação dos direitos garantidos pela presente.

 

Artigo 31º.- (Responsabilidade civil)

  1. Qualquer pessoa que tiver sofrido um prejuízo devido ao tratamento ilícito de dados ou a qualquer outro acto que viole disposições legislativas ou regulamentares em materia de protecção de dados pessoais tem o direito de obter do responsável e reparação pelo prejuízo sofrido.
  2. O responsável pelo tratamento pode ser parcial ou totalmente exonerado desta responsabilidade se provar que o facto que causou o dano lhe não é imputável.

 

SECÇÃO II.- Infracções e sanções

 

SUBSECÇÃO.- Contra-ordenações

 

Artigo 32º.- (Legislação subsidiária)

Às infracções previstas na presente subsecção é subsidiariamente aplicável o regime das contra-ordenações, com as adaptações constantes dos artigos seguintes.

 

Artigo 33º.- (Omissão ou defeituoso cumprimento de obrigações)

  1. As entidades que, por negligência, não cumpram a obrigação de notificação à Comissão Parlamentar de Fiscalização do tratamento de dados pessoais a que se referem os números 1 e 5 do artigo 23º, prestem falsas informações ou cumpram a obrigação de notificação com inobservância dos termos previstos no artigo 25º, ou ainda quando, depois de notificadas pela referida Comissão, mantiverem o acesso às redes abertas de transmissão de dados a responsáveis por tratamento de dados a responsáveis por tratamento de dados pessoais que não cumpram as disposições da presente lei, praticam contra-ordenação punível com as seguintes coimas:
  2. a) Tratando-se de pessoa singular, no mínimo de 50.000$00 e no máximo de 500.000$00;
  3. b) Tratando-se de pessoa colectiva ou de entidade sem personalidade jurídica, no mínimo de 300.000$00 e no máximo de 3.000.000$00.
  4. A coima é agravada para o dobro dos seus limites quando se trate de dados sujeitos a controlo prévio, nos termos do artigo 24º.

 

Artigo 34º.- (Outras infracções)

1. Praticam contra-ordenação punível com a coima mínima de 100.000$00 e máxima de 1.000.000$00, as entidades que não cumprem alguma das seguintes disposições da presente lei:

a) Designar representante nos termos previstos no número 4 do artigo 2º;

b) Observar as obrigações estabelecidas nos artigos 6º, 11º, 12º, 13º, 14º, 16º, 17º e 27º, nº 3.

2. A coima é agravada para o dobro dos seus limites quando não forem cumpridas as obrigações constantes dos artigos 7º, 8º, 9º, 10º, 19º e 20º.

 

Artigo 35º.- (Concurso de infracções)

  1. Se o mesmo facto constituir, simultaneamente, crime e contra-ordenação, o agente é punido sempre a título de crime.
  2. As sanções aplicadas às contra-ordenações em concurso são sempre cumuladas materialmente.

 

Artigo 36º.- (Punição de negligência e da tentativa)

  1. A negligência é sempre punida nas contra-ordenações previstas no artigo 34º.
  2. A tentativa é sempre punível nas contra-ordenações previstas nos artigos 33º e 34º.

 

Artigo 37º.- (Aplicação das coimas)

  1. A aplicação das coimas previstas na presente lei compete ao presidente da Comissão Parlamentar de Fiscalização, sob prévia deliberação desta.
  2. A deliberação da Comissão Parlamentar de Fiscalização, depois de homologada pelo presidente, constitui título executivo, no caso de não ser impugnada no prazo legal.

 

Artigo 38º.- (Cumprimento do dever omitido)

Sempre que a contra-ordenação resulte de omissão de um dever, a aplicação da sanção e o pagamento da coima não dispensam o infractor do seu cumprimento, se este ainda for possível.

 

Artigo 39º.- (Destino das receitas cobradas)

O montante das importâncias cobradas, em resultado da aplicação das coimas, reverte para o Estado, salvo disposição legal que disponha de modo diferente.

 

SUBSECÇÃO II.- Crimes

 

Artigo 40º.- (Não cumprimento de obrigações relativas a protecção de dados)

1. É punido com prisão até um ano ou multa até 120 dias quem intencionalmente:

a) Omitir a notificação ou pedido de autorização a que se referem os artigos 23º e 24º.

b) Fornecer falsas informações na notificação ou nos pedidos de autorização para o tratamento de dados pessoais ou neste proceder a modificações não consentidas pelo instrumento de legalização;

c) Desviar ou utilizar dados pessoais, de forma incompatível com a finalidade determinante da recolha ou com o instrumento de legalização;

d) Promover ou efectuar uma interconexão ilegal de dados pessoais;

e) Depois de ultrapassado o prazo que lhes tiver sido fixado pela Comissão Parlamentar de Fiscalização para cumprimento das obrigações previstas na presente lei ou em outra legislação de protecção de dados, as não cumprir;

f) Depois de notificado pela Comissão Parlamentar de Fiscalização para o não fazer, mantiver o acesso a redes abertas de transmissão de dados a responsáveis pelo tratamento de dados pessoais que não cumpram as disposições da presente lei.

2. A pena é agravada para o dobro dos seus limites quando se tratar de dados pessoais a que se referem os artigos 8º e 9º.

 

Artigo 41º.- (Acesso indevido)

1. Quem, sem a devida autorização, por qualquer modo, aceder a dados pessoais cujo acesso lhe está vedado é punido com prisão até um ano ou multa até 120 dias.

2. A pena é agravada para o dobro dos seus limites quando o acesso:

a) For conseguido através de violação de regras técnicas de segurança;

b) Tiver possibilitado ao agente ou a terceiros o conhecimento de dados pessoais;

c) Tiver proporcionado ao agente ou a terceiros benefício ou vantagens patrimoniais;

3. No caso previsto no número 1 o procedimento criminal depende de queixa.

 

Artigo 42º

(Viciação ou destruição de dados pessoais)

  1. Quem, sem a devida autorização, apagar, destruir, danificar, suprimir ou modificar dados pessoais, tornando-os inutilizáveis ou afectando a sua capacidade de uso, é punido com prisão até dois anos ou multa até 240 dias.
  2. A pena é agravada para o dobro nos seus limites se o dano produzido for particularmente grave.
  3. Se o agente actuar com negligência, a pena é, em ambos os casos, de prisão até um ano ou multa até 120 dias.

 

Artigo 43º.- (Desobediência qualificada)

1. Quem, depois de notificado para o efeito, não interromper cessar ou bloquear o tratamento de dados pessoais é punido com a pena de prisão correspondente ao crime de desobediência qualificada.

2. Na mesma pena incorre quem, depois de notificado:

a) Recusar, sem justa causa, a colaboração que concretamente lhe for exigida pela Comissão parlamentar de Fiscalização, nos termos da lei;

b) Não proceder ao pagamento, destruição total ou parcial de dados pessoais;

c) Não proceder à destruição de dados pessoais, findo o prazo de conservação previsto no artigo 6º.

 

Artigo 44º.- (Violação do dever de sigilo)

1. Que, obrigado a sigilo profissional, nos termos da lei, sem justa causa e sem o debido consentimento, revelar ou divulgar no todo ou em parte dados pessoais é punido com pena de prisão de seis meses até três anos ou multa de oitenta a duzentos dias, se a pena mais grave não lhe for aplicável, independentemente da medida disciplinar correspondente à gravidade da sua falta, a qual poderá ir até à cessação do vínculo que o liga ao cargo ou função.

2. A pena é agravada de metade dos seus limites se o agente:

a) For pessoal da função pública ou equiparado, nos termos da lei penal;

b) For determinado pela intenção de obter qualquer vantagem patrimonial ou outro benefício ilegítimo;

c) Puser em perigo a reputação, a honra e consideração ou a intimidade da vida privada de outrem.

3. A negligência é punível com prisão até seis meses ou multa até 120 dias.

4. Fora dos casos previstos no número 2, o procedimento criminal depende de queixa.

 

Artigo 45º.- (Punição da tentativa)

Nos crimes previstos nas disposições anteriores, a tentativa é sempre punível.

 

Artigo 46º.- (Sanções acessórias)

1. Conjuntamente com as coimas ou penas aplicadas pode, acessoriamente, ser ordenada:

a) A proibição temporária ou definitiva do tratamento, o bloqueio, o apagamento ou a destruição total ou parcial dos dados;

b) A publicidade da sentença condenatória;

c) A advertência ou censura públicas do responsável pelo tratamento;

2. A publicidade da decisão condenatória faz-se a expensas do condenado, em publicação periódica de maior expansão editada na área da comarca da prática da infracção, ou na sua falta, em publicação periódica de maior expansão da comarca mais próxima, bem como através da afixação de edital em suporte adequado, por período não inferior a 30 dias.

3. A publicação é feita por extracto de que constem os elementos da infracção e as sanções aplicadas, bem com a identificação do agente.

 

CAPÍTULO VII.- Disposições transitórias e finais

 

Artigo 47º.- (Ficheiros manuais existentes)

  1. Os tratamentos de dados existentes em ficheiros manuais à data da entrada em vigor da presente lei devem cumprir o disposto nos artigos 8º, 9º, 11º e 12º no prazo de cinco anos.
  2. Em qualquer caso, o titular dos dados pode obter, a seu pedido e, nomeadamente, aquando do exercício do direito de acesso, a rectificação, o apagamento ou o bloqueio dos dados incompletos, inexactos ou conservados de modo incompatível com os fins legítimos prosseguidos pelo responsável pelo tratamento.
  3. A Comissão Parlamentar de Fiscalização pode autorizar que os dados existentes em ficheiros manuais e conservados unicamente com finalidades de investigação histórica não tenham que cumprir o disposto nos artigos 8º, 9º e 10º, desde que não sejam, em nenhum caso, reutilizados para finalidade diferente.

 

Artigo 48º.- (Ficheiros automatizados existentes)

Os titulares de ficheiros automatizados existentes á data da entrada em vigor da presente lei devem cumprir rigorosamente o que nela se contém, designadamente adaptar tais ficheiros no prazo de um ano.

 

Artigo 49º.- (Entrada em vigor)

A presente lei entra em vigor trinta dias após a sua publicação.

 

Aprovada em 20 de Dezembro de 2000.

 

O Presidente da Assembleia Nacional, António do Espírito Santo Fonseca.

 

Promulgada em 10 de Janeiro de 2001.

 

Publique-se.

 

O Presidente da República, ANTÓNIO MANUEL MASCARENHAS GOMES MONTEIRO.

 

Assinada em 13 de Janeiro de 2001.

 

O Presidente da Assembleia Nacional, António do Espírito Santo Fonseca.

 

10Jul/18

Lei nº 42/VIII/2013 de 17 Setembro, regula a composição, a competência, a organização e o funcionamento da CNPD

Cabo Verde, Ley, , , , , , , ,

Lei nº 42/VIII/2013 de 17 Setembro, regula a composição, a competência, a organização e o funcionamento da Comissão Nacional de Protecção de Dados (CNPD), bem como o estatuto dos seus membros. (B. O. da República de Cabo Verde, 17 setembro de 2013, I Série nº 48)

 

Por mandato do Povo, a Assembleia Nacional decreta, nos termos da alínea b) do artigo 175º da Constituição,

 

o seguinte:

 

CAPÍTULO I.- Disposições gerais

 

Artigo 1º.- Objecto

A presente lei regula a composição, a competência, a organização e o funcionamento da Comissão Nacional de Protecção de Dados (CNPD), bem como o estatuto dos seus membros.

 

Artigo 2º.- Natureza

A CNPD é uma entidade administrativa independente, que funciona junto da Assembleia Nacional, cujas atribuições e competências, relativas à protecção de dados pessoais, são defi nidas na presente lei.

 

Artigo 3º.- Regime jurídico

A CNPD rege-se pelo disposto no presente Estatuto, pelas disposições legais que lhe sejam específicamente aplicáveis e, subsidiariamente, pelo regime aplicável às autoridades reguladoras independentes do sector económico e financeiro.

 

Artigo 4º.- Âmbito territorial

  1. A CNPD exerce as suas competências em todo o território nacional.
  2. A CNPD pode ser solicitada a exercer os seus poderes por uma autoridade de controlo de protecção de dados de outro Estado, nos termos dos acordos e convenções internacionais de que Cabo Verde seja parte.
  3. A CNPD coopera com as autoridades de controlo de protecção de dados pessoais de outros Estados na difusão do direito nessa matéria, bem como na defesa e no exercício dos direitos de pessoas residentes no estrangeiro.

 

Artigo 5º.- Sede

A CNPD tem sede na cidade da Praia, podendo criar delegações em outros pontos do país.

 

Artigo 6º.- Colaboração de outras entidades

1. As entidades públicas e privadas devem prestar a sua colaboração à CNPD, facultando todas as informações por esta solicitadas, no exercício das suas competências.

2. O dever de colaboração é assegurado, designadamente, quando a CNPD tiver necessidade, para o cabal exercício das suas funções, de examinar o sistema informático e os ficheiros de dados pessoais, bem como toda a documentação relativa ao tratamento e transmissão de dados pessoais.

3. Os tribunais devem comunicar à CNPD certidão ou cópia das sentenças ou acórdãos proferidos em materia de direito de protecção de dados pessoais, nomeadamente sobre crimes ou recursos de decisões da CNPD.

 

Artigo 7º.- Acesso aos sistemas informáticos de suporte ao tratamento de dados

A CNPD ou os seus membros, bem como os técnicos por ela mandatados, têm direito de acesso aos sistemas informáticos que sirvam de suporte ao tratamento dos dados pessoais, bem como à documentação referida no artigo anterior, no âmbito das suas atribuições e competências.

 

CAPÍTULO II.- Atribuições e competências

 

Artigo 8º.- Atribuições

1. A CNPD é a autoridade nacional à qual incumbe controlar e fi scalizar o cumprimento das disposições legais e regulamentares em matéria de protecção de dados pessoais, em rigoroso respeito pelos direitos humanos e pelas liberdades e garantias consagradas na Constituição e na lei.

2. A CNPD dispõe de:

a) Poderes de investigação e de inquérito, podendo aceder aos dados objecto de tratamento e recolher todas as informações necessárias ao desempenho das suas funções de controlo;

b) Poderes de autoridade, designadamente o de ordenar o bloqueio, apagamento ou destruição dos dados, bem como o de proibir, temporária ou defi nitivamente, o tratamento de dados pessoais, ainda que incluídos em redes abertas de transmissão de dados a partir de servidores situados em territorio cabo-verdiano;

c) Poder de emitir pareceres prévios ao tratamento de dados pessoais, assegurando a sua publicitação.

3. Em caso de reiterado incumprimento das disposições legais em matéria de dados pessoais, a CNPD pode advertir ou censurar publicamente o responsável pelo tratamento, bem como suscitar a questão, de acordo com as respectivas competências, à Assembleia Nacional, ao Governo ou a outros órgãos ou autoridades.

 

Artigo 9º.- Intervenção em processos judiciais

  1. A CNPD tem legitimidade para intervir em procesos judiciais no caso de violação das disposições da presente lei e deve denunciar ao Ministério Público as infracções penais de que tiver conhecimento no exercício das suas funções e por causa delas, bem como praticar os actos cautelares necessários e urgentes para assegurar os meios de prova.
  2. A CNPD é representada em juízo pelo Ministério Público e está isenta de custas nos processos em que intervenha.

 

Artigo 10º.- Competências

1. Compete em especial à CNPD:

a) Autorizar ou registar, consoante os casos, os tratamentos de dados pessoais;

b) Autorizar excepcionalmente a utilização de dados pessoais para finalidades não determinantes da recolha, com respeito pelos principios definidos na lei;

c) Autorizar, nos casos previstos na lei, a interconexão de tratamentos automatizados de dados pessoais;

d) Autorizar a transferência de dados pessoais nos casos previstos na lei;

e) Fixar o tempo da conservação dos dados pessoais em função da finalidade, podendo emitir directivas para determinados sectores de actividade;

f) Fazer assegurar o direito de acesso à informação, bem como do exercício do direito de rectifi cação e actualização;

g) Autorizar a fi xação de custos ou de periodicidade para o exercício do direito de acesso, bem como fi xar os prazos máximos de cumprimento, em cada sector de actividade, das obrigações que, nos termos da lei, incumbem aos responsáveis pelo tratamento de dados pessoais;

h) Dar seguimento ao pedido efectuado por qualquer pessoa, ou por associação que a represente, para protecção dos seus direitos e liberdades no que diz respeito ao tratamento de dados pessoais e informá-la do resultado;

i) Efectuar, a pedido de qualquer pessoa, a verifi cação de licitude de um tratamento de dados, sempre que esse tratamento esteja sujeito a restrições de acesso ou de informação, e informá-la da realização da verifi cação;

j) Apreciar as reclamações, queixas ou petições dos particulares;

k) Dispensar a execução de medidas de segurança, nos termos previstos na lei, podendo emitir directivas para determinados sectores de actividade;

l) Assegurar a representação de Cabo Verde junto de instâncias internacionais no âmbito das suas competências;

m) Aplicar coimas;

n) Promover e apreciar códigos de conduta;

o) Promover a divulgação e esclarecimento dos direitos relativos à protecção de dados e dar publicidade periódica à sua actividade, nomeadamente através da publicação de um relatório anual;

p) Autorizar a contratação do pessoal, transferências, requisições e destacamentos;

q) Exercer outras competências previstas na lei.

2. No exercício das suas competências de emissão de directivas ou de apreciação de códigos de conduta, a CNPD deve promover a audição das associações de defesa dos interesses em causa.

3. No exercício das suas funções, a CNPD profere decisões com força obrigatória, passíveis de reclamação e de recurso para o tribunal competente.

4. A CNPD pode sugerir à Assembleia Nacional as providências que entender úteis à prossecução das suas atribuições e ao exercício das suas competências.

 

Artigo 11º.- Sanção pecuniária compulsória

1. Os destinatários de deliberação individualizada da CNPD fi cam sujeitos ao pagamento de uma quantia pecuniária a pagar por cada dia de atraso no cumprimento, contado da data da sua publicação ou notifi cação.

2. O valor diário da sanção prevista no número anterior é fi xado em:

a) Cinco mil escudos quando a infracção for cometida por pessoa singular;

b) Dez mil escudos quando cometida por pessoa colectiva.

 

Artigo 12º.- Competência consultiva

  1. A CNPD deve ser consultada sobre quaisquer disposições legais relativas ao tratamento de dados pessoais.
  2. A CNPD é ainda consultada para emitir parecer sobre disposições legais ou iniciativas legislativas relativas ao tratamento de dados pessoais.

 

CAPÍTULO II.-  Organização e estatuto dos membros

 

Secção I.- Composição, mandato e posse

 

Artigo 13º.- Composição e eleição

  1. A CNPD é composta por três personalidades de reconhecida competência e integridade moral, eleitos pela Assembleia Nacional, por maioria de dois terços dos deputados presentes, desde que superior à maioria absoluta dos Deputados em efectividade de funções.
  2. A presidência da CNPD é assegurada por cada um dos seus membros rotativamente por ordem alfabética pelo período de dois anos.

 

Artigo 14º.- Mandato

O mandato dos membros da CNPD é de seis anos e cessa com a posse dos novos membros, não podendo ser renovado por mais de uma vez.

 

Artigo 15º.- Posse

Os membros da CNPD tomam posse perante o Presidente da Assembleia Nacional, no prazo de quinze dias após a publicação da resolução que aprova a respectiva eleição.

 

Secção II.- Estatuto dos membros

 

Artigo 16º.- Capacidade

Só podem ser membros da CNPD os cidadãos que se encontrem no pleno gozo dos seus direitos civis e políticos.

 

Artigo 17º.- Inamovibilidade

1. Os membros da CNPD são inamovíveis, não podendo as suas funções cessar antes do termo do mandato, salvo nos seguintes casos:

a) Morte ou incapacidade física permanente ou com uma duração que se preveja ultrapasar a data do termo do mandato;

b) Renúncia ao mandato;

c) Perda do mandato.

2. No caso de vacatura por um dos motivos previstos no número anterior, a vaga deve ser preenchida no prazo de sessenta dias após a sua verifi cação, através da designação de novo membro pela entidade competente.

3. O membro designado nos termos do número anterior completa o mandato do membro que substitui.

 

Artigo 18º.- Garantias

Os membros da CNPD benefi ciam das seguintes garantias:

a) Não podem ser prejudicados na estabilidade do seu emprego, na sua carreira profissional e no regime de segurança social de que benefi ciem;

b) O período correspondente ao exercício do mandato considera-se, para todos os efeitos legais, como prestado no lugar de origem.

 

Artigo 19º.- Renúncia

  1. Os membros da CNPD podem renunciar ao mandato através de declaração escrita apresentada à Comissão.
  2. A renúncia torna-se efectiva com o seu anúncio e é publicada na I Série do Boletim Oficial.

 

Artigo 20º.- Perda do mandato

1. Perdem o mandato os membros da CNPD que:

a) Sejam abrangidos por qualquer das incapacidades ou incompatibilidades previstas na lei;

b) Faltem, no mesmo ano civil, a três reuniões consecutivas ou a seis interpoladas, salvo motivo justificado;

c) Cometam violação do disposto na alínea c) do artigo 22º, desde que judicialmente declarada.

2. A perda do mandato é objecto, conforme o caso, de deliberação ou declaração a publicar na I Série do Boletim Oficial.

 

Artigo 21º.- Estatuto remuneratório

O estatuto remuneratório dos membros da CNPD é fixado por resolução da Assembleia Nacional.

 

Artigo 22º.- Deveres

Constituem deveres dos membros da CNPD:

a) Exercer o respectivo cargo com isenção, rigor e independência;

b) Participar activa e assiduamente nos trabalhos do órgão que integram;

c) Guardar sigilo sobre as questões ou procesos que estejam a ser objecto de apreciação, sem prejuízo das obrigações previstas na lei.

 

Artigo 23º.- Incompatibilidades

Os membros da CNPD são sujeitos ao regime de incompatibilidades estabelecido para os titulares de altos cargos públicos.

 

Artigo 24º.- Impedimentos e suspeições

  1. Aos impedimentos e suspeições são aplicáveis, com as devidas adaptações, as disposições que regulam o estatuto dos magistrados.
  2. Os impedimentos e suspeições são apreciados pela CNPD.

 

Artigo 25º.- Cartão de identifi cação

  1. Os membros da CNPD possuem cartão de identificação, cujo modelo e condições de emissão constam da Resolução da Assembleia Nacional, dele constando o cargo as regalias e os direitos inerentes à sua função.
  2. O cartão de identifi cação é simultaneamente de livre-trânsito e de acesso a todos os locais em que sejam tratados dados pessoais sujeitos ao controlo da CNPD.

 

CAPÍTULO III.- Funcionamento

 

Artigo 26º.- Reuniões

1. A CNPD funciona com carácter permanente.

2. A CNPD tem reuniões ordinárias e extraordinárias.

3. As reuniões extraordinárias têm lugar:

a) Por iniciativa do presidente;

b) A pedido de dois dos seus membros.

4. As reuniões da CNPD não são públicas e realizam-se nas suas instalações ou, por sua deliberação, em qualquer outro local do território nacional, sendo a periodicidade estabelecida nos termos adequados ao desempenho das suas funções.

5. O presidente, quando o entender conveniente, pode, com o acordo da Comissão, convidar a participar nas reuniões, salvo na fase decisória, qualquer pessoa cuja presença seja considerada útil.

6. Das reuniões é lavrada acta, que, depois de aprobada pela CNPD, é assinada pelo presidente e pelo secretário.

 

Artigo 27º.- Ordem de trabalhos

  1. A ordem de trabalhos para cada reunião ordinária é fi xada pelo presidente, devendo ser comunicada aos vogais com a antecedência mínima de dois dias úteis relativamente à data prevista para a sua realização.
  2. A ordem de trabalhos deve incluir os assuntos que para esse fi m lhe forem indicados por qualquer vogal, desde que sejam da competência do órgão e o pedido seja apresentado por escrito com uma antecedência mínima de cinco dias sobre a data da reunião.

 

Artigo 28º.- Deliberações

  1. A CNPD só pode reunir e deliberar com a presença de pelo menos dois membros.
  2. As deliberações da CNPD são tomadas por maioria dos membros presentes, tendo o presidente voto de qualidade.

 

Artigo 29º.- Publicidade das deliberações

São publicadas na II Série do Boletim Oficial:

a) As autorizações previstas na alínea g) do número 1 do artigo 10º;

b) As autorizações previstas no número 2 do artigo 23º da Lei nº 133/V/2001, de 22 de Janeiro;

c) As autorizações referidas na alínea h) do número 1 do artigo 10º da presente lei;

d) As deliberações que aprovem as directivas a que se referem as alíneas f) e l) do número 1 do artigo 10º da presente lei;

e) As deliberações que fi xem taxas nos termos do número 2 do artigo 31º da presente lei.

 

Artigo 30º.- Reclamações, queixas e petições

  1. As reclamações, queixas e petições são dirigidas por escrito à CNPD, com indicação do nome e endereço dos seus autores, podendo ser exigida a confi rmação da identidade destes.
  2. O direito de petição pode ser exercido por correio tradicional ou electrónico, ou através de telefax e otros meios de comunicação.
  3. Quando a questão suscitada não for da competencia da CNPD, deve a mesma ser encaminhada para a entidade competente, com informação ao exponente.
  4. As reclamações, queixas e petições manifestamente infundadas podem ser arquivadas pelo membro da Comissão a quem o respectivo processo tenha sido distribuído.

 

Artigo 31º.- Formalidades

  1. Os documentos dirigidos à CNPD e o procesado subsequente não estão sujeitos a formalidades especiais.
  2. A CNPD pode aprovar modelos ou formulários, em suporte papel ou electrónico, com vista a permitir melhor instrução dos pedidos de parecer ou de autorização, bem como das notificações de tratamentos de dados pessoais.
  3. Os pedidos de autorização e as notifi cações apresentados à CNPD, nos termos da lei, devem ser assinados pelo responsável do tratamento de dados pessoais ou pelo seu legal representante.

 

Artigo 32º.- Competências e substituição do presidente

1. Compete ao presidente:

a) Representar a Comissão;

b) Superintender nos serviços de apoio;

c) Autorizar a realização de despesas dentro dos limites legalmente compreendidos na competência dos ministros;

d) Fixar as regras de distribuição dos processos, ouvida a Comissão;

e) Submeter à aprovação da Comissão o plano de actividades;

f) Em geral, assegurar o cumprimento das leis e a regularidade das deliberações.

2. O presidente é substituído, nas suas faltas e impedimentos, pelo membro mais idoso ou pelo vogal que a Comissão designar.

 

Artigo 33º.- Vinculação da CNPD

A CNPD obriga-se pela assinatura:

a) Do presidente ou de outros dois membros, se outra forma não for deliberada pelo plenário da CNPD;

b) De quem estiver habilitado para o efeito, nos termos e âmbito do respectivo mandato.

 

CAPÍTULO IV.- Regime financeiro e patrimonial

 

Artigo 34º.- Princípio geral

A gestão financeira e patrimonial da CNPD, incluindo a prática de actos de gestão privada, está sujeita ao regime da contabilidade pública e rege-se segundo princípios de transparência e economicidade.

 

Artigo 35º.- Regime de receitas e despesas

1. As receitas e despesas da CNPD constam de orçamento anual.

2. Além das dotações que lhe forem atribuídas no orçamento da Assembleia Nacional, constituem receitas da CNPD:

a) O produto das taxas cobradas;

b) O produto da venda de formulários e publicações;

c) O produto dos encargos da passagem de certidões e acesso a documentos;

d) O produto das coimas, nos termos previstos na lei;

e) O saldo de gerência do ano anterior;

f) Os subsídios, subvenções, comparticipações, doações e legados, concedidos por entidades, públicas e privadas, nacionais, estrangeiras ou internacionais;

g) O produto das sanções pecuniárias compulsórias por si aplicadas pelo incumprimento de decisões individualizadas;

h) Quaisquer outras receitas que lhe sejam atribuídas por lei ou contrato.

3. Constituem despesas da CNPD as que resultem dos encargos e responsabilidades decorrentes do seu funcionamento, bem como quaisquer outras relativas à prossecução das suas atribuições.

4. O orçamento anual, as respectivas alterações bem como as respectivas contas são aprovados pela CNPD.

5. As contas da CNPD fi cam sujeitas, nos termos gerais, ao controlo do Tribunal de Contas.

 

Artigo 36º.- Património

O património da CNPD é constituído pela universalidade dos bens, direitos e garantias que lhe sejam atribuídos por lei, bem como pelos adquiridos após a sua criação, para prosseguimento no desempenho das suas atribuições.

 

Artigo 37º.- Taxas

1. A CNPD pode cobrar taxas:

a) Pelo registo das notifi cações;

b) Pelas autorizações concedidas ao abrigo do disposto na Lei nº 133/V/2001, de 22 de Janeiro, ou outras autorizações legalmente previstas.

2. O montante das taxas, que deve ser proporcional à complexidade do pedido e ao serviço prestado, é fixado pela CNPD.

3. Em caso de comprovada insufi ciência económica, o pagamento poderá ser feito em prestações, mediante deliberação da CNPD.

 

CAPÍTULO V.- Dos serviços de apoio e assessoria especializada

 

Artigo 38º.- Serviços de apoio

  1. A CNPD dispõe de serviços de apoio administrativo e técnico, criados pela CNPD em função do respectivo plano de actividades e na medida do seu cabimento orçamental.
  2. Os serviços de apoio administrativo e técnico são dirigidos por um secretário, habilitado com licenciatura e de reconhecida competência para o desempenho do cargo.
  3. O secretário é nomeado por despacho do presidente, obtido parecer favorável da Comissão, com observancia dos requisitos legais adequados ao desempenho das respectivas funções.
  4. A nomeação do secretário é feita em regime de comissão de serviço, por períodos de três anos, renováveis.

 

Artigo 39º.- Competências do secretário

Compete ao secretário:

a) Secretariar a Comissão;

b) Dar execução às decisões da Comissão, de acordó com as orientações do presidente;

c) Assegurar a boa organização e funcionamento dos serviços de apoio, nomeadamente no tocante à gestão fi nanceira, do pessoal e das instalações e equipamento, de acordo com as orientações do presidente;

d) Elaborar o projecto de orçamento, bem como as respectivas alterações, e assegurar a sua execução;

e) Elaborar o projecto de relatório anual.

1. Nas suas faltas e impedimentos, o secretário é substituído por um trabalhador qualificado da CNPD designado pelo presidente, obtido o parecer favorável da Comissão.

 

Artigo 40º.- Regime do pessoal

  1. O pessoal da CNPD está sujeito ao regime jurídico do contrato individual de trabalho e está abrangido pelo regime geral da segurança social.
  2. A CNPD dispõe de um quadro de pessoal próprio estabelecido por resolução da Assembleia Nacional, através do qual se defi ne o respectivo conteúdo funcional.
  3. O estatuto remuneratório do quadro de pessoal é estabelecido por regulamento interno, nos limites fixados pela Assembleia Nacional.
  4. A CNPD pode ser parte em instrumentos de regulamentação colectiva de trabalho.
  5. O recrutamento de pessoal é precedido de anúncio público, obrigatoriamente publicado em dois jornais de grande circulação nacional, mediante concurso público.
  6. As condições de prestação e de disciplina do trabalho são definidas em regulamento aprovado pela CNPD, com observância das disposições legais imperativas do regime do contrato individual de trabalho.

 

Artigo 41º.- Funções de fi scalização

1. Os trabalhadores, mandatários e representantes da CNPD, bem como as pessoas ou entidades qualifi cadas devidamente credenciadas que desempenhem funções de fiscalização, quando se encontrem no exercício das suas funções e apresentem título comprativo dessa qualidade, são equiparados a agentes de autoridade e gozam, nomeadamente, das seguintes prorrogativas:

a) Aceder às instalações, equipamentos e serviços das entidades sujeitas à supervisão da CNPD;

b) Requisitar documentos para análise e requerer informações escritas;

c) Identifi car todos os indivíduos que infrinjam a legislação, cuja observância devem respeitar, para posterior abertura de procedimento;

d) Solicitar a colaboração das autoridades competentes quando o julguem necessário ao desempenho das suas funções.

2. Aos trabalhadores da CNPD, aos respectivos mandatários, bem como às pessoas ou às entidades qualificadas devidamente credenciadas que desempenhem as funções a que se refere o número anterior são atribuídos cartões de identificação, cujo modelo e condições de emissão constam de resolução da Assembleia Nacional.

 

Artigo 42º.- Incompatibilidades

O pessoal da CNPD não pode prestar trabalho ou otros serviços, remunerados ou não, a entidades sujeitas à fi scalização da CNPD ou outras cuja actividade colida com as atribuições e competências da CNPD.

 

Artigo 43º.- Mobilidade

  1. Os funcionários da administração directa ou indirecta do Estado e das Autarquias Locais, bem como os trabalhadores ou administradores de empresas privadas, podem ser providos em comissão ordinária de serviço, por afectação específica, por cedência ou por requisição, para desempenhar funções na CNPD, com garantia do seu lugar de origem e dos direitos nele adquiridos, considerando-se o período de desempenho de funções como tempo de serviço prestado no lugar de origem, suportando a CNPD as despesas inerentes.
  2. Sem prejuízo do disposto no artigo anterior, os trabalhadores da CNPD podem desempenhar funções noutras entidades, em regime de destacamento, requisição ou outros, nos termos da lei, com garantia do seu lugar de origem e dos direitos nele adquiridos, considerando-se tal período como tempo de serviço efectivamente prestado na CNPD.

 

Artigo 44º.- Assessoria especializada

  1. Desde que assegurado o respectivo cabimento orçamental, a CNPD pode encarregar pessoas individuais ou colectivas da realização de estudos ou de pareceres técnicos relativos a matérias abrangidas pelas atribuições previstas no presente diploma, em regime de mera prestação de serviços.
  2. Os estudos e pareceres técnicos elaborados pelas pessoas identificadas no número anterior não vinculam a CNPD, salvo ratificação expressa dos mesmos pela CNPD.

 

CAPITULO VI.- Relatório parlamentar e controlo judicial

 

Artigo 45º.- Relatório parlamentar

  1. A CNPD deve manter a Assembleia Nacional informada sobre as suas deliberações e actividade, enviandolhe uma colectânea mensal das mesmas.
  2. A CNPD envia à Assembleia Nacional, para discussão, na comissão parlamentar responsável pelo sector dos Direitos Fundamentais, precedida de audição dos membros da CNPD, um relatório anual sobre as suas actividades, no qual aborde designadamente, questões legislativas, administrativas e financeiras avaliadas no exercício das suas funções.
  3. O debate em comissão realizar-se-á nos sessenta días posteriores ao recebimento do relatório de actividades e contas.
  4. Os membros da CNPD comparecerão perante a comissão competente da Assembleia Nacional, para prestar informações ou esclarecimentos sobre as suas actividades, sempre que tal lhes for solicitado.

 

Artigo 46º.- Controlo judicial

  1. A actividade dos órgãos, mandatários e representantes da CNPD fi ca sujeita à jurisdição administrativa, nos termos e limites expressamente previstos na lei.
  2. As sanções por prática de ilícitos de mera ordenação social são impugnáveis junto dos tribunais judiciais competentes.
  3. Das suas decisões e deliberações cabe recurso para os tribunais judiciais ou arbitrais, nos termos previstos na lei.

 

CAPÍTULO VII.- Disposições transitórias e fi nais

 

Artigo 47º.- Regime de instalação

A CNDP funciona em regime de instalação pelo período de sessenta dias a partir da tomada de posse dos respectivos membros, para efeitos de designação de secretário, fixação de suas instalações, elaboração e aprovação do seu orçamento, elaboração de regulamento interno, definição de serviços de apoio, entre outras questões indispensáveis ao seu funcionamento.

 

Artigo 48º.- Sítio de internet

  1. A CNPD deve dispor de um sítio de Internet, com todos os dados relevantes, nomeadamente o diploma de criação, os regulamentos, as deliberações e orientações, bem como a composição dos seus órgãos, os planos, os orçamentos, os relatórios e contas referentes aos dois últimos anos da sua actividade e ainda todas as decisões que não se refiram à sua gestão corrente.
  2. O sítio de Internet serve ainda de suporte para a divulgação de modelos e formulários para a apresentação de requerimentos por via electrónica, visando a satisfação dos respectivos pedidos e obtenção de informações em linha, nos termos legalmente admitidos.
  3. O teor das sentenças ou acórdãos comunicados à CNPD, nos termos do número 3 do artigo 6º, são obrigatoriamente publicados no sítio de Internet da CNPD.

 

Artigo 49º.- Logótipo

A CNPD pode utilizar, para identifi cação de documentos e tudo o mais que se relacionar com os respectivos serviços, um logotipo, cujo modelo será aprovado pelo plenário da Comissão.

 

Artigo 50º.- Base de dados actualmente existentes

As entidades públicas e privadas possuidoras de base de dados pessoais dispõem de 180 dias para submeter à fi scalização da CNPD, nos termos da lei, as informações nelas contidas.

 

Artigo 51º.- Entrada em vigor

O presente diploma entra em vigor no seguinte ao da sua publicação, salvo as disposições com implicações orçamentais cuja vigência fi ca diferida para o dia 1 de Janeiro de 2014.

 

Aprovada em 24 de Julho de 2013.

 

O Presidente da Assembleia Nacional, Basílio Mosso Ramos

 

Promulgada em 9 de Setembro de 2013.

 

Publique-se.

 

O Presidente da República, JORGE CARLOS DE ALMEIDA FONSECA

 

Assinada em 10 de Setembro de 2013.

 

O Presidente da Assembleia Nacional, Basílio Mosso Ramos

 

 

 

 

 

10Jul/18

Lei nº 41/VIII/2013 Regime Jurídico Geral da Protecção de Dados Pessoais das Pessoas Singulares

Cabo Verde, Ley, , , , ,

Lei nº 41/VIII/2013 Regime Jurídico Geral da Protecção de Dados Pessoais das Pessoas Singulares. Regime jurídico geral de protecção de dados pessoais a pessoas singulares, aprovado pela Lei nº 133/V/2001, alterada pela Lei nº 41/VIII/2013, de 17 de Setembro.

 

CAPÍTULO I.- DISPOSIÇÕES GERAIS

 

Artigo 1°.- (Objecto)

A presente lei estabelece o regime jurídico geral de protecção de dados pessoais das pessoas singulares.

 

Artigo 2° (Âmbito de aplicação)

1. A presente lei aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros manuais ou a estes destinados.

2. A presente lei aplica-se ao tratamento de dados pessoais efectuados:

a) No âmbito das actividades de estabelecimento do responsável do tratamento situado em território nacional;

b) Fora do território nacional, em local onde a legislação cabo-verdiana seja aplicável por força do direito internacional;

c) Por responsável que, não estando estabelecido no território nacional, recorra, para tratamento de dados pessoais, a meios, automatizados ou não, situados no territorio nacional, salvo se esses meios só forem utilizados para trânsito.

3. A presente lei aplica-se a vídeo-vigilância e outras formas de captação, tratamento e difusão de sons e imagens que permitam identificar pessoas sempre que o responsável pelo tratamento esteja domiciliado ou sediado em território nacional ou recorra a um fornecedor de acesso a redes informáticas e telemáticas aí estabelecido.

4. No caso referido na alínea c) do número 2, o responsável pelo tratamento deve designar, mediante comunicação à Comissão Nacional de Protecção de Dados, adiante designada CPND, um representante estabelecido em território nacional, que se lhe substitua em todos os seus direitos e obrigações, sem prejuízo da sua própria responsabilidade.

5. O disposto no número anterior aplica-se no caso de o responsável pelo tratamento estar abrangido por estatuto de extraterritorialidade, de imunidade ou por qualquer outro que impeça o procedimento criminal.

6. A presente lei aplica-se ao tratamento de dados pessoais que tenham por objectivo a segurança pública, a defesa nacional e a segurança do Estado, sem prejuízo do disposto em normas especiais constantes de instrumentos de direito internacional a que Cabo Verde se vincule e de legislação específica atinente aos respectivos sectores.

 

Artigo 3° (Exclusão do âmbito de aplicação)

A presente lei não se aplica ao tratamento de dados pessoais efectuado por pessoa singular no exercício de actividades exclusivamente pessoais ou domésticas.

 

Artigo 4° (Princípio geral)

O tratamento de dados pessoais deve processar-se de forma transparente e no estrito respeito pela reserva da intimidade da vida privada e familiar, bem como pelos direitos, liberdades e garantias fundamentais do cidadão.

 

Artigo 5° (Definições)

1. Para efeitos da presente lei, entende-se por:

a) «Dados pessoais»: qualquer informação, de qualquer natureza e independentemente do respectivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável, «títular dos dados»;

b) «Tratamento de dados pessoais» ou «Tratamento»: qualquer operação ou conjunto de operações sobre dados pessoais, efectuadas, total ou parcialmente, com ou sem meios automatizados, tais como a recolha, o registo, a organização, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a comunicação por transmissão, por difusão ou por qualquer outra forma de colocação a disposição, com comparação ou interconexão, bem como o bloqueio, o apagamento ou a destruição;

c) «Ficheiro de dados pessoais» ou «Ficheiro»: qualquer conjunto estruturado de dados pessoais, acessível segundo critérios determinados, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;

d) «Responsável pelo tratamento»: a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais;

e) «Subcontratante»: a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que trate os dados pessoais por conta do responsável pelo tratamento;

f) «Terceiro»: a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que, não sendo o titular dos dados, o responsável pelo tratamento, o subcontratante ou outra pessoa sob autoridade directa do responsável pelo tratamento ou do subcontratante, esteja habilitado a tratar os dados;

g) «Destinatário»: a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo a quem sejam comunicados dados pessoais, independentemente de se tratar ou não de um terceiro, sem prejuízo de não serem consideradas destinatários as autoridades a quem sejam comunicados dados no ámbito de uma disposição legal;

h) «Consentimento do titular dos dados»: qualquer manifestação de vontade, livre, específica e informada, nos termos da qual o titular aceita que os seus dados pessoais sejam objecto de tratamento;

i) «Interconexão de dados»: forma de tratamento que consiste na possibilidade de relacionamento dos dados de um ficheiro com os dados de um ficheiro ou ficheiros mantidos por outro ou outros responsáveis, ou mantidos

2. Para efeitos do disposto na alínea a) do número anterior, é considerada identificável a pessoa que possa ser identificada, directa ou indirectamente, designadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social.

3. Para efeitos do disposto na alínea d) do número anterior, sempre que as finalidades e os meios do tratamento sejam determinados por disposições legislativas ou regulamentares, o responsável pelo tratamento deve ser indicado na lei de organização e funcionamento ou no estatuto da entidade legal ou estatutariamente competente para tratar os dados pessoais em causa.

 

CAPÍTULO II.- TRATAMENTO DE DADOS PESSOAIS

 

Secção I.- Qualidade dos dados e legitimidade do seu tratamento

 

Artigo 6° (Qualidade dos dados)

1. Os dados pessoais devem ser:

a) Tratados de forma legal, lícita e com respeito pelo princípio da boa fé;

b) Recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser posteriormente tratados de forma incompatível com essas finalidades;

c) Adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos e posteriormente tratados;

d) Exactos e, se necessário, actualizados, devendo ser tomadas as medidas adequadas para assegurar que sejam apagados ou rectificados os dados inexactos ou incompletos, tendo em conta as finalidades para que foram recolhidos ou para que são tratados posteriormente;

e) Conservados de forma a permitir a identificação dos seus titulares apenas durante o período necessário para a prossecução das finalidades da recolha ou do tratamento posterior.

2. O tratamento posterior dos dados para fins históricos, estatísticos ou científicos, bem como a sua conservação para os mesmos fins por período superior ao referido na alínea e) do número anterior, podem ser autorizados pela CNPD em caso de interesse legítimo do responsável pelo tratamento, desde que não prevaleçam os direitos, liberdades e garantias do titular de dados.

3. Cabe ao responsável pelo tratamento assegurar a observância do disposto nos números anteriores.

 

Artigo 7° (Condições de legitimidade do tratamento de dados)

O tratamento de dados pessoais só pode ser efectuado se o seu titular tiver dado de forma inequívoca o seu consentimento ou se o tratamento for necessário para:

a) Execução de contrato em que o titular dos dados seja parte ou de diligências prévias efectuadas a seu pedido;

b) Cumprimento de obrigação legal a que o responsável pelo tratamento esteja sujeita;

c) Protecção de interesses vitais do titular dos dados, se este estiver física ou legalmente incapaz de dar o seu consentimento;

d) Execução de uma missão de interesse público ou no exercício de autoridade pública em que esteja investido o responsável pelo tratamento ou um terceiro a quem os dados sejam comunicados;

e) Prossecução de interesses legítimos do responsável pelo tratamento ou de terceiro a quem os dados sejam comunicados, desde que não prevalecem os interesses ou os direitos, liberdades e garantias do titular dos dados.

 

Artigo 8° (Tratamento de dados sensíveis)

1. É proibido o tratamento de dados pessoais relativos às convicções ou opiniões políticas, filosóficas ou ideológicas, à fé religiosa, à filiação partidária ou sindical, à origem racial ou étnica, à vida privada, à saúde e à vida sexual, incluindo os dados genéricos, salvo:

a) Mediante consentimento expresso do titular, com garantias de não discriminação e com as medidas de segurança adequadas;

b) Mediante autorização prevista na lei, com garantias de não discriminação e com as medidas de segurança adequadas;

c) Quando se destinem a processamento de dados estatísticos não individualmente identificáveis, com as medidas de segurança adequadas.

2. Na concessão de autorização prevista na alínea b) do número anterior a lei deve ater-se, designadamente, à indispensabilidade do tratamento dos dados pessoais referidos no número 1 para o exercício das atribuições legais ou estatutárias do seu responsável, por motivos de interesse público importante.

3. O tratamento dos dados referidos no número 1 é ainda permitido quando se verificar uma das seguintes condições:

a) Ser necessário para proteger interesses vitais do titular dos dados ou de uma outra pessoa e o titular dos dados estiver física ou legalmente incapaz de dar o seu consentimento;

b) Ser efectuado, com o consentimento do titular, por fundação, associação ou organismo sem fins lucrativos de carácter político, filosófico, religioso ou sindical, no âmbito das suas actividades legítimas, sob condição de o tratamento respeitar apenas aos membros dessa fundação, associação ou desse organismo ou às pessoas com quem ele mantenha contactos periódicos ligados às suas finalidades legítimas, e de os dados não serem comunicados a terceiros sem consentimento dos seus titulares;

c) Dizer respeito a dados manifestamente tornados públicos pelo seu titular, desde que se possa legitimamente deduzir das suas declarações o consentimento para o tratamento dos mesmos;

d) Ser necessário à declaração, exercício ou defesa de um direito em processo judicial e for efectuado exclusivamente com essa finalidade.

4. O tratamento dos dados pessoais referentes à saúde e à vida sexual, incluindo os dados genéticos, é permitido quando for necessário para efeitos de medicina preventiva, de diagnóstico médico, de prestação de cuidados ou tratamentos médicos ou de gestão de serviços de saúde, desde que o tratamento desses dados seja efectuado por um profissional de saúde obrigado ao segredo profissional ou por outra pessoa igualmente sujeita a uma obrigação de segredo equivalente, tenha sido notificada a CNPD nos termos do artigo 23°, e sejam garantidas medidas adequadas de segurança da informação.

5. O tratamento dos dados referidos no número 1 pode ainda ser efectuado, com medidas adequadas de segurança da informação, quando se mostrar indispensável à protecção da segurança do Estado, da defesa da segurança pública e da prevenção, investigação ou repressão de infracções penais.

 

Artigo 9° (Registos de actividades ilícitas, condenações penais, medidas de segurança, infracções e contra-ordenações)

  1. A criação e a manutenção de registos centrais relativos a pessoas suspeitas de actividades ilícitas, condenações penais, decisões que apliquem medidas de segurança, coimas e sanções acessórias e infracções e contra-ordenações só podem ser mantidas por serviços públicos com essa competência legal, observando normas procedimentais e de protecção de dados previstas em diploma legal.
  2. O tratamento de dados pessoais relativos a suspeitas de actividades ilícitas, condenações penais, decisões que apliquem medidas de segurança, coimas e sanções acessórias e infracções e contra-ordenações pode ser autorizado, observadas as normas de protecção de dados e de segurança da informação, quando tal tratamento for necessário à execução de finalidades legítimas do seu responsável, desde que não prevaleçam os direitos, liberdades e garantias do titular dos dados.
  3. O tratamento de dados pessoais para fins de investigação policial deve limitar-se ao necessário para a prevenção de um perigo concreto ou repressão de uma infracção determinada, para o exercício de competências previstas no respectivo estatuto orgânico ou noutra disposição legal e ainda nos termos de acordo, tratado ou convenção internacional de que Cabo Verde seja parte.

 

Artigo 10° (Interconexão de dados pessoais)

  1. Sem prejuízo de proibição expressa prevista na lei, a interconexão de dados pessoais que não esteja estabelecida em disposição legal está sujeita a autorização da Comissão Parlamentar de Fiscalização solicitada pelo responsável ou em conjunto pelos correspondentes responsáveis dos tratamentos, nos termos do artigo 23°.
  2. A interconexão de dados pessoais deve ser necessária e adequada à prossecução das finalidades legais ou estatutárias e de interesses legítimos dos responsáveis dos tratamentos, não implicar discriminação ou diminuição dos direitos, liberdades e garantias fundamentais dos titulares dos dados, ter em conta o tipo de dados objecto de interconexão e ser rodeada de adequadas medidas de segurança.

 

Secção II.- Direitos do titular dos dados

 

Artigo 11° (Direito de informação)

1. Quando recolher dados pessoais directamente do seu titular, o responsável pelo tratamento ou o seu representante deve prestar-lhe, salvo se já forem dele conhecidas, as seguintes informações:

a) Identidade do responsável pelo tratamento e, se for caso disso, do seu representante;

b) Finalidades do tratamento;

c) Os destinatários ou categorias de destinatários dos dados;

d) O carácter obrigatório ou facultativo da resposta, bem como as possíveis consequências se não responder;

e) A existência e as condições do direito de acesso e de rectificação, desde que sejam necessárias, tendo em conta as circunstâncias específicas da recolha dos dados, para garantir ao seu titular um tratamento leal dos mesmos;

f) A decisão de comunicação dos seus dados pessoais pela primeira vez a terceiros para os fins previstos na alínea b) do artigo 13°, previamente e com a indicação expressa de que tem direito de se opor a essa comunicação;

g) A decisão de os seus dados pessoais serem utilizados por conta de terceiros, previamente e com a indicação expressa de que tem o direito de se opor a essa utilização.

2. Os documentos que sirvam de base à recolha de dados pessoais devem conter as informações constantes do número anterior.

3. Se os dados não forem recolhidos junto do seu titular e salvo se dele já forem conhecidas, o responsável pelo tratamento, ou o seu representante, deve prestar-lhe as informações previstas no número 1 no momento do registo dos dados ou, se estiver prevista a comunicação a terceiros, o mais tardar aquando da primeira comunicação desses dados.

4. No caso de recolha de dados em redes abertas, o titular dos dados deve ser informado, salvo se disso já tiver conhecimento, de que os seus dados pessoais podem circular na rede sem condições de segurança, correndo o risco de serem vistos e utilizados por terceiros não autorizados.

5. A obrigação de informação e dispensada por motivos de segurança do Estado, prevenção e investigação criminal, e bem assim, quando, nomeadamente no caso do tratamento de dados com finalidades estatísticas, históricas ou de investigação científica, a informação do titular dos dados se revelar impossível ou implicar esforços desproporcionados ou ainda quando a lei determinar expressamente o registo dos dados ou a sua divulgação.

6. A obrigação de informação não se aplica ao tratamento de dados efectuado para fins exclusivamente jornalísticos ou de expressão artística ou literária, salvo quando estiverem em causa direitos, liberdades e garantias dos titulares dos dados.

 

Artigo 12° (Direito de acesso)

1. O titular dos dados tem o direito de obter do responsável pelo tratamento, livremente e sem restrições, com periodicidade razoável e sem demoras ou custos excessivos:

a) A confirmação de serem ou não tratados dados que lhe digam respeito, bem como informação sobre as finalidades desse tratamento, as categorias de dados sobre que incide e os destinatários ou as categorias de destinatários a quem são comunicados os dados;

b) A comunicação, sob forma inteligível, dos seus dados sujeitos a tratamento e de quaisquer informações disponíveis sobre a origem desses dados;

c) O conhecimento da lógica subjacente ao tratamento automatizado dos dados que lhe digam respeito, no que se refere às decisões automatizadas referidas no número 1 do artigo 14°;

d) A rectificação, o apagamento ou o bloqueio dos dados cujo tratamento não respeitar o disposto na presente lei, nomeadamente devido ao carácter incompleto ou inexacto desses dados;

e) A notificação aos terceiros a quem os dados tenham sido comunicados de qualquer rectificação, apagamento ou bloqueio efectuado nos termos da alínea d), salvo se isso for comprovadamente impossível ou implicar um esforço desproporcionado.

2. Nos casos previstos nos números 4 e 5 do artigo 8°, o direito de acesso e exercido através da CNPD.

3. No caso previsto no número 6 do artigo anterior, o direito de acesso é exercido através da CNPD, com a salvaguarda das normas constitucionais aplicáveis, designadamente as que garantem a liberdade de expressão e informação, a liberdade de imprensa e a independencia e sigilo profissionais dos jornalistas.

4. Nos casos previstos nos números 2 e 3 deste artigo, se a comunicação dos dados ao seu titular puder prejudicar a segurança do Estado, a prevenção ou a investigação criminal ou ainda a liberdade de expressão e informação ou a liberdade de imprensa, a CNPD limita-se a informar o titular dos dados das diligências efectuadas.

5. O direito de acesso a informação relativa a dados da saúde, incluindo os dados genéticos, e exercido por intermédio de médico escolhido pelo titular dos dados.

6. No caso de os dados não serem utilizados para tomar medidas ou decisões em relação a pessoas determinadas, a lei pode restringir o direito de acesso nos casos em que manifestamente não exista qualquer perigo de violação dos direitos, liberdades e garantías do titular dos dados, designadamente do direito à sua intimidade da vida privada, e os referidos dados forem exclusivamente utilizados para fins de investigação científica ou conservados sob forma de dados pessoais durante um período que não exceda o necessário à finalidade exclusiva de elaborar estatísticas.

 

Artigo 13° (Direito de oposição)

O titular dos dados tem o direito de:

a) Salvo disposição legal em contrário, e pelo menos nos casos referidos nas alíneas d) e e) do artigo 7°, se opor em qualquer altura, por razões ponderosas e legítimas relacionadas com a sua situação particular, a que os dados que lhe digam respeito sejam objecto de tratamento, devendo, em caso de oposição justificada, o tratamento efectuado pelo responsável deixar de poder incidir sobre esses dados;

b) Se opor, a seu pedido e gratuitamente, ao tratamento dos dados pessoais que lhe digam respeito previsto pelo responsável pelo tratamento para efeitos de «marketing» directo ou qualquer outra forma de prospecção;

c) Se opor, sem despesas, a que os seus dados pessoais sejam comunicados pela primeira vez a terceiros para os fins previstos na alínea anterior ou utilizados por conta de terceiros.

 

Artigo 14° (Não sujeição a decisões individuais automatizadas)

  1. Qualquer pessoa tem o direito de não ficar sujeita a uma decisão que produza efeitos na sua esfera jurídica ou que a afecte de modo significativo, tomada exclusivamente com base num tratamento automatizado de dados destinado a avaliar determinados aspectos da sua personalidade, designadamente a sua capacidade profissional, o seu crédito, a confiança de que é merecedora ou o seu comportamento.
  2. Sem prejuízo do cumprimento das restantes disposições da presente lei, uma pessoa pode consentir em ser sujeita a uma decisão tomada nos termos do número 1, desde que tal ocorra no âmbito da celebração ou da execução de um contrato, e sob condição de o seu pedido de celebração ou execução do contrato ter sido satisfeito, ou de existirem medidas adequadas que garantam a defesa dos seus interesses legítimos e de expor o seu ponto de vista, designadamente o seu direito de representação e expressão.
  3. Pode ainda ser permitida a tomada de uma decisão nos termos do número 1, quando autorizadas pela CNPD e desde que sejam tomadas medidas de garantia da defesa dos interesses legítimos do titular dos dados.

 

Secção III.- Segurança e confidencialidade do tratamento

 

Artigo 15° (Segurança do tratamento)

  1. O responsável pelo tratamento deve pôr em prática as medidas técnicas e organizativas adequadas para proteger os dados pessoais contra a destruição, acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede, e contra qualquer outra forma de tratamento ilícito.
  2. As medidas previstas no número anterior devem assegurar, atendendo aos conhecimentos técnicos disponíveis e aos custos resultantes da sua aplicação, um nível de segurança adequado em relação aos riscos que o tratamento apresenta e a natureza dos dados a proteger.
  3. O responsável pelo tratamento, em caso de tratamento por sua conta, deverá escolher um subcontratante que ofereça garantias suficientes em relação as medidas de segurança técnica e de organização do tratamento a efectuar, e deverá zelar pelo cumprimento dessas medidas.
  4. A realização de operações de tratamento em subcontratação deve ser regida por um contrato ou acto jurídico que vincule o subcontratante ao responsável pelo tratamento e que estipule, designadamente, que o subcontratante apenas actua mediante instruções do responsável pelo tratamento e que lhe incumbe igualmente o cumprimento das obrigações referidas nos números 1 e 2.
  5. Para efeitos de conservação de provas, os elementos da declaração negocial, do contrato ou do acto jurídico relativos à protecção dos dados, bem como as exigências relativas às medidas referidas nos números 1 e 2, são consignados por escrito ou em suporte equivalente, de preferência, com valor probatório legalmente reconhecido.

 

Artigo 16° (Medidas especiais de segurança)

1. Os responsáveis pelo tratamento dos dados referidos nas alíneas do número 1, nos números 2 e 5 do artigo 8° e no número 1 do artigo 9° devem tomar as medidas adequadas e acrescidas de segurança da informação, designadamente para:

a) Impedir o acesso de pessoa não autorizada às instalações utilizadas para o tratamento desses dados (controlo da entrada nas instalações);

b) Impedir que suportes de dados possam ser lidos, copiados, alterados ou retirados por pessoa não autorizada (controlo dos suportes de dados);

c) Impedir a introdução não autorizada, bem como a tomada de conhecimento, a alteração ou a eliminação não autorizadas de dados pessoais inseridos (controlo da inserção);

d) Impedir que sistemas de tratamento automatizados de dados possam ser utilizados por pessoas não autorizadas através de instalações de transmissão de dados (controlo da utilização);

e) Garantir que as pessoas autorizadas só possam ter acesso aos dados abrangidos pela autorização (controlo de acesso);

f) Garantir a verificação das entidades a quem possam ser transmitidos os dados pessoais através das instalações de transmissão de dados (controlo da transmissão);

g) Garantir que possa verificar-se, a posteriori, em prazo adequado a natureza do tratamento, a fixar na regulamentação aplicável a cada sector, quais os dados pessoais introduzidos, quando e por quem (controlo da introdução);

h) Impedir que, na transmissão de dados pessoais, bem como no transporte do seu suporte, os dados possam ser lidos, copiados, alterados ou eliminados de forma não autorizada (controlo do transporte).

2. Tendo em conta a natureza das entidades responsáveis pelo tratamento e o tipo das instalações em que é efectuado, a CNPD pode dispensar a existência de certas medidas de segurança, garantido que se mostre o respeito pelos direitos, liberdades e garantias dos titulares dos dados.

3. Os sistemas devem garantir a separação lógica entre os dados referentes à saúde e à vida sexual, incluindo os genéticos, dos restantes dados pessoais.

4. A CNPD pode determinar que a transmissão seja cifrada, nos casos em que a circulação em rede de dados pessoais referidos nos artigos 8° e 9° possa pôr em risco direitos, liberdades e garantias dos respectivos titulares.

 

Artigo 17° (Confidencialidade do tratamento)

Qualquer pessoa que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, bem como o próprio subcontratante, tenha acesso a dados pessoais, não pode proceder ao seu tratamento sem instruções do responsável pelo tratamento, salvo por força de obrigações legais.

 

Artigo 18° (Sigilo profissional)

  1. Os responsáveis do tratamento de dados pessoais, bem como as pessoas que, no exercício das suas funções, tenham conhecimento dos dados pessoais tratados, ficam obrigados a sigilo profissional, mesmo após o termo das suas funções.
  2. Igual obrigação recai sobre os membros da CNPD, mesmo no termo do mandato.
  3. O disposto nos números anteriores não exclui o dever do fornecimento das informações obrigatórias, nos termos legais, excepto quando constem de ficheiros organizados para fins estatísticos.
  4. O pessoal que exerça funções de assessoria à CNPD ou aos seus membros está sujeito à mesma obrigação de sigilo profissional.

 

CAPÍTULO III.- TRANSFERÊNCIA DE DADOS PESSOAIS

 

Artigo 19° (Princípios)

  1. Sem prejuízo do disposto no artigo seguinte, a transferência de dados pessoais que sejam objecto de tratamento ou que se destinam a sê-lo, só pode realizar-se com respeito das disposições da presente lei e demais legislação aplicável em matéria de protecção de dados pessoais e, tratando-se de transferência para o estrangeiro, para o país que assegurar um nível de protecção adequado.
  2. A adequação do nível de protecção é apreciada em função de todas as circunstâncias que rodeiem a transferência ou o conjunto de transferências de dados, em especial, a natureza dos dados, a finalidade e a duração do tratamento ou tratamentos projectados, os países de origem e de destino final, as regras de direito, gerais ou sectoriais, em vigor no país em causa, bem como as regras profissionais e as medidas de segurança que são respeitadas nesse país.
  3. Cabe a CNPD decidir se um Estado estrangeiro assegura um nível de protecção adequado.

 

Artigo 20° (Derrogações)

1. A transferência de dados pessoais para um país que não assegure um nível de protecção adequado na acepção do número 2 do artigo anterior pode ser permitida pela CNPD se o titular dos dados tiver dado de forma inequívoca o seu consentimento à transferência ou se essa transferência:

a) For necessária para a execução de um contrato entre o titular dos dados e o responsável pelo tratamento ou de diligências prévias à formação do contrato decididas a pedido do titular dos dados;

b) For necessária para a execução ou celebração de um contrato outorgado ou a outorgar, no interesse do titular dos dados, entre o responsável pelo tratamento e um terceiro;

c) For necessária ou legalmente exigida para a protecção de um interesse público importante, ou para a declaração, o exercício ou a defesa de um direito num proceso judicial;

d) For necessária para proteger os interesses vitais do titular dos dados;

e) For realizada a partir de um registo público que, nos termos de disposições legislativas ou regulamentares, se destine à informação do público e se encontre aberto à consulta do público em geral ou de qualquer pessoa que possa provar um interesse legítimo, desde que as condições estabelecidas na lei para a consulta sejam cumpridas no caso concreto.

2. Sem prejuízo do disposto no número 1, pode ser autorizada pela CNPD uma transferencia ou um conjunto de transferências de dados pessoais para um país que não assegure um nível de protecção adequado na acepção do número 2 do artigo anterior, desde que o responsável pelo tratamento apresente garantias suficientes de protecção da vida privada e dos direitos e liberdades fundamentais das pessoas, assim como do seu exercício, designadamente, mediante cláusulas contratuais adequadas.

3. A transferência de dados pessoais que constitua medida necessária a protecção da segurança do Estado, da defesa, da segurança pública e da prevenção, investigação e repressão das infracções penais e regida por disposições legais específicas ou pelas convenções, tratados e acordos internacionais em que Cabo Verde é parte.

 

CAPÍTULO IV.- AUTORIDADE NACIONAL PARA A FISCALIZAÇÃO DE PROTECÇÃO DE DADOS PESSOAIS

 

Secção I.- Disposições gerais

 

Artigo 21° (Objectivos da fiscalização)

A fiscalização da protecção de dados pessoais visa acompanhar, avaliar e controlar a actividade dos órgãos ou serviços legalmente competentes para o seu tratamento, velando pelo cumprimento da Constituição e da lei, particularmente do regime de direitos, liberdades e garantias fundamentais dos cidadãos.

 

Artigo 22° (Natureza da fiscalização)

  1. A fiscalização da protecção de dados pessoais é assegurada por uma autoridade administrativa independente, a CNPD, que funciona junto à Assembleia Nacional.
  2. A CNPD é regulada por lei própria.

 

Secção II.- Notificação

 

Artigo 23° (Obrigação de notificação)

  1. O responsável pelo tratamento ou, se for caso disso, o seu representante deve notificar a CNPD antes da realização de um tratamento ou conjunto de tratamentos, total ou parcialmente automatizados, destinados à prossecução de uma ou mais finalidades interligadas.
  2. A CNPD pode autorizar a simplificação ou a isenção da notificação para determinadas categorias de tratamentos que, atendendo aos dados a tratar, não sejam susceptíveis de pôr em causa os direitos e liberdades dos titulares dos dados e tenham em conta critérios de celeridade, economia e eficiência.
  3. A autorização deve especificar as finalidades do tratamento, os dados ou categorias de dados ou categoria de dados a tratar, a categoria ou categorias de destinatários a quem podem ser comunicados os dados e o período de conservação dos dados.
  4. Estão isentos de notificação os tratamentos cuja única finalidade seja a manutenção de registos que, nos termos de disposições legislativas ou regulamentares, se destinem a informação do público e possam ser consultados pelo público em geral ou por qualquer pessoa que provar um interesse legítimo.
  5. Os tratamentos não autorizados dos dados pessoais previstos no número 1 do artigo 8° estão sujeitos a notificação quando tratados ao abrigo da alínea a) do número 3 do mesmo artigo.

 

Artigo 24° (Controlo prévio)

1. Salvo se autorizados por diploma legal, carecem de autorização da CNPD:

a) O tratamento dos dados pessoais a que se referem as alíneas a) e c) do número 1 do artigo 8° e o número 2 do artigo 9°;

b) O tratamento dos dados pessoais relativos ao crédito e à solvabilidade dos seus titulares;

c) A interconexão de dados pessoais, nos termos previstos no artigo 10°;

d) A utilização de dados pessoais para fins não determinantes da recolha.

2. O diploma legal que autorizar os tratamentos a que se refere o número anterior carece de prévio parecer da CNPD.

 

Artigo 25° (Conteúdo dos pedidos de parecer ou de autorização e da notificação)

Os pedidos de parecer ou de autorização, bem como as notificações, remetidos à CNPD devem conter as seguintes informações:

a) O nome e o endereço do responsável pelo tratamento e, se for o caso, do seu representante;

b) A ou as finalidades do tratamento;

c) A descrição da ou das categorias de titulares dos dados ou das categorias de dados pessoais que lhes respeitem;

d) Os destinatários ou as categorias de destinatários a quem os dados podem ser comunicados e em que condições;

e) A entidade encarregada do processamento da informação, se não for o próprio responsável do tratamento;

f) As eventuais interconexões de tratamentos de dados pessoais;

g) O tempo de conservação dos dados pessoais;

h) A forma e as condições como os titulares dos dados podem ter conhecimento ou fazer corrigir os dados pessoais que lhes respeitem;

i) As transferências de dados previstas para países terceiros;

j) A descrição geral que permita avaliar de forma preliminar a adequação das medidas tomadas para garantir a segurança do tratamento em aplicação dos artigos 15° e 16°.

 

Artigo 26°.- (Indicações obrigatórias)

1. Os diplomas legais referidos na alínea b) do número 1 do artigo 8° e no número 1 do artigo 9° bem como as autorizações da CNPD e os registos de tratamentos de dados pessoais, devem, pelo menos, indicar:

a) O responsável do ficheiro e, se for caso disso, o seu representante;

b) As categorias de dados pessoais tratados;

c) A ou as finalidades a que se destinam os dados e as categorias de entidades a quem podem ser transmitidos;

d) A forma de exercício do direito de acesso e de rectificação;

e) As eventuais interconexões de tratamentos de dados pessoais;

f) As transferências de dados previstas para outros países.

2. Qualquer alteração das indicações constantes do número 1 está sujeita aos procedimentos previstos nos artigos 23° e 24°.

 

Artigo 27° (Publicidade dos tratamentos)

  1. O tratamento dos dados pessoais, quando não for objecto de diploma legal e dever ser autorizado ou notificado, consta de registo na CNPD, aberto à consulta por qualquer pessoa.
  2. O registo contém as informações enumeradas nas alíneas a) a d) e i) do artigo 25°.
  3. O responsável por tratamento de dados não sujeito a notificação está obrigado a prestar, de forma adequada, a qualquer pessoa que lho solicite, pelo menos, as informações referidas no número 1 do artigo 26°.
  4. O disposto no presente artigo não se aplica a tratamentos cuja única finalidade seja a manutenção de registos que, nos termos de disposições legislativas ou regulamentares, se destinem à informação do público e se encontrem abertos à consulta do público em geral ou de qualquer pessoa que possa provar um interesse legítimo.
  5. A CNPD deve indicar no seu relatório anual todos os pareceres e autorizações elaborados ou concedidas ao abrigo da presente lei, designadamente as autorizações previstas nas alíneas do número 1 do artigo 8° e no número 2 do artigo 10°.

 

CAPÍTULO V.- CÓDIGOS DE CONDUTA

 

Artigo 28° (Finalidades)

Os códigos de conduta destinam-se a contribuir, em função das características dos diferentes sectores, para a boa execução das disposições da presente lei.

 

Artigo 29° (Intervenção da CNPD)

  1. A CNPD apoia a elaboração de código de conduta.
  2. As associações profissionais e outras organizações representativas de categorias de responsáveis pelo tratamento de dados que tenham elaborado projectos de códigos de conduta podem submetê-los à apreciação da CNPD.
  3. A CNPD pode declarar a conformidade dos projectos com as disposições legais e regulamentares vigentes em matéria de protecção de dados pessoais.

 

CAPÍTULO VI.- RECURSOS JUDICIAIS, RESPONSABILIDADE CIVIL, INFRACÇÕES E SANÇÕES

 

Secção I.- Recursos judiciais e responsabilidade civil

 

Artigo 30° (Recursos judiciais)

Sem prejuízo do direito de apresentação de queixa ou reclamação à CNPD, qualquer pessoa pode, nos termos da lei, recorrer judicialmente da violação dos direitos garantidos pela presente lei.

 

Artigo 31° (Responsabilidade civil)

  1. Qualquer pessoa que tiver sofrido um prejuízo devido ao tratamento ilícito de dados ou a qualquer outro acto que viole disposições legislativas ou regulamentares em matéria de protecção de dados pessoais tem o direito de obter do responsável a reparação pelo prejuízo sofrido.
  2. O responsável pelo tratamento pode ser parcial ou totalmente exonerado desta responsabilidade se provar que o facto que causou o dano lhe não é imputável.

 

Secção II.- Infracções e sanções

 

Sub-secção I.- Contra-ordenações

 

Artigo 32° (Legislação subsidiaria)

Às infracções previstas na presente subsecção é subsidiariamente aplicável o regime geral das contra-ordenações, com as adaptações constantes dos artigos seguintes.

 

Artigo 33°

(Omissão ou defeituoso cumprime to de obrigações)

1. As entidades que, por negligência, não cumpram a obrigação de notificação à CNPD do tratamento de dados pessoais a que se referem os números 1 e 5 do artigo 23°, prestem falsas informações ou cumpram a obrigação de notificação com inobservância dos termos previstos no artigo 25°, ou ainda quando, depois de notificadas pela referida Comissão, mantiverem o acesso às redes abertas de transmissão de dados a responsáveis por tratamento de dados pessoais que não cumpram as disposições da presente lei, praticam contra-ordenação punível com as seguintes coimas:

a) Tratando-se de pessoa singular, no mínimo de 50.000$00 e no máximo de 500.000$00;

b) Tratando-se de pessoa colectiva ou de entidade sem personalidade jurídica, no mínimo de 300.000$00 e no máximo de 3.000.000$00.

2. A coima é agravada para o dobro dos seus limites quando se trate de dados sujeitos a controlo prévio, nos termos do artigo 24°.

 

Artigo 34°  (Outras infracções)

1. Praticam contra-ordenação punível com a coima mínima de 100.000$00 e máxima de 1.000.000$00, as entidades que não cumprem alguma das seguintes disposições da presente lei:

a) Designar representante nos termos previstos no número 4 do artigo 2°;

b) Observar as obrigações estabelecidas nos artigos 6°, 11°, 12°, 13°, 14°, 16°, 17° e 27°, número 3.

2. A coima é agravada para o dobro dos seus limites quando não forem cumpridas as obrigações constantes dos artigos 7°, 8°, 9°, 10°, 19° e 20°.

 

Artigo 35° (Concurso de infracções)

  1. Se o mesmo facto constituir, simultaneamente, crime e contra-ordenação, o agente é punido sempre a título de crime.
  2. As sanções aplicadas as contra-ordenações em concurso são sempre cumuladas materialmente.

 

Artigo 36° (Punição de negligência e da tentativa)

  1. A negligência é sempre punida nas contra-ordenações previstas no artigo 34°.
  2. A tentativa é sempre punível nas contra-ordenações previstas nos artigos 33° e 34°.

 

Artigo 37° (Aplicação das coimas)

  1. A aplicação das coimas previstas na presente lei compete ao presidente da CNPD, sob prévia deliberação desta.
  2. A deliberação da CNPD, constitui título executivo, no caso de não ser impugnada no prazo legal.

 

Artigo 38° (Cumprimento do dever omitido)

Sempre que a contra-ordenação resulte de omissão de um dever, a aplicação da sanção e o pagamento da coima não dispensam o infractor do seu cumprimento, se este ainda for possível.

 

Artigo 39° (Destino das receitas cobradas)

O montante das importâncias cobradas, em resultado da aplicação das coimas, reverte para a CNPD.

 

Sub-secção II.- Crimes

 

Artigo 40° (Não cumprimento de obrigações relativas a protecção de dados)

1. É punido com prisão até um ano ou multa até 120 dias quem intencionalmente:

a) Omitir a notificação ou o pedido de autorização a que se referem os artigos 23° e 24°;

b) Fornecer falsas informações na notificação ou nos pedidos de autorização para o tratamento de dados pessoais ou neste proceder a modificações não consentidas pelo instrumento de legalização;

c) Desviar ou utilizar dados pessoais, de forma incompatível com a finalidade determinante da recolha ou com o instrumento de legalização;

d) Promover ou efectuar uma interconexão ilegal de dados pessoais;

e) Depois de ultrapassado o prazo que lhes tiver sido fixado pela CNPD para cumprimento das obrigações previstas na presente lei ou em outra legislação de protecção de dados, as não cumprir;

f) Depois de notificado pela CNPD para o não fazer, mantiver o acesso a redes abertas de transmissão de dados a responsáveis pelo tratamento de dados pessoais que não cumpram as disposições da presente lei.

2. A pena é agravada para o dobro dos seus limites quando se tratar de dados pessoais a que se referem os artigos 8° e 9°.

 

Artigo 41° (Acesso indevido)

1. Quem, sem a devida autorização, por qualquer modo, aceder a dados pessoais cujo acesso lhe está vedado é punido com prisão até um ano ou multa até 120 dias.

2. A pena é agravada para o dobro dos seus limites quando o acesso:

a) For conseguido através de violação de regras técnicas de segurança;

b) Tiver possibilitado ao agente ou a terceiros o conhecimento de dados pessoais;

c) Tiver proporcionado ao agente ou a terceiros benefício ou vantagens patrimoniais.

3. No caso previsto no número 1 o procedimento criminal depende de queixa.

 

Artigo 42° (Viciação ou destruição de dados pessoais)

  1. Quem, sem a devida autorização, apagar, destruir, danificar, suprimir ou modificar dados pessoais, tornando-os inutilizáveis ou afectando a sua capacidade de uso, é punido com prisão até dois anos ou multa até 240 dias.
  2. A pena é agravada para o dobro nos seus limites se o dano produzido for particularmente grave.
  3. Se o agente actuar com negligência, a pena é, em ambos os casos, de prisão até um ano ou multa até 120 dias.

 

Artigo 43° (Desobediência qualificada)

  1. Quem, depois de notificado para o efeito, não interromper, cessar ou bloquear o tratamento de dados pessoais é punido com a pena de prisão correspondente ao crime de desobediencia qualificada.
  2. Na mesma pena incorre quem, depois de notificado:
  3. a) Recusar, sem justa causa, a colaboração que concretamente lhe for exigida pela CNPD, nos termos da lei;
  4. b) Não proceder ao apagamento, destruição total ou parcial de dados pessoais;
  5. c) Não proceder à destruição de dados pessoais, findo o prazo de conservação previsto no artigo 6°.

 

Artigo 44° (Violação do dever de sigilo)

1. Quem, obrigado a sigilo profissional, nos termos da lei, sem justa causa e sem o debido consentimento, revelar ou divulgar no todo ou em parte dados pessoais é punido com pena de prisão de seis meses até três anos ou multa de oitenta a duzentos dias, se pena mais grave não lhe for aplicável, independentemente da medida disciplinar correspondente à gravidade da sua falta, a qual poderá ir até à cessação do vínculo que o liga ao cargo ou função.

2. A pena é agravada de metade dos seus limites se o agente:

a) For pessoal da função pública ou equiparado, nos termos da lei penal;

b) For determinado pela intenção de obter qualquer vantagem patrimonial ou outro benefício ilegítimo;

c) Puser em perigo a reputação, a honra e consideração ou a intimidade da vida privada de outrem.

3. A negligência é punível com prisão até seis meses ou multa até 120 dias.

4. Fora dos casos previstos no número 2, o procedimento criminal depende de queixa.

 

Artigo 45° (Punição da tentativa)

Nos crimes previstos nas disposições anteriores, a tentativa é sempre punível.

 

Artigo 46° (Sanções acessórias)

1. Conjuntamente com as coimas ou penas aplicadas pode, acessoriamente, ser ordenada:

a) A proibição temporária ou definitiva do tratamento, o bloqueio, o apagamento ou a destruição total ou parcial dos dados;

b) A publicidade da sentença condenatória;

c) A advertência ou censura públicas do responsável pelo tratamento.

2. A publicidade da decisão condenatória faz-se a expensas do condenado, em publicação periódica de maior expansão editada na área da comarca da prática da infracção, ou na sua falta, em publicação periódica de maior expansão da comarca mais próxima, bem como através da afixação de edital em suporte adequado, por período não inferior a 30 dias.

3. A publicação e feita por extracto de que constem os elementos da infracção e as sanções aplicadas, bem como a identificação do agente.

 

CAPÍTULO VII.- DISPOSIÇÕES TRANSITÓRIAS E FINAIS

 

Artigo 47° (Ficheiros manuais existentes)

  1. Os tratamentos de dados existentes em ficheiros manuais à data da entrada em vigor da presente lei devem cumprir o disposto nos artigos 8°, 9°, 11° e 12° no prazo de seis meses.
  2. Em qualquer caso, o titular dos dados pode obter, a seu pedido e, nomeadamente, aquando do exercício do direito de acesso, a rectificação, o apagamento ou o bloqueio dos dados incompletos, inexactos ou conservados de modo incompatível com os fins legítimos prosseguidos pelo responsável pelo tratamento.
  3. A CNPD pode autorizar que os dados existentes em ficheiros manuais e conservados unicamente com finalidades de investigação histórica não tenham que cumprir o disposto nos artigos 8°, 9° e 10°, desde que não sejam, em nenhum caso, reutilizados para finalidade diferente.

 

Artigo 48° (Ficheiros automatizados existentes)

Os titulares de ficheiros automatizados existentes à data da entrada em vigor da presente lei devem cumprir rigorosamente o que nela se contém, designadamente adaptar tais ficheiros no prazo de seis meses.

 

Artigo 49° (Entrada em vigor)

A presente lei entra em vigor trinta dias após a sua publicação.

Aprovada em 20 de Dezembro de 2000.

 

O Presidente da Assembleia Nacional, António do Esprito Santo Fonseca.

 

Promulgado em 10 de Janeiro de 2001.

 

Publique-se

 

O Presidente da Republica, ANTÓNIO MANUEL MASCARENHAS GOMES MONTEIRO.

 

Assinada em 13 de Janeiro de 2001.

 

O Presidente da Assembleia Nacional, António do Espirito Santo Fonseca.

 

06Jul/18

Lei Constitucional nº 1/V/99 de 23 de Novembro with Amendments in: 2010 (Lei Constitucional nº 1/VII/2010 de 3 de Mai)  

Cabo Verde, Constitución, , , , , ,

Cape Verde’s Constitution of 1999 (Lei Constitucional nº 1/V/99 de 23 de Novembro) with Amendments in: 2010 (Lei Constitucional nº 1/VII/2010 de 3 de Mai)  (Official Bulletin (B.O.)  Supplement, I Serie nº 17 of 3 May 2010, Rectified by the B.O. nº 28 of 26 July 2010, I Serie).

 

PART II.- FUNDAMENTAL RIGHTS AND DUTIES

 

TITLE I.- GENERAL PRINCIPLES

 

Article 15 (Recognition of the inviolability of rights, liberties and guarantees)

  1. The State shall recognize as inviolable the rights and liberties enshrined in the Constitution and shall guarantee their protection.
  2. All public authorities shall have the duty to respect and to guarantee the free exercise of rights and liberties and the fulfillment of constitutional or legal duties.

 

TITLE II.- RIGHTS, LIBERTIES AND GUARANTEES

 

CHAPTER I.- ON INDIVIDUAL RIGHTS, LIBERTIES AND GUARANTEES

 

Article 29.- (Right to freedom)

  1. The right to freedom shall be inviolable.
  2. Personal freedoms, of thought, of expression, and of information, of association, of religion, of worship, of intellectual, artistic and cultural creation, of demonstration and the remaining freedoms enshrined in the Constitution, in general or conventional international law, received in the domestic legal order, and in the laws, shall be guaranteed.
  3. No one may be forced to declare his or her ideology, religion or cult, political or trade union affiliation.

 

Article 41 (The right to identity, to personality, to a good name, to an image and to privacy)

  1. Everyone shall be guaranteed the rights to personal identity, to the development of his or her personality and to civil capacity, which may only be limited by judicial decision and in cases and under terms established in the law.
  2. Every citizen shall have the right to a good name, to honor and reputation, to an image and privacy in his or her personal and family life.

 

Article 44 (Inviolability of correspondence and telecommunications)

The secrecy of correspondence and of telecommunications shall be guaranteed, except in cases in which, by judicial decision rendered under the law of criminal proceedings, interference, by public authorities, with correspondence and telecommunications is allowed.

 

Article 45 (Use of computer resources and protection of personal data)

1. All citizens shall have the right of access to computerized data relating to them, and may demand the correctin and updating thereof. They shall also have the right to know the purposes for which the data will be used, under the terms of the law.

2. The use of computerized media shall be prohibited for the logging and processing of individually identifiable data related to political, philosophical or ideological convictions, to religious faith, to party or trade union affiliation or to private life except:

a) With the express consent of the person whom the data concern;

b) With prior authorization foreseen by law and guarantees of non-discrimination;

c) When the purpose of the statistical data processing is not individually identifiable.

3. The law shall regulate the protection of personal data in computer registers, the conditions of access to data banks, of the format and of use by public authorities and private entities of such banks or of computer supports of same.

4. Access to data bases or computerized archives, files and récords for obtaining data personal data related to third parties, as well as the transfer of personal data from one computerized file to another pertaining to different services or institutions, shall be prohibited except in cases established by law or by judicial decision.

5. Under no circumstance shall a unique number be assigned to citizens.

6. Everyone shall be guaranteed access to computer networks of public use, defining the law or regime applicable to the flow of trans-border data and the forms of protection of personal data and of others whose safeguard is justified by reasons of national interest, as well as the regime of limitation of access, for defending the juridical values safeguarded by the provisions of paragraph 4 of Article 48.

7. Personal data held in manual filing systems shall have exactly the same protection foreseen contemplated in the previous paragraphs, under the terms of the law.

 

Article 46 (Habeas data)

  1. Habeas data shall be granted to every citizen in order to ensure his or her knowledge of information stored in files, file folders or a computerized register concerning him or her, and also that he or she may be informed of its purpose and may demand the correcting or updating of the data.
  2. The law shall regulate the procedure of habeas data

 

Article 48 (Freedoms of expression and of information)

1. Everyone shall have the freedom to express and to disseminate his or her ideas in word, image or by any other means, and no one may be subjected to discomfort, on account of his or her political, philosophical, religious or other opinions.

2. Everyone shall have the freedom to inform and to be informed, procuring receiving and disseminating information and ideas in any form, without limitations, discrimination or impediments.

3. Limitations in the exercise of these freedoms, of any kind or form of censorship, shall be prohibited.

4. The freedoms of expression and of information shall have as limits the right to honor and to consideration for people, the right to a good name, to image and to privacy of personal and family life.

5. Freedom of expression and of information shall also be limited:

a) By the duty of protection of children and youth;

b) By the prohibition of advocacy of violence, pedophilia, racism, xenophobia and of any form of discrimination, particularly against women;

c) By the banning of the dissemination of appeals for the practice of the acts referred to in the previous subparagraph.

6. Offences committed in the exercise of freedom of expression and of information shall entail civil, disciplinary and criminal responsibility of the violator, under the terms of the law.

7. All natural or legal persons, on conditions of equality and efficacy, shall have the right of reply and of correction, as well as the right of compensation for damages suffered, as a result of offences committed in the exercise of freedom of expression and information.

 

Article 54 (Freedom of intellectual, artistic and cultural creation)

  1. The intellectual, cultural and scientific creation, as well as the dissemination of literary, artistic and scientific works shall be free.
  2. The law shall guarantee the protection of copyrights.