Assembleia da República
Lei
Transpõe a Diretiva n.º 2009/136/CE, na parte que altera a Diretiva n.º 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de julho, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas, procedendo à primeira alteração à Lei n.º 41/2004, de 18 de agosto, e à segunda alteração ao Decreto-Lei n.º 7/2004, de 7 de janeiro.
A Assembleia da República decreta, nos termos da alínea c) do artigo 161.º da Constituição, o seguinte:
Artigo 1.º
Objeto
A presente lei:
a) Procede à primeira alteração à Lei n.º 41/2004, de 18 de agosto, que transpõe para a ordem jurídica nacional a Diretiva n.º 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de julho, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas;
b) Procede à segunda alteração ao Decreto-Lei n.º 7/2004, de 7 de janeiro, alterado pelo Decreto-Lei n.º 62/2009, de 10 de março, que transpõe para a ordem jurídica nacional a Diretiva n.º 2000/31/CE, do Parlamento Europeu e do Conselho, de 8 de junho, relativa a certos aspetos legais dos serviços da sociedade de informação, em especial do comércio eletrónico, no mercado interno.
Artigo 2.º
Alteração à Lei n.º 41/2004, de 18 de agosto
Os artigos 1.º, 2.º, 3.º, 5.º, 6.º, 7.º, 8.º, 14.º e 15.º da Lei n.º 41/2004, de 18 de agosto, passam a ter a seguinte redação:
«Artigo 1.º
[...]
1 - A presente lei transpõe para a ordem jurídica nacional a Diretiva n.º 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de julho, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas, com as alterações determinadas pelo artigo 2.º da Diretiva n.º 2009/136/CE, do Parlamento Europeu e do Conselho, de 25 de novembro.
2 - A presente lei aplica-se ao tratamento de dados pessoais no contexto da prestação de serviços de comunicações eletrónicas acessíveis ao público em redes de comunicações públicas, nomeadamente nas redes públicas de comunicações que sirvam de suporte a dispositivos de recolha de dados e de identificação, especificando e complementando as disposições da Lei n.º 67/98, de 26 de outubro (Lei da Proteção de Dados Pessoais).
3 - ...
4 - ...
5 - Nas situações previstas no número anterior, as empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público devem estabelecer procedimentos internos que permitam responder aos pedidos de acesso a dados pessoais dos utilizadores apresentados pelas autoridades judiciárias competentes, em conformidade com a referida legislação especial.
Artigo 2.º
[...]
1 - ...
a) «Comunicação» qualquer informação trocada ou enviada entre um número finito de partes mediante a utilização de um serviço de comunicações eletrónicas acessível ao público;
b) «Correio eletrónico» qualquer mensagem textual, vocal, sonora ou gráfica enviada através de uma rede pública de comunicações que possa ser armazenada na rede ou no equipamento terminal do destinatário até que este a recolha;
c) ...
d) ...
e) «Dados de localização» quaisquer dados tratados numa rede de comunicações eletrónicas ou no âmbito de um serviço de comunicações eletrónicas que indiquem a posição geográfica do equipamento terminal de um utilizador de um serviço de comunicações eletrónicas acessível ao público;
f) ...
g) «Violação de dados pessoais» uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizado a dados pessoais transmitidos, armazenados ou de outro modo tratados no contexto da prestação de serviços de comunicações eletrónicas acessíveis ao público.
2 - É excluída da alínea a) do número anterior toda a informação difundida ao público em geral, através de uma rede de comunicações eletrónicas, que não possa ser relacionada com o assinante de um serviço de comunicações eletrónicas ou com qualquer utilizador identificável que receba a informação.
3 - Salvo definição específica da presente lei, são aplicáveis as definições constantes da Lei de Proteção de Dados Pessoais e da Lei n.º 5/2004, de 10 de fevereiro, na redação que lhe foi dada pela Lei n.º 51/2011, de 13 de setembro (Lei das Comunicações Eletrónicas).
Artigo 3.º
Segurança do processamento
1 - As empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público devem adotar as medidas técnicas e organizacionais adequadas para garantir a segurança dos seus serviços, se necessário, no que respeita à segurança de rede, em conjunto com o fornecedor da rede pública de comunicações.
2 - O fornecedor de rede pública de comunicações que sirva de suporte a serviços de comunicações eletrónicas acessíveis ao público, prestados por outra empresa deve satisfazer os pedidos que esta lhe apresente e que sejam necessários para o cumprimento do regime fixado na presente lei.
3 - As medidas referidas no n.º 1 devem ser adequadas à prevenção dos riscos existentes, tendo em conta a proporcionalidade dos custos da sua aplicação e o estado da evolução tecnológica.
4 - O ICP - Autoridade Nacional de Comunicações (ICP-ANACOM) deve emitir recomendações sobre as melhores práticas relativas ao nível de segurança que essas medidas devem alcançar.
5 - O ICP-ANACOM deve, diretamente ou através de entidade independente, auditar as medidas adotadas nos termos dos números anteriores.
6 - O ICP-ANACOM deve estabelecer o plano dessas auditorias, de modo a abranger, nomeadamente, a determinação dos procedimentos e normas de referência a aplicar-lhes e os requisitos exigíveis aos auditores.
7 - Pode ainda o ICP-ANACOM, ou uma entidade independente por si designada, realizar auditorias de segurança extraordinárias.
8 - Para efeitos da aplicação dos n.os 4 a 7 do presente artigo, caso estejam em causa medidas que possam envolver matérias de proteção de dados pessoais, deve o ICP-ANACOM solicitar parecer à Comissão Nacional de Protecção de Dados (CNPD).
9 - Sem prejuízo do disposto na Lei da Proteção de Dados Pessoais, as medidas referidas nos n.os 1 a 3 devem, no mínimo, incluir:
a) Medidas que assegurem que somente o pessoal autorizado possa ter acesso aos dados pessoais, e apenas para fins legalmente autorizados;
b) A proteção dos dados pessoais transmitidos, armazenados ou de outro modo tratados, contra a destruição, a perda, a alteração, a divulgação ou o acesso não autorizados ou acidentais;
c) Medidas que assegurem a aplicação de uma política de segurança no tratamento dos dados pessoais.
10 - Em caso de risco especial de violação da segurança da rede, as empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público devem informar gratuitamente os assinantes desses serviços da existência do risco e, sempre que o risco se situe fora do âmbito das medidas a tomar pelo prestador do serviço, das soluções possíveis para evitá-lo e dos custos prováveis daí decorrentes.
Artigo 5.º
[...]
1 - O armazenamento de informações e a possibilidade de acesso à informação armazenada no equipamento terminal de um assinante ou utilizador apenas são permitidos se estes tiverem dado o seu consentimento prévio, com base em informações claras e completas nos termos da Lei de Proteção de Dados Pessoais, nomeadamente quanto aos objetivos do processamento.
2 - O disposto no presente artigo e no artigo anterior não impede o armazenamento técnico ou o acesso:
a) Que tenha como única finalidade transmitir uma comunicação através de uma rede de comunicações eletrónicas;
b) Estritamente necessário ao fornecedor para fornecer um serviço da sociedade de informação solicitado expressamente pelo assinante ou utilizador.
Artigo 6.º
[...]
1 - ...
2 - ...
3 - ...
4 - As empresas que oferecem serviços de comunicações eletrónicas só podem tratar os dados referidos no n.º 1 se o assinante ou utilizador a quem os dados digam respeito tiver dado o seu consentimento prévio e expresso, que pode ser retirado a qualquer momento, e apenas na medida do necessário e pelo tempo necessário à comercialização de serviços de comunicações eletrónicas ou à prestação de serviços de valor acrescentado.
5 - ...
6 - ...
7 - ...
Artigo 7.º
[...]
1 - ...
2 - ...
3 - Do mesmo modo, o tratamento de dados de localização é permitido na medida e pelo tempo necessários para a prestação de serviços de valor acrescentado, desde que seja obtido consentimento prévio e expresso dos assinantes ou utilizadores.
4 - ...
5 - ...
6 - ...
Artigo 8.º
[...]
1 - ...
2 - As empresas que oferecem redes e ou serviços de comunicações eletrónicas acessíveis ao público devem conciliar os direitos dos assinantes que recebem faturas detalhadas com o direito à privacidade dos utilizadores autores das chamadas e dos assinantes chamados, nomea-damente submetendo à aprovação da CNPD propostas quanto a meios que permitam aos assinantes um acesso anónimo ou estritamente privado a serviços de comunicações eletrónicas acessíveis ao público.
3 - A aprovação pela CNPD, referida no número anterior, está sujeita a parecer prévio obrigatório do ICP-ANACOM.
4 - ...
Artigo 14.º
[...]
1 - Constitui contraordenação punível com a coima mínima de (euro) 1500 e máxima de (euro) 25 000, quando praticada por pessoas singulares, e com coima mínima de (euro) 5000 e máxima de (euro) 5 000 000, quando praticada por pessoas coletivas:
a) A inobservância das regras de segurança das redes impostas pelos n.os 1, 2, 3 e 10 do artigo 3.º;
b) A inobservância das regras de segurança no tratamento de dados pessoais impostas pelo n.º 9 do artigo 3.º;
c) A violação das obrigações estabelecidas nos n.os 1, 2, 3, 4, 5 e 10 do artigo 3.º-A ou determinadas nos termos previstos nos respetivos n.os 6 e 9;
d) A violação da obrigação estabelecida no n.º 1 do artigo 4.º, da proibição estabelecida no n.º 2 do artigo 4.º e a realização de gravações em desrespeito do n.º 3 do artigo 4.º;
e) A inobservância das condições de armazenamento e acesso à informação previstas no artigo 5.º;
f) O envio de comunicações para fins de marketing direto em violação dos n.os 1 e 2 do artigo 13.º-A;
g) A violação das obrigações impostas no n.º 3 do artigo 13.º-A;
h) O envio de correio eletrónico em violação do n.º 4 do artigo 13.º-A;
i) A violação da obrigação estabelecida no n.º 1 do artigo 13.º-B;
j) A violação do disposto no n.º 3 do artigo 13.º-B pelas entidades previstas no respetivo n.º 1;
k) A violação da obrigação de prestação de informações estabelecida no artigo 13.º-E;
l) O incumprimento de ordens ou deliberações da CNPD, emitidas nos termos do artigo 13.º-D e regularmente comunicadas aos seus destinatários;
m) O incumprimento de ordens ou deliberações do ICP-ANACOM, emitidas nos termos do artigo 13.º-D e regularmente comunicadas aos seus destinatários.
2 - Constitui contraordenação punível com a coima mínima de (euro) 500 e máxima de (euro) 20 000, quando praticada por pessoas singulares, e com coima mínima de (euro) 2500 e máxima de (euro) 2 500 000, quando praticada por pessoas coletivas:
a) A violação dos requisitos de notificação previstos nos n.os 7, 8 e 10 do artigo 3.º-A ou determinados nos termos previstos no respetivo n.º 9;
b) A inobservância das condições de tratamento e armazenamento de dados de tráfego e de dados de localização previstas nos artigos 6.º e 7.º;
c) A violação das obrigações previstas nos n.os 1, 2 e 4 do artigo 8.º e nos artigos 9.º e 11.º;
d) A violação das obrigações previstas no artigo 10.º;
e) A violação do disposto no artigo 13.º
3 - Quer a contraordenação consista no incumprimento de um dever legal quer no incumprimento de uma ordem ou deliberação emanada da CNPD ou do ICP-ANACOM, nas respetivas áreas de competência, a aplicação e o cumprimento das sanções não dispensam o infrator do cumprimento, se este ainda for possível.
4 - A CNPD ou o ICP-ANACOM, nas respetivas áreas de competência, podem ordenar ao infrator que cumpra o dever ou ordem em causa, sob pena de sanção pecuniária compulsória nos termos do artigo 15.º-C.
5 - A negligência e a tentativa são puníveis, sendo os limites mínimos e máximos da coima reduzidos a metade.
Artigo 15.º
[...]
1 - Compete à CNPD a instauração, instrução e arquivamento de processos de contraordenação, bem como a aplicação de admoestações, coimas e sanções acessórias, por violação do disposto no n.º 9 do artigo 3.º, no artigo 3.º-A, no n.º 3 do artigo 4.º, nos artigos 5.º, 6.º e 7.º, nos n.os 1, 2 e 4 do artigo 8.º, no artigo 10.º, no artigo 13.º, nos n.os 1 a 4 do artigo 13.º-A, nos n.os 1 e 3 do artigo 13.º-B e na alínea l) do n.º 1 do artigo 14.º
2 - Compete ao ICP-ANACOM a instauração, instrução e arquivamento de processos de contraordenação, bem como a aplicação de admoestações, coimas e sanções acessórias, por violação do disposto nos n.os 1, 2, 3 e 10 do artigo 3.º, nos n.os 1 e 2 do artigo 4.º, no artigo 9.º, no artigo 11.º, no artigo 13.º-E e na alínea m) do n.º 1 do artigo 14.º
3 - A instauração de processos de contraordenação e a respetiva aplicação de coimas relativos aos ilícitos previstos no número anterior são da competência do conselho de administração do ICP-ANACOM, cabendo a instrução aos respetivos serviços.
4 - (Anterior n.º 3.)
5 - O montante das coimas reverte para o Estado em 60 % e para a CNPD ou para o ICP-ANACOM, consoante os casos, em 40 %.»
Artigo 3.º
Aditamento à Lei n.º 41/2004, de 18 de agosto
São aditados à Lei n.º 41/2004, de 18 de agosto, os artigos 3.º-A, 13.º-A, 13.º-B, 13.º-C, 13.º-D, 13.º-E, 13.º-F, 13.º-G, 15.º-A, 15.º-B e 15.º-C, com a seguinte redação:
«Artigo 3.º-A
Notificação de violação de dados pessoais
1 - As empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público devem, sem demora injustificada, notificar a CNPD da ocorrência de violação de dados pessoais.
2 - Quando a violação de dados pessoais referida no número anterior possa afetar negativamente os dados pessoais do assinante ou utilizador, as empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público devem ainda, sem demora injustificada, notificar a violação ao assinante ou ao utilizador, para que estes possam tomar as precauções necessárias.
3 - Uma violação de dados pessoais afeta negativamente os dados ou a privacidade do assinante ou utilizador sempre que possa resultar, designadamente, em usurpação ou fraude de identidade, danos físicos, humilhação significativa ou danos para a reputação, quando associados à prestação e utilização de serviços de comunicações eletrónicas acessíveis ao público.
4 - O regime previsto no n.º 2 não se aplica nos casos em que as empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público comprovem perante a CNPD, e esta reconheça, que adotaram as medidas tecnológicas de proteção adequadas e que essas medidas foram aplicadas aos dados a que a violação diz respeito.
5 - As medidas a que se refere o número anterior devem tornar os dados incompreensíveis para todas as pessoas não autorizadas a aceder-lhes.
6 - Sem prejuízo da obrigação de notificação a que se refere o n.º 2, quando a empresa que oferece serviços de comunicações eletrónicas acessíveis ao público não tiver ainda notificado a violação de dados pessoais ao assinante ou ao utilizador, a CNPD pode exigir a realização da mesma notificação, tendo em conta a probabilidade de efeitos adversos decorrentes da violação.
7 - Constituem elementos mínimos da notificação a que se refere o n.º 2 a identificação da natureza da violação dos dados pessoais e dos pontos de contato onde possam ser obtidas informações complementares, bem como a recomendação de medidas destinadas a limitar eventuais efeitos adversos da referida violação.
8 - Na notificação à CNPD prevista no n.º 1, a empresa que oferece serviços de comunicações eletrónicas acessíveis ao público deve, além dos elementos constantes do número anterior, indicar as consequências da violação de dados pessoais e as medidas por si propostas ou tomadas para fazer face à violação.
9 - A CNPD pode, em conformidade com as decisões da Comissão Europeia, emitir orientações ou instruções sobre as circunstâncias em que as empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público estão obrigadas a notificar a violação de dados pessoais, bem como sobre a forma e o procedimento aplicáveis a essas notificações.
10 - Para a verificação, pela CNPD, do cumprimento das obrigações estabelecidas no presente artigo, as empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público devem constituir e manter um registo das situações de violação de dados pessoais, com indicação dos factos que lhes dizem respeito, dos seus efeitos e das medidas adotadas, incluindo as notificações efetuadas e as medidas de reparação tomadas.
Artigo 13.º-A
Comunicações não solicitadas
1 - Está sujeito a consentimento prévio expresso do assinante que seja pessoa singular, ou do utilizador, o envio de comunicações não solicitadas para fins de marketing direto, designadamente através da utilização de sistemas automatizados de chamada e comunicação que não dependam da intervenção humana (aparelhos de chamada automática), de aparelhos de telecópia ou de correio eletrónico, incluindo SMS (serviços de mensagens curtas), EMS (serviços de mensagens melhoradas) MMS (serviços de mensagem multimédia) e outros tipos de aplicações similares.
2 - O disposto no número anterior não se aplica aos assinantes que sejam pessoas coletivas, sendo permitidas as comunicações não solicitadas para fins de marketing direto até que os assinantes recusem futuras comunicações e se inscrevam na lista prevista no n.º 2 do artigo 13.º-B.
3 - O disposto nos números anteriores não impede que o fornecedor de determinado produto ou serviço que tenha obtido dos seus clientes, nos termos da Lei de Proteção de Dados Pessoais, no contexto da venda de um produto ou serviço, as respetivas coordenadas eletrónicas de contacto, possa utilizá-las para fins de marketing direto dos seus próprios produtos ou serviços análogos aos transacionados, desde que garanta aos clientes em causa, clara e explicitamente, a possibilidade de recusarem, de forma gratuita e fácil, a utilização de tais coordenadas:
a) No momento da respetiva recolha; e
b) Por ocasião de cada mensagem, quando o cliente não tenha recusado inicialmente essa utilização.
4 - É proibido o envio de correio eletrónico para fins de marketing direto, ocultando ou dissimulando a identidade da pessoa em nome de quem é efetuada a comunicação, em violação do artigo 21.º do Decreto-Lei n.º 7/2004, de 7 de janeiro, sem a indicação de um meio de contacto válido para o qual o destinatário possa enviar um pedido para pôr termo a essas comunicações, ou que incentive os destinatários a visitar sítios na Internet que violem o disposto no referido artigo.
5 - Para tutela dos interesses dos seus clientes, como parte dos respetivos interesses comerciais, os prestadores de serviços de comunicações eletrónicas acessíveis ao público têm legitimidade para propor ações judiciais contra o autor do incumprimento de qualquer das disposições constantes do presente artigo, bem como do artigo 13.º-B.
Artigo 13.º-B
Listas para efeitos de comunicações não solicitadas
1 - Às entidades que promovam o envio de comunicações para fins de marketing direto, designadamente através da utilização de sistemas automatizados de chamada e comunicação que não dependam da intervenção humana (aparelhos de chamada automática), de aparelhos de telecópia ou de correio eletrónico, incluindo SMS (serviços de mensagens curtas), EMS (serviços de mensagens melhoradas) MMS (serviços de mensagem multimédia) e outros tipos de aplicações similares, cabe manter, por si ou por organismos que as representem, uma lista atualizada de pessoas que manifestaram expressamente e de forma gratuita o consentimento para a receção deste tipo de comunicações, bem como dos clientes que não se opuseram à sua receção ao abrigo do n.º 3 do artigo 13.º-A.
2 - Compete à Direção-Geral do Consumidor (DGC) manter atualizada uma lista de âmbito nacional de pessoas coletivas que manifestem expressamente opor-se à receção de comunicações não solicitadas para fins de marketing direto.
3 - Pela inclusão nas listas referidas nos números anteriores não pode ser cobrada qualquer quantia.
4 - A inserção na lista referida no n.º 2 depende do preenchimento de formulário eletrónico disponibilizado através da página eletrónica da DGC.
5 - As entidades que promovam o envio de comunicações para fins de marketing direto são obrigadas a consultar a lista, atualizada mensalmente pela DGC, que a disponibiliza a seu pedido.
Artigo 13.º-C
Cooperação transfronteiriça
1 - Sem prejuízo das competências atribuídas a outras entidades, a CNPD e o ICP-ANACOM podem, nas respetivas áreas de competência, aprovar medidas para assegurar uma cooperação transfronteiriça eficaz na execução da presente lei.
2 - Sempre que pretendam proceder nos termos previstos no número anterior, a CNPD e o ICP-ANACOM apresentam à Comissão Europeia, em tempo útil e antes da aprovação das medidas em causa, um resumo dos motivos para a ação, os requisitos previstos e as ações propostas.
Artigo 13.º-D
Competências da CNPD e do ICP-ANACOM
No âmbito das competências que lhes são atribuídas pela presente lei, a CNPD e o ICP-ANACOM podem, nas respetivas áreas de competência:
a) Elaborar regulamentos relativamente às práticas a adotar para cumprimento da presente lei;
b) Dar ordens e formular recomendações;
c) Publicitar, nos respetivos sítios na Internet, os códigos de conduta de que tenha conhecimento;
d) Publicitar, nos respetivos sítios na Internet, outras informações que considerem relevantes.
Artigo 13.º-E
Prestação de informações
1 - As entidades sujeitas a obrigações nos termos da presente lei devem, quando solicitadas, prestar ao ICP-ANACOM, na sua respetiva área de competência, todas as informações relacionadas com a sua atividade, para que estas autoridades possam exercer todas as competências naquela previstas.
2 - Os pedidos de informação a que se refere o número anterior devem obedecer a princípios de adequação ao fim a que se destinam e de proporcionalidade e devem ser devidamente fundamentados.
3 - As informações solicitadas devem ser prestadas dentro dos prazos, na forma e com o grau de pormenor exigidos pelo ICP-ANACOM, que pode também estabelecer as circunstâncias e a periodicidade do seu envio.
4 - Para efeitos do n.º 1, as entidades devem identificar, de forma fundamentada, as informações que consideram confidenciais e devem juntar, caso se justifique, uma cópia não confidencial dos documentos em que se contenham tais informações.
Artigo 13.º-F
Incumprimento
1 - Sem prejuízo de outros mecanismos sancionatórios aplicáveis, sempre que a CNPD ou o ICP-ANACOM, nas respetivas áreas de competência, verificarem a infração de qualquer obrigação decorrente da presente lei, devem notificar o infrator desse facto e dar-lhe a possibilidade de num prazo não inferior a 10 dias se pronunciar e, se for caso disso, pôr fim ao incumprimento.
2 - Após ter procedido à audiência, nos termos do número anterior, a CNPD ou o ICP-ANACOM, nas respetivas áreas de competência, podem exigir ao infrator que cesse o incumprimento imediatamente ou no prazo razoável fixado para o efeito.
3 - Se o infrator não puser fim ao incumprimento no prazo referido nos números anteriores, compete à CNPD ou ao ICP-ANACOM, nas respetivas áreas de competência, tomar as medidas adequadas e proporcionais para garantir a observância das obrigações referidas no n.º 1 do presente artigo, nomeadamente a aplicação de sanções pecuniárias compulsórias nos termos previstos na presente lei.
Artigo 13.º-G
Fiscalização
Compete à CNPD e ao ICP-ANACOM, nas respetivas áreas de competência estabelecidas nos termos do disposto no artigo 15.º, a fiscalização do cumprimento da presente lei, através, respetivamente, dos vogais e técnicos devidamente mandatados pela CNPD, nos termos da Lei de Proteção de Dados Pessoais e dos agentes de fiscalização ou de mandatários devidamente credenciados pelo ICP-ANACOM, nos termos do artigo 112.º da Lei das Comunicações Eletrónicas.
Artigo 15.º-A
Sanções acessórias
1 - No âmbito das contraordenações previstas no n.º 2 do artigo 15.º, sempre que a gravidade da infração e a culpa do agente o justifique, o ICP-ANACOM pode aplicar uma sanção acessória de perda a favor do Estado de objetos, equipamentos e dispositivos ilícitos, incluindo o produto do benefício obtido pelo infrator através da prática da contraordenação.
2 - Quem desrespeitar uma sanção acessória que lhe tenha sido aplicada, incorre em crime de desobediência qualificada.
Artigo 15.º-B
Perda a favor do Estado
1 - Sem prejuízo do disposto no n.º 1 do artigo anterior, consideram-se perdidos a favor do Estado os objetos, equipamentos e dispositivos ilícitos que tenham sido cautelar ou provisoriamente apreendidos pelo ICP-ANACOM e que, após notificação aos interessados para que os recolham, não tenham sido reclamados no prazo de 60 dias.
2 - Os objetos, equipamentos e dispositivos ilícitos perdidos a favor do Estado revertem para o ICP-ANACOM, que lhes dará o destino que julgar adequado.
Artigo 15.º-C
Sanções pecuniárias compulsórias
1 - Sem prejuízo de outras sanções aplicáveis, em caso de incumprimento de decisões da CNPD ou do ICP-ANACOM que imponham sanções administrativas ou ordenem, no exercício dos poderes que legalmente lhes assistem, a adoção de comportamentos ou de medidas determinadas aos destinatários da presente lei, podem aquelas autoridades, fundamentadamente, impor uma sanção pecuniária compulsória, nos casos referidos nos n.os 1, 3, 4 e 5 do artigo 10.º, nos n.os 1, 3, e 4 do artigo 13.º e nas alíneas a) a i), j) e l) a m) do n.º 1 e a), b), c), d) e e) do n.º 2 do artigo 14.º
2 - A sanção pecuniária compulsória consiste na imposição ao seu destinatário do pagamento de uma quantia pecuniária por cada dia de atraso no cumprimento para além do prazo nela fixado.
3 - A sanção compulsória é fixada segundo critérios de razoabilidade e proporcionalidade, atendendo à situação económica do infrator, designadamente ao seu volume de negócios no ano civil anterior, e ao impacto negativo do incumprimento no mercado e nos utilizadores, podendo o montante diário situar-se entre (euro) 500 e (euro) 100 000.
4 - Os montantes fixados nos termos do número anterior podem ser variáveis para cada dia de incumprimento, num sentido crescente, não podendo ultrapassar o montante máximo de (euro) 3 000 000 nem a duração máxima de 30 dias.
5 - O montante da sanção aplicada reverte para o Estado em 60 % e para a CNPD ou para o ICP-ANACOM em 40 %.
6 - Dos atos da CNPD e do ICP-ANACOM, praticados ao abrigo do presente artigo, cabe recurso, consoante sejam praticados no âmbito de um processo de contraordenação ou administrativo, nos termos da legislação aplicável a cada tipo de processo em causa.»
Artigo 4.º
Alteração ao Decreto-Lei n.º 7/2004, de 7 de janeiro
Os artigos 7.º, 8.º, 9.º, 23.º, 36.º e 37.º do Decreto-Lei n.º 7/2004, de 7 de janeiro, alterado pelo Decreto-Lei n.º 62/2009, de 10 de março, passam a ter a seguinte redação:
«Artigo 7.º
Medidas restritivas
1 - Podem ser adotadas medidas, incluindo providências concretas contra um prestador de serviços, restritivas à circulação de um determinado serviço da sociedade da informação proveniente de outro Estado membro da União Europeia na medida em que possa lesar ou ameaçar gravemente:
a) ...
b) ...
c) ...
d) ...
2 - A adoção deve ser precedida:
a) ...
b) Caso este o não tenha feito, ou as medidas que tome se revelem inadequadas, da notificação à Comissão e ao Estado membro de origem da intenção de adotar as medidas restritivas.
3 - ...
4 - As medidas adotadas devem ser proporcionais aos objetivos a tutelar.
Artigo 8.º
[...]
Em caso de urgência, as entidades competentes, incluindo os tribunais, podem tomar medidas restritivas não precedidas das notificações à Comissão e aos outros Estados membros de origem previstas no artigo anterior.
Artigo 9.º
[...]
1 - ...
2 - As entidades competentes que tenham a intenção de tomar medidas restritivas, ou as tomem efetivamente, devem comunicá-lo imediatamente à autoridade de supervisão central, a fim de serem notificadas à Comissão e aos Estados membros de origem.
3 - Tratando-se de medidas restritivas de urgência devem ser também indicadas as razões da urgência na sua adoção.
Artigo 23.º
[...]
1 - As comunicações publicitárias à distância por via eletrónica em profissões regulamentadas são permitidas na medida em que cumpram as regras deontológicas de cada profissão, relativas à independência, sigilo profissional e lealdade para com o público e membros da profissão entre si.
2 - ...
Artigo 36.º
[...]
1 - ...
2 - ...
a) Adotar as medidas restritivas previstas nos artigos 7.º e 8.º;
b) ...
c) ...
d) ...
e) ...
3 - ...
4 - ...
Artigo 37.º
[...]
1 - ...
a) A não disponibilização ou a prestação de informação aos destinatários regulada nos artigos 10.º, 13.º e 21.º e no n.º 1 do artigo 28.º;
b) (Revogada.)
c) ...
d) ...
e) ...
f) ...
2 - ...
3 - ...
4 - ...
5 - ...»
Artigo 5.º
Norma revogatória
São revogados:
a) O artigo 12.º da Lei n.º 41/2004, de 18 de agosto;
b) O artigo 22.º e a alínea b) do n.º 1 do artigo 37.º do Decreto-Lei n.º 7/2004, de 7 de janeiro, alterado pelo Decreto-Lei n.º 62/2009, de 10 de março.
Artigo 6.º
Republicação
É republicada, no anexo à presente lei, do qual faz parte integrante, a Lei n.º 41/2004, de 18 de agosto, com a redação atual.
Artigo 7.º
Entrada em vigor
A presente lei entra em vigor no dia seguinte ao da sua publicação.
Aprovada em 25 de julho de 2012.
A Presidente da Assembleia da República, Maria da Assunção A. Esteves.
Promulgada em 10 de agosto de 2012.
Publique-se.
O Presidente da República, Aníbal Cavaco Silva.
Referendada em 17 de agosto de 2012.
O Primeiro-Ministro, Pedro Passos Coelho.
ANEXO
(a que se refere o artigo 6.º)
Republicação da Lei n.º 41/2004, de 18 de agosto
CAPÍTULO I
Objeto e âmbito
Artigo 1.º
Objeto e âmbito de aplicação
1 - A presente lei transpõe para a ordem jurídica nacional a Diretiva n.º 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de julho, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas, com as alterações determinadas pelo artigo 2.º da Diretiva n.º 2009/136/CE, do Parlamento Europeu e do Conselho, de 25 de novembro.
2 - A presente lei aplica-se ao tratamento de dados pessoais no contexto da prestação de serviços de comunicações eletrónicas acessíveis ao público em redes de comunicações públicas, nomeadamente nas redes públicas de comunicações que sirvam de suporte a dispositivos de recolha de dados e de identificação, especificando e complementando as disposições da Lei n.º 67/98, de 26 de outubro (Lei da Proteção de Dados Pessoais).
3 - As disposições da presente lei asseguram a proteção dos interesses legítimos dos assinantes que sejam pessoas coletivas na medida em que tal proteção seja compatível com a sua natureza.
4 - As exceções à aplicação da presente lei que se mostrem estritamente necessárias para a proteção de atividades relacionadas com a segurança pública, a defesa, a segurança do Estado e a prevenção, investigação e repressão de infrações penais são definidas em legislação especial.
5 - Nas situações previstas no número anterior, as empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público devem estabelecer procedimentos internos que permitam responder aos pedidos de acesso a dados pessoais dos utilizadores apresentados pelas autoridades judiciárias competentes, em conformidade com a referida legislação especial.
Artigo 2.º
Definições
1 - Para efeitos da presente lei, entende-se por:
a) «Comunicação» qualquer informação trocada ou enviada entre um número finito de partes mediante a utilização de um serviço de comunicações eletrónicas acessível ao público;
b) «Correio eletrónico» qualquer mensagem textual, vocal, sonora ou gráfica enviada através de uma rede pública de comunicações que possa ser armazenada na rede ou no equipamento terminal do destinatário até que este a recolha;
c) «Utilizador» qualquer pessoa singular que utilize um serviço de comunicações eletrónicas acessível ao público para fins privados ou comerciais, não sendo necessariamente assinante desse serviço;
d) «Dados de tráfego» quaisquer dados tratados para efeitos do envio de uma comunicação através de uma rede de comunicações eletrónicas ou para efeitos da faturação da mesma;
e) «Dados de localização» quaisquer dados tratados numa rede de comunicações eletrónicas ou no âmbito de um serviço de comunicações eletrónicas que indiquem a posição geográfica do equipamento terminal de um utilizador de um serviço de comunicações eletrónicas acessível ao público;
f) «Serviços de valor acrescentado» todos aqueles que requeiram o tratamento de dados de tráfego ou de dados de localização que não sejam dados de tráfego, para além do necessário à transmissão de uma comunicação ou à faturação da mesma;
g) «Violação de dados pessoais» uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizado a dados pessoais transmitidos, armazenados ou de outro modo tratados no contexto da prestação de serviços de comunicações eletrónicas acessíveis ao público.
2 - É excluída da alínea a) do número anterior toda a informação difundida ao público em geral, através de uma rede de comunicações eletrónicas, que não possa ser relacionada com o assinante de um serviço de comunicações eletrónicas ou com qualquer utilizador identificável que receba a informação.
3 - Salvo definição específica da presente lei, são aplicáveis as definições constantes da Lei de Proteção de Dados Pessoais e da Lei n.º 5/2004, de 10 de fevereiro, na redação que lhe foi dada pela Lei n.º 51/2011, de 13 de setembro (Lei das Comunicações Eletrónicas).
CAPÍTULO II
Segurança e confidencialidade
Artigo 3.º
Segurança do processamento
1 - As empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público devem adotar as medidas técnicas e organizacionais adequadas para garantir a segurança dos seus serviços, se necessário, no que respeita à segurança de rede, em conjunto com o fornecedor da rede pública de comunicações.
2 - O fornecedor de rede pública de comunicações que sirva de suporte a serviços de comunicações eletrónicas acessíveis ao público, prestados por outra empresa deve satisfazer os pedidos que esta lhe apresente e que sejam necessários para o cumprimento do regime fixado na presente lei.
3 - As medidas referidas no n.º 1 devem ser adequadas à prevenção dos riscos existentes, tendo em conta a proporcionalidade dos custos da sua aplicação e o estado da evolução tecnológica.
4 - O ICP - Autoridade Nacional de Comunicações (ICP-ANACOM) deve emitir recomendações sobre as melhores práticas relativas ao nível de segurança que essas medidas devem alcançar.
5 - O ICP-ANACOM deve, diretamente ou através de entidade independente, auditar as medidas adotadas nos termos dos números anteriores.
6 - O ICP-ANACOM deve estabelecer o plano dessas auditorias, de modo a abranger, nomeadamente, a determinação dos procedimentos e normas de referência a aplicar-lhes e os requisitos exigíveis aos auditores.
7 - Pode ainda o ICP-ANACOM, ou uma entidade independente por si designada, realizar auditorias de segurança extraordinárias.
8 - Para efeitos da aplicação dos n.os 4 a 7 do presente artigo, caso estejam em causa medidas que possam envolver matérias de proteção de dados pessoais, deve o ICP-ANACOM solicitar parecer à Comissão Nacional de Protecção de Dados (CNPD).
9 - Sem prejuízo do disposto na Lei da Proteção de Dados Pessoais, as medidas referidas nos n.os 1 a 3 devem, no mínimo, incluir:
a) Medidas que assegurem que somente o pessoal autorizado possa ter acesso aos dados pessoais, e apenas para fins legalmente autorizados;
b) A proteção dos dados pessoais transmitidos, armazenados ou de outro modo tratados, contra a destruição, a perda, a alteração, a divulgação ou o acesso não autorizados ou acidentais;
c) Medidas que assegurem a aplicação de uma política de segurança no tratamento dos dados pessoais.
10 - Em caso de risco especial de violação da segurança da rede, as empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público devem informar gratuitamente os assinantes desses serviços da existência do risco e, sempre que o risco se situe fora do âmbito das medidas a tomar pelo prestador do serviço, das soluções possíveis para evitá-lo e dos custos prováveis daí decorrentes.
Artigo 3.º-A
Notificação de violação de dados pessoais
1 - As empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público devem, sem demora injustificada, notificar a CNPD da ocorrência de violação de dados pessoais.
2 - Quando a violação de dados pessoais referida no número anterior possa afetar negativamente os dados pessoais do assinante ou utilizador, as empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público devem ainda, sem demora injustificada, notificar a violação ao assinante ou ao utilizador, para que estes possam tomar as precauções necessárias.
3 - Uma violação de dados pessoais afeta negativamente os dados ou a privacidade do assinante ou utilizador sempre que possa resultar, designadamente, em usurpação ou fraude de identidade, danos físicos, humilhação significativa ou danos para a reputação, quando associados à prestação e utilização de serviços de comunicações eletrónicas acessíveis ao público.
4 - O regime previsto no n.º 2 não se aplica nos casos em que as empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público comprovem perante a CNPD, e esta reconheça, que adotaram as medidas tecnológicas de proteção adequadas e que essas medidas foram aplicadas aos dados a que a violação diz respeito.
5 - As medidas a que se refere o número anterior devem tornar os dados incompreensíveis para todas as pessoas não autorizadas a aceder-lhes.
6 - Sem prejuízo da obrigação de notificação a que se refere o n.º 2, quando a empresa que oferece serviços de comunicações eletrónicas acessíveis ao público não tiver ainda notificado a violação de dados pessoais ao assinante ou ao utilizador, a CNPD pode exigir a realização da mesma notificação, tendo em conta a probabilidade de efeitos adversos decorrentes da violação.
7 - Constituem elementos mínimos da notificação a que se refere o n.º 2 a identificação da natureza da violação dos dados pessoais e dos pontos de contato onde possam ser obtidas informações complementares, bem como a recomendação de medidas destinadas a limitar eventuais efeitos adversos da referida violação.
8 - Na notificação à CNPD prevista no n.º 1, a empresa que oferece serviços de comunicações eletrónicas acessíveis ao público deve, além dos elementos constantes do número anterior, indicar as consequências da violação de dados pessoais e as medidas por si propostas ou tomadas para fazer face à violação.
9 - A CNPD pode, em conformidade com as decisões da Comissão Europeia, emitir orientações ou instruções sobre as circunstâncias em que as empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público estão obrigadas a notificar a violação de dados pessoais, bem como sobre a forma e o procedimento aplicáveis a essas notificações.
10 - Para a verificação, pela CNPD, do cumprimento das obrigações estabelecidas no presente artigo, as empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público devem constituir e manter um registo das situações de violação de dados pessoais, com indicação dos factos que lhes dizem respeito, dos seus efeitos e das medidas adotadas, incluindo as notificações efetuadas e as medidas de reparação tomadas.
Artigo 4.º
Inviolabilidade das comunicações eletrónicas
1 - As empresas que oferecem redes e ou serviços de comunicações eletrónicas devem garantir a inviolabilidade das comunicações e respetivos dados de tráfego realizadas através de redes públicas de comunicações e de serviços de comunicações eletrónicas acessíveis ao público.
2 - É proibida a escuta, a instalação de dispositivos de escuta, o armazenamento ou outros meios de interceção ou vigilância de comunicações e dos respetivos dados de tráfego por terceiros sem o consentimento prévio e expresso dos utilizadores, com exceção dos casos previstos na lei.
3 - O disposto no presente artigo não impede as gravações legalmente autorizadas de comunicações e dos respetivos dados de tráfego, quando realizadas no âmbito de práticas comerciais lícitas, para o efeito de prova de uma transação comercial nem de qualquer outra comunicação feita no âmbito de uma relação contratual, desde que o titular dos dados tenha sido disso informado e dado o seu consentimento.
4 - São autorizadas as gravações de comunicações de e para serviços públicos destinados a prover situações de emergência de qualquer natureza.
Artigo 5.º
Armazenamento e acesso à informação
1 - O armazenamento de informações e a possibilidade de acesso à informação armazenada no equipamento terminal de um assinante ou utilizador apenas são permitidos se estes tiverem dado o seu consentimento prévio, com base em informações claras e completas nos termos da Lei de Proteção de Dados Pessoais, nomeadamente quanto aos objetivos do processamento.
2 - O disposto no presente artigo e no artigo anterior não impede o armazenamento técnico ou o acesso:
a) Que tenha como única finalidade transmitir uma comunicação através de uma rede de comunicações eletrónicas;
b) Estritamente necessário ao fornecedor para fornecer um serviço da sociedade de informação solicitado expressamente pelo assinante ou utilizador.
Artigo 6.º
Dados de tráfego
1 - Sem prejuízo do disposto nos números seguintes, os dados de tráfego relativos aos assinantes e utilizadores tratados e armazenados pelas empresas que oferecem redes e ou serviços de comunicações eletrónicas devem ser eliminados ou tornados anónimos quando deixem de ser necessários para efeitos da transmissão da comunicação.
2 - É permitido o tratamento de dados de tráfego necessários à faturação dos assinantes e ao pagamento de interligações, designadamente:
a) Número ou identificação, endereço e tipo de posto do assinante;
b) Número total de unidades a cobrar para o período de contagem, bem como o tipo, hora de início e duração das chamadas efetuadas ou o volume de dados transmitidos;
c) Data da chamada ou serviço e número chamado;
d) Outras informações relativas a pagamentos, tais como pagamentos adiantados, pagamentos a prestações, cortes de ligação e avisos.
3 - O tratamento referido no número anterior apenas é lícito até final do período durante o qual a fatura pode ser legalmente contestada ou o pagamento reclamado.
4 - As empresas que oferecem serviços de comunicações eletrónicas só podem tratar os dados referidos no n.º 1 se o assinante ou utilizador a quem os dados digam respeito tiver dado o seu consentimento prévio e expresso, que pode ser retirado a qualquer momento, e apenas na medida do necessário e pelo tempo necessário à comercialização de serviços de comunicações eletrónicas ou à prestação de serviços de valor acrescentado.
5 - Nos casos previstos no n.º 2 e, antes de ser obtido o consentimento dos assinantes ou utilizadores, nos casos previstos no n.º 4, as empresas que oferecem serviços de comunicações eletrónicas devem fornecer-lhes informações exatas e completas sobre o tipo de dados que são tratados, os fins e a duração desse tratamento, bem como sobre a sua eventual disponibilização a terceiros para efeitos da prestação de serviços de valor acrescentado.
6 - O tratamento dos dados de tráfego deve ser limitado aos trabalhadores e colaboradores das empresas que oferecem redes e ou serviços de comunicações eletrónicas acessíveis ao público encarregados da faturação ou da gestão do tráfego, das informações a clientes, da deteção de fraudes, da comercialização dos serviços de comunicações eletrónicas acessíveis ao público, ou da prestação de serviços de valor acrescentado, restringindo-se ao necessário para efeitos das referidas atividades.
7 - O disposto nos números anteriores não prejudica o direito de os tribunais e as demais autoridades competentes obterem informações relativas aos dados de tráfego, nos termos da legislação aplicável, com vista à resolução de litígios, em especial daqueles relativos a interligações ou à faturação.
Artigo 7.º
Dados de localização
1 - Nos casos em que sejam processados dados de localização, para além dos dados de tráfego, relativos a assinantes ou utilizadores das redes públicas de comunicações ou de serviços de comunicações eletrónicas acessíveis ao público, o tratamento destes dados é permitido apenas se os mesmos forem tornados anónimos.
2 - É permitido o registo, tratamento e transmissão de dados de localização às organizações com competência legal para receber chamadas de emergência para efeitos de resposta a essas chamadas.
3 - Do mesmo modo, o tratamento de dados de localização é permitido na medida e pelo tempo necessários para a prestação de serviços de valor acrescentado, desde que seja obtido consentimento prévio e expresso dos assinantes ou utilizadores.
4 - As empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público devem, designadamente, informar os utilizadores ou assinantes, antes de obterem o seu consentimento, sobre o tipo de dados de localização que serão tratados, a duração e os fins do tratamento e a eventual transmissão dos dados a terceiros para efeitos de fornecimento de serviços de valor acrescentado.
5 - As empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público devem garantir aos assinantes e utilizadores a possibilidade de, através de um meio simples e gratuito:
a) Retirar a qualquer momento o consentimento anteriormente concedido para o tratamento dos dados de localização referidos nos números anteriores;
b) Recusar temporariamente o tratamento desses dados para cada ligação à rede ou para cada transmissão de uma comunicação.
6 - O tratamento dos dados de localização deve ser limitado aos trabalhadores e colaboradores das empresas que oferecem redes e ou serviços de comunicações eletrónicas acessíveis ao público ou de terceiros que forneçam o serviço de valor acrescentado, devendo restringir-se ao necessário para efeitos da referida atividade.
Artigo 8.º
Faturação detalhada
1 - Os assinantes têm o direito de receber faturas não detalhadas.
2 - As empresas que oferecem redes e ou serviços de comunicações eletrónicas acessíveis ao público devem conciliar os direitos dos assinantes que recebem faturas detalhadas com o direito à privacidade dos utilizadores autores das chamadas e dos assinantes chamados, nomeadamente submetendo à aprovação da CNPD propostas quanto a meios que permitam aos assinantes um acesso anónimo ou estritamente privado a serviços de comunicações eletrónicas acessíveis ao público.
3 - A aprovação pela CNPD, referida no número anterior, está sujeita a parecer prévio obrigatório do ICP-ANACOM.
4 - As chamadas facultadas ao assinante a título gratuito, incluindo chamadas para serviços de emergência ou de assistência, não devem constar da faturação detalhada.
Artigo 9.º
Identificação da linha chamadora e da linha conectada
1 - Quando for oferecida a apresentação da identificação da linha chamadora, as empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público devem garantir, linha a linha, aos assinantes que efetuam as chamadas e, em cada chamada, aos demais utilizadores a possibilidade de, através de um meio simples e gratuito, impedir a apresentação da identificação da linha chamadora.
2 - Quando for oferecida a apresentação da identificação da linha chamadora, as empresas que oferecem serviços de comunicações eletrónicas devem garantir ao assinante chamado a possibilidade de impedir, através de um meio simples e gratuito, no caso de uma utilização razoável desta função, a apresentação da identificação da linha chamadora nas chamadas de entrada.
3 - Nos casos em que seja oferecida a identificação da linha chamadora antes de a chamada ser atendida, as empresas que oferecem serviços de comunicações eletrónicas devem garantir ao assinante chamado a possibilidade de rejeitar, através de um meio simples, chamadas de entrada não identificadas.
4 - Quando for oferecida a apresentação da identificação da linha conectada, as empresas que oferecem serviços de comunicações eletrónicas devem garantir ao assinante chamado a possibilidade de impedir, através de um meio simples e gratuito, a apresentação da identificação da linha conectada ao utilizador que efetua a chamada.
5 - O disposto no n.º 1 do presente artigo é igualmente aplicável às chamadas para países que não pertençam à União Europeia originadas em território nacional.
6 - O disposto nos n.os 2, 3 e 4 é igualmente aplicável a chamadas de entrada originadas em países que não pertençam à União Europeia.
7 - As empresas que oferecem redes e ou serviços de comunicações eletrónicas acessíveis ao público são obrigadas a disponibilizar ao público, e em especial aos assinantes, informações transparentes e atualizadas sobre as possibilidades referidas nos números anteriores.
Artigo 10.º
Exceções
1 - As empresas que oferecem redes e ou serviços de comunicações eletrónicas acessíveis ao público devem, quando tal for compatível com os princípios da necessidade, da adequação e da proporcionalidade, anular por um período de tempo não superior a 30 dias a eliminação da apresentação da linha chamadora, a pedido, feito por escrito e devidamente fundamentado, de um assinante que pretenda determinar a origem de chamadas não identificadas perturbadoras da paz familiar ou da intimidade da vida privada, caso em que o número de telefone dos assinantes chamadores que tenham eliminado a identificação da linha é registado e comunicado ao assinante chamado.
2 - Nos casos previstos no número anterior, a anulação da eliminação da apresentação da linha chamadora deve ser precedida de parecer obrigatório por parte da CNPD.
3 - As empresas referidas no n.º 1 devem igualmente anular, numa base linha a linha, a eliminação da apresentação da linha chamadora bem como registar e disponibilizar os dados de localização de um assinante ou utilizador, no caso previsto no n.º 2 do artigo 7.º, por forma a disponibilizar esses dados às organizações com competência legal para receber chamadas de emergência para efeitos de resposta a essas chamadas.
4 - Nos casos dos números anteriores, deve ser obrigatoriamente transmitida informação prévia ao titular dos referidos dados, sobre a transmissão dos mesmos, ao assinante que os requereu nos termos do n.º 1 ou aos serviços de emergência nos termos do n.º 3.
5 - O dever de informação aos titulares dos dados deve ser exercido pelos seguintes meios:
a) Nos casos do n.º 1, mediante a emissão de uma gravação automática antes do estabelecimento da chamada, que informe os titulares dos dados que, a partir daquele momento e pelo prazo previsto, o seu número de telefone deixa de ser confidencial nas chamadas efetuadas para o assinante que pediu a identificação do número;
b) Nos casos do n.º 3, mediante a inserção de cláusulas contratuais gerais nos contratos a celebrar entre os assinantes e as empresas que fornecem redes e ou serviços de comunicações eletrónicas, ou mediante comunicação expressa aos assinantes nos contratos já celebrados, que possibilitem a transmissão daquelas informações aos serviços de emergência.
6 - A existência do registo e da comunicação a que se referem os n.os 1 e 3 devem ser objeto de informação ao público e a sua utilização deve ser restringida ao fim para que foi concedida.
Artigo 11.º
Reencaminhamento automático de chamadas
As empresas que oferecem redes e ou serviços de comunicações eletrónicas acessíveis ao público devem assegurar aos assinantes a possibilidade de, através de um meio simples e gratuito, interromper o reencaminhamento automático de chamadas efetuado por terceiros para o seu equipamento terminal.
Artigo 12.º
(Revogado.)
Artigo 13.º
Listas de assinantes
1 - Os assinantes devem ser informados, gratuitamente e antes da inclusão dos respetivos dados em listas, impressas ou eletrónicas, acessíveis ao público ou que possam ser obtidas através de serviços de informação de listas, sobre:
a) Os fins a que as listas se destinam;
b) Quaisquer outras possibilidades de utilização baseadas em funções de procura incorporadas em versões eletrónicas das listas.
2 - Os assinantes têm o direito de decidir da inclusão dos seus dados pessoais numa lista pública e, em caso afirmativo, decidir quais os dados a incluir, na medida em que esses dados sejam pertinentes para os fins a que se destinam as listas, tal como estipulado pelo fornecedor.
3 - Deve ser garantida aos assinantes a possibilidade de, sem custos adicionais, verificar, corrigir, alterar ou retirar os dados incluídos nas referidas listas.
4 - Deve ser obtido o consentimento adicional expresso dos assinantes para qualquer utilização de uma lista pública que não consista na busca de coordenadas das pessoas com base no nome e, se necessário, num mínimo de outros elementos de identificação.
Artigo 13.º-A
Comunicações não solicitadas
1 - Está sujeito a consentimento prévio e expresso do assinante que seja pessoa singular, ou do utilizador, o envio de comunicações não solicitadas para fins de marketing direto, designadamente através da utilização de sistemas automatizados de chamada e comunicação que não dependam da intervenção humana (aparelhos de chamada automática), de aparelhos de telecópia ou de correio eletrónico, incluindo SMS (serviços de mensagens curtas), EMS (serviços de mensagens melhoradas) MMS (serviços de mensagem multimédia) e outros tipos de aplicações similares.
2 - O disposto no número anterior não se aplica aos assinantes que sejam pessoas coletivas, sendo permitidas as comunicações não solicitadas para fins de marketing direto até que os assinantes recusem futuras comunicações e se inscrevam na lista prevista no n.º 2 do artigo 13.º-B.
3 - O disposto nos números anteriores não impede que o fornecedor de determinado produto ou serviço que tenha obtido dos seus clientes, nos termos da Lei de Proteção de Dados Pessoais, no contexto da venda de um produto ou serviço, as respetivas coordenadas eletrónicas de contacto, possa utilizá-las para fins de marketing direto dos seus próprios produtos ou serviços análogos aos transacionados, desde que garanta aos clientes em causa, clara e explicitamente, a possibilidade de recusarem, de forma gratuita e fácil, a utilização de tais coordenadas:
a) No momento da respetiva recolha; e
b) Por ocasião de cada mensagem, quando o cliente não tenha recusado inicialmente essa utilização.
4 - É proibido o envio de correio eletrónico para fins de marketing direto, ocultando ou dissimulando a identidade da pessoa em nome de quem é efetuada a comunicação, em violação do artigo 21.º do Decreto-Lei n.º 7/2004, de 7 de janeiro, sem a indicação de um meio de contacto válido para o qual o destinatário possa enviar um pedido para pôr termo a essas comunicações, ou que incentive os destinatários a visitar sítios na Internet que violem o disposto no referido artigo.
5 - Para tutela dos interesses dos seus clientes, como parte dos respetivos interesses comerciais, os prestadores de serviços de comunicações eletrónicas acessíveis ao público têm legitimidade para propor ações judiciais contra o autor do incumprimento de qualquer das disposições constantes do presente artigo, bem como do artigo 13.º-B.
Artigo 13.º-B
Listas para efeitos de comunicações não solicitadas
1 - Às entidades que promovam o envio de comunicações para fins de marketing direto, designadamente através da utilização de sistemas automatizados de chamada e comunicação que não dependam da intervenção humana (aparelhos de chamada automática), de aparelhos de telecópia ou de correio eletrónico, incluindo SMS (serviços de mensagens curtas), EMS (serviços de mensagens melhoradas) MMS (serviços de mensagem multimédia) e outros tipos de aplicações similares, cabe manter, por si ou por organismos que as representem, uma lista atualizada de pessoas que manifestaram expressamente e de forma gratuita o consentimento para a receção deste tipo de comunicações, bem como dos clientes que não se opuseram à sua receção ao abrigo do n.º 3 do artigo 13.º-A.
2 - Compete à Direção-Geral do Consumidor (DGC) manter atualizada uma lista de âmbito nacional de pessoas coletivas que manifestem expressamente opor-se à receção de comunicações não solicitadas para fins de marketing direto.
3 - Pela inclusão nas listas referidas nos números anteriores não pode ser cobrada qualquer quantia.
4 - A inserção na lista referida no n.º 2 depende do preenchimento de formulário eletrónico disponibilizado através da página eletrónica da DGC.
5 - As entidades que promovam o envio de comunicações para fins de marketing direto são obrigadas a consultar a lista, atualizada mensalmente pela DGC, que a disponibiliza a seu pedido.
Artigo 13.º-C
Cooperação transfronteiriça
1 - Sem prejuízo das competências atribuídas a outras entidades, a CNPD e o ICP-ANACOM podem, nas respetivas áreas de competência, aprovar medidas para assegurar uma cooperação transfronteiriça eficaz na execução da presente lei.
2 - Sempre que pretendam proceder nos termos previstos no número anterior, a CNPD e o ICP-ANACOM apresentam à Comissão Europeia, em tempo útil e antes da aprovação das medidas em causa, um resumo dos motivos para a ação, os requisitos previstos e as ações propostas.
Artigo 13.º-D
Competências da CNPD e do ICP-ANACOM
No âmbito das competências que lhes são atribuídas pela presente lei, a CNPD e o ICP-ANACOM podem, nas respetivas áreas de competência:
a) Elaborar regulamentos relativamente às práticas a adotar para cumprimento da presente lei;
b) Dar ordens e formular recomendações;
c) Publicitar, nos respetivos sítios na Internet, os códigos de conduta de que tenha conhecimento;
d) Publicitar, nos respetivos sítios na Internet, outras informações que considerem relevantes.
Artigo 13.º-E
Prestação de informações
1 - As entidades sujeitas a obrigações nos termos da presente lei devem, quando solicitadas, prestar ao ICP-ANACOM, na sua respetiva área de competência, todas as informações relacionadas com a sua atividade, para que estas autoridades possam exercer todas as competências naquela previstas.
2 - Os pedidos de informação a que se refere o número anterior devem obedecer a princípios de adequação ao fim a que se destinam e de proporcionalidade e devem ser devidamente fundamentados.
3 - As informações solicitadas devem ser prestadas dentro dos prazos, na forma e com o grau de pormenor exigidos pelo ICP-ANACOM, que pode também estabelecer as circunstâncias e a periodicidade do seu envio.
4 - Para efeitos do n.º 1, as entidades devem identificar, de forma fundamentada, as informações que consideram confidenciais e devem juntar, caso se justifique, uma cópia não confidencial dos documentos em que se contenham tais informações.
CAPÍTULO III
Regime sancionatório
Artigo 13.º-F
Incumprimento
1 - Sem prejuízo de outros mecanismos sancionatórios aplicáveis, sempre que a CNPD ou o ICP-ANACOM, nas respetivas áreas de competência, verificarem a infração de qualquer obrigação decorrente da presente lei, devem notificar o infrator desse facto e dar-lhe a possibilidade de num prazo não inferior a 10 dias se pronunciar e, se for caso disso, pôr fim ao incumprimento.
2 - Após ter procedido à audiência, nos termos do número anterior, a CNPD ou o ICP-ANACOM, nas respetivas áreas de competência, podem exigir ao infrator que cesse o incumprimento imediatamente ou no prazo razoável fixado para o efeito.
3 - Se o infrator não puser fim ao incumprimento no prazo referido nos números anteriores, compete à CNPD ou ao ICP-ANACOM, nas respetivas áreas de competência, tomar as medidas adequadas e proporcionais para garantir a observância das obrigações referidas no n.º 1 do presente artigo, nomeadamente a aplicação de sanções pecuniárias compulsórias nos termos previstos na presente lei.
Artigo 13.º-G
Fiscalização
Compete à CNPD e ao ICP-ANACOM, nas respetivas áreas de competência estabelecidas nos termos do disposto no artigo 15.º, a fiscalização do cumprimento da presente lei, através, respetivamente, dos vogais e técnicos devidamente mandatados pela CNPD, nos termos da Lei de Proteção de Dados Pessoais e dos agentes de fiscalização ou de mandatários devidamente credenciados pelo ICP-ANACOM, nos termos do artigo 112.º da Lei das Comunicações Eletrónicas.
Artigo 14.º
Contraordenação
1 - Constitui contraordenação punível com a coima mínima de (euro) 1500 e máxima de (euro) 25 000, quando praticada por pessoas singulares, e com coima mínima de (euro) 5000 e máxima de (euro) 5 000 000, quando praticada por pessoas coletivas:
a) A inobservância das regras de segurança das redes impostas pelos n.os 1, 2, 3 e 10 do artigo 3.º;
b) A inobservância das regras de segurança no tratamento de dados pessoais impostas pelo n.º 9 do artigo 3.º;
c) A violação das obrigações estabelecidas nos n.os 1, 2, 3, 4, 5 e 10 do artigo 3.º-A ou determinadas nos termos previstos nos respetivos n.os 6 e 9;
d) A violação da obrigação estabelecida no n.º 1 do artigo 4.º, da proibição estabelecida no n.º 2 do artigo 4.º e a realização de gravações em desrespeito do n.º 3 do artigo 4.º;
e) A inobservância das condições de armazenamento e acesso à informação previstas no artigo 5.º;
f) O envio de comunicações para fins de marketing direto em violação dos n.os 1 e 2 do artigo 13.º-A;
g) A violação das obrigações impostas no n.º 3 do artigo 13.º-A;
h) O envio de correio eletrónico em violação do n.º 4 do artigo 13.º-A;
i) A violação da obrigação estabelecida no n.º 1 do artigo 13.º-B;
j) A violação do disposto no n.º 3 do artigo 13.º-B pelas entidades previstas no respetivo n.º 1;
k) A violação da obrigação de prestação de informações estabelecida no artigo 13.º-E;
l) O incumprimento de ordens ou deliberações da CNPD, emitidas nos termos do artigo 13.º-D e regularmente comunicadas aos seus destinatários;
m) O incumprimento de ordens ou deliberações do ICP-ANACOM, emitidas nos termos do artigo 13.º-D e regularmente comunicadas aos seus destinatários.
2 - Constitui contraordenação punível com a coima mínima de (euro) 500 e máxima de (euro) 20 000, quando praticada por pessoas singulares, e com coima mínima de (euro) 2500 e máxima de (euro) 2 500 000, quando praticada por pessoas coletivas:
a) A violação dos requisitos de notificação previstos nos n.os 7, 8 e 10 do artigo 3.º-A ou determinados nos termos previstos no respetivo n.º 9;
b) A inobservância das condições de tratamento e armazenamento de dados de tráfego e de dados de localização previstas nos artigos 6.º e 7.º;
c) A violação das obrigações previstas nos n.os 1, 2 e 4 do artigo 8.º e nos artigos 9.º e 11.º;
d) A violação das obrigações previstas no artigo 10.º;
e) A violação do disposto no artigo 13.º
3 - Quer a contraordenação consista no incumprimento de um dever legal quer no incumprimento de uma ordem ou deliberação emanada da CNPD ou do ICP-ANACOM, nas respetivas áreas de competência, a aplicação e o cumprimento das sanções não dispensam o infrator do cumprimento, se este ainda for possível.
4 - A CNPD ou o ICP-ANACOM, nas respetivas áreas de competência, podem ordenar ao infrator que cumpra o dever ou ordem em causa, sob pena de sanção pecuniária compulsória nos termos do artigo 15.º-C.
5 - A negligência e a tentativa são puníveis, sendo os limites mínimos e máximos da coima reduzidos a metade.
Artigo 15.º
Processamento e aplicação de coimas
1 - Compete à CNPD a instauração, instrução e arquivamento de processos de contraordenação, bem como a aplicação de admoestações, coimas e sanções acessórias, por violação do disposto no n.º 9 do artigo 3.º, no artigo 3.º-A, no n.º 3 do artigo 4.º, nos artigos 5.º, 6.º e 7.º, nos n.os 1, 2 e 4 do artigo 8.º, no artigo 10.º, no artigo 13.º, nos n.os 1 a 4 do artigo 13.º-A, nos n.os 1 e 3 do artigo 13.º-B e na alínea l) do n.º 1 do artigo 14.º
2 - Compete ao ICP-ANACOM a instauração, instrução e arquivamento de processos de contraordenação, bem como a aplicação de admoestações, coimas e sanções acessórias, por violação do disposto nos n.os 1, 2, 3 e 10 do artigo 3.º, nos n.os 1 e 2 do artigo 4.º, no artigo 9.º, no artigo 11.º, no artigo 13.º-E e na alínea m) do n.º 1 do artigo 14.º
3 - A instauração de processos de contraordenação e a respetiva aplicação de coimas relativos aos ilícitos previstos no número anterior são da competência do conselho de administração do ICP-ANACOM, cabendo a instrução aos respetivos serviços.
4 - As competências previstas no número anterior podem ser delegadas.
5 - O montante das coimas reverte para o Estado em 60 % e para a CNPD ou para o ICP-ANACOM, consoante os casos, em 40 %.
Artigo 15.º-A
Sanções acessórias
1 - No âmbito das contraordenações previstas no n.º 2 do artigo 15.º, sempre que a gravidade da infração e a culpa do agente o justifique, o ICP-ANACOM pode aplicar uma sanção acessória de perda a favor do Estado de objetos, equipamentos e dispositivos ilícitos, incluindo o produto do benefício obtido pelo infrator através da prática da contraordenação.
2 - Quem desrespeitar uma sanção acessória que lhe tenha sido aplicada, incorre em crime de desobediência qualificada.
Artigo 15.º-B
Perda a favor do Estado
1 - Sem prejuízo do disposto no n.º 1 do artigo anterior, consideram-se perdidos a favor do Estado os objetos, equipamentos e dispositivos ilícitos que tenham sido cautelar ou provisoriamente apreendidos pelo ICP-ANACOM e que, após notificação aos interessados para que os recolham, não tenham sido reclamados no prazo de 60 dias.
2 - Os objetos, equipamentos e dispositivos ilícitos perdidos a favor do Estado revertem para o ICP-ANACOM, que lhes dará o destino que julgar adequado.
Artigo 15.º-C
Sanções pecuniárias compulsórias
1 - Sem prejuízo de outras sanções aplicáveis, em caso de incumprimento de decisões da CNPD ou do ICP-ANACOM que imponham sanções administrativas ou ordenem, no exercício dos poderes que legalmente lhes assistem, a adoção de comportamentos ou de medidas determinadas aos destinatários da presente lei, podem aquelas autoridades, fundamentadamente, impor uma sanção pecuniária compulsória, nos casos referidos nos n.os 1, 3, 4 e 5 do artigo 10.º, nos n.os 1, 3, e 4 do artigo 13.º e nas alíneas a) a i), j) e l) a m) do n.º 1 e a), b), c), d) e e) do n.º 2 do artigo 14.º.
2 - A sanção pecuniária compulsória consiste na imposição ao seu destinatário do pagamento de uma quantia pecuniária por cada dia de atraso no cumprimento para além do prazo nela fixado.
3 - A sanção compulsória é fixada segundo critérios de razoabilidade e proporcionalidade, atendendo à situação económica do infrator, designadamente ao seu volume de negócios no ano civil anterior, e ao impacto negativo do incumprimento no mercado e nos utilizadores, podendo o montante diário situar-se entre (euro) 500 e (euro) 100 000.
4 - Os montantes fixados nos termos do número anterior podem ser variáveis para cada dia de incumprimento, num sentido crescente, não podendo ultrapassar o montante máximo de (euro) 3 000 000 nem a duração máxima de 30 dias.
5 - O montante da sanção aplicada reverte para o Estado em 60 % e para a CNPD ou para o ICP-ANACOM em 40 %.
6 - Dos atos da CNPD e do ICP-ANACOM, praticados ao abrigo do presente artigo cabe recurso, consoante sejam praticados no âmbito de um processo de contraordenação ou administrativo, nos termos da legislação aplicável a cada tipo de processo em causa.
Artigo 16.º
Legislação subsidiária
Em tudo o que não esteja previsto na presente lei, são aplicáveis as disposições sancionatórias que constam dos artigos 33.º a 39.º da Lei da Proteção de Dados Pessoais.
CAPÍTULO IV
Disposições finais e transitórias
Artigo 17.º
Características técnicas e normalização
1 - O cumprimento do disposto na presente lei não deve determinar a imposição de requisitos técnicos específicos dos equipamentos terminais ou de outros equipamentos de comunicações eletrónicas que possam impedir a colocação no mercado e a circulação desses equipamentos nos países da União Europeia.
2 - Excetua-se do disposto no número anterior a elaboração e emissão de características técnicas específicas necessárias à execução da presente lei, as quais devem ser comunicadas à Comissão Europeia nos termos dos procedimentos previstos no Decreto-Lei n.º 58/2000, de 18 de abril.
Artigo 18.º
Disposições transitórias
1 - O disposto no artigo 13.º não é aplicável às edições de listas já elaboradas ou colocadas no mercado, em formato impresso ou eletrónico fora de linha, antes da entrada em vigor da presente lei.
2 - No caso de os dados pessoais dos assinantes de serviços telefónicos acessíveis ao público fixos ou móveis terem sido incluídos numa lista pública de assinantes, em conformidade com a legislação anterior e antes da entrada em vigor da presente lei, os dados pessoais desses assinantes podem manter-se nessa lista pública nas suas versões impressa ou eletrónica.
3 - No caso previsto no número anterior, os assinantes têm o direito de decidir pela retirada dos seus dados pessoais da lista pública em causa, devendo receber previamente informação completa sobre as finalidades e opções da mesma em conformidade com o artigo 13.º
4 - A informação referida no número anterior deve ser enviada aos assinantes no prazo máximo de seis meses a contar da data de entrada em vigor da presente lei.
Artigo 19.º
Revogação
É revogada a Lei n.º 69/98, de 28 de outubro.
Artigo 20.º
Entrada em vigor
A presente lei entra em vigor no dia seguinte ao da sua publicação.