Altera a Lei n.º 32/2008, de 17 de julho, por forma a harmonizá-la com os preceitos constitucionais em vigor

Projeto-lei n.º 79/XV/1ª Altera a Lei n.º 32/2008, de 17 de julho, por forma a harmonizá-la com os preceitos constitucionais em vigor Exposição de motivos A Diretiva n.º 2006/24/CE, do Parlamento Europeu e do Conselho, de 15 de março de 2006, foi transposta para a nossa ordem jurídica em 2008, através da aprovação da Lei n.º 32/2008, de 17 de julho. Esta legislação diz respeito à conservação de dados pelas operadoras de comunicações, regulando o tempo, a forma e a extensão dos dados a conservar, quem pode aceder a eles e em que condições. Neste âmbito, as autoridades judiciais, para fins de investigação de crimes graves, podem autorizar as autoridades de polícia criminal a aceder a dados como identificação, tráfego e localização relativos a pessoas singulares e coletivas, bem como os titulares desses dados. Sucede que, através do Acórdão de 8 de abril de 2014, Digital Rights Ireland Ltd e outros, C-293/12 e C-594/12, o Tribunal de Justiça da União Europeia declarou a invalidade da Diretiva referida. O tribunal fundamentou a sua decisão com base na violação do princípio da proporcionalidade operada pela referida Diretiva, relativamente à restrição dos direitos ao respeito pela vida privada e familiar e à proteção dos dados pessoais, todos eles consagrados na Carta dos Direitos Fundamentais da União Europeia. Esta circunstância desde logo levantou dúvidas, ou deveria ter levantado, sobre conformidade da Lei n.º 32/2008 com a referida Carta. E se é verdade que a invalidade da Diretiva não determina a invalidade da Lei portuguesa, apenas significa que a mesma deixa de vincular os Estados-Membros, também é verdade que se mantém a obrigação do Estado português respeitar o disposto na Carta dos Direitos Fundamentais. Mais, em 2017, a Comissão Nacional de Proteção de Dados (doravante CNPD), emitiu a Deliberação n.º 641/2017, de 9 de maio, onde confirma não só a sua convicção relativamente à violação dos direitos ao respeito pela vida privada e pelas comunicações e à proteção de dados pessoais, como também a circunstância desta violação consubstanciar uma restrição desproporcionada face ao disposto no artigo 18.º da Constituição da República Portuguesa (doravante CRP). No mesmo ano, e tendo em conta o exposto, a CNPD acabou por deliberar pela não aplicação da Lei n.º 32/2008, no que diz respeito às competências que lhe eram determinadas pelos artigos 7.º, 8.º, 9.º, 14.º, 16.º e 17.º. Em suma, perante a lei ora em crise, caía a forte convicção que os seus artigos 4.º, 6.º e 7.º violavam: o princípio da proporcionalidade na restrição dos direitos à reserva da intimidade da vida privada e familiar (art. 26.º, n. º1, da CRP); o direito ao sigilo das comunicações (art. 34.º, n. º1, da CRP) e o direito de tutela jurisdicional efetiva (art. 20.º, n. º1, da CRP). A situação ganha especial gravidade quando a própria entidade competente pela fiscalização da aplicação da referida Lei, ela própria, determina a não aplicabilidade da lei e escusa-se de agir nos termos da Lei, por a considerar inconstitucional. A justificação para as referidas violações, segundo a própria Lei, seria o combate à criminalidade grave, com a qual se concorda. No entanto, essa necessidade não pode ir tão longe que coloque em causa direitos fundamentais de todos os cidadãos, a todo o tempo. Havendo, por isso, de uma forma evidente uma desproporcionalidade entre os direitos restringidos e aqueles que se pretendem acautelar. Não há dúvidas que ao Estado cabe garantir a paz e a segurança e, nesse âmbito, deve procurar os meios adequados (entre eles os tecnológicos) para a investigação criminal, em especial a criminalidade grave. Deve ser, no entanto, assegurada a proporcionalidade, coisa que não acontece com a Lei n.º 32/2008 e que justifica uma revisão da mesma, que tenha em conta as preocupações do Tribunal de Justiça da União Europeia, mas também as do Tribunal Constitucional. Este, em sede de processo de fiscalização abstrata, através do Acórdão n.º 268/2022, de 27 de Abril, veio também a pronunciar-se pela “inconstitucionalidade, com força obrigatória geral, da norma constante do artigo 4.º da Lei n.º 32/2008, de 17 de Julho, conjugada com o artigo 6.º da mesma lei (…)”, assim como “da norma do artigo 9.º da Lei n.º 32/2008, de 17 de Julho, relativa à transmissão de dados armazenados às autoridades competentes para investigação, deteção e repressão de crimes graves, na parte em que não prevê uma notificação ao visado de que os dados conservados foram acedidos pelas autoridades de investigação criminal, a partir do momento em que tal comunicação não seja suscetível de comprometer as investigações nem a vida ou integridade física de terceiros, por violação do disposto no n.º 1, do artigo 35.º e do n.º1 do artigo 20.º, em conjugação com o n.º2 do artigo 18.º, todos da Constituição”. Ora tal decisão, e atenta a importância do tema e das consequências da referida decisão, obrigam a que o legislador faça uma nova apreciação sobre a Lei n.º 32/2008, tendo por base a necessidade de acautelar o direito à segurança com o direito à reserva da intimidade da vida privada e sigilo das comunicações. Assim, atendendo a que a Lei na sua redação actual determina a conservação dos dados por parte das operadoras de comunicação durante o período de um ano e permite o acesso pelos órgãos judiciários e órgãos de polícia criminal, devem ser mais restritas tanto as condições de conservação como de acesso. Desde logo o TJUE, posteriormente confirmado pelo TC, levantou reservas quanto a uma conservação generalizada e indiferenciada de todos os dados de tráfego e de todos os dados de localização dos utilizadores de serviços de telecomunicações. Isto é precisamente o que está previsto nos artigos 4.º e 6.º da lei ora em crise. Para além disso, o artigo 7.º não incumbe as autoridades que podem aceder aos dados de informar as pessoas em causa, no âmbito de uma investigação judicial, pelo menos a partir do momento em que tal informação não coloque em causa a referida investigação. Assim, nos termos constitucionais e regimentais aplicáveis, o Grupo Parlamentar do Chega apresenta o seguinte projeto de lei: Artigo 1.º Objeto A presente Lei procede à alteração Lei n.º 32/2008, de 17 de julho, que aprova a Conservação de Dados Gerados ou Tratados no Contexto de oferta de Serviços de Comunicações Eletrónicas, por forma a harmonizá-la com os preceitos constitucionais em vigor. Artigo 2.º Alteração à Lei n.º 32/2008, de 17 de julho São alterados os artigos 3.º, 4.º, 6.º, 7.º, 9.º e 13.º, Lei n.º 32/2008, de 17 de julho, alterada pela Lei n.º 79/2021, de 24 de novembro, os quais passam a ter a seguinte redação: «Artigo 3.º (…) 1 – (…). 2 – (…). 3 – (…). 4 - O titular dos dados não pode opor-se à respectiva conservação e transmissão, desde que esta ocorra no estrito cumprimento da lei. Artigo 4.º (…) 1 - Os fornecedores de serviços de comunicações eletrónicas publicamente disponíveis ou de uma rede pública de comunicações devem conservar, em território na União Europeia, as seguintes categorias de dados: a) Dados necessários para encontrar e identificar a fonte de uma comunicação; b) Dados necessários para encontrar e identificar o destino de uma comunicação; c) Dados necessários para identificar a data, a hora e a duração de uma comunicação; d) Dados necessários para identificar o tipo de comunicação; e) Dados necessários para identificar o equipamento de telecomunicações dos utilizadores, ou o que se considera ser o seu equipamento; f) Revogado. 2 – (…). 3 – (…). 4 – (…). 5 – (…). 6 – (…). 7 – Os dados relativos à identificação da localização do equipamento de comunicação móvel não podem ser conservados de forma generalizada, mas somente após despacho fundamentado de juiz, relativo a pessoa concreta e com efeitos para o futuro. 8 – Para os efeitos do disposto no número que antecede, os dados necessários para identificar a localização do equipamento de comunicação móvel são os seguintes: a) O identificador da célula no início da comunicação; b) Os dados que identifiquem a situação geográfica das células, tomando como referência os respetivos identificadores de célula durante o período em que se procede à conservação de dados. Artigo 6.º Período e local de armazenamento 1 - As entidades referidas no n.º 1 do artigo 4.º devem conservar os dados previstos no mesmo artigo pelo período de seis meses a contar da data da conclusão da comunicação, sem prejuízo do disposto no número 7, do mesmo artigo, no que diz respeito aos dados de identificação da localização do equipamento de comunicação móvel. 2 – Os dados devem ser armazenados em local compatível com o exercício das garantias constitucionais de proteção e com a intervenção da CNPD. Artigo 7.º (…) 1 - As entidades referidas no n.º 1 do artigo 4.º devem: a) (…); b) (…); c) (…); d) (…); e) (…); f) Destruir imediatamente os dados que tenham sido preservados, quando tal lhe seja determinado por ordem do juiz; 2 – (…). 3 – (…). 4 – (…). 5 – (…). Artigo 9.º (…) 1 – A transmissão dos dados referentes às categorias previstas no artigo 4.º só pode ser autorizada, por despacho fundamentado do juiz de instrução, onde este admite a transmissão apenas na medida do estritamente necessário para as finalidades que visa alcançar e se houver razões para crer que a diligência é indispensável para a descoberta da verdade ou que a prova seria, de outra forma, impossível ou muito difícil de obter no âmbito da investigação, deteção e repressão de crimes graves. 2 - (…). 3 - (…). 4 - (…). 5 - (…). 6 - (…). 7 - As autoridades competentes devem informar imediatamente os titulares dos dados a que tenham acedido, a partir do momento em que essa comunicação não seja suscetível de comprometer as investigações levadas a cabo por essas autoridades. Artigo 13.º (…) 1 - Constituem crime, punido com pena de prisão até dois anos ou multa até 240 dias: a) (…); b) (…); c) (…); d) A conservação dos dados por período mais longo que o definido no artigo 6.º. 2 – (…). 3 – (…).» Artigo 3.º Disposições Transitórias 1 - Relativamente aos processos judiciais em curso, é lícita a utilização dos dados conservados pelas entidades referidas no nº1 do artigoº 4, como meios de prova, contanto que a sua solicitação já tenha sido efetuada pela autoridade judiciária competente, nos termos da legislação em vigor e do prazo aí estatuído. 2 – Sem prejuízo do disposto no número anterior, aos processos já em curso, deve aplicar-se integralmente o previsto no artigo 9.º do presente diploma. Artigo 4.º Entrada em vigor A presente Lei entra em vigor no dia seguinte à sua publicação. Assembleia da República, 19 de maio de 2022 Os Deputados do Grupo Parlamentar do CHEGA, André Ventura - Bruno Nunes - Diogo Pacheco de Amorim - Filipe Melo - Gabriel Mithá Ribeiro - Jorge Galveias - Pedro Frazão - Pedro Pessanha - Pedro Pinto - Rita Matias - Rui Afonso - Rui Paulo Sousa

Assembleia da República, 20 de maio de 2022 A Assessora Parlamentar, Sónia Milhano Divisão de Apoio ao Plenário (Extensão: 11822) Forma da iniciativa: Nº da iniciativa/LEG/sessão: | 79/XV/1.ª Proponente/s: Título: | “Altera a Lei n.º 32/2008, de 17 de julho, por forma a harmonizá-la com os preceitos constitucionais em vigor” A iniciativa pode envolver, no ano económico em curso, aumento das despesas ou diminuição das receitas previstas no Orçamento do Estado (n.º 2 do artigo 167.º da Constituição e n.º 2 do artigo 120.º do Regimento)? | Não A iniciativa respeita o limite de não renovação na mesma sessão legislativa, (n.º 4 do artigo 167.º da Constituição e n.º 3 do artigo 120.º do Regimento)? | SIM O proponente junta ficha de avaliação prévia de impacto de género (deliberação da CL e Lei n.º 4/2018, de 9 de fevereiro)? Justifica-se a audição dos órgãos de governo próprio das regiões autónomas (artigo 142.º do Regimento, para efeitos do n.º 2 do artigo 229.º da Constituição)? A iniciativa foi agendada pela CL ou tem pedido de arrastamento? | NÃO Comissão competente em razão da matéria e eventuais conexões: | Comissão de Assuntos Constitucionais, Direitos, Liberdades e Garantias (1.ª) Sem prejuízo do que vier a ser determinado em Conferência dos Presidentes das Comissões Parlamentares Conclusão: A apresentação desta iniciativa parece cumprir os requisitos formais de admissibilidade previstos na Constituição e no Regimento da Assembleia da República. | Conclusão: A apresentação desta iniciativa parece cumprir os requisitos formais de admissibilidade previstos na Constituição e no Regimento da Assembleia da República.

Nao existe texto extraido disponivel para esta fonte.

Assunto: Redação final da Proposta de Lei n.º 11/XV/1.ª (GOV) e dos Projetos de Lei n.os 70/XV/1.ª(PSD) e 79/XV/1.ª (CH) Considerando o disposto no artigo 156.º do Regimento da Assembleia da República e na alínea m) do artigo 9.º da Resolução da Assembleia da República n.º 20/2004, de 16 de fevereiro, junto se anexa o texto de substituição referente à Proposta de Lei n.º 11/XV/1.ª e aos Projetos de Lei n.º s 70/XV/1.ª(PSD) e 79/XV/1.ª(CH), aprovado em votação final global a 13 de outubro de 2023, para envio ao Presidente da Comissão de Assuntos Constitucionais, Direitos, Liberdades e Garantias. No texto do diploma foram incluídos a fórmula inicial e demais elementos formais. Destacamos ainda as seguintes sugestões de redação final, encontrando-se todas realçadas, a amarelo, no projeto de decreto da Assembleia da República: Notas gerais Ao longo do texto, a palavra «Internet» foi grafada em itálico, por se tratar de um vocábulo estrangeiro, tal como indicam as regras de legística formal. Título Sugere-se o aperfeiçoamento do título, tornando-o mais sintético, uma vez que as informações que se omite constam do artigo 1.º (Objeto). Assim, Onde se lê:« Regula o acesso a metadados referentes a comunicações eletrónicas para fins de investigação criminal, procedendo à segunda alteração à Lei n.º 32/2008, de 17 de julho, que transpõe para a ordem jurídica interna a Diretiva n.º 2006/24/CE, do Parlamento Europeu e do Conselho, de 15 de março, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações, conformando-a com o Acórdão do Tribunal Constitucional n.º 268/2022, e à décima primeira alteração à Lei n.º 62/2013, de 26 de agosto, que aprova a Lei da Organização do Sistema Judiciário» Deve ler-se: «Regula o acesso a metadados referentes a comunicações eletrónicas para fins de investigação criminal, alterando a Lei n.º 32/2008, de 17 de julho, e a Lei da Organização do Sistema Judiciário» Artigo 1.º do projeto de decreto Na alínea a) Foi acrescentada o diploma que introduziu a primeira alteração à Lei 32/2008, de 17 de julho. Sugere-se ainda que seja eliminada a parte final da norma, uma vez que tal indicação pode ter uma interpretação subjetiva. Onde se lê: «À segunda alteração à Lei n.º 32/2008, de 17 de julho, que transpõe. …públicas e comunicações, conformando-a- com o Acórdão do Tribunal Constitucional n.º 268/2022.» Deve ler-se: «À segunda alteração à Lei n.º 32/2008, de 17 de julho, que transpõe. …públicas e comunicações, alterada pela Lei n.º 79/2021, de 24 de novembro». Na alínea b) Atendendo ao elevado número de alterações introduzidas à Lei da Organização do Sistema Judiciário, aprovada pela Lei n.º 62/2013, de 26 de agosto, e à semelhança da redação constante do diploma que lhe introduziu a última alteração, a Lei n.º 35/2023, de 21 de julho, sugere-se que não sejam indicados nem o número de ordem da alteração nem o elenco dos diplomas alteradores, em prol da simplicidade e certeza jurídica. Esta forma é já utilizada em códigos, regimes jurídicos e outros diplomas com um elevado número de alterações. Caso a Comissão entenda incluir essas informações, deverá a norma ser atualizada, no sentido de incluir a Lei n.º 35/2023, de 21 de julho, passando a presente a ser a décima segunda alteração. Onde se lê: «À décima primeira alteração à Lei da Organização do Sistema Judiciário, aprovada pela Lei n.º 62/2013, de 26 de agosto, alterada…» Deve ler-se: «À alteração à Lei da Organização do Sistema Judiciário, aprovada pela Lei n.º 62/2013, de 26 de agosto» Artigo 2.º da Lei n.º 32/2008 (constante do artigo 2.º do projeto de decreto) No n.º 2 Sugere-se que seja indicado o título das leis referidas da primeira vez em que os mesmos são mencionados; e ainda que as leis sejam elencadas da mais antiga para a mais recente. (Nota: não foi incluído o título do Regulamento por o mesmo constar do título da Lei n.º 58/2019, de 8 de agosto) Onde se lê: «Para efeitos da presente lei, são aplicáveis, sem prejuízo do disposto no número anterior, as definições constantes do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, e das Leis n.os 58/2019, de 8 de agosto, e 41/2004, de 18 de agosto.» Deve ler-se: « Para efeitos da presente lei, são aplicáveis, sem prejuízo do disposto no número anterior, as definições constantes do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, e das Leis n.os 41/2004, de 18 de agosto, que transpõe para a ordem jurídica nacional a Diretiva n.º 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de julho, relativa ao tratamento de dados pessoais e à proteção da privacidade no sector das comunicações eletrónicas, e 58/2019, de 8 de agosto, que assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Artigo 6.º da Lei n.º 32/2008 (constante do artigo 2.º do projeto de decreto) No n.º 3 Sugere-se o aperfeiçoamento da redação e a sua harmonização com o n.º 1 do artigo 3.º, para o qual a norma remete. Onde se lê: «Os prazos de conservação previstos no número anterior podem ser prorrogados por períodos de três meses até ao limite máximo de um ano, mediante autorização judicial, fundada na sua necessidade para as finalidades referidas no n.º 1 do artigo 3.º, requerida pelo Procurador-Geral da República.» Deve ler-se: «… mediante autorização judicial, requerida pelo Procurador-Geral da República, fundada na sua necessidade para a finalidade prevista no n.º 1 do artigo 3.º» No n.º 4 Considerando que a oração é semelhante às anteriores e o n.º 1 deste artigo não refere «finalidades», sugere-se: Onde se lê: «A prorrogação do prazo de conservação referida nos números anteriores deve limitar-se ao estritamente necessário para a prossecução das finalidades referidas no n.º 1, devendo cessar logo que se confirme a desnecessidade da sua conservação.» Deve ler-se: «A prorrogação do prazo de conservação referida nos números anteriores deve limitar-se ao estritamente necessário para a prossecução da finalidade prevista no n.º 1 do artigo 3.º, devendo cessar logo que se confirme a desnecessidade da sua conservação. No n.º 5 Onde se lê:«As entidades referidas no n.º 1 do artigo 4.º não podem aceder aos dados aí referidos,…» Deve ler-se: «As entidades referidas no n.º 1 do artigo 4.º não podem aceder aos dados aí elencados,…» Artigo 7.º da Lei 32/2008, de 17 de julho (constante do artigo 2.º do projeto de decreto) No n.º 1, e mantendo-se o texto inalterado, Onde se lê: «As entidades referidas no n.º 1 do artigo 4.º devem:» Deve ler-se: «[…]» No n.º 6 Sugere-se que as leis são elencadas por ordem cronológica, da mais antiga para a mais recente. Sendo a primeira vez que é referida a Lei n.º 46/2018, sugere-se que seja indicado o seu título, tal como constante do Diário da República. Onde se lê: «(…) previstos no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, e nas Leis n.os 58/2019, de 8 de agosto, e 41/2004, de 18 de agosto, bem como na Lei n.º 46/2018, de 13 de agosto (Regime Jurídico de Segurança do Ciberespaço), e respetiva regulamentação.» Deve ler-se: «(…) previstos no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, e nas Leis n.os 41/2004, de 18 de agosto, 46/2018, de 13 de agosto, que estabelece o regime jurídico da segurança do ciberespaço, transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União, e 58/2019, de 8 de agosto, e respetiva regulamentação. Artigo 9.º da Lei 32/2008, de 17 de julho (constante do artigo 2.º do projeto de decreto) No n.º 9 Onde se lê :«…categorias previstas no artigo 4.º …» Deve ler-se «… categorias previstas no n.º 1 do artigo 4.º …» Artigo 15.º da Lei 32/2008, de 17 de julho (constante do artigo 2.º do projeto de decreto) Na epígrafe Sugere-se que as leis sejam elencadas por ordem cronológica, iniciando-se na mais antiga Onde se lê: «Aplicabilidade dos regimes sancionatórios previstos nas Leis n.os 58/2019, de 8 de agosto, e 41/2004, de 18 de agosto» Deve ler-se: «Aplicabilidade dos regimes sancionatórios previstos nas Leis n.os 41/2004, de 18 de agosto, e 58/2019, de 8 de agosto» No corpo Onde se lê:«. ..estabelecido pela Lei n.º 58/2019, de 8 de agosto,…» Deve ler-se:«… ..estabelecido na Lei n.º 58/2019, de 8 de agosto,…» Artigo 16.º da Lei 32/2008, de 17 de julho (constante do artigo 2.º do projeto de decreto) No n.º 2, e mantendo-se o texto inalterado, Onde se lê: «Tendo em vista o cumprimento do disposto …..ao ano civil anterior» Deve ler-se: «[…]» Artigo 17.º da Lei 32/2008, de 17 de julho (constante do 2.º do projeto de decreto) Considerando a dimensão da norma, sugere-se a sua divisão em dois números, o que parece facilitar a sua leitura. Foram ainda introduzidas algumas sugestões para aperfeiçoamento da redação. Assim, Onde se lê: « No final de cada biénio, a CNPD, em colaboração com a Autoridade Nacional de Comunicações, procede à avaliação de todos os procedimentos previstos e elabora um relatório detalhado que descreva a sua aplicação, destacando os aspetos que carecem de aperfeiçoamento, o qual deve incluir recomendações que permitam superar constrangimentos detetados, devendo o referido relatório ser transmitido à Assembleia da República e ao Governo até 30 de junho do ano seguinte ao termo do período a que respeita.» Deve ler-se: «1 - No final de cada biénio, a CNPD, em colaboração com a Autoridade Nacional de Comunicações, procede à avaliação de todos os procedimentos previstos na presente lei e elabora um relatório detalhado sobre a sua aplicação, que deve destacar os aspetos que carecem de aperfeiçoamento e incluir recomendações para superar constrangimentos detetados. 2 – O relatório previsto no número anterior deve ser remetido à Assembleia da República e ao Governo até 30 de junho do ano seguinte ao termo do período a que respeita.» Artigo 3.º do projeto de decreto Na epígrafe e no corpo Sugere-se que a Lei n.º 62/2013, de 26 de agosto, seja identificada pelo seu nome, ou seja «Lei da Organização do Sistema Judiciário», tal como se verifica nas suas duas últimas alterações. Artigo 54.º da Lei da Organização do Sistema Judiciário (constante do 3.º do projeto de decreto) O artigo 54.º é composto por 4 números, parecendo a norma alterada corresponder ao texto do n.º 4. Não havendo indicação de que terá sido intenção do legislador suprimir o n.º 3 (o que, de qualquer modo, deveria ser feito com uma revogação expressa), presume-se que por lapso a alteração pretendida para o n.º 4 terá sido numerada como n.º 3, o qual manterá a redação atual. Assim, Onde se lê: «Artigo 54.º […] 1 – […]. 2 – […]. 3 – A formação das secções criminais do Supremo Tribunal de Justiça, (…).» Deve ler-se: «Artigo 54.º […] 1 – […]. 2 – […]. 3 – […] 4 - A formação das secções criminais do Supremo Tribunal de Justiça, (…).» Artigo 4.º do projeto de decreto Onde se lê: «É republicada em anexo à presente lei, que dela faz parte integrante, a Lei n.º 32/2008, de 17 de julho, com a redação atual» Sugere-se: «É republicada, em anexo à presente lei, da qual faz parte integrante, a Lei n.º 32/2008, de 17 de julho, com a redação atual» Republicação No texto da republicação, as sugestões para aperfeiçoamento da redação foram inseridas nas normas correspondentes. Destacamos ainda: Artigo 7.º da Lei 32/2008, de 17 de julho No n.º 7 Foi inserido o texto correspondente Onde se lê: «7 – (Anterior n.º 5).» Deve ler-se: «– A autoridade pública competente para o controlo da aplicação do disposto no presente artigo é a Comissão Nacional de Proteção de Dados (CNPD).» Artigo 16.º da Lei 32/2008, de 17 de julho No n.º 2, alínea a) Foi corrigida a norma no sentido de refletir a alteração aprovada. Onde se lê: « a) O número de casos em que foram transmitidos dados às autoridades nacionais competentes;» Deve ler-se: «a) O número de casos em que foram transmitidos dados às autoridades competentes;» À consideração da comissão competente. As assessoras parlamentares Sónia Milhano Lurdes Sauane Informação n.º 64 / DAPLEN / 2023 17 de outubro

DECRETO DA ASSEMBLEIA DA REPÚBLICA N.º /XV Regula o acesso a metadados referentes a comunicações eletrónicas para fins de investigação criminal, alterando a Lei n.º 32/2008, de 17 de julho, e a Lei da Organização do Sistema Judiciário A Assembleia da República decreta, nos termos da alínea c) do artigo 161.º da Constituição, o seguinte: Artigo 1.º Objeto A presente lei procede: À segunda alteração à Lei n.º 32/2008, de 17 de julho, que transpõe para a ordem jurídica interna a Diretiva n.º 2006/24/CE, do Parlamento Europeu e do Conselho, de 15 de março, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações, alterada pela Lei n.º 79/2021, de 24 de novembro. À alteração à Lei da Organização do Sistema Judiciário, aprovada pela Lei n.º 62/2013, de 26 de agosto. Artigo 2.º Alteração à Lei n.º 32/2008, de 17 de julho Os artigos 2.º, 4.º, 6.º, 7.º, 9.º, 15.º, 16.º e 17.º da Lei n.º 32/2008, de 17 de julho, passam a ter a seguinte redação: «Artigo 2.º […] 1 – […]. 2 – Para efeitos da presente lei, são aplicáveis, sem prejuízo do disposto no número anterior, as definições constantes do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, e das Leis n.os 41/2004, de 18 de agosto, que transpõe para a ordem jurídica nacional a Diretiva n.º 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de julho, relativa ao tratamento de dados pessoais e à proteção da privacidade no sector das comunicações eletrónicas, e 58/2019, de 8 de agosto, que assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Artigo 4.º […] 1 – Os fornecedores de serviços de comunicações eletrónicas publicamente disponíveis ou de uma rede pública de comunicações devem conservar, nos termos previstos na presente lei, em Portugal ou no território de outro Estado-Membro da União Europeia, as seguintes categorias de dados: […] […] […] […] […] […] 2 – […] 3 – […] 4 – […] 5 – […] 6 – […] 7 – […] Artigo 6.º Período e regras de conservação 1 – Para efeitos da finalidade prevista no n.º 1 do artigo 3.º, as entidades referidas no n.º 1 do artigo 4.º devem conservar, pelo período de um ano a contar da data da conclusão da comunicação, os seguintes dados: Os dados relativos à identificação civil dos assinantes ou utilizadores de serviços de comunicações publicamente disponíveis ou de uma rede pública de comunicações; Os demais dados de base; Os endereços de protocolo IP atribuídos à fonte de uma ligação. 2 – Os dados de tráfego e de localização são conservados pelas entidades referidas no n.º 1 do artigo 4.º pelo período de três meses a contar da data da conclusão da comunicação, considerando-se esse período prorrogado até seis meses, salvo se o seu titular se tiver oposto perante as referidas entidades à prorrogação dessa conservação. 3 – Os prazos de conservação previstos no número anterior podem ser prorrogados por períodos de três meses até ao limite máximo de um ano, mediante autorização judicial, requerida pelo Procurador-Geral da República, fundada na sua necessidade para a finalidade prevista no n.º 1 do artigo 3.º. 4 – A prorrogação do prazo de conservação referida nos números anteriores deve limitar-se ao estritamente necessário para a prossecução da finalidade prevista no n.º 1 do artigo 3.º, devendo cessar logo que se confirme a desnecessidade da sua conservação. 5 – As entidades referidas no n.º 1 do artigo 4.º não podem aceder aos dados aí elencados salvo nos casos previstos na lei ou definidos contratualmente com o cliente para efeitos emergentes das respetivas relações jurídicas comerciais. 6 – A autorização judicial a que se refere o n.º 3 compete a uma formação das secções criminais do Supremo Tribunal de Justiça, constituída pelos presidentes das secções e por um juiz designado pelo Conselho Superior da Magistratura, de entre os mais antigos destas secções. Artigo 7.º […] 1 – […] […] Garantir que os dados conservados sejam da mesma qualidade e estejam sujeitos a um nível de proteção e segurança nunca inferior aos dados na rede; […] […] […] […] 2 – […] 3 – […] 4 – As medidas técnicas e organizativas adequadas para assegurar um nível de segurança são aplicadas tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares. 5 – Na avaliação do nível de segurança adequado devem ser considerados, designadamente, os riscos apresentados pelo tratamento, em particular devido à destruição, perda e alteração acidentais ou ilícitas e à divulgação ou ao acesso não autorizados, de dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento. 6 – O disposto nos números anteriores não prejudica a observação dos princípios nem o cumprimento das regras relativos à qualidade e à salvaguarda da confidencialidade e da segurança dos dados, previstos no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, e nas Leis n.os 41/2004, de 18 de agosto, 46/2018, de 13 de agosto, que estabelece o regime jurídico da segurança do ciberespaço, transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União, e 58/2019, de 8 de agosto, e respetiva regulamentação. 7 – (Anterior n.º 5.) Artigo 9.º […] 1 – […] 2 – A autorização prevista no número anterior só pode ser requerida pelo Ministério Público. 3 – […] 4 – […] 5 – […] 6 – […] 7 – Sem prejuízo do disposto no número seguinte, o despacho que autoriza a transmissão dos dados referentes às categorias previstas no n.º 1 do artigo 4.º é notificado ao titular dos dados no prazo máximo de 10 dias a contar da sua prolação. 8 – Se, em inquérito, o Ministério Público considerar que a notificação referida no número anterior comporta risco de pôr em causa a investigação, dificultar a descoberta da verdade ou criar perigo para a vida, para a integridade física ou psíquica ou para a liberdade dos participantes processuais, das vítimas do crime ou de outras pessoas devidamente identificadas, pode solicitar ao juiz de instrução criminal que protele a notificação, a qual é realizada logo que a razão do protelamento deixar de existir ou, o mais tardar, no prazo máximo de 10 dias a contar da data em que for proferido despacho de encerramento desta fase processual. 9 – A transmissão dos dados referentes às categorias previstas no n.º 1 do artigo 4.º a autoridades de outros Estados só pode ocorrer no âmbito da cooperação judiciária internacional em matéria penal, de acordo com as regras fixadas na respetiva lei e desde que esses Estados garantam o mesmo nível de proteção de dados pessoais vigente no território da União Europeia. Artigo 15.º Aplicabilidade dos regimes sancionatórios previstos nas Leis n.os 41/2004, de 18 de agosto, e 58/2019, de 8 de agosto O disposto nos artigos 12.º a 14.º não prejudica a aplicação do regime sancionatório estabelecido na Lei n.º 58/2019, de 8 de agosto, aplicável por incumprimento das obrigações previstas no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, bem como do disposto no capítulo III da Lei n.º 41/2004, de 18 de agosto. Artigo 16.º Estatísticas 1 – A CNPD transmite anualmente à Comissão Europeia as estatísticas sobre a conservação dos dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de uma rede pública de comunicações. 2 – […] O número de casos em que foram transmitidos dados às autoridades competentes; […] O número de casos em que as solicitações das autoridades competentes não puderam ser satisfeitas. 3 – […] Artigo 17.º […] 1 - No final de cada biénio, a CNPD, em colaboração com a Autoridade Nacional de Comunicações, procede à avaliação de todos os procedimentos previstos na presente lei e elabora um relatório detalhado sobre a sua aplicação, que deve destacar os aspetos que carecem de aperfeiçoamento e incluir recomendações para superar constrangimentos detetados. 2 – O relatório previsto no número anterior deve ser remetido à Assembleia da República e ao Governo até 30 de junho do ano seguinte ao termo do período a que respeita.» Artigo 3.º Alteração à Lei da Organização do Sistema Judiciário Os artigos 47.º e 54.º da Lei da Organização do Sistema Judiciário passam a ter a seguinte redação: «Artigo 47.º […] 1 – […] 2 – […] 3 – […] 4 – No Supremo Tribunal de Justiça há também uma formação das secções criminais, constituída pelos presidentes das secções criminais e por um juiz designado pelo Conselho Superior da Magistratura, de entre os mais antigos destas secções, que procede ao controlo e autorização prévia da obtenção de dados de telecomunicações e Internet no quadro da atividade de produção de informações em matéria de espionagem e terrorismo do Serviço de Informações de Segurança e do Serviço de Informações Estratégicas de Defesa, bem como à autorização judicial da prorrogação do prazo de conservação dos dados de tráfego e localização no âmbito da Lei n.º 32/2008, de 17 de julho. Artigo 54.º […] 1 – […] 2 – […] 3 – […] 4 - A formação das secções criminais do Supremo Tribunal de Justiça, constituída nos termos do n.º 4 do artigo 47.º, procede ao controlo e autorização prévia dos pedidos fundamentados de acesso a dados de telecomunicações e Internet nos termos do procedimento previsto na lei especial que aprova o regime especial de acesso a dados de base e a dados de tráfego de comunicações eletrónicas pelo Sistema de Informações da República Portuguesa, bem como à autorização judicial da prorrogação do prazo de conservação dos dados de tráfego e localização no âmbito da Lei n.º 32/2008, de 17 de julho.» Artigo 4.º Republicação É republicada, em anexo à presente lei, da qual faz parte integrante, a Lei n.º 32/2008, de 17 de julho, com a redação atual. Artigo 5.º Entrada em vigor A presente lei entra em vigor no dia seguinte ao da sua publicação. Aprovado em 13 de outubro de 2023 O PRESIDENTE DA ASSEMBLEIA DA REPÚBLICA, (Augusto Santos Silva) ANEXO (a que se refere o artigo 4.º) Republicação da Lei n.º 32/2008, de 17 de julho Transpõe para a ordem jurídica interna a Diretiva n.º 2006/24/CE, do Parlamento Europeu e do Conselho, de 15 de março, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações Artigo 1.º Objeto 1 – A presente lei regula a conservação e a transmissão dos dados de tráfego e de localização relativos a pessoas singulares e a pessoas coletivas, bem como dos dados conexos necessários para identificar o assinante ou o utilizador registado, para fins de investigação, deteção e repressão de crimes graves por parte das autoridades competentes, transpondo para a ordem jurídica interna a Diretiva n.º 2006/24/CE, do Parlamento Europeu e do Conselho, de 15 de Março, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações, e que altera a Diretiva n.º 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de junho, relativa ao tratamento de dados pessoais e à proteção da privacidade no sector das comunicações eletrónicas. 2 – A conservação de dados que revelem o conteúdo das comunicações é proibida, sem prejuízo do disposto na Lei n.º 41/2004, de 18 de agosto, e na legislação processual penal relativamente à interceção e gravação de comunicações. Artigo 2.º Definições 1 – Para efeitos da presente lei, entende-se por: a) «Dados», os dados de tráfego e os dados de localização, bem como os dados conexos necessários para identificar o assinante ou o utilizador; b) «Serviço telefónico», qualquer dos seguintes serviços: i) Os serviços de chamada, incluindo as chamadas vocais, o correio vocal, a teleconferência ou a transmissão de dados; ii) Os serviços suplementares, incluindo o reencaminhamento e a transferência de chamadas; e iii) Os serviços de mensagens e multimédia, incluindo os serviços de mensagens curtas (SMS), os serviços de mensagens melhoradas (EMS) e os serviços multimédia (MMS); c) «Código de identificação do utilizador» («user ID»), um código único atribuído às pessoas, quando estas se tornam assinantes ou se inscrevem num serviço de acesso à Internet, ou num serviço de comunicação pela Internet; d) «Identificador de célula» («cell ID»), a identificação da célula de origem e de destino de uma chamada telefónica numa rede móvel; e) «Chamada telefónica falhada», uma comunicação em que a ligação telefónica foi estabelecida, mas que não obteve resposta, ou em que houve uma intervenção do gestor da rede; f) «Autoridades competentes», as autoridades judiciárias e as autoridades de polícia criminal das seguintes entidades: i) A Polícia Judiciária; ii) A Guarda Nacional Republicana; iii) A Polícia de Segurança Pública; iv) A Polícia Judiciária Militar; v) O Serviço de Estrangeiros e Fronteiras; vi) A Polícia Marítima; g) «Crime grave», crimes de terrorismo, criminalidade violenta, criminalidade altamente organizada, sequestro, rapto e tomada de reféns, crimes contra a identidade cultural e integridade pessoal, contra a segurança do Estado, falsificação de moeda ou de títulos equiparados a moeda, contrafação de cartões ou outros dispositivos de pagamento, uso de cartões ou outros dispositivos de pagamento contrafeitos, aquisição de cartões ou outros dispositivos de pagamento contrafeitos, atos preparatórios da contrafação e crimes abrangidos por convenção sobre segurança da navegação aérea ou marítima. 2 – Para efeitos da presente lei, são aplicáveis, sem prejuízo do disposto no número anterior, as definições constantes do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, e das Leis n.os 41/2004, de 18 de agosto, que transpõe para a ordem jurídica nacional a Diretiva n.º 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de julho, relativa ao tratamento de dados pessoais e à proteção da privacidade no sector das comunicações eletrónicas, e 58/2019, de 8 de agosto, que assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Artigo 3.º Finalidade do tratamento 1 – A conservação e a transmissão dos dados têm por finalidade exclusiva a investigação, deteção e repressão de crimes graves por parte das autoridades competentes. 2 – A transmissão dos dados às autoridades competentes só pode ser ordenada ou autorizada por despacho fundamentado do juiz, nos termos do artigo 9.º. 3 – Os ficheiros destinados à conservação de dados no âmbito da presente lei têm que, obrigatoriamente, estar separados de quaisquer outros ficheiros para outros fins. 4 – O titular dos dados não pode opor-se à respetiva conservação e transmissão. Artigo 4.º Categorias de dados a conservar 1 – Os fornecedores de serviços de comunicações eletrónicas publicamente disponíveis ou de uma rede pública de comunicações devem conservar, nos termos previstos na presente lei, em Portugal ou no território de outro Estado-Membro da União Europeia, as seguintes categorias de dados: a) Dados necessários para encontrar e identificar a fonte de uma comunicação; b) Dados necessários para encontrar e identificar o destino de uma comunicação; c) Dados necessários para identificar a data, a hora e a duração de uma comunicação; d) Dados necessários para identificar o tipo de comunicação; e) Dados necessários para identificar o equipamento de telecomunicações dos utilizadores, ou o que se considera ser o seu equipamento; f) Dados necessários para identificar a localização do equipamento de comunicação móvel. 2 – Para os efeitos do disposto na alínea a) do número anterior, os dados necessários para encontrar e identificar a fonte de uma comunicação são os seguintes: a) No que diz respeito às comunicações telefónicas nas redes fixa e móvel: i) O número de telefone de origem; ii) O nome e endereço do assinante ou do utilizador registado; b) No que diz respeito ao acesso à Internet, ao correio eletrónico através da Internet e às comunicações telefónicas através da Internet: i) Os códigos de identificação atribuídos ao utilizador; ii) O código de identificação do utilizador e o número de telefone atribuídos a qualquer comunicação que entre na rede telefónica pública; iii) O nome e o endereço do assinante ou do utilizador registado, a quem o endereço do protocolo IP, o código de identificação de utilizador ou o número de telefone estavam atribuídos no momento da comunicação. 3 – Para os efeitos do disposto na alínea b) do n.º 1, os dados necessários para encontrar e identificar o destino de uma comunicação são os seguintes: a) No que diz respeito às comunicações telefónicas nas redes fixa e móvel: i) Os números marcados e, em casos que envolvam serviços suplementares, como o reencaminhamento ou a transferência de chamadas, o número ou números para onde a chamada foi reencaminhada; ii) O nome e o endereço do assinante, ou do utilizador registado; b) No que diz respeito ao correio eletrónico através da Internet e às comunicações telefónicas através da Internet: i) O código de identificação do utilizador ou o número de telefone do destinatário pretendido, ou de uma comunicação telefónica através da Internet; ii) Os nomes e os endereços dos subscritores, ou dos utilizadores registados, e o código de identificação de utilizador do destinatário pretendido da comunicação. 4 – Para os efeitos do disposto na alínea c) do n.º 1, os dados necessários para identificar a data, a hora e a duração de uma comunicação são os seguintes: a) No que diz respeito às comunicações telefónicas nas redes fixa e móvel, a data e a hora do início e do fim da comunicação; b) No que diz respeito ao acesso à Internet, ao correio eletrónico através da Internet e às comunicações telefónicas através da Internet: i) A data e a hora do início (log in) e do fim (log off) da ligação ao serviço de acesso à Internet com base em determinado fuso horário, juntamente com o endereço do protocolo IP, dinâmico ou estático, atribuído pelo fornecedor do serviço de acesso à Internet a uma comunicação, bem como o código de identificação de utilizador do subscritor ou do utilizador registado; ii) A data e a hora do início e do fim da ligação ao serviço de correio eletrónico através da Internet ou de comunicações através da Internet, com base em determinado fuso horário. 5 – Para os efeitos do disposto na alínea d) do n.º 1, os dados necessários para identificar o tipo de comunicação são os seguintes: a) No que diz respeito às comunicações telefónicas nas redes fixa e móvel, o serviço telefónico utilizado; b) No que diz respeito ao correio eletrónico através da Internet e às comunicações telefónicas através da Internet, o serviço de Internet utilizado. 6 – Para os efeitos do disposto na alínea e) do n.º 1, os dados necessários para identificar o equipamento de telecomunicações dos utilizadores, ou o que se considera ser o seu equipamento, são os seguintes: a) No que diz respeito às comunicações telefónicas na rede fixa, os números de telefone de origem e de destino; b) No que diz respeito às comunicações telefónicas na rede móvel: i) Os números de telefone de origem e de destino; ii) A Identidade Internacional de Assinante Móvel (International Mobile Subscriber Identity, ou IMSI) de quem telefona; iii) A Identidade Internacional do Equipamento Móvel (International Mobile Equipment Identity, ou IMEI) de quem telefona; iv) A IMSI do destinatário do telefonema; v) A IMEI do destinatário do telefonema; vi) No caso dos serviços pré-pagos de carácter anónimo, a data e a hora da ativação inicial do serviço e o identificador da célula a partir da qual o serviço foi ativado; c) No que diz respeito ao acesso à Internet, ao correio eletrónico através da Internet e às comunicações telefónicas através da Internet: i) O número de telefone que solicita o acesso por linha telefónica; ii) A linha de assinante digital (digital subscriber line, ou DSL), ou qualquer outro identificador terminal do autor da comunicação. 7 – Para os efeitos do disposto na alínea f) do n.º 1, os dados necessários para identificar a localização do equipamento de comunicação móvel são os seguintes: a) O identificador da célula no início da comunicação; b) Os dados que identifiquem a situação geográfica das células, tomando como referência os respetivos identificadores de célula durante o período em que se procede à conservação de dados. Artigo 5.º Âmbito da obrigação de conservação dos dados 1 – Os dados telefónicos e da Internet relativos a chamadas telefónicas falhadas devem ser conservados quando sejam gerados ou tratados e armazenados pelas entidades referidas no n.º 1 do artigo 4.º, no contexto da oferta de serviços de comunicação. 2 – Os dados relativos a chamadas não estabelecidas não são conservados. Artigo 6.º Período e regras de conservação 1 – Para efeitos da finalidade prevista no n.º 1 do artigo 3.º, as entidades referidas no n.º 1 do artigo 4.º devem conservar, pelo período de um ano a contar da data da conclusão da comunicação, os seguintes dados: a) Os dados relativos à identificação civil dos assinantes ou utilizadores de serviços de comunicações publicamente disponíveis ou de uma rede pública de comunicações; b) Os demais dados de base; c) Os endereços de protocolo IP atribuídos à fonte de uma ligação. 2 – Os dados de tráfego e de localização são conservados pelas entidades referidas no n.º 1 do artigo 4.º pelo período de três meses a contar da data da conclusão da comunicação, considerando-se esse período prorrogado até seis meses, salvo se o seu titular se tiver oposto perante as referidas entidades à prorrogação dessa conservação. 3 – Os prazos de conservação previstos no número anterior podem ser prorrogados por períodos de três meses até ao limite máximo de um ano, mediante autorização judicial, requerida pelo Procurador-Geral da República, fundada na sua necessidade para a finalidade prevista no n.º 1 do artigo 3.º. 4 – A prorrogação do prazo de conservação referida nos números anteriores deve limitar-se ao estritamente necessário para a prossecução da finalidade prevista no n.º 1 do artigo 3.º, devendo cessar logo que se confirme a desnecessidade da sua conservação. 5 – As entidades referidas no n.º 1 do artigo 4.º não podem aceder aos dados aí elencados, salvo nos casos previstos na lei ou definidos contratualmente com o cliente para efeitos emergentes das respetivas relações jurídicas comerciais. 6 – A autorização judicial a que se refere o n.º 3 compete a uma formação das secções criminais do Supremo Tribunal de Justiça, constituída pelos presidentes das secções e por um juiz designado pelo Conselho Superior da Magistratura, de entre os mais antigos destas secções. Artigo 7.º Proteção e segurança dos dados 1 – As entidades referidas no n.º 1 do artigo 4.º devem: a) Conservar os dados referentes às categorias previstas no artigo 4.º por forma a que possam ser transmitidos imediatamente, mediante despacho fundamentado do juiz, às autoridades competentes; b) Garantir que os dados conservados sejam da mesma qualidade e estejam sujeitos a um nível de proteção e segurança nunca inferior aos dados na rede; c) Tomar as medidas técnicas e organizativas adequadas à proteção dos dados previstos no artigo 4.º contra a destruição acidental ou ilícita, a perda ou a alteração acidental e o armazenamento, tratamento, acesso ou divulgação não autorizado ou ilícito; d) Tomar as medidas técnicas e organizativas adequadas para garantir que apenas pessoas especialmente autorizadas tenham acesso aos dados referentes às categorias previstas no artigo 4.º; e) Destruir os dados no final do período de conservação, exceto os dados que tenham sido preservados por ordem do juiz; f) Destruir os dados que tenham sido preservados, quando tal lhe seja determinado por ordem do juiz. 2 – Os dados referentes às categorias previstas no artigo 4.º, com exceção dos dados relativos ao nome e endereço dos assinantes, devem permanecer bloqueados desde o início da sua conservação, só sendo alvo de desbloqueio para efeitos de transmissão, nos termos da presente lei, às autoridades competentes. 3 – A transmissão dos dados referentes às categorias previstas no artigo 4.º processa-se mediante comunicação eletrónica, nos termos das condições técnicas e de segurança fixadas em portaria conjunta dos membros do Governo responsáveis pelas áreas da administração interna, da justiça e das comunicações, que devem observar um grau de codificação e proteção o mais elevado possível, de acordo com o estado da técnica ao momento da transmissão, incluindo métodos de codificação, encriptação ou outros adequados. 4 – As medidas técnicas e organizativas adequadas para assegurar um nível de segurança são aplicadas tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares. 5 – Na avaliação do nível de segurança adequado devem ser considerados, designadamente, os riscos apresentados pelo tratamento, em particular devido à destruição, perda e alteração acidentais ou ilícitas e à divulgação ou ao acesso não autorizados, de dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento. 6 – O disposto nos números anteriores não prejudica a observação dos princípios nem o cumprimento das regras relativos à qualidade e à salvaguarda da confidencialidade e da segurança dos dados, previstos no Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, e nas Leis n.os 41/2004, de 18 de agosto, 46/2018, de 13 de agosto, que estabelece o regime jurídico da segurança do ciberespaço, transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União, e 58/2019, de 8 de agosto, e respetiva regulamentação. 7 – A autoridade pública competente para o controlo da aplicação do disposto no presente artigo é a Comissão Nacional de Proteção de Dados (CNPD). Artigo 8.º Registo de pessoas especialmente autorizadas 1 – A CNPD deve manter um registo eletrónico permanentemente atualizado das pessoas especialmente autorizadas a aceder aos dados, nos termos da alínea d) do n.º 1 do artigo anterior. 2 – Para os efeitos previstos no número anterior, os fornecedores de serviços de comunicações eletrónicas ou de uma rede pública de comunicações devem remeter à CNPD, por via exclusivamente eletrónica, os dados necessários à identificação das pessoas especialmente autorizadas a aceder aos dados. Artigo 9.º Transmissão dos dados 1 – A transmissão dos dados referentes às categorias previstas no artigo 4.º só pode ser autorizada, por despacho fundamentado do juiz de instrução, se houver razões para crer que a diligência é indispensável para a descoberta da verdade ou que a prova seria, de outra forma, impossível ou muito difícil de obter no âmbito da investigação, deteção e repressão de crimes graves. 2 – A autorização prevista no número anterior só pode ser requerida pelo Ministério Público. 3 – Só pode ser autorizada a transmissão de dados relativos: a) Ao suspeito ou arguido; b) A pessoa que sirva de intermediário, relativamente à qual haja fundadas razões para crer que recebe ou transmite mensagens destinadas ou provenientes de suspeito ou arguido; ou c) A vítima de crime, mediante o respetivo consentimento, efetivo ou presumido. 4 – A decisão judicial de transmitir os dados deve respeitar os princípios da adequação, necessidade e proporcionalidade, designadamente no que se refere à definição das categorias de dados a transmitir e das autoridades competentes com acesso aos dados e à proteção do segredo profissional, nos termos legalmente previstos. 5 – O disposto nos números anteriores não prejudica a obtenção de dados sobre a localização celular necessários para afastar perigo para a vida ou de ofensa à integridade física grave, nos termos do artigo 252.º-A do Código de Processo Penal. 6 – As entidades referidas no n.º 1 do artigo 4.º devem elaborar registos da extração dos dados transmitidos às autoridades competentes e enviá-los trimestralmente à CNPD. 7 – Sem prejuízo do disposto no número seguinte, o despacho que autoriza a transmissão dos dados referentes às categorias previstas no n.º 1 do artigo 4.º é notificado ao titular dos dados no prazo máximo de 10 dias a contar da sua prolação. 8 – Se, em inquérito, o Ministério Público considerar que a notificação referida no número anterior comporta risco de pôr em causa a investigação, dificultar a descoberta da verdade ou criar perigo para a vida, para a integridade física ou psíquica ou para a liberdade dos participantes processuais, das vítimas do crime ou de outras pessoas devidamente identificadas, pode solicitar ao juiz de instrução criminal que protele a notificação, a qual é realizada logo que a razão do protelamento deixar de existir ou, o mais tardar, no prazo máximo de 10 dias a contar da data em que for proferido despacho de encerramento desta fase processual. 9 – A transmissão dos dados referentes às categorias previstas no n.º 1 do artigo 4.º a autoridades de outros Estados só pode ocorrer no âmbito da cooperação judiciária internacional em matéria penal, de acordo com as regras fixadas na respetiva lei e desde que esses Estados garantam o mesmo nível de proteção de dados pessoais vigente no território da União Europeia. Artigo 10.º Condições técnicas da transmissão dos dados A transmissão dos dados referentes às categorias previstas no artigo 4.º processa-se mediante comunicação eletrónica, nos termos das condições técnicas e de segurança previstas no n.º 3 do artigo 7.º Artigo 11.º Destruição dos dados 1 – O juiz determina, oficiosamente ou a requerimento de qualquer interessado, a destruição dos dados na posse das autoridades competentes, bem como dos dados preservados pelas entidades referidas no n.º 1 do artigo 4.º, logo que os mesmos deixem de ser estritamente necessários para os fins a que se destinam. 2 – Considera-se que os dados deixam de ser estritamente necessários para o fim a que se destinam logo que ocorra uma das seguintes circunstâncias: a) Arquivamento definitivo do processo penal; b) Absolvição, transitada em julgado; c) Condenação, transitada em julgado; d) Prescrição do procedimento penal; e) Amnistia. Artigo 12.º Contraordenações 1 – Sem prejuízo da responsabilidade criminal a que haja lugar nos termos da lei, constitui contraordenação: a) A não conservação das categorias dos dados previstas no artigo 4.º; b) O incumprimento do prazo de conservação previsto no artigo 6.º; c) A não transmissão dos dados às autoridades competentes, quando autorizada nos termos do disposto no artigo 9.º; d) O não envio dos dados necessários à identificação das pessoas especialmente autorizadas, nos termos do n.º 2 do artigo 8.º 2 – As contraordenações previstas no número anterior são puníveis com coimas de (euro) 1500 a (euro) 50 000 ou de (euro) 5000 a (euro) 10 000 000 consoante o agente seja uma pessoa singular ou coletiva. 3 – A tentativa e a negligência são puníveis. Artigo 13.º Crimes 1 – Constituem crime, punido com pena de prisão até dois anos ou multa até 240 dias: a) O incumprimento de qualquer das regras relativas à proteção e à segurança dos dados previstas no artigo 7.º; b) O não bloqueio dos dados, nos termos previstos no n.º 2 do artigo 7.º; c) O acesso aos dados por pessoa não especialmente autorizada nos termos do n.º 1 do artigo 8.º. 2 – A pena é agravada para o dobro dos seus limites quando o crime: a) For cometido através de violação de regras técnicas de segurança; b) Tiver possibilitado ao agente ou a terceiros o conhecimento de dados pessoais; ou c) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial. 3 – A tentativa e a negligência são puníveis. Artigo 14.º Processos de contraordenação e aplicação das coimas 1 – Compete à CNPD a instrução dos processos de contraordenação e a respetiva aplicação de coimas relativas às condutas previstas no artigo anterior. 2 – O montante das importâncias cobradas em resultado da aplicação das coimas é distribuído da seguinte forma: a) 60% para o Estado; b) 40% para a CNPD. Artigo 15.º Aplicabilidade dos regimes sancionatórios previstos nas Leis n.os 41/2004, de 18 de agosto, e 58/2019, de 8 de agosto O disposto nos artigos 12.º a 14.º não prejudica a aplicação do regime sancionatório estabelecido na Lei n.º 58/2019, de 8 de agosto, aplicável por incumprimento das obrigações previstas no Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, bem como do disposto no capítulo III da Lei n.º 41/2004, de 18 de agosto. Artigo 16.º Estatísticas 1 – A CNPD transmite anualmente à Comissão Europeia as estatísticas sobre a conservação dos dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de uma rede pública de comunicações. 2 – Tendo em vista o cumprimento do disposto no número anterior, as entidades referidas no n.º 1 do artigo 4.º devem, até 1 de março de cada ano, remeter à CNPD as seguintes informações, relativas ao ano civil anterior: a) O número de casos em que foram transmitidos dados às autoridades competentes; b) O período de tempo decorrido entre a data a partir da qual os dados foram conservados e a data em que as autoridades competentes solicitaram a sua transmissão; e c) O número de casos em que as solicitações das autoridades competentes não puderam ser satisfeitas. 3 – As informações previstas no número anterior não podem conter quaisquer dados pessoais. Artigo 17.º Avaliação 1 - No final de cada biénio, a CNPD, em colaboração com a Autoridade Nacional de Comunicações, procede à avaliação de todos os procedimentos previstos na presente lei e elabora um relatório detalhado sobre a sua aplicação, que deve destacar os aspetos que carecem de aperfeiçoamento e incluir recomendações para superar constrangimentos detetados. 2 – O relatório previsto no número anterior deve ser remetido à Assembleia da República e ao Governo até 30 de junho do ano seguinte ao termo do período a que respeita. Artigo 18.º Produção de efeitos A presente lei produz efeitos 90 dias após a publicação da portaria a que se refere o n.º 3 do artigo 7.º.

JuntodevolvoaVossaExceléncia,nostermosdoartigo279°,n.°1,daConstituição,o DecretodaAssernbleiadaRepñblican.°91/XV—Regulaoacessoametadadosreferentesa cornunicaçôeseletrónicasparafinsdeinvestigacàocriminal,procedendoasegundaalteraçàoa Lein.°32/2008,de17dejuiho,quetranspöeparaaordemjurIdicainternaaDiretiva 2006/24/CE,doParlamentoEuropeuedoConseiho,de15demarco,relativaaconservacãode dadosgeradosoutratadosnocontextodaofertadeserviçosdecornunicacöeseletrónicas publicamentedisponIveisouderedespüblicasdecornunicaçöes,conforrnando-acorno AcórdãodoTribunalConstitucionaln.°268/2022,eadécirnasegundaalteraçãoaLein.° 62/2013,de26deagosto,queaprovaaLeidaOrganizaçaodoSistemaJudiciário,urnavezque oTribunalConstitucional,atravésdeAcórdãocujafotocópiaseanexa,sepronunciou,emsede defiscalizaçãopreventiva,pelainconstitucionalidadenosterrnosseguintes: “Pronunciar-sepelainconstitucionalidadedanorrnaconstantedoartigo2.”doDecreton.° 91/XV,daAssernbleiadaRepüblica,publicadonoDiáriodaAssernbleiadaRepüblican.° 26,IISérieA,de26deoutubrode2023,eenviadoaoPresidentedaRepiblicapara prornulgaçãocornolei,naparteemquealteraoartigo4.°daLein.°32/2008,de17dejuiho, conjugadocomoartigo6.°damesmalei,quantoaosdadosprevistosnon.°2domencionado artigo6.°,porviolaçãododispostonosnürneros1e4doartigo35.°edon.°Idoartigo26.°, emconjugaçaocornon.°2doartigo18.°,tododaConstituição; MaissolicitoaoParlarnentoque,atendendoaurgénciaesensibilidadedoternaemapreço,volte, casoassirnoentendaecornamajorbrevidadepossIvel,aponderarainconstitucionalidade supraidentificada. SuaExceléncia ProfessorDoutorAugustoErnestoSantosSilva PresidentedaAssernbleiadaRepüblica ç4dedezembrode2023 osmeusrespeitososcumprirnentos.

REAPRECIAÇÃO DO DECRETO DA ASSEMBLEIA DA REPÚBLICA N.º 91/XV Regula o acesso a metadados referentes a comunicações eletrónicas para fins de investigação criminal, procedendo à segunda alteração à Lei n.º 32/2008, de 17 de julho, que transpõe para a ordem jurídica interna a Diretiva n.º 2006/24/CE, do Parlamento Europeu e do Conselho, de 15 de março, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações, conformando-a com o Acórdão do Tribunal Constitucional n.º 268/2022, e à décima segunda alteração à Lei n.º 62/2013, de 26 de agosto, que aprova a Lei da Organização do Sistema Judiciário PROPOSTA DE ALTERAÇÃO (…) “Artigo 2.º […] (…) Artigo 9.º […] 1 – […] 2 (novo) – Apenas os dados de tráfego e localização gerados por um suspeito de prática de crime grave podem ser conservados, pelos períodos previstos no presente artigo, e apenas para a finalidade prevista no n.º 1 do artigo 3.º. 3 – [anterior n.º 2] 4 – [anterior n.º 3] 5 – [anterior n.º 4] 6 – [anterior n.º 5] 7 – [anterior n.º 6]”. Palácio de S. Bento, 22 de dezembro de 2023 Os Deputados do Chega, André Ventura Bruno Nunes Diogo Pacheco de Amorim Filipe Melo Gabriel Mithá Ribeiro Jorge Galveias Pedro Frazão Pedro Pessanha Pedro Pinto Rita Matias Rui Afonso Rui Paulo Sousa

PROPOSTAS DE ALTERAÇÃO AO DECRETO DA ASSEMBLEIA DA REPÚBLICA N.º 91/XV 1 – Alteração ao título do decreto Regula o acesso a metadados referentes a comunicações eletrónicas para fins de investigação criminal, procedendo à segunda alteração à Lei n.º 32/2008, de 17 de julho, que transpõe para a ordem jurídica interna a Diretiva n.º 2006/24/CE, do Parlamento Europeu e do Conselho, de 15 de março, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações, conformando-a com os Acórdãos do Tribunal Constitucional n.ºs 268/2022 e 800/2023, e à décima segunda alteração à Lei n.º 62/2013, de 26 de agosto, que aprova a Lei da Organização do Sistema Judiciário 2 – Alteração ao Artigo 1.º DO DECRETO Artigo 1.º Objeto A presente lei procede: À segunda alteração à Lei n.º 32/2008, de 17 de julho, que transpõe para a ordem jurídica interna a Diretiva n.º 2006/24/CE, do Parlamento Europeu e do Conselho, de 15 de março, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações, conformando-a com os Acórdãos do Tribunal Constitucional n.ºs 268/2022 e 800/2023; [Atual redação do Decreto da Assembleia da República n.º 91-XV] 3 – Alteração ao Artigo 2.º DO DECRETO Artigo 2.º Alteração à Lei n.º 32/2008, de 17 de julho Os artigos 2.º, 4.º, 6.º, 7.º, 9.º, 15.º, 16.º e 17.º da Lei n.º 32/2008, de 17 de julho, alterada pela Lei n.º 79/2021, de 24 de novembro, passam a ter a seguinte redação: «Artigo 2.º [Atual redação do Decreto da Assembleia da República n.º 91-XV] Artigo 4.º [Atual redação do Decreto da Assembleia da República n.º 91-XV] Artigo 6.º Período e regras de conservação 1 – [Atual redação do Decreto da Assembleia da República n.º 91-XV] 2 – Os dados de tráfego e de localização apenas podem ser objeto de conservação mediante autorização judicial fundada na sua necessidade para a finalidade prevista no n.º 1 do artigo 3.º, sem prejuízo daqueles conservados pelas entidades referidas no n.º 1 do artigo 4.º nos termos definidos contratualmente com o cliente para efeitos emergentes das respetivas relações jurídicas comerciais ou por força de disposição legal especial, 3 – O pedido de autorização judicial para conservação de dados de tráfego e de localização tem caráter urgente e deve ser decidido no prazo máximo de 72 horas. 4 - De forma a salvaguardar a utilidade do pedido de autorização judicial para conservação de dados de tráfego e de localização, o Ministério Público comunica de imediato às entidades referidas no n.º 1 do artigo 4.º a submissão do pedido, não podendo os dados ser objeto de eliminação até à decisão final sobre a respetiva conservação. 5 –A fixação e prorrogação dos prazos de conservação referidos nos números anteriores deve limitar-se ao estritamente necessário para a prossecução da finalidade prevista no n.º 1 do artigo 3.º, devendo cessar logo que se confirme a desnecessidade da sua conservação. 6 – As entidades referidas no n.º 1 do artigo 4.º não podem aceder aos dados aí elencados salvo nos casos previstos na lei ou definidos contratualmente com o cliente para efeitos emergentes das respetivas relações jurídicas comerciais. 7 –A autorização judicial a que se refere os n.ºs 2 e 3 compete a uma formação das secções criminais do Supremo Tribunal de Justiça, constituída pelos presidentes das secções e por um juiz designado pelo Conselho Superior da Magistratura, de entre os mais antigos destas secções. Artigo 7.º [Atual redação do Decreto da Assembleia da República n.º 91-XV] Artigo 9.º [Atual redação do Decreto da Assembleia da República n.º 91-XV] Artigo 15.º [Atual redação do Decreto da Assembleia da República n.º 91-XV] Artigo 16.º [Atual redação do Decreto da Assembleia da República n.º 91-XV] Artigo 17.º [Atual redação do Decreto da Assembleia da República n.º 91-XV] 4 – Alteração ao Artigo 3.º DO DECRETO Artigo 3.º Alteração à Lei da Organização do Sistema Judiciário […] «Artigo 47.º […] 1 – […]. 2 – […]. 3 – […]. 4 – No Supremo Tribunal de Justiça há também uma formação das secções criminais, constituída pelos presidentes das secções criminais e por um juiz designado pelo Conselho Superior da Magistratura, de entre os mais antigos destas secções, que procede ao controlo e autorização prévia da obtenção de dados de telecomunicações e Internet no quadro da atividade de produção de informações em matéria de espionagem e terrorismo do Serviço de Informações de Segurança e do Serviço de Informações Estratégicas de Defesa, bem como à autorização judicial para conservação de dados de tráfego e de localização no âmbito da Lei n.º 32/2008, de 17 de julho. Artigo 54.º […] 1 – […]. 2 – […]. 3 – A formação das secções criminais do Supremo Tribunal de Justiça, constituída nos termos do n.º 4 do artigo 47.º, procede ao controlo e autorização prévia dos pedidos fundamentados de acesso a dados de telecomunicações e Internet nos termos do procedimento previsto em lei especial que aprova o regime especial de acesso a dados de base e a dados de tráfego de comunicações eletrónicas pelo Sistema de Informações da República Portuguesa, bem como à autorização judicial para conservação de dados de tráfego e de localização no âmbito da Lei n.º 32/2008, de 17 de julho.»

ASSEMBLEIA DA REPÚBLICA DIREÇÃO DE APOIO PARLAMENTAR DIVISÃO DE APOIO AO PLENÁRIO VOTAÇÕES EFETUADAS EM 2024-01-05 Guião Suplementar I  Reapreciação do Decreto da Assembleia da República n .º 91/XV - Regula o acesso a metada dos referentes a comunicações eletrónicas para fins de investigação criminal, procedendo à segunda alteração à Lei n.º 32/2008, de 17 de julho, que transpõe para a ordem jurídica interna a Diretiva n.º 2006/24/CE, do Parlamento Europeu e do Conselho, de 15 de março, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações, conformando-a com o Acórdão do Tribunal Constitucional n.º 268/2022, e à décima segunda alteração à Lei n.º 62/2013, de 26 de agosto, que aprova a Lei da Organização do Sistema Judiciário VOTAÇÃO NA ESPECIALIDADE Proposta de alteração de PS e PSD – substituição da alínea a) do artigo 1.º do decreto Aprovada N.º 3 ART. 94.º RAR PS 120 PSD 77 CH 12 IL 8 PCP 6 BE 5 PAN 1 L 1 FAVOR X X X CONTRA X ABSTENÇÃO X X X X ASSEMBLEIA DA REPÚBLICA DIREÇÃO DE APOIO PARLAMENTAR DIVISÃO DE APOIO AO PLENÁRIO 2 Proposta de alteração d e PS e PSD – substituição do n.º 2 do artigo 6.º da Lei n.º 32/2008, constante do artigo 2.º do decreto Aprovada  Proposta de alteração de PS e PSD – substituição do n.º 3 ao artigo 6.º da Lei n.º 32/2008, constante do artigo 2.º do decreto Aprovada  Proposta de alteração d e PS e PSD – aditamento de um novo n.º 4 do artigo 6.º da Lei n.º 32/2008, constante do artigo 2.º do decreto Aprovada N.º 3 ART. 94.º RAR PS 120 PSD 77 CH 12 IL 8 PCP 6 BE 5 PAN 1 L 1 FAVOR X X X X CONTRA X X X ABSTENÇÃO X N.º 3 ART. 94.º RAR PS 120 PSD 77 CH 12 IL 8 PCP 6 BE 5 PAN 1 L 1 FAVOR X X X CONTRA X X ABSTENÇÃO X X X N.º 3 ART. 94.º RAR PS 120 PSD 77 CH 12 IL 8 PCP 6 BE 5 PAN 1 L 1 FAVOR X X X CONTRA X X ABSTENÇÃO X X X ASSEMBLEIA DA REPÚBLICA DIREÇÃO DE APOIO PARLAMENTAR DIVISÃO DE APOIO AO PLENÁRIO 3  Proposta de alteração d e PS e PSD – substituição do atual n.º 4 do artigo 6.º da Lei n.º 32/2008, constante do artigo 2.º do decreto Aprovada  Proposta de alteração de PS e PSD – substituição do atual n.º 6 do artigo 6.º da Lei n.º 32/2008, constante do artigo 2.º do decreto Aprovada  Proposta de alteração de PS e PSD – substituição do n.º 4 do artigo 47.º da Lei da Ordganização do Sistema Judiciário , co nstante do artigo 3.º do decreto Aprovada N.º 3 ART. 94.º RAR PS 120 PSD 77 CH 12 IL 8 PCP 6 BE 5 PAN 1 L 1 FAVOR X X X CONTRA X X ABSTENÇÃO X X X N.º 3 ART. 94.º RAR PS 120 PSD 77 CH 12 IL 8 PCP 6 BE 5 PAN 1 L 1 FAVOR X X X CONTRA X ABSTENÇÃO X X X X N.º 3 ART. 94.º RAR PS 120 PSD 77 CH 12 IL 8 PCP 6 BE 5 PAN 1 L 1 FAVOR X X X CONTRA X X ABSTENÇÃO X X X ASSEMBLEIA DA REPÚBLICA DIREÇÃO DE APOIO PARLAMENTAR DIVISÃO DE APOIO AO PLENÁRIO 4  Proposta de alteração de PS e PSD – substituição do n.º 4 do artigo 54.º da Lei da Ord ganização do Sistema Judiciário, constante do artigo 3.º do decreto Aprovada Proposta de alteração do CH – aditamento de um novo n.º 2 ao artigo 9.º da Lei n.º 32/2008 Rejeitada VOTAÇÃO FINAL GLOBAL Votação do novo Decreto com as alterações introduzidas Aprovado N.º 3 ART. 94.º RAR PS 120 PSD 77 CH 12 IL 8 PCP 6 BE 5 PAN 1 L 1 FAVOR X X X CONTRA X X ABSTENÇÃO X X X N.º 3 ART. 94.º RAR PS 120 PSD 77 CH 12 IL 8 PCP 6 BE 5 PAN 1 L 1 FAVOR X CONTRA X X X X X ABSTENÇÃO X X N.º 3 ART. 94.º RAR PS 120 PSD 77 CH 12 IL 8 PCP 6 BE 5 PAN 1 L 1 FAVOR X X X CONTRA X X X X ABSTENÇÃO X

Assunto: Redação final da reapreciação do Decreto da Assembleia da República n.º 91/XV Sem prejuízo do disposto no n.º 3 do artigo 162.º do Regimento da Assembleia da República, considerando o disposto no n.º 5 do artigo 160.º do Regimento da Assembleia da República, por analogia, e na alínea m) do artigo 9.º da Resolução da Assembleia da República n.º 20/2004, de 16 de fevereiro, assim como à semelhança do verificado, por exemplo, no Decreto da Assembleia da República n.º 23/XV, junto se anexa o projeto de decreto relativo à reapreciação do Decreto da Assembleia da República n.º 91/XV - «Regula o acesso a metadados referentes a comunicações eletrónicas para fins de investigação criminal, procedendo à segunda alteração à Lei n.º 32/2008, de 17 de julho, que transpõe para a ordem jurídica interna a Diretiva n.º 2006/24/CE, do Parlamento Europeu e do Conselho, de 15 de março, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações, conformando-a com o Acórdão do Tribunal Constitucional n.º 268/2022, e à décima segunda alteração à Lei n.º 62/2013, de 26 de agosto, que aprova a Lei da Organização do Sistema Judiciário», aprovado em votação final global a 5 de janeiro de 2023, para envio a S. Ex.ª o Presidente da Comissão de Assuntos Constitucionais, Direitos, Liberdades e Garantias. No texto do diploma (incluindo a republicação) foram incluídas as propostas de alteração aprovadas em Plenário. Destacamos ainda as seguintes sugestões de redação final, encontrando-se todas realçadas, a amarelo, no projeto de decreto da Assembleia da República: Título Não tendo sido introduzida qualquer sugestão de aperfeiçoamento do título no texto, cumpre assinalar o seguinte: As regras de legística formal sobre a formação dos títulos recomendam que o mesmo deve traduzir de modo sintético o conteúdo do ato normativo; O n.º 1 do artigo 6.º da lei-formulário determina que os diplomas que alterem outros «devem indicar o número de ordem da alteração introduzida», não mencionando, contudo, que essa informação deva constar do respetivo título. Se é certo que no Guia de Legística para a Elaboração de Atos Normativos, se pode ler que o título «Deve ainda indicar a legislação alterada, (…), referindo qual o número de ordem da alteração do diploma relativamente à redação original», trata-se de uma opção de legística que na prática já foi atualizada no sentido de essa informação constar não do título mas, sim, do artigo relativo ao objeto, e que será refletida na alteração ao referido Guia que se encontra em curso. Assim, considerando, por um lado, que a informação sobre o número de ordem da alteração introduzida à Lei n.º 32/2008, de 17 de julho, e à Lei da Organização do Sistema Judiciário consta do artigo 1.º, referente ao objeto, e, por outro lado, que repetir a informação no título é um elemento redundante que o torna extenso, coloca-se à consideração da Comissão a eliminação dessa referência do título, com a seguinte sugestão: «Regula o acesso a metadados referentes a comunicações eletrónicas para fins de investigação criminal, procedendo à alteração da Lei n.º 32/2008, de 17 de julho, que transpõe para a ordem jurídica interna a Diretiva n.º 2006/24/CE, do Parlamento Europeu e do Conselho, de 15 de março, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações, conformando-a com os Acórdãos do Tribunal Constitucional n.os 268/2022 e 800/2023, e da Lei da Organização do Sistema Judiciário» Artigo 6.º da Lei n.º 32/2008, de 17 de julho (constante do artigo 2.º do projeto de decreto) N.º 5 Onde se lê: «A fixação e a prorrogação do prazo de conservação referida nos números anteriores deve limitar-se ao estritamente necessário para a prossecução da finalidade prevista no n.º 1 do artigo 3.º, devendo cessar logo que se confirme a desnecessidade da sua conservação.» Sugere-se ler: «A fixação e a prorrogação do prazo de conservação referida nos números anteriores devem limitar-se ao estritamente necessário para a prossecução da finalidade prevista no n.º 1 do artigo 3.º, devendo cessar logo que se confirme a desnecessidade da sua conservação.» Assinalamos, porém, que a possibilidade de prorrogação do prazo de conservação estava prevista nos n.os 2 e 3 da primeira versão do Decreto. Com as propostas de alteração aprovadas no âmbito da reapreciação, e que substituem as referidas normas, deixa de haver referência à possibilidade de prorrogação do prazo em todo o texto. Atendendo à sensibilidade da questão, não foi introduzida no Decreto qualquer sugestão de aperfeiçoamento da norma, no entanto deixamos à consideração da Comissão a ponderação de manter o texto ou de adotar a seguinte redação: «A fixação do prazo de conservação de dados de tráfego e de localização referida nos números anteriores deve limitar-se ao estritamente necessário para a prossecução da finalidade prevista no n.º 1 do artigo 3.º, devendo cessar logo que se confirme a desnecessidade da sua conservação.». N.º 7 Onde se lê: «A autorização judicial a que se refere os n.os 2 e 3 compete a uma formação das secções criminais do Supremo Tribunal de Justiça, constituída pelos presidentes das secções e por um juiz designado pelo Conselho Superior da Magistratura, de entre os mais antigos destas secções.» Sugere-se ler: «A autorização judicial a que se referem os n.os 2 e 3 compete a uma formação das secções criminais do Supremo Tribunal de Justiça, constituída pelos presidentes das secções e por um juiz designado pelo Conselho Superior da Magistratura, de entre os mais antigos destas secções.» À consideração superior. As assessoras parlamentares, Carolina Caldeira e Sónia Milhano Informação n.º 5 / DAPLEN / 2024 8 de janeiro de 2024

DECRETO DA ASSEMBLEIA DA REPÚBLICA N.º …../XV Regula o acesso a metadados referentes a comunicações eletrónicas para fins de investigação criminal, procedendo à segunda alteração à Lei n.º 32/2008, de 17 de julho, que transpõe para a ordem jurídica interna a Diretiva n.º 2006/24/CE, do Parlamento Europeu e do Conselho, de 15 de março, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações, conformando-a com os Acórdãos do Tribunal Constitucional n.os 268/2022 e 800/2023, e à décima segunda alteração à Lei n.º 62/2013, de 26 de agosto, que aprova a Lei da Organização do Sistema Judiciário A Assembleia da República decreta, nos termos da alínea c) do artigo 161.º da Constituição, o seguinte: Artigo 1.º Objeto A presente lei procede: À segunda alteração à Lei n.º 32/2008, de 17 de julho, que transpõe para a ordem jurídica interna a Diretiva n.º 2006/24/CE, do Parlamento Europeu e do Conselho, de 15 de março, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações, conformando-a com os Acórdãos do Tribunal Constitucional n.os 268/2022 e 800/2023; À décima segunda alteração à Lei da Organização do Sistema Judiciário, aprovada pela Lei n.º 62/2013, de 26 de agosto, alterada pelas Leis n.os 40-A/2016, de 22 de dezembro, e 94/2017, de 23 de agosto, pela Lei Orgânica n.º 4/2017, de 25 de agosto, pela Lei n.º 23/2018, de 5 de junho, pelo Decreto-Lei n.º 110/2018, de 10 de dezembro, e pelas Leis n.os 19/2019, de 19 de fevereiro, 27/2019, de 28 de março, 55/2019, de 5 de agosto, 107/2019, de 9 de setembro, 77/2021, de 23 de abril, e 35/2023, de 21 de julho. Artigo 2.º Alteração à Lei n.º 32/2008, de 17 de julho Os artigos 2.º, 4.º, 6.º, 7.º, 9.º, 15.º, 16.º e 17.º da Lei n.º 32/2008, de 17 de julho, alterada pela Lei n.º 79/2021, de 24 de novembro, passam a ter a seguinte redação: «Artigo 2.º […] 1 – […] 2 – Para efeitos da presente lei, são aplicáveis, sem prejuízo do disposto no número anterior, as definições constantes do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, e das Leis n.os 41/2004, de 18 de agosto, que transpõe para a ordem jurídica nacional a Diretiva n.º 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de julho, relativa ao tratamento de dados pessoais e à proteção da privacidade no sector das comunicações eletrónicas, e 58/2019, de 8 de agosto, que assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Artigo 4.º […] 1 – Os fornecedores de serviços de comunicações eletrónicas publicamente disponíveis ou de uma rede pública de comunicações devem conservar, nos termos previstos na presente lei, em Portugal ou no território de outro Estado-Membro da União Europeia, as seguintes categorias de dados: […] […] […] […] […] […] 2 – […] 3 – […] 4 – […] 5 – […] 6 – […] 7 – […] Artigo 6.º Período e regras de conservação 1 – Para efeitos da finalidade prevista no n.º 1 do artigo 3.º, as entidades referidas no n.º 1 do artigo 4.º devem conservar, pelo período de um ano a contar da data da conclusão da comunicação, os seguintes dados: Os dados relativos à identificação civil dos assinantes ou utilizadores de serviços de comunicações publicamente disponíveis ou de uma rede pública de comunicações; Os demais dados de base; Os endereços de protocolo IP atribuídos à fonte de uma ligação. 2 – Os dados de tráfego e de localização apenas podem ser objeto de conservação mediante autorização judicial fundada na sua necessidade para a finalidade prevista no n.º 1 do artigo 3.º, sem prejuízo daqueles conservados pelas entidades referidas no n.º 1 do artigo 4.º nos termos definidos contratualmente com o cliente para efeitos emergentes das respetivas relações jurídicas comerciais ou por força de disposição legal especial. 3 – O pedido de autorização judicial para conservação de dados de tráfego e de localização tem caráter urgente e deve ser decidido no prazo máximo de 72 horas. 4 – De forma a salvaguardar a utilidade do pedido de autorização judicial para conservação de dados de tráfego e de localização, o Ministério Público comunica de imediato às entidades referidas no n.º 1 do artigo 4.º a submissão do pedido, não podendo os dados ser objeto de eliminação até à decisão final sobre a respetiva conservação. 5 – A fixação e a prorrogação do prazo de conservação referida nos números anteriores devem limitar-se ao estritamente necessário para a prossecução da finalidade prevista no n.º 1 do artigo 3.º, devendo cessar logo que se confirme a desnecessidade da sua conservação. 6 – As entidades referidas no n.º 1 do artigo 4.º não podem aceder aos dados aí elencados salvo nos casos previstos na lei ou definidos contratualmente com o cliente para efeitos emergentes das respetivas relações jurídicas comerciais. 7 – A autorização judicial a que se referem os n.os 2 e 3 compete a uma formação das secções criminais do Supremo Tribunal de Justiça, constituída pelos presidentes das secções e por um juiz designado pelo Conselho Superior da Magistratura, de entre os mais antigos destas secções. Artigo 7.º […] 1 – […] […] Garantir que os dados conservados sejam da mesma qualidade e estejam sujeitos a um nível de proteção e segurança nunca inferior aos dados na rede; […] […] […] […] 2 – […] 3 – […] 4 – As medidas técnicas e organizativas adequadas para assegurar um nível de segurança são aplicadas tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares. 5 – Na avaliação do nível de segurança adequado devem ser considerados, designadamente, os riscos apresentados pelo tratamento, em particular devido à destruição, perda e alteração acidentais ou ilícitas e à divulgação ou ao acesso não autorizados, de dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento. 6 – O disposto nos números anteriores não prejudica a observação dos princípios nem o cumprimento das regras relativos à qualidade e à salvaguarda da confidencialidade e da segurança dos dados, previstos no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, e nas Leis n.os 41/2004, de 18 de agosto, 46/2018, de 13 de agosto, que estabelece o regime jurídico da segurança do ciberespaço, transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União, e 58/2019, de 8 de agosto, e respetiva regulamentação. 7 – (Anterior n.º 5.) Artigo 9.º […] 1 – […] 2 – A autorização prevista no número anterior só pode ser requerida pelo Ministério Público. 3 – […] 4 – […] 5 – […] 6 – […] 7 – Sem prejuízo do disposto no número seguinte, o despacho que autoriza a transmissão dos dados referentes às categorias previstas no n.º 1 do artigo 4.º é notificado ao titular dos dados no prazo máximo de 10 dias a contar da sua prolação. 8 – Se, em inquérito, o Ministério Público considerar que a notificação referida no número anterior comporta risco de pôr em causa a investigação, dificultar a descoberta da verdade ou criar perigo para a vida, para a integridade física ou psíquica ou para a liberdade dos participantes processuais, das vítimas do crime ou de outras pessoas devidamente identificadas, pode solicitar ao juiz de instrução criminal que protele a notificação, a qual é realizada logo que a razão do protelamento deixar de existir ou, o mais tardar, no prazo máximo de 10 dias a contar da data em que for proferido despacho de encerramento desta fase processual. 9 – A transmissão dos dados referentes às categorias previstas no n.º 1 do artigo 4.º a autoridades de outros Estados só pode ocorrer no âmbito da cooperação judiciária internacional em matéria penal, de acordo com as regras fixadas na respetiva lei e desde que esses Estados garantam o mesmo nível de proteção de dados pessoais vigente no território da União Europeia. Artigo 15.º Aplicabilidade dos regimes sancionatórios previstos nas Leis n.os 58/2019, de 8 de agosto, e 41/2004, de 18 de agosto O disposto nos artigos 12.º a 14.º não prejudica a aplicação do regime sancionatório estabelecido na Lei n.º 58/2019, de 8 de agosto, aplicável por incumprimento das obrigações previstas no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, bem como do disposto no capítulo III da Lei n.º 41/2004, de 18 de agosto. Artigo 16.º Estatísticas 1 – A CNPD transmite anualmente à Comissão Europeia as estatísticas sobre a conservação dos dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de uma rede pública de comunicações. 2 – […] O número de casos em que foram transmitidos dados às autoridades competentes; […] O número de casos em que as solicitações das autoridades competentes não puderam ser satisfeitas. 3 – […] Artigo 17.º […] 1 - No final de cada biénio, a CNPD, em colaboração com a Autoridade Nacional de Comunicações, procede à avaliação de todos os procedimentos previstos na presente lei e elabora um relatório detalhado sobre a sua aplicação, que deve destacar os aspetos que carecem de aperfeiçoamento e incluir recomendações para superar constrangimentos detetados. 2 – O relatório previsto no número anterior deve ser remetido à Assembleia da República e ao Governo até 30 de junho do ano seguinte ao termo do período a que respeita.» Artigo 3.º Alteração à Lei da Organização do Sistema Judiciário Os artigos 47.º e 54.º da Lei da Organização do Sistema Judiciário passam a ter a seguinte redação: «Artigo 47.º […] 1 – […] 2 – […] 3 – […] 4 – No Supremo Tribunal de Justiça há também uma formação das secções criminais, constituída pelos presidentes das secções criminais e por um juiz designado pelo Conselho Superior da Magistratura, de entre os mais antigos destas secções, que procede ao controlo e autorização prévia da obtenção de dados de telecomunicações e Internet no quadro da atividade de produção de informações em matéria de espionagem e terrorismo do Serviço de Informações de Segurança e do Serviço de Informações Estratégicas de Defesa, bem como à autorização judicial para conservação de dados de tráfego e de localização no âmbito da Lei n.º 32/2008, de 17 de julho. Artigo 54.º […] 1 – […] 2 – […] 3 – […] 4 – A formação das secções criminais do Supremo Tribunal de Justiça, constituída nos termos do n.º 4 do artigo 47.º, procede ao controlo e autorização prévia dos pedidos fundamentados de acesso a dados de telecomunicações e Internet nos termos do procedimento previsto na lei especial que aprova o regime especial de acesso a dados de base e a dados de tráfego de comunicações eletrónicas pelo Sistema de Informações da República Portuguesa, bem como à autorização judicial para conservação de dados de tráfego e de localização no âmbito da Lei n.º 32/2008, de 17 de julho.» Artigo 4.º Republicação É republicada, em anexo à presente lei, da qual faz parte integrante, a Lei n.º 32/2008, de 17 de julho, com a redação atual. Artigo 5.º Entrada em vigor A presente lei entra em vigor no dia seguinte ao da sua publicação. Aprovado em 5 de janeiro de 2024 O PRESIDENTE DA ASSEMBLEIA DA REPÚBLICA, (Augusto Santos Silva) ANEXO (a que se refere o artigo 4.º) Republicação da Lei n.º 32/2008, de 17 de julho Transpõe para a ordem jurídica interna a Diretiva n.º 2006/24/CE, do Parlamento Europeu e do Conselho, de 15 de março, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações Artigo 1.º Objeto 1 – A presente lei regula a conservação e a transmissão dos dados de tráfego e de localização relativos a pessoas singulares e a pessoas coletivas, bem como dos dados conexos necessários para identificar o assinante ou o utilizador registado, para fins de investigação, deteção e repressão de crimes graves por parte das autoridades competentes, transpondo para a ordem jurídica interna a Diretiva n.º 2006/24/CE, do Parlamento Europeu e do Conselho, de 15 de Março, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações, e que altera a Diretiva n.º 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de junho, relativa ao tratamento de dados pessoais e à proteção da privacidade no sector das comunicações eletrónicas. 2 – A conservação de dados que revelem o conteúdo das comunicações é proibida, sem prejuízo do disposto na Lei n.º 41/2004, de 18 de agosto, e na legislação processual penal relativamente à interceção e gravação de comunicações. Artigo 2.º Definições 1 – Para efeitos da presente lei, entende-se por: a) «Dados», os dados de tráfego e os dados de localização, bem como os dados conexos necessários para identificar o assinante ou o utilizador; b) «Serviço telefónico», qualquer dos seguintes serviços: i) Os serviços de chamada, incluindo as chamadas vocais, o correio vocal, a teleconferência ou a transmissão de dados; ii) Os serviços suplementares, incluindo o reencaminhamento e a transferência de chamadas; e iii) Os serviços de mensagens e multimédia, incluindo os serviços de mensagens curtas (SMS), os serviços de mensagens melhoradas (EMS) e os serviços multimédia (MMS); c) «Código de identificação do utilizador» («user ID»), um código único atribuído às pessoas, quando estas se tornam assinantes ou se inscrevem num serviço de acesso à Internet, ou num serviço de comunicação pela Internet; d) «Identificador de célula» («cell ID»), a identificação da célula de origem e de destino de uma chamada telefónica numa rede móvel; e) «Chamada telefónica falhada», uma comunicação em que a ligação telefónica foi estabelecida, mas que não obteve resposta, ou em que houve uma intervenção do gestor da rede; f) «Autoridades competentes», as autoridades judiciárias e as autoridades de polícia criminal das seguintes entidades: i) A Polícia Judiciária; ii) A Guarda Nacional Republicana; iii) A Polícia de Segurança Pública; iv) A Polícia Judiciária Militar; v) O Serviço de Estrangeiros e Fronteiras; vi) A Polícia Marítima; g) «Crime grave», crimes de terrorismo, criminalidade violenta, criminalidade altamente organizada, sequestro, rapto e tomada de reféns, crimes contra a identidade cultural e integridade pessoal, contra a segurança do Estado, falsificação de moeda ou de títulos equiparados a moeda, contrafação de cartões ou outros dispositivos de pagamento, uso de cartões ou outros dispositivos de pagamento contrafeitos, aquisição de cartões ou outros dispositivos de pagamento contrafeitos, atos preparatórios da contrafação e crimes abrangidos por convenção sobre segurança da navegação aérea ou marítima. 2 – Para efeitos da presente lei, são aplicáveis, sem prejuízo do disposto no número anterior, as definições constantes do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, e das Leis n.os 41/2004, de 18 de agosto, que transpõe para a ordem jurídica nacional a Diretiva n.º 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de julho, relativa ao tratamento de dados pessoais e à proteção da privacidade no sector das comunicações eletrónicas, e 58/2019, de 8 de agosto, que assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Artigo 3.º Finalidade do tratamento 1 – A conservação e a transmissão dos dados têm por finalidade exclusiva a investigação, deteção e repressão de crimes graves por parte das autoridades competentes. 2 – A transmissão dos dados às autoridades competentes só pode ser ordenada ou autorizada por despacho fundamentado do juiz, nos termos do artigo 9.º. 3 – Os ficheiros destinados à conservação de dados no âmbito da presente lei têm que, obrigatoriamente, estar separados de quaisquer outros ficheiros para outros fins. 4 – O titular dos dados não pode opor-se à respetiva conservação e transmissão. Artigo 4.º Categorias de dados a conservar 1 – Os fornecedores de serviços de comunicações eletrónicas publicamente disponíveis ou de uma rede pública de comunicações devem conservar, nos termos previstos na presente lei, em Portugal ou no território de outro Estado-Membro da União Europeia, as seguintes categorias de dados: a) Dados necessários para encontrar e identificar a fonte de uma comunicação; b) Dados necessários para encontrar e identificar o destino de uma comunicação; c) Dados necessários para identificar a data, a hora e a duração de uma comunicação; d) Dados necessários para identificar o tipo de comunicação; e) Dados necessários para identificar o equipamento de telecomunicações dos utilizadores, ou o que se considera ser o seu equipamento; f) Dados necessários para identificar a localização do equipamento de comunicação móvel. 2 – Para os efeitos do disposto na alínea a) do número anterior, os dados necessários para encontrar e identificar a fonte de uma comunicação são os seguintes: a) No que diz respeito às comunicações telefónicas nas redes fixa e móvel: i) O número de telefone de origem; ii) O nome e endereço do assinante ou do utilizador registado; b) No que diz respeito ao acesso à Internet, ao correio eletrónico através da Internet e às comunicações telefónicas através da Internet: i) Os códigos de identificação atribuídos ao utilizador; ii) O código de identificação do utilizador e o número de telefone atribuídos a qualquer comunicação que entre na rede telefónica pública; iii) O nome e o endereço do assinante ou do utilizador registado, a quem o endereço do protocolo IP, o código de identificação de utilizador ou o número de telefone estavam atribuídos no momento da comunicação. 3 – Para os efeitos do disposto na alínea b) do n.º 1, os dados necessários para encontrar e identificar o destino de uma comunicação são os seguintes: a) No que diz respeito às comunicações telefónicas nas redes fixa e móvel: i) Os números marcados e, em casos que envolvam serviços suplementares, como o reencaminhamento ou a transferência de chamadas, o número ou números para onde a chamada foi reencaminhada; ii) O nome e o endereço do assinante, ou do utilizador registado; b) No que diz respeito ao correio eletrónico através da Internet e às comunicações telefónicas através da Internet: i) O código de identificação do utilizador ou o número de telefone do destinatário pretendido, ou de uma comunicação telefónica através da Internet; ii) Os nomes e os endereços dos subscritores, ou dos utilizadores registados, e o código de identificação de utilizador do destinatário pretendido da comunicação. 4 – Para os efeitos do disposto na alínea c) do n.º 1, os dados necessários para identificar a data, a hora e a duração de uma comunicação são os seguintes: a) No que diz respeito às comunicações telefónicas nas redes fixa e móvel, a data e a hora do início e do fim da comunicação; b) No que diz respeito ao acesso à Internet, ao correio eletrónico através da Internet e às comunicações telefónicas através da Internet: i) A data e a hora do início (log in) e do fim (log off) da ligação ao serviço de acesso à Internet com base em determinado fuso horário, juntamente com o endereço do protocolo IP, dinâmico ou estático, atribuído pelo fornecedor do serviço de acesso à Internet a uma comunicação, bem como o código de identificação de utilizador do subscritor ou do utilizador registado; ii) A data e a hora do início e do fim da ligação ao serviço de correio eletrónico através da Internet ou de comunicações através da Internet, com base em determinado fuso horário. 5 – Para os efeitos do disposto na alínea d) do n.º 1, os dados necessários para identificar o tipo de comunicação são os seguintes: a) No que diz respeito às comunicações telefónicas nas redes fixa e móvel, o serviço telefónico utilizado; b) No que diz respeito ao correio eletrónico através da Internet e às comunicações telefónicas através da Internet, o serviço de Internet utilizado. 6 – Para os efeitos do disposto na alínea e) do n.º 1, os dados necessários para identificar o equipamento de telecomunicações dos utilizadores, ou o que se considera ser o seu equipamento, são os seguintes: a) No que diz respeito às comunicações telefónicas na rede fixa, os números de telefone de origem e de destino; b) No que diz respeito às comunicações telefónicas na rede móvel: i) Os números de telefone de origem e de destino; ii) A Identidade Internacional de Assinante Móvel (International Mobile Subscriber Identity, ou IMSI) de quem telefona; iii) A Identidade Internacional do Equipamento Móvel (International Mobile Equipment Identity, ou IMEI) de quem telefona; iv) A IMSI do destinatário do telefonema; v) A IMEI do destinatário do telefonema; vi) No caso dos serviços pré-pagos de carácter anónimo, a data e a hora da ativação inicial do serviço e o identificador da célula a partir da qual o serviço foi ativado; c) No que diz respeito ao acesso à Internet, ao correio eletrónico através da Internet e às comunicações telefónicas através da Internet: i) O número de telefone que solicita o acesso por linha telefónica; ii) A linha de assinante digital (digital subscriber line, ou DSL), ou qualquer outro identificador terminal do autor da comunicação. 7 – Para os efeitos do disposto na alínea f) do n.º 1, os dados necessários para identificar a localização do equipamento de comunicação móvel são os seguintes: a) O identificador da célula no início da comunicação; b) Os dados que identifiquem a situação geográfica das células, tomando como referência os respetivos identificadores de célula durante o período em que se procede à conservação de dados. Artigo 5.º Âmbito da obrigação de conservação dos dados 1 – Os dados telefónicos e da Internet relativos a chamadas telefónicas falhadas devem ser conservados quando sejam gerados ou tratados e armazenados pelas entidades referidas no n.º 1 do artigo 4.º, no contexto da oferta de serviços de comunicação. 2 – Os dados relativos a chamadas não estabelecidas não são conservados. Artigo 6.º Período e regras de conservação 1 – Para efeitos da finalidade prevista no n.º 1 do artigo 3.º, as entidades referidas no n.º 1 do artigo 4.º devem conservar, pelo período de um ano a contar da data da conclusão da comunicação, os seguintes dados: a) Os dados relativos à identificação civil dos assinantes ou utilizadores de serviços de comunicações publicamente disponíveis ou de uma rede pública de comunicações; b) Os demais dados de base; c) Os endereços de protocolo IP atribuídos à fonte de uma ligação. 2 – Os dados de tráfego e de localização apenas podem ser objeto de conservação mediante autorização judicial fundada na sua necessidade para a finalidade prevista no n.º 1 do artigo 3.º, sem prejuízo daqueles conservados pelas entidades referidas no n.º 1 do artigo 4.º nos termos definidos contratualmente com o cliente para efeitos emergentes das respetivas relações jurídicas comerciais ou por força de disposição legal especial. 3 – O pedido de autorização judicial para conservação de dados de tráfego e de localização tem caráter urgente e deve ser decidido no prazo máximo de 72 horas. 4 – De forma a salvaguardar a utilidade do pedido de autorização judicial para conservação de dados de tráfego e de localização, o Ministério Público comunica de imediato às entidades referidas no n.º 1 do artigo 4.º a submissão do pedido, não podendo os dados ser objeto de eliminação até à decisão final sobre a respetiva conservação. 5 – A fixação e a prorrogação do prazo de conservação referida nos números anteriores devem limitar-se ao estritamente necessário para a prossecução da finalidade prevista no n.º 1 do artigo 3.º, devendo cessar logo que se confirme a desnecessidade da sua conservação. 6 – As entidades referidas no n.º 1 do artigo 4.º não podem aceder aos dados aí elencados salvo nos casos previstos na lei ou definidos contratualmente com o cliente para efeitos emergentes das respetivas relações jurídicas comerciais. 7 – A autorização judicial a que se referem os n.os 2 e 3 compete a uma formação das secções criminais do Supremo Tribunal de Justiça, constituída pelos presidentes das secções e por um juiz designado pelo Conselho Superior da Magistratura, de entre os mais antigos destas secções. Artigo 7.º Proteção e segurança dos dados 1 – As entidades referidas no n.º 1 do artigo 4.º devem: a) Conservar os dados referentes às categorias previstas no artigo 4.º por forma a que possam ser transmitidos imediatamente, mediante despacho fundamentado do juiz, às autoridades competentes; b) Garantir que os dados conservados sejam da mesma qualidade e estejam sujeitos a um nível de proteção e segurança nunca inferior aos dados na rede; c) Tomar as medidas técnicas e organizativas adequadas à proteção dos dados previstos no artigo 4.º contra a destruição acidental ou ilícita, a perda ou a alteração acidental e o armazenamento, tratamento, acesso ou divulgação não autorizado ou ilícito; d) Tomar as medidas técnicas e organizativas adequadas para garantir que apenas pessoas especialmente autorizadas tenham acesso aos dados referentes às categorias previstas no artigo 4.º; e) Destruir os dados no final do período de conservação, exceto os dados que tenham sido preservados por ordem do juiz; f) Destruir os dados que tenham sido preservados, quando tal lhe seja determinado por ordem do juiz. 2 – Os dados referentes às categorias previstas no artigo 4.º, com exceção dos dados relativos ao nome e endereço dos assinantes, devem permanecer bloqueados desde o início da sua conservação, só sendo alvo de desbloqueio para efeitos de transmissão, nos termos da presente lei, às autoridades competentes. 3 – A transmissão dos dados referentes às categorias previstas no artigo 4.º processa-se mediante comunicação eletrónica, nos termos das condições técnicas e de segurança fixadas em portaria conjunta dos membros do Governo responsáveis pelas áreas da administração interna, da justiça e das comunicações, que devem observar um grau de codificação e proteção o mais elevado possível, de acordo com o estado da técnica ao momento da transmissão, incluindo métodos de codificação, encriptação ou outros adequados. 4 – As medidas técnicas e organizativas adequadas para assegurar um nível de segurança são aplicadas tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares. 5 – Na avaliação do nível de segurança adequado devem ser considerados, designadamente, os riscos apresentados pelo tratamento, em particular devido à destruição, perda e alteração acidentais ou ilícitas e à divulgação ou ao acesso não autorizados, de dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento. 6 – O disposto nos números anteriores não prejudica a observação dos princípios nem o cumprimento das regras relativos à qualidade e à salvaguarda da confidencialidade e da segurança dos dados, previstos no Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, e nas Leis n.os 41/2004, de 18 de agosto, 46/2018, de 13 de agosto, que estabelece o regime jurídico da segurança do ciberespaço, transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União, e 58/2019, de 8 de agosto, e respetiva regulamentação. 7 – A autoridade pública competente para o controlo da aplicação do disposto no presente artigo é a Comissão Nacional de Proteção de Dados (CNPD). Artigo 8.º Registo de pessoas especialmente autorizadas 1 – A CNPD deve manter um registo eletrónico permanentemente atualizado das pessoas especialmente autorizadas a aceder aos dados, nos termos da alínea d) do n.º 1 do artigo anterior. 2 – Para os efeitos previstos no número anterior, os fornecedores de serviços de comunicações eletrónicas ou de uma rede pública de comunicações devem remeter à CNPD, por via exclusivamente eletrónica, os dados necessários à identificação das pessoas especialmente autorizadas a aceder aos dados. Artigo 9.º Transmissão dos dados 1 – A transmissão dos dados referentes às categorias previstas no artigo 4.º só pode ser autorizada, por despacho fundamentado do juiz de instrução, se houver razões para crer que a diligência é indispensável para a descoberta da verdade ou que a prova seria, de outra forma, impossível ou muito difícil de obter no âmbito da investigação, deteção e repressão de crimes graves. 2 – A autorização prevista no número anterior só pode ser requerida pelo Ministério Público. 3 – Só pode ser autorizada a transmissão de dados relativos: a) Ao suspeito ou arguido; b) A pessoa que sirva de intermediário, relativamente à qual haja fundadas razões para crer que recebe ou transmite mensagens destinadas ou provenientes de suspeito ou arguido; ou c) A vítima de crime, mediante o respetivo consentimento, efetivo ou presumido. 4 – A decisão judicial de transmitir os dados deve respeitar os princípios da adequação, necessidade e proporcionalidade, designadamente no que se refere à definição das categorias de dados a transmitir e das autoridades competentes com acesso aos dados e à proteção do segredo profissional, nos termos legalmente previstos. 5 – O disposto nos números anteriores não prejudica a obtenção de dados sobre a localização celular necessários para afastar perigo para a vida ou de ofensa à integridade física grave, nos termos do artigo 252.º-A do Código de Processo Penal. 6 – As entidades referidas no n.º 1 do artigo 4.º devem elaborar registos da extração dos dados transmitidos às autoridades competentes e enviá-los trimestralmente à CNPD. 7 – Sem prejuízo do disposto no número seguinte, o despacho que autoriza a transmissão dos dados referentes às categorias previstas no n.º 1 do artigo 4.º é notificado ao titular dos dados no prazo máximo de 10 dias a contar da sua prolação. 8 – Se, em inquérito, o Ministério Público considerar que a notificação referida no número anterior comporta risco de pôr em causa a investigação, dificultar a descoberta da verdade ou criar perigo para a vida, para a integridade física ou psíquica ou para a liberdade dos participantes processuais, das vítimas do crime ou de outras pessoas devidamente identificadas, pode solicitar ao juiz de instrução criminal que protele a notificação, a qual é realizada logo que a razão do protelamento deixar de existir ou, o mais tardar, no prazo máximo de 10 dias a contar da data em que for proferido despacho de encerramento desta fase processual. 9 – A transmissão dos dados referentes às categorias previstas no n.º 1 do artigo 4.º a autoridades de outros Estados só pode ocorrer no âmbito da cooperação judiciária internacional em matéria penal, de acordo com as regras fixadas na respetiva lei e desde que esses Estados garantam o mesmo nível de proteção de dados pessoais vigente no território da União Europeia. Artigo 10.º Condições técnicas da transmissão dos dados A transmissão dos dados referentes às categorias previstas no artigo 4.º processa-se mediante comunicação eletrónica, nos termos das condições técnicas e de segurança previstas no n.º 3 do artigo 7.º Artigo 11.º Destruição dos dados 1 – O juiz determina, oficiosamente ou a requerimento de qualquer interessado, a destruição dos dados na posse das autoridades competentes, bem como dos dados preservados pelas entidades referidas no n.º 1 do artigo 4.º, logo que os mesmos deixem de ser estritamente necessários para os fins a que se destinam. 2 – Considera-se que os dados deixam de ser estritamente necessários para o fim a que se destinam logo que ocorra uma das seguintes circunstâncias: a) Arquivamento definitivo do processo penal; b) Absolvição, transitada em julgado; c) Condenação, transitada em julgado; d) Prescrição do procedimento penal; e) Amnistia. Artigo 12.º Contraordenações 1 – Sem prejuízo da responsabilidade criminal a que haja lugar nos termos da lei, constitui contraordenação: a) A não conservação das categorias dos dados previstas no artigo 4.º; b) O incumprimento do prazo de conservação previsto no artigo 6.º; c) A não transmissão dos dados às autoridades competentes, quando autorizada nos termos do disposto no artigo 9.º; d) O não envio dos dados necessários à identificação das pessoas especialmente autorizadas, nos termos do n.º 2 do artigo 8.º 2 – As contraordenações previstas no número anterior são puníveis com coimas de (euro) 1500 a (euro) 50 000 ou de (euro) 5000 a (euro) 10 000 000 consoante o agente seja uma pessoa singular ou coletiva. 3 – A tentativa e a negligência são puníveis. Artigo 13.º Crimes 1 – Constituem crime, punido com pena de prisão até dois anos ou multa até 240 dias: a) O incumprimento de qualquer das regras relativas à proteção e à segurança dos dados previstas no artigo 7.º; b) O não bloqueio dos dados, nos termos previstos no n.º 2 do artigo 7.º; c) O acesso aos dados por pessoa não especialmente autorizada nos termos do n.º 1 do artigo 8.º. 2 – A pena é agravada para o dobro dos seus limites quando o crime: a) For cometido através de violação de regras técnicas de segurança; b) Tiver possibilitado ao agente ou a terceiros o conhecimento de dados pessoais; ou c) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial. 3 – A tentativa e a negligência são puníveis. Artigo 14.º Processos de contraordenação e aplicação das coimas 1 – Compete à CNPD a instrução dos processos de contraordenação e a respetiva aplicação de coimas relativas às condutas previstas no artigo anterior. 2 – O montante das importâncias cobradas em resultado da aplicação das coimas é distribuído da seguinte forma: a) 60% para o Estado; b) 40% para a CNPD. Artigo 15.º Aplicabilidade dos regimes sancionatórios previstos nas Leis n.os 58/2019, de 8 de agosto, e 41/2004, de 18 de agosto O disposto nos artigos 12.º a 14.º não prejudica a aplicação do regime sancionatório estabelecido na Lei n.º 58/2019, de 8 de agosto, aplicável por incumprimento das obrigações previstas no Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, bem como do disposto no capítulo III da Lei n.º 41/2004, de 18 de agosto. Artigo 16.º Estatísticas 1 – A CNPD transmite anualmente à Comissão Europeia as estatísticas sobre a conservação dos dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de uma rede pública de comunicações. 2 – Tendo em vista o cumprimento do disposto no número anterior, as entidades referidas no n.º 1 do artigo 4.º devem, até 1 de março de cada ano, remeter à CNPD as seguintes informações, relativas ao ano civil anterior: a) O número de casos em que foram transmitidos dados às autoridades competentes; b) O período de tempo decorrido entre a data a partir da qual os dados foram conservados e a data em que as autoridades competentes solicitaram a sua transmissão; e c) O número de casos em que as solicitações das autoridades competentes não puderam ser satisfeitas. 3 – As informações previstas no número anterior não podem conter quaisquer dados pessoais. Artigo 17.º Avaliação 1 - No final de cada biénio, a CNPD, em colaboração com a Autoridade Nacional de Comunicações, procede à avaliação de todos os procedimentos previstos na presente lei e elabora um relatório detalhado sobre a sua aplicação, que deve destacar os aspetos que carecem de aperfeiçoamento e incluir recomendações para superar constrangimentos detetados. 2 – O relatório previsto no número anterior deve ser remetido à Assembleia da República e ao Governo até 30 de junho do ano seguinte ao termo do período a que respeita. Artigo 18.º Produção de efeitos A presente lei produz efeitos 90 dias após a publicação da portaria a que se refere o n.º 3 do artigo 7.º.