Lei n.º 22/11 - Lei da Protecção de Dados Pessoais

CAPÍTULO I

DISPOSIÇÕES GERAIS

Artigo 1.º

Objecto

A presente lei tem por objecto estabelecer as regras jurídicas aplicáveis ao tratamento de dados pessoais com o objectivo de garantir o respeito pelas liberdades públicas e os direitos e garantias fundamentais das pessoas singulares.

Artigo 2.º

Âmbito de aplicação objectiva

A presente lei aplica-se ao tratamento de dados pessoais efectuado por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros manuais ou a estes destinados.

Artigo 3.º

Âmbito de aplicação subjectiva e territorial

1. 1. Estão sujeitos à presente lei os tratamentos de dados pessoais efectuados por qualquer pessoa e entidade do sector público, privado ou cooperativo.
2. 2. A presente lei aplica-se ao tratamento de dados pessoais efectuados:
   1. a)- por responsável pelo tratamento sedeado na República de Angola;
   2. b)- no âmbito das actividades do responsável pelo tratamento estabelecido na República de Angola, ainda que o referido responsável não tenha a sua sede em território angolano;
   3. c)- fora da República de Angola, em local onde a legislação angolana seja aplicável por força do direito internacional público ou privado;
   4. d)- Por responsável pelo tratamento que, não estando estabelecido na República de Angola, recorra, para o tratamento de dados pessoais, a meios situados em território angolano.
3. 3. Para os efeitos da alínea d) do número anterior, considera-se que o responsável pelo tratamento recorre a meios situados em território angolano quando as operações de tratamento dos dados pessoais são realizadas com, ou os dados pessoais são alojados em, meios situados em território angolano, bastando, para efeitos da presente lei, a mera utilização de tais meios para a recolha, registo ou trânsito dos dados pessoais no território da República de Angola.
4. 4. No caso da alínea d) do n.º 2 do presente artigo, o responsável pelo tratamento deve designar, mediante comunicação à Agência de Protecção de Dados, um representante estabelecido na República de Angola que se lhe substitua em todos os seus direitos e obrigações, sem prejuízo da sua própria responsabilidade.

Artigo 4.º

Exclusões

1. 1. A presente lei não se aplica ao tratamento de dados pessoais efectuado por pessoa singular no exercício de actividades exclusivamente pessoais ou domésticas.
2. 2. Sem prejuízo do disposto em legislação especial, fica ainda excluído da presente lei o tratamento de dados pessoais nas seguintes circunstâncias:
   1. a)- O tratamento de dados pessoais no âmbito das regras legais aplicáveis ao segredo e segurança de Estado, bem como ao segredo de justiça;
   2. b)- O tratamento de dados pessoais dos membros das Forças Armadas Angolanas pelas unidades, estabelecimentos e órgãos militares ou outros sob tutela do departamento ministerial responsável pelas Forças Armadas.

Artigo 5.º

Definições

• Para efeitos da presente lei, entende-se por:
  1. a)- Consentimento do titular dos dados: qualquer manifestação de vontade livre, específica, explícita e informada, independentemente do suporte, no qual o titular dos dados autoriza o seu tratamento;
  2. b)- Dados pessoais: qualquer informação, seja qual for a sua natureza ou suporte, incluindo imagem e som, relativa a uma pessoa singular identificada ou identificável (titular dos dados). É considerada identificável a pessoa que possa ser identificada, directa ou indirectamente, designadamente por referência a um número de identificação ou à combinação de elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social;
  3. c)- Dados sensíveis: os dados pessoais referentes a convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada, origem racial ou étnica, saúde e vida sexual, incluindo os dados genéticos;
  4. d)- Destinatário: a pessoa singular ou colectiva, a autoridade pública ou qualquer outro organismo a quem sejam comunicados dados pessoais, independentemente de se tratar ou não de um terceiro;
  5. e)- Ficheiro de dados pessoais (ficheiro): qualquer conjunto estruturado de dados pessoais, independentemente da sua forma ou modalidade de criação, organização, conservação e acesso aos dados, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;
  6. f)- Fontes acessíveis publicamente: os ficheiros que se destinem a informação ao público e se encontrem abertos à consulta pública ou a terceiro com interesse legítimo, e cuja consulta não esteja sujeita a restrições, salvo ao pagamento de um valor pecuniário acessível. São consideradas fontes acessíveis publicamente, sem prejuízo de outros ficheiros que reúnam os requisitos indicados, os diários e boletins oficiais, os meios de comunicação social, as guias telefónicas nos termos da legislação aplicável e as listas de pessoas que pertençam a um determinado grupo profissional e que contenham apenas o seu nome, título, profissão, actividade, grau académico e morada
  7. g)- Interconexão de dados: forma de tratamento de dados pessoais que consiste na possibilidade de relacionamento dos dados de um ficheiro com os dados de outro (s) ficheiro (s), mantido (s) por outro (s) responsável (is) ou pelo mesmo responsável para outras finalidades;
  8. h)- Mensagens publicitárias: qualquer forma de comunicação feita por pessoas ou entidades do sector público ou privado, no âmbito de uma actividade comercial, industrial, artesanal ou liberal, com o objectivo directo ou indirecto de promover, com vista à sua comercialização ou alienação, quaisquer bens ou serviços ou promover ideias, princípios, iniciativas ou instituições;
  9. i)- Responsável pelo tratamento: a pessoa singular ou colectiva, a autoridade pública ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais. Sempre que as finalidades e os meios de tratamento sejam determinados por disposições legislativas, regulamentares ou outras, o responsável pelo tratamento deve ser indicado no respectivo diploma;
  10. j)- Sector cooperativo: as cooperativas e entidades de natureza mutualista, bem como outras indicadas em legislação própria;
  11. k)- Sector privado: as pessoas singulares e colectivas privadas;
  12. l)- Sector público: o Estado, os organismos da administração pública, os órgãos de prevenção, investigação e repressão criminal e os tribunais;
  13. m)- Subcontratado: a pessoa singular ou colectiva, a autoridade pública ou qualquer outro organismo que trate os dados pessoais por conta do responsável pelo tratamento ao abrigo de uma relação contratual estabelecida com este;
  14. n)- Terceiro: a pessoa singular ou colectiva, a autoridade pública ou qualquer outro organismo que, não sendo o titular dos dados, o responsável pelo tratamento, o subcontratado ou outra pessoa sob autoridade directa do responsável pelo tratamento ou do subcontratado, tenha acesso e esteja habilitado a tratar os dados;
  15. o)- Tratamento de dados pessoais (tratamento): qualquer operação ou conjunto de operações efectuadas sobre dados pessoais, com ou sem meios autonomizados, tais como a recolha, o registo, a organização, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a comunicação por transmissão, por difusão ou por qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio ou destruição.

CAPÍTULO II

TRATAMENTO DE DADOS PESSOAIS

SECÇÃO I

PRINCÍPIOS GERAIS

Artigo 6.º

Princípio da transparência

1. 1. O tratamento de dados pessoais deve processar-se de forma transparente, em estrito respeito pelo princípio da reserva da vida privada, bem como pelos direitos, liberdades e garantias públicas fundamentais previstos na Constituição da República de Angola e na presente lei.
2. 2. Para efeitos do disposto no número anterior, os dados pessoais devem nomeadamente ser conservados de forma a permitir o exercício aos seus titulares dos direitos de acesso, informação, rectificação, cancelamento e oposição, conforme disposto na presente lei.

Artigo 7.º

Princípio da licitude

1. 1. O tratamento de dados pessoais deve ser efectuado de forma lícita e leal, com respeito pelo princípio da boa-fé.
2. 2. O tratamento de dados pessoais que conduza a uma discriminação arbitrária e ilícita em relação ao seu titular é considerado contrário ao princípio da boa-fé.

Artigo 8.º

Princípio da proporcionalidade

Os dados pessoais sujeitos a tratamento devem ser pertinentes, adequados e não excessivos relativamente às finalidades que legitimaram a sua recolha e tratamento.

Artigo 9.º

Princípio da finalidade

1. 1. Os dados pessoais devem ser recolhidos e tratados para finalidades; determinadas, explícitas e legítimas de acordo com o definido em diploma próprio.
2. 2. É proibido o tratamento de dados pessoais para fins distintos ou incompatíveis com aqueles que originaram a sua recolha e tratamento, salvo se:
   1. a)- O titular dos dados tiver dado o seu consentimento expresso;
   2. b)- O tratamento tenha fins históricos ou estatísticos e os dados sejam anonimizados para este efeito;
   3. c)- O tratamento tenha por objectivo a prevenção, investigação e repressão criminal, ou a segurança nacional, nos termos admitidos por legislação específica, desde que não devam prevalecer os direitos, liberdades e garantias dos titulares dos dados.

Artigo 10.º

Princípio da veracidade

1. 1. Os dados pessoais sujeitos a tratamento devem ser exactos.
2. 2. Devem ser adoptadas as medidas adequadas para assegurar que dos dados total ou parcialmente inexactos ou incompletos sejam apagados ou rectificados, de forma a que correspondam à situação actual e concreta do seu titular.

Artigo 11.º

Princípio da duração do período de conservação

1. 1. Os dados pessoais devem ser conservados de forma a permitir a identificação dos seus titulares apenas durante o período necessário à prossecução das finalidades que originaram a sua recolha ou tratamento, devendo ser posteriormente eliminados ou tornados anónimos.
2. 2. A conservação de dados pessoais para fins históricos, estatísticos, de investigação criminal e de segurança nacional pode ser autorizada pela Agência de Protecção de Dados por período superior mediante requerimento do responsável pelo tratamento.

SECÇÃO II

REQUISITOS PARA O TRATAMENTO DE DADOS PESSOAIS

Artigo 12.º

Requisitos gerais para o tratamento de dados pessoais

1. 1. Salvo disposição legal em contrário, o tratamento de dados pessoais só pode ser efectuado verificadas as seguintes circunstâncias:
   1. a)- Consentimento inequívoco e expresso do seu titular;
   2. b)- Notificação à Agência de Protecção de Dados.
2. 2. Sem prejuízo do disposto no artigo 25.º, o consentimento do titular dos dados é dispensável quando o tratamento for necessário para:
   1. a)- execução de contrato ou contratos em que o titular dos dados seja parte ou de diligências prévias à formação do contrato ou declaração negocial efectuadas a seu pedido;
   2. b)- Cumprimento de obrigação legal a que o responsável pelo tratamento esteja sujeito;
   3. c)- Protecção de interesses vitais do titular dos dados, pelo seu representante legal se aquele estiver física ou legalmente incapaz de dar o seu consentimento;
   4. d)- execução de uma missão de interesse público ou no exercício de autoridade pública em que esteja investido o responsável pelo tratamento ou um terceiro a quem os dados sejam comunicados;
   5. e)- prossecução de interesses legítimos do responsável pelo tratamento ou de terceiro a quem os dados sejam comunicados, desde que não devam prevalecer os interesses ou os direitos, liberdades e garantias do titular dos dados.

Artigo 13.º

Requisitos específicos para o tratamento de dados sensíveis

1. 1. Salvo disposição em contrário, o tratamento de dados pessoais só pode ser efectuado verificadas as seguintes circunstâncias:
   1. a)- disposição legal que permita tal tratamento;
   2. b)- autorização da Agência de Protecção de Dados, a qual só pode ser concedida, verificada pelo menos uma das seguintes condições:
      1. i) o tratamento dos dados a serem efectuados com o consentimento inequívoco, expresso e escrito do seu titular ou do seu representante legal;
      2. ii) o tratamento dos dados ser efectuado com o consentimento inequívoco e expresso do titular por fundação, associação ou organismos sem fins lucrativos de carácter político, filosófico, religioso ou sindical, no âmbito das suas actividades legítimas, sob condição de o tratamento respeitar apenas aos membros desse organismo ou às pessoas que com ele mantenham contactos periódicos ligados às suas finalidades, e de os dados não serem comunicados a terceiros sem o consentimento inequívoco e expresso dos seus titulares;
      3. iii) necessidade de proteger interesses vitais do titular dos dados ou de uma outra pessoa e o titular dos dados estiver física ou legalmente incapaz de dar o seu consentimento;
      4. iv) os dados em causa serem manifestamente tornados públicos pelo seu titular, desde que se possa legitimamente deduzir das suas declarações o consentimento para o tratamento dos mesmos;
      5. v) o tratamento dos dados ser necessário à declaração, exercício ou defesa de um direito em processo judicial e for efectuado exclusivamente com essa finalidade;
      6. vi) o tratamento dos dados for, por motivos de interesse público, indispensável ao exercício de atribuições legais ou estatutárias do responsável, incluindo para o exercício das actividades de investigação das autoridades judiciais, policiais e administrativas no âmbito das suas competências.
2. 2. O tratamento de dados sensíveis que decorra de disposição legal deve ser notificado à Agência de Protecção de Dados.
3. 3. O tratamento de dados sensíveis deve ser efectuado com garantias de não discriminação e mediante adopção das especiais medidas de segurança.

Artigo 14.º

Requisitos específicos para o tratamento de dados sensíveis de saúde e da vida sexual

1. 1. Sem prejuízo do disposto no artigo anterior e em legislação especial, o tratamento de dados pessoais referentes à saúde e à vida sexual, incluindo os dados genéticos, os quais são considerados dados sensíveis, só pode ser efectuado verificadas as seguintes circunstâncias:
   1. a)- consentimento inequívoco, expresso e escrito do seu titular ou do seu representante legal; e/ou
   2. b)- autorização da Agência de Protecção de Dados.
2. 2. O tratamento dos dados indicados no número anterior é permitido sem o consentimento do titular dos dados, quando for necessário para efeitos de medicina preventiva, de diagnóstico médico, de assistência médica consentida, de gestão e estatística de serviços de saúde ou quando se trate de uma emergência médica ou justificada pelo interesse público.
3. 3. O tratamento de dados da saúde e da vida sexual deve ser efectuado por um profissional de saúde com registo na ordem profissional correspondente, obrigado a cumprir o dever de sigilo profissional.

Artigo 15.º

Requisitos específicos para o tratamento de dados relativos a actividades ilícitas, crimes e contravenções

1. 1. O tratamento de dados pessoais relativos a pessoas suspeitas de actividades ilícitas, infracções penais, contravenções e de aplicação de penas, medidas de segurança, multas e sanções acessórias, os quais são considerados dados sensíveis, só pode ser efectuado por autoridade pública, verificadas as seguintes circunstâncias:
   1. a)- disposição legal que permita tal tratamento por autoridades com competência específica, em respeito das normas procedimentais e de protecção de dados previstas por lei e mediante prévio parecer da Agência de Protecção de Dados; ou
   2. b)- autorização da Agência de Protecção de Dados, a qual só pode ser concedida quando tal tratamento for necessário à execução de finalidades legítimas do seu responsável e sejam observadas as normas de protecção de dados e de segurança da informação.
2. 2. Sem prejuízo do disposto em legislação específica, o tratamento de dados pessoais para fins de investigação policial deve limitar-se ao necessário para o cumprimento de finalidades de prevenção geral e especial ou repressão de uma infracção determinada, nos termos da presente lei e de legislação especial.

Artigo 16.º

Requisitos específicos para o tratamento de dados de crédito e de solvabilidade

1. 1. Sem prejuízo do disposto no n.º 2 do presente artigo, o tratamento de dados pessoais relativos ao crédito e solvabilidade só pode ser efectuado verificadas as seguintes circunstâncias, salvo se a informação for obtida de fontes acessíveis publicamente em respeito das suas condições de consulta e utilização:
   1. a)- consentimento inequívoco e expresso do titular dos dados;
   2. b)- autorização da Agência de Protecção de Dados.
2. 2. O tratamento de dados de crédito e solvabilidade relativos ao cumprimento e incumprimento das obrigações creditícias pelo responsável está sujeito a:
   1. a)- notificação ao titular de que os seus dados constam do ficheiro de devedores do responsável, devendo tal notificação ser efectuada num prazo de sessenta dias após inserção dos dados em tais ficheiros;
   2. b)- autorização da Agência de Protecção de Dados.

Artigo 17.º

Requisitos específicos para o tratamento de dados em sistemas de videovigilância e outros meios de controlo electrónico

1. 1. O tratamento de dados pessoais no âmbito da instalação de sistemas de videovigilância e outras formas de captação, tratamento e difusão de sons e imagens que permitam identificar pessoas, incluindo os sistemas de vigilância electrónica rodoviária, está sujeito ao disposto no artigo 13 º.
2. 2. O responsável pelo tratamento deve disponibilizar, nos locais com sistemas de videovigilância, informação relativa à existência dos mesmos, à captação de som e de imagem e ao nome do responsável pelo tratamento dos dados, seu endereço, número de telefone e email.
3. 3. As regras aplicáveis à instalação de sistemas de videovigilância é ao tratamento de dados recolhidos neste âmbito constarão de legislação especial.

Artigo 18.º

Requisitos específicos para o tratamento de dados para fins de publicidade por via postal

1. 1. O tratamento de dados pessoais para fins de envio de mensagens publicitárias endereçadas para o domicílio, por via postal ou por distribuição directa, é permitido mediante notificação à Agência de Protecção de Dados, excepto quando o destinatário se tenha expressamente oposto ao tratamento e utilização dos seus dados para esta finalidade.
2. 2. Para os efeitos do disposto no número anterior, o titular deve ter acesso a meios que lhe permitam a qualquer momento recusar, sem ónus, gratuitamente e independentemente de justa causa, o envio dessa publicidade para o futuro.
3. 3. Em caso de oposição, as entidades que promovam o envio de mensagens publicitárias para o domicílio por via postal ou por distribuição directa devem manter uma lista de titulares que manifestaram a sua oposição ao envio de tais mensagens.
4. 4. O tratamento de dados para os fins previstos no n.º 2 anterior não requer notificação à Agência de Protecção de Dados, nem consentimento dos titulares dos dados.
5. 5. Com vista à maior eficácia do disposto no n.º 2 do presente artigo, a Agência de Protecção de Dados apoiará a constituição de listas de titulares que manifestaram a sua oposição ao envio de mensagens publicitárias.
6. 6. O responsável pelo tratamento de dados pessoais para os fins constantes deste artigo deve informar o destinatário:
   1. a)- sobre a procedência dos seus dados pessoais, no caso de os mesmos terem origem em fontes acessíveis ao público;
   2. b)- de que os seus dados serão comunicados a destinatários para fins de publicidade, caso o titular dos dados tenha consentido, observando-se nesse caso os requisitos aplicáveis à comunicação de dados constantes do artigo 21.º;
   3. c)- sobre a identidade do responsável pelo tratamento, sendo proibido o envio de publicidade por via postal ou distribuição directa ocultando ou dissimulando a identidade da pessoa em nome de quem é efectuada a comunicação.

Artigo 19.º

Requisitos específicos para o tratamento de dados para fins de publicidade por via electrónica

1. 1. O tratamento de dados pessoais para fins de envio de mensagens publicitárias endereçadas por meios electrónicos, nomeadamente por via de aparelhos de chamada automática, aparelhos de telecópia ou por correio electrónico, está sujeito aos seguintes requisitos:
   1. a)- consentimento inequívoco e expresso do destinatário de tais mensagens;
   2. b)- notificação à Agência de Protecção de Dados.
2. 2. O tratamento de dados pessoais para os fins previstos no número anterior pode ser efectuado sem o consentimento do titular dos dados nas seguintes circunstâncias:
   1. a)- quando as mensagens sejam enviadas ao titular dos dados enquanto representante, trabalhador ou colaborador de uma pessoa colectiva;
   2. b)- quando as mensagens sejam enviadas pela Administração Pública através do sistema de governação electrónica do Executivo Angolano;
   3. c)- quando as mensagens sejam enviadas a pessoas singulares com quem o fornecedor do produto ou o prestador do serviço tenha celebrado anteriormente transacções, se àquele tiver sido explicitamente oferecida a possibilidade de o recusar por ocasião da transacção realizada e se não implicar para o destinatário dispêndio adicional ao custo do serviço de telecomunicações
3. 3. No caso previsto no número anterior, o titular dos dados tem o direito de se opor ao seu tratamento para os fins constantes deste artigo.
4. 4. Para os efeitos do disposto no número anterior, o titular deve ter acesso a meios que lhe permitam a qualquer momento recusar, sem ónus, gratuitamente e independentemente de justa causa, o envio dessa publicidade para o futuro.
5. 5. Em caso de oposição, as entidades que promovam o envio de mensagens publicitárias devem manter uma lista actualizada, por si ou por organismos que as representem, de titulares que manifestaram a sua oposição ao envio de tais mensagens.
6. 6. O tratamento de dados para os fins previstos no n.º 2 anterior não requer notificação à Agência de Protecção de Dados, nem consentimento dos titulares dos dados.
7. 7. Com vista a maior eficácia do disposto no n.º 2 do presente artigo, a Agência de Protecção de Dados apoia a constituição de listas de titulares que manifestem a sua oposição ao envio de mensagens publicitárias.
8. 8. O responsável pelo tratamento de dados pessoais para os fins constantes deste artigo deve informar o destinatário:
   1. a)- sobre a procedência dos seus dados pessoais, no caso de os mesmos terem origem em fontes acessíveis ao público;
   2. b)- de que os seus dados serão comunicados a destinatários para fins de marketing directo ou utilizados por conta de terceiros, caso o titular dos dados tenha consentido, observando-se nesse caso os requisitos aplicáveis à comunicação de dados constantes do artigo 21.º;
   3. c)- sobre a identidade do responsável pelo tratamento, sendo proibido o envio de publicidade ocultando ou dissimulando a identidade da pessoa em nome de quem é efectuada a comunicação.

Artigo 20.º

Requisitos específicos para a gravação de chamadas

1. 1. A gravação de chamadas é admitida quando realizada no âmbito de práticas comerciais lícitas, para o efeito de prova de uma transacção comercial, desde que:
   1. a)- o titular dos dados tenha dado previamente o seu consentimento expresso e inequívoco à gravação, devendo esta iniciar com o registo do consentimento;
   2. b)- a Agência de Protecção de Dados tenha autorizado tal tratamento.
2. 2. Exceptua-se da necessidade de consentimento do titular dos dados e da autorização prévia da Agência de Protecção de Dados, as gravações de comunicações de e para serviços públicos destinados a prover situações de emergência de qualquer natureza.
3. 3. No caso previsto no número anterior, o tratamento de dados está sujeito a notificação prévia à Agência de Protecção de Dados.

SECÇÃO III

COMUNICAÇÃO E INTERCONEXÃO DE DADOS PESSOAIS

Artigo 21.º

Comunicação de dados

• A comunicação de dados pessoais pelo responsável a um destinatário está sujeito às seguintes regras:
  1. a)- se os dados pessoais forem comunicados ao destinatário para efeitos de prossecução de finalidades próprias deste, o destinatário será considerado também responsável pelo tratamento dos mesmos, devendo cumprir as disposições legais que lhe são aplicáveis;
  2. b)- se os dados pessoais forem comunicados ao destinatário para efeitos de prossecução das finalidades do responsável que comunica os dados, tratando o destinatário os dados em nome e em representação do responsável, o destinatário é considerado um subcontratado, devendo cumprir as disposições legais que lhe são aplicáveis;
  3. c)- se os dados pessoais forem comunicados ao destinatário não se verificando nenhuma das condições constantes dos pontos anteriores nem estando este sob autoridade directa do responsável pelo tratamento ou de subcontratado, o destinatário será considerado um terceiro.

Artigo 22.º

Comunicação de dados a responsável pelo tratamento ou a terceiro

1. 1. A comunicação de dados a destinatário que seja também responsável pelo tratamento ou que seja um terceiro só pode ser efectuada verificadas as seguintes circunstâncias:
   1. a)- consentimento inequívoco e expresso do titular dos dados;
   2. b)- notificação à Agência de Protecção de Dados.
2. 2. A comunicação de dados não está sujeita ao prévio consentimento do titular quando:
   1. a)- a comunicação decorra de lei ou de decisão judicial;
   2. b)- os dados tenham sido recolhidos de fontes acessíveis publicamente em respeito das suas condições de consulta e utilização, aplicáveis a tais fontes;
   3. c)- a comunicação de dados seja necessária para a execução de contrato ou contratos em que o titular dos dados seja parte ou de diligências prévias à formação do contrato ou declaração negocial efectuadas a seu pedido;
   4. d)- a comunicação de dados seja necessária para o cumprimento de obrigação legal a que o responsável pelo tratamento que transmite os dados ou o destinatário estejam sujeitos, como sucede se a comunicação tiver por finalidade o exercício das actividades atribuídas aos Tribunais (incluindo o Tribunal de Contas), ao Ministério Público, ao Provedor de Justiça e aos órgãos de defesa e segurança do Estado Angolano;
   5. e)- se verifiquem as condições que legitimam o tratamento de dados pessoais sem consentimento do titular, nos termos dos artigos 12.º a 20.º da presente lei.
3. 3. A comunicação dos dados de crédito e solvabilidade entre instituições bancárias e as autoridades judiciais e de investigação e instrução criminal pode ser feita sem o prévio consentimento do titular dos dados, mediante autorização prévia da Agência de Protecção de Dados.

Artigo 23.º

Comunicação de dados a subcontratado

1. 1. A comunicação de dados a subcontratado só pode ser efectuada verificadas as seguintes circunstâncias:
   1. a)- conclusão de contrato ou outro documento com valor jurídico, reduzido a escrito, cujo conteúdo estabeleça a obrigação de o subcontratado cumprir o disposto na presente lei e actuar de acordo com as instruções do responsável pelo tratamento;
   2. b)- notificação à Agência de Protecção de Dados.
2. 2. Salvo se o responsável pelo tratamento instruir o subcontratado em contrário, este fica sujeito às seguintes obrigações:
   1. a)- obrigação de não comunicar os dados pessoais a outros destinatários;
   2. b)- obrigação de cumprir as medidas e níveis de segurança estabelecidas na presente lei;
   3. c)- obrigação de destruir os dados pessoais ou de devolvê-los ao responsável pelo tratamento finda a relação contratual.
3. 3. O subcontratado não pode tratar dados pessoais para finalidades próprias, nem os pode comunicar a outros destinatários em desrespeito do número anterior, sob pena de, caso o faça, ser considerado responsável pelo tratamento dos mesmos.
4. 4. O disposto neste artigo é aplicável a qualquer operação de tratamento de dados pessoais efectuada por subcontratado.

Artigo 24.º

Interconexão de dados pessoais

1. 1. A interconexão de dados pessoais só pode ser efectuada mediante autorização da Agência de Protecção de Dados, salvo se estiver prevista em disposição legal.
2. 2. A Agência de Protecção de Dados só autoriza a interconexão de dados se a interconexão:
   1. a)- for adequada à prossecução das finalidades legais ou estatutárias e dos interesses legítimos dos responsáveis pelo tratamento;
   2. b)- não implicar discriminação, lesão ou diminuição dos direitos, liberdades e garantias fundamentais dos titulares dos dados; e
   3. c)- estiver rodeada de adequadas medidas e níveis de segurança.

SECÇÃO IV

DIREITOS DOS TITULARES DOS DADOS

Artigo 25.º

Direito de informação

1. 1. Sem prejuízo do disposto em outros artigos da presente lei, o responsável pelo tratamento deve disponibilizar aos titulares dos dados pelo menos a seguinte informação:
   1. a)- a identidade e endereço do responsável pelo tratamento;
   2. b)- as finalidades do tratamento e a criação de um ficheiro com a referida finalidade;
   3. c)- os destinatários ou categorias de destinatários dos dados;
   4. d)- o carácter obrigatório ou facultativo da resposta, bem como as possíveis consequências de não responder;
   5. e)- a existência e condições do direito de acesso e de rectificação, actualização, eliminação e oposição;
   6. f)- as consequências da recolha dos dados sem o consentimento do titular ou, em caso de incapacidade deste, pelo seu representante legal;
   7. g)- outras informações necessárias para garantir o tratamento lícito de tais dados pessoais.
2. 2. Quando os dados pessoais sejam recolhidos directamente do titular dos dados, a informação deve ser prestada no momento da recolha, excepto se já tiver sido prestada em momento prévio.
3. 3. Caso os dados pessoais não sejam recolhidos directamente do titular dos dados, o responsável pelo tratamento deve prestar-lhe a informação referida no momento do registo dos dados ou o mais tardar no prazo de trinta dias após a sua recolha, salvo se dele já for conhecida.
4. 4. A informação deve ser prestada de maneira clara, precisa e objectiva em particular quando tenha como destinatários menores e pessoas com necessidades especiais.
5. 5. A obrigação de informação pode ser dispensada mediante disposição legal ou deliberação da Agência de Protecção de Dados, nos seguintes casos:
   1. a)- por motivos de segurança do Estado e prevenção ou investigação criminal;
   2. b)- quando a prestação de informação ao titular dos dados se revelar impossível ou implicar esforços desproporcionados, nomeadamente nos casos de tratamento de dados com finalidades estatísticas, históricas ou de investigação científica; ou
   3. c)- quando a lei determinar expressamente o registo dos dados ou a sua divulgação.
6. 6. A obrigação de informação, nos termos do número anterior, não se aplica ao tratamento de dados efectuado para fins exclusivamente jornalísticos ou de expressão artística ou literária.
7. 7. No caso de recolha de dados em redes abertas, considera-se prestado o direito de informação através da publicação e disponibilização de políticas de privacidade que sejam de fácil acesso e incluam:
   1. a)- as informações descritas no n.º 1 do presente artigo;
   2. b)- a informação de que os seus dados pessoais podem circular na rede sem condições de segurança, correndo o risco de serem vistos e utilizados por terceiros não autorizados.

Artigo 26.º

Direito de acesso

1. 1. O titular dos dados tem o direito de obter do responsável pelo tratamento, livremente, sem restrições, demoras ou custos excessivos, informação sobre se são ou não tratados dados que lhe digam respeito, as finalidades desse tratamento, as categorias de dados sobre que incide e os destinatários ou categorias de destinatários a quem são comunicados os dados.
2. 2. O responsável pelo tratamento deve ainda comunicar ao titular os dados específicos objecto de tratamento, bem como quaisquer informações disponíveis sobre a origem desses dados.
3. 3. Sem prejuízo do disposto em legislação específica, no tratamento de dados pessoais relativos à segurança do Estado, à prevenção ou investigação criminal e ao segredo de justiça, o direito de acesso é exercido através da Agência de Protecção de Dados.
4. 4. No tratamento de dados pessoais efectuado para fins exclusivamente jornalísticos, o direito de acesso é exercido pela Agência de Protecção de Dados com salvaguarda das normas constitucionais aplicáveis, designadamente as que garantem a liberdade de expressão e a liberdade de imprensa.
5. 5. Nos casos previstos nos n.ºs 3 e 4, se o acesso aos dados pelo seu titular puder prejudicar a segurança do Estado, a prevenção ou a investigação criminal, o segredo de justiça ou ainda a liberdade de expressão e a liberdade de imprensa, a Agência de Protecção de Dados limita-se a informar o titular dos dados das diligências efectuadas.
6. 6. A lei pode restringir o direito de acesso verificadas as seguintes circunstâncias:
   1. a)- os dados não serem utilizados para tomar medidas ou decisões relativamente a pessoas determinadas, mas exclusivamente para fins de investigação científica ou conservados sob forma de dados pessoais durante um período que não exceda o necessário à finalidade exclusiva de elaborar estatísticas;
   2. b)- não existir qualquer perigo de violação dos direitos, liberdades e garantias fundamentais do titular dos dados pessoais, designadamente do direito à reserva de intimidade da vida privada.
7. 7. O direito de acesso do titular dos dados à informação sobre os dados de saúde e vida sexual, incluindo os dados genéticos, é exercido por intermédio de médico escolhido pelo titular dos dados ou de seu representante legítimo.

Artigo 27.º

Direito de oposição

• O titular dos dados tem o direito de:
  1. a)- salvo disposição legal em contrário, e pelo menos nas situações referidas nas alíneas d) e e) do n.º 2 do artigo 12.º, se opor em qualquer altura a que os dados que lhe digam respeito sejam objecto de tratamento quando existam razões ponderosas e legítimas relacionadas com a sua situação particular, devendo neste caso o responsável excluir do tratamento tais dados;
  2. b)- se opor ao tratamento dos seus dados em outras circunstâncias previstas na presente lei e em outra legislação específica.

Artigo 28.º

Direito de rectificação, actualização e eliminação

1. 1. É assegurado ao titular dos dados pessoais os direitos de rectificação, actualização ou eliminação dos seus dados pessoais cujo tratamento não cumpra o disposto na presente lei, nomeadamente devido ao carácter incompleto ou inexacto desses dados.
2. 2. O responsável pelo tratamento é obrigado, nos termos da presente lei e legislação especial, a assegurar o direito de rectificação, actualização e eliminação de dados num período de sessenta dias úteis.
3. 3. Se os dados objecto de rectificação, actualização ou eliminação tiverem sido previamente comunicados a destinatário, o responsável pelo tratamento fica obrigado a notificar a este tal rectificação, actualização ou eliminação, salvo se isso for comprovadamente impossível, devendo o destinatário agir em conformidade.
4. 4. No caso previsto no número anterior, o destinatário que tratar os dados para os seus próprios fins ou para fins de um terceiro pode não proceder à eliminação dos dados, devendo neste caso tal destinatário informar o titular dos dados desta situação e confirmar se este pretende também rectificar, actualizar ou eliminar os seus dados dos ficheiros respectivos.
5. 5. O responsável pelo tratamento deve, contudo, bloquear e/ou conservar os dados pessoais nos seguintes casos:
   1. a)- disposição legal ou ordem de autoridade competente que obrigue o responsável pelo tratamento a bloquear e/ou conservar os dados por um determinado período de tempo;
   2. b)- se o bloqueamento e/ou conservação dos dados for necessário à prossecução de um interesse legítimo do responsável pelo tratamento, designadamente para o exercício de um direito ou para o cumprimento de obrigações legais;
   3. c)- se os dados estiverem a ser utilizados para efeitos de investigação criminal; d)- se os dados se tratarem de dados relativos ao crédito e à solvabilidade, enquanto a situação creditícia do titular não estiver regularizada.

Artigo 29.º

Decisões individuais automatizadas

1. 1. Qualquer pessoa tem o direito de não ficar sujeita a uma decisão que produza efeitos na sua esfera jurídica ou que a afecte de modo significativo, tomada exclusivamente com base num tratamento automatizado de dados destinado a avaliar determinados aspectos da sua personalidade, designadamente, a sua capacidade profissional, o seu crédito, a confiança de que é merecedora ou o seu comportamento.
2. 2. Sem prejuízo do cumprimento das restantes disposições da presente lei, uma pessoa pode ficar sujeita a uma decisão tomada nos termos do número anterior, desde que tal ocorra no âmbito da celebração ou da execução de um contrato e sob condição de o seu pedido de celebração ou execução do contrato ter sido satisfeito, ou de existirem medidas adequadas que garantam a defesa dos seus interesses legítimos, designadamente o seu direito de representação e expressão.
3. 3. Pode ainda ser permitida a tomada de uma decisão, nos termos do n.º 1 deste artigo, quando a Agência de Protecção de Dados o autorize, definindo medidas de garantia da defesa dos interesses legítimos do titular dos dados.

SECÇÃO V

MEDIDAS DE SEGURANÇA

Artigo 30.º

Segurança do tratamento

1. 1. O responsável pelo tratamento deve pôr em prática as medidas técnicas e organizativas, e estabelecer níveis de segurança adequados, para proteger os dados pessoais contra a destruição total ou parcial, acidental ou ilícita, a perda acidental, a alteração total ou parcial, a difusão ou o acesso não autorizados, fundamentalmente quando o tratamento implicar a sua transmissão em rede, e contra qualquer outra forma de tratamento ilícito.
2. 2. As medidas de segurança devem assegurar, atendendo aos conhecimentos técnicos disponíveis e aos custos resultantes da sua aplicação, um nível de segurança adequado em relação aos riscos que o tratamento apresenta e à natureza dos dados a proteger.
3. 3. O responsável pelo tratamento deve elaborar um documento com as medidas, normas e procedimentos de segurança aplicáveis ao tratamento de dados pessoais, detalhando os níveis de segurança, os recursos a proteger e as funções e obrigações das pessoas com acesso aos dados, de acordo com as regras de segurança.

Artigo 31.º

Medidas especiais de segurança

1. 1. O responsável pelo tratamento dos dados deve, relativamente aos dados indicados nos artigos 13.º a 17.º e no artigo 20.º, tomar as medidas adequadas para:
   1. a)- impedir o acesso de pessoa não autorizada aos ficheiros e às instalações utilizadas para o tratamento desses dados;
   2. b)- impedir que os suportes de dados pessoais possam ser lidos, copiados, alterados ou retirados por pessoa não autorizada;
   3. c)- impedir a introdução não autorizada, bem como a tomada de conhecimento, a alteração ou a eliminação não autorizadas de dados pessoais inseridos;
   4. d)- impedir que sistemas de tratamento automatizados de dados possam ser utilizados por pessoas não autorizadas através de instalações de transmissão de dados;
   5. e)- garantir que só as pessoas autorizadas possam ter acesso aos dados abrangidos pela autorização;
   6. f)- garantir a verificação das entidades a quem possam ser transmitidos os dados pessoais através das instalações de transmissão de dados;
   7. g)- garantir que se possa verificar a posteriori, em prazo adequado à natureza do tratamento conforme fixado em regulamentação aplicável a cada sector, quais os dados pessoais introduzidos, quando e por quem;
   8. h)- impedir que, na transmissão de dados pessoais, bem como no transporte do seu suporte, os dados possam ser lidos, copiados, alterados ou eliminados de forma não autorizada.
2. 2. Os sistemas devem garantir a separação lógica entre os dados referentes à saúde e à vida sexual, incluindo os genéticos, dos restantes dados pessoais.
3. 3. A Agência de Protecção de Dados pode determinar que, nos casos em que a circulação em rede dos dados pessoais referidos nos artigos 12.º e 13.º a 17.º possa pôr em risco direitos, liberdades e garantias dos respectivos titulares, a transmissão seja cifrada.

Artigo 32.º

Sigilo profissional

1. 1. Os responsáveis do tratamento de dados pessoais, bem como as pessoas que, no exercício das suas funções, tenham conhecimento dos dados pessoais tratados, ficam obrigados a sigilo profissional, mesmo após o termo das suas funções.
2. 2. Aplica-se o disposto no número anterior aos membros da Agência de Protecção de Dados, bem como aos funcionários, agentes ou técnicos que exerçam funções de assessoria à Agência de Protecção de Dados, mesmo após o termo do mandato.
3. 3. O disposto nos números anteriores não exclui o dever do fornecimento das informações obrigatórias, nos termos legais, excepto quando constem de ficheiros organizados para fins estatísticos.
4. 4. A violação do sigilo profissional obriga os seus autores à responsabilidade criminal, nos termos do artigo 58.º do presente diploma, sem prejuízo da responsabilidade disciplinar ou civil, nos termos da lei.

SECÇÃO VI

TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS

Artigo 33.º

Transferência de dados para países que assegurem um nível de protecção adequado

1. 1. A transferência internacional de dados para países que assegurem um nível de protecção adequado está sujeita a notificação à Agência de Protecção de Dados.
2. 2. Entende-se que um país assegura um nível de protecção adequado quando o mesmo garanta, no mínimo, um nível de protecção igual ao estabelecido na presente lei.
3. 3. Cabe à Agência de Protecção de Dados decidir se um Estado assegura um nível de protecção adequado, mediante a emissão de parecer a este respeito.
4. 4. A adequação do nível de protecção de dados num Estado é apreciada pela Agência de Protecção de Dados em função de todas as circunstâncias que rodeiam a transferência ou o conjunto de transferências de dados, atendendo em especial à natureza dos dados, à finalidade e à duração do tratamento ou tratamentos projectados, aos países de destino final e às regras de direito, gerais ou sectoriais, em vigor no Estado em causa, incluindo as regras profissionais e as medidas de segurança que são respeitadas nesse Estado.

Artigo 34.º

Transferência de dados para países que não assegurem um nível de protecção adequado

1. 1. A transferência internacional de dados para um país que não assegure um nível de protecção adequado está sujeita a autorização da Agência de Protecção de Dados, a qual só pode ser concedida verificada uma das seguintes circunstâncias ou outras constantes de legislação específica:
   1. a)- se o titular dos dados tiver dado o seu consentimento inequívoco, expresso e escrito;
   2. b)- se a transferência internacional de dados decorrer da aplicação de tratados ou acordos internacionais em que a República de Angola seja parte;
   3. c)- se a transferência de dados tiver como finalidade exclusiva a resposta ou pedido de ajuda humanitária;
   4. d)- se a transferência de dados for necessária para a execução de um contrato entre o titular dos dados e o responsável pelo tratamento ou de diligências prévias à formação do contrato decididas a pedido do titular dos dados;
   5. e)- se a transferência de dados for necessária para a execução ou celebração de um contrato, no interesse do titular dos dados, entre o responsável pelo tratamento e um terceiro;
   6. f)- se a transferência de dados for necessária ou legalmente exigida para a protecção de um interesse público importante ou para a declaração, o exercício ou a defesa de um direito num processo judicial;
   7. g)- se a transferência de dados for necessária para proteger os interesses vitais do titular dos dados, ou para prevenção, diagnóstico ou tratamento médico e o titular estiver física ou legalmente incapaz de dar o seu consentimento;
   8. h)- se a transferência de dados for realizada a partir de uma fonte acessível publicamente
   9. i)- se o destinatário dos dados assegurar contratualmente, perante o responsável pelo tratamento, um nível de protecção adequado aos dados transferidos.
2. 2. Incumbe à Agência de Protecção de Dados determinar as condições específicas que devem constar do contrato referido na alínea i) do número anterior.
3. 3. No caso de transferência internacional de dados entre empresas do mesmo grupo empresarial, a garantia do cumprimento de um nível de protecção adequado pode ser alcançada através da adopção de regras internas uniformes relativas à privacidade e protecção de dados cujo cumprimento seja obrigatório.

SECÇÃO VII

FORMALIDADES PARA NOTIFICAÇÃO E OBTENÇÃO DE AUTORIZAÇÃO JUNTO DA AGÊNCIA DE PROTECÇÃO DE DADOS

Artigo 35.º

Obrigação de notificação ou de obtenção de autorização

1. 1. Sem prejuízo do disposto na presente lei, o tratamento de dados pessoais está sujeito a notificação prévia à Agência de Protecção de Dados ou a autorização desta.
2. 2. Se for necessária mera notificação, a Agência de Protecção de Dados deve pronunciar-se sobre o pedido do responsável pelo tratamento no prazo de trinta dias após a sua recepção, findo o qual se entende que o tratamento foi devidamente notificado.
3. 3. A Agência de Protecção de Dados pode autorizar a simplificação ou a isenção da notificação para determinadas categorias de tratamento que, atendendo à especificidade dos dados, não sejam susceptíveis de pôr em causa os direitos, garantias e liberdades fundamentais dos titulares dos dados, e tendo em conta critérios de celeridade, economia e eficiência.
4. 4. A autorização de isenção deve, entre outros aspectos, especificar as finalidades do tratamento, os dados ou categorias de dados a tratar, a categoria ou categorias de titulares dos dados, os destinatários ou categorias de destinatários a quem podem ser comunicados os dados e o período de conservação dos dados.
5. 5. Estão isentos de notificação os tratamentos cuja única finalidade seja a manutenção de registos que se destinem a informação do público e possam ser consultados pelo público em geral ou por qualquer pessoa que provar um interesse legítimo.
6. 6. É dispensada a obtenção de autorização da Agência de Protecção de Dados se o tratamento decorrer de diploma legal, bastando neste caso proceder à mera notificação, salvo se indicado em contrário em legislação específica.

Artigo 36.º

Conteúdo das notificações e dos pedidos de autorização

• As notificações e os pedidos de autorização remetidos à Agência de Protecção de Dados devem conter as seguintes informações:
  1. a)- nome e endereço do responsável pelo tratamento e, se for o caso, do seu representante;
  2. b)- finalidades do tratamento;
  3. c)- descrição da ou das categorias de titulares dos dados e dos dados ou categorias de dados pessoais que lhes respeitem;
  4. d)- destinatários ou categorias de destinatários a quem os dados podem ser comunicados e em que condições;
  5. e)- entidade encarregada do processamento da informação, se não for o próprio responsável do tratamento;
  6. f)- eventuais interconexões de tratamentos de dados pessoais;
  7. g)- tempo de conservação dos dados pessoais
  8. h)- forma e condições como os titulares dos dados podem exercer os seus direitos;
  9. i)- transferências de dados previstas para países terceiros;
  10. j)- descrição geral que permita avaliar de forma preliminar a adequação das medidas tomadas para garantir a segurança do tratamento.

Artigo 37.º

Indicações obrigatórias

1. 1. Os registos de tratamentos de dados pessoais e as autorizações da Agência de Protecção de Dados devem pelo menos indicar:
   1. a)- o responsável e, se for caso disso, o seu representante;
   2. b)- as categorias de dados pessoais tratados;
   3. c)- as finalidades a que se destinam os dados e as categorias de entidades a quem podem ser transmitidos;
   4. d)- a forma de exercício do direito de acesso, de rectificação, actualização e cancelamento;
   5. e)- eventuais interconexões de tratamentos de dados pessoais;
   6. f)- transferências de dados previstas para países terceiros.
2. 2. Qualquer alteração das indicações constantes do número anterior está sujeita aos procedimentos previstos no artigo 35.º

Artigo 38.º

Publicidade dos tratamentos

1. 1. O tratamento de dados pessoais, quando deva ser autorizado ou notificado, consta de registo na Agência de Protecção de Dados, aberto à consulta pública.
2. 2. O registo contém as informações enumeradas nas alíneas a) a d) e i) do artigo 36.º.
3. 3. O responsável pelo tratamento não sujeito a notificação está obrigado a prestar, de forma adequada, a qualquer pessoa que o solicite, pelo menos as informações indicadas no n.º 1 do artigo 37.º.
4. 4. O disposto no presente artigo não se aplica ao tratamento de dados em fontes acessíveis publicamente.

SECÇÃO VIII

DISPOSIÇÕES ESPECÍFICAS APLICÁVEIS AO TRATAMENTO DE DADOS PESSOAIS NO SECTOR PÚBLICO

Artigo 39.º

Regra aplicável

• O tratamento de dados pelo sector público e cooperativo está sujeito:
  1. a)- ao disposto na presente lei;
  2. b)- ao disposto nas regras específicas constantes desta secção e de legislação especial.

Artigo 40.º

Criação, modificação e eliminação

1. 1. A criação, modificação e eliminação de ficheiros da Administração Pública e dos Tribunais apenas pode ser efectuada ao abrigo de disposição legal, a qual deve conter, expressamente ou por remissão para diploma autónomo, a seguinte informação:
   1. a)- o responsável pelo tratamento;
   2. b)- as finalidades do tratamento;
   3. c)- os processos de recolha e tratamento dos dados pessoais;
   4. d)- a estrutura básica do ficheiro;
   5. e)- os tipos de dados pessoais incluídos no ficheiro;
   6. f)- as comunicações de dados a destinatários, caso aplicável
   7. g)- a transferência de dados para países terceiros, se aplicável;
   8. h)- os serviços ou unidades perante os quais os titulares dos dados podem exercer os seus direitos;
   9. i)- as medidas de segurança aplicáveis, incluindo mediante a indicação de critérios de acesso discriminados, caso aplicável.
2. 2. As disposições legais que ditem a eliminação de ficheiros devem indicar o destino dos mesmos ou dos seus dados e as medidas a adoptar para a sua destruição.

Artigo 41.º

Comunicação de dados no sector público

• Os dados pessoais tratados por organismos da Administração Pública não podem ser comunicados a outras entidades, organismos, serviços ou outros que tenham competências materiais distintas, salvo nas seguintes circunstâncias:
  1. a)- tal comunicação é permitida por disposição legal ou autorização pela Agência de Protecção de Dados;
  2. b)- a comunicação tenha por objecto o tratamento posterior dos dados para fins históricos ou estatísticos.

SECÇÃO IX

DISPOSIÇÕES ESPECÍFICAS APLICÁVEIS AO TRATAMENTO DE DADOS PESSOAIS NO SECTOR PRIVADO E COOPERATIVO

Artigo 42.º

Regra aplicável

• O tratamento de dados pelos sectores privado e cooperativo está sujeito:
  1. a)- ao disposto na presente lei, com excepção do constante na Secção VIII;
  2. b)- ao disposto em legislação específica que regulamente o tratamento de dados pessoais em certos sectores de actividade.

Artigo 43.º

Tipos de ficheiros

• Os ficheiros de dados pessoais de responsáveis pelo tratamento do sector privado incluem, entre outros, os seguintes:
  1. a)- ficheiros de trabalhadores;
  2. b)- ficheiros de medicina de trabalho;
  3. c)- ficheiros de gestão de clientes;
  4. d)- ficheiros de entradas e saídas;
  5. e)- ficheiros de videovigilância.

CAPÍTULO III

AGÊNCIA DE PROTECÇÃO DE DADOS

Artigo 44.º

Natureza e composição

1. 1. A Agência de Protecção de Dados é uma pessoa colectiva de direito público, dotada de personalidade jurídica, com autonomia administrativa, financeira e patrimonial, a quem compete, nomeadamente:
   1. a)- a fiscalização da aplicação das disposições da presente lei;
   2. b)- emitir recomendações, orientações e instruções sobre as melhores práticas no tratamento de dados pessoais;
   3. c)- emitir parecer sobre o acesso aos documentos nominativos;
   4. d)- emitir parecer sobre o sistema de classificação de documentos
   5. e)- apreciar e decidir sobre as reclamações que lhe sejam dirigidas e garantir o exercício do direito de acesso, de rectificação, actualização e cancelamento de dados;
   6. f)- registar e publicar o registo de ficheiros de dados pessoais;
   7. g)- garantir aos titulares dos dados pessoais a obtenção de informação precisa sobre os seus direitos no âmbito do tratamento dos seus dados;
   8. h)- orientar a aplicação das medidas técnicas e de segurança necessárias e adequadas;
   9. i)- cooperar com as autoridades internacionais em matéria de protecção de dados pessoais e fiscalizar os movimentos internacionais de dados pessoais;
   10. j)- exercer a sua função sancionadora em matéria de protecção de dados pessoais, nos termos da presente lei;
   11. k)- elaborar e remeter anualmente ao Titular do Poder Executivo um relatório sobre o estado de aplicação da presente lei e da sua actividade;
   12. l)- emitir parecer sobre a aplicação da presente lei e demais actos complementares.
2. 2. A Agência de Protecção de Dados é composta por sete membros, designados do seguinte modo:
   1. a)- três cidadãos designados pelo Presidente da República, dos quais nomeia o Presidente da Agência;
   2. b)- três cidadãos eleitos pela Assembleia Nacional;
   3. c)– um Magistrado Judicial eleito pelo Conselho Superior da Magistratura Judicial.

Artigo 45.º

Organização e funcionamento

A organização e funcionamento da Agência de Protecção de Dados são estabelecidos por diploma do Titular do Poder Executivo.

Artigo 46.º

Códigos de conduta

1. 1. A Agência de Protecção de Dados estimula a criação de códigos de conduta no âmbito da protecção de dados.
2. 2. É incentivada a participação de representantes dos direitos titulares dos dados na elaboração e aplicação dos códigos de conduta.
3. 3. Os códigos de conduta devem ser registados na Agência de Protecção de Dados.
4. 4. A Agência de Protecção de Dados pode rejeitar o registo de códigos de conduta quando considere os mesmos contrários às disposições do presente diploma e demais legislação aplicável.
5. 5. Cabe à Agência de Protecção de Dados emitir pareceres e recomendações para que os responsáveis pela criação dos códigos de conduta efectuem as correcções necessárias.

CAPÍTULO IV

TUTELA ADMINISTRATIVA E JURISDICIONAL

SECÇÃO I

DISPOSIÇÕES GERAIS

Artigo 47.º

Tutela administrativa e jurisdicional

1. 1. Sem prejuízo do direito de apresentação de queixa à Agência de Protecção de Dados, qualquer pessoa pode, nos termos da lei, recorrer a meios administrativos ou jurisdicionais para garantir o cumprimento das disposições legais em matéria de protecção de dados pessoais.
2. 2. Das decisões da Agência de Protecção de Dados cabe recurso contencioso administrativo.

Artigo 48.º

Responsabilidade civil no tratamento de dados pessoais

Qualquer pessoa que tiver sofrido um prejuízo moral ou patrimonial por uso indevido de dados pessoais, tem o direito de exigir a reparação por danos sofridos por via judicial, cabendo ao juiz graduar a lesão objectivamente.

SECÇÃO II

CONTRAVENÇÕES E MULTAS

Artigo 49.º

Direito subsidiário

O regime sancionatório estabelecido na presente lei não prejudica a aplicação dos regimes sancionatórios vigentes em legislação especial.

Artigo 50.º

Dever omitido

Sempre que a contravenção resulte da omissão de um dever aplicável ao tratamento de dados pessoais, a aplicação da sanção e o pagamento da multa não dispensam o infractor do seu cumprimento, quando for possível.

Artigo 51.º

Contravenções e multas

1. 1. Sem prejuízo de outras sanções que se mostrem aplicáveis, constitui contravenção punida com as multas em montante equivalente a moeda nacional a seguir indicadas a prática dos seguintes actos:
   1. a) - USD 75.000,00 a USD 150.000,00, no caso de:
      1. i) incumprimento das obrigações estabelecidas nos artigos 14.º, 15.º, 16.º, 17.º, 20.º, 30.º, 31.º e 32.º;
      2. ii) incumprimento com negligência da obrigação de notificação à Agência de Protecção de Dados ou o seu cumprimento com prestação de falsas informações ou com inobservância do disposto na presente lei;
      3. iii) incumprimento de ordem da Agência de Protecção de Dados para cessar o acesso às redes abertas de transmissão de dados a responsáveis que não cumpram o disposto nesta lei.
   2. b)- USD 65.000,00 a USD 130.000,00, no caso de não cumprimento dos princípios constantes nos artigos 6.º a 11.º, de não obtenção do consentimento do titular dos dados para o tratamento, salvo se verifiquem as circunstâncias que o dispensem, bem como de incumprimento do disposto nos artigos 18.º, 19.º e 21.º a 24.º
2. 2. Tratando-se de pessoas colectivas, sociedades e meras associações de facto, as contravenções previstas no número anterior são agravadas no triplo dos respectivos limites.
3. 3. A tentativa e a negligência são puníveis.

Artigo 52.º

Negligência e tentativa

1. 1. A negligência é punida nas contravenções previstas no ponto ii) da alínea a) do artigo 51.º do presente diploma.
2. 2. A tentativa é sempre punível nas contravenções previstas no artigo 51.°

Artigo 53.º

Aplicação das multas

1. 1. A aplicação das multas previstas na presente lei compete à Agência de Protecção de Dados.
2. 2. A deliberação da Agência de Protecção de Dados, depois de homologada pelo seu responsável, constitui título executivo, no caso de não ser impugnada no prazo legal.
3. 3. As deliberações da Agência de Protecção de Dados são públicas.

Artigo 54.º

Receitas

1. 1. O montante das importâncias cobradas, em resultado da aplicação das multas, reverte para o Estado e para a Agência de Protecção de Dados.
2. 2. As multas a aplicar pela Agência de Protecção de Dados devem ser periodicamente actualizadas.

SECÇÃO III

CRIMES

Artigo 55.º

Incumprimento das obrigações relativas a protecção de dados pessoais

1. 1. Sem prejuízo das demais obrigações reguladas na presente lei, incorre em crime punível com pena de prisão de 3 a 18 meses ou multa correspondente, quem:
   1. a)- omitir o pedido de autorização à Agência de Protecção de Dados;
   2. b)- fornecer falsas informações na notificação ou nos pedidos de autorização para o tratamento de dados pessoais, ou neste proceder a modificações não consentidas pelo presente diploma;
   3. c)- promover ou efectuar uma interconexão ilegal de dados pessoais;
   4. d)- depois de ultrapassado o prazo que lhes tiver sido fixado pela Agência de Protecção de Dados para cumprimento das obrigações previstas na presente lei ou legislação subsidiária, as não cumprir.
2. 2. A pena é agravada para o dobro dos seus limites quando se tratar de dados pessoais a que se referem os artigos 13.º a 16.º da presente lei.

Artigo 56.º

Acesso indevido

1. 1. Quem, sem autorização, aceder a dados pessoais cujo acesso lhe está vedado, incorre em crime punível com pena de prisão de 6 meses a 2 anos ou multa correspondente.
2. 2. Sem prejuízo do número anterior, o acesso indevido ocorre quando:
   1. a)- for conseguido através de violação de regras técnicas de segurança;
   2. b)- tiver possibilitado ao agente ou a terceiros o conhecimento de dados pessoais;
   3. c)- tiver proporcionado ao agente ou a terceiros, benefício ou vantagem patrimonial. 3. O procedimento criminal depende de queixa.

Artigo 57.º

Viciação ou destruição de dados pessoais

1. 1. Quem, sem a devida autorização, apagar, destruir, danificar, suprimir ou modificar dados pessoais, tornando-os inutilizáveis ou afectando a sua capacidade de uso, incorre em crime punível com pena de prisão de 18 meses a 3 anos ou multa correspondente.
2. 2. A pena é agravada para o dobro nos seus limites se o dano produzido for particularmente grave.
3. 3. Se o responsável pelo tratamento actuar com negligência, a pena é de prisão até 2 anos ou multa correspondente.

Artigo 58.º

Desobediência qualificada

1. 1. Quem, depois de notificado para o efeito, não interromper, cessar ou bloquear o tratamento de dados pessoais é punido com pena de prisão até 3 anos ou multa correspondente.
2. 2. Sem prejuízo do número anterior incorre na desobediência qualificada, quem:
   1. a)- recusar, sem justa causa, a colaboração que concretamente lhe for exigida pela Agência de Protecção de Dados;
   2. b)- não proceder ao apagamento, destruição total ou parcial de dados pessoais
   3. c)- não proceder à destruição de dados pessoais, findo o prazo de conservação estabelecido.

Artigo 59.º

Violação do dever de sigilo

1. 1. Quem, estando obrigado a sigilo profissional, nos termos da lei, sem justa causa e sem o devido consentimento, revelar ou divulgar no todo ou em parte dados pessoais é punido com pena de prisão até 18 meses ou multa correspondente.
2. 2. A pena é de prisão até 2 anos ou multa correspondente nos seguintes casos:
   1. a)- quando a prática do crime é praticado por funcionário público ou equiparado;
   2. b)- quando a informação é revelada com a intenção de obter qualquer vantagem patrimonial ou outro benefício ilegítimo; ou
   3. c)- quando a informação revelada coloque em perigo a reputação, a honra e consideração ou a intimidade da vida privada do titular dos dados.
3. 3. Fora dos casos previstos no número anterior, o procedimento criminal depende de queixa.

Artigo 60.º

Punição da tentativa

Nos crimes previstos nas disposições anteriores, a tentativa é sempre punível com prisão até 6 meses ou multa correspondente.

Artigo 61.º

Pena acessória

1. 1. Conjuntamente com as multas aplicadas pode, acessoriamente, ser ordenada:
   1. a)- a proibição temporária ou definitiva do tratamento, o bloqueio, o apagamento ou a destruição total ou parcial dos dados;
   2. b)- a publicidade da sentença condenatória;
   3. c)- a advertência ou censura pública do responsável pelo tratamento.
2. 2. A publicidade da decisão condenatória faz-se a expensas do condenado, na publicação periódica de maior circulação, bem como através da afixação de edital em suporte adequado, por período não inferior a trinta dias.
3. 3. A publicação é feita por extracto de que constem os elementos da infracção e as sanções aplicadas, bem como a identificação do agente.

Artigo 62.º

Concurso de infracções

1. 1. Se o mesmo facto constituir, simultaneamente, crime e contravenção, o agente é punido sempre a título de crime.
2. 2. As sanções aplicadas às contravenções em concurso são sempre cumuladas materialmente.

CAPÍTULO V

DISPOSIÇÕES FINAIS

Artigo 63.º

Legalização dos suportes existentes

Os tratamentos de dados existentes à data da entrada em vigor da presente lei devem ser notificados à Agência de Protecção de Dados no prazo máximo de dois anos a contar da entrada em vigor da presente lei.

Artigo 64.º

Revogação

É revogada toda a legislação que contrarie a presente lei.

Artigo 65.º

Regulamentação

A presente lei deve ser regulamentada, pelo Executivo, no prazo de cento e vinte dias contados a partir da data da sua publicação.

Artigo 66.º

Dúvidas e omissões

As dúvidas e omissões resultantes da interpretação e aplicação da presente lei são resolvidas pela Assembleia Nacional.

Artigo 67.º

Entrada em vigor

A presente lei entra em vigor à data da sua publicação.

Vista e aprovada pela Assembleia Nacional, em Luanda, aos 24 de Maio de 2011.

O Presidente da Assembleia Nacional, António Paulo Kassoma.

Promulgada, aos 8 de Junho de 2011.

Publique-se.

O Presidente da República, José Eduardo dos Santos.