de 12 de Agosto
Estabelece as condições e os procedimentos a aplicar para assegurar a
interoperabilidade entre sistemas de informação dos órgãos de polícia criminal
A Assembleia da República decreta, nos termos da alínea c) do artigo 161.º da
Constituição, o seguinte:
TÍTULO I
Objecto e definições
Artigo 1.º
Objecto
A presente lei aprova as condições e os procedimentos a aplicar para instituir o sistema integrado de informação criminal, de acordo com o disposto no artigo 11.º da Lei 49/2008, de 27 de Agosto, através da implementação de uma plataforma para o intercâmbio de informação criminal que assegure uma efectiva interoperabilidade entre sistemas de informação dos órgãos de polícia criminal.
Artigo 2.º
Plataforma para o intercâmbio de informação criminal
1 - É criada a plataforma para o intercâmbio de informação criminal por via electrónica entre os órgãos de polícia criminal, adiante abreviadamente designada por plataforma.
2 - A plataforma tem por objectivo assegurar um elevado nível de segurança no intercâmbio de informação criminal entre os órgãos de polícia criminal, para efeitos de realização de acções de prevenção e investigação criminal, com vista ao reforço da
prevenção e repressão criminal.
Artigo 3.º
Princípios
1 - Os sistemas de informação dos órgãos de polícia criminal são independentes uns dos outros e geridos por cada entidade competente de acordo com o quadro legal especificamente aplicável, devendo, todavia, ser adoptadas todas as medidas necessárias para assegurar a interoperabilidade regulada pela presente lei, com vista a possibilitar a partilha de informação através da plataforma.2 - Os elementos dos órgãos de polícia criminal e as autoridades judiciárias devidamente autorizados têm acesso a informação criminal contida nos sistemas de informação a que se refere o número anterior em relação às matérias que, cabendo no âmbito das respectivas atribuições e competências, tiverem, em cada caso, necessidade de conhecer.
3 - O fornecimento de dados e informações deve limitar-se àquilo que for considerado relevante e necessário para o êxito da prevenção ou investigação criminal no caso
concreto.
4 - O acesso aos sistemas de informação e o tratamento das matérias aí recolhidas fazem-se de acordo com o disposto na presente lei e na demais legislação aplicável.5 - As pessoas que, no exercício das suas funções, tenham tido acesso aos sistemas de informação de órgãos de polícia criminal estão obrigadas a sigilo profissional, mesmo após
o termo daquelas.
TÍTULO II
Intercâmbio de dados e informações
Artigo 4.º
Composição da plataforma
1 - À plataforma para o intercâmbio de informação criminal cabe assegurar:
a) A componente de segurança;
b) Uma interface de acesso uniforme para cada órgão de polícia criminal;c) Uma componente técnica de apoio aos interfaces e ao acesso à informação;
d) Uma componente de indexação, pesquisa e relacionamento de dados.
2 - As comunicações necessárias ao regular funcionamento da plataforma são efectuadas
numa rede virtual cifrada dedicada.
Artigo 5.º
Responsabilidades
1 - Compete ao secretário-geral do Sistema de Segurança Interna garantir a implementação e coordenação geral da plataforma e, em especial, assegurar as funcionalidades de intercâmbio de informação, bem como a supervisão e segurança globalda plataforma.
2 - Cada órgão de polícia criminal deve assegurar o regular funcionamento dos seus sistemas de informação, bem como contribuir para a operacionalidade da plataforma.3 - A criação e a gestão da rede virtual cifrada dedicada através da qual deve ser realizado o intercâmbio seguro de dados entre os utilizadores da plataforma são da responsabilidade conjugada dos serviços de informática e comunicações dos órgãos de
polícia criminal.
Artigo 6.º
Segurança da plataforma
As entidades referidas no artigo anterior adoptam, de forma conjugada, as medidas necessárias, incluindo um plano de segurança, para:a) Proteger fisicamente os dados, inclusive elaborando planos de emergência para
proteger as infra-estruturas essenciais;
b) Impedir o acesso de qualquer pessoa não autorizada às instalações utilizadas para o tratamento de dados pessoais (controlo da entrada nas instalações);c) Impedir que suportes de dados possam ser lidos, copiados, alterados ou retirados sem autorização (controlo dos suportes de dados);
d) Impedir a introdução não autorizada de dados, bem como qualquer consulta, alteração ou supressão não autorizadas de dados pessoais armazenados (controlo da conservação);
e) Impedir que sistemas automatizados de tratamento de dados possam ser utilizados por pessoas não autorizadas através de instalações de transmissão de dados (controlo da
utilização);
f) Garantir que as pessoas autorizadas a utilizar um sistema automatizado de tratamento de dados só tenham acesso aos dados abrangidos pela sua autorização de acesso através de identidades de utilizador pessoais e únicas e de modos de acesso confidenciais(controlo do acesso aos dados);
g) Garantir que todas as autoridades com direito de acesso à plataforma ou às instalações de tratamento de dados criem perfis que descrevam as funções e responsabilidades das pessoas autorizadas a ter acesso, introduzir, actualizar, suprimir e consultar os dados, e ponham esses perfis à disposição da Comissão Nacional de Protecção de Dados (CNPD) sem demora e a pedido desta (perfis do pessoal);h) Garantir a possibilidade de verificar e determinar a que entidades podem ser transmitidos os dados pessoais por meio de equipamento de transmissão de dados
(controlo da transmissão);
i) Garantir que se possa verificar e determinar a posteriori quais os dados pessoais introduzidos nos sistemas automatizados de tratamento de dados, quando, por quem e comque finalidade (controlo da introdução);
j) Impedir, designadamente por meio de técnicas de cifragem adequadas, que os dados possam ser lidos, copiados, alterados ou suprimidos sem autorização durante a transmissão de dados pessoais ou o transporte dos suportes de dados (controlo dotransporte);
l) Controlar a eficácia das medidas de segurança referidas no presente número e tomar as medidas organizativas necessárias relacionadas com o controlo interno de forma aassegurar a conformidade com a presente lei.
Artigo 7.º
Controlo da utilização
1 - Todos os acessos e todos os intercâmbios de dados pessoais através da plataforma são devidamente registados, por forma a verificar a legalidade da consulta e a legalidade do tratamento de dados, proceder ao autocontrolo e assegurar o bom funcionamento da plataforma, bem como a integridade e a segurança dos dados.2 - Os registos contêm obrigatoriamente o historial das consultas, a data e a hora da transmissão dos dados, os dados utilizados para proceder a uma consulta, a referência aos dados transmitidos e os nomes da autoridade competente e do utilizador.
3 - Compete à CNPD proceder à fiscalização da forma como são efectuadas consultas e dado cumprimento às disposições legais sobre o tratamento de dados.
Artigo 8.º
Conselho de Fiscalização do Sistema Integrado de Informação Criminal
1 - O controlo do Sistema Integrado de Informação Criminal é assegurado pelo Conselho de Fiscalização do Sistema Integrado de Informação Criminal (CFSIIC), sem prejuízo dos poderes de fiscalização da Assembleia da República, nos termos constitucionais, bem
como das competências da CNPD.
2 - O Conselho de Fiscalização será composto por três cidadãos de reconhecida idoneidade e no pleno gozo dos seus direitos civis e políticos, eleitos pela Assembleia da República por voto secreto e maioria de dois terços dos deputados presentes, não inferior à maioria dos deputados em efectividade de funções, e por dois representantes designados respectivamente pelo Conselho Superior da Magistratura e pelo Conselho Superior doMinistério Público.
3 - A eleição dos três cidadãos de reconhecido mérito do Conselho é feita por lista, nominal ou plurinominal, consoante for um ou mais o número de mandatos vagos a preencher, e é válida por um prazo de quatro anos.4 - O mandato dos membros designados pelo Conselho Superior da Magistratura e pelo Conselho Superior do Ministério Público tem a duração de quatro anos.
5 - O CFSIIC acompanha e fiscaliza a actividade do secretário-geral do Sistema de Segurança Interna bem como dos órgãos de polícia criminal no tocante ao intercâmbio de dados e informações através do Sistema Integrado de Informação Criminal (SIIC), velando pelo cumprimento da Constituição e da lei, particularmente do regime de direitos, liberdades e garantias fundamentais dos cidadãos.
6 - Compete, em especial, ao CFSIIC:
a) Apreciar os relatórios concernentes à implementação e utilização do SIIC por cada umdos órgãos de polícia criminal;
b) Receber, do secretário-geral do Sistema de Segurança Interna, com regularidade bimensal, informação sobre o cumprimento das normas legais que enquadram a criação da Plataforma para o Intercâmbio de Informação Criminal, podendo solicitar e obter os esclarecimentos e informações complementares que considere necessários ao cabal exercício dos seus poderes de fiscalização do SIIC;c) Efectuar visitas de inspecção destinadas a colher elementos sobre o modo de funcionamento e a actividade, no que toca ao SIIC, do secretário-geral do Sistema de Segurança Interna e dos órgãos de polícia criminal;
d) Solicitar elementos que entenda necessários ao exercício das suas competências ou ao conhecimento de eventuais irregularidades ou violações da lei;
e) Emitir pareceres com regularidade mínima anual sobre o funcionamento do SIIC a
apresentar à Assembleia da República;
f) Propor ao Governo a realização de procedimentos inspectivos, de inquérito ou sancionatórios, em razão de ocorrências cuja gravidade o justifique;g) Pronunciar-se sobre quaisquer iniciativas legislativas que tenham por objecto o SIIC.
7 - O Conselho de Fiscalização funciona junto à Assembleia da República, que lhe assegura os meios indispensáveis ao cumprimento das suas atribuições e competências.
8 - Em matéria de condições de funcionamento, posse e renúncia, imunidades, deveres, direitos e regalias, são aplicáveis ao CFSIIC e aos respectivos membros as disposições do n.º 4 do artigo 9.º e dos artigos 10.º, 11.º, 12.º e 13.º da Lei 30/84, de 5 de Setembro, na redacção decorrente da Lei Orgânica 4/2004, de 6 de Novembro.
Artigo 9.º
Fornecimento de dados e informações
1 - Através da plataforma podem ser:
a) Acedidos directamente, com respeito pelo princípio da necessidade consagrado no n.º 2 do artigo 3.º, dados e informações não cobertos pelo segredo de justiça;b) Requeridos dados e informações cobertos pelo segredo de justiça.
2 - Cada órgão de polícia criminal assegura que não são aplicadas ao fornecimento de dados solicitados através da plataforma condições mais restritivas do que as aplicadas ao fornecimento de dados e informações ao nível interno, em iguais circunstâncias.
3 - O intercâmbio de dados e informações, nos termos da presente lei, não depende de acordo ou autorização da autoridade judiciária quando a autoridade requerida possa, nos termos legalmente previstos, ter acesso aos dados sem tal requisito.
4 - Nos casos em que o acesso a dados ou informações dependa legalmente de acordo ou de autorização de autoridade judiciária, deve o mesmo ser solicitado pela autoridade requerida à autoridade judiciária competente, por forma a ser decidido de acordo com regras idênticas às aplicáveis ao órgão de polícia criminal requerido.
5 - Os dados acessíveis através da plataforma são introduzidos, actualizados e apagados unicamente pelos utilizadores dos sistemas de cada órgão de polícia criminal, de acordo com a legislação específica que os regula.
6 - Os dados e informações são acedidos através de meios electrónicos apenas nas
condições autorizadas pela presente lei.
Artigo 10.º
Perfis de acesso
1 - O acesso à plataforma faz-se de acordo com os seguintes perfis:a) Perfil 1 - reservado aos responsáveis máximos de cada órgão de polícia criminal;
b) Perfil 2 - reservado às chefias das unidades de investigação criminal de cada entidade
participante na plataforma;
c) Perfil 3 - reservado aos utilizadores que desempenhem funções de analistas.2 - São estabelecidos simultaneamente perfis estruturados horizontalmente, por forma que o acesso à plataforma tenha em conta as distintas atribuições e competências dos órgãos de polícia criminal decorrentes da Lei 49/2008, de 27 de Agosto, e demais legislação
aplicável.
3 - São aprovados pelo Conselho Coordenador dos Órgãos de Polícia Criminal os mecanismos institucionais apropriados de atribuição de perfis, as regras de registo do uso e de auditoria de acessos, bem como os demais procedimentos de segurança que garantam o cumprimento do disposto no artigo 6.º 4 - As autoridades judiciárias competentes podem, a todo o momento e relativamente aos processos de que sejam titulares, aceder à informação constante do sistema integrado deinformação criminal.
Artigo 11.º
Prazos em caso de acesso indirecto
1 - Quando a obtenção da informação não possa ocorrer mediante acesso directo, o órgão de polícia criminal requerido institui os mecanismos que permitam responder no prazo máximo de oito horas aos pedidos de dados e informações.2 - Se o órgão de polícia criminal detentor da informação não puder responder no prazo de oito horas, deve indicar as razões dessa impossibilidade temporária, caso em que fixa o
respectivo prazo de resposta.
Artigo 12.º
Pedidos de dados e informações
1 - Podem ser solicitados dados e informações para fins de prevenção ou investigação criminal quando haja razões factuais que justifiquem o pedido, devendo neste ser indicadas tais razões factuais e explicitados os fins para os quais são solicitados os dados e informações, bem como a relação entre esses fins e a pessoa a que dizemrespeito os dados e informações.
2 - A entidade requerente deve abster-se de solicitar mais dados ou informações do que os necessários para os fins a que se destina o pedido.3 - Os pedidos de dados ou informações devem incluir os elementos fixados em formulários aprovados, nos termos do artigo 14.º da Lei 49/2008, de 27 de Agosto, pelo Conselho Coordenador dos Órgãos de Polícia Criminal.
Artigo 13.º
Protecção de dados
1 - Os dados pessoais tratados no âmbito da aplicação da presente lei são protegidos em conformidade com a Lei 67/98, de 26 de Outubro.2 - Cada entidade utilizadora da plataforma deve garantir o cumprimento das regras legais e dos procedimentos suplementares específicos aprovados pelo Conselho Coordenador dos Órgãos de Polícia Criminal em matéria de protecção de dados intercambiados através
da plataforma.
3 - Fica igualmente subordinada às disposições legais em vigor em matéria de protecção de dados a utilização de dados e informações que tenham sido obtidos, ao abrigo dapresente lei, através da plataforma.
4 - Os dados e informações, incluindo os dados pessoais, obtidos ao abrigo da presente lei só podem ser utilizados pelas entidades que as obtiveram para os fins para que foram fornecidos, ou para prevenir ameaças graves e imediatas à segurança interna.
Artigo 14.º
Confidencialidade
1 - As entidades que obtenham dados e informações através da plataforma respeitam, em cada caso específico, as exigências de segredo de justiça, garantindo a confidencialidade de todos os dados e informações fornecidos com tal classificação.2 - As pessoas que, no exercício das suas funções, obtenham dados e informações através do sistema integrado de informação criminal ficam sujeitas a sigilo profissional, nos termos do n.º 1 do artigo 17.º da Lei 67/98, de 26 de Outubro.
TÍTULO III
Disposições finais
Artigo 15.º
Planeamento e execução
1 - O secretário-geral do Sistema de Segurança Interna submete à apreciação e aprovação do Conselho Coordenador dos Órgãos de Polícia Criminal:a) O estudo de concepção da plataforma para o intercâmbio de informação criminal entre órgãos de polícia criminal, contendo todas as especificações tecnológicas do projecto;
b) O protótipo ilustrativo da arquitectura, organização e funcionamento da plataforma nas
condições previstas na presente lei;
c) Os procedimentos suplementares específicos aplicáveis à plataforma com vista ao reforço das condições de protecção de dados;d) O plano de acções a levar a cabo para o desenvolvimento de um sistema-piloto, bem como para o respectivo alargamento aos órgãos de polícia criminal.
2 - O secretário-geral do Sistema de Segurança Interna apresenta ao Conselho Coordenador dos Órgãos de Polícia Criminal a lista integral dos sistemas de informação existentes e acessíveis em cada órgão de polícia criminal à data da entrada em vigor da presente lei, bem como, periodicamente, informação actualizada sobre novas aplicações que possam vir a ser acedidas através da plataforma.
3 - Os mecanismos institucionais apropriados de atribuição de perfis, as regras de registo do uso e de auditoria de acessos, os formulários previstos no n.º 3 do artigo 12.º, os procedimentos suplementares específicos previstos no n.º 2 do artigo 13.º, bem como todos os procedimentos de segurança são submetidos ao prévio parecer da CNPD.
Artigo 16.º
Produção de efeitos
Nos termos do n.º 2 do artigo 167.º da Constituição da República, o disposto no n.º 6 do artigo 8.º em matérias com implicações orçamentais produzirá efeitos com a entrada em vigor do Orçamento do Estado para o ano de 2010.Aprovada em 25 de Junho de 2009.
O Presidente da Assembleia da República, Jaime Gama.
Promulgada em 29 de Julho de 2009.
Publique-se.
O Presidente da República, Aníbal Cavaco Silva.
Referendada em 30 de Julho de 2009.
O Primeiro-Ministro, José Sócrates Carvalho Pinto de Sousa.