Decreto Regulamentar 22/95
de 23 de Agosto
O artigo 44.º da Lei 10/91, de 29 de Abril, relativa à protecção de dados pessoais face à informática, sujeita a manutenção dos ficheiros automatizados, bases ou bancos de dados pessoais à emanação de normas regulamentares compatíveis com as novas disposições ali previstas.

Foi ouvida a Comissão Nacional de Protecção de Dados Pessoais Informatizados.
Assim:
Ao abrigo do disposto no artigo 44.º da Lei 10/91, de 29 de Abril, e nos termos da alínea c) do artigo 202.º da Constituição, O Governo decreta o seguinte:

Artigo 1.º
Finalidade das bases de dados
1 - A Direcção-Geral das Alfândegas (DGA) dispõe de uma base de dados no âmbito do Sistema Integrado de Informação Aduaneira Antifraude (SIIAF/DGA).

2 - A base de dados referida no número anterior tem por finalidade organizar e manter actualizada a informação necessária ao exercício das suas competências, previstas nas alíneas h), n) e o) do artigo 2.º do Decreto-Lei 324/93, de 25 de Setembro.

Artigo 2.º
Dados recolhidos
1 - A recolha de dados para tratamento automatizado no âmbito do SIIAF/DGA deve limitar-se ao estritamente necessário à prevenção de um perigo concreto ou à repressão de um ilícito determinado, no quadro das atribuições a que se refere o n.º 2 do artigo anterior, não podendo os dados recolhidos ser utilizados para outros fins.

2 - As diferentes categorias de dados recolhidos devem ser, na medida do possível, diferenciadas em função do grau de exactidão ou de fidedignidade, devendo ser distinguidos os dados factuais dos dados que comportem uma apreciação sobre os factos.

3 - O SIIAF/DGA dispõe de ficheiros constituídos por dados pessoais e dados relativos a bens jurídicos, integrando informação no âmbito das atribuições que a lei lhe comete, sobre:

a) Identificação de pessoas singulares ou colectivas, no que concerne à suspeita da prática ou à prática do tráfico ilícito de estupefacientes e de substâncias psicotrópicas ou de qualquer ilícito fiscal-aduaneiro;

b) Locais, meios de transporte e mercadorias directa ou indirectamente relacionados com a suspeita ou prática de tráfico ilícito de estupefacientes e de substâncias psicotrópicas ou de qualquer ilícito fiscal-aduaneiro.

Artigo 3.º
Dados pessoais
1 - Os dados pessoais recolhidos para tratamento automatizado, no âmbito do SIIAF/DGA, são:

a) O nome, a data de nascimento, o estado civil, a filiação, a naturalidade, o sexo, o pseudónimo, a alcunha, os sinais físicos particulares objectivos e inalteráveis, o número, o local e a data de emissão dos documentos de identificação, a residência, a actividade profissional, a situação domiciliária e o motivo pelo qual a pessoa em causa se encontra assinalada;

b) As decisões judiciais ou administrativas proferidas em processo crime ou contra-ordenacional que, por força de lei, sejam comunicadas à DGA.

2 - Para além dos dados previstos no número anterior, relativamente a pessoas colectivas ou entidades equiparadas, são ainda recolhidos o nome, a firma ou denominação, o domicílio, o endereço, o número de identificação de pessoa colectiva ou número de contribuinte, a natureza, o início e o termo da actividade.

Artigo 4.º
Recolha e actualização
1 - Os dados devem ser exactos, pertinentes, não exceder a finalidade determinante da sua recolha e, quando aplicável, actuais, devendo ser seleccionados antes do seu registo informático.

2 - Os dados pessoais constantes dos ficheiros do SIIAF/DGA são recolhidos a partir de informações colhidas pela DGA, no exercício das suas atribuições, através de suportes adequados para o efeito, sendo processados pela Divisão de Informação da Direcção de Serviços de Prevenção e Repressão da Fraude.

3 - Os dados pessoais constantes dos ficheiros do SIIAF/DGA podem ainda ser recebidos de forças de segurança ou serviços públicos, quando exista um sistema tutelado por lei na recolha desses dados no quadro das respectivas atribuições, no âmbito da cooperação administrativa nacional, comunitária e internacional, prevista, respectivamente, na alínea o) do artigo 2.º do Decreto-Lei 324/93, de 25 de Setembro, no n.º 1 do artigo 1.º do Regulamento (CEE) n.º 1468/81 , do Conselho, de 19 de Maio, e nas convenções e acordos onde tal cooperação esteja prevista.

Artigo 5.º
Acesso dos dados
1 - Os serviços centrais com competência para proceder à recolha e tratamento da informação no âmbito do sistema de prevenção e repressão da fraude referido no Decreto-Lei 324/93, de 25 de Setembro, bem como as estruturas regionais e locais integrantes daquele sistema com idêntica competência podem aceder aos dados previstos no artigo 2.º, via rede de transmissão de dados.

2 - Cabe ao director-geral das Alfândegas definir, em razão do território e da função, o tipo e nível de acesso aos dados referidos o número anterior.

3 - Salvo o disposto nos artigos 6.º, 7.º e 8.º, os dados conhecidos nos termos dos números anteriores não podem ser transmitidos a terceiros.

Artigo 6.º
Comunicação de dados
No âmbito da cooperação referida o n.º 3 do artigo 4.º, os dados pessoais constantes da base de dados SIIAF/DGA podem ser comunicados a forças de segurança ou serviços públicos nacionais, comunitários e internacionais quando devidamente identificados e no quadro das atribuições da força ou serviço requisitante, quando, num caso determinado:

a) Exista obrigação, autorização legal ou autorização expressa da Comissão Nacional de Protecção de Dados Pessoais Informatizados;

b) Os dados sejam indispensáveis ao destinatário para o exercício das suas competências próprias e desde que a finalidade da recolha ou do tratamento dos dados pelo destinatário não seja incompatível com a finalidade determinante da recolha na origem ou com as obrigações legais da DGA.

Artigo 7.º
Condições de transmissão dos dados
1 - Os dados previstos no artigo 2.º são comunicados para efeitos de investigação criminal ou de instrução de processos judiciais sempre que esses dados não possam ou não devam ser obtidos das pessoas individuais ou colectivas a quem respeitam.

2 - A qualidade dos dados comunicados deve ser verificada antes da sua comunicação, sendo indicado o seu grau de exactidão ou fiabilidade, devendo os dados que comportem uma apreciação dos factos ser antecipadamente confirmados junto da fonte.

3 - A comunicação nos termos do presente artigo depende da solicitação do magistrado ou da entidade policial legalmente competentes e pode ser efectuada mediante reprodução do registo ou registos informáticos respeitantes à pessoa individual ou colectiva em causa.

4 - Para efeitos do número anterior devem ser respeitados os princípios da finalidade, da recolha e da pertinência.

Artigo 8.º
Informação para fins de estatística
Para além dos casos previstos no artigo anterior, a informação pode ser divulgada para fins de estatística, mediante autorização do responsável das bases de dados, desde que não possam ser identificáveis as pessoas a que respeita e observadas as disposições legais aplicáveis.

Artigo 9.º
Conservação dos dados pessoais
1 - Os dados pessoais inseridos nas bases de dados do SIIAF/DGA serão conservados apenas durante o período estritamente necessário para os fins a que se destinam.

2 - Os dados pessoais inseridos no SIIAF/DGA são conservados:
a) Durante o período necessário ao desenvolvimento das acções de prevenção e repressão da fraude fiscal-aduaneira, devendo, decorridos três anos após a sua inserção, o responsável da base de dados apreciar a necessidade da sua conservação;

b) Os dados pessoais recolhidos devem, desde que se verifiquem quaisquer factos ou situações extintivos da responsabilidade criminal ou contra-ordenacional, ou decorrido o prazo de cinco anos após a sua inserção, ser eliminados.

Artigo 10.º
Direito à informação e acesso aos dados
A qualquer pessoa, desde que devidamente identificada, é reconhecido o direito de conhecer o conteúdo do registo ou registos que, constantes das bases de dados, lhe respeitem, ressalvado o disposto no artigo 27.º da Lei 10/91, de 29 de Abril, e no n.º 1 do artigo 5.º da Lei 65/93, de 26 de Agosto, caso em que o acesso dependerá de autorização a conceder nos termos do n.º 2 do artigo 13.º do presente diploma.

Artigo 11.º
Correcção de eventuais inexactidões
Qualquer pessoa tem o direito de exigir a correcção de eventuais inexactidões, a supressão de dados indevidamente registados e o complemento das omissões dos dados que lhe digam respeito, nos termos previstos nos artigos 30.º e 31.º da Lei 10/91, de 29 de Abril.

Artigo 12.º
Segurança da informação
Tendo em vista a segurança da informação deve observar-se o seguinte:
a) A entrada nas instalações utilizadas para o tratamento de dados pessoais será objecto de controlo a fim de impedir o acesso de qualquer pessoa não autorizada;

b) Os suportes de dados são objecto de controlo a fim de impedir que possam ser lidos, copiados, alterados ou retirados por qualquer pessoa não autorizada;

c) A inserção de dados será objecto de controlo para impedir a introdução, bem como qualquer tomada de conhecimento, alteração ou eliminação não autorizada de dados pessoais;

d) Os sistemas de tratamento automatizado de dados serão objecto de controlo para impedir que possam ser utilizados por pessoas não autorizadas, através de instalações de transmissão de dados;

e) O acesso aos dados é objecto de controlo para que as pessoas autorizadas só possam ter acesso aos dados que interessem ao exercício das suas atribuições legais;

f) A transmissão dos dados é objecto de controlo para garantir que a sua utilização seja limitada às entidades autorizadas;

g) A introdução de dados pessoais nos sistemas de tratamento automatizado é objecto de controlo de forma a verificar-se que dados foram introduzidos, quando e por quem;

h) O transporte de suportes de dados é objecto de controlo para impedir que os dados possam ser lidos, copiados, alterados ou eliminados de forma não autorizada.

Artigo 13.º
Responsável das bases de dados
1 - A autoridade responsável das bases de dados, nos termos e para efeitos do disposto na alínea h) do artigo 2.º da Lei 10/91, de 29 de Abril, é a DGA.

2 - Cabe ao director-geral das Alfândegas a responsabilidade de assegurar o direito de informação e de acesso aos dados pelos respectivos titulares e a correcção de inexactidões, bem como de velar para que a consulta ou a comunicação da informação respeite as condições previstas na lei.

Artigo 14.º
Sigilo profissional
Aquele que, no exercício das suas funções, tome conhecimento de dados pessoais registados nas bases previstas no presente diploma fica obrigado a sigilo profissional, nos termos do artigo 32.º da Lei 10/91, de 29 de Abril.

Presidência do Conselho de Ministros, 19 de Junho de 1995.
Aníbal António Cavaco Silva - Eduardo de Almeida Catroga.
Promulgado em 28 de Julho de 1995.
Publique-se.
O Presidente da República, MÁRIO SOARES.
Referendado em 1 de Agosto de 1995.
Pelo Primeiro-Ministro, Manuel Dias Loureiro, Ministro da Administração Interna.