ASSEMBLEIA DA REPÚBLICA
Lei nº 10/91 - Lei da Protecção de Dados Pessoais face à Informática
A Assembleia da República decreta, nos termos dos artigos 164º, alínea d), 168º, nº 1, alíneas b), c) e d), e 169º, nº 3, da Constituição, o seguinte:
CAPÍTULO I
Disposições gerais
Artigo 1º - Princípio geral
O uso da informática deve processar-se de forma transparente e no estrito respeito pela reserva da vida privada e familiar e pelos direitos, liberdades e
garantias fundamentais do cidadão.
Artigo 2º - Definições
Para os fins da presente lei entende-se por:
a) «Dados pessoais» - quaisquer informações relativas a pessoa singular identificada ou identificável, considerando-se identificável a pessoa cuja
identificação não envolva custos ou prazos desproporcionados;
b) «Dados públicos» - os dados pessoais constantes de documento público oficial, exceptuados os elementos confidenciais, tais como a profissão e a
morada, ou as incapacidades averbadas no assento de nascimento;
c) «Sistema informático» - o conjunto constituído por um ou mais computadores, equipamento periférico e suporte lógico que assegura o
processamento de dados;
d) «Ficheiro automatizado» - o conjunto estruturado de informações objecto de tratamento automatizado, centralizado ou repartido por vários locais;
e) «Base de dados» - o conjunto de dados inter-relacionados, armazenados e estruturados com controlo de redundância, destinados a servir uma ou
mais aplicações informáticas;
f) «Banco de dados» - o conjunto de dados relacionados ou relacionáveis com um determinado assunto;
g) «Tratamento automatizado» - as seguintes operações efectuadas, no todo ou em parte, com a ajuda de processos automatizados: registo de dados,
aplicação de operações lógicas e ou aritméticas a esses dados, bem como a sua modificação, supressão e extracção ou difusão;
h) «Responsável pelos suportes informáticos» - a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer organismo competentes
para decidir da finalidade do ficheiro automatizado, bem como o responsável por base ou banco de dados, e pelas categorias de dados pessoais que
devam ser registados e das operações que lhes sejam aplicáveis;
i) «Fluxos de dados transfronteiras» - a circulação de dados pessoais através de fronteiras nacionais.
Artigo 3º - Âmbito de aplicação
1- As disposições da presente lei aplicam-se obrigatoriamente:
a) À constituição e manutenção de ficheiros automatizados, de bases de dados e de bancos de dados pessoais;
b) Aos suportes informáticos relativos a pessoas colectivas e entidades equiparadas, sempre que contiverem dados pessoais.
2- Exceptuam-se da aplicação prevista no artigo anterior os ficheiros de dados pessoais que contenham exclusivamente informações destinadas:
a) A uso pessoal ou doméstico;
b) Ao processamento de remunerações de funcionários ou empregados, bem como a outros procedimentos administrativos atinentes à
mera gestão dos serviços;
c) A facturação de fornecimentos efectuados ou de serviços prestados;
d) A cobrança de quotização de associados ou filiados.
3- A presente lei não se aplica igualmente aos ficheiros de dados pessoais constituídos e mantidos sob a responsabilidade do Sistema de Informação
da República Portuguesa.
CAPÍTULO II
Da Comissão Nacional de Protecção de Dados Pessoais Informatizados
Artigo 4º - Criação e atribuições
1- É criada a Comissão Nacional de Protecção de Dados Pessoais Informatizados (CNPDPI), com a atribuição genérica de controlar o
processamento automatizado de dados pessoais, em rigoroso respeito pelos direitos do homem e pelas liberdades e garantias consagradas na
Constituição e na lei.
2- A CNPDPI é uma entidade pública independente com poderes de autoridade, que funciona junto da Assembleia da República e dispõe de serviços
próprios de apoio técnico e administrativo.
Artigo 5º - Composição
1- A CNPDPI é composta por sete membros de integridade e mérito reconhecidos, dos quais o presidente e dois dos vogais são eleitos pela
Assembleia da República segundo o método da média mais alta de Hondt.
2- Os restantes vogais são:
a) Dois magistrados com mais de 10 anos de carreira, sendo um magistrado judicial, designado pelo Conselho Superior da Magistratura,
e um magistrado do Ministério Público, designado pelo Conselho Superior do Ministério Público;
b) Duas personalidades de reconhecida competência na matéria, designadas pelo Governo.
Artigo 6º - Deveres e incompatibilidades
1- Não podem ser membros da CNPDPI os cidadãos que não se encontrem no pleno gozo dos seus direitos civis e políticos.
2- O exercício do mandato dos membros da CNPDPI rege-se, em matéria de deveres e incompatibilidades, pelos princípios gerais aplicáveis aos
funcionários e agentes do Estado.
3- A qualidade de membros da CNPDPI é incompatível com o exercício de funções correspondentes a:
a) Titular de órgão de soberania ou de órgão de governo próprio de região autónoma;
b) Titular de órgão de autarquia local;
c) Titular de cargo dirigente em partido ou associação política ou em organização de classe, ou agente que tenha vínculo laboral com
qualquer destas entidades.
Artigo 7º - Estatuto remuneratório
O estatuto remuneratório dos membros da CNPDPI é fixado pelo Governo.
Artigo 8º - Competências
1- Compete em especial a CNPDPI:
a) Dar parecer sobre a constituição, alteração ou manutenção, por serviços públicos, de ficheiros automatizados, de bases e bancos de
dados pessoais, nos casos previstos na presente lei;
b) Autorizar ou registar, consoante os casos, a constituição, alteração ou manutenção, por outras entidades, de ficheiros automatizados,
de bases e bancos de dados pessoais, nos termos da presente lei;
c) Autorizar, nos casos excepcionais previstos na presente lei e sob rigoroso controlo, a utilização de dados pessoais para finalidades não
determinantes da recolha;
d) Autorizar, nos casos excepcionais previstos na presente lei e sob rigoroso controlo, a interconexão de ficheiros automatizados, de
bases e bancos de dados contendo dados pessoais;
e) Emitir directivas para garantir a segurança dos dados quer em arquivo, quer em circulação nas redes de telecomunicações;
f) Fixar genericamente as condições de acesso à informação, bem como de exercício do direito de rectificação e actualização;
g) Promover, junto da autoridade judiciária competente, os procedimentos necessários para interromper o processamento de dados,
impedir o funcionamento de ficheiros e, se necessário, proceder à sua destruição, nos casos previstos na presente lei;
h) Apreciar as reclamações, queixas ou petições dos particulares, nos termos da presente lei;
i) Dar publicidade periódica à sua actividade, nomeadamente através da publicação de um relatório anual;
j) Denunciar ao Ministério Público as infracções à presente lei justificativas de procedimento judicial.
2- No exercício das suas funções, a CNPDPI profere decisões com força obrigatória, passíveis de reclamação e de recurso para o Supremo Tribunal
Administrativo.
3- A CNPDPI pode sugerir à Assembleia da República as providências que entender úteis à prossecução das suas atribuições e ao exercício das suas
competências.
Artigo 9º - Dever de colaboração
É dever de todas as entidades públicas e privadas dispensar colaboração à CNPDPI para o cabal exercício das suas funções.
Artigo 10º - Posse
1- Os membros da CNPDPI tomam posse perante o Presidente da Assembleia da República nos 10 dias seguintes ao da publicação na 1ª série do
Diário da República da lista dos membros eleitos.
2- A CNPDPI mantém-se em funções pelo prazo de cinco anos e até à posse dos novos membros designados.
3- Após a entrada em funções, a CNPDPI deve proceder de imediato à elaboração do seu regulamento e submetê-lo à aprovação da Assembleia da
República.
CAPÍTULO III
Do processamento automatizado de dados pessoais
Artigo 11º - Restrições ao tratamento de dados
1- Não é admitido o tratamento automatizado de dados pessoais referentes a:
a) Convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa ou vida privada;
b) Origem étnica, condenações em processo criminal, suspeitas de actividades ilícitas, estado de saúde e situação patrimonial e financeira.
2- A proibição do número anterior não obsta ao tratamento de dados para fins de investigação ou estatística, desde que não possam ser identificáveis
as pessoas a que respeitam.
3- O tratamento automatizado dos dados pessoais referidos na alínea b) do nº 1 pode, no entanto, ser efectuado por serviços públicos, nos termos da
lei, com garantias de não discriminação e prévio parecer da CNPDPI.
4- O disposto nos números anteriores não obsta ao tratamento automatizado de dados pessoais por instituição a que tenham voluntariamente sido
fornecidos pelos respectivos titulares, com conhecimento do seu destino e utilização.
Artigo 12º - Requisitos da recolha
1- A recolha de dados pessoais para tratamento automatizado deve efectuar-se de forma lícita e não enganosa.
2- A recolha de dados pessoais deve processar-se em estrita adequação e pertinência à finalidade que a determinou.
3- A finalidade determinante da recolha de dados deve ser conhecida antes do seu início.
Artigo 13º - Direito à informação e acesso
1- Qualquer pessoa tem o direito de ser informada sobre a existência de ficheiro automático, base ou banco de dados pessoais que lhe respeitem, e
respectiva finalidade, bem como sobre a identidade e o endereço do seu responsável.
2- O acesso aos ficheiros de dados eleitorais é facultado, em igualdade de circunstâncias e sob controlo da Comissão Nacional de Eleições, aos
candidatos e aos partidos políticos.
Artigo 14º - Actualização dos dados
Os dados pessoais recolhidos e mantidos em ficheiros automatizados, em bases e bancos de dados devem ser exactos e actuais.
Artigo 15º - Utilização dos dados
Os dados pessoais só podem ser utilizados para a finalidade determinante da sua recolha, salvo autorização concedida por lei.
Artigo 16º - Limites da apreciação judicial
Nenhuma decisão jurisdicional, administrativa ou disciplinar que implique apreciação sobre um comportamento humano pode ter por único fundamento
o resultado do tratamento automatizado da informação atinente ao perfil ou à personalidade do titular do registo.
CAPÍTULO IV
Dos ficheiros automatizados, de bases e bancos de dados pessoais
Artigo 17º - Requisitos de constituição
1- A constituição de ficheiros automatizados, de bases e bancos de dados contendo dados pessoais, para os fins consentidos no artigo 11º, é regulada
por lei especial, com prévio parecer da CNPDPI.
2- O disposto no número anterior não se aplica a ficheiros automatizados, a bases e bancos de dados mantidos por entidades públicas ou privadas,
que não contenham dados pessoais referidos no artigo 11º
3- As entidades referidas no número anterior estão, porém, obrigadas a comunicar previamente à CNPDPI a constituição de ficheiros automatizados,
de bases e bancos de dados com quaisquer outros dados pessoais e devem fazer acompanhar essa comunicação com os elementos constantes do
artigo seguinte.
Artigo 18º - Instrução dos pedidos
Os pedidos de parecer ou de autorização da CNPDPI para a constituição ou manutenção de ficheiros automatizados, de bases e bancos de dados
pessoais, bem como a comunicação a que se refere o nº 3 do artigo anterior, devem ser instruídos com os seguintes elementos:
a) Nome e endereço do responsável do ficheiro;
b) Características do ficheiro e sua finalidade;
c) Serviço ou serviços encarregados do processamento da informação;
d) Dados pessoais contidos em cada registo;
e) Forma da recolha e actualização dos dados;
f) Finalidade a que se destinam os dados, entidades a que podem ser transmitidos e em que condições;
g) Comparações, interconexões ou qualquer outra forma de inter-relacionar as informações registadas;
h) Medidas tomadas para garantir a segurança das informações;
i) Tempo de conservação dos dados pessoais;
j) Categoria de pessoas que têm directamente acesso às informações;
l) Forma e condições sob as quais as pessoas podem tomar conhecimento dos dados que lhes respeitem;
m) Forma como as pessoas podem fazer corrigir inexactidões dos dados que lhes respeitem.
Artigo 19º - Indicações obrigatórias
1- A lei, no caso especialmente previsto no nº 1 do artigo 17º, bem como as autorizações da CNPDPI, a que se referem as alíneas c) e d) do nº 1 do
artigo 8º, devem indicar:
a) O responsável do ficheiro;
b) Os dados pessoais a incluir no registo;
c) O modo de recolha ou actualização dos dados;
d) A finalidade a que se destinam os dados, as entidades a que podem ser transmitidos e em que condições;
e) O tempo de conservação dos dados pessoais;
f) A forma como o titular do registo pode ter conhecimento dos dados que lhe digam respeito e em que condições;
g) A forma como o titular do registo pode fazer corrigir eventuais inexactidões dos dados que lhe respeitem.
2- Qualquer alteração das indicações constantes do nº 1 carece igualmente de ser prevista em lei especial, bem como de autorização da CNPDPI, ou
apenas desta, consoante os casos.
Artigo 20º - Funcionamento dos ficheiros
1- Os responsáveis por ficheiros automatizados, de bases e de bancos de dados pessoais devem interromper imediatamente o seu funcionamento
quando actuem em desconformidade com a presente lei e tenham recebido da entidade competente directriz nesse sentido.
2- Sem prejuízo da aplicação de outras sanções que a lei preveja, os ficheiros automatizados a que se refere o número anterior podem ser impedidos
de funcionar e, se necessário, ser o seu conteúdo destruído.
Artigo 21º - Equipamento de segurança
Os ficheiros automatizados, as bases e bancos de dados pessoais devem ser equipados com sistemas de segurança que impeçam a consulta,
modificação, destruição ou acrescentamento dos dados por pessoa não autorizada a fazê-lo e permitam detectar desvios de informação intencionais ou
não.
CAPÍTULO V
Da recolha e da interconexão de dados pessoais
Artigo 22º - Indicações constantes dos documentos base
1- Os documentos que sirvam de base à recolha de dados pessoais devem indicar:
a) O facto de tais dados ou de parte deles serem processados automaticamente;
b) O carácter obrigatório ou facultativo do preenchimento dos documentos ou do fornecimento de dados;
c) As consequências da falta ou da inexactidão das respostas;
d) Os destinatários das informações;
e) A finalidade da recolha dos dados;
f) O responsável pelo ficheiro e respectivo endereço;
g) As condições de acesso referidas nos artigos 27º e 28º.
2- O disposto no número anterior não se aplica à recolha de informações destinadas à prevenção da criminalidade e à punição de infracções, bem
como à recolha de informações destinadas a fins estatísticos, nos termos da legislação do Sistema Estatístico Nacional e do Instituto Nacional de
Estatística.
Artigo 23º - Destruição de dados
Decorrido o prazo de conservação autorizado, os dados devem ser destruídos, sem prejuízo da prorrogação desse prazo por lei especial ou
autorização da CNPDPI, conforme os casos.
Artigo 24º - Interconexão de dados pessoais
1- É proibida a interconexão de ficheiros automatizados, de bases e bancos de dados pessoais, ressalvadas as excepções previstas na presente lei.
2- Não é permitida a atribuição de um mesmo número de cidadão para efeitos de interconexão de ficheiros automatizados de dados pessoais que
contenham informações de carácter policial, criminal ou médico.
Artigo 25º - Interconexão de dados públicos
A interconexão de ficheiros automatizados, de bases e bancos de dados que contenham exclusivamente dados públicos pode processar-se entre
entidades que prossigam os mesmos fins específicos, na dependência do mesmo responsável a que se refere a alínea h) do artigo 2º.
Artigo 26º - Casos excepcionais
A lei que, em casos excepcionais, permitir a interconexão de ficheiros automatizados, de bancos e bases de dados deve definir expressamente os tipos
de interconexão autorizados e a sua finalidade.
CAPÍTULO VI
Dos direitos e garantias individuais
Artigo 27º - Direito de acesso às informações
A todas as pessoas, desde que devidamente identificadas, é reconhecido o direito de acesso às informações sobre elas registadas em ficheiros
automatizados, bancos e bases de dados, com ressalva do disposto na lei sobre segredo de Estado e segredo de justiça.
Artigo 28º - Exercício do direito de acesso
1- O exercício do direito de acesso à informação não pode ser limitado, sem prejuízo de poder ser sujeito a regras destinadas a evitar abusos.
2- A informação deve ser transmitida em linguagem clara, isenta de codificações e rigorosamente correspondente ao conteúdo do registo.
3- A informação de carácter médico deve ser comunicada à pessoa a quem respeite, por intermédio do médico por ela designado.
Artigo 29º - Excesso ou omissão de dados
Quando se verifique que um ficheiro automatizado, uma base ou um banco de dados pessoais contém dados excessivos em relação à sua finalidade ou
peca por omissão de alguns, deve o responsável proceder, de imediato, à supressão dos excedentes ou à inclusão dos omissos.
Artigo 30º - Informações inexactas
1- Qualquer pessoa tem, relativamente a dados pessoais que lhe respeitam, o direito de exigir a correcção de informações inexactas e o
completamento das total ou parcialmente omissas, bem como a supressão das que tenham sido obtidas por meios ilícitos ou enganosos ou cujo registo
ou conservação não sejam permitidos.
2- A prova da inexactidão cabe ao titular do registo quando a informação tiver sido fornecida por si ou com o seu consentimento, bem como se não
tiver cumprido a obrigação legal de comunicar a alteração.
3- Qualquer pessoa tem o direito de exigir que o seu nome e endereço sejam eliminados de ficheiros de endereços utilizados para mala directa.
Artigo 31º - Intervenção do responsável
1- Nas situações previstas no artigo anterior deve o responsável do suporte informático dar satisfação à pessoa em causa ou comunicar-lhe o que tiver
por conveniente no prazo máximo de 30 dias.
2- Da actuação do responsável do ficheiro pode o titular do registo apresentar queixa à CNPDPI.
Artigo 32º - Sigilo profissional
1- Os responsáveis dos ficheiros automatizados, de bases e bancos de dados, bem como as pessoas que, no exercício das suas funções, tenham
conhecimento dos dados pessoais neles registados, ficam obrigados a sigilo profissional, mesmo após o termo das funções.
2- Igual obrigação recai sobre os membros da CNPDPI, mesmo após o termo do mandato.
3- O disposto nos números anteriores não exclui o dever do fornecimento das informações obrigatórias, nos termos legais, excepto quando constem
de ficheiros organizados para fins estatísticos.
CAPÍTULO VII
Fluxos de dados transfronteiras
Artigo 33º - Regime aplicável
1- O disposto na presente lei aplica-se aos fluxos transfronteiras de dados pessoais, tratados automaticamente ou que se destinem a sê-lo, qualquer
que seja o suporte utilizado.
2- A CNPDPI pode, todavia, autorizar os fluxos transfronteiras de dados pessoais se o Estado de destino assegurar uma protecção equivalente à da
presente lei.
3- É proibido, em qualquer caso, o fluxo transfronteiras de dados pessoais se houver fundadas razões para crer que a sua transferência para um outro
Estado tem por objectivo iludir as proibições ou os condicionalismos previstos na lei ou possibilitar a sua utilização ilícita.
CAPÍTULO VIII
Infracções e sanções
Artigo 34º - Utilização ilegal de dados
1- Quem, contra o disposto na lei, criar, mantiver ou modificar o conteúdo de ficheiro automatizado, base ou banco de dados pessoais ou fizer
processar os mesmos dados é punido com prisão até um ano ou multa até 120 dias.
2- A pena será agravada para o dobro dos seus limites tratando-se de dados pessoais referidos no artigo 11º, fora das condições em que o
processamento é autorizado.
3- Nas mesmas penas incorre quem intencionalmente desviar dados pessoais da finalidade legalmente definida para a sua recolha e utilização.
Artigo 35º - Obstrução ao acesso
1- Quem, estando obrigado a garantir a outrem, nos termos da lei, o direito de acesso, de correcção ou de completamento de dados pessoais
constantes de ficheiro automatizado, de base ou banco de dados, se recusar, sem justa causa, a fazê-lo, ou o fizer de modo intencionalmente erróneo
ou incompleto, é punido com prisão até 1 ano ou multa até 120 dias.
2- Se o agente actuar com negligência, a pena será de prisão até três meses ou multa até 90 dias.
3- O procedimento criminal depende de queixa.
Artigo 36º - Interconexão ilegal
1- Quem, contra o disposto na lei, promover ou realizar a interconexão de ficheiros automatizados, de bases ou bancos de dados pessoais é punido
com prisão até um ano ou multa até 120 dias.
2- A pena é agravada para o dobro nos seus limites tratando-se dos dados referidos no artigo 11º.
3- O disposto nos números anteriores é aplicável a violação da proibição constante do artigo 24º, nº 2.
4- O tribunal decreta as medidas necessárias à cessação da interconexão de ficheiros, de bases ou bancos de dados ou à supressão do número a que
se refere o artigo 24º, nº 2, quando subsistam à data da sentença.
Artigo 37º - Falsas informações
1- Quem fornecer falsas informações no pedido de autorização para a constituição ou manutenção de ficheiro automatizado de base ou banco de
dados pessoais ou nele proceder a modificações não consentidas pelo instrumento de autorização é punido com prisão até 2 anos ou multa até 240
dias.
2- Na mesma pena incorre quem omitir intencionalmente a comunicação a que se refere o nº 3 do artigo 17º
3- Se o agente actuar com negligência, a pena é de prisão até 6 meses ou multa até 100 dias.
Artigo 38º - Acesso indevido
1- Quem, sem a devida autorização, por qualquer modo, aceder a um sistema informático de dados pessoais cujo acesso lhe está vedado é punido
com prisão até 1 ano ou multa até 120 dias.
2- A pena é agravada para o dobro nos seus limites quando o acesso:
a) For conseguido através de violação de regras técnicas de segurança;
b) Tiver possibilitado ao agente ou a terceiros o conhecimento de dados;
c) Tiver proporcionado ao agente ou a terceiros, com conhecimento daqueles, benefício ou vantagem patrimonial.
3- No caso do nº 1, o procedimento criminal depende de queixa.
Artigo 39º - Viciação ou destruição de dados
1- Quem, sem para tanto estar devidamente autorizado, apagar, destruir, danificar, suprimir ou modificar, tornando-os inutilizáveis ou afectando a sua
capacidade de uso, dados pessoais constantes de ficheiro automatizado, de base ou de banco de dados é punido com prisão até 2 anos ou multa até
240 dias.
2- A pena é agravada para o dobro nos seus limites se o dano produzido for particularmente grave.
3- Se o agente actuar com negligência, a pena é, em ambos os casos, de prisão até 1 ano ou multa até 120 dias.
Artigo 40º - Desobediência qualificada
1- Quem, regularmente notificado para o efeito, não interromper o funcionamento de ficheiro automatizado, de base ou banco de dados pessoais, nos
termos do artigo 20º, é punido com a pena correspondente ao crime de desobediência qualificada.
2- Na mesma pena incorre quem:
a) Recusar, sem justa causa, a colaboração que concretamente lhe for exigida nos termos do artigo 9º, quando para tal for regularmente
notificado;
b) Não proceder à destruição de dados pessoais, findo o prazo de conservação autorizado nos termos do artigo 23º.
Artigo 41º - Violação do dever de sigilo
1- Quem, obrigado a sigilo profissional, nos termos da lei, sem justa causa e sem o devido consentimento, revelar ou divulgar no todo ou em parte,
dados pessoais contidos em ficheiro automatizado, base ou banco de dados, pondo em perigo a reputação, a honra e consideração ou a intimidade da
vida privada de outrem, é punido com prisão até 2 anos ou multa até 240 dias.
2- A pena é agravada de metade dos seus limites se o agente for:
a) Funcionário público ou equiparado, nos termos da lei penal;
b) Determinado pela intenção de obter qualquer vantagem patrimonial ou outro benefício ilegítimo.
3- A negligência é punível com prisão até 6 meses ou multa até 120 dias.
4- Fora dos casos previstos no nº 2, o procedimento criminal depende de queixa.
Artigo 42º - Punição da tentativa
Nos crimes previstos nas disposições anteriores, a tentativa é sempre punível.
Artigo 43º - Pena acessória
Conjuntamente com as penas principais aplicadas, o tribunal pode ordenar a pena acessória da publicidade da sentença condenatória, integralmente ou
por extracto, a expensas do condenado, em uma ou mais publicações periódicas.
CAPÍTULO IX
Disposições transitórias e finais
Artigo 44º - Regulamentação
1- Os responsáveis pelos serviços públicos que mantenham ficheiros automatizados, bases ou bancos de dados pessoais devem elaborar e propor
superiormente, no prazo de seis meses, um projecto de regulamentação, tendo em conta as disposições da presente lei.
2- O Governo aprecia as propostas previstas no número anterior e publica, no prazo de um ano, decreto regulamentar de execução da presente lei.
Artigo 45º - Legalização dos suportes existentes
1- As entidades referidas no nº 3 do artigo 17º responsáveis por ficheiros automatizados, bases ou bancos de dados pessoais que se encontrem já em
funcionamento devem enviar à CNPDPI, no prazo de 90 dias após a sua instalação, a informação referente à sua existência e funcionamento, de
acordo com as exigências do artigo 18º.
2- A autorização para a manutenção dos suportes informáticos que dela careçam nos termos do presente diploma deve ser requerida à CNPDPI no
prazo de um ano após a instalação desta.
3- A autorização da CNPDPI deve ser concedida no prazo de 60 dias a contar da data da recepção do pedido.
4- Ao incumprimento do disposto no nº 1 é aplicável a medida prevista no nº 2 do artigo 20º.
Aprovada em 19 de Fevereiro de 1991.
O Presidente da Assembleia da República, Vítor Pereira Crespo.
Promulgada em 9 de Abril de 1991.
Publique-se.
O Presidente da República, MÁRIO SOARES.
Referendada em 12 de Abril de 1991.
O Primeiro-Ministro, Aníbal António Cavaco Silva.