ASSEMBLEIA DA REPÚBLICA

Lei nº 10/91 - Lei da Protecção de Dados Pessoais face à Informática

A Assembleia da República decreta, nos termos dos artigos 164º, alínea d), 168º, nº 1, alíneas b), c) e d), e 169º, nº 3, da Constituição, o seguinte:

CAPÍTULO I

Disposições gerais

Artigo 1º - Princípio geral

O uso da informática deve processar-se de forma transparente e no estrito respeito pela reserva da vida privada e familiar e pelos direitos, liberdades e
garantias fundamentais do cidadão.

Artigo 2º - Definições

Para os fins da presente lei entende-se por:

a) «Dados pessoais» - quaisquer informações relativas a pessoa singular identificada ou identificável, considerando-se identificável a pessoa cuja
identificação não envolva custos ou prazos desproporcionados;

b) «Dados públicos» - os dados pessoais constantes de documento público oficial, exceptuados os elementos confidenciais, tais como a profissão e a
morada, ou as incapacidades averbadas no assento de nascimento;

c) «Sistema informático» - o conjunto constituído por um ou mais computadores, equipamento periférico e suporte lógico que assegura o
processamento de dados;

d) «Ficheiro automatizado» - o conjunto estruturado de informações objecto de tratamento automatizado, centralizado ou repartido por vários locais;

e) «Base de dados» - o conjunto de dados inter-relacionados, armazenados e estruturados com controlo de redundância, destinados a servir uma ou
mais aplicações informáticas;

f) «Banco de dados» - o conjunto de dados relacionados ou relacionáveis com um determinado assunto;

g) «Tratamento automatizado» - as seguintes operações efectuadas, no todo ou em parte, com a ajuda de processos automatizados: registo de dados,
aplicação de operações lógicas e ou aritméticas a esses dados, bem como a sua modificação, supressão e extracção ou difusão;

h) «Responsável pelos suportes informáticos» - a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer organismo competentes
para decidir da finalidade do ficheiro automatizado, bem como o responsável por base ou banco de dados, e pelas categorias de dados pessoais que
devam ser registados e das operações que lhes sejam aplicáveis;

i) «Fluxos de dados transfronteiras» - a circulação de dados pessoais através de fronteiras nacionais.

Artigo 3º - Âmbito de aplicação

1- As disposições da presente lei aplicam-se obrigatoriamente:

a) À constituição e manutenção de ficheiros automatizados, de bases de dados e de bancos de dados pessoais;

b) Aos suportes informáticos relativos a pessoas colectivas e entidades equiparadas, sempre que contiverem dados pessoais.

2- Exceptuam-se da aplicação prevista no artigo anterior os ficheiros de dados pessoais que contenham exclusivamente informações destinadas:

a) A uso pessoal ou doméstico;

b) Ao processamento de remunerações de funcionários ou empregados, bem como a outros procedimentos administrativos atinentes à
mera gestão dos serviços;

c) A facturação de fornecimentos efectuados ou de serviços prestados;

d) A cobrança de quotização de associados ou filiados.

3- A presente lei não se aplica igualmente aos ficheiros de dados pessoais constituídos e mantidos sob a responsabilidade do Sistema de Informação
da República Portuguesa.

CAPÍTULO II

Da Comissão Nacional de Protecção de Dados Pessoais Informatizados

Artigo 4º - Criação e atribuições

1- É criada a Comissão Nacional de Protecção de Dados Pessoais Informatizados (CNPDPI), com a atribuição genérica de controlar o
processamento automatizado de dados pessoais, em rigoroso respeito pelos direitos do homem e pelas liberdades e garantias consagradas na
Constituição e na lei.

2- A CNPDPI é uma entidade pública independente com poderes de autoridade, que funciona junto da Assembleia da República e dispõe de serviços
próprios de apoio técnico e administrativo.

Artigo 5º - Composição

1- A CNPDPI é composta por sete membros de integridade e mérito reconhecidos, dos quais o presidente e dois dos vogais são eleitos pela
Assembleia da República segundo o método da média mais alta de Hondt.

2- Os restantes vogais são:

a) Dois magistrados com mais de 10 anos de carreira, sendo um magistrado judicial, designado pelo Conselho Superior da Magistratura,
e um magistrado do Ministério Público, designado pelo Conselho Superior do Ministério Público;

b) Duas personalidades de reconhecida competência na matéria, designadas pelo Governo.

Artigo 6º - Deveres e incompatibilidades

1- Não podem ser membros da CNPDPI os cidadãos que não se encontrem no pleno gozo dos seus direitos civis e políticos.

2- O exercício do mandato dos membros da CNPDPI rege-se, em matéria de deveres e incompatibilidades, pelos princípios gerais aplicáveis aos
funcionários e agentes do Estado.

3- A qualidade de membros da CNPDPI é incompatível com o exercício de funções correspondentes a:

a) Titular de órgão de soberania ou de órgão de governo próprio de região autónoma;

b) Titular de órgão de autarquia local;

c) Titular de cargo dirigente em partido ou associação política ou em organização de classe, ou agente que tenha vínculo laboral com
qualquer destas entidades.

Artigo 7º - Estatuto remuneratório

O estatuto remuneratório dos membros da CNPDPI é fixado pelo Governo.

Artigo 8º - Competências

1- Compete em especial a CNPDPI:

a) Dar parecer sobre a constituição, alteração ou manutenção, por serviços públicos, de ficheiros automatizados, de bases e bancos de
dados pessoais, nos casos previstos na presente lei;

b) Autorizar ou registar, consoante os casos, a constituição, alteração ou manutenção, por outras entidades, de ficheiros automatizados,
de bases e bancos de dados pessoais, nos termos da presente lei;

c) Autorizar, nos casos excepcionais previstos na presente lei e sob rigoroso controlo, a utilização de dados pessoais para finalidades não
determinantes da recolha;

d) Autorizar, nos casos excepcionais previstos na presente lei e sob rigoroso controlo, a interconexão de ficheiros automatizados, de
bases e bancos de dados contendo dados pessoais;

e) Emitir directivas para garantir a segurança dos dados quer em arquivo, quer em circulação nas redes de telecomunicações;

f) Fixar genericamente as condições de acesso à informação, bem como de exercício do direito de rectificação e actualização;

g) Promover, junto da autoridade judiciária competente, os procedimentos necessários para interromper o processamento de dados,
impedir o funcionamento de ficheiros e, se necessário, proceder à sua destruição, nos casos previstos na presente lei;

h) Apreciar as reclamações, queixas ou petições dos particulares, nos termos da presente lei;

i) Dar publicidade periódica à sua actividade, nomeadamente através da publicação de um relatório anual;

j) Denunciar ao Ministério Público as infracções à presente lei justificativas de procedimento judicial.

2- No exercício das suas funções, a CNPDPI profere decisões com força obrigatória, passíveis de reclamação e de recurso para o Supremo Tribunal
Administrativo.

3- A CNPDPI pode sugerir à Assembleia da República as providências que entender úteis à prossecução das suas atribuições e ao exercício das suas
competências.

Artigo 9º - Dever de colaboração

É dever de todas as entidades públicas e privadas dispensar colaboração à CNPDPI para o cabal exercício das suas funções.

Artigo 10º - Posse

1- Os membros da CNPDPI tomam posse perante o Presidente da Assembleia da República nos 10 dias seguintes ao da publicação na 1ª série do
Diário da República da lista dos membros eleitos.

2- A CNPDPI mantém-se em funções pelo prazo de cinco anos e até à posse dos novos membros designados.

3- Após a entrada em funções, a CNPDPI deve proceder de imediato à elaboração do seu regulamento e submetê-lo à aprovação da Assembleia da
República.

CAPÍTULO III

Do processamento automatizado de dados pessoais

Artigo 11º - Restrições ao tratamento de dados

1- Não é admitido o tratamento automatizado de dados pessoais referentes a:

a) Convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa ou vida privada;

b) Origem étnica, condenações em processo criminal, suspeitas de actividades ilícitas, estado de saúde e situação patrimonial e financeira.

2- A proibição do número anterior não obsta ao tratamento de dados para fins de investigação ou estatística, desde que não possam ser identificáveis
as pessoas a que respeitam.

3- O tratamento automatizado dos dados pessoais referidos na alínea b) do nº 1 pode, no entanto, ser efectuado por serviços públicos, nos termos da
lei, com garantias de não discriminação e prévio parecer da CNPDPI.

4- O disposto nos números anteriores não obsta ao tratamento automatizado de dados pessoais por instituição a que tenham voluntariamente sido
fornecidos pelos respectivos titulares, com conhecimento do seu destino e utilização.

Artigo 12º - Requisitos da recolha

1- A recolha de dados pessoais para tratamento automatizado deve efectuar-se de forma lícita e não enganosa.

2- A recolha de dados pessoais deve processar-se em estrita adequação e pertinência à finalidade que a determinou.

3- A finalidade determinante da recolha de dados deve ser conhecida antes do seu início.

Artigo 13º - Direito à informação e acesso

1- Qualquer pessoa tem o direito de ser informada sobre a existência de ficheiro automático, base ou banco de dados pessoais que lhe respeitem, e
respectiva finalidade, bem como sobre a identidade e o endereço do seu responsável.

2- O acesso aos ficheiros de dados eleitorais é facultado, em igualdade de circunstâncias e sob controlo da Comissão Nacional de Eleições, aos
candidatos e aos partidos políticos.

Artigo 14º - Actualização dos dados

Os dados pessoais recolhidos e mantidos em ficheiros automatizados, em bases e bancos de dados devem ser exactos e actuais.

Artigo 15º - Utilização dos dados

Os dados pessoais só podem ser utilizados para a finalidade determinante da sua recolha, salvo autorização concedida por lei.

Artigo 16º - Limites da apreciação judicial

Nenhuma decisão jurisdicional, administrativa ou disciplinar que implique apreciação sobre um comportamento humano pode ter por único fundamento
o resultado do tratamento automatizado da informação atinente ao perfil ou à personalidade do titular do registo.

CAPÍTULO IV

Dos ficheiros automatizados, de bases e bancos de dados pessoais

Artigo 17º - Requisitos de constituição

1- A constituição de ficheiros automatizados, de bases e bancos de dados contendo dados pessoais, para os fins consentidos no artigo 11º, é regulada
por lei especial, com prévio parecer da CNPDPI.

2- O disposto no número anterior não se aplica a ficheiros automatizados, a bases e bancos de dados mantidos por entidades públicas ou privadas,
que não contenham dados pessoais referidos no artigo 11º

3- As entidades referidas no número anterior estão, porém, obrigadas a comunicar previamente à CNPDPI a constituição de ficheiros automatizados,
de bases e bancos de dados com quaisquer outros dados pessoais e devem fazer acompanhar essa comunicação com os elementos constantes do
artigo seguinte.

Artigo 18º - Instrução dos pedidos

Os pedidos de parecer ou de autorização da CNPDPI para a constituição ou manutenção de ficheiros automatizados, de bases e bancos de dados
pessoais, bem como a comunicação a que se refere o nº 3 do artigo anterior, devem ser instruídos com os seguintes elementos:

a) Nome e endereço do responsável do ficheiro;

b) Características do ficheiro e sua finalidade;

c) Serviço ou serviços encarregados do processamento da informação;

d) Dados pessoais contidos em cada registo;

e) Forma da recolha e actualização dos dados;

f) Finalidade a que se destinam os dados, entidades a que podem ser transmitidos e em que condições;

g) Comparações, interconexões ou qualquer outra forma de inter-relacionar as informações registadas;

h) Medidas tomadas para garantir a segurança das informações;

i) Tempo de conservação dos dados pessoais;

j) Categoria de pessoas que têm directamente acesso às informações;

l) Forma e condições sob as quais as pessoas podem tomar conhecimento dos dados que lhes respeitem;

m) Forma como as pessoas podem fazer corrigir inexactidões dos dados que lhes respeitem.

Artigo 19º - Indicações obrigatórias

1- A lei, no caso especialmente previsto no nº 1 do artigo 17º, bem como as autorizações da CNPDPI, a que se referem as alíneas c) e d) do nº 1 do
artigo 8º, devem indicar:

a) O responsável do ficheiro;

b) Os dados pessoais a incluir no registo;

c) O modo de recolha ou actualização dos dados;

d) A finalidade a que se destinam os dados, as entidades a que podem ser transmitidos e em que condições;

e) O tempo de conservação dos dados pessoais;

f) A forma como o titular do registo pode ter conhecimento dos dados que lhe digam respeito e em que condições;

g) A forma como o titular do registo pode fazer corrigir eventuais inexactidões dos dados que lhe respeitem.

2- Qualquer alteração das indicações constantes do nº 1 carece igualmente de ser prevista em lei especial, bem como de autorização da CNPDPI, ou
apenas desta, consoante os casos.

Artigo 20º - Funcionamento dos ficheiros

1- Os responsáveis por ficheiros automatizados, de bases e de bancos de dados pessoais devem interromper imediatamente o seu funcionamento
quando actuem em desconformidade com a presente lei e tenham recebido da entidade competente directriz nesse sentido.

2- Sem prejuízo da aplicação de outras sanções que a lei preveja, os ficheiros automatizados a que se refere o número anterior podem ser impedidos
de funcionar e, se necessário, ser o seu conteúdo destruído.

Artigo 21º - Equipamento de segurança

Os ficheiros automatizados, as bases e bancos de dados pessoais devem ser equipados com sistemas de segurança que impeçam a consulta,
modificação, destruição ou acrescentamento dos dados por pessoa não autorizada a fazê-lo e permitam detectar desvios de informação intencionais ou
não.

CAPÍTULO V

Da recolha e da interconexão de dados pessoais

Artigo 22º - Indicações constantes dos documentos base

1- Os documentos que sirvam de base à recolha de dados pessoais devem indicar:

a) O facto de tais dados ou de parte deles serem processados automaticamente;

b) O carácter obrigatório ou facultativo do preenchimento dos documentos ou do fornecimento de dados;

c) As consequências da falta ou da inexactidão das respostas;

d) Os destinatários das informações;

e) A finalidade da recolha dos dados;

f) O responsável pelo ficheiro e respectivo endereço;

g) As condições de acesso referidas nos artigos 27º e 28º.

2- O disposto no número anterior não se aplica à recolha de informações destinadas à prevenção da criminalidade e à punição de infracções, bem
como à recolha de informações destinadas a fins estatísticos, nos termos da legislação do Sistema Estatístico Nacional e do Instituto Nacional de
Estatística.

Artigo 23º - Destruição de dados

Decorrido o prazo de conservação autorizado, os dados devem ser destruídos, sem prejuízo da prorrogação desse prazo por lei especial ou
autorização da CNPDPI, conforme os casos.

Artigo 24º - Interconexão de dados pessoais

1- É proibida a interconexão de ficheiros automatizados, de bases e bancos de dados pessoais, ressalvadas as excepções previstas na presente lei.

2- Não é permitida a atribuição de um mesmo número de cidadão para efeitos de interconexão de ficheiros automatizados de dados pessoais que
contenham informações de carácter policial, criminal ou médico.

Artigo 25º - Interconexão de dados públicos

A interconexão de ficheiros automatizados, de bases e bancos de dados que contenham exclusivamente dados públicos pode processar-se entre
entidades que prossigam os mesmos fins específicos, na dependência do mesmo responsável a que se refere a alínea h) do artigo 2º.

Artigo 26º - Casos excepcionais

A lei que, em casos excepcionais, permitir a interconexão de ficheiros automatizados, de bancos e bases de dados deve definir expressamente os tipos
de interconexão autorizados e a sua finalidade.

CAPÍTULO VI

Dos direitos e garantias individuais

Artigo 27º - Direito de acesso às informações

A todas as pessoas, desde que devidamente identificadas, é reconhecido o direito de acesso às informações sobre elas registadas em ficheiros
automatizados, bancos e bases de dados, com ressalva do disposto na lei sobre segredo de Estado e segredo de justiça.

Artigo 28º - Exercício do direito de acesso

1- O exercício do direito de acesso à informação não pode ser limitado, sem prejuízo de poder ser sujeito a regras destinadas a evitar abusos.

2- A informação deve ser transmitida em linguagem clara, isenta de codificações e rigorosamente correspondente ao conteúdo do registo.

3- A informação de carácter médico deve ser comunicada à pessoa a quem respeite, por intermédio do médico por ela designado.

Artigo 29º - Excesso ou omissão de dados

Quando se verifique que um ficheiro automatizado, uma base ou um banco de dados pessoais contém dados excessivos em relação à sua finalidade ou
peca por omissão de alguns, deve o responsável proceder, de imediato, à supressão dos excedentes ou à inclusão dos omissos.

Artigo 30º - Informações inexactas

1- Qualquer pessoa tem, relativamente a dados pessoais que lhe respeitam, o direito de exigir a correcção de informações inexactas e o
completamento das total ou parcialmente omissas, bem como a supressão das que tenham sido obtidas por meios ilícitos ou enganosos ou cujo registo
ou conservação não sejam permitidos.

2- A prova da inexactidão cabe ao titular do registo quando a informação tiver sido fornecida por si ou com o seu consentimento, bem como se não
tiver cumprido a obrigação legal de comunicar a alteração.

3- Qualquer pessoa tem o direito de exigir que o seu nome e endereço sejam eliminados de ficheiros de endereços utilizados para mala directa.

Artigo 31º - Intervenção do responsável

1- Nas situações previstas no artigo anterior deve o responsável do suporte informático dar satisfação à pessoa em causa ou comunicar-lhe o que tiver
por conveniente no prazo máximo de 30 dias.

2- Da actuação do responsável do ficheiro pode o titular do registo apresentar queixa à CNPDPI.

Artigo 32º - Sigilo profissional

1- Os responsáveis dos ficheiros automatizados, de bases e bancos de dados, bem como as pessoas que, no exercício das suas funções, tenham
conhecimento dos dados pessoais neles registados, ficam obrigados a sigilo profissional, mesmo após o termo das funções.

2- Igual obrigação recai sobre os membros da CNPDPI, mesmo após o termo do mandato.

3- O disposto nos números anteriores não exclui o dever do fornecimento das informações obrigatórias, nos termos legais, excepto quando constem
de ficheiros organizados para fins estatísticos.

CAPÍTULO VII

Fluxos de dados transfronteiras

Artigo 33º - Regime aplicável

1- O disposto na presente lei aplica-se aos fluxos transfronteiras de dados pessoais, tratados automaticamente ou que se destinem a sê-lo, qualquer
que seja o suporte utilizado.

2- A CNPDPI pode, todavia, autorizar os fluxos transfronteiras de dados pessoais se o Estado de destino assegurar uma protecção equivalente à da
presente lei.

3- É proibido, em qualquer caso, o fluxo transfronteiras de dados pessoais se houver fundadas razões para crer que a sua transferência para um outro
Estado tem por objectivo iludir as proibições ou os condicionalismos previstos na lei ou possibilitar a sua utilização ilícita.

CAPÍTULO VIII

Infracções e sanções

Artigo 34º - Utilização ilegal de dados

1- Quem, contra o disposto na lei, criar, mantiver ou modificar o conteúdo de ficheiro automatizado, base ou banco de dados pessoais ou fizer
processar os mesmos dados é punido com prisão até um ano ou multa até 120 dias.

2- A pena será agravada para o dobro dos seus limites tratando-se de dados pessoais referidos no artigo 11º, fora das condições em que o
processamento é autorizado.

3- Nas mesmas penas incorre quem intencionalmente desviar dados pessoais da finalidade legalmente definida para a sua recolha e utilização.

Artigo 35º - Obstrução ao acesso

1- Quem, estando obrigado a garantir a outrem, nos termos da lei, o direito de acesso, de correcção ou de completamento de dados pessoais
constantes de ficheiro automatizado, de base ou banco de dados, se recusar, sem justa causa, a fazê-lo, ou o fizer de modo intencionalmente erróneo
ou incompleto, é punido com prisão até 1 ano ou multa até 120 dias.

2- Se o agente actuar com negligência, a pena será de prisão até três meses ou multa até 90 dias.

3- O procedimento criminal depende de queixa.

Artigo 36º - Interconexão ilegal

1- Quem, contra o disposto na lei, promover ou realizar a interconexão de ficheiros automatizados, de bases ou bancos de dados pessoais é punido
com prisão até um ano ou multa até 120 dias.

2- A pena é agravada para o dobro nos seus limites tratando-se dos dados referidos no artigo 11º.

3- O disposto nos números anteriores é aplicável a violação da proibição constante do artigo 24º, nº 2.

4- O tribunal decreta as medidas necessárias à cessação da interconexão de ficheiros, de bases ou bancos de dados ou à supressão do número a que
se refere o artigo 24º, nº 2, quando subsistam à data da sentença.

Artigo 37º - Falsas informações

1- Quem fornecer falsas informações no pedido de autorização para a constituição ou manutenção de ficheiro automatizado de base ou banco de
dados pessoais ou nele proceder a modificações não consentidas pelo instrumento de autorização é punido com prisão até 2 anos ou multa até 240
dias.

2- Na mesma pena incorre quem omitir intencionalmente a comunicação a que se refere o nº 3 do artigo 17º

3- Se o agente actuar com negligência, a pena é de prisão até 6 meses ou multa até 100 dias.

Artigo 38º - Acesso indevido

1- Quem, sem a devida autorização, por qualquer modo, aceder a um sistema informático de dados pessoais cujo acesso lhe está vedado é punido
com prisão até 1 ano ou multa até 120 dias.

2- A pena é agravada para o dobro nos seus limites quando o acesso:

a) For conseguido através de violação de regras técnicas de segurança;

b) Tiver possibilitado ao agente ou a terceiros o conhecimento de dados;

c) Tiver proporcionado ao agente ou a terceiros, com conhecimento daqueles, benefício ou vantagem patrimonial.

3- No caso do nº 1, o procedimento criminal depende de queixa.

Artigo 39º - Viciação ou destruição de dados

1- Quem, sem para tanto estar devidamente autorizado, apagar, destruir, danificar, suprimir ou modificar, tornando-os inutilizáveis ou afectando a sua
capacidade de uso, dados pessoais constantes de ficheiro automatizado, de base ou de banco de dados é punido com prisão até 2 anos ou multa até
240 dias.

2- A pena é agravada para o dobro nos seus limites se o dano produzido for particularmente grave.

3- Se o agente actuar com negligência, a pena é, em ambos os casos, de prisão até 1 ano ou multa até 120 dias.

Artigo 40º - Desobediência qualificada

1- Quem, regularmente notificado para o efeito, não interromper o funcionamento de ficheiro automatizado, de base ou banco de dados pessoais, nos
termos do artigo 20º, é punido com a pena correspondente ao crime de desobediência qualificada.

2- Na mesma pena incorre quem:

a) Recusar, sem justa causa, a colaboração que concretamente lhe for exigida nos termos do artigo 9º, quando para tal for regularmente
notificado;

b) Não proceder à destruição de dados pessoais, findo o prazo de conservação autorizado nos termos do artigo 23º.

Artigo 41º - Violação do dever de sigilo

1- Quem, obrigado a sigilo profissional, nos termos da lei, sem justa causa e sem o devido consentimento, revelar ou divulgar no todo ou em parte,
dados pessoais contidos em ficheiro automatizado, base ou banco de dados, pondo em perigo a reputação, a honra e consideração ou a intimidade da
vida privada de outrem, é punido com prisão até 2 anos ou multa até 240 dias.

2- A pena é agravada de metade dos seus limites se o agente for:

a) Funcionário público ou equiparado, nos termos da lei penal;

b) Determinado pela intenção de obter qualquer vantagem patrimonial ou outro benefício ilegítimo.

3- A negligência é punível com prisão até 6 meses ou multa até 120 dias.

4- Fora dos casos previstos no nº 2, o procedimento criminal depende de queixa.

Artigo 42º - Punição da tentativa

Nos crimes previstos nas disposições anteriores, a tentativa é sempre punível.

Artigo 43º - Pena acessória

Conjuntamente com as penas principais aplicadas, o tribunal pode ordenar a pena acessória da publicidade da sentença condenatória, integralmente ou
por extracto, a expensas do condenado, em uma ou mais publicações periódicas.

CAPÍTULO IX

Disposições transitórias e finais

Artigo 44º - Regulamentação

1- Os responsáveis pelos serviços públicos que mantenham ficheiros automatizados, bases ou bancos de dados pessoais devem elaborar e propor
superiormente, no prazo de seis meses, um projecto de regulamentação, tendo em conta as disposições da presente lei.

2- O Governo aprecia as propostas previstas no número anterior e publica, no prazo de um ano, decreto regulamentar de execução da presente lei.

Artigo 45º - Legalização dos suportes existentes

1- As entidades referidas no nº 3 do artigo 17º responsáveis por ficheiros automatizados, bases ou bancos de dados pessoais que se encontrem já em
funcionamento devem enviar à CNPDPI, no prazo de 90 dias após a sua instalação, a informação referente à sua existência e funcionamento, de
acordo com as exigências do artigo 18º.

2- A autorização para a manutenção dos suportes informáticos que dela careçam nos termos do presente diploma deve ser requerida à CNPDPI no
prazo de um ano após a instalação desta.

3- A autorização da CNPDPI deve ser concedida no prazo de 60 dias a contar da data da recepção do pedido.

4- Ao incumprimento do disposto no nº 1 é aplicável a medida prevista no nº 2 do artigo 20º.

Aprovada em 19 de Fevereiro de 1991.

O Presidente da Assembleia da República, Vítor Pereira Crespo.

Promulgada em 9 de Abril de 1991.

Publique-se.

O Presidente da República, MÁRIO SOARES.

Referendada em 12 de Abril de 1991.

O Primeiro-Ministro, Aníbal António Cavaco Silva.