About Intellectual Property IP Training Respect for IP IP Outreach IP for… IP and... IP in... Patent & Technology Information Trademark Information Industrial Design Information Geographical Indication Information Plant Variety Information (UPOV) IP Laws, Treaties & Judgements IP Resources IP Reports Patent Protection Trademark Protection Industrial Design Protection Geographical Indication Protection Plant Variety Protection (UPOV) IP Dispute Resolution IP Office Business Solutions Paying for IP Services Negotiation & Decision-Making Development Cooperation Innovation Support Public-Private Partnerships AI Tools & Services The Organization Working with WIPO Accountability Patents Trademarks Industrial Designs Geographical Indications Copyright Trade Secrets WIPO Academy Workshops & Seminars IP Enforcement WIPO ALERT Raising Awareness World IP Day WIPO Magazine Case Studies & Success Stories IP News WIPO Awards Business Universities Indigenous Peoples Judiciaries Genetic Resources, Traditional Knowledge and Traditional Cultural Expressions Economics Gender Equality Global Health Climate Change Competition Policy Sustainable Development Goals Frontier Technologies Mobile Applications Sports Tourism PATENTSCOPE Patent Analytics International Patent Classification ARDI – Research for Innovation ASPI – Specialized Patent Information Global Brand Database Madrid Monitor Article 6ter Express Database Nice Classification Vienna Classification Global Design Database International Designs Bulletin Hague Express Database Locarno Classification Lisbon Express Database Global Brand Database for GIs PLUTO Plant Variety Database GENIE Database WIPO-Administered Treaties WIPO Lex - IP Laws, Treaties & Judgments WIPO Standards IP Statistics WIPO Pearl (Terminology) WIPO Publications Country IP Profiles WIPO Knowledge Center WIPO Technology Trends Global Innovation Index World Intellectual Property Report PCT – The International Patent System ePCT Budapest – The International Microorganism Deposit System Madrid – The International Trademark System eMadrid Article 6ter (armorial bearings, flags, state emblems) Hague – The International Design System eHague Lisbon – The International System of Appellations of Origin and Geographical Indications eLisbon UPOV PRISMA UPOV e-PVP Administration UPOV e-PVP DUS Exchange Mediation Arbitration Expert Determination Domain Name Disputes Centralized Access to Search and Examination (CASE) Digital Access Service (DAS) WIPO Pay Current Account at WIPO WIPO Assemblies Standing Committees Calendar of Meetings WIPO Webcast WIPO Official Documents Development Agenda Technical Assistance IP Training Institutions COVID-19 Support National IP Strategies Policy & Legislative Advice Cooperation Hub Technology and Innovation Support Centers (TISC) Technology Transfer Inventor Assistance Program WIPO GREEN WIPO's Pat-INFORMED Accessible Books Consortium WIPO for Creators WIPO Translate Speech-to-Text Classification Assistant Member States Observers Director General Activities by Unit External Offices Job Vacancies Procurement Results & Budget Financial Reporting Oversight
Arabic English Spanish French Russian Chinese
Laws Treaties Judgments Browse By Jurisdiction

Law No. 109/2009 of September 15, 2009 (Cybercrime Law), Portugal

Back Latest Version in WIPO Lex
Details Details Year of Version 2009 Dates Entry into force: October 15, 2009 Issued: September 15, 2009 Type of Text IP-related Laws Subject Matter Copyright and Related Rights (Neighboring Rights), Other Notes The notification by Portugal to the WTO under article 63.2 of TRIPS states:
'The Law transposes to the national legal order Council Framework Decision 2005/222/JHA, of February 24, 2005 on Attacks against Information Systems, and adapts to national law the Convention on Cybercrime of the Council of Europe.'

Available Materials
Main Text(s) Related Text(s)
Main text(s) Main text(s) Portuguese Lei n.° 109/2009 de 15 de Setembro (Cibercrime)         English Law No. 109/2009 of September 15, 2009 (Cybercrime Law)        

Assembleia da República (Assembly of the Republic)

Law no. 109/2009, of 15 September

Approves the Cybercrime Law, transposing to the national legal order Council Framework Decision 2005/222/JHA, of 24 February, on attacks against information systems, and adapts to national law the Convention on Cybercrime of the Council of Europe.

Pursuant to article 161 c) of the Constitution, the Assembly of the Republic hereby decrees as follows:

CHAPTER I

Subject-matter and definitions

Article 1

Subject-matter

This law lays down the substantive and procedural criminal provisions, as well as provisions on international cooperation on criminal matters, concerning cybercrime and collection of electronic evidence, transposing to the national legal order Council Framework Decision 2005/222/JHA, of 24 February, on attacks against information systems, and adapting to national law the Convention on Cybercrime of the Council of Europe.

Article 2

Definitions

For the purposes hereof, the following definitions shall apply:

a) ''Computer system'' shall mean any device or group of inter-connected or related devices, one or more of which, pursuant to a programme, performs automatic processing of computer data, as well as the network supporting the communication between them and computer data stored, processed, retrieved or transmitted by them for the purposes of their operation, use, protection and maintenance;

b) ''Computer data'' shall mean any representation of facts, information or concepts in a form suitable for processing in a computer system, including programmes suitable for causing a computer system to perform a function;

c) ''Traffic data'' shall mean any computer data relating to a communication by means of a computer system, generated by a computer system that formed a part in the chain of communication, indicating the communication’s origin, destination, route, time, date, size, duration, or type of underlying service;

d) ''Service provider'' shall mean any public or private entity that provides to users of its service the ability to communicate by means of a computer system, as well as any other entity that processes or stores computer data on behalf of such communication service or users of such service;

e) ''Interception'' shall mean the act intended to capture information in a computer system by means of an electro-magnetic, acoustic, mechanical or other device;

f) ''Topography'' shall mean a series of related images, however fixed or encoded, representing the three-dimensional pattern of the layers of which a semiconductor product is composed, in which series, each image has the pattern or part of the pattern of a surface of the semiconductor product at any stage of its manufacture;

g) ''Semiconductor product'' shall mean the final or an intermediate form of any product, consisting of a body of material which includes a layer of semiconducting material and having one or more other layers composed of conducting, insulating or semiconducting material, the layers being arranged in accordance with a three-dimensional pattern and intended to perform, exclusively or together with other functions, an electronic function.

CHAPTER II

Substantive criminal provisions

Article 3

Computer-related forgery

1 - Whoever, with the purpose of deceiving legal relationships, inputs, alters, erases or suppresses computer data, or commits any other form of interference with the automatic processing of data resulting in inauthentic data or documents, with the intent that it be considered or acted upon for legal purposes as if it were authentic, shall be punishable by a term of imprisonment up to 5 years or by fine between 120 and 600 days.

2 - Where actions described in the preceding paragraph concern data registered or incorporated in a payment bank card or in any other device enabling access to a payment system or means, communications system or conditional access service, offenders shall be punishable by a term of imprisonment between 1 and 5 years.

3 - Whoever, with the purpose of causing damage to another person or of procuring an illegitimate benefit for oneself or for another person, uses documents produced from computer data subject to acts referred in paragraph 1 or any device wherein data subject to acts referred in paragraph 2 are registered or incorporated, shall be punishable by penalties provided respectively in one paragraph or another, as appropriate.

4 - Whoever imports, distributes, sells or holds for commercial purposes any device enabling access to a payment system or means, communications system or conditional access service, which has been subject to any of the acts referred in paragraph 2, shall be punishable by a term of imprisonment between 1 and 5 years.

5 - Where facts referred to in the preceding paragraphs have been committed by staff in the performance of their duties, offenders shall be punishable by a term of imprisonment between 2 and 5 years.

Article 4

Damage caused to programmes or other computer data

1 - Whoever, without legal permission or authorization from the owner or holder of the right over the full system, or part thereof, deletes, alters, fully or partially deteriorates, damages, suppresses or renders unusable or inaccessible other people's programmes or other computer data or by any other means seriously hinders their functioning, shall be punishable by a term of imprisonment up to 3 years or by fine.

2 - The attempt to commit the established offences shall be punishable.

3 - The penalty provided for in paragraph 1 shall also apply to whoever illegally produces, sells, distributes or otherwise disseminates or introduces in computer systems devices, programmes, or other computer data designed to produce any of the non-authorized actions described in that paragraph.

4 - Where high-value damage is caused, offenders shall be punishable by term of imprisonment up to 5 years or by fine up to 600 days.

5 - Where considerable high-value damage is caused, offenders shall be punishable by term of imprisonment between 1 and 10 years.

6 - In the situations provided for in paragraphs 1, 2 and 4, criminal proceedings shall be initiated on complaint.

Article 5

Computer-related fraud

1 - Whoever, without legal permission or authorization from the owner or holder of the right over the full system, or part thereof, hinders, prevents, interrupts or seriously disrupts the functioning of a computer system by inputting, transmitting, deteriorating, damaging, altering, deleting, preventing access or suppressing programmes or other computer data or by any other means interferes in a computer system, shall be punishable by a term of imprisonment up to 5 years or by fine up to 600 days.

2 - The penalty provided for in paragraph 1 shall also apply to whoever illegally produces, sells, distributes or otherwise disseminates or introduces in computer systems devices, programmes, or other computer data designed to produce any of the non-authorized actions described in the preceding paragraph.

3 – The attempt to commit offences established in the preceding paragraph shall not be punishable.

4 - Where high-value damage is caused by the disruption, offenders shall be punishable by a term of imprisonment between 1 to 5 years.

5 - Offenders shall be punishable by a term of imprisonment between 1 to 10 years where:

a) Considerable high-value damage is caused by the disruption;

b) The disruption produced affects seriously or on a long-term basis a computer system supporting an activity with critical social functions, namely supply chains, health, safety and economic well-being of people, or the proper operation of public services.

Article 6

Illegal access

1 - Whoever, without legal permission or authorization from the owner or holder of the right over the full system, or part thereof, accesses a computer system, shall be punishable by a term of imprisonment up to 1 year or by fine up to 120 days.

2 - The penalty provided for in paragraph 1 shall also apply to whoever illegally produces, sells, distributes or otherwise disseminates or introduces in computer systems devices, programmes, or a set of executable instructions, a code or other computer data designed to produce any of the non-authorized actions described in the preceding paragraph.

3 - Offenders shall be punishable by a term of imprisonment up to 3 years or by fine where access is achieved through violation of security rules.

4 - Offenders shall be punishable by a term of imprisonment between 1 to 5 years where:

a) The access enables the agent to be aware of legally-protected commercial or industrial secret information or confidential data; or

b) Considerable high-value benefits or monetary advantages are achieved.

5 - The attempt to commit the established offences shall be punishable, except for cases provided for in paragraph 2.

6 - In the situations provided for in paragraphs 1, 3 and 5, criminal proceedings shall be initiated on complaint.

Article 7

Illegal interception

1 - Whoever, without legal permission or authorization from the owner or holder of the right over the full system, or part thereof, intercepts by technical means transmissions of computer data to, from or within a computer system, shall be punishable by a term of imprisonment up to 3 year or by fine.

2 - The attempt to commit the established offences shall be punishable.

3 - The penalty provided for in paragraph 1 shall also apply to whoever illegally produces, sells, distributes or otherwise disseminates or introduces in computer systems devices, programmes, or other computer data designed to produce any of the non-authorized actions described in that paragraph.

Article 8

Illegal reproduction of protected programmes

1 - Whoever illegally publicly reproduces, discloses or communicates a legally-protected computer programme, shall be punishable by a term of imprisonment up to 3 years or by fine.

2 - The penalty provided for in paragraph 1 shall also apply to whoever reproduces the topography of a semiconductor product or commercially operates or imports, for such purposes, topographies or semiconductor products manufactured on the basis of those topographies.

3 - The attempt to commit the established offences shall be punishable.

Article 9

Corporate liability

Legal persons and related entities shall be held liable for criminal offences established in accordance with this law, under the terms and limits of the liability regime provided for in the Criminal Code.

Article 10

Forfeit of goods

1 - The court may order the forfeit to the State of objects, materials, equipment or devices used to commit criminal offences provided for herein which are owned by the convicted person.

2 - Decree-Law number 11/2007, of 19 January, shall apply to the evaluation, use, sale and reimbursement of goods seized by police authorities which are likely to be forfeited to the State.

CHAPTER III

Procedural provisions

Article 11

Scope of application of procedural provisions

1 - Except as specifically provided for otherwise in articles 18 and 19, the procedural provisions provided for in this chapter apply to proceedings on criminal offences:

a) Provided for herein;

b) Committed by means of a computer system; or

c) Relatively to which the collection of electronic evidence is required.

2 - Procedural provisions provided for in this chapter shall be without prejudice to the regime laid down in Law number 32/2008, of 17 July.

Article 12

Expedited preservation of data

1 - Where, in the course of proceedings, the collection of evidence, necessary to uncover the truth, requires that specified computer data, including traffic data, that has been stored by means of a computer system, are obtained, in particular where there are grounds to believe that the computer data are particularly vulnerable to loss, modification or unavailability, the competent judicial authority shall order whoever holds or controls such data, namely the service provider, to preserve the data under consideration.

2 - Preservation may also be ordered by criminal police bodies, authorized by the competent judicial authority, or where there is urgency or danger in delay; in this last situation, the former must promptly warn the judicial authority, submitting the report provided for in article 253 of the Procedural Criminal Code.

3 - Under pain of being deemed null and void, the preservation order must indicate:

a) The nature of data;

b) Their origin and destination, if known; and

c) The period of time over which data must be preserved, up to three months.

4 - In compliance with the preservation order, whoever holds or controls such data, namely the service provider, shall promptly preserve the data under consideration, protecting and maintaining its integrity for the established period of time, to enable the competent judicial authority to obtain it, being subject to ensure that the undertaking of such procedures is kept confidential.

5 - The competent judicial authority may order the renewal of the measure for periods subject to the limit provided for in paragraph 3 c), insofar as the respective conditions of admissibility are met, up to a maximum limit of one year.

Article 13

Expedited preservation of traffic data

In order to ensure the preservation of traffic data related to a specific communication, regardless of whether one or more service providers were involved in the transmission of that communication, the service provider which was ordered to perform such preservation pursuant to the preceding article shall indicate to the judicial authority or to criminal police bodies, as soon as this information is available to it, other service providers through which the communication was made, in order to identify the service providers and the path through which the communication was transmitted.

Article 14

Injuction to submit or provide access to data

1 - Where, in the course of proceedings, the collection of evidence, necessary to uncover the truth, requires that specified computer data, stored in a specific computer system, are obtained, the competent judicial authority shall order whoever holds or controls such data to register such data in the proceedings file or to provide access thereto, on pain of punishment for disobedience.

2 - The order referred to in the preceding paragraph shall identify data under consideration.

3 - In compliance with the order described in paragraphs 1 and 2, whoever holds or controls data under consideration shall communicate them to the competent judicial authority or provide access to the computer system where such data are stored, on pain of punishment for disobedience.

4 – Provisions in this article apply to service providers, which may be ordered to register in the proceedings file data on customers or subscribers, including any information other than traffic or content data, contained in the form of computer data or any other form that is held by the service provider, and by which can be established:

a) The type of communication service used, the technical provisions taken thereto and the period of service;

b) The subscriber’s identity, postal or geographic address, telephone and other access number, billing and payment information, available on the basis of the service agreement or arrangement; or

c) Any other information on the site of the installation of communication equipment, available on the basis of the service agreement or arrangement.

5 - The injuction provided for herein shall not be addressed to a suspect or defendant in those proceedings.

6 - The injuction provided for herein shall also not be used as regards computer systems used in legal, medical and bank practises, as well as by journalists.

7 - The regime governing professional, staff and State secret information, provided for in article 182 of the Criminal Procedure Code, shall apply hereto, duly adapted.

Article 15

Search of computer data

1 - Where, in the course of proceedings, the collection of evidence, necessary to uncover the truth, requires that specified computer data, stored in a specific computer system, are obtained, the competent judicial authority shall authorize or order the search to that computer system, overseeing such investigations whenever possible.

2 - The order provided for in the preceding paragraph shall be valid for a maximum period of 30 days, on pain of being deemed null and void.

3 - Criminal police bodies shall undertake the search, without a prior authorization from the judicial authority:

a) Where whoever holds or controls data under consideration voluntarily consents to the search, insofar as the consent is documented in any way;

b) In cases of terrorism, violent or highly-organized crimes, or where there is evidence to substantiate the imminent commission of a criminal offence threatening the life or integrity of any person.

4 - Where criminal police bodies undertake the search pursuant to the preceding paragraph:

a) In the situation provided for in point b), the investigation shall be promptly communicated to the competent judicial authority, and assessed by the latter as far as the validation of the measure is concerned, on pain of being deemed null and void;

b) In any other situation, the report provided for in article 253 of the Criminal Procedure Code shall be drawn up and submitted to the competent judicial authority.

5 - Where, in the course of the search, there are grounds to believe that the data sought is stored in another computer system or part of it, and such data is lawfully accessible from the initial system, the search may be extended to the other system, by means of an authorization or order from the competent authority, pursuant to paragraphs 1 and 2.

6 – To the search referred to herein shall apply, duly adapted, the rules on execution of searches provided for in the Criminal Procedure Code and in the Journalists Statute.

Article 16

Seizure of computer data

1 - Where, in the course of a computer system search, or of another legitimate means of access to a computer system, computer data or documents necessary to the collection of evidence, in order to uncover the truth, are found, the competent judicial authority shall authorize or order the seizure thereof.

2 - Criminal police bodies are entitled to perform seizures, without any prior authorization from the judicial authority, in the course a computer system search lawfully ordered and executed pursuant to the preceding article, or where there is urgency or danger in delay.

3 - In case of seizure of computer data or documents the contents of which may disclose personal or intimate data, thus hindering the privacy of the respective holder or of a third party, on pain of being deemed null and void such data or documents shall be submitted to the judge, who shall weight their attachment to the file, taking into account the interests of the case.

4 - Seizures carried out by criminal police bodies shall always be validated by the judicial authority, within at the most 72 hours.

5 - Seizures related to computer systems used for legal, medical and bank practises shall comply with the rules and formalities provided for in the Criminal Procedure Code, duly adapted, and those related to computer systems used by journalists shall comply with the rules and formalities provided for in the Journalists Statute, duly adapted.

6 - The regime governing professional, staff and State secret information, provided for in article 182 of the Criminal Procedure Code, shall apply, duly adapted.

7 - Seizure of computer data, depending on what is deemed to be most appropriate or proportional, taking into account the interests of the case, may take the following forms:

a) Seizing the computer system support equipment or the computer-data storage medium, as well as devices required to read data;

b) Making a copy of those computer data, in an autonomous means of support, which shall be attached to the file;

c) Maintaining by technological means the integrity of data, without copying or removing them; or

d) Removing the computer data or blocking access thereto.

8 - In the situation of seizure provided for in point b) of the preceding paragraph, copies shall be made in duplicate, one of them being sealed and entrusted to the court clerk of services where the case has been brought and, where technically possible, seized data shall be certified by means of a digital signature.

Article 17

Seizure of emails or similar communication records

Where, in the course of a computer system search, or of another legitimate means of access to a computer system, emails or similar communication records are found, stored in that computer system or in another system which can be lawfully accessed from the former, the competent judicial authority shall authorize or order the seizure of data deemed to be of major interest to uncover the truth or to collect evidence, applying as appropriate the regime of seizure of correspondence provided for in the Criminal Procedure Code.

Article 18

Interception of communications

1 – The interception of communications shall be permitted in proceedings on criminal offences:

a) Provided for herein; or

b) Committed by means of a computer system or which require the collection of electronic evidence, where such criminal offences are provided for in article 187 of the Criminal Procedure Code.

2 - Interception and record of transmission of computer data shall only be authorized during the investigation stage, where there are reasons to believe that this measure is essential to the uncovering of the truth or that, otherwise, it would be impossible or very difficult to obtain evidence, on the basis of a substantiated order from the examining judge, further to a request from the Public Prosecution.

3 - The interception may concern the record of data on the content of communications or aim only at the collection and record of traffic data, and the order referred to in the preceding paragraph shall specify the respective scope, according to the specific needs of the investigation.

4 - With regard to all matters which are not contrary to this article, the regime of interception and recording of telephone conversations or communications laid down in articles 187, 188 and 190 of the Criminal Procedure Code shall apply to the interception and record of transmissions of computer data.

Article 19

Undercover operations

1 – Undercover operations governed by Law number 101/2001, of 25 August, shall be permitted in the manner specified therein, in the course of the investigation of criminal offences:

a) Provided for herein; or

b) Committed by means of a computer system, to which correspond, in abstract, a term of imprisonment with a maximum band of over 5 years or, even where lower penalty has been provided for, and as regards intentional offences, those against freedom and sexual self-determination, in case victims are minors or incapacitated adults, qualified swindling, computer-related and communication forgery, racial, religious or sexual discrimination, economic and financial infringements, as well as criminal offences laid down in title IV of the Code of Copyright and Related Rights.

2 - Rules on interception of communications shall apply, as appropriate, where the resort to computer means and devices is required.

CHAPTER IV

International cooperation

Article 20

Scope of international cooperation

Competent national authorities shall cooperate with competent foreign authorities for the purposes of investigations or proceedings concerning criminal offences related to computer systems and data, or for the collection of electronic evidence of a criminal offence, according to rules on transfer of personal data provided for in Law number 67/98, of 26 October.

Article 21

International cooperation permanent point of contact

1 - For international cooperation purposes, in order to ensure the provision of immediate assistance for the purposes referred to in the preceding article, the Polícia Judiciária (Judicial Police) shall guarantee the maintenance of a structure ensuring a point of contact available on a twenty-four hour, seven-day-a-week basis.

2 - This point of contact may be contacted by other points of contact, pursuant to agreements, treaties or conventions to which Portugal is bound, or in compliance with international cooperation protocols signed with judicial or police bodies.

3 - The immediate assistance provided by this permanent point of contact includes:

a) The provision of technical advice to other points of contact;

b) The expedite preservation of data in situations of urgency or danger in delay, in compliance with the following article;

c) The collection of evidence for which it is incumbent in situations of urgency or danger in delay;

d) The locating of suspects and provision of legal information, in situations of urgency or danger in delay;

e) The immediate transfer to the Public Prosecution of requests on measures referred to in points b) and d), in cases other than those referred to therein, so that they may be quickly executed;

4 - When acting under points b) and d) of the preceding paragraph, the Polícia Judiciária shall immediately notify the Public Prosecution Office, submitting thereto the report provided for in article 253 of the Criminal Procedure Code.

Article 22

Expedited preservation and disclosure of computer data in international cooperation

1 - Portugal may be requested to obtain the expeditious preservation of data stored by means of a computer system, located within Portuguese territory, for criminal offences provided for in article 11, and in respect of which the requesting Party intends to submit a request for mutual assistance for the search, seizure or disclosure of the data.

2 - A request for preservation shall specify:

a) The authority seeking the preservation;

b) The offence that is the subject of a criminal investigation or proceedings and a brief summary of the related facts;

c) The computer data to be preserved and its relationship to the offence;

d) Any available information identifying the custodian of the computer data or the location of the computer system;

e) The necessity of the preservation; and

f) The intention to submit a request for mutual assistance for the search, seizure or disclosure of data.

3 - In order to execute the request from the competent foreign authority pursuant to the preceding paragraphs, the competent judicial authority shall order whoever holds or controls such data, namely the service provider, to preserve them.

4 - The preservation may also be ordered by the Polícia Judiciária, by means of an authorization from the competent judicial authority or where there is urgency or danger in delay, and in this case the provision in paragraph 4 of the preceding article shall apply.

5 - Under pain of being deemed null and void, the preservation order must indicate:

a) The nature of data;

b) Their origin and destination, if known; and

c) The period of time over which data must be preserved, up to three months.

6 - In compliance with the preservation order, whoever holds or controls such data, namely the service provider, shall promptly preserve the data under consideration for the specified period of time, protecting and maintaining their integrity.

7 - The competent judicial authority, or the Polícia Judiciária by mean of an authorization from the former, may order the renewal of the measure for periods subject to the limit provided for in paragraph 5 c), insofar as the respective conditions of admissibility are met, up to a maximum limit of one year.

8 - Upon receiving the request for assistance referred to in paragraph 1, the judicial authority with powers to decide on the matter shall determine the preservation of data until a final decision is taken on the request.

9 - Data preserved under this article shall only be provided:

a) To the competent judicial authority, to execute the request for assistance referred to in paragraph 1, as if a similar national situation were at stake, pursuant to articles 13 to 17;

b) To the national authority that issued the preservation order, as if a similar national situation were at stake, pursuant to article 13.

10 - The national authority which receives, pursuant to the preceding paragraph, a communication on traffic data to identify the service provider and the path through which the communication was transmitted, shall communicate them promptly to the requesting authority, to enable that authority to submit a new request for expedite preservation of computer data.

11 - Paragraphs 1 and 2 hereof apply, duly adapted, to requests made by Portuguese authorities.

Article 23

Grounds for refusal

1 - The request for expedite preservation or disclosure of computer data may be refused on the following grounds:

a) Computer data under consideration concern an offence which to Portuguese Law is deemed to be a political offence or an offence connected with a political offence;

b) The execution of the request is likely to prejudice the sovereignty, security, ordre public or other essential interests of the Portuguese Republic, defined as such in the Constitution;

c) The requesting State does not provide appropriate guarantees of protection of personal data.

2 - The request for expedite preservation of computer data may also be refused in cases where there are reasons to believe that the execution of the subsequent request for judicial assistance for purposes of search, seizure and disclosure of such data will be refused for lack of fulfilment of the dual criminality requirement.

Article 24

Access to computer data in international cooperation

1 - In execution of the request of the competent foreign authority, the competent judicial authority may undertake the search, seizure and disclosure of computer data stored in a computer system located within Portuguese territory, relatively to criminal offences provided for in article 11, in situations where the search and seizure are lawfully admitted in a similar national situation.

2 - The competent judicial authority shall act as quickly as possible where there are reasons to believe that computer data under consideration are particularly vulnerable to loss or modification, or where a swift cooperation is provided for in an applicable international instrument.

3 - Paragraph 1 hereof applies, duly adapted, to requests made by Portuguese judicial authorities.

Article 25

Trans-border access to stored computer data where publicly available or with consent

Competent foreign authorities, without the prior authorisation of Portuguese authorities, according to rules on transfer of personal data provided for in Law number 67/98, of 26 October, are entitled to:

a) Access computer data stored in a computer system located in Portugal, where publicly available;

b) Receive or access, through a computer system in their territory, stored computer data located in Portugal, by means of a lawful and voluntary consent of the person who has the lawful authority to disclose the data.

Article 26

Interception of communications in international cooperation

1 - In execution of the request of the competent foreign authority, the judge may authorize the interception of communications transmitted by means of a computer system located within the Portuguese territory, to the extent permitted under agreements, treaties or international conventions, and the situation is as such as to admit the interception, pursuant to article 18, if a similar national situation were at stake.

2 - The Polícia Judiciária shall be competent to receive requests for interception, and shall submit such requests to the Public Prosecution Office, which on its turn shall submit them for authorization to the examining judge at the District Court of Lisbon.

3 - The authorization order referred to in the preceding article shall also allow the prompt transmission of the communication to the requesting State, to the extent permitted under agreements, treaties or international conventions on the basis of which the request was made.

4 - Paragraph 1 hereof applies, duly adapted, to requests made by Portuguese judicial authorities.

CHAPTER V

Final and transitional provisions

Article 27

Territorial application of Portuguese criminal law and jurisdiction of Portuguese courts

1 - In addition to provisions in the Criminal Code on territorial application of Portuguese criminal law, and unless otherwise provided for in international treaties or conventions, for the purposes hereof, Portuguese criminal law shall also apply to facts:

a) Committed by Portuguese nationals, to whom criminal rules of any other State do not apply;

b) Committed to the advantage of legal persons with headquarters in Portuguese territory;

c) Physically committed in Portuguese territory, even if focusing on computer systems located abroad; or

d) Focusing on computer systems located on Portuguese territory, regardless of where the facts were physically committed.

2 - Where on the basis of the applicability of the Portuguese criminal law, both Portuguese courts and courts of another Member State of the European Union claim jurisdiction over a criminal offence established in accordance with this Law, and both courts may start or continue prosecution on the basis of the same facts, the competent judicial authority shall resort to bodies and mechanisms established within the European Union to facilitate cooperation between judicial authorities of Member States and coordination of respective actions, with a view to deciding which of the two States will start or continue prosecution against infringers, in order to centralise prosecution within only one of them.

3 - The decision to accept or to transfer jurisdiction shall be taken by the competent judicial authority, taking into consideration, in turn, the following elements:

a) The place where the infringement was committed;

b) The nationality of the infringer;

c) The place where the infringer was found.

4 - To criminal offences provided for herein shall apply general rules on court jurisdiction provided for in the Criminal Procedure Code.

5 - Where there is any doubt concerning court jurisdiction, namely where the place where the infringer acted does not correspond to the site of installation of the computer system concerned, jurisdiction shall lie with the court where facts were first reported.

Article 28

Applicable general regime

With regard to all matters which are not contrary hereto, to criminal offences, procedural measures and international cooperation in criminal matters provided for herein shall apply, respectively, the provisions of the Criminal Code, Criminal Procedure Code and Law number 144/99, of 31 August.

Article 29

Competence of the Polícia Judiciária for international cooperation

Powers granted to the Polícia Judiciária for the purpose of international cooperation shall be undertaken by the organisational unit responsible for the investigation of criminal offences provided for herein.

Article 30

Protection of personal data

The processing of personal data pursuant hereto shall comply with Law number 67/98, of 26 October, and in case of infringement, provisions in chapter VI thereof shall apply.

Article 31

Repealing provision

Law number 109/91, of 17 August, is hereby repealed.

Article 32

Entry into force

This law shall enter into force 30 days following its publication.

Approved in 23 July 2009.

The President of the Assembly of the Republic, Jaime Gama.

Promulgated on 29 August 2009.

Let it be published.

The President of the Republic, ANÍBAL CAVACO SILVA.

Counter-signed on 31 August 2009.

The Prime Minister, José Sócrates Carvalho Pinto de Sousa.

Diário da República, 1.ª série — N.º 179 — 15 de Setembro de 2009 6319

sobre os Privilégios e Imunidades da Organização para a Proibição das Armas Químicas, assinado na Haia em 5 de Julho de 2001, aprovado pela Resolução da Assembleia da República n.º 90/2009, em 23 de Julho de 2009.

Assinado em 31 de Agosto de 2009.

Publique-se.

O Presidente da República, ANÍBAL CAVACO SILVA.

Referendado em 9 de Setembro de 2009.

O Primeiro-Ministro, José Sócrates Carvalho Pinto de Sousa.

Decreto do Presidente da República n.º 94/2009 de 15 de Setembro

O Presidente da República decreta, nos termos do ar- tigo 135.º, alínea b), da Constituição, o seguinte:

É ratificado o Protocolo Adicional à Convenção sobre o Cibercrime Relativo à Incriminação de Actos de Natu- reza Racista e Xenófoba Praticados através de Sistemas Informáticos, adoptado em Estrasburgo em 28 de Janeiro de 2003, aprovado pela Resolução da Assembleia da Re- pública n.º 91/2009, em 10 de Julho de 2009.

Assinado em 31 de Agosto de 2009. Publique-se. O Presidente da República, ANÍBAL CAVACO SILVA. Referendado em 9 de Setembro de 2009. O Primeiro-Ministro, José Sócrates Carvalho Pinto

de Sousa.

ASSEMBLEIA DA REPÚBLICA

Lei n.º 109/2009 de 15 de Setembro

Aprova a Lei do Cibercrime, transpondo para a ordem jurídica interna a Decisão Quadro n.º 2005/222/JAI, do Conselho, de 24 de Fevereiro, relativa a ataques contra sistemas de informação, e adapta o direito interno à Convenção sobre Cibercrime do Conselho da Europa.

A Assembleia da República decreta, nos termos da alínea c) do artigo 161.º da Constituição, o seguinte:

CAPÍTULO I

Objecto e definições

Artigo 1.º Objecto

A presente lei estabelece as disposições penais mate- riais e processuais, bem como as disposições relativas à cooperação internacional em matéria penal, relativas ao domínio do cibercrime e da recolha de prova em suporte electrónico, transpondo para a ordem jurídica interna a Decisão Quadro n.º 2005/222/JAI, do Conselho, de 24 de Fevereiro, relativa a ataques contra sistemas de informação, e adaptando o direito interno à Convenção sobre Ciber- crime do Conselho da Europa.

Artigo 2.º Definições

Para efeitos da presente lei, considera-se:

a) «Sistema informático», qualquer dispositivo ou con- junto de dispositivos interligados ou associados, em que um ou mais de entre eles desenvolve, em execução de um programa, o tratamento automatizado de dados informáti- cos, bem como a rede que suporta a comunicação entre eles e o conjunto de dados informáticos armazenados, tratados, recuperados ou transmitidos por aquele ou aqueles dispo- sitivos, tendo em vista o seu funcionamento, utilização, protecção e manutenção;

b) «Dados informáticos», qualquer representação de factos, informações ou conceitos sob uma forma susceptí- vel de processamento num sistema informático, incluindo os programas aptos a fazerem um sistema informático executar uma função;

c) «Dados de tráfego», os dados informáticos relacio- nados com uma comunicação efectuada por meio de um sistema informático, gerados por este sistema como ele- mento de uma cadeia de comunicação, indicando a origem da comunicação, o destino, o trajecto, a hora, a data, o tamanho, a duração ou o tipo do serviço subjacente;

d) «Fornecedor de serviço», qualquer entidade, pública ou privada, que faculte aos utilizadores dos seus serviços a possibilidade de comunicar por meio de um sistema informático, bem como qualquer outra entidade que trate ou armazene dados informáticos em nome e por conta daquela entidade fornecedora de serviço ou dos respectivos utilizadores;

e) «Intercepção», o acto destinado a captar informações contidas num sistema informático, através de dispositivos electromagnéticos, acústicos, mecânicos ou outros;

f) «Topografia», uma série de imagens ligadas entre si, independentemente do modo como são fixadas ou codifi- cadas, que representam a configuração tridimensional das camadas que compõem um produto semicondutor e na qual cada imagem reproduz o desenho, ou parte dele, de uma superfície do produto semicondutor, independentemente da fase do respectivo fabrico;

g) «Produto semicondutor», a forma final ou intermédia de qualquer produto, composto por um substrato que inclua uma camada de material semicondutor e constituído por uma ou várias camadas de matérias condutoras, isolantes ou semicondutoras, segundo uma disposição conforme a uma configuração tridimensional e destinada a cumprir, exclusivamente ou não, uma função electrónica.

CAPÍTULO II

Disposições penais materiais

Artigo 3.º Falsidade informática

1 — Quem, com intenção de provocar engano nas re- lações jurídicas, introduzir, modificar, apagar ou suprimir dados informáticos ou por qualquer outra forma interferir num tratamento informático de dados, produzindo dados ou documentos não genuínos, com a intenção de que estes sejam considerados ou utilizados para finalidades juridi- camente relevantes como se o fossem, é punido com pena de prisão até 5 anos ou multa de 120 a 600 dias.

6320 Diário da República, 1.ª série—N.º 179—15 de Setembro de 2009

2 — Quando as acções descritas no número anterior incidirem sobre os dados registados ou incorporados em cartão bancário de pagamento ou em qualquer outro dis- positivo que permita o acesso a sistema ou meio de paga- mento, a sistema de comunicações ou a serviço de acesso condicionado, a pena é de 1 a 5 anos de prisão.

3 — Quem, actuando com intenção de causar prejuízo a outrem ou de obter um benefício ilegítimo, para si ou para terceiro, usar documento produzido a partir de dados informáticos que foram objecto dos actos referidos no n.º 1 ou cartão ou outro dispositivo no qual se encontrem regis- tados ou incorporados os dados objecto dos actos referidos no número anterior, é punido com as penas previstas num e noutro número, respectivamente.

4 — Quem importar, distribuir, vender ou detiver para fins comerciais qualquer dispositivo que permita o acesso a sistema ou meio de pagamento, a sistema de comuni- cações ou a serviço de acesso condicionado, sobre o qual tenha sido praticada qualquer das acções prevista no n.º 2, é punido com pena de prisão de 1 a 5 anos.

5 — Se os factos referidos nos números anteriores forem praticados por funcionário no exercício das suas funções, a pena é de prisão de 2 a 5 anos.

Artigo 4.º Dano relativo a programas ou outros dados informáticos

1 — Quem, sem permissão legal ou sem para tanto estar autorizado pelo proprietário, por outro titular do direito do sistema ou de parte dele, apagar, alterar, destruir, no todo ou em parte, danificar, suprimir ou tornar não utilizáveis ou não acessíveis programas ou outros dados informáticos alheios ou por qualquer forma lhes afectar a capacidade de uso, é punido com pena de prisão até 3 anos ou pena de multa.

2 — A tentativa é punível. 3 — Incorre na mesma pena do n.º 1 quem ilegitima-

mente produzir, vender, distribuir ou por qualquer outra forma disseminar ou introduzir num ou mais sistemas informáticos dispositivos, programas ou outros dados in- formáticos destinados a produzir as acções não autorizadas descritas nesse número.

4 — Se o dano causado for de valor elevado, a pena é de prisão até 5 anos ou de multa até 600 dias.

5 — Se o dano causado for de valor consideravelmente elevado, a pena é de prisão de 1 a 10 anos.

6 — Nos casos previstos nos n.os 1, 2 e 4 o procedimento penal depende de queixa.

Artigo 5.º Sabotagem informática

1 — Quem, sem permissão legal ou sem para tanto estar autorizado pelo proprietário, por outro titular do direito do sistema ou de parte dele, entravar, impedir, interromper ou perturbar gravemente o funcionamento de um sistema informático, através da introdução, transmissão, deterio- ração, danificação, alteração, apagamento, impedimento do acesso ou supressão de programas ou outros dados informáticos ou de qualquer outra forma de interferência em sistema informático, é punido com pena de prisão até 5 anos ou com pena de multa até 600 dias.

2 — Na mesma pena incorre quem ilegitimamente produzir, vender, distribuir ou por qualquer outra forma disseminar ou introduzir num ou mais sistemas informáti-

cos dispositivos, programas ou outros dados informáticos destinados a produzir as acções não autorizadas descritas no número anterior.

3 — Nos casos previstos no número anterior, a tentativa não é punível.

4 — A pena é de prisão de 1 a 5 anos se o dano emer- gente da perturbação for de valor elevado.

5 — A pena é de prisão de 1 a 10 anos se:

a) O dano emergente da perturbação for de valor con- sideravelmente elevado;

b) A perturbação causada atingir de forma grave ou du- radoura um sistema informático que apoie uma actividade destinada a assegurar funções sociais críticas, nomeada- mente as cadeias de abastecimento, a saúde, a segurança e o bem-estar económico das pessoas, ou o funcionamento regular dos serviços públicos.

Artigo 6.º Acesso ilegítimo

1 — Quem, sem permissão legal ou sem para tanto estar autorizado pelo proprietário, por outro titular do direito do sistema ou de parte dele, de qualquer modo aceder a um sistema informático, é punido com pena de prisão até 1 ano ou com pena de multa até 120 dias.

2 — Na mesma pena incorre quem ilegitimamente produzir, vender, distribuir ou por qualquer outra forma disseminar ou introduzir num ou mais sistemas informá- ticos dispositivos, programas, um conjunto executável de instruções, um código ou outros dados informáticos destinados a produzir as acções não autorizadas descritas no número anterior.

3 — A pena é de prisão até 3 anos ou multa se o acesso for conseguido através de violação de regras de segurança.

4 — A pena é de prisão de 1 a 5 anos quando:

a) Através do acesso, o agente tiver tomado conheci- mento de segredo comercial ou industrial ou de dados confidenciais, protegidos por lei; ou

b) O benefício ou vantagem patrimonial obtidos forem de valor consideravelmente elevado.

5 — A tentativa é punível, salvo nos casos previstos no n.º 2.

6 — Nos casos previstos nosn.os 1, 3 e 5 o procedimento penal depende de queixa.

Artigo 7.º Intercepção ilegítima

1 — Quem, sem permissão legal ou sem para tanto estar autorizado pelo proprietário, por outro titular do direito do sistema ou de parte dele, e através de meios técnicos, interceptar transmissões de dados informáticos que se processam no interior de um sistema informático, a ele destinadas ou dele provenientes, é punido com pena de prisão até 3 anos ou com pena de multa.

2 — A tentativa é punível. 3 — Incorre na mesma pena prevista no n.º 1 quem

ilegitimamente produzir, vender, distribuir ou por qual- quer outra forma disseminar ou introduzir num ou mais sistemas informáticos dispositivos, programas ou outros dados informáticos destinados a produzir as acções não autorizadas descritas no mesmo número.

Diário da República, 1.ª série — N.º 179 — 15 de Setembro de 2009 6321

Artigo 8.º Reprodução ilegítima de programa protegido

1 — Quem ilegitimamente reproduzir, divulgar ou co- municar ao público um programa informático protegido por lei é punido com pena de prisão até 3 anos ou com pena de multa.

2 — Na mesma pena incorre quem ilegitimamente re- produzir topografia de um produto semicondutor ou a explorar comercialmente ou importar, para estes fins, uma topografia ou um produto semicondutor fabricado a partir dessa topografia.

3 — A tentativa é punível.

Artigo 9.º Responsabilidade penal das pessoas colectivas

e entidades equiparadas

As pessoas colectivas e entidades equiparadas são pe- nalmente responsáveis pelos crimes previstos na presente lei nos termos e limites do regime de responsabilização previsto no Código Penal.

Artigo 10.º Perda de bens

1 — O tribunal pode decretar a perda a favor do Estado dos objectos, materiais, equipamentos ou dispositivos que tiverem servido para a prática dos crimes previstos na pre- sente lei e pertencerem a pessoa que tenha sido condenada pela sua prática.

2 — À avaliação, utilização, alienação e indemniza- ção de bens apreendidos pelos órgãos de polícia criminal que sejam susceptíveis de vir a ser declarados perdidos a favor do Estado é aplicável o disposto no Decreto-Lei n.º 11/2007, de 19 de Janeiro.

CAPÍTULO III

Disposições processuais

Artigo 11.º Âmbito de aplicação das disposições processuais

1 — Com excepção do disposto nos artigos 18.º e 19.º, as disposições processuais previstas no presente capítulo aplicam-se a processos relativos a crimes:

a) Previstos na presente lei; b) Cometidos por meio de um sistema informático; ou c) Em relação aos quais seja necessário proceder à re-

colha de prova em suporte electrónico.

2 — As disposições processuais previstas no presente capítulo não prejudicam o regime da Lei n.º 32/2008, de 17 de Julho.

Artigo 12.º Preservação expedita de dados

1 — Se no decurso do processo for necessário à produ- ção de prova, tendo em vista a descoberta da verdade, obter dados informáticos específicos armazenados num sistema informático, incluindo dados de tráfego, em relação aos quais haja receio de que possam perder-se, alterar-se ou deixar de estar disponíveis, a autoridade judiciária com-

petente ordena a quem tenha disponibilidade ou controlo desses dados, designadamente a fornecedor de serviço, que preserve os dados em causa.

2 — A preservação pode também ser ordenada pelo ór- gão de polícia criminal mediante autorização da autoridade judiciária competente ou quando haja urgência ou perigo na demora, devendo aquele, neste último caso, dar notícia imediata do facto à autoridade judiciária e transmitir-lhe o relatório previsto no artigo 253.º do Código de Processo Penal.

3 — A ordem de preservação discrimina, sob pena de nulidade:

a) A natureza dos dados; b) A sua origem e destino, se forem conhecidos; e c) O período de tempo pelo qual deverão ser preserva-

dos, até um máximo de três meses.

4 — Em cumprimento de ordem de preservação que lhe seja dirigida, quem tenha disponibilidade ou controlo sobre esses dados, designadamente o fornecedor de ser- viço, preserva de imediato os dados em causa, protegendo e conservando a sua integridade pelo tempo fixado, de modo a permitir à autoridade judiciária competente a sua obtenção, e fica obrigado a assegurar a confidencialidade da aplicação da medida processual.

5 — A autoridade judiciária competente pode ordenar a renovação da medida por períodos sujeitos ao limite previsto na alínea c) do n.º 3, desde que se verifiquem os respectivos requisitos de admissibilidade, até ao limite máximo de um ano.

Artigo 13.º Revelação expedita de dados de tráfego

Tendo em vista assegurar a preservação dos dados de tráfego relativos a uma determinada comunicação, inde- pendentemente do número de fornecedores de serviço que nela participaram, o fornecedor de serviço a quem essa preservação tenha sido ordenada nos termos do arti- go anterior indica à autoridade judiciária ou ao órgão de polícia criminal, logo que o souber, outros fornecedores de serviço através dos quais aquela comunicação tenha sido efectuada, tendo em vista permitir identificar todos os fornecedores de serviço e a via através da qual aquela comunicação foi efectuada.

Artigo 14.º Injunção para apresentação ou concessão do acesso a dados

1 — Se no decurso do processo se tornar necessário à produção de prova, tendo em vista a descoberta da ver- dade, obter dados informáticos específicos e determinados, armazenados num determinado sistema informático, a autoridade judiciária competente ordena a quem tenha disponibilidade ou controlo desses dados que os comunique ao processo ou que permita o acesso aos mesmos, sob pena de punição por desobediência.

2 — A ordem referida no número anterior identifica os dados em causa.

3 — Em cumprimento da ordem descrita nos n.os 1 e 2, quem tenha disponibilidade ou controlo desses dados co- munica esses dados à autoridade judiciária competente ou permite, sob pena de punição por desobediência, o acesso ao sistema informático onde os mesmos estão ar- mazenados.

6322 Diário da República, 1.ª série—N.º 179—15 de Setembro de 2009

4 — O disposto no presente artigo é aplicável a for- necedores de serviço, a quem pode ser ordenado que co- muniquem ao processo dados relativos aos seus clientes ou assinantes, neles se incluindo qualquer informação diferente dos dados relativos ao tráfego ou ao conteúdo, contida sob a forma de dados informáticos ou sob qualquer outra forma, detida pelo fornecedor de serviços, e que permita determinar:

a) O tipo de serviço de comunicação utilizado, as medi- das técnicas tomadas a esse respeito e o período de serviço;

b) A identidade, a morada postal ou geográfica e o nú- mero de telefone do assinante, e qualquer outro número de acesso, os dados respeitantes à facturação e ao pagamento, disponíveis com base num contrato ou acordo de serviços; ou

c) Qualquer outra informação sobre a localização do equipamento de comunicação, disponível com base num contrato ou acordo de serviços.

5 — A injunção prevista no presente artigo não pode ser dirigida a suspeito ou arguido nesse processo.

6 — Não pode igualmente fazer-se uso da injunção pre- vista neste artigo quanto a sistemas informáticos utilizados para o exercício da advocacia, das actividades médica e bancária e da profissão de jornalista.

7 — O regime de segredo profissional ou de funcio- nário e de segredo de Estado previsto no artigo 182.º do Código de Processo Penal é aplicável com as necessárias adaptações.

Artigo 15.º Pesquisa de dados informáticos

1 — Quando no decurso do processo se tornar neces- sário à produção de prova, tendo em vista a descoberta da verdade, obter dados informáticos específicos e determina- dos, armazenados num determinado sistema informático, a autoridade judiciária competente autoriza ou ordena por despacho que se proceda a uma pesquisa nesse sis- tema informático, devendo, sempre que possível, presidir à diligência.

2 — O despacho previsto no número anterior tem um prazo de validade máximo de 30 dias, sob pena de nuli- dade.

3 — O órgão de polícia criminal pode proceder à pes- quisa, sem prévia autorização da autoridade judiciária, quando:

a) A mesma for voluntariamente consentida por quem tiver a disponibilidade ou controlo desses dados, desde que o consentimento prestado fique, por qualquer forma, documentado;

b) Nos casos de terrorismo, criminalidade violenta ou altamente organizada, quando haja fundados indícios da prática iminente de crime que ponha em grave risco a vida ou a integridade de qualquer pessoa.

4 — Quando o órgão de polícia criminal proceder à pesquisa nos termos do número anterior:

a) No caso previsto na alínea b), a realização da diligên- cia é, sob pena de nulidade, imediatamente comunicada à autoridade judiciária competente e por esta apreciada em ordem à sua validação;

b) Em qualquer caso, é elaborado e remetido à auto- ridade judiciária competente o relatório previsto no ar- tigo 253.º do Código de Processo Penal.

5 — Quando, no decurso de pesquisa, surgirem razões para crer que os dados procurados se encontram noutro sis- tema informático, ou numa parte diferente do sistema pes- quisado, mas que tais dados são legitimamente acessíveis a partir do sistema inicial, a pesquisa pode ser estendida mediante autorização ou ordem da autoridade competente, nos termos dos n.os 1 e 2.

6 — À pesquisa a que se refere este artigo são aplicá- veis, com as necessárias adaptações, as regras de execução das buscas previstas no Código de Processo Penal e no Estatuto do Jornalista.

Artigo 16.º Apreensão de dados informáticos

1 — Quando, no decurso de uma pesquisa informática ou de outro acesso legítimo a um sistema informático, forem encontrados dados ou documentos informáticos ne- cessários à produção de prova, tendo em vista a descoberta da verdade, a autoridade judiciária competente autoriza ou ordena por despacho a apreensão dos mesmos.

2 — O órgão de polícia criminal pode efectuar apreen- sões, sem prévia autorização da autoridade judiciária, no decurso de pesquisa informática legitimamente ordenada e executada nos termos do artigo anterior, bem como quando haja urgência ou perigo na demora.

3 — Caso sejam apreendidos dados ou documentos informáticos cujo conteúdo seja susceptível de revelar dados pessoais ou íntimos, que possam pôr em causa a privacidade do respectivo titular ou de terceiro, sob pena de nulidade esses dados ou documentos são apresentados ao juiz, que ponderará a sua junção aos autos tendo em conta os interesses do caso concreto.

4 — As apreensões efectuadas por órgão de polícia criminal são sempre sujeitas a validação pela autoridade judiciária, no prazo máximo de 72 horas.

5 — As apreensões relativas a sistemas informáticos utilizados para o exercício da advocacia e das activida- des médica e bancária estão sujeitas, com as necessárias adaptações, às regras e formalidades previstas no Código de Processo Penal e as relativas a sistemas informáticos utilizados para o exercício da profissão de jornalista estão sujeitas, com as necessárias adaptações, às regras e forma- lidades previstas no Estatuto do Jornalista.

6 — O regime de segredo profissional ou de funcio- nário e de segredo de Estado previsto no artigo 182.º do Código de Processo Penal é aplicável com as necessárias adaptações.

7 — A apreensão de dados informáticos, consoante seja mais adequado e proporcional, tendo em conta os interesses do caso concreto, pode, nomeadamente, revestir as formas seguintes:

a) Apreensão do suporte onde está instalado o sistema ou apreensão do suporte onde estão armazenados os dados informáticos, bem como dos dispositivos necessários à respectiva leitura;

b) Realização de uma cópia dos dados, em suporte au- tónomo, que será junto ao processo;

c) Preservação, por meios tecnológicos, da integridade dos dados, sem realização de cópia nem remoção dos mes- mos; ou

d) Eliminação não reversível ou bloqueio do acesso aos dados.

Diário da República, 1.ª série — N.º 179 — 15 de Setembro de 2009 6323

8 — No caso da apreensão efectuada nos termos da alínea b) do número anterior, a cópia é efectuada em dupli- cado, sendo uma das cópias selada e confiada ao secretário judicial dos serviços onde o processo correr os seus termos e, se tal for tecnicamente possível, os dados apreendidos são certificados por meio de assinatura digital.

Artigo 17.º Apreensão de correio electrónico e registos de comunicações de natureza semelhante

Quando, no decurso de uma pesquisa informática ou outro acesso legítimo a um sistema informático, forem encontrados, armazenados nesse sistema informático ou noutro a que seja permitido o acesso legítimo a partir do primeiro, mensagens de correio electrónico ou registos de comunicações de natureza semelhante, o juiz pode auto- rizar ou ordenar, por despacho, a apreensão daqueles que se afigurem ser de grande interesse para a descoberta da verdade ou para a prova, aplicando-se correspondente- mente o regime da apreensão de correspondência previsto no Código de Processo Penal.

Artigo 18.º Intercepção de comunicações

1 — É admissível o recurso à intercepção de comuni- cações em processos relativos a crimes:

a) Previstos na presente lei; ou b) Cometidos por meio de um sistema informático ou

em relação aos quais seja necessário proceder à recolha de prova em suporte electrónico, quando tais crimes se encontrem previstos no artigo 187.º do Código de Pro- cesso Penal.

2 — A intercepção e o registo de transmissões de dados informáticos só podem ser autorizados durante o inquérito, se houver razões para crer que a diligência é indispensá- vel para a descoberta da verdade ou que a prova seria, de outra forma, impossível ou muito difícil de obter, por despacho fundamentado do juiz de instrução e mediante requerimento do Ministério Público.

3 — A intercepção pode destinar-se ao registo de dados relativos ao conteúdo das comunicações ou visar apenas a recolha e registo de dados de tráfego, devendo o despa- cho referido no número anterior especificar o respectivo âmbito, de acordo com as necessidades concretas da in- vestigação.

4 — Em tudo o que não for contrariado pelo presente artigo, à intercepção e registo de transmissões de dados informáticos é aplicável o regime da intercepção e gravação de conversações ou comunicações telefónicas constante dos artigos 187.º, 188.º e 190.º do Código de Processo Penal.

Artigo 19.º Acções encobertas

1 — É admissível o recurso às acções encobertas pre- vistas na Lei n.º 101/2001, de 25 de Agosto, nos termos aí previstos, no decurso de inquérito relativo aos seguintes crimes:

a) Os previstos na presente lei; b) Os cometidos por meio de um sistema informático,

quando lhes corresponda, em abstracto, pena de prisão

de máximo superior a 5 anos ou, ainda que a pena seja inferior, e sendo dolosos, os crimes contra a liberdade e autodeterminação sexual nos casos em que os ofendidos sejam menores ou incapazes, a burla qualificada, a burla informática e nas comunicações, a discriminação racial, religiosa ou sexual, as infracções económico-financeiras, bem como os crimes consagrados no título IV do Código do Direito de Autor e dos Direitos Conexos.

2 — Sendo necessário o recurso a meios e dispositi- vos informáticos observam-se, naquilo que for aplicável, as regras previstas para a intercepção de comunicações.

CAPÍTULO IV

Cooperação internacional

Artigo 20.º Âmbito da cooperação internacional

As autoridades nacionais competentes cooperam com as autoridades estrangeiras competentes para efeitos de investigações ou procedimentos respeitantes a crimes rela- cionados com sistemas ou dados informáticos, bem como para efeitos de recolha de prova, em suporte electrónico, de um crime, de acordo com as normas sobre transferên- cia de dados pessoais previstas na Lei n.º 67/98, de 26 de Outubro.

Artigo 21.º Ponto de contacto permanente

para a cooperação internacional

1 — Para fins de cooperação internacional, tendo em vista a prestação de assistência imediata para os efeitos referidos no artigo anterior, a Polícia Judiciária assegura a manutenção de uma estrutura que garante um ponto de contacto disponível em permanência, vinte e quatro horas por dia, sete dias por semana.

2 — Este ponto de contacto pode ser contactado por outros pontos de contacto, nos termos de acordos, tratados ou convenções a que Portugal se encontre vinculado, ou em cumprimento de protocolos de cooperação internacional com organismos judiciários ou policiais.

3 — A assistência imediata prestada por este ponto de contacto permanente inclui:

a) A prestação de aconselhamento técnico a outros pon- tos de contacto;

b) A preservação expedita de dados nos casos de urgên- cia ou perigo na demora, em conformidade com o disposto no artigo seguinte;

c) A recolha de prova para a qual seja competente nos casos de urgência ou perigo na demora;

d) A localização de suspeitos e a prestação de informa- ções de carácter jurídico, nos casos de urgência ou perigo na demora;

e) A transmissão imediata ao Ministério Público de pedidos relativos às medidas referidas nas alíneas b) a d), fora dos casos aí previstos, tendo em vista a sua rápida execução.

4 — Sempre que actue ao abrigo das alíneas b) a d) do número anterior, a Polícia Judiciária dá notícia imediata do facto ao Ministério Público e remete-lhe o relatório previsto no artigo 253.º do Código de Processo Penal.

6324 Diário da República, 1.ª série—N.º 179—15 de Setembro de 2009

Artigo 22.º Preservação e revelação expeditas de dados informáticos

em cooperação internacional

1 — Pode ser solicitada a Portugal a preservação ex- pedita de dados informáticos armazenados em sistema informático aqui localizado, relativos a crimes previstos no artigo 11.º, com vista à apresentação de um pedido de auxílio judiciário para fins de pesquisa, apreensão e divulgação dos mesmos.

2 — A solicitação especifica: a) A autoridade que pede a preservação; b) A infracção que é objecto de investigação ou pro-

cedimento criminal, bem como uma breve exposição dos factos relacionados;

c) Os dados informáticos a conservar e a sua relação com a infracção;

d) Todas as informações disponíveis que permitam identificar o responsável pelos dados informáticos ou a localização do sistema informático;

e) A necessidade da medida de preservação; e f) A intenção de apresentação de um pedido de auxílio

judiciário para fins de pesquisa, apreensão e divulgação dos dados.

3 — Em execução de solicitação de autoridade estran- geira competente nos termos dos números anteriores, a autoridade judiciária competente ordena a quem tenha disponibilidade ou controlo desses dados, designadamente a fornecedor de serviço, que os preserve.

4 — A preservação pode também ser ordenada pela Polícia Judiciária mediante autorização da autoridade ju- diciária competente ou quando haja urgência ou perigo na demora, sendo aplicável, neste último caso, o disposto no n.º 4 do artigo anterior.

5 — A ordem de preservação especifica, sob pena de nulidade:

a) A natureza dos dados; b) Se forem conhecidos, a origem e o destino dos mes-

mos; e c) O período de tempo pelo qual os dados devem ser

preservados, até um máximo de três meses.

6 — Em cumprimento de ordem de preservação que lhe seja dirigida, quem tem disponibilidade ou controlo desses dados, designadamente o fornecedor de serviço, preserva de imediato os dados em causa pelo período de tempo especificado, protegendo e conservando a sua integridade.

7 — A autoridade judiciária competente, ou a Polícia Judiciária mediante autorização daquela autoridade, podem ordenar a renovação da medida por períodos sujeitos ao limite previsto na alínea c) do n.º 5, desde que se verifi- quem os respectivos requisitos de admissibilidade, até ao limite máximo de um ano.

8 — Quando seja apresentado o pedido de auxílio refe- rido no n.º 1, a autoridade judiciária competente para dele decidir determina a preservação dos dados até à adopção de uma decisão final sobre o pedido.

9 — Os dados preservados ao abrigo do presente arti- go apenas podem ser fornecidos:

a) À autoridade judiciária competente, em execução do pedido de auxílio referido no n.º 1, nos mesmos termos em que poderiam sê-lo, em caso nacional semelhante, ao abrigo dos artigos 13.º a 17.º;

b) À autoridade nacional que emitiu a ordem de pre- servação, nos mesmos termos em que poderiam sê-lo, em caso nacional semelhante, ao abrigo do artigo 13.º

10 — A autoridade nacional à qual, nos termos do número anterior, sejam comunicados dados de tráfego identificadores de fornecedor de serviço e da via através dos quais a comunicação foi efectuada, comunica-os ra- pidamente à autoridade requerente, por forma a permitir a essa autoridade a apresentação de nova solicitação de preservação expedita de dados informáticos.

11 — O disposto nos n.os 1 e 2 aplica-se, com as devi- das adaptações, aos pedidos formulados pelas autoridades portuguesas.

Artigo 23.º Motivos de recusa

1 — A solicitação de preservação ou revelação expeditas de dados informáticos é recusada quando:

a) Os dados informáticos em causa respeitarem a in- fracção de natureza política ou infracção conexa segundo as concepções do direito português;

b) Atentar contra a soberania, segurança, ordem pública ou outros interesses da República Portuguesa, constitucio- nalmente definidos;

c) O Estado terceiro requisitante não oferecer garantias adequadas de protecção dos dados pessoais.

2 — A solicitação de preservação expedita de dados informáticos pode ainda ser recusada quando houver fun- dadas razões para crer que a execução de pedido de auxílio judiciário subsequente para fins de pesquisa, apreensão e divulgação de tais dados será recusado por ausência de verificação do requisito da dupla incriminação.

Artigo 24.º Acesso a dados informáticos em cooperação internacional

1 — Em execução de pedido de autoridade estrangeira competente, a autoridade judiciária competente pode pro- ceder à pesquisa, apreensão e divulgação de dados infor- máticos armazenados em sistema informático localizado em Portugal, relativos a crimes previstos no artigo 11.º, quando se trata de situação em que a pesquisa e apreensão são admissíveis em caso nacional semelhante.

2 — A autoridade judiciária competente procede com a maior rapidez possível quando existam razões para crer que os dados informáticos em causa são especialmente vulnerá- veis à perda ou modificação ou quando a cooperação rápida se encontre prevista em instrumento internacional aplicável.

3 — O disposto no n.º 1 aplica-se, com as devidas adap- tações, aos pedidos formulados pelas autoridades judici- árias portuguesas.

Artigo 25.º Acesso transfronteiriço a dados informáticos armazenados quando publicamente disponíveis ou com consentimento

As autoridades estrangeiras competentes, sem neces- sidade de pedido prévio às autoridades portuguesas, de acordo com as normas sobre transferência de dados pes- soais previstas na Lei n.º 67/98, de 26 de Outubro, podem:

a) Aceder a dados informáticos armazenados em sistema informático localizado em Portugal, quando publicamente disponíveis;

Diário da República, 1.ª série — N.º 179 — 15 de Setembro de 2009 6325

b) Receber ou aceder, através de sistema informático localizado no seu território, a dados informáticos armaze- nados em Portugal, mediante consentimento legal e volun- tário de pessoa legalmente autorizada a divulgá-los.

Artigo 26.º Intercepção de comunicações em cooperação internacional

1 — Em execução de pedido da autoridade estrangeira competente, pode ser autorizada pelo juiz a intercepção de transmissões de dados informáticos realizadas por via de um sistema informático localizado em Portugal, desde que tal esteja previsto em acordo, tratado ou convenção internacional e se trate de situação em que tal intercepção seja admissível, nos termos do artigo 18.º, em caso nacional semelhante.

2 — É competente para a recepção dos pedidos de in- tercepção a Polícia Judiciária, que os apresentará ao Mi- nistério Público, para que os apresente ao juiz de instrução criminal da comarca de Lisboa para autorização.

3 — O despacho de autorização referido no artigo ante- rior permite também a transmissão imediata da comunica- ção para o Estado requerente, se tal procedimento estiver previsto no acordo, tratado ou convenção internacional com base no qual é feito o pedido.

4 — O disposto no n.º 1 aplica-se, com as devidas adaptações, aos pedidos formulados pelas autoridades judiciárias portuguesas.

CAPÍTULO V

Disposições finais e transitórias

Artigo 27.º Aplicação no espaço da lei penal portuguesa

e competência dos tribunais portugueses

1 — Para além do disposto no Código Penal em ma- téria de aplicação no espaço da lei penal portuguesa, e salvo tratado ou convenção internacional em contrário, para efeitos da presente lei, a lei penal portuguesa é ainda aplicável a factos:

a) Praticados por Portugueses, se aos mesmos não for aplicável a lei penal de nenhum outro Estado;

b) Cometidos em benefício de pessoas colectivas com sede em território português;

c) Fisicamente praticados em território português, ainda que visem sistemas informáticos localizados fora desse território; ou

d) Que visem sistemas informáticos localizados em território português, independentemente do local onde esses factos forem fisicamente praticados.

2 — Se, em função da aplicabilidade da lei penal portu- guesa, forem simultaneamente competentes para conhecer de um dos crimes previstos na presente lei os tribunais por- tugueses e os tribunais de outro Estado membro da União Europeia, podendo em qualquer um deles ser validamente instaurado ou prosseguido o procedimento penal com base nos mesmos factos, a autoridade judiciária competente re- corre aos órgãos e mecanismos instituídos no seio da União Europeia para facilitar a cooperação entre as autoridades judiciárias dos Estados membros e a coordenação das res- pectivas acções, por forma a decidir qual dos dois Estados instaura ou prossegue o procedimento contra os agentes da infracção, tendo em vista centralizá-lo num só deles.

3 — A decisão de aceitação ou transmissão do proce- dimento é tomada pela autoridade judiciária competente, tendo em conta, sucessivamente, os seguintes elementos:

a) O local onde foi praticada a infracção; b) A nacionalidade do autor dos factos; e c) O local onde o autor dos factos foi encontrado.

4 — São aplicáveis aos crimes previstos na presente lei as regras gerais de competência dos tribunais previstas no Código de Processo Penal.

5 — Em caso de dúvida quanto ao tribunal territorial- mente competente, designadamente por não coincidirem o local onde fisicamente o agente actuou e o local onde está fisicamente instalado o sistema informático visado com a sua actuação, a competência cabe ao tribunal onde primeiro tiver havido notícia dos factos.

Artigo 28.º Regime geral aplicável

Em tudo o que não contrarie o disposto na presente lei, aplicam-se aos crimes, às medidas processuais e à coope- ração internacional em matéria penal nela previstos, res- pectivamente, as disposições do Código Penal, do Código de Processo Penal e da Lei n.º 144/99, de 31 de Agosto.

Artigo 29.º Competência da Polícia Judiciária para a cooperação internacional

A competência atribuída pela presente lei à Polícia Judi- ciária para efeitos de cooperação internacional é desempe- nhada pela unidade orgânica a quem se encontra cometida a investigação dos crimes previstos na presente lei.

Artigo 30.º Protecção de dados pessoais

O tratamento de dados pessoais ao abrigo da presente lei efectua-se de acordo com o disposto na Lei n.º 67/98, de 26 de Outubro, sendo aplicável, em caso de violação, o disposto no respectivo capítulo VI.

Artigo 31.º Norma revogatória

É revogada a Lei n.º 109/91, de 17 de Agosto.

Artigo 32.º Entrada em vigor

A presente lei entra em vigor 30 dias após a sua pu- blicação.

Aprovada em 23 de Julho de 2009.

O Presidente da Assembleia da República, Jaime Gama.

Promulgada em 29 de Agosto de 2009.

Publique-se.

O Presidente da República, ANÍBAL CAVACO SILVA.

Referendada em 31 de Agosto de 2009.

O Primeiro-Ministro, José Sócrates Carvalho Pinto de Sousa.


Historical Versions Repeals (1 text(s)) Repeals (1 text(s))
No data available.

WIPO Lex No. PT089