Meticulosos com o que é. Inconformistas com o que pode vir a ser.
Conheça a equipaSubscreva a newsletter PLMJ para receber informação, alertas e novidades sobre as suas áreas e setores de interesse.
Procuramos pessoas que vão mais longe, que enfrentam o futuro com confiança.
Meticulosos com o que é. Inconformistas com o que pode vir a ser.
Conheça a equipaSubscreva a newsletter PLMJ para receber informação, alertas e novidades sobre as suas áreas e setores de interesse.
Procuramos pessoas que vão mais longe, que enfrentam o futuro com confiança.
Atuação fiscalizadora da APD, desafios para as organizações e boas práticas a considerar
Introdução
O quadro legal angolano aplicável à proteção de dados pessoais vigora desde 2011, com a publicação da Lei de Proteção de Dados (Lei n.º 22/11, de 17 de Junho – “LPDP”) e da Lei das Comunicações Eletrónicas e dos Serviços da Sociedade da Informação (Lei n.º 23/11, de 20 de Junho – “LCE”).
De modo geral, a LPDP detalha aspetos relacionados com a proteção de dados pessoais, componente essencial do direito fundamental à privacidade, conforme expresso no número 2 do artigo 32.º da Constituição da República de Angola. A LCE atua num âmbito específico, complementando ou sobrepondo-se às disposições da LPDP, dependendo do contexto, especialmente no tratamento de dados pessoais associados à oferta e utilização de redes e serviços de comunicações eletrónicas e serviços da sociedade da informação, como o comércio eletrónico ou serviços de localização.
Paralelamente à entrada em vigor da LPDP, foi projetada a implementação da Agência Angolana de Proteção de Dados (“APD”), com a missão de fiscalizar o cumprimento das disposições legais em matéria de proteção de dados, emitindo recomendações, orientações e instruções sobre as melhores práticas no tratamento de dados pessoais.
A APD foi formalmente constituída em 2016 e, nos últimos anos, intensificou a sua atuação na supervisão e fiscalização junto das entidades responsáveis pelo tratamento de dados pessoais. A APD também atua junto da sociedade civil, divulgando informações sobre os direitos dos titulares de dados pessoais.
Actuação Fiscalizadora da APD
Recentemente, a APD adotou várias decisões importantes, impondo sanções a várias empresas no mercado angolano por graves violações da LPDP.
Em Junho e Julho de 2024, a APD divulgou na sua página de internet a aplicação de sanções a cinco empresas de diversos setores, após investigações que concluíram pela existência de violações da LPDP, nomeadamente:
As multas aplicadas pela APD evidenciam a importância crítica de as organizações assegurarem a privacidade dos cidadãos e mitigarem impactos que possam comprometer a sua continuidade operacional.
O Nível de Exigência da LPDP para assegurar a Proteção de Direitos Fundamentais
A LPDP estabelece um quadro legal exigente em matéria de obrigações para as entidades que tratam dados pessoais, utilizando meios total ou parcialmente automatizados ou destinados a ser incluídos em ficheiros manuais.
Essas obrigações visam garantir o respeito pelos direitos e garantias, exigindo a implementação de medidas técnicas e organizacionais robustas. O incumprimento destas obrigações pode resultar em incidentes de segurança (como violação de dados) e consequente aplicação de multas pela APD.
As recentes multas aplicadas pela APD sinalizam a relevância de as organizações adotarem medidas para assegurar o cumprimento da LPDP. O legislador nacional estabeleceu multas avultadas para incentivar a proatividade na implementação de medidas de proteção de dados.
Além disso, a implementação das medidas previstas na LPDP fomenta uma cultura de privacidade, elemento cada vez mais relevante para a reputação das entidades públicas e privadas.
Na conceção dos sistemas de informação, é fundamental que as entidades:
Organizacionalmente, as entidades devem realizar um levantamento exaustivo das atividades de tratamento de dados pessoais, essencial para notificar a APD dessas atividades e conceber políticas de privacidade claras. Essas políticas devem descrever as medidas organizacionais aplicáveis ao acesso e manuseamento dos dados.
É igualmente importante destacar que a lista de medidas organizacionais acima referida não é exaustiva. Outras medidas incluem a conscientização e formação de todos os colaboradores envolvidos em atividades de tratamento de dados pessoais, a realização de avaliações de impacto sobre a proteção de dados e auditorias regulares para assegurar o contínuo cumprimento da legislação aplicável.
A proteção dos dados não pode ser dissociada da ciber-segurança. Como tal, as medidas organizacionais devem incluir políticas de ciber-segurança que abordem matérias como o acesso a redes e sistemas de informação, e utilização de aplicativos e equipamentos informáticos pelos funcionários das organizações.
É ainda essencial que as organizações disponham de planos de resposta a incidentes (disaster recovery e business continuity) para rápida identificação e mitigação do impacto de violações de dados, implementando salvaguardas e recuperação da informação para garantir a continuidade operacional.
Conclusão
A intensificação da ação fiscalizadora da APD quanto ao cumprimento do quadro legal de proteção de dados exige que as organizações se dediquem cada vez mais a temas de compliance em matéria de dados pessoais e dotem as suas infraestruturas de TI com mecanismos que assegurem uma operação contínua, sem comprometer a sua reputação e credibilidade.
A conformidade com a LPDP não é apenas uma exigência legal, mas uma pedra angular da governança corporativa responsável num mundo interconectado. A compreensão e implementação adequadas dos requisitos da LPDP são cruciais para mitigar riscos de ciber-segurança e fomentar a confiança na economia digital, fundamental para a dinamização do tecido empresarial de qualquer nação.