Nota Informativa

Angola | Dados Pessoais e Ciber-segurança em Angola

10/08/2024

Atuação fiscalizadora da APD, desafios para as organizações e boas práticas a considerar

Sócia
Renata Valenti
Consultora Sénior
Nádia da Costa Ribeiro
LPDP detalha aspetos relacionados à proteção de dados pessoais, componente essencial do direito fundamental à privacidade, conforme expresso no número 2 do artigo 32.º da Constituição da República de Angola.

Introdução

O quadro legal angolano aplicável à proteção de dados pessoais vigora desde 2011, com a publicação da Lei de Proteção de Dados (Lei n.º 22/11, de 17 de Junho – “LPDP”) e da Lei das Comunicações Eletrónicas e dos Serviços da Sociedade da Informação (Lei n.º 23/11, de 20 de Junho – “LCE”).

De modo geral, a LPDP detalha aspetos relacionados com a proteção de dados pessoais, componente essencial do direito fundamental à privacidade, conforme expresso no número 2 do artigo 32.º da Constituição da República de Angola. A LCE atua num âmbito específico, complementando ou sobrepondo-se às disposições da LPDP, dependendo do contexto, especialmente no tratamento de dados pessoais associados à oferta e utilização de redes e serviços de comunicações eletrónicas e serviços da sociedade da informação, como o comércio eletrónico ou serviços de localização.

Paralelamente à entrada em vigor da LPDP, foi projetada a implementação da Agência Angolana de Proteção de Dados (“APD”), com a missão de fiscalizar o cumprimento das disposições legais em matéria de proteção de dados, emitindo recomendações, orientações e instruções sobre as melhores práticas no tratamento de dados pessoais.

A APD foi formalmente constituída em 2016 e, nos últimos anos, intensificou a sua atuação na supervisão e fiscalização junto das entidades responsáveis pelo tratamento de dados pessoais. A APD também atua junto da sociedade civil, divulgando informações sobre os direitos dos titulares de dados pessoais.

Actuação Fiscalizadora da APD

Recentemente, a APD adotou várias decisões importantes, impondo sanções a várias empresas no mercado angolano por graves violações da LPDP.
Em Junho e Julho de 2024, a APD divulgou na sua página de internet a aplicação de sanções a cinco empresas de diversos setores, após investigações que concluíram pela existência de violações da LPDP, nomeadamente:

  • MAXAM – Companhia de Pólvoras e Explosivos de Angola, S.A.: Multada em USD 150.000,00 por transferência ilegal de dados pessoais para o Reino Unido e por não notificar a APD sobre atividades de tratamento de dados pessoais dos seus trabalhadores.
  • BANCO COMERCIAL DO HUAMBO (BCH): Multado em USD 75.000,00 por não implementar medidas técnicas e organizacionais adequadas para proteger dados dos clientes, o que, por sua vez, resultou num ataque de ciber-segurança que comprometeu os sistemas de informação do BCH.
  • UNITEL, S.A.: Multada em USD 75.000,00 por não implementar medidas de segurança adequadas, permitindo a transferência fraudulenta de dados pessoais de uma cidadã para entidades terceiras.
  • COSAL – Comércio e Serviços de Angola, Lda.: Multada em USD 75.000,00 por implementar medidas de ciber-segurança inadequadas, que deram azo a que a infraestrutura de IT da sociedade fosse permeável a um ataque de ransomware que comprometeu dados de clientes e trabalhadores.
  • Empresa Nacional de Distribuição de Eletricidade, ENDE - EP.: Multada em USD 225.000,00 por não implementar medidas de segurança adequadas, o que permitiu o acesso não autorizado a informações sensíveis durante um ataque de ransomware.

As multas aplicadas pela APD evidenciam a importância crítica de as organizações assegurarem a privacidade dos cidadãos e mitigarem impactos que possam comprometer a sua continuidade operacional.

O Nível de Exigência da LPDP para assegurar a Proteção de Direitos Fundamentais

A LPDP estabelece um quadro legal exigente em matéria de obrigações para as entidades que tratam dados pessoais, utilizando meios total ou parcialmente automatizados ou destinados a ser incluídos em ficheiros manuais.

Essas obrigações visam garantir o respeito pelos direitos e garantias, exigindo a implementação de medidas técnicas e organizacionais robustas. O incumprimento destas obrigações pode resultar em incidentes de segurança (como violação de dados) e consequente aplicação de multas pela APD.

As recentes multas aplicadas pela APD sinalizam a relevância de as organizações adotarem medidas para assegurar o cumprimento da LPDP. O legislador nacional estabeleceu multas avultadas para incentivar a proatividade na implementação de medidas de proteção de dados.

Além disso, a implementação das medidas previstas na LPDP fomenta uma cultura de privacidade, elemento cada vez mais relevante para a reputação das entidades públicas e privadas.

Na conceção dos sistemas de informação, é fundamental que as entidades:

  • Disponham de protocolos de criptografia robustos;
  • Realizem atualizações regulares com patches de segurança;
  • Implementem firewalls e Sistemas de deteção de Intrusões.

Organizacionalmente, as entidades devem realizar um levantamento exaustivo das atividades de tratamento de dados pessoais, essencial para notificar a APD dessas atividades e conceber políticas de privacidade claras. Essas políticas devem descrever as medidas organizacionais aplicáveis ao acesso e manuseamento dos dados.

É igualmente importante destacar que a lista de medidas organizacionais acima referida não é exaustiva. Outras medidas incluem a conscientização e formação de todos os colaboradores envolvidos em atividades de tratamento de dados pessoais, a realização de avaliações de impacto sobre a proteção de dados e auditorias regulares para assegurar o contínuo cumprimento da legislação aplicável.

A proteção dos dados não pode ser dissociada da ciber-segurança. Como tal, as medidas organizacionais devem incluir políticas de ciber-segurança que abordem matérias como o acesso a redes e sistemas de informação, e utilização de aplicativos e equipamentos informáticos pelos funcionários das organizações.

É ainda essencial que as organizações disponham de planos de resposta a incidentes (disaster recovery e business continuity) para rápida identificação e mitigação do impacto de violações de dados, implementando salvaguardas e recuperação da informação para garantir a continuidade operacional.

Conclusão

A intensificação da ação fiscalizadora da APD quanto ao cumprimento do quadro legal de proteção de dados exige que as organizações se dediquem cada vez mais a temas de compliance em matéria de dados pessoais e dotem as suas infraestruturas de TI com mecanismos que assegurem uma operação contínua, sem comprometer a sua reputação e credibilidade.

A conformidade com a LPDP não é apenas uma exigência legal, mas uma pedra angular da governança corporativa responsável num mundo interconectado. A compreensão e implementação adequadas dos requisitos da LPDP são cruciais para mitigar riscos de ciber-segurança e fomentar a confiança na economia digital, fundamental para a dinamização do tecido empresarial de qualquer nação.

A conformidade com a LPDP não é apenas uma exigência legal, mas uma pedra angular da governança corporativa responsável num mundo interconectado.

Downloads

Download PDF

Mantenha-se informado

Please note, your browser is out of date.
 For a good browsing experience we recommend using the latest version of Chrome, Firefox, Safari, Opera or Internet Explorer.