A Agência de Protecção de Dados ("APD") publicou, a 14 de Novembro, a orientação relativa à obrigatoriedade de entidades públicas e privadas notificarem a APD sobre acidentes e incidentes informáticos, emitida na Circular n.º 2, de 25 de Outubro de 2024.
Nesta Circular, a APD orienta as entidades públicas e privadas que tratam dados pessoais a observarem "escrupulosamente" as regras constantes da (i) Lei da Protecção de Dados Pessoais ("LPDP"), (ii) Lei das Comunicações Electrónicas e dos Serviços da Sociedade da Informação ("LCE") e (iii) Lei de Protecção de Redes e Sistemas Informáticos ("LRSI"), no que se refere à notificação de acidentes e incidentes informáticos.
Os objectivos desta orientação são:
De ressalvar que a notificação de acidentes e incidentes de segurança à APD está directamente relacionada com as atribuições da agência descritas no artigo 44.º da LPDP, em matéria de supervisão e fiscalização do tratamento de dados pessoais, em conjunto com o artigo 5.º do Decreto Presidencial n.º 214/16, de 10 de Outubro, que aprova o Estatuto Orgânico da APD, atribuindo-lhe a função de velar pelo cumprimento da legislação sobre protecção de dados pessoais.
Assim, a APD recorda que é obrigação das empresas sujeitas ao cumprimento da LPDP, LCE e LRSI notificarem imediatamente a agência sobre qualquer violação de dados pessoais que possa comprometer a segurança e a privacidade dos titulares.
Essa obrigação de notificação decorre da intersecção de várias normas legais contidas na LPDP, na LCE e na LRSI:
Em caso de ocorrência de uma violação de dados pessoais que se traduza em destruição, perda, alteração, indisponibilidade, divulgação, acesso não autorizado ou qualquer outro incidente de segurança, o responsável pelo tratamento deve notificar a APD, assim que tomar conhecimento da mesma.
A notificação deve ser confidencial e incluir, no mínimo, os seguintes elementos:
Nos casos em que seja absolutamente impossível fornecer as informações requeridas, a notificação deve ser acompanhada dos motivos que justificam a não disponibilização das informações, devendo estas ser fornecidas posteriormente.
Em linha com a actuação pedagógica e preventiva que a APD tem adoptado desde o início do seu funcionamento, esta orientação representa um passo significativo na clarificação das obrigações dos utilizadores de dados pessoais.
Para auxiliar ainda mais os obrigados no cumprimento destas obrigações, a definição de prazos específicos para a notificação de incidentes poderia ser considerada, proporcionando maior clareza e uniformidade no cumprimento das obrigações legais.
Adicionalmente, a disponibilização de modelos ou formulários padronizados para a notificação de incidentes facilitaria o processo de comunicação e garantiria que todas as informações necessárias fossem apresentadas de forma consistente. A clarificação dos tipos de incidentes que exigem notificação imediata e a indicação de medidas técnicas e organizacionais recomendadas para prevenção de incidentes poderiam também beneficiar as entidades.
Estas orientações da APD assumem um papel fundamental no contexto do tratamento de dados pessoais em Angola. Com o aumento da vigilância e fiscalização por parte da APD, as entidades devem garantir processos de tratamento de dados que cumpram a lei, promovendo não apenas a conformidade legal, mas também a segurança e protecção da privacidade dos titulares.
A implementação das medidas indicadas na Circular da APD contribui para a construção de uma governança corporativa sólida, garantindo a protecção da reputação empresarial e oferecendo um diferencial competitivo significativo no mercado nacional e internacional.
Num cenário em que o tratamento de dados pessoais permeia praticamente todos os sectores da economia — desde o comércio electrónico até aos serviços bancários, de saúde e educação — a aplicação destas orientações é essencial para fortalecer a confiança dos titulares e das empresas no uso responsável dos dados pessoais.