Ir para conteúdo

GENEALOGIA LEGAL

A regulação da segurança no ciberespaço – panorama geral


O carácter transfronteiriço do ciberespaço e os riscos que os maus usos das TIC representam para a segurança da comunidade internacional no seu todo motivaram, a partir da década de 1990, um grande número de iniciativas dirigidas ao reforço da cooperação entre os Estados e à definição de princípios e regras comuns em matéria de cibersegurança. A primeira iniciativa deste tipo foi avançada no quadro da OCDE, em 1996, e consistiu numa proposta da França de adoção de uma Carta para a Cooperação Internacional na Internet, largamente decalcada das regras existentes de Direito Internacional do Mar (Macák, 2016: 130). A proposta não foi acolhida, tal como não viria a ser acolhida a proposta de adoção de um tratado para proibir o uso de armas informáticas, avançada pela Rússia no quadro da ONU, em 1998. A proposta russa teve, em todo o caso, o efeito de colocar a regulação do ciberespaço na agenda da ONU, ao motivar a primeira resolução da Assembleia Geral sobre os “desenvolvimentos no setor da informação e telecomunicações no contexto da segurança internacional” (A/RES/53/70) e a subsequente constituição de um Grupo de Peritos Governamentais para estudar as ameaças oriundas do ciberespaço e as possíveis soluções jurídicas para as enfrentar (Eggenschwiler, 2019: 3). No seu relatório de 2013, o Grupo de Peritos concluiu que as normas de Direito Internacional já existentes – desde logo, a Carta da ONU – se aplicam ao ciberespaço (UN Doc A/68/98), uma pronúncia que, sem ser inteiramente esclarecedora quanto à substância e ao modo daquela aplicação, parece ter condenado quaisquer planos de adoção de um tratado internacional de âmbito mundial sobre cibersegurança num futuro próximo (Macák, 2016: 128-130).

A opinião dominante entre os Estados ocidentais e as principais empresas de tecnologia tem sido a de que, atenta a velocidade dos avanços tecnológicos e a tendencial rigidez das soluções jurídicas, a regulação do ciberespaço não deve ser feita por meio de regras jurídicas vinculativas, mas sim por meio de recomendações e compromissos políticos a que as partes interessadas (Estados, empresas, organizações) adiram voluntariamente (Osula & Rõigas, 2016: 15-16). Neste processo, os Estados perderam o protagonismo na definição do quadro normativo aplicável, cedendo espaço à autorregulação das empresas de tecnologia e aos meios académicos (Macák, 2016: 134-136; Eggenschwiler, 2019: 4-7). Entre as muitas iniciativas lançadas na última década, refiram-se apenas, a título de exemplo, o Manual Tallinn sobre as regras de Direito Internacional aplicáveis à guerra informática, publicado em 2013, o Manual Tallinn 2.0 sobre as regras de Direito Internacional aplicáveis às operações cibernéticas, publicado em 2017, e os Livros Brancos da Microsoft sobre normas internacionais de cibersegurança e a sua aplicação, publicados em 2014 e em 2016. A multiplicidade de iniciativas contribui para uma grande fragmentação do quadro normativo de referência sobre o que seja o comportamento responsável no ciberespaço e alguma incerteza sobre as normas aplicáveis; uma incerteza para que também contribui a inexistência de consenso sobre o que sejam normas cibernéticas (cyber norms) e o facto de diferentes atores usarem a designação para referir, de forma aparentemente indistinta, normas jurídicas, políticas, técnicas e éticas (Osula & Rõigas, 2016: 11).

A popularidade dos Códigos de Conduta e demais instrumentos de soft law não obsta, entretanto, a que tenham ocorrido alguns desenvolvimentos significativos no plano da adoção de instrumentos jurídicos vinculativos, sobretudo de âmbito regional. Importa referir, desde logo, a adoção da Convenção sobre o Cibercrime (Convenção de Budapeste), em 23 de novembro de 2001. Apesar de ter sido adotada sob a égide do Conselho da Europa, a Convenção foi aberta à assinatura, não apenas dos Estados Membros desta organização, mas também dos países terceiros que participaram na sua redação (e.g. Argentina, Austrália, Cabo Verde, Canadá, Estados Unidos da América, Israel e Japão) e prevê expressamente a possibilidade de outros países terceiros virem a assiná-la, mediante solicitação ao Comité de Ministros do Conselho da Europa e acordo unânime dos Estados Parte. Em 2003, foi adotado um Protocolo Adicional à Convenção, relativo à incriminação de atos de natureza racista e xenófoba praticados através de sistemas informáticos. Segundo um relatório do Gabinete de Cibercrime do Conselho da Europa, publicado em março de 2020, 106 Estados Membros da ONU (55%) dispõem já de legislação nacional que criminaliza agressões contra sistemas informáticos e através de meios informáticos, em linha com a Convenção de Budapeste.

No quadro da União Europeia, a atividade legislativa em matérias relacionadas com o ciberespaço tem sido incessante desde a adoção pela Comissão Europeia do seu primeiro Plano de Ação para a Sociedade da Informação, em 1994 [COM(94) 347], ainda que os esforços regulatórios tenham andado de par com o elogio à autorregulação da indústria das TIC e com incentivos à adoção de Códigos de Conduta [e.g. COM(96) 487]. O primeiro ato legislativo da UE no domínio da cibersegurança foi a Diretiva 2016/1148, relativa à segurança das redes e da informação (SRI), mas as preocupações com a cibersegurança estiveram presentes desde o início e são visíveis nos instrumentos legislativos adotados ao longo dos anos, em matérias como o tratamento de dados pessoais (e.g. Diretivas 1995/46/CE e 1997/66/CE, Regulamento UE 2016/679), a assinatura eletrónica (Diretiva 1999/93/CE), o comércio eletrónico (Diretiva 2000/31/CE), as comunicações eletrónicas (e.g. Diretivas 2002/21/CE, 2002/22/CE, 2018/1972) e o cibercrime (e.g. Diretiva 2013/40/UE).

A importância da cibersegurança na agenda política da UE levou à criação, em 2004, da Agência Europeia para a Segurança das Redes e da Informação (ENISA), com o propósito de ser um centro especializado a nível europeu, competente para orientar, dar pareceres e prestar assistência às instituições da União e aos Estados Membros, e para cooperar com a comunidade empresarial, a fim de garantir um nível de segurança das redes e da informação elevado e eficaz e com vista a desenvolver uma cultura de segurança das redes e da informação em benefício dos cidadãos, dos consumidores, das empresas e das administrações públicas. Sucessivos instrumentos legislativos têm vindo a renovar o mandato e a reforçar as atribuições da ENISA, o mais recente dos quais o Regulamento (UE) 2019/881, que lhe conferiu um mandato por período indeterminado.

classroom_meet_1


A Diretiva SRI resultou de uma proposta legislativa anexa à primeira Estratégia da União Europeia para a Cibersegurança, apresentada em 2013 numa comunicação conjunta da Comissão Europeia e da Alta Representante da UE para os Negócios Estrangeiros e a Política de Segurança [JOIN(2013) 1]. A Estratégia sublinhou as responsabilidades partilhadas por Governos, indústria e cidadãos e mapeou as ações necessárias por parte das instituições europeias, dos Estados e da indústria para “tornar o ambiente em linha na UE o mais seguro do mundo”, incluindo medidas legislativas em matéria de cibercriminalidade (sobretudo por referência à Convenção de Budapeste) e de segurança das redes e da informação. Quanto a este último ponto, a Estratégia reconheceu os progressos alcançados com base em compromissos voluntários, mas identificou várias lacunas, pelo que avançou uma proposta legislativa sobre requisitos comuns para segurança das redes e da informação, com vista a obrigar os Estados Membros a adotarem estratégias nacionais e a designarem autoridades nacionais competentes sobre a matéria.

Entretanto, as questões da cibersegurança têm continuado a ocupar os decisores europeus, com novas estratégias [e.g. JOIN(2017) 450] e novos instrumentos legislativos. O “pacote de cibersegurança” avançado em 2017 incluiu uma proposta da Comissão Europeia para a criação de um quadro de certificação da cibersegurança a nível da UE [COM(2017) 477], o que veio a ser concretizado em 2019 com a adoção do Regulamento (UE) 2019/881, relativo à ENISA e à certificação da cibersegurança das TIC. Em 16 de dezembro de 2020, foi apresentada a Estratégia de cibersegurança da UE para a década digital [JOIN(2020) 18]. Em debate, neste momento, encontram-se, entre outras, as proposta da Comissão para um regulamento relativo a ordens europeias de entrega ou de conservação de provas eletrónicas em matéria penal [COM(2018) 225] e para um regulamento que estabelece o Centro Europeu de Competências Industriais, Tecnológicas e de Investigação em Cibersegurança e a Rede de Centros Nacionais de Coordenação [COM(2018) 630].

Em Portugal, as políticas públicas e os desenvolvimentos legislativos em matéria de cibersegurança têm vindo a acompanhar as diretrizes definidas pela União Europeia e os compromissos assumidos no quadro do Conselho da Europa. A Lei do Cibercrime, aprovada pela Lei n.º 109/2009, de 15 de setembro, transpôs a Decisão-Quadro 2005/222/JAI, do Conselho da União Europeia, relativa a ataques contra sistemas de informação, e adaptou a ordem jurídica nacional à Convenção de Budapeste. A Lei n.º 46/2018, de 13 de agosto, transpôs a Diretiva SRI, estabelecendo o regime jurídico da segurança do ciberespaço. A Lei n.º 58/2019, de 8 de agosto, veio assegurar a execução, na ordem jurídica portuguesa, do Regulamento Geral sobre a Proteção de Dados, etc. No plano institucional, as matérias da cibersegurança caem sob a alçada de diferentes entidades, como o Gabinete Cibercrime do Ministério Público, a Polícia Judiciária e a Comissão Nacional de Proteção de Dados, mas a Autoridade Nacional de Cibersegurança é o Centro Nacional de Cibersegurança, criado em 2014, que funciona no âmbito do Gabinete Nacional de Segurança.

A primeira Estratégia Nacional de Segurança do Ciberespaço foi adotada em 2015, com o propósito de estabelecer, em sintonia com as linhas gerais da Estratégia da UE para a Cibersegurança, “objetivos e linhas de ação com vista a uma eficaz gestão de crises, a uma coordenação da resposta operacional a ciberataques, a um desenvolvimento das sinergias nacionais e a uma intensificação da cooperação nacional, europeia e internacional neste domínio”. A Estratégia alicerçava-se em cinco pilares – subsidiariedade, complementaridade, cooperação, proporcionalidade e sensibilização – e desenvolvia-se em quatro objetivos estratégicos:
  • promover uma utilização consciente, livre, segura e eficiente do ciberespaço;
  • proteger os direitos fundamentais, a liberdade de expressão, os dados pessoais e aprivacidade dos cidadãos;
  • fortalecer e garantir a segurança do ciberespaço, das infraestruturas críticas e dos serviços vitais nacionais; e
  • afirmar o ciberespaço como um domínio de desenvolvimento económico e de inovação.

classroom_meet_1


A Estratégia Nacional aprovada em 2019, para o período 2019-2023, continua a alicerçar-se nos princípios de subsidiariedade, complementaridade e proporcionalidade, assumindo agora como objetivos estratégicos maximizar a resiliência, promover a inovação e gerar e garantir recursos. Os eixos de intervenção definidos pela Estratégia para 2019-2023 cobrem
  • a estrutura de segurança do ciberespaço
  • a prevenção, educação e sensibilização
  • a proteção do ciberespaço e das infraestruturas
  • a resposta às ameaças e combate ao cibercrime
  • a investigação, desenvolvimento e inovação, e
  • a cooperação nacional e internacional.


Ambas as Estratégias sinalizam como prioritária a permanente avaliação das necessidades de revisão e atualização do quadro legislativo em vigor (sobretudo, em matéria penal e processual penal), de modo a “incorporar a evolução tecnológica e as novas práticas” e a assegurar a “máxima eficiência” dos preceitos legais.

DESTAQUES


Desde a década de 1990, as iniciativas dirigidas ao reforço da cooperação entre os Estados e à definição de princípios e regras comuns em matéria de cibersegurança multiplicaram-se em vários fora (OCDE, ONU, Conselho da Europa, União Europeia, meios académicos, etc.).

Em 2013, um Grupo de Peritos da ONU concluiu que as normas de Direito Internacional já existentes – desde logo, a Carta da ONU – se aplicam ao ciberespaço, o que contribuiu para adiar sine die quaisquer planos de adoção de um tratado internacional de âmbito mundial sobre cibersegurança.

A opinião dominante entre os Estados ocidentais e as principais empresas de tecnologia tem sido a de que, atenta a velocidade dos avanços tecnológicos e a tendencial rigidez das soluções jurídicas, a regulação do ciberespaço não deve ser feita por meio de regras jurídicas vinculativas, mas sim por meio de recomendações e compromissos políticos a que as partes interessadas (Estados, empresas, organizações) adiram voluntariamente.

A popularidade dos Códigos de Conduta e demais instrumentos de soft law não obsta a que tenham ocorrido alguns desenvolvimentos significativos no plano da adoção de instrumentos jurídicos vinculativos, sobretudo de âmbito regional, destacando-se a Convenção de Budapeste sobre o Cibercrime, adotada em 2001, no quadro do Conselho da Europa, e os numerosos Regulamentos e Diretivas da União Europeia.

O primeiro ato legislativo da União Europeia no domínio da cibersegurança foi a Diretiva 2016/1148, relativa à segurança das redes e da informação (SRI), mas as preocupações com a cibersegurança estiveram presentes desde o início e são visíveis nos instrumentos legislativos adotados ao longo dos anos, em matérias como o tratamento de dados pessoais, a assinatura eletrónica, o comércio eletrónico, as comunicações eletrónicas e o cibercrime.

Em Portugal, as políticas públicas e os desenvolvimentos legislativos em matéria de cibersegurança têm vindo a acompanhar as diretrizes definidas pela União Europeia e os compromissos assumidos no quadro do Conselho da Europa.

Quadro institucional de referência


Agência da União Europeia para a Cibersegurança (ENISA)


classroom_meet_1

Foi criada, em 2014, para funcionar como um centro especializado de apoio às instituições europeias e aos Estados Membros em matéria de cibersegurança. Hoje, exerce as atribuições que lhe são conferidas pelo Regulamento (UE) 2019/881, nos termos do qual passou a ter um mandato permanente, e pelos demais atos jurídicos da União no domínio da cibersegurança, o que inclui, nomeadamente, a contribuição para a elaboração e a execução da política e do Direito da União em matéria de cibersegurança; a prestação de assistência para reforço das capacidades dos Estados Membros e das instituições e organismos da UE; o apoio à cooperação operacional entre Estados Membros, instituições da UE e outras partes interessadas; o apoio à elaboração e execução da política da União em matéria de certificação da cibersegurança dos produtos, serviços e processos de TIC; a produção de conhecimento e informação; a organização de campanhas de sensibilização e educação; a contribuição para a agenda estratégica da investigação e inovação ao nível da UE no domínio da cibersegurança; a contribuição para os esforços de cooperação da União com países terceiros e organizações internacionais. A ENISA tem sede em Atenas, na Grécia. É composta por um conselho de administração, uma comissão executiva, um diretor executivo, um grupo consultivo e uma rede de agentes de ligação nacionais e é assistida por um Comité (6).


Computer Emergency Response Team for the EU Institutions (CERT.EU)


classroom_meet_1

Equipa de resposta a emergências informáticas, responsável pela segurança dos sistemas informáticos das instituições, agências e organismos da UE. Foi instituída de modo permanente, em setembro de 2012, em cumprimento da Agenda Digital para a Europa lançada pela Comissão Europeia em 2010. A equipa é composta por peritos de segurança informática das principais instituições da UE (Comissão Europeia, Secretariado Geral do Conselho, Parlamento Europeu, Comité das Regiões e Comité Económico e Social). A CERT.EU colabora de forma estreita com equipas congéneres nos Estados Membros e em países terceiros, bem como com empresas especializadas em segurança informática. Prevê-se que a CERT.EU venha a alargar gradualmente os serviços prestados, em resposta às necessidades dos seus utilizadores e tendo em atenção os recursos e competências disponíveis (7).


Centro Europeu da Cibercriminalidade (EC3)


classroom_meet_1

Criado em 2013, por proposta da Comissão Europeia [COM(2012) 140], para funcionar como ponto de convergência da luta contra a cibercriminalidade na UE. Faz parte da Europol e tem sede em Haia, Países Baixos. O Centro tem como alvos preferenciais três categorias de cibercrimes: (a) os praticados por grupos criminosos organizados, em especial os que envolvam grandes lucros, como a fraude online; os que causem danos graves às vítimas, como a exploração sexual de crianças online; e (c) os que afetem as infraestruturas críticas e os sistemas de informação da UE. As funções do Centro incluem a recolha de informações sobre cibercriminalidade, para identificar tendências e ameaças; o apoio ao reforço das capacidades dos Estados Membros, centrado na formação de agentes da polícia e de titulares do poder judicial; o apoio operacional aos Estados Membros, através da criação de equipas de investigação conjunta e do intercâmbio de informações; e, de um modo geral, a atuação como interlocutor coletivo dos investigadores europeus de cibercrimes a nível das autoridades policiais e do poder judicial, nas discussões com o setor das TIC e outras empresas do setor privado, com a academia e as organizações da sociedade civil (8).


Gabinete Nacional de Segurança (GNS)


classroom_meet_1

Serviço central da administração direta do Estado, dotado de autonomia administrativa, na dependência do Primeiro-Ministro. O seu diretor-geral é, por inerência, a Autoridade Nacional de Segurança, que é quem exerce, em exclusivo, a proteção, o controlo e a salvaguarda da informação classificada. Nos termos do Decreto-Lei n.º 3/2012, de 16 de janeiro (versão dada pelo Decreto-Lei n.º 136/2017, de 6 de novembro), o Gabinete tem por missão garantir asegurançadainformação classificada no âmbito nacional e das organizações internacionais de que Portugal é membro, bem como exercer a função de autoridade de credenciação de pessoas singulares ou coletivas para o acesso e manuseamento de informação classificada, de autoridade credenciadora e de fiscalização de entidades que atuem no âmbito do Sistema de Certificação Eletrónica do Estado – Infraestrutura de Chaves Públicas (SCEE) e de entidade credenciadora por força da lei que regula a disponibilização e a utilização das plataformas eletrónicas de contratação pública. As suas atribuições incluem, entre outras, a garantia da articulação e harmonização dos procedimentos relativos à segurança da informação classificada em todos os serviços, organismos e entidades, públicos ou privados, e no âmbito de organizações e atividades internacionais em que Portugal participe; o registo, distribuição e controlo da informação classificada; a avaliação, acreditação e certificação da segurança de produtos e sistemas de comunicações, a promoção do estudo, da investigação e da difusão das normas e procedimentos de segurança aplicáveis à proteção e salvaguarda da informação classificada (9).


Centro Nacional de Cibersegurança (CNCS)


classroom_meet_1

O Centro Nacional de Cibersegurança funciona no âmbito do Gabinete Nacional de Segurança e foi criado em 2014. Tem por missão contribuir para que Portugal utilize o ciberespaço de uma forma livre, confiável e segura, através da promoção da melhoria contínua da cibersegurança nacional e da cooperação internacional, em articulação com todas as autoridades competentes, bem como da definição e implementação das medidas e instrumentos necessários à antecipação, deteção, reação e recuperação de situações que ponham em causa o interesse nacional, o funcionamento da Administração Pública, dos operadores de infraestruturas críticas, dos operadores de serviços essenciais e dos prestadores de serviços digitais. As competências e o funcionamento do CNCS encontram-se definidos no Decreto-Lei n.º 3/2012, de 16 de janeiro (versão dada pelo Decreto-Lei n.º 136/2017, de 6 de novembro), e na Lei n.º 46/2018, de 13 de agosto, que transpôs a Diretiva SRI e que reforçou o papel do CNCS enquanto Autoridade Nacional de Cibersegurança. Nos termos da Lei n.º 46/2018, o CNCS (a) é o ponto de contacto único nacional para efeitos de cooperação internacional, sem prejuízo das atribuições da Polícia Judiciária relativas a cooperação internacional em matéria penal; (b) exerce funções de regulação, regulamentação, supervisão, fiscalização e sancionatórias nos termos das suas competências, cabendo-lhe, nomeadamente, emitir parecer prévio sobre qualquer disposição legal de cibersegurança, receber notificações de incidentes com impacto para a segurança das redes e dos sistemas de informação e instruir os processos de contraordenação; (c) tem o poder de emitir instruções de cibersegurança e de definir o nível nacional de alerta de cibersegurança. O CNCS atua em articulação e estreita cooperação com as estruturas nacionais responsáveis pela ciberespionagem, ciberdefesa, cibercrime e ciberterrorismo, bem como com a Comissão Nacional de Proteção de Dados (10).

Conselho Superior de Segurança do Ciberespaço


Criado, em 2017, na sequência da aprovação da primeira Estratégia Nacional de Segurança do Ciberespaço de 2015, para funcionar como “grupo de projeto”, na dependência do Primeiro-Ministro, com a missão de assegurar a coordenação político-estratégica para a segurança do ciberespaço e o controlo da execução da Estratégia Nacional e respetiva revisão (Resolução do Conselho de Ministros n.º 115/2017). A Lei n.º 46/2018, de 13 de agosto, que transpôs a Diretiva SRI, introduziu algumas alterações à composição e competências do Conselho, que passou a ser definido como o órgão específico de consulta do Primeiro-Ministro para os assuntos relativos à segurança do ciberespaço. O Conselho é presidido pelo membro do Governo responsável pela área da cibersegurança e integra, entre muitos outros, a Autoridade Nacional de Segurança, o Coordenador do CNCS, o Diretor da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica da Polícia Judiciária, um representante do Ministério Público e um representante da Rede Nacional de Equipas de Resposta a Incidentes de Segurança Informática. Compete-lhe assegurar a coordenação político-estratégica para a segurança do ciberespaço; pronunciar-se previamente sobre a Estratégia Nacional para a Segurança do Ciberespaço e verificar a sua implementação, incluindo pela elaboração de relatórios anuais de avaliação da execução; propor a aprovação de decisões de caráter programático relacionadas com a definição e a execução da Estratégia Nacional; emitir parecer sobre matérias relativas à segurança do ciberespaço; e responder a solicitações por parte do Primeiro-Ministro no âmbito das suas competências.


Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica da Polícia Judiciária (UNC3T)


Unidade operacional especializada da Polícia Judiciária (PJ), inspirada no modelo adotado pelo EC3 da Europol e criada, em 2016, em substituição da Unidade Nacional da Investigação da Criminalidade Informática. As suas competências incluem: (a) a prevenção, deteção e investigação dos crimes previstos na Lei do Cibercrime, bem como dos crimes praticados com recurso ou por meio de tecnologias ou de meios informáticos, previstos, nomeadamente, no regime legal de proteção de dados pessoais e no Código dos Direitos de Autor e Direitos Conexos; (b) a prevenção, deteção, investigação criminal e coadjuvação das autoridades judiciárias quanto aos crimes contra a liberdade e autodeterminação sexual, sempre que praticados por meio ou através de sistema informático, de devassa por meio da informática, de burla informática e nas comunicações, de interferência e manipulação ilegítima de meios de pagamento eletrónicos e virtuais, de espionagem através de programa informático e de ciberterrorismo; (c) a centralização e tratamento de informação criminal relativa aos crimes da sua competência; (d) a recolha e tratamento de dados estatísticos; (e) a elaboração do Plano Nacional da Polícia Judiciária para a Prevenção e o Combate ao Cibercrime, em articulação com o CNCS; (f) a celebração de protocolos de colaboração técnica e científica com entidades públicas e privadas, nacionais ou estrangeiras; (g) colaborar e participar na formação inicial e contínua sobre cibercrime aos quadros do pessoal de investigação criminal e de apoio da Polícia Judiciária. A UNC3T assegura, no âmbito da cooperação internacional, o ponto de contacto operacional permanente previsto na Lei do Cibercrime (11).


Gabinete de Coordenação da Atividade do Ministério Público na Área da Cibercriminalidade


classroom_meet_1

Criado em 2011, o Gabinete Cibercrime funciona na direta dependência da Procuradoria-Geral da República e tem como missão a coordenação interna do Ministério Público na área da cibercriminalidade, a formação específica de Magistrados do Ministério Público nesta matéria, a interação com o setor privado, através do estabelecimento de canais de comunicação com fornecedores de serviço de acesso às redes de comunicação para fins de facilitação da sua colaboração na investigação criminal, a interação com os órgãos de polícia criminal e, residualmente, o acompanhamento de processos concretos. A partir da entrada em vigor da Lei n.º 68/2019, de 27 de agosto, que aprovou o novo Estatuto do Ministério Público, passou a prever-se na lei a existência de gabinetes de coordenação nacional (artigo 55.º). Em execução desta previsão legal, dando continuidade à estrutura anterior, o Conselho Superior do Ministério Público deliberou formalmente constituir o Gabinete Cibercrime, por deliberação da reunião plenária de 20 de outubro de 2020. O Gabinete é dirigido por um Procurador da República e mantém uma rede de pontos de contacto em todo o território nacional, formada preferencialmente por magistrados com experiência de condução de inquéritos sobre crimes previstos na Lei do Cibercrime ou em que existam especiais exigências na obtenção de prova digital ou em que se trate de factualidades especialmente complexas devido ao uso de tecnologias (12).


Equipa de Resposta a Incidentes de Segurança Informática Nacional (CERT.PT)


classroom_meet_1

Serviço integrante do CNCS que coordena a resposta a incidentes ocorridos no ciberespaço nacional envolvendo entidades do Estado, operadores de serviços essenciais, operadores de infraestruturas críticas nacionais e prestadores de serviços digitais. Nos termos da Lei n.º 46/2018, o CERT.PT é também competente para monitorizar os incidentes com implicações a nível nacional; ativar mecanismos de alerta rápido; intervir na reação, análise e mitigação de incidentes; proceder à análise dinâmica dos riscos; assegurar a cooperação com entidades públicas e privadas; promover a utilização de práticas comuns ou normalizadas; participar nos fora nacionais de cooperação de equipas de resposta a incidentes de segurança informática; assegurar a representação nacional nos fora internacionais de cooperação de equipas de resposta a incidentes de segurança informática; e participar em eventos de treino nacionais e internacionais. O CERT.PT é membro da Rede Nacional de CSIRT e representante nacional na Rede Europeia de CSIRT, estabelecida pela Diretiva SRI. É também membro acreditado do Trusted Introducer e Full Member do Forum of Incident Response and Security Teams (FIRST).


Comissão Nacional de Proteção de Dados (CNPD)


classroom_meet_1

Entidade administrativa independente, com poderes de autoridade, que funciona junto da Assembleia da República. É a Autoridade Nacional de Controlo de Dados Pessoais para efeitos do Regulamento Geral de Proteção de Dados (RGPD) da UE e da Lei n.º 58/2019, de 8 de agosto. A CNPD tem como atribuição genérica controlar e fiscalizar o cumprimento do RGPD e da Lei n.º 58/2019, bem como das demais disposições legais e regulamentares que versem sobre a proteção de dados pessoais, com o fim de defender os direitos, liberdades e garantias das pessoas singulares no âmbito do tratamento de dados pessoais. Enquanto autoridade nacional de controlo, a CNPD tem as atribuições definidas pelo artigo 57.º do RGPD, que incluem a promoção da sensibilização do público quanto aos riscos e dos responsáveis pelo tratamento quanto às suas obrigações; o aconselhamento ao Parlamento, ao Governo e a outras entidades a respeito de medidas legislativas e administrativas relacionadas com o tratamento de dados; a prestação de informações e a colaboração com autoridades de outros Estados Membros; o incentivo à elaboração de códigos de conduta e ao estabelecimento de procedimentos de certificação de proteção de dados, etc. Tem também os poderes de controlo enunciados no artigo 58.º do RGPD, que lhe permitem, designadamente, exigir a prestação de informações por parte dos responsáveis pelo tratamento de dados; realizar auditorias; fazer advertências e repreensões; e ordenar a satisfação de pedidos de exercício de direitos apresentados pelos titulares dos dados (13).

Análise setorial


Infraestruturas críticas e serviços essenciais


O aumento das ligações (e da dependência) entre as infraestruturas críticas dos Estados – i.e. as usadas para a geração, transmissão e distribuição de energia, o transporte marítimo e aéreo, os serviços bancários e financeiros, o abastecimento de água, a distribuição de alimentos, a saúde pública, etc. – e as redes e os sistemas e serviços de informação trouxe novos riscos e vulnerabilidades para a segurança dos Estados. Na agenda da ONU, a preocupação com a proteção das infraestruturas críticas foi manifestada pela Assembleia Geral, em 2003, com a Resolução 58/199 sobre a criação de uma cultural global de cibersegurança e a proteção das infraestruturas críticas de informação. Apesar de reconhecer que cabe a cada Estado identificar as respetivas infraestruturas críticas, a Assembleia Geral apelou à cooperação internacional nesta matéria e identificou um conjunto de elementos necessários para a proteção das infraestruturas críticas, incluindo a existência de redes de alerta de vulnerabilidades, ameaças e incidentes; a criação e manutenção de redes de resposta a crises, sujeitas a testes frequentes para garantir a sua segurança e estabilidade em situações de emergência; a adoção de legislação adequada à investigação de ataques a infraestruturas críticas e subsequente ação penal, etc.

Na União Europeia, a primeira intervenção legislativa sobre esta matéria teve lugar com a Diretiva 2008/114/CE, de 18 de dezembro, relativa à identificação e designação das infraestruturas críticas europeias e à avaliação da necessidade de melhorar a sua proteção. Esta Diretiva teve como objeto estabelecer um procedimento de identificação e designação das Infraestruturas Críticas Europeias (ICE) e uma abordagem comum relativa à avaliação da necessidade de melhorar a sua proteção, atenta a relevância de certas infraestruturas para a segurança das pessoas e para a segurança das principais atividades sociais e económicas. “Infraestrutura crítica” foi definida como o elemento, sistema ou parte deste situado nos Estados Membros que é essencial para a manutenção de funções vitais para a sociedade, a saúde, a segurança e o bem-estar económico ou social, e cuja perturbação ou destruição teria um impacto significativo num Estado Membro, dada a impossibilidade de continuar a assegurar essas funções. A Diretiva introduziu ainda o conceito de “infraestrutura crítica europeia”, para designar as infraestruturas críticas situadas nos Estados Membros cuja perturbação ou destruição teria um impacto significativo em, pelo menos, dois Estados Membros.

Esta Diretiva foi transposta para o ordenamento jurídico português pelo Decreto-Lei n.º 62/2011, de 9 de maio, que veio estabelecer os procedimentos de identificação e de proteção das infraestruturas essenciais para a saúde, a segurança e o bem-estar económico e social da sociedade nos sectores da energia e transportes. No setor da energia, foram identificadas como prioritárias as infraestruturas e instalações de produção e transporte de eletricidade; as infraestruturas de produção, refinação, tratamento, armazenagem e transporte de petróleo por oleodutos; e as infraestruturas de produção, refinação, tratamento, armazenagem e transporte de gás por gasodutos e terminais para gás natural em estado líquido. No setor dos transportes, foram considerados prioritários os transportes rodoviários, os transportesferroviários, os transportes aéreos, os transportes por vias navegáveis interiores, os transportes marítimos (incluindo os de curta distância) e os portos.


classroom_meet_1


Em 2016 foi adotada a Diretiva 2016/1148, de 6 de julho, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em todo o espaço da União Europeia (Diretiva SRI), que veio promover uma cultura de gestão dos riscos e definir requisitos mínimos comuns de segurança. A responsabilidade partilhada entre entidades públicas e privadas foi a pedra de toque deste diploma, consagrando-se também um standard mínimo comum de segurança para operadores de serviços essenciais e prestadores de serviços digitais.

A Diretiva SRI inclui na definição de “operadores de serviços essenciais” as entidades públicas ou privadas pertencentes a um dos tipos referidos no seu Anexo II:
  • entidades que operem no setor da energia (Eletricidade, Petróleo; Gás);
  • entidades que operem no setor dos transportes (transportes aéreos, transportes ferroviários, transportes marítimos e por vias navegáveis interiores, transportes rodoviários);
  • entidades do setor bancário e infraestruturas do mercado financeiro;
  • entidades do setor da saúde (instalações de prestação de cuidados de saúde, nomeadamente hospitais e clínicas privadas);
  • entidades de fornecimento e distribuição de água potável;
  • infraestruturas digitais (pontos de troca de tráfego, prestadores de serviços de DNS e registo de nomes de domínio de topo).

Por outro lado, por prestadores de serviços digitais entende-se uma pessoa coletiva que presta um serviço pertencente a um dos tipos enumerados no Anexo III da Diretiva: mercados online, motores de pesquisa online e serviços de computação em nuvem.

Para a concreta identificação dos operadores de serviços essenciais, foi elencado ainda um conjunto de critérios que se prendem com a atividade social e/ou económica crucial desenvolvida, com a dependência das redes e sistemas de informação para a prestação desse serviço, e com os efeitos perturbadores na prestação desse serviço que um incidente possa causar. Estes efeitos perturbadores serão considerados atendendo ao número de utilizadores que dependem dos serviços prestados, o (possível) impacto dos incidentes sobre as atividades económicas e sociais e sobre a segurança pública, as quotas de mercado e distribuição geográfica da zona que pode ser afetada, e a importância da entidade em causa para a manutenção (ou não) de um nível suficiente do serviço.

Para alcançar um elevado nível comum de segurança das redes e dos sistemas de informação em todo o território da União, é estabelecido um conjunto de medidas, incluindo a criação de um grupo de cooperação (composto por representantes dos Estados Membros, da Comissão Europeia e da ENISA, a fim de apoiar e facilitar a cooperação estratégica e o intercâmbio de informações entre os Estados Membros) e de uma rede de equipas de resposta a incidentes de segurança informática (Rede CSIRT, composta por representantes das CSIRT nacionais, dos Estados Membros e da CERT.UE). As CSIRT têm competência para monitorizar incidentes a nível nacional, ativar mecanismos de alerta rápido, fazer comunicações e divulgar informações, intervir em caso de incidentes, analisar os riscos e participar na Rede de CSIRT. Cabe-lhes também estabelecer relações de cooperação com o setor privado, promovendo a utilização de práticas comuns ou normalizadas relativas aos procedimentos de gestão de riscos e incidentes e aos sistemas de classificação de incidentes, de risco e de informações.

Cabe a cada Estado designar as autoridades nacionais competentes, os pontos de contacto únicos (com funções de ligação para assegurar a cooperação transfronteiriça) e as CSIRT, ainda que os Estados Membros possam solicitar a cooperação da ENISA para desenvolver as suas CSIRT. Cada Estado Membro deverá ainda adotar uma estratégia nacional de segurança das redes e informação, promovendo a cooperação entre o setor público e o setor privado, identificando medidas de preparação, resposta e recuperação, promovendo programas de ensino, sensibilização, formação e investigação em matérias de cibersegurança.

Para além disso, cada Estado Membro deverá assegurar que os operadores de serviços essenciais e os prestadores de serviços digitais adotam as medidas técnicas e organizativas adequadas e proporcionais para gerir os riscos e evitar incidentes que afetem a segurança das redes e dos sistemas de informação. A Diretiva SRI estabelece que os Estados Membros deverão incentivar, em pleno respeito pelo princípio da neutralidade tecnológica, a utilização de normas e especificações europeias internacionalmente aceites, aplicáveis à segurança das redes e sistemas de informação, podendo a ENISA formular recomendações e orientações sobre os domínios técnicos a considerar.

Os Estados Membros devem garantir que os prestadores de serviços essenciais e os prestadores de serviços digitais notificam as autoridades competentes ou as CSIRT, sem demora injustificada, dos incidentes com impacto importante na continuidade dos serviços por si prestados. As entidades que não tenham sido identificadas como operadores de serviços essenciais ou prestadores de serviços digitais são, de todo o modo, convidadas a participar no esforço coletivo com vista à segurança das redes e sistemas de informação, através da figura da notificação voluntária dos incidentes com impacto importante na continuidade dos serviços prestados.

Está já em preparação uma revisão da Diretiva SRI, anunciada na comunicação conjunta da Comissão Europeia e do Alto Representante da União para os Negócios Estrangeiros e a Política de Segurança, como parte da Estratégia de cibersegurança da UE para a década digital [JOIN(2020) 18]. Segundo o documento, a revisão é necessária para “diminuir as incoerências no conjunto do mercado único, mediante um alinhamento dos requisitos relativos ao âmbito de aplicação, à segurança e à comunicação de incidentes, da supervisão e aplicação ao nível nacional e das atribuições das autoridades competentes”. Para assegurar uma abordagem coerente, a proposta de diretiva revista [COM(2020) 823] foi apresentada juntamente com uma proposta de revisão da legislação em matéria de resiliência das infraestruturas críticas [COM(2020) 829].

A Diretiva SRI foi transposta para a ordem jurídica portuguesa pela Lei n.º 46/2018, de 13 de agosto, que definiu a estrutura nacional de segurança do ciberespaço, fixou deveres de notificação de incidentes e estabeleceu um regime sancionatório, nomeadamente, para o incumprimento dos deveres de notificação.

A estrutura de segurança do ciberespaço integra o Conselho Superior de Segurança do Ciberespaço, como órgão específico de consulta do Primeiro-Ministro para estas matérias; o CNCS, como Autoridade Nacional de Cibersegurança; a Equipa de Resposta a Incidentes de Segurança Informática Nacional (CERT.PT); os operadores de serviços essenciais; e os prestadores de serviços digitais.

A Lei n.º 46/2018 elencou os setores, subsetores e tipos de entidades dos operadores de serviços essenciais – a partir das categorias fixadas pela Diretiva SRI – e incumbiu o CNCS de identificar os operadores de serviços essenciais, com atualizaçõesanuais. Impôs também que as entidades do setor das infraestruturas digitais comuniquem de imediato ao CNCS o exercício da respetiva atividade (artigo 29.º).

Nos termos dos artigos 21.º e seguintes, o CNCS tem competências de fiscalização, de instrução dos processos de contraordenação e de aplicação de sanções em caso de incumprimento
  • da obrigação de implementar requisitos de segurança;
  • de instruções de cibersegurança emitidas pelo CNCS;
  • da obrigação de notificar o CNCS da ocorrência de incidentes;
  • da obrigação de notificar o CNCS do exercício de atividade no setor das infraestruturas digitais;
  • da obrigação de notificar o CNCS da identificação como prestador de serviços digitais.

A Lei n.º 46/2018 definiu uma obrigação genérica de que a Administração Pública e os operadores de infraestruturas críticas cumpram as medidas técnicas e organizativas adequadas e proporcionais para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam, para evitar incidentes e para reduzir ao mínimo o seu impacto quando ocorram (artigo 14.º). Semelhante obrigação genérica é definida para os operadores de serviços essenciais pelo artigo 16.º. A definição dos requisitos de segurança das redes e dos sistemas de informação foi remetida para legislação própria (artigo 12.º) e o mesmo aconteceu para a definição dos requisitos de notificação de incidentes (artigo 13.º). A legislação própria a que aludem estas disposições ainda não foi adotada, pelo que o regime instituído pela Lei n.º 46/2018 permanece parcialmente inaplicável.

A definição dos requisitos de segurança aplicáveis aos prestadores de serviços digitais foi remetida, pelo artigo 18.º, para o Regulamento de Execução (UE) 2018/151 da Comissão, de 30 de janeiro, que estabelece normas de execução da Diretiva (UE) 2016/1148 no respeitante à especificação pormenorizada dos elementos a ter em conta pelos prestadores de serviços digitais na gestão dos riscos que se colocam à segurança das redes e dos sistemas de informação, bem como à especificação pormenorizada dos parâmetros para determinar se o impacto de um incidente é substancial.

O Decreto-Lei n.º 43/2020, de 21 de julho, estabeleceu o Sistema Nacional de Planeamento Civil de Emergência e, dentro deste, o Conselho Nacional de Planeamento Civil de Emergência, para atuar sob dependência direta do Primeiro-Ministro (ou, por delegação deste, do membro do Governo responsável pela área da Administração Interna), com competência para identificar, designar e promover a resiliência e a proteção das infraestruturas críticas situadas em território nacional [6.º, alínea l)].

DESTAQUES



O aumento das ligações (e da dependência) entre as infraestruturas críticas dos Estados e as redes e os sistemas e serviços de informação trouxe novos riscos e vulnerabilidades para a segurança dos Estados, motivando a adoção de medidas destinadas a assegurar a proteção das redes e infraestruturas.

A Diretiva 2008/114/CE, de 18 de dezembro, estabeleceu um procedimento de identificação e designação das Infraestruturas Críticas Europeias (ICE) e uma abordagem comum relativa à avaliação da necessidade de melhorar a sua proteção.

O Decreto-Lei n.º 62/2011, de 9 de maio, que transpôs a Diretiva 2008/114/CE, estabeleceu os procedimentos de identificação e de proteção das infraestruturas essenciais nos sectores da energia e transportes.

A Diretiva 2016/1148, de 6 de julho (Diretiva SRI), veio promover uma cultura de gestão dos riscos, com partilha de responsabilidades entre entidades públicas e privadas, e consagrar um standard mínimo comum de segurança para operadores de serviços essenciais e prestadores de serviços digitais.

Para além dos setores da energia e dos transportes, a Diretiva SRI identifica como operadores de serviços essenciais as entidades públicas ou privadas do setor bancário e infraestruturas do mercado financeiro, do setor da saúde, do setor do fornecimento e distribuição de água potável e as infraestruturas digitais.

Para a concreta identificação dos operadores de serviços essenciais, a Diretiva SRI elenca um conjunto de critérios que se prendem com a atividade social e/ou económica crucial desenvolvida, com a dependência das redes e sistemas de informação para a prestação desse serviço, e com os efeitos perturbadores na prestação desse serviço que um incidente possa causar.

Para alcançar um elevado nível comum de segurança das SRI em todo o território da União, a Diretiva cria um grupo de cooperação e uma rede de equipas de resposta a incidentes de segurança informática (Rede Europeia de CSIRT).

A Diretiva SRI foi transposta para a ordem jurídica portuguesa pela Lei n.º 46/2018, de 13 de agosto, que estabeleceu o regime jurídico da segurança do ciberespaço, fixou deveres de notificação de incidentes e estabeleceu um regime sancionatório para o incumprimento, nomeadamente, dos deveres de notificação.

A Lei n.º 46/2018, de 13 de agosto, remeteu para legislação complementar a definição dos requisitos de segurança das redes e dos sistemas de informação e a definição dos requisitos de notificação de incidentes. Esta legislação ainda não foi adotada, pelo que o regime instituído pela Lei n.º 46/2018 irá evoluir significativamente num futuro próximo.



Cibercrime e prova digital



A lei de referência em Portugal sobre o cibercrime é a Lei n.º 109/2009, de 15 de setembro (Lei do Cibercrime), que resulta da transposição para a ordem jurídica interna da Decisão-Quadro 2005/222/JAI, do Conselho, de 24 de fevereiro, relativa a ataques contra sistemas de informação, e da adaptação da ordem jurídica portuguesa à Convenção do Conselho da Europa sobre o Cibercrime, de 2001, que Portugal assinou em 2001 e ratificou em 2009.

O primeiro destes instrumentos, a Decisão-Quadro, entretanto substituída pela Diretiva 2013/40/UE do Parlamento Europeu e do Conselho, de 12 de agosto de 2013, relativa a ataques contra os sistemas de informação, procurou aproximar as ordens jurídicas nacionais dos Estados Membros ao estabelecer um standard mínimo de incriminação de determinados comportamentos lesivos dos sistemas de informação. O objetivo último desta aproximação não era simplesmente o de alcançar uma harmonização normativa mínima, mas também criar as condições necessárias para uma cooperação mais estreita entre as autoridades judiciárias, policiais e outras entidades competentes dos diversos Estados Membros. Diante de um tipo de criminalidade complexo, organizado e essencialmente transnacional como é o cibercrime, a investigação e repressão não podem confinar-se às fronteiras físicas de um Estado, tendo de haver necessariamente uma resposta concertada e articulada entre os vários Estados afetados. Por intermédio da Decisão-Quadro de 2005, a União Europeia impôs aos Estados Membros que previssem na sua legislação, pelo menos, os crimes de acesso ilegal aos sistemas de informação, interferência ilegal no sistema e interferência ilegal nos dados, crimes pelos quais deveriam ser responsabilizados quer os seus autores imediatos, mediatos ou coautores, quer os seus instigadores ou cúmplices.

A Convenção sobre o Cibercrime, adotada em Budapeste em 23 de novembro de 2001, sob a égide do Conselho da Europa, foi um pouco mais longe do que a Decisão-Quadro, tanto no seu âmbito de aplicação territorial (já que se aplica a um maior número de Estados), como no seu alcance normativo. Do ponto de vista do Direito Penal material, a Convenção contempla crimes como os de acesso ilícito, interceção ilícita, dano provocado nos dados, sabotagem informática, utilização indevida de dispositivos, falsificação informática, burla informática, pornografia infantil, e ainda crimes contra direitos de autor e direitos conexos. De um ponto de vista processual, que a Decisão- Quadro não contempla, a Convenção do Conselho da Europa prevê um conjunto de medidas processuais que deverão estar ao dispor das autoridades nacionais para a investigação dos crimes mencionados na Convenção, de outros crimes que hajam sido cometidos por meio de um sistema informático, ou quando, independentemente do modo de execução, seja necessário obter prova eletrónica relativa a uma infração penal. Medidas que vão desde a conservação expedita de dados informáticos armazenados até a injunções para a sua comunicação, passando ainda pela busca e apreensão de dados informáticos armazenados e a recolha, em tempo real, de dados de tráfego e interceção de dados de conteúdo.

A Lei do Cibercrime constitui a referência legislativa nacional em matéria de cibercrime, quer porque aí se concentra a incriminação de grande parte dos cibercrimes, quer ainda por prever meios de obtenção de prova digital, de especial relevância para a investigação da cibercriminalidade.

classroom_meet_1


Relativamente ao Direito substantivo, temos previstos na Lei do Cibercrime os crimes de falsidade informática (artigo 3.º), dano relativo a programas ou outros dados informáticos (artigo 4.º), sabotagem informática (artigo 5.º), acesso ilegítimo (artigo 6.º), interceção ilegítima (artigo 7.º) e reprodução ilegítima de programa protegido (artigo 8.º).

Retira-se da leitura destes artigos que o legislador português, na senda aliás do que acontece ao nível europeu, enveredou por um caminho tecnologicamente neutro aquando da redação dos tipos legais de crime, de modo a “resistir ao desafio da temporalidade das tecnologias” (Freitas & Novais, 2018) e a abarcar toda a amplitude de novas realidades sociotecnológicas. Isso fica exemplarmente demonstrado com a evolução normativa de conceitos como “sistema informático” e “rede informática”, que, na Lei da Criminalidade Informática (Lei n.º 109/91, de 17 de agosto), revogada pela Lei do Cibercrime, eram definidos autonomamente e de um modo muito mais simples. “Sistema informático” era definido como “conjunto constituído por um ou mais computadores, equipamento periférico e suporte lógico que assegura o processamento de dados”, enquanto “rede informática” era definida como “conjunto de dois ou mais computadores interconectados”. Com a Lei do Cibercrime, os dois conceitos subsumem-se a um só, o de “sistema informático”, definido agora como “qualquer dispositivo ou conjunto de dispositivos interligados ou associados, em que um ou mais de entre eles desenvolve, em execução de um programa, o tratamento automatizado de dados informáticos, bem como a rede que suporta a comunicação entre eles e o conjunto de dados informáticos armazenados, tratados, recuperados ou transmitidos por aquele ou aqueles dispositivos, tendo em vista o seu funcionamento, utilização, proteção e manutenção” [artigo 2.º, alínea a), da Lei do Cibercrime].

A simplicidade definitória empregada na Lei da Criminalidade Informática explica-se, em parte, pela circunstância de, no momento da sua entrada em vigor, muitas das tecnologias que hoje temos por adquiridas estarem no início da sua conceção ou difusão. Os telemóveis haviam sido lançados no mercado há menos de dez anos (Motorola DynaTAC 8000X, em 1983) e o nascimento, na Europa, da World Wide Web foi praticamente contemporâneo da lei (1989). Em 2009, era já evidente que um sistema informático não se identificava exclusivamente com computadores e periféricos.

Para além de um Direito substantivo atualizado, a Lei do Cibercrime introduziu um conjunto de disposições processuais relativas à prova digital. Portugal passou a contar com mecanismos processuais como a preservação expedita de dados (artigo 12.º), revelação expedita de dados de tráfego (artigo 13.º), injunção para apresentação ou concessão do acesso a dados (artigo 14.º), pesquisa de dados informáticos (artigo 15.º), apreensão de dados informáticos (artigo 16.º), apreensão de correio eletrónico e registos de comunicações de natureza semelhante (artigo 17.º), interceção de comunicações (artigo 18.º) e ações encobertas (artigo 19.º). Com a exceção dos artigos 18.º e 19.º, todos estes mecanismos processuais podem ser usados, não apenas na investigação da prática dos crimes previstos na Lei do Cibercrime, mas também nos processos criminais em que se investiguem crimes cometidos por meio de um sistema informático ou em relação aos quais seja necessário proceder à recolha de prova em suporte eletrónico, por força do artigo 11.º, n.º 1, da Lei do Cibercrime.

O legislador português decidiu tratar a prova digital na Lei do Cibercrime, mas manteve inalteradas as soluções jurídicas já previstas no Código de Processo Penal, que, pelo menos parcialmente, se debruçam sobre aspetos idênticos. Esta opção não segue o exemplo de ordenamentos jurídicos próximos, como o espanhol (Ley de Enjuiciamiento Criminal), o italiano (Codice di Procedura Penale) ou o alemão (Strafprozeßordnung), que constituem, noutros casos, referências relevantes para o legislador nacional, e tem sido criticada na doutrina, para além de suscitar dúvidas na prática judicial, como será analisado na secção deste relatório dedicada à aplicação do quadro legal.

A Lei do Cibercrime inclui ainda disposições sobre cooperação internacional. Os artigos 20.º a 26.º preveem o estabelecimento de um ponto de contacto permanente (24/7) na Polícia Judiciária, com a finalidade de cooperação com as autoridades estrangeiras competentes. Esta cooperação inclui a prestação de aconselhamento técnico a outros pontos de contacto; a preservação expedita de dados nos casos de urgência ou perigo na demora; a recolha de prova para a qual seja competente nos casos de urgência ou perigo na demora; e a localização de suspeitos e a prestação de informações de carácter jurídico, nos casos de urgência ou perigo na demora. Em determinados casos, são impostas limitações ao alcance da assistência do ponto de contacto português com outros pontos de contacto estrangeiros. Veja-se, a título de exemplo, o pedido de preservação ou de revelação expeditas de dados informáticos armazenados em sistema informático. Embora possam ser realizados quanto a crimes previstos na Lei do Cibercrime ou de outros crimes cometidos por meio de um sistema informático ou em relação aos quais seja necessário proceder à recolha de prova em suporte eletrónico, pode acontecer que, à luz do Direito português, estes digam respeito a infração de natureza política ou infração conexa. Se assim for, o pedido de colaboração é recusado. O mesmo acontece quando o pedido atente contra a soberania, segurança, ordem pública ou outros interesses da República Portuguesa, constitucionalmente definidos, e quando o Estado terceiro requisitante não ofereça garantias adequadas de proteção dos dados pessoais. Também quando se queira recorrer ao acesso a dados informáticos ou à interceção de comunicações em cooperação internacional, é necessário verificar se se trata de uma situação em que isso será viável num caso nacional semelhante. Estas limitações não beliscam, no entanto, a importância e a efetividade da cooperação internacional em matéria de cibercriminalidade e prova digital, imprescindível, de resto, na investigação de um tipo de criminalidade que recorrentemente extravasa fronteiras.

Ainda no domínio da produção de prova digital em processo penal, importa referir a Diretiva n.º 2006/24/CE, do Parlamento Europeu e do Conselho, de 15 de março, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações, que foi transposta para a ordem jurídica portuguesa pela Lei n.º 32/2008, de 17 de julho. O objetivo destes diplomas legais foi o de estabelecer as condições nas quais poderia ocorrer a conservação e a transmissão dos dados de tráfego, de localização e dados conexos necessários para identificar o assinante ou o utilizador, para fins de investigação, deteção e repressão de crimes graves. A Lei n.º 32/2008 identifica como crimes graves os crimes de terrorismo, criminalidade violenta, criminalidade altamente organizada, sequestro, rapto e tomada de reféns, crimes contra a identidade cultural e integridade pessoal, contra a segurança do Estado, falsificação de moeda ou títulos equiparados a moeda e crimes abrangidos por convenção sobre segurança da navegação aérea ou marítima [artigo 2.º, n.º 1, alínea g)].

Os fornecedores de serviços de comunicações eletrónicas estão obrigados a conservar, por um período de um ano, dados que indiquem, inter alia, a origem da comunicação, o destino, a hora, a data, a duração ou o tipo de comunicação. De fora ficam os dados de conteúdo, ou seja, os dados relativos ao conteúdo das comunicações. Esta conservação ocorre de modo automático, não carecendo de qualquer intervenção judicial e independentemente do conhecimento e consentimento do titular dos dados. Independentemente também de qualquer suspeita criminal. A transmissão dos dados conservados é requerida pelo Ministério Público ou autoridade de polícia criminal, sob autorização do juiz de instrução. Pelo facto de estarem em causa direitos fundamentais, só o juiz de instrução pode autorizar a transmissão dos dados e essa autorização só será concedida se estiver em causa a investigação, deteção e repressão de crimes graves e se houver razões para crer que a diligência é indispensável para a descoberta da verdade ou que a prova seria, de outra forma, impossível ou muito difícil de obter. Para além disso, só podem ser transmitidos os dados relativos a certas pessoas:
  • o suspeito ou arguido;
  • a pessoa que sirva de intermediário, relativamente à qual haja fundadas razões para crer que recebe ou transmite mensagens destinadas ou provenientes de suspeito ou arguido;
  • ou a vítima de crime, mediante o respetivo consentimento, efetivo ou presumido.


O incumprimento da obrigação de conservação, do prazo de conservação ou da transmissão dos dados é punido comcoimas que ascendem aos cinquenta mil euros, se o agente for uma pessoa singular, ou 10 milhões de euros, perante pessoas coletivas. A aplicação destas coimas, bem como a instrução do processo contraordenacional, é da competência da Comissão Nacional de Proteção de Dados. A compatibilidade do regime jurídico fixado pela Lei n.º 32/2008 com o Direito da União Europeia tem sido discutida na doutrina portuguesa, em face das pronúncias do Tribunal de Justiça da União Europeia (TJUE) sobre soluções legislativas congéneres de outros Estados Membros, um ponto desenvolvido na secção relativa à aplicação do quadro legal.

Igualmente controversa é a concretização da transposição da Diretiva 2013/40/UE, de 12 de agosto de 2013, relativa a ataques contra os sistemas de informação, que substituiu a Decisão-Quadro 2005/222/JAI. Em 10 de outubro de 2019, a Comissão Europeia enviou uma carta de notificação a Portugal em virtude da “incorreta implementação de certas normas da Diretiva relativa a ataques contra os sistemas de informação” (14). Não restam dúvidas de que a maioria das soluções previstas na Diretiva já constava da Lei do Cibercrime, operando como que uma transposição por antecipação, mas o mesmo não se pode sustentar quanto às sanções aplicáveis [artigo 9.º, n.º 4, alínea a), da Diretiva 2013/40/UE] e a determinados procedimentos de cooperação internacional previstos no artigo 13.º da referida Diretiva. Teremos de aguardar a conclusão do procedimento formal de infração iniciado pela Comissão Europeia, com o número 20192242, que ainda está em curso.

É também expectável que, num futuro próximo, surja o segundo protocolo adicional à Convenção de Budapeste a versar sobre o acesso a prova digital pelas autoridades judiciárias e policiais (15). O prazo para conclusão da redação deste novo tratado, que foi originariamente o de dezembro de 2019, foi prorrogado para maio de 2021.

DESTAQUES


A lei de referência em Portugal sobre o cibercrime é a Lei n.º 109/2009, de 15 de setembro (Lei do Cibercrime), que resulta da transposição para a ordem jurídica interna da Decisão-Quadro 2005/222/JAI, do Conselho, de 24 de fevereiro, relativa a ataques contra sistemas de informação, e da adaptação da ordem jurídica portuguesa à Convenção do Conselho da Europa sobre o Cibercrime, de 2001, que Portugal assinou em 2001 e ratificou em 2009.

Para além de tipos legais de crime atualizados face à Lei da Criminalidade Informática, de 1991, a Lei do Cibercrime introduziu, no ordenamento jurídico português, um conjunto de disposições processuais relativas à prova digital.

A interpretação e a aplicação da Lei do Cibercrime e demais normas aplicáveis em matéria de cibercrime e prova digital têm suscitado dúvidas na jurisprudência e na doutrina portuguesas, sobretudo no que respeita à articulação entre a Lei do Cibercrime e o Código de Processo Penal, mas também quanto à compatibilidade do regime jurídico relativo à conservação de dados gerados ou tratados no contexto de comunicações eletrónicas (Lei n.º 32/2008, de 17 de julho) com o Direito da União Europeia.

Aguarda-se a conclusão do procedimento formal de infração movido pela Comissão Europeia contra Portugal relativo à transposição da Diretiva 2013/40/UE, de 12 de agosto, relativa a ataques contra os sistemas de informação, que substituiu a Decisão-Quadro 2005/222/JAI.

Proteção de dados pessoais


A proteção de dados pessoais tem uma longa tradição no Direito internacional dos direitos humanos, enquanto dimensão da proteção da intimidade da vida privada e familiar, consagrada na Declaração Universal dos Direitos Humanos (artigo 12.º) e no Pacto Internacional sobre os Direitos Civis e Políticos (artigo 17.º), por exemplo. Aí se prevê que ninguém “sofrerá intromissões arbitrárias na sua vida privada, na sua família, no seu domicílio ou na sua correspondência, nem ataques à sua honra e reputação”, e que todos têm direito à proteção da lei contra tais intromissões ou ataques. A nível regional, no âmbito do Conselho da Europa, a proteção de dados pessoais também tem sido considerada abrangida pelo direito à intimidade da vida privada e familiar, previsto no artigo 8.º da Convenção Europeia dos Direitos Humanos (CEDH), como resulta, entre outros, dos acórdãos do Tribunal Europeu dos Direitos Humanos (TEDH) Leander contra a Suécia, de 1987, Gaskin contra Reino Unido, de 1989, e Amann contra Suíça, de 2000 (16). O Conselho da Europa adotou, para além disso, um tratado específico sobre proteção de dados – a Convenção 108, de 28 de janeiro de 1981, relativa à proteção das pessoas no que diz respeito ao tratamento automatizado de dados pessoais, que foi justificada pela necessidade de ter em consideração “o fluxo crescente, através das fronteiras, de dados de caráter pessoal suscetíveis de tratamento automatizado” e de, ao mesmo tempo, promover os valores fundamentais do respeito pela vida privada e a livre circulação de informação entre os povos.

Na União Europeia, a proteção de dados pessoais constitui um valor ancilar e um direito fundamental. O artigo 16.º do Tratado sobre o Funcionamento da União Europeia determina que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito e incumbe o Parlamento Europeu e o Conselho de adotarem normas relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições, órgãos e organismos da União, bem como pelos Estados Membros no exercício de atividades relativas à aplicação do direito da União, e à livre circulação desses dados. Esta importância foi reforçada pela consagração do direito à proteção de dados pessoais, como direito autónomo do direito à intimidade da vida privada e familiar, no artigo 8.º da Carta dos Direitos Fundamentais da União Europeia (CDFUE), de 2000. A primeira Diretiva sobre a matéria fora adotada em 1995 – Diretiva 95/46/CE, de 24 de outubro – e visara promover uma tendencial harmonização da proteção de dados pessoais em todo o território da União e no contexto de cada um dos seus Estados Membros. Esta Diretiva foi transposta para a ordem jurídica portuguesa pela Lei n.º 67/98, de 26 de outubro.

A necessidade de encontrar soluções que assegurassem a proteção de dados pessoais e, simultaneamente, viabilizassem a sua circulação segundo padrões elevados de proteção foi assumida pela Comissão Europeia, em 2015, na Comunicação intitulada “Estratégia para um Mercado Único Digital na Europa” [COM(2015) 192 final], onde se constatava que a economia mundial estava rapidamente a tornar-se digital e que o setor das TIC tinha deixado de ser um setor específico para a ser a base de todos os sistemas económicos modernos, o que abria inúmeras oportunidades para a inovação, o crescimento e o emprego.

Na sequência desta Comunicação, a matéria da proteção de dados pessoais foi objeto de nova intervenção legislativa, com a adoção do Regulamento (UE) 679/2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, comummente designado Regulamento Geral de Proteção de Dados (RGPD). Segundo o texto preambular do Regulamento, os objetivos e os princípios da Diretiva 95/46/CE continuavam a ser válidos, mas a Diretiva não conseguira evitar a fragmentação da aplicação da proteção dos dados ao nível da União, nem a insegurança jurídica ou o sentimento generalizado da opinião pública de que subsistiam riscos significativos para a proteção das pessoas singulares, nomeadamente no que dizia respeito às atividades por via eletrónica. As diferenças de nível de proteção, nomeadamente no que dizia respeito ao tratamento dos dados nos Estados Membros, poderiam impedir a livre circulação de dados pessoais na União, criando obstáculos ao exercício das atividades económicas, com distorção da concorrência, e impedindo as autoridades de cumprir as obrigações que decorrem do Direito da União. O RGPD veio assegurar às pessoas singulares de todos os Estados Membros o mesmo nível de direitos suscetíveis de proteção judicial, impondo obrigações e responsabilidades iguais aos responsáveis pelo tratamento e aos seus subcontratantes e um controlo coerente do tratamento dos dados pessoais, sanções equivalentes em todos os Estados Membros, bem como uma cooperação efetiva entre as autoridades de controlo dos diferentes Estados Membros.

s preocupações com a cibersegurança têm estado sempre presentes na regulação da proteção dos dados pessoais. A Convenção 108 do Conselho da Europa estabeleceu, no seu artigo 7.º, sob a epígrafe “segurança dos dados”, que, para a proteção dos dados de caráter pessoal registados em ficheiros automatizados devem ser tomadas medida de segurança apropriadas contra a destruição, acidental ou não autorizada, e a perda acidental e também contra o acesso, a modificação ou a difusão não autorizados. A evolução tecnológica entretanto verificada determinou a emergência de soluções mais adequadas ao tratamento de dados pessoais, quer em termos físicos, quer em termos tecnológicos e digitais. No RGPD, a preocupação com a cibersegurança como princípio geral subjacente ao tratamento dos dados pessoais ficou patente na exigência de que os dados pessoais sejam tratados “de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas (‘integridade e confidencialidade’)” [artigo 5.º, n.º 1, alínea f)]. Cabe ao responsável pelo tratamento e ao subcontratante a aplicação de medidas técnicas e organizativas adequadas a assegurar um nível de segurança ajustado ao risco, o que pode requerer, nomeadamente:
  • a pseudonimização e a cifragem dos dados
  • a demonstração de capacidade para assegurar a confidencialidade, a integridade, a disponibilidade e a resiliência permanentes dos sistemas e dos serviços de tratamento
  • a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico; e
  • a implementação de um processo para testar, apreciar e avaliar regularmente a eficácia das medidas adotadas (artigo 32.º, n.º 1).


Sempre que se tome conhecimento de uma violação, cabe ao responsável pelo tratamento comunicá-la à autoridade de controlo (artigo 33.º do RGPD) e ao titular dos dados, quando a violação implicar risco elevado para os direitos e liberdades de pessoas singulares (artigo 34.º do RGPD).


classroom_meet_1


O RGPD é diretamente aplicável na ordem jurídica portuguesa, mas, para assegurar a sua execução em Portugal, o legislador português adotou a Lei n.º 58/2019, de 8 de agosto, designada Lei da Proteção de Dados Pessoais, que assume uma função instrumental de concretização e operacionalização das disposições do RGPD. O artigo 11.º da Lei n.º 58/2019 especifica as funções do Encarregado de proteção de dados, sublinhando que lhe cabe sensibilizar os utilizadores para a importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança. Atenta a necessidade de promover um tratamento de dados de saúde e de dados genéticos de forma particularmente segura, o artigo 29.º determina a necessidade de tais dados serem tratados por um profissional obrigado a sigilo ou por outra pessoa sujeita a dever de confidencialidade, devendo ser garantidas medidas adequadas de segurança da informação. Concretizando o regime sancionatório decorrente do artigo 83.º do RGPD [que deve ser lido à luz do seu artigo 58.º, n.º 2, alínea i)], o artigo 38.º da Lei n.º 58/2019 estabelece que se configurará como contraordenação grave a violação das regras de segurança previstas no artigo 32.º do RGPD. O artigo 47.º da Lei n.º 58/2019 estabelece dois tipos legais de crime: (a) o crime de acesso indevido, imputável a quem, sem a devida autorização ou justificação, aceder, por qualquer modo, a dados pessoais; e (b) o crime de desvio de dados, imputável a quem, copiar, subtrair, ceder ou transferir, a título oneroso ou gratuito, dados pessoais sem previsão legal ou consentimento, independentemente da finalidade prosseguida. Em ambos os casos, a pena pode ser agravada para o dobro nos seus limites quando o acesso tenha sido conseguido através da violação de regras técnicas de segurança.

DESTAQUES


A proteção de dados pessoais tem uma longa tradição no Direito internacional dos direitos humanos, enquanto dimensão da proteção da intimidade da vida privada e familiar. No Direito da União Europeia, a proteção de dados pessoais constitui um direito fundamental autónomo, consagrado no artigo 8.º da CDFUE.

O Regulamento Geral sobre a Proteção de Dados, adotado em 2016, veio assegurar às pessoas singulares de todos os Estados Membros o mesmo nível de direitos suscetíveis de proteção judicial, impondo obrigações e responsabilidades iguais aos responsáveis pelo tratamento e aos seus subcontratantes e um controlo coerente do tratamento dos dados pessoais, sanções equivalentes em todos os Estados Membros, bem como uma cooperação efetiva entre as autoridades de controlo dos diferentes Estados Membros.

No RGPD, a preocupação com a cibersegurança está patente na exigência de que os dados pessoais sejam tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas.

A Lei n.º 58/2019, de 8 de agosto (Lei da Proteção de Dados Pessoais), que assegura a execução do RGPD em Portugal, prevê o regime aplicável ao responsável pelo tratamento dos dados e especifica as funções do encarregado de proteção de dados. Também estabelece os regimes de proteção administrativa e judicial do titular de dados pessoais e os regimes de responsabilidade civil e sancionatória, contraordenacional e penal, para a violação das disposições do Regulamento.

Comunicações eletrónicas


A União Europeia começou a dar maior atenção à regulação jurídica das comunicações eletrónicas a partir de 2002, altura em que foi adotado um pacote legislativo composto pelos seguintes atos:
  • Diretiva 2002/19/CE, relativa ao acesso e interligação de redes de comunicações eletrónicas e recursos conexos
  • Diretiva 2002/20/CE, relativa à autorização de redes e serviços de comunicações eletrónicas
  • Diretiva 2002/21/CE, relativa a um quadro regulamentar comum para as redes e serviços de comunicações eletrónicas
  • Diretiva 2002/22/CE, relativa ao serviço universal e aos direitos dos utilizadores em matéria de redes e serviços de comunicações eletrónicas.


Ao tempo, a preocupação estava em assegurar que todos os Estados Membros se dotassem de redes e serviços de comunicações eletrónicas e que as suas operações pudessem ser efetivamente reguladas, observando um conjunto de regras mínimas, nomeadamente, no que dizia respeito às relações entre as autoridades reguladoras nacionais e os prestadores desses serviços e às relações estabelecidas entre estes últimos e os consumidores.

A Diretiva 2002/22/CE visou assegurar aos consumidores um serviço universal no âmbito das comunicações eletrónicas, proporcionando a disponibilidade em toda a União Europeia de serviços acessíveis ao público, de boa qualidade, através de uma concorrência e de uma possibilidade de escolha efetivas, atendendo às situações em que as necessidades dos utilizadores finais não fossem convenientemente satisfeitas pelo mercado. Para o efeito, a Diretiva 2002/22/CE estabelecia um conjunto mínimo de serviços de qualidade especificada a que todos os utilizadores deveriam ter acesso, a um preço razoável e sem que a concorrência entre os prestadores dos serviços sofresse distorções. Naquela altura, tais requisitos mínimos exigiram que os vários Estados Membros assegurassem, no quadro dos serviços prestados no âmbito das comunicações eletrónicas:
  • a oferta de acesso à rede telefónica em local fixo, permitindo a realização de chamadas telefónicas e viabilizando o acesso à Internet;
  • a disponibilização de listas telefónicas (impressas e/ou em suporte eletrónico), sujeitas a regular atualização; e
  • a colocação de postos públicos (i.e., de telefone acessível ao público em geral, cuja utilização pudesse ser paga com moedas e/ou cartões de pré-pagamento, incluindo cartões a utilizar com códigos de marcação).
classroom_meet_1


Estes serviços deveriam caracterizar-se por uma acessibilidade das tarifas aplicadas, mediante controlo prévio pelas autoridades reguladoras nacionais. No contexto português, a Autoridade Nacional de Comunicações (ANACOM) foi identificada como a autoridade reguladora nacional e ficou responsável pelo seu desenvolvimento e pelo acompanhamento do mercado. O Estado português, tentando dar cumprimento às obrigações decorrentes deste pacote legislativo europeu, adotou a Lei n.º 5/2004, de 10 de fevereiro, designada como Lei das Comunicações Eletrónicas.

A partir da adoção do pacote legislativo de 2002, verificou-se uma europeização da regulação das comunicações eletrónicas, pautada por preocupações de regulação social, associadas ao estabelecimento de um serviço universal a observar em todos os Estados Membros e que pressupunha, numa perspetiva de ubiquidade geográfica, a disponibilização de serviços considerados essenciais, tentando mitigar as assimetrias entre populações. Reconhece-se, no entanto, que o conceito de serviço universal deve ser dinâmico, para poder adequar-se aos avanços tecnológicos, ao desenvolvimento do mercado e às modificações na procura dos serviços por parte dos utilizadores. Uma nova Diretiva sobre comunicações eletrónicas foi adotada em 2009 – a Diretiva 2009/136/CE, que, entre outros atos normativos, alterou a Diretiva 2002/22/CE, de forma a promover uma maior inclusão dos consumidores, sublinhando a necessidade de facultar serviços de qualidade a utilizadores com necessidades especiais em situações de equivalência relativamente aos demais consumidores.

Atento o impacto da globalização nas comunicações eletrónicas, viabilizadas numa escala planetária, a Comissão Europeia fez, em 2016, um levantamento das necessidades de reforma legislativa em matéria de comunicações eletrónicas, que sintetizou na sua Comunicação “Conectividade para um Mercado Único Digital Concorrencial – rumo a uma sociedade europeia a Gigabits” [COM(2016) 05879]. A Comissão observou como a transformação digital vinha a repercutir-se sobre o setor das comunicações eletrónicas desde 2009, com mudanças nos padrões e nas necessidades de consumo resultantes da transição da telefonia vocal para o acesso fixo e móvel à Internet através de uma série de dispositivos (smartphones, tablets, computadores e televisões), concluindo ser necessário um desempenho mais apurado das redes através das quais tais serviços eram prestados. Segundo a Comissão, o potencial associado à transformação digital só poderia ser aproveitado se o espaço da União Europeia fosse capaz de assegurar a implantação e a adoção generalizadas de redes com capacidade muito elevada, quer em zonas urbanas, quer em zonas rurais. Assim sendo, a Comissão definiu três objetivos estratégicos a atingir até 2025:
  • no domínio do crescimento e emprego na Europa, implementar uma conectividade a gigabits nos locais que promovem o desenvolvimento socioeconómico;
  • no domínio da competitividade europeia, promover a cobertura 5G em todas as zonas urbanas e grandes vias de transporte terrestre; e
  • no domínio da coesão europeia, promover o acesso de todos os agregados familiares europeus a uma ligação de Internet com uma velocidade mínima de 100Mbps.


Estes objetivos foram tidos em consideração na adoção, a 11 de dezembro de 2018, da Diretiva (UE) 2018/1972, que estabelece o Código Europeu das Comunicações Eletrónicas.

Atentos os objetivos de potenciação da conectividade na União Europeia, a preocupação com a cibersegurança tem sido constante. O estabelecimento das infraestruturas de conectividade exige a fiabilidade das redes,sob pena de o avanço tecnológico não se revelar tão apetecível aos prestadores de serviços associados às comunicações eletrónicas e aos consumidores de tais serviços. Afinal, a Internet viabilizou o surgimento de serviços de comunicações online, com grandes benefícios para os utilizadores finais, mas o mercado interno das comunicações eletrónicas só poderá prosperar se se assegurar “uma proteção adequada em domínios como a segurança”. Estas preocupações são evidentes na Diretiva que estabelece o Código Europeu das Comunicações Eletrónicas. O Código visa assegurar a liberdade de oferta de serviços e redes de comunicações eletrónicas, mas os serviços devem ser prestados com um nível particularmente elevado de segurança. Os fornecedores de redes públicas de comunicações eletrónicas ou de serviços de comunicações eletrónicas acessíveis ao público, ou de ambos os serviços, estão obrigados a tomar medidas para salvaguardar a segurança das suas redes e serviços, respetivamente, e impedir ou minimizar o impacto dos incidentes de segurança, “tendo em conta os progressos técnicos mais recentes”. As medidas de segurança deverão ter em conta, no mínimo, os seguintes aspetos:
  • em matéria de segurança das redes e instalações, as medidas deverão observar padrões de segurança física e ambiental, de segurança no fornecimento, de controlo do acesso às redes e de integridade das redes;
  • em matéria de gestão de incidentes de segurança, deverão ser adotados procedimentos de gestão que potenciem a capacidade de deteção de incidentes de segurança e a implementação de relatórios necessários à comunicação de incidentes de segurança;
  • em matéria de gestão da continuidade operacional, deverá ser implementada uma estratégia vocacionada à continuidade do serviço e à adoção de planos de emergência, que determine as capacidades de recuperação em casos de desastres; e
  • em matéria de monitorização, auditorias e testes, cabe implementar políticas de monitorização e de registo, processando os exercícios relativos aos planos de emergência, de realização de testes da rede e dos serviços, viabilizando a realização de avaliações de segurança e de controlo do cumprimento e do respeito por padrões normativos, nomeadamente de caráter internacional.


Para defesa dos direitos dos consumidores, o Código impõe ao fornecedor dos serviços que especifique, nocontrato celebrado com o utilizador, as medidas que adotará em caso de incidentes de segurança, de ameaças e de vulnerabilidades, e também que esclareça o regime indemnizatório e de reembolso aplicável no caso de dar uma resposta inadequada a um incidente de segurança, inclusivamente nos casos em que o incidente de segurança comunicado pelo fornecedor tenha resultado de vulnerabilidades conhecidas de software ou hardware para as quais o fabricante ou o programador tenham emitido correções.

Portugal está obrigado a transpor a Diretiva (UE) 2018/1972, que estabelece o Código Europeu das Comunicações Eletrónicas, até ao dia 21 de dezembro de 2020. Para dar cumprimento a esta obrigação, o Governo criou um grupo de trabalho com a incumbência de proceder ao estudo e à análise da nova legislação das comunicações eletrónicas e de elaborar um anteprojeto legislativo de transposição do Código Europeu das Comunicações Eletrónicas, com inclusão e consolidação da demais legislação sectorial (Despacho n.º 303/2020, de 9 de janeiro). Em 31 de julho de 2020, a ANACOM aprovou, para envio à Assembleia da República e ao Secretário de Estado Adjunto e das Comunicações, um anteprojeto de diploma para transposição do Código Europeu das Comunicações Eletrónicas e o conjunto de propostas de alterações pontuais de outra legislação em vigor.

DESTAQUES


Na União Europeia, tem havido a preocupação em assegurar que todos os Estados Membros se dotem de redes e serviços de comunicações eletrónicas de boa qualidade, sendo as operações daí decorrentes sujeitas a competente regulação pelas autoridades reguladoras nacionais (no caso português, a ANACOM).

A regulação das comunicações eletrónicas é pautada por preocupações de regulação social, com vista a mitigar as assimetrias entre as populações, com base num conceito de “serviço universal” suficientemente dinâmico para se adequar aos desenvolvimentos no âmbito tecnológico e digital.

A transformação digital determinou a transição da telefonia vocal para o acesso à Internet, o que motivou a adoção da Diretiva (UE) 2018/1972 que estabelece o Código Europeu das Comunicações Eletrónicas.

O Código Europeu das Comunicações Eletrónicas visa assegurar a liberdade de oferta de serviços e redes de comunicações eletrónicas que observem um nível particularmente elevado de segurança.

Os padrões de segurança exigíveis são de segurança física e ambiental, de fornecimento, de controlo de acesso às redes e de integridade dessas redes; a adoção de procedimentos de gestão que permitam detetar e minimizar incidentes de segurança; uma capacidade de continuidade operacional e a implementação de políticas de monitorização, de auditoria e de condução de testes.

A Diretiva que estabelece o Código Europeu das Comunicações Eletrónicas tem como prazo de transpoição pelo Estado português o dia 21 de dezembro de 2020.

Comércio eletrónico, pagamentos eletrónicos e identificação eletrónica


Toda a produção legislativa em matéria de comércio eletrónico, pagamentos eletrónicos e identificação eletrónica sofreu um impulso inicial e decisivo por parte da União Europeia. Em 1987, o Conselho das Comunidades Europeias instituiu o programa TEDIS (Trade Electronic Data Interchange Systems), relativo à transferência eletrónica de dados (EDI) nas áreas do comércio, da indústria e da administração (Decisão 87/499/CEE, de 5 de outubro), de que resultou, entre outras coisas, a preparação de um projeto de acordo-tipo EDI europeu, o que viria a ser concretizado com a Recomendação 94/820/CE da Comissão, de 19 de outubro, relativa aos aspetos jurídicos da transferência eletrónica de dados. Tratava-se na altura de definir um modelo que pudesse ser adotado pela indústria no sentido de acompanhar os desenvolvimentos e crescente utilização, na área empresarial, de novos instrumentos de contratação e pagamentos eletrónicos, nomeadamente com o incremento de utilização da EDI. Pretendia-se melhorar o quadro jurídico através de uma abordagem uniforme das questões jurídicas, aumentar a segurança jurídica para os parceiros comerciais e reduzir as incertezas surgidas com a EDI, bem como evitar a duplicação de trabalho para as empresas, dispensando-as de elaborar o seu próprio acordo de transferência.

O acordo-tipo EDI europeu espelha bem a necessidade de uma abordagem assente em diferentes especificações, a saber, uma especificação técnica, uma especificação de segurança e uma especificação jurídica. Relativamente às questões de segurança, havia já a preocupação de adotar um conjunto de procedimentos que assegurassem a confidencialidade das mensagens eletrónicas, tentando evitar a ocorrência de fraudes, pirataria, interceção ilícita e adulteração de mensagens ou qualquer acesso indevido aos sistemas informáticos. No acordo-tipo, era dada particular importância a questões como o aviso de receção de mensagens, o seu não repúdio, métodos e procedimentos de segurança (sobretudo no que se referia à integridade e confidencialidade das mensagens), responsabilidades pelos procedimentos de segurança e acordos entre as partes no tocante ao registo e arquivamento de mensagens. A utilização de técnicas de criptografia assimétrica era já encarada como um importante fator de segurança nas comunicações eletrónicas.

Para além de continuar a produzir recomendações e comunicações sobre estas matérias, a Comissão Europeia encetou, a partir de 1994, um conjunto de iniciativas legislativas que resultaram em Diretivas e Regulamentos sobre três eixos fundamentais: (a) identificação eletrónica, assinaturas eletrónicas e certificação eletrónica; (b) serviços da sociedade da informação, em particular o comércio eletrónico; e (c) pagamentos eletrónicos.

A Diretiva 1999/93/CE, de 13 de dezembro, relativa a um quadro legal comunitário para as assinaturas eletrónicas, foi adotada com o objetivo de facilitar a utilização das assinaturas eletrónicas e contribuir para o seu reconhecimento legal. A Diretiva trouxe alguns desenvolvimentos importantes, entre os quais a identificação de três tipos diferenciados de assinatura eletrónica (de acordo com níveis diferentes de segurança e confiança na sua utilização), a assunção clara de um princípio de neutralidade tecnológica e a eliminação da obrigatoriedade de sujeição a autorização administrativa para o exercício da atividade dos prestadores de serviços de certificação.


classroom_meet_1

Este normativo teve um profundo impacto na ordem jurídica portuguesa. O Decreto-Lei n.º 290-D/1999, de 2 de agosto, que aprovou o regime jurídico dos documentos eletrónicos e da assinatura digital, dando o primeiro passo no sentido da consagração legal das assinaturas eletrónicas em Portugal, acolheu expressamente as soluções constantes da proposta de diretiva avançada pela Comissão Europeia. Com a transposição da Diretiva 1999/93/ CE, pelo Decreto-Lei n.º 62/2003, de 3 de abril, o Decreto-Lei n.º 290-D/1999 passou a adotar uma terminologia tecnologicamente neutra e a usar o conceito mais amplo de assinatura eletrónica, enquanto resultado de um processamento eletrónico de dados suscetível de constituir objeto de direito individual e exclusivo e de ser utilizado para dar a conhecer a autoria de um documento eletrónico. Quanto às entidades certificadoras, a lei portuguesa manteve a possibilidade (ou ónus) de as empresas certificadoras, emitentes de certificados de assinatura eletrónica qualificada, solicitarem a sua credenciação junto da entidade credenciadora, conferindo-se às assinaturas baseadas em tais certificados a força probatória equivalente a assinatura manuscrita. Este regime, que se pautava por uma grande exigência em termos de fiabilidade e controlo do processo de emissão e certificação de assinaturas eletrónicas, pecava por criar um regime de desigualdade entre assinaturas eletrónicas qualificadas. Para além disso, verificou-se um vazio legal que impediu, durante alguns anos, a emissão de certificados qualificados nos termos então previstos, porque o Sistema de Certificação Eletrónica do Estado só viria a ser criado em 2006, pelo Decreto-Lei n.º 116-A/2006, de 16 de junho, que designou a Autoridade Nacional de Segurança como autoridade credenciadora nacional.

Na sequência da criação do Sistema de Certificação Eletrónica do Estado, o Decreto-Lei n.º 88/2009, de 9 de abril, veio harmonizar o regime dos documentos eletrónicos e da assinatura eletrónica com a necessidade de utilização de certificados qualificados por entidades públicas, introduzindo ao mesmo tempo um regime sancionatório mais rigoroso com efeitos preventivos e persuasivos relativamente ao (in)cumprimento das normas legais pelos operadores que atuam no mercado da certificação. Abriu-se ainda a possibilidade de emissão de certificados para entidades certificadoras atuando fora do Sistema de Certificação Eletrónica do Estado, de modo a assegurar o reconhecimento internacional dos respetivos certificados, bem como a interoperabilidade entre as diferentes estruturas de chaves públicas a nível europeu, assim se assegurando uma menor desigualdade entre os operadores. No entanto, o regime português continuou a estabelecer, até à entrada em vigor do Regulamento (UE) 910/2014, de 23 de julho, um regime de desigualdade entre os operadores que emitiam certificados qualificados e os operadores credenciados (pela Entidade de Certificação Eletrónica do Estado) que também emitiam certificados qualificados, mas que podiam assegurar um valor probatório diferente (valor equivalente ao de assinatura manuscrita).

A necessidade de assegurar a interoperabilidade entre os produtos de assinatura eletrónica e os serviços de certificação eletrónica a nível europeu, muitas vezes inviabilizada por força de regimes diferenciados nos vários Estados Membros, e a constatação de avanços tecnológicos que permitiam oferecer um conjunto de novos serviços no que concerne à identificação eletrónica e aos serviços de confiança para as transações eletrónicas, levaram o legislador europeu a uma profunda revisão do quadro jurídico nesta matéria, através do Regulamento (UE) 910/2014, de 23 de julho, também conhecido como Regulamento eIDAS (Electronic Identification, Authenticationand Trust Services). Este Regulamento veio colocar a tónica nas questões da identificação eletrónica (englobando os tradicionais métodos de autenticação eletrónica e os métodos de assinatura eletrónica) e da criação de um quadro legal de confiança na prestação de serviços e nas transações eletrónicas no mercado interno.


classroom_meet_1

O Regulamento eIDAS – diretamente aplicável – revogou a Diretiva 1999/93/CE, com o que contribuiu para criar um quadro normativo mais uniforme entre todos os Estados Membros e para garantir a necessária interoperabilidade na prestação dos serviços. Por outro lado, manteve o conceito amplo e tecnologicamente neutro de assinatura eletrónica, abrindo caminho para uma possível utilização de novas tecnologias de assinatura, como será o caso das assinaturas dinâmicas, integrando novos desenvolvimentos das tecnologias biométricas comportamentais com os requisitos de segurança das assinaturas digitais. A expressa e clara distinção entre “autenticação” e “assinatura” abriu também o espaço à utilização de novos métodos de autenticação, como é o caso, em Portugal, das Chaves Móveis Digitais (previstas na Lei n.º 37/2014, de 26 de junho)17, utilizadas no relacionamento dos cidadãos com a Administração Pública.

O Regulamento introduziu novos serviços de segurança jurídica eletrónica, como são os selos eletrónicos (de evidente interesse para as pessoas coletivas), os selos temporais (um importante instrumento de prova de que um documento eletrónico existia num determinado momento), o serviço de envio registado eletrónico (que possibilita a prova de envio e receção de um documento eletrónico) e o certificado de autenticação de sítio web (para determinar que um sítio web é o sítio autêntico de certa pessoa ou entidade e não uma qualquer falsificação, eventualmente movida por intenções maliciosas ou ilícitas).

Pela abrangência dos novos serviços de segurança que prevê, o Regulamento eIDAS tem potencial para impulsionar um quadro de maior segurança para operadores e utilizadores dos serviços da sociedade da informação18. É, em todo o caso, sobretudo com a definição, nos seus anexos I a IV, dos requisitos aplicáveis aos certificados qualificados de assinatura eletrónica, aos dispositivos qualificados de criação de assinaturas eletrónicas, aos certificados qualificados de selos eletrónicos e aos certificados qualificados de autenticação de sítios que o Regulamento eIDAS mais contribui para o aumento da cibersegurança e da confiança dos cidadãos na utilização das tecnologias e na prestação de serviços da sociedade da informação.

Em matéria de regulação dos serviços da sociedade da informação, em particular no respeitante ao comércio eletrónico, o quadro legal teve uma evolução mais lenta e revelou-se dotado de uma muito mais evidente estabilidade. No final da década de 1990, com a generalização do uso da Internet e da perceção da sua relevância para a prestação de novos serviços e do desenvolvimento de atividades comerciais online, a Comissão Europeia preparou o que veio a ser a Diretiva 2000/31/CE, de 8 de junho, relativa a certos aspetos legais dos serviços da sociedade da informação, em especial do comércio eletrónico, no mercado interno (“Diretiva do Comércio Eletrónico”), com o objetivo de proteger os consumidores mas também de estimular o crescimento económico e o investimento na inovação.

Esta Diretiva assumiu como princípio-base a liberdade de estabelecimento e, consequentemente, a não sujeição dos operadores a qualquer tipo de autorização prévia, mas estabeleceu um conjunto de deveres de informação, por parte dos prestadores de serviços, no sentido de assegurar a transparência do exercício e a informação dos clientes e consumidores. Por outro lado, como contrapartida dessa liberdade de estabelecimento, foi delineado um quadro de responsabilidade dos prestadores de serviços, em larga medida em benefício dos mesmos, com o objetivo de incentivar o estabelecimento de prestadores de serviços online. A Diretiva teve o cuidado, em todo o caso, de distinguir as diferentes situações e intervenientes nessa prestação de serviços, desde o mero facultar de acesso à rede até ao serviço de transmissão ou de armazenamento de mensagens, estabelecendo-se como regra geral a de ausência de um dever geral de vigilância pelos prestadores de serviços. Questão relevante que a Diretiva timidamente abordou, quer em termos comerciais quer em termos de proteção de direitos e legítimos interesses dos cidadãos e empresas, foi a das chamadas “comunicações não solicitadas”, apontando-se num momento inicial para uma solução opt-out tout court, mas com expressa previsão de que os Estados Membros poderiam permitir, ou não, a comunicação comercial não solicitada por correio eletrónico.

O Decreto-Lei n.º 7/2004, de 7 de janeiro, que transpôs a Diretiva para o Direito português (comummente referido como “Lei do Comércio Eletrónico”), veio regular os vários aspetos já enunciados na Diretiva, nalguns casos desenvolvendo o seu regime, abordando questões não abordadas na Diretiva e até inovando claramente nalguns aspetos. Tal foi o caso da abordagem do legislador português às regras da contratação eletrónica, distinguindo claramente as situações de contratação por meio de comunicação individual (contratação interpessoal), de celebração de contratos online (contratação interativa) e, inovação máxima do legislador português, em consonância com a realidade da contratação através de EDI e com o que já vinha sendo discutido no Direito norte-americano, a introdução no nosso Direito da “contratação sem intervenção humana” (ou contratação intersistémica). Relativamente às comunicações não solicitadas, este diploma introduziu um regime misto, com o opt-in como regra, mas prevendo um regime opt-out para a comunicação entre as empresas e os seus clientes e para o caso de envio de mensagens a pessoas coletivas. Estas regras sobre comunicações não solicitadas19 vieram trazer alguma estabilidade e confiança no domínio das relações entre prestadores de serviços e clientes/ utilizadores.

Nos vinte anos que decorreram desde a adoção da Diretiva, houve um vasto conjunto de alterações do panorama tecnológico e social que convidam a uma revisão deste quadro normativo. Novas realidades, como a Computação em Nuvem, a Internet das Coisas, os Ambientes Inteligentes, a progressiva introdução da Inteligência Artificial, os drones (autónomos ou não) e a Blockchain, para só referir os casos mais evidentes, vêm impor uma nova abordagem e uma profunda revisão do quadro atual. Um outro aspeto que se tornou evidente nos últimos anos, e que impõe uma profunda revisão dos quadros legais, é a da cada vez maior relevância das plataformas eletrónicas nas mais diversas atividades, incluindo os serviços da sociedade da informação e o comércio eletrónico. A este propósito, o Parlamento Europeu anunciou, em outubro de 2020, a sua intenção de estabelecer novas regras para a regulação das plataformas online e funcionamento de mercados online, tendo para o efeito sido apresentados os termos de uma iniciativa legislativa tendente à aprovação de um ato legislativo sobre “serviços digitais”. Particular atenção será dada à necessidade de combater os conteúdos ilegais online, o que previsivelmente obrigará a uma revisão dos atuais quadros de responsabilidade dos prestadores de serviços da sociedade da informação.

Em matéria de pagamentos eletrónicos, o impulso inicial partiu da Recomendação da Comissão Europeia sobre um Código Europeu de Boa Conduta em matéria de Pagamento Eletrónico, de 1987 (Recomendação 87/598/CEE, de 8 de dezembro). Ao tempo, o que estava em causa eram, essencialmente, os pagamentos efetuados por cartão com pista magnética ou micro processador através de um equipamento terminal de pagamento eletrónico (TPE) ou de um terminal ponto de venda (TPV). No ano seguinte, a Comissão avançou com uma recomendação sobre sistemas de pagamento e, em especial, às relações entre o titular e o emissor de cartões (Recomendação 88/590/CEE, de 17 de novembro). Em ambos os documentos, a tónica foi posta na segurança e na defesa dos consumidores, nomeadamente no que toca à proteção de dados. Mais tarde, já em 1997, a Comissão Europeia, atenta à ampla realização de transações através de instrumentos de pagamento eletrónico, incluindo cartões de pagamento e serviços de banca no domicílio e de banca telefónica (incluindo já a utilização de cartões de pagamento e de instrumentos de moeda eletrónica), e visando assegurar um elevado grau de defesa do consumidor no domínio dos instrumentos de pagamentos eletrónicos, veio recomendar um conjunto de regras aplicáveis à transferência de fundos e pagamento de numerário através de instrumentos de pagamento eletrónico (Recomendação 97/489/CE, de 30 de julho). Continuava-se, em todo o caso, no domínio das normas não vinculativas, com recomendações de boas práticas que visavam tornar mais transparente a relação entre os prestadores de serviços e os consumidores.

Pouco depois da publicação da Diretiva do Comércio Eletrónico, referida antes, foi aprovada a Diretiva 2000/46/ CE, de 18 de setembro, que veio regular o acesso à atividade das instituições de moeda eletrónica bem como a sua atividade. Esta Diretiva apresenta alguns conceitos importantes para a segurança das transações financeiras, como o conceito de “instituição de moeda eletrónica”, enquanto empresa ou pessoa coletiva que emite meios de pagamento sob a forma de moeda eletrónica, sendo esta entendida como um valor monetário, representado por um crédito sobre o emitente, armazenado num suporte eletrónico e emitido contra a receção de fundos de um valor não inferior ao valor monetário emitido e que seja aceite como meio de pagamento por outras empresas que não a emitente. A matéria dos serviços de pagamento no mercado interno viria a ser regulada apenas com a Diretiva 2007/64/CE, de 13 de novembro, que estabeleceu regras em matéria de transparência das condições e requisitos de informação aplicáveis aos serviços de pagamento.

Os anos seguintes à aprovação da Diretiva 2007/64/CE foram plenos de novidades tecnológicas e de uma ainda maior generalização da utilização de meios eletrónicos de pagamento, com o rápido crescimento da sua utilização e com a generalização do uso de dispositivos móveis e novos tipos de serviços de pagamento disponíveis no mercado. Entre as preocupações que conduziriam à alteração do quadro regulatório estiveram sempre as de proporcionar um quadro seguro em que os prestadores de serviços pudessem lançar serviços digitais inovadores, seguros e de fácil utilização, e que os consumidores pudessem dispor de meios de pagamento eficazes, práticos e seguros em todo o território da União. Havia uma clara perceção de que o volume crescente de pagamentos eletrónicos à escala mundial e o constante surgimento de novos tipos de serviços traziam riscos associados que havia de enfrentar, com a consciência de que a existência de serviços de pagamentos seguros constitui condição indispensável para o bom funcionamento do mercado. Com esta perspetiva e preocupações viria a ser aprovada a Diretiva 2015/2366/UE, de 25 de novembro, relativa aos serviços de pagamento no mercado interno.

Partindo de uma abordagem tecnologicamente neutra, a Diretiva 2015/2366/UE introduziu uma definição neutra de “aceitação de serviços de pagamento”, garantindo a mesma proteção independentemente do serviço de pagamento utilizado. Houve, no entanto, o cuidado de separar, na previsão normativa, os serviços técnicos fornecidos aos prestadores de serviços de pagamento, dos modelos de aceitação de pagamentos propriamente ditos. Outro aspeto importante abordado pela Diretiva 2015/2366/UE é o que se refere a um conjunto de exclusões que eram previstas na Diretiva 2007/64/CE, nomeadamente no que respeitava aos chamados serviços de valor acrescentado, que eram aplicadas de forma diferente nos Estados Membros, o que conduzia a uma falta de segurança jurídica para os consumidores e para os operadores.

Aspeto importante da segurança dos pagamentos eletrónicos, a que a Diretiva expressamente se refere, é o que se prende com as credenciais de segurança personalizada – “elementos personalizados fornecidos pelo prestador de serviços de pagamento a um utilizador de serviços de pagamento para efeitos de autenticação” (artigo 4.º, n.º 31, da Diretiva) – utilizadas para a autenticação segura do cliente e cujo uso é necessário para minimizar os riscos de mistificação da interface (phishing) e outras atividades fraudulentas. Coloca-se aqui, mais uma vez, em relevo a questão da utilização de sistemas de encriptação, “que podem gerar códigos de autenticação tais como senhas de utilização única, podem reforçar a segurança das operações de pagamento”.

Em termos de segurança do funcionamento dos serviços de pagamentos eletrónicos, a Diretiva é clara ao afirmar a responsabilidade dos prestadores de serviços de pagamentos pela adoção de medidas de segurança “proporcionadas em relação aos riscos de segurança em causa”. A este respeito, é particularmente relevante a previsão de que os prestadores de serviços de pagamento deverão estabelecer um quadro para mitigar os riscos e manter procedimentos eficazes de gestão de incidentes e de que deverá ser criado um mecanismo de comunicação regular, a fim de assegurar que os prestadores de serviços de pagamento apresentem periodicamente às autoridades competentes uma avaliação atualizada dos seus riscos em matéria de segurança e das medidas por eles adotadas em resposta a esses riscos”. Para além disso, os prestadores de serviços serão obrigados “a comunicar sem demora indevida às autoridades competentes os incidentes graves em matéria de segurança”.

Existem discrepâncias na utilização do conceito técnico-jurídico de “autenticação”, que, na Diretiva 2015/2366/UE, é entendida como “um procedimento que permite ao prestador de serviços de pagamento verificar a identidade de um utilizador de serviços de pagamento ou a validade da utilização de um instrumento de pagamento específico, incluindo a utilização das credenciais de segurança personalizadas do utilizador”, enquanto, no Regulamento (UE) 910/2014 (Regulamento eIDAS), “autenticação” é “o processo eletrónico que permite a identificação eletrónica de uma pessoa singular ou coletiva ou da origem e integridade de um dado em formato eletrónico a confirmar”. Refira-se, no entanto, que a especificidade da matéria dos pagamentos eletrónicos e as suas implicações em termos de segurança levaram o legislador europeu a introduzir na Diretiva 2015/2366/UE o conceito de “autenticação forte do cliente”, ou seja “uma autenticação baseada na utilização de dois ou mais elementos pertencentes às categorias conhecimento (algo que só o utilizador conhece), posse (algo que só o utilizador possui) e inerência (algo que o utilizador é), os quais são independentes, na medida em que a violação de um deles não compromete a fiabilidade dos outros, e que é concebida de modo a proteger a confidencialidade dos dados de autenticação”.

A Diretiva 2015/2366/UE foi transposta para a ordem jurídica portuguesa pelo Decreto-Lei n.º 91/2018, de 12 de novembro, que veio aprovar um novo Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica. Este diploma regulou o acesso e condições gerais de atividade dos prestadores de serviços de pagamento e dos emitentes de moeda eletrónica, prevendo a prestação de dois novos tipos de serviços de pagamento, a saber, serviços de iniciação de pagamento e serviços de informação sobre contas. Foram ainda definidas regras relativas ao acesso a sistemas e contas de pagamento e sobre gestão de riscos operacionais e de segurança. De acordo com o previsto pela Diretiva 2015/2366/UE, o Decreto-Lei n.º 91/2018 veio expressamente salientar a exigência de uma autenticação forte, prevendo a adoção de medidas de segurança suficientes para proteger a confidencialidade e integridade das credenciais de segurança personalizadas dos utilizadores de serviços de pagamento. Especial atenção foi ainda dada à necessidade de a autenticação do utilizador, nos serviços de pagamento, incluir “elementos que associem de forma dinâmica a operação a um montante e beneficiário específicos, de modo que o utilizador esteja sempre informado do que está a autorizar”.

O Decreto-Lei n.º 91/2018 atribui competências de supervisão prudencial e comportamental ao Banco de Portugal, incluindo competências de fiscalização e de instauração de processos contraordenacionais e de aplicação de sanções, bem como de emitir recomendações e determinações específicas. Em caso de incidentes operacionais e de segurança de caráter severo, os prestadores de serviços deverão notificar sem demora o Banco de Portugal (artigo 71.º, n.º 1). Enquanto autoridade de supervisão, o Banco de Portugal cooperará com as autoridades de supervisão dos restantes Estados Membros, com o Banco Central Europeu e com os bancos centrais. As entidades prestadoras de serviços de pagamento deverão estabelecer “um quadro com medidas de mitigação e mecanismos de controlo adequados para gerir os riscos operacionais e de segurança, relacionados com os serviços de pagamento por si prestados”, incluindo “procedimentos eficazes de gestão de incidentes, inclusive para a deteção e classificação de incidentes operacionais e de segurança de caráter severo” (artigo 70.º, n.os 1 e 2), devendo o Banco de Portugal estabelecer “as normas regulamentares respeitantes à definição, à aplicação e à monitorização das referidas medidas de segurança” (artigo 70.º, n.º 4). No que respeita ao conceito de “incidentes operacionais e de segurança de caráter severo”, a eles se refere a Instrução n.º 1/2019 do Banco de Portugal, que remete para o documento da European Bank Authority (EBA) intitulado Orientações sobre a comunicação de incidentes de caráter severo ao abrigo da DSP2 (EBA/GL/2017/10).

DESTAQUES


Em matéria de identificação eletrónica, assinaturas eletrónicas e certificação eletrónica, os momentos decisivos na evolução do regime jurídico foram a adoção da Diretiva 1999/93/CE, que estabeleceu o princípio da neutralidade tecnológica e definiu as regras essenciais do sistema de certificação eletrónica nos Estados Membros, e a adoção do Regulamento (UE) 910/2014 (eIDAS), que colocou a tónica na questão da identificação eletrónica (autenticação e assinatura) e introduziu um conjunto de novos serviços da sociedade da informação tendentes a garantir um nível mais elevado de segurança na prestação de serviços e nas transações eletrónicas e a interoperabilidade na prestação de serviços.

Em matéria de comércio eletrónico, o diploma de referência continua a ser a Diretiva 2000/31/CE, que estabelece regras de transparência e deveres de informação a cargo dos prestadores de serviços da sociedade da informação. O desenvolvimento tecnológico dos últimos anos virá certamente impor uma nova abordagem e uma profunda revisão do quadro atual. A regulação e funcionamento das plataformas e mercados online já foram anunciados como temas sobre os quais versarão, em breve, novas iniciativas legislativas

Em matéria de pagamentos eletrónicos, os marcos na evolução do regime jurídico são a Diretiva 2007/64/CE, que estabeleceu regras em matéria de transparência das condições e requisitos de informação aplicáveis aos serviços de pagamento, e a Diretiva 2015/2366/EU, que reforçou a segurança dos pagamentos eletrónicos, com a introdução de conceitos novos como as credenciais de segurança personalizada e de autenticação forte e com a responsabilização dos prestadores de serviços de pagamento pelo estabelecimento de medidas para mitigar os riscos e manutenção de procedimentos eficazes de gestão de incidentes.

Propriedade intelectual


Os primeiros esforços de harmonização internacional em matéria de proteção da propriedade intelectual – e.g. Convenção de Berna, de 1886, relativa à proteção de obras literárias e artísticas; Convenção de Paris para a proteção da propriedade industrial, de 1883; Convenção de Roma, de 1961, para proteção dos artistas intérpretes ou executantes, dos produtores de fonogramas e dos organismos de radiodifusão; e Convenção de Bruxelas, de 1974, para proteção dos sinais transmitidos por satélites de comunicação – são anteriores à década de 1990 e à sociedade da informação, pelo que não é de estranhar que não reflitam uma preocupação especial com a cibersegurança. A preocupação central na aplicação destes tratados tem sido a harmonização internacional da propriedade intelectual e a cooperação internacional para a sua efetividade.

Só nos instrumentos mais recentes, como o Acordo sobre os aspetos dos direitos de propriedade intelectual relacionados com o comércio (Acordo TRIPS), constante do anexo 1C do Tratado que cria a Organização Mundial do Comércio, de 1994, encontramos uma preocupação com os riscos da globalização para a tutela e efetividade dos direitos de propriedade intelectual, que podemos associar, ainda que indiretamente, aos riscos dos mercados digitais globais potenciados pela sociedade da informação.

Para Portugal, é naturalmente muito relevante o esforço da União Europeia de harmonização dos direitos de propriedade intelectual, em grande medida relacionados com a transição para o mercado digital. Desde logo, o reconhecimento de tutela a bens tipicamente digitais, com a Diretiva 96/9/CE, de 11 de março, relativa à proteção jurídica das bases de dados, e com a Diretiva 2009/24/CE, de 23 de abril, relativa à proteção jurídica dos programas de computador20. Para as obras tradicionais, é relevante a Diretiva 2001/29/CE, de 22 de maio, que promoveu uma harmonização de certos aspetos do direito de autor e dos direitos conexos na sociedade da informação21. Especificamente relacionados com a tutela de direitos de autor e direitos conexos na sociedade da informação são ainda relevantes a recente Diretiva 2019/789/UE, de 17 de abril, que estabelece normas sobre o exercício dos direitos de autor e direitos conexos aplicáveis a determinadas transmissões online dos organismos de radiodifusão e à retransmissão de programas de televisão e de rádio, e a Diretiva 2014/26/ UE, de 26 de fevereiro, relativa à gestão coletiva dos direitos de autor e direitos conexos e à concessão de licenças multiterritoriais de direitos sobre obras musicais para utilização online no mercado interno. Do lado da propriedade industrial assume particular relevância a harmonização efetuada por um conjunto de diretivas, nomeadamente, a Diretiva 87/54/CEE, de 16 de dezembro, relativa à proteção jurídica das topografias de produtos semicondutores; a Diretiva 98/44/CE, de 6 de julho, relativa à proteção jurídica das invenções biotecnológicas; a Diretiva 98/71/CE, de 13 de outubro, relativa a desenhos ou modelos; a Diretiva 2004/48/ CE, de 29 de abril, relativa ao respeito dos direitos de propriedade intelectual; a Diretiva 2008/95/CE, de 22 de outubro de 2008, que aproxima as legislações dos Estados Membros em matéria de marcas; e a Diretiva 2015/2436, de 16 de dezembro, sobre marcas. Importa ainda referir o Regulamento (CE) 40/94, de 20 de dezembro, sobre marca comunitária, e o Regulamento (CE) 6/2002 do Conselho, de 12 de dezembro de 2001, relativo aos desenhos e modelos comunitários (22). Por fim, com um âmbito mais abrangente, abarcando todos os direitos de propriedade intelectual, importa referir o Regulamento (UE) 608/2013, de 12 de junho, relativo à intervenção das autoridades aduaneiras para assegurar o cumprimento da legislação sobre os direitos de propriedade intelectual.


classroom_meet_1
Há, em grande parte do esforço de harmonização legislativa da União Europeia relacionada com os direitos de propriedade intelectual e concorrência desleal, uma clara preocupação de adaptação do regime aos bens e riscos da sociedade da informação.

A preocupação com a cibersegurança não é, por isso, alheia a algumas das soluções jurídicas adotadas pela União Europeia nesta matéria. Com particular interesse para a questão da cibersegurança, é a Diretiva 2016/943/UE, de 8 de junho, relativa à proteção de know-how e de informações confidenciais (segredos comerciais) contra a sua obtenção, utilização e divulgações ilegais. Logo nos seus considerandos iniciais se salienta que “[a]s empresas inovadoras estão cada vez mais expostas a práticas desonestas que visam a apropriação indevida de segredos comerciais, como o roubo, a cópia não autorizada, a espionagem económica ou a violação de requisitos de confidencialidade, quer dentro, quer fora da União”. Em conformidade, a Diretiva prevê um conjunto de medidas de reforço da tutela dos segredos comerciais. Embora nenhuma delas verse especificamente sobre a questão da cibersegurança, estas medidas refletem as questões da dificuldade de deteção, pesquisa, prova e restrição contra atos lesivos de exclusivos de propriedade intelectual e/ou concorrência desleal.

Em Portugal, a matéria dos direitos de autor e direitos conexos encontra-se compilada no Código de Direito de Autor e Direitos Conexos (CDADC), aprovado pelo Decreto-Lei n.º 63/85, de 14 de março (23). Fora deste Código ficou o regime jurídico dos programas de computador, aprovado pelo Decreto-Lei n.º 252/94, de 20 de outubro (24), bem como o regime jurídico das bases de dados, aprovado pelo Decreto-Lei n.º 122/2000, de 4 de julho. A técnica legislativa é um pouco incoerente, já que deixa partes dos respetivos regimes dentro do Código e parte nestes diplomas avulsos. Importante também é a Lei n.º 26/2015, de 14 de abril, que regula as entidades de gestão coletiva do direito de autor e dos direitos conexos, inclusive quanto ao estabelecimento em território nacional e à livre prestação de serviços das entidades previamente estabelecidas noutro Estado Membro da União Europeia ou do Espaço Económico Europeu.

No âmbito da tutela dos direitos de autor e direitos conexos, uma nota especial para o regime de proteção das medidas de carácter tecnológico e das informações para a gestão eletrónica dos direitos, previstas nos artigos 217.º a 228.º do CDADC, que resultam da transposição das medidas previstas no artigo 6.º da Diretiva 2001/29/CE, no artigo 11.º do Tratado da OMPI sobre Direito de Autor e no artigo 18.º do Tratado da OMPI sobre Interpretações ou Execuções e Fonogramas. Estas medidas dividem-se entre as medidas de caráter tecnológico, entendidas como “toda a técnica, dispositivo ou componente que, no decurso do seu funcionamento normal, se destinem a impedir ou restringir atos relativos a obras, prestações e produções protegidas” (artigo 217.º, n.º 2, CDADC) e a informação para a gestão eletrónica dos direitos, entendida como “toda a informação prestada pelos titulares dos direitos que identifique a obra, a prestação e a produção protegidas a informação sobre as condições de utilização destes, bem como quaisquer números ou códigos que representem essa informação” (artigo 223.º, n.º 2, CDADC). Este regime determina, não só a legitimidade destas medidas tecnológicas, no confronto com os sempre sensíveis direitos de acesso à cultura e à informação, mas também a tutela civil e penal contra a sua violação. A tutela destas medidas tecnológicas visa assegurar a cibersegurança do exclusivo de exploração digital das obras, prestações e produções protegidas por direito de autor e direitos conexos.

O Código da Propriedade Industrial (CPI) em vigor, aprovado pelo Decreto-Lei n.º 110/2018, de 10 de dezembro, incorpora já todas as medidas propostas pelos tratados internacionais e pelos instrumentos de Direito da União Europeia. Entre as inovações mais relevantes do CPI, por transposição da Diretiva (UE) 2016/943, foi precisamente a autonomização do ilícito de violação dos segredos comerciais (artigo 331.º CPI), face ao ilícito de concorrência desleal (artigo 332.º CPI), dentro da tutela contraordenacional da lealdade da concorrência que se encontra tradicionalmente prevista no Direito português dentro de um regime abrangente de propriedade industrial.

A tutela da confidencialidade de informações comerciais e industriais (know-how) enquanto elemento essencial da competitividade das empresas e da lealdade da concorrência é, seguramente, o ponto do regime da propriedade industrial que encontra maior conexão com as questões da cibersegurança. Não se pode ignorar que, nas híper informatizadas sociedades modernas, o sistema informático – sobretudo, bases de dados digitais – é o repositório natural do know-how da empresa. Acresce, como risco para a segurança das informações comerciais e industriais, que cada vez mais estas bases de dados se encontram armazenadas em “nuvens digitais”, que mais não são do que aluguer de espaço em megaestruturas de discos rígidos em armazéns físicos deslocalizados em territórios alheios à titularidade dos dados. O recente aumento do teletrabalho (por força das restrições impostas pelas medidas de combate à pandemia COVID-19) veio criar um risco acrescido para os segredos de negócio, com a dispersão das redes empresariais por micro postos de trabalho móveis conectados pela Internet, exponenciando o risco de penetração/interceção nos sistemas informáticos empresariais. Nessa medida, na sociedade da informação, a tutela da confidencialidade dos segredos de negócios é, em grande medida, a tutela da cibersegurança dos sistemas informáticos onde tais dados são armazenados e processados. Também aqui, como nas medidas tecnológicas encontradas no CDADC, a preocupação do legislador centrou-se em medidas para obtenção, preservação e conservação de prova, mas a previsão não está especificamente direcionada para o ambiente digital. Podemos, ainda assim, argumentar que algumas destas medidas, previstas de forma genérica, são suscetíveis de aplicação em ambiente digital, com as devidas adaptações.

De salientar ainda que a Lei do Cibercrime, no seu artigo 6.º, n.º 4, agrava o crime de acesso ilegítimo a sistema informático quando, através do acesso, o agente tiver tomado conhecimento de segredo comercial ou industrial ou de dados confidenciais, protegidos por lei. Tutela-se aqui criminalmente também os segredos de negócio, embora a mesma agravante não esteja prevista para a interceção ilegítima de dados informáticos, que constitui um ilícito sobre a segurança dos sistemas informáticos que coloca em igual risco de violação os segredos comerciais e industriais. Ainda assim, pode dizer-se que a Lei do Cibercrime vem acrescer, à tutela contraordenacional dada pelo CPI, uma tutela penal sobre a confidencialidade dos segredos de negócio especificamente no âmbito da sociedade da informação. Há aqui, inequivocamente, uma preocupação com a cibersegurança dos segredos de negócio face à crescente e quase universalização da digitalização da informação empresarial.

A ubiquidade inerente à qualidade “imaterial” da criação tutelada pela propriedade intelectual torna o seu objeto particularmente vulnerável à violação do respetivo exclusivo patrimonial em ambientes digitais em exponencial crescimento e de âmbito transnacional.

A preocupação da legislação de propriedade intelectual e de concorrência desleal tem-se centrado em três pontos essenciais: (1) a harmonização internacional dos objetos tutelados e regimes jurídicos; (2) a criação de medidas cautelares, de investigação e de prova contra potenciais violações; e (3) a criação de mecanismos de cooperação internacional. A questão da cibersegurança, enquanto garantia da fiabilidade dos sistemas informáticos que albergam objetos protegidos por propriedade intelectual e concorrência desleal, ainda não se encontra firmada nos instrumentos legais vigentes. Parece, no entanto, ser uma questão central para a prevenção da violação de direitos de propriedade intelectual e da prática de atos de concorrência desleal. Exceção a esta situação encontra-se, do lado do direito de autor e direitos conexos, o regime de proteção das medidas de carácter tecnológico e das informações para a gestão eletrónica dos direitos, previsto nos artigos 217.º a 228.º do CDADC. E, do lado da concorrência desleal, associada à tutela da propriedade industrial, a consideração da violação da confidencialidade de segredos de negócios protegidos como um elemento de agravação do crime de acesso ilegítimo a sistema informático (artigo 6.º, n.º 4, da Lei do Cibercrime).

Como insuficiência do regime pode apontar-se, desde logo, que, no âmbito da criminalidade informática, se deveria prever a violação de segredos de negócio como um elemento de agravação não só do crime de acesso ilegítimo, mas também, pelo menos, do crime de interceção ilegítima. Na verdade, também no caso dos crimes de dano informático e sabotagem informática, quando do ato resultar a “perda” de segredo de negócio para o lesado, se poderia ponderar uma tutela penal reforçada da propriedade intelectual e segredos comerciais e industriais. Por último, verifica-se que os direitos de autor, direitos conexos e direitos privativos de propriedade industrial não surgem como elementos de agravação dos crimes informáticos, o que, em abstrato, seria também uma tutela penal reforçada passível de ser considerada face ao especial potencial lesivo que a criminalidade informática tem para estes bens jurídicos.

DESTAQUES


A matéria da propriedade intelectual encontra-se harmonizada internacionalmente através de um conjunto nuclear de tratados cuja preocupação central, a par da harmonização internacional da propriedade intelectual, tem sido a promoção da sua efetividade, essencialmente, pela criação de medidas cautelares, de investigação e de prova contra potenciais violações, associados a mecanismos de cooperação internacional.

A ubiquidade inerente à qualidade “imaterial” da criação tutelada pela propriedade intelectual torna o seu objeto particularmente vulnerável à violação do respetivo exclusivo patrimonial em ambientes digitais transnacionais.

Na área do Direito de Autor, tem sido aprovada legislação sobre medidas tecnológicas de proteção e gestão, com o fim de assegurar a cibersegurança do exclusivo de exploração digital das obras, prestações e produções protegidas por direito de autor e direitos conexos.

Na área da propriedade industrial e concorrência desleal, é na tutela da confidencialidade de informações comerciais e industriais (know-how), enquanto elemento essencial da competitividade das empresas e da lealdade da concorrência, que a preocupação com a cibersegurança dos sistemas informáticos empresariais se torna mais relevante.

Há ainda um caminho a fazer na tutela da propriedade intelectual no âmbito da cibercriminalidade, já que estes bens jurídicos ainda não se encontram devidamente valorizados como elementos agravantes dos crimes informáticos.

Transição digital da Administração Pública


Com a “Estratégia para um Mercado Único Digital na Europa” [COM(2015) 192 final], já referida, a Comissão Europeia assumiuque, sendo o setor das TIC a base de todos os sistemas económicos modernos, o Mercado Único Digital deveria ser um mercado em que fosse assegurada a livre circulação de mercadorias, pessoas, serviços e capitais e em que os cidadãos e as empresas pudessem beneficiar de um acesso sem descontinuidades a atividades online e desenvolver essas atividades em condições de concorrência leal e com um elevado nível de proteção dos consumidores e dos seus dados pessoais, independentemente da sua nacionalidade ou local de residência. Entre as ações concretas a adotar para atingir este objetivo, a Comissão identificou a necessidade de criar uma Administração Pública em linha, como as que já estavam a ser desenvolvidas em diferentes Estados Membros, assegurando que esses serviços fossem comunicáveis entre si. A interoperabilidade administrativa – já pensada através do Quadro Europeu de Interoperabilidade, de 2010 [COM(2010) 744] – foi, deste modo, escolhida como o método a seguir para a concretização de uma Administração Pública em linha e como um vetor essencial ao estabelecimento do Mercado Único Digital.

A cibersegurança figura como uma prioridade no documento de trabalho que acompanhou a Estratégia [SWD(2015) 100], sublinhando-se a necessidade de promover um nível elevado de segurança das redes e da informação e a essencialidade da segurança pública online em toda a UE, em vista do aumento alarmante de incidentes de cibersegurança e dos riscos associados para o fornecimento de serviços essenciais que são entendidos como certos, como os de fornecimento de água, de cuidados de saúde, de eletricidade, de transporte ou de serviços móveis. A Comissão Europeia defendeu, a este respeito, que “uma aproximação comum pela UE em matéria de certificação de segurança das [TIC], partindo da experiência decorrente de esquemas nacionais e voluntários, contribuiria para um elevado padrão de segurança e poderia providenciar uma escala necessária ao mercado para produtos e serviços digitais seguros”.

No Plano de Ação para a Administração Pública em linha 2016-2020 [COM(2016) 179], que definiu logo a seguir, a Comissão enunciou um conjunto de princípios estruturantes para vigorarem lado a lado com os tradicionais princípios gerais da atividade administrativa:
  • Princípio do digital por defeito, para dar preferência à prestação de serviços públicos digitais, embora mantendo outros canais abertos para quem não utiliza a via eletrónica por preferência ou necessidade;
  • Princípio da declaração única, para que as administrações públicas reutilizem dados internamente (assegurando a proteção dos dados pessoais) para evitar sobrecarregar cidadãos e empresas com a necessidade de prestar repetidas vezes a mesma informação;
  • Princípio da inclusividade e da acessibilidade, para que os serviços públicos sejam desenvolvidos de forma a promover um acesso intuitivo, fácil e simplificado, capaz de suprir demandas de inclusão, nomeadamente associadas a idosos e a pessoas portadoras de deficiência;
  • Princípio da abertura e transparência, para que as administrações públicas partilhem informações entre si, permitindo aos administrados aceder, controlar e corrigir os dados sobre si mantidos, sendo-lhes ainda possível acompanhar os respetivos procedimentos e, inclusivamente, interagir e criar um clima de confiança na conceção e na prestação dos serviços;
  • Princípio do transfronteiriço por definição, para que os serviços públicos sejam concebidos de forma a viabilizar a sua disponibilização transfronteiriça, facilitando a observância das liberdades de circulação no contexto do Mercado Interno da União;
  • Princípio da interoperabilidade por definição, para que sejam concebidos sistemas operativos e bases de dados interconexionados digitalmente, visando a livre circulação de dados e a prestação de serviços públicos digitais em todo ocontexto da União;
  • Princípio da credibilidade e da segurança, para que os esforços de modernização digital da Administração Pública se norteiem pela observância do quadro jurídico em sede de proteção de dados e de privacidade, assegurando a segurança informática desde a fase de conceção dos serviços, já que esta constitui uma condição prévia relevante para criar um clima de confiança nos serviços digitais.

classroom_meet_1


A interoperabilidade administrativa é promovida através do Programa ISA2 – estabelecido pela Decisão 2015/2240 – que cria soluções de interoperabilidade e quadros comuns para as Administrações Públicas, as empresas e os cidadãos europeus como um meio para modernizar o setor público, com vista a“facilitar uma interação eletrónica transfronteiriça e intersectorial eficiente e eficaz entre as administrações públicas europeias, por um lado, e entre estas e as empresas e os cidadãos, por outro, e contribuir para o desenvolvimento de uma administração eletrónica mais eficiente, mais simplificada e mais intuitiva à escala nacional, regional e local” [artigo 1.º, n.º 1, alínea b) da Decisão]. O princípio da segurança deverá ser observado em todas as ações desenvolvidas ao abrigo deste Programa, por força do artigo 4.º, alínea b), da Decisão.

Na revisão intercalar da estratégia relativa ao Mercado Único Digital [COM(2017) 228], a Comissão Europeia avançou o propósito de dotar a União Europeia de uma Plataforma Digital Única, de modo a assegurar que os administrados ultrapassam mais facilmente exigências administrativas quando exercem liberdades de circulação. Este objetivo foi atingido com o Regulamento (UE) 2018/1724, de 2 de outubro,relativo à criação de uma plataforma digital única para a prestação de acesso a informações, a procedimentos e a serviços de assistência e de resolução de problemas.

As preocupações com a cibersegurança – desde logo, com a necessidade de estabelecer uma plataforma segura em que os incidentes de segurança sejam minorados – são visíveis em vários pontos do Regulamento:
  • os meios e mecanismos aqui estabelecidos para aceder à Plataforma Única Digital deverão operar com base nos meios de identificação eletrónica de pessoas singulares e coletivas definidos pelo Regulamento (UE) 910/2014, para assegurar as maiores condições de segurança e imprimir maior credibilidade à estrutura digital;
  • os Estados Membros são incentivados a reforçar a coordenação, o intercâmbio e a colaboração entre si, de forma a desenvolverem soluções de cibersegurança, nomeadamente a segurança das transações, para assegurar um nível de confiança suficiente nos meios eletrónicos, podendo tomar medidas, de acordo com o Direito da União, para assegurar a cibersegurança e para prevenir a fraude de identidade e outras formas de fraude;
  • no intercâmbio transfronteiriço de elementos de prova e de informações, a aplicação do Regulamento deverá respeitar todas as regras aplicáveis em matéria de proteção de dados e o princípio da segurança, sendo que o sistema técnico deve, nomeadamente, assegurar a confidencialidade e a integridade dos elementos de prova e assegurar um nível elevado de segurança para a transmissão e o tratamento dos elementos de prova (artigo 14.º, n.º 3);
  • na criação e estabelecimento da Plataforma, ao adotar atos de execução que estabeleçam as especificações para esse sistema técnico, a Comissão Europeia deverá ter em devida conta as normas e as especificações técnicas elaboradas pelas organizações e pelos organismos europeus e internacionais de normalização [e.g. Comité Europeu de Normalização (CEN), Instituto Europeu de Normalização das Telecomunicações (ETSI), Organização Internacional de Normalização (ISSO), União Internacional das Telecomunicações (UIT)], bem como as regras do RGPD e do Regulamento que estabelece a proteção de dados perante as instituições, órgãos e organismos da União Europeia [Regulamento (UE) 2018/1725];
  • a Comissão Europeia deve articular-se com as autoridades nacionais quando surjam incidentes de segurança e quando estes tenham de ser resolvidos;
  • é constituído um grupo de coordenação da Plataforma, composto por um coordenador nacional por cada Estado Membro e presidido por um representante da Comissão, ao qual cabe, entre outras funções, a de debater a aplicação dos princípios de segurança e de privacidade desde a conceção (artigo 30.º, n.º 1).


Em convergência com o plano europeu no domínio digital, os Estados Membros têm vindo a adotar diversas estratégias de transição digital, abrangendo soluções tecnológicas que permitem ao Estado garantir a interoperabilidade entre sistemas públicos e promover a difusão de informação, de forma livre e transparente.

Em Portugal, a estratégia de modernização e simplificação administrativa tem sido traçada há vários anos, através de diversos Programas, Planos, Estratégias e instrumentos vários de políticas de agilização procedimental, procurando- se adaptar o modelo de funcionamento do setor público às novas realidades tecnológicas e aos desafios da chamada Administração Pública em linha (e-Government). Refira-se, a título de exemplo, o Programa SIMPLEX+, lançado em 2006, que contempla mais de mil medidas de simplificação administrativa e legislativa para tornar mais fácil a vida dos cidadãos e das empresas na sua relação com a Administração, assim como contribuir para aumentar a eficiência interna dos serviços públicos. Reforçado em 2016, o Programa SIMPLEX inclui 255 medidas de simplificação administrativa e legislativa e de modernização dos serviços públicos.

Entre as diversas soluções de transição digital em Portugal, avulta o Código dos Contratos Públicos, aprovado pelo Decreto-Lei n.º 18/2008, de 29 de janeiro (25), que colocou o país na linha da frente na contratação pública através de meios exclusivamente eletrónicos, sendo completada a digitalização com a possibilidade de consulta online de todos os contratos públicos em relação aos quais as entidades adjudicantes têm o dever de publicitar através do Portal dos Contratos Públicos (Portal BASE), nos termos do artigo 465.º do Códigos dos Contratos Públicos e da Portaria n.º 57/2018, de 26 de fevereiro. O Portal Base, que é gerido pelo Instituto dos Mercados Públicos, do Imobiliário e da Construção (IMPIC), assegura a transparência e a legalidade na contratação pública, permitindo a sindicância e o controlo democrático dos elementos referentes à formação e à execução dos contratos públicos. Em 2009, foi estabelecida a obrigatoriedade da contratação pública eletrónica e criado um mercado privado de prestadores certificados de serviços de plataformas de contratação pública, duas soluções pioneiras a nível mundial.

O enquadramento legal das plataformas eletrónicas de contratação pública começou por ser dado pelo Decreto- Lei n.º 143-A/2008, de 25 de julho, que consagrou a opção por procedimentos de contratação pública baseados em comunicações, troca e arquivo de dados através da utilização de plataformas eletrónicas, e pela Portaria n.º 701-G/2008, de 29 de julho, que definiu os requisitos e condições de utilização das plataformas eletrónicas pelas entidades adjudicantes no processo de formação dos contratos públicos. A segurança foi então identificada como “condição absolutamente nuclear neste novo suporte[,] no sentido de que as tecnologias usadas sejam fiáveis, robustas e propiciadoras de procedimentos nos quais participem e só tenham acesso as pessoas autorizadas”. O Decreto-Lei n.º 143-A/2008 e a Portaria n.º 701-G/2008 foram revogados pela Lei n.º 96/2015, de 17 de agosto, que veio regular a disponibilização e a utilização das plataformas eletrónicas de contração pública, estabelecendo os requisitos e as condições a que as mesmas devem obedecer e a obrigação de interoperabilidade com o Portal dos Contratos Públicos e com outros sistemas de entidades públicas. A Lei n.º 96/2015 fixa um conjunto de deveres para as empresas gestoras de plataformas eletrónicas, no que respeita, nomeadamente, à contratação de recursos humanos próprios e de auditores de segurança externos, à sua interação com os utilizadores e ao seu relacionamento com o Instituto dos Mercados Públicos, do Imobiliário e da Construção e com o Gabinete Nacional de Segurança (GNS), que é a entidade credenciadora das plataformas eletrónicas e dos respetivos auditores de segurança.

Refira-se, ainda, a alteração introduzida ao Código do Procedimento Administrativo (CPA), aprovada pelo Decreto-Lei n.º 4/2015, de 7 de janeiro, que consagrou o princípio da administração eletrónica. A importância da segurança é sublinhada pelo artigo 14.º, n.º 2, do CPA, onde se estabelece que “os meios eletrónicos utilizados devem garantir a disponibilidade, o acesso, a integridade, a autenticidade, a confidencialidade, a conservação e a segurança da informação”. A Lei n.º 72/2020, de 16 de novembro, reforçou a simplificação procedimental e a respetiva digitalização, incluindo os procedimentos em que estejam envolvidas as autarquias locais, e introduziu novas regras sobre o funcionamento dos órgãos colegiais telemáticos.

O Plano de Ação para a Transição Digital para Portugal (PATD), aprovado pela Resolução do Conselho de Ministros n.º 30/2020, de 21 de abril, assenta em três pilares estratégicos – capacitação e inclusão digital, transformação digital do tecido empresarial e digitalização do Estado – e prevê medidas agrupadas em seis catalisadores, incluindo o da “regulação, privacidade, cibersegurança e ciberdefesa”, no âmbito do qual se prevê:
  • o acompanhamento da Estratégia Nacional de Segurança do Ciberespaço, pelo CNCS;
  • a gestão de ações de suporte aos desafios da cibersegurança, nos termos do programa Indústria 4.0, a ser coordenada pela Associação Empresarial para a Inovação (COTEC);
  • a capacitação e ajuste organizacional da estrutura nacional de Data Protection Officer (DPO), de forma a garantir a evolução do quadro jurídico de proteção de dados pessoais, envolvendo a CNPD;
  • a elaboração do Livro Verde do Futuro do Trabalho.


Na sequência do PATD, o Governo português adotou a Estratégia para a Inovação e Modernização do Estado e da Administração Pública 2020-2023 (Resolução do Conselho de Ministros n.º 55/2020, de 31 de julho), que tem, entre outros objetivos, o de (a) reforçar a governação global das tecnologias; (b) melhorar a interoperabilidade e a integração de serviços, e (c) gerir o ecossistema de dados com segurança e transparência. A Medida 8.4. – definida para prossecução do objetivo estratégico de reforçar a governação global das tecnologias – consiste, precisamente, em reforçar os níveis de cibersegurança dos organismos da Administração Pública, através do Quadro Nacional de Referência para a Cibersegurança que foi desenvolvido pelo CNCS.

DESTAQUES


A necessidade de criar uma Administração Pública em linha, assente no princípio da interoperabilidade, foi assumida pela Comissão Europeia, em 2015, como um vetor essencial ao estabelecimento do Mercado Único Digital.

O Princípio da credibilidade e da segurança é um dos princípios estruturantes do Plano de Ação para a Administração Pública em linha 2016-2020, exigindo que os esforços de modernização digital da Administração Pública se norteiem pela observância do quadro jurídico em sede de proteção de dados e de privacidade, assegurando a segurança informática desde a fase de conceção dos serviços.

O objetivo da Comissão Europeia de dotar a UE de uma Plataforma Digital Única foi prosseguido com o Regulamento (UE) 2018/1724, de 2 de outubro, relativo à criação de uma plataforma digital única para a prestação de acesso a informações, a procedimentos e a serviços de assistência e de resolução de problemas.

Em 2020, foram aprovados o Plano de Ação para a Transição Digital e a Estratégia para a Inovação e Modernização do Estado e da Administração Pública 2020-2023, ambos com objetivos e medidas em matéria de cibersegurança. Está ainda em curso o desenvolvimento da Estratégia para a Transformação Digital da Administração Pública 2021- 2023, que, com a Estratégia Nacional de Segurança do Ciberespaço 2019-2023, completará este conjunto de políticas públicas na área do digital para o Estado.


(6)Mais informações disponíveis em www.enisa.europa.eu [12.12.2020].

(7)Mais informações disponíveis em cert.europa.eu/cert/plainedition/en/cert_about.html [12.12.2020].

(8)Mais informações disponíveis em www.europol.europa.eu/about-europol/european-cybercrime-centre-ec3 [12.12.2020].

(9)Mais informações disponíveis em www.gns.gov.pt [12.12.2020].

(10)Mais informações disponíveis em www.cncs.gov.pt [12.12.2020].

(11)Mais informações disponíveis em www.policiajudiciaria.pt/unc3t [12.12.2020].

(12)Mais informações disponíveis em cibercrime.ministeriopublico.pt [12.12.2020].

(13)Mais informações disponíveis em www.cnpd.pt [12.12.2020].

(14)Cf. ec.europa.eu/commission/presscorner/detail/en/INF_19_5950 [12.12.2020].

(15)O andamento dos trabalhos preparatórios podem ser acompanhado em www.coe.int/en/web/cybercrime/t-cy-drafting-group [12.12.2020].

(17)Leander contra Suécia (queixa n.º 9248/81), de 26 de março de 1987; Gaskin contra Reino Unido (queixa n.º 10454/83), de 7 de julho de 1989; Amann contra Suíça (queixa n.º 27798/95), de 16 de fevereiro de 2000.

(18)A expressão “serviços da sociedade da informação” é a que consta do título da Diretiva 2000/31/CE e da Lei n.º 7/2004, de 7 de janeiro, que transpôs a Diretiva para o ordenamento jurídico português.

(19)Mais tarde alteradas pelo Decreto-Lei n.º 62/2009, de 10 de março, e pelo Decreto-Lei n.º 46/2012, de 24 de fevereiro.

(20)Que veio revogar a Diretiva 91/250/CEE.

(21)Alterada pela Diretiva 2017/1564/UE, de 13 de setembro, e pela Diretiva 2019/790/UE, de 17 de abril.

(22)Alterado pelo Regulamento (CE) 1891/2006, de 18 de dezembro de 2006.

(23)O Código tem sido sucessivamente alterado. As últimas alterações são as resultantes da Lei n.º 36/2017, de 2 de junho, e do Decreto-Lei n.º100/2017, de 23 de agosto.

(24)Alterado pelo Decreto-Lei n.º 334/97, de 27 de novembro.

(25)Objeto de sucessivas alterações, a última das quais operada pela Resolução da Assembleia da República n.º 16/2020, de 19 de março.

Seguinte
Última atualização em 15-07-2022