Proteção de Dados

DIANA PATRÍCIA PEREIRA DIAS

Técnica Superior da Unidade de Proteção de Dados do Serviço de Apoio Jurídico dos Serviços Partilhados da Universidade do Porto

Mestre em Direito e Informática pela Universidade do Minho

Parecer 19/2026 da Comissão Nacional de Proteção de Dados (CNPD)

O Gabinete do Secretário de Estado do Ensino Superior solicitou à CNPD a emissão de parecer sobre o projeto de Decreto-Lei que estabelece os princípios da política de apoio ao estudante no ensino superior, com particular incidência nas disposições relativas ao tratamento de dados pessoais

Decreto-Lei n.º 129/93, de 22 de abril, alterado pelas Leis n.os 113/97, de 16 de setembro, e 62/2007, de 10 de setembro, bem como pelo Decreto-Lei n.º 204/2009, de 31 de agosto

O projeto de Decreto-Lei que se pretende implementar, visa definir de forma mais ajustada à realidade contemporânea, os princípios orientadores da política de apoio ao estudante no ensino superior. O novo regime pretende reforçar a promoção da igualdade de oportunidades no acesso e na frequência do ensino superior, através de uma intervenção pública estruturada e consistente, orientada para mitigar desigualdades sociais e reduzir os constrangimentos económicos que influenciam as decisões educativas dos estudantes e das respetivas famílias.

A CNPD analisou o projeto e concluiu, em termos gerais, o seguinte:

  1. Em primeiro lugar, entende-se que o regime proposto tem, no essencial, uma base legal adequada para permitir o tratamento de dados pessoais no contexto da atribuição de bolsas de estudo. Isto porque esse tratamento é necessário tanto para cumprir obrigações legais como para o exercício de funções de interesse público, o que está previsto no Regulamento Geral sobre a Proteção de Dados (RGPD), ao abrigo do artigo 6.º, n.º 1, alíneas c) e e).
  2. Quanto à interoperabilidade com a Autoridade Tributária e com a Segurança Social, considera se que essa articulação é, em princípio, compatível com as regras de proteção de dados. No entanto, há uma condição importante: os dados a utilizar devem ser claramente definidos e limitados apenas ao que for estritamente necessário, respeitando o princípio da minimização, previsto no artigo 5.º, n.º 1, alínea c) do RGPD.
  3. Por outro lado, a referência ao consentimento dos titulares dos dados, tal como está prevista no diploma, não é juridicamente adequada. Em contextos de exercício de funções públicas, o consentimento não é uma base válida para o tratamento de dados pelo que essa menção deve ser retirada.
  4. Relativamente às finalidades adicionais, como a monitorização, avaliação e realização de estudos, estas devem ser melhor delimitadas. Sempre que possível, deve recorrer-se à anonimização ou pseudonimização dos dados, assegurando também as garantias previstas no artigo 89.º RGPD para este tipo de utilização.
  5. No caso específico do tratamento de dados de saúde, o diploma deve observar exigências acrescidas, por estarem em causa categorias especiais de dados pessoais. Em particular, deve identificar expressamente a condição de licitude aplicável, nos termos do artigo 9.º do RGPD, bem como delimitar com precisão as categorias de dados a tratar. Deve ainda prever salvaguardas reforçadas adequadas à natureza sensível da informação e fixar prazos de conservação concretos e proporcionais, diretamente relacionados com a duração e necessidade da medida de apoio pedagógico em causa.
  6. Também é importante esclarecer se existem, ou não, decisões tomadas exclusivamente por meios automatizados. Se existirem, o diploma deve prever explicitamente as garantias legais aplicáveis a essas situações, de acordo com o artigo 22.º do RGPD.
  7. Além disso, devido à dimensão e sensibilidade do tratamento de dados, nomeadamente pela interligação de várias bases de dados públicas e pelo eventual tratamento de dados sensíveis, torna-se obrigatória a realização de uma avaliação de impacto sobre a proteção de dados, nos termos do artigo 35.º do RGPD.
  8. O diploma deve ainda ser mais detalhado em aspetos essenciais, como as categorias de dados tratados, os critérios de elegibilidade e as condições de partilha de informação entre entidades. Sem essa densificação, pode haver falta declareza jurídica à luz do artigo 6.º, n.º 3, do RGPD e do artigo 35.º da Constituição da República Portuguesa (CRP). Por sua vez, a portaria prevista deverá concretizar os prazos de conservação dos dados e garantir que estes não são guardados por mais tempo do que o necessário, com vista a respeitar o princípio da limitação da conservação, nos termos do artigo 5.º, n.º 1, alínea e), do RGPD.

Em síntese, na forma atual, o projeto apresenta insuficiências relevantes em matéria de proteção de dados. Não assegura plenamente o cumprimento das exigências legais aplicáveis, nomeadamente exigências do RGPD, da Lei n.º 58/2019, de 08 de agosto, e do artigo 35.º da CRP, pelo que será necessário introduzir as alterações identificadas para garantir a sua conformidade com o RGPD, a legislação nacional e a Constituição.

C-97/23 P - WhatsApp Ireland/Comité Europeu para a Proteção de Dados

WhatsApp Ireland Ltd interpôs recurso para o Tribunal de Justiça da União Europeia (TJUE), requerendo a anulação do despacho do Tribunal Geral da União Europeia, que declarou inadmissível o seu recurso de anulação da Decisão Vinculativa 1/2021 do Comité Europeu para a Proteção de Dados (EDPB)

A referida decisão foi adotada no âmbito do mecanismo de cooperação previsto no Regulamento Geral sobre a Proteção de Dados, na sequência de um procedimento conduzido pela Data Protection Commission (DPC), autoridade de controlo irlandesa, cujo enquadramento se passa a expor:

  1. Após a entrada em vigor do RGPD, a DPC, recebeu várias queixas relativas ao tratamento de dados pessoais pela WhatsApp, bem como um pedido de assistência do Comissário Federal para a Proteção de Dados e Liberdade de Informação, Alemanha (BfDI), relacionado com a transparência e eventual partilha de dados com entidades do grupo Facebook/Meta. Neste contexto, a DPC enquanto autoridade de controlo principal, nos termos do artigo 56.ºRGPD, instaurou um inquérito.
  2. Concluído o projeto de decisão, este foi apresentado a todas as autoridades de controlo interessadas no processo, nos termos do artigo 60.º, n.º 3 do RGPD. Neste seguimento, oito autoridades apresentaram objeções sobre determinados aspetos do projeto.
  3. Não tendo sido alcançado consenso, o litígio foi remetido ao Comité Europeu, ao abrigo dos artigos 60.º, n.º 4, e 65.º, n.º 1, alínea a), do RGPD, para resolução vinculativa do mesmo. O Comité adotou uma decisão vinculativa, que alterou aspetos essenciais do projeto inicial.
  4. Em conformidade com a decisão do Comité, a DPC concluiu que a WhatsApp violou o princípio da transparência (artigo. 5.º, n.º 1, alínea a) do RGPD), o dever geral de informação (artigo. 12.º, n.º 1 do RGPD), várias obrigações de informação previstas no artigo. 13.º do RGPD e, o artigo 14.º do RGPD, relativo à informação quando os dados não são recolhidos junto do titular. Não obstante, foi reconhecida conformidade parcial com o artigo 13.º do RGPD.
  5. A decisão final impôs uma repreensão, a obrigação de corrigir práticas no prazo de três meses e, quatro coimas, no valor total de 225 milhões de euros. Estas medidas visavam assegurar o cumprimento efetivo dos princípios do RGPD, especialmente os princípios da legalidade, transparência e responsabilização.
  6. A WhatsApp impugnou a decisão do Comité, interpondo recurso com fundamento no artigo 263.º do Tratado sobre o Funcionamento da União Europeia (TFUE). O Tribunal Geral julgou, porém, o recurso inadmissível, entendendo que a decisão do Comité era um ato intermédio, que não produzia efeitos jurídicos autónomos nem dizia respeito à Whatsapp e, a sua impugnação poderia ser assegurada indiretamente através de recurso da decisão final nacional, com eventual reenvio prejudicial ao abrigo do artigo 267.º TFUE.
  7. decisão final do TJUE passou por anular o despacho do Tribunal Geral, considerando que a decisão do Comité é um ato impugnável nos termos do artigo 263.º TFUE, produz efeitos jurídicos vinculativos e, diz direta e individualmente respeito à WhatsApp. O processo foi remetido ao Tribunal Geral para apreciação do mérito.

Em conclusão, o presente caso afirma o papel central do EDPB na uniformização da aplicação do sistema de cooperação e coerência estabelecido pelo RGPD, bem como a complexidade jurídica do mesmo. O TJUE reforça as garantias de tutela jurisdicional efetiva dos interessados, ao reconhecer a natureza impugnável das decisões vinculativa do Comité, sem comprometer a eficácia do mecanismo europeu de supervisão. Por outro lado, reforça que se exige que as organizações mantenham um elevado padrão de transparência e responsabilidade, por forma a garantir que o cumprimento do RGPD não se restringe a uma dimensão formal, mas que implica uma verdadeira cultura de proteção de dados pessoais.

Parecer 13/2026 da Comissão Nacional de Proteção de Dados (CNPD)

Comissão de Assuntos Constitucionais, Direitos, Liberdades e Garantias solicitou, no dia 4 de fevereiro de 2026, a pronúncia da CNPD sobre o Projeto de Lei 398 XVII 1 (PSD), que «estabelece medidas de proteção de crianças em ambientes digitais»

Na sequência deste pedido, a CNPD emitiu parecer em 24 de fevereiro de 2026, indicando que o referido Projeto de Lei apresenta implicações diretas e indiretas no domínio da proteção de dados pessoais1, razão pela qual procedeu à sua análise detalhada.

A apreciação incidiu, em particular, sobre os seguintes aspetos:

  • O objeto e âmbito do diploma;
  • A definição de consentimento digital;
  • O consentimento parental e as suas especificidades mediante o contexto familiar;
  • A obrigação geral de verificação de idade e os respetivos requisitos técnicos;
  • A utilização da Chave Móvel Digital como mecanismo de validação da faixa etária;
  • A responsabilização dos titulares das responsabilidades parentais e dos responsáveis pelo tratamento de dados pessoais;
  • O regime de responsabilidade das plataformas e serviços digitais;
  • Os mecanismos de fiscalização do cumprimento do Projeto de Lei.

Em sede conclusiva, a CNPD formula um conjunto de recomendações essenciais, destacando-se:

  • A reformulação do objeto do Projeto de Lei de modo a abranger a fixação da idade para o consentimento com vista à proteção dos dados pessoais;
  • A previsão no artigo 4.º do Projeto de Lei da definição do “consentimento digital”, estabelecendo a sua densificação;
  • A densificação das previsões em que ocorre o consentimento parental digital, de modo a abranger as situações referenciadas nos itens 25-29;
  • A clarificação do desenho legal da obrigação geral de verificação de idade e do Referencial Técnico Nacional de Verificação de Idade, respetivamente previstos nos artigos 7.º e 8.º do Projeto de Lei, assim como da implementação dos correspondentes mecanismos, atento o referenciado nos itens 30-37;
  • A responsabilização dos titulares das responsabilidades parentais, quando estes sejam autores ou cúmplices de uma utilização ou acesso indevido por parte dos menores a sítios da internet relativamente aos quais deveriam estar excluídos;
  • A implementação de funcionalidades de verificação de idade através do desenho técnico mencionado nos itens 40 a 49;
  • A delimitação e especificação das competências entre a Autoridade Nacional de Comunicações e a Comissão Nacional de Proteção de Dados;
  • A eliminação da previsão da implementação de “outros regulamentos” por parte da autoridade administrativa, prevista no artigo 13.º, n.º 2 do Projeto de Lei, ou através de qualquer outra;
  • A realização do respetivo estudo de impacto sobre a proteção de dados pessoais, antes da aprovação do presente Projeto de Lei2.

Em suma, o parecer da CNPD reconhece a relevância do objetivo de proteção das crianças em ambiente digital, mas sublinha a necessidade de assegurar a conformidade do Projeto de Lei com os princípios e obrigações em matéria de proteção de dados pessoais, propondo um conjunto de ajustamentos jurídicos e técnicos indispensáveis à sua adequada conformidade normativa.

 ________________________________________________________________________________________________________________________

DIANA PATRÍCIA PEREIRA DIAS

Técnica Superior da Unidade de Proteção de Dados do Serviço de Apoio Jurídico dos Serviços Partilhados da Universidade do Porto

Mestre em Direito e Informática pela Universidade do Minho

Acórdão do Tribunal de Justiça no processo C-526/241

No âmbito de um litígio entre a empresa alemã de ótica Brillen Rottler GmbH & Co. KG e um cidadão identificado como TC, o Tribunal de Primeira Instância de Arnsberg, Alemanha, submeteu ao Tribunal de Justiça da União Europeia (TJUE) um pedido de decisão prejudicial, ao abrigo artigo 267.º do Tratado sobre o Funcionamento da União Europeia (TFUE)

Este litígio tem origem num pedido de acesso a dados pessoais apresentado por TC, com base no artigo 15.º do Regulamento Geral sobre a Proteção de Dados (RGPD), ao qual a empresa se recusou a dar seguimento. Os factos relevantes podem ser expostos da seguinte forma:

  1. TC subscreveu o boletim informativo da empresa, fornecendo os seus dados pessoais e consentindo o respetivo tratamento. Treze dias depois, apresentou um pedido de acesso aos seus dados. A empresa considerou esse pedido abusivo e recusou dar-lhe seguimento dentro do prazo legal de um mês, invocando o artigo 12.º, n.º 5 do RGPD. Em resposta, TC reiterou o pedido e solicitou, ainda, uma indemnização, ao abrigo do artigo 82.º do RGPD.
  2. Nesta sequência, a empresa intentou uma ação judicial com o objetivo de ver declarado que TC não tinha direito a qualquer indemnização. Alegou, ainda, para o efeito, que TC adota uma prática sistemática de apresentar pedidos de acesso a dados pessoais junto de diversas entidades, com o propósito de, posteriormente, reclamar indemnizações por alegadas violações do RGPD que ele próprio provoca deliberadamente.
  3. O tribunal alemão questiona, em primeiro lugar, se um primeiro pedido de acesso pode ser considerado «excessivo», nos termos do artigo 12.º, n.º 5 do RGPD, e, portanto, configurar um abuso de direito. Em particular, pretende saber se o responsável pelo tratamento pode recusar um pedido de acesso com base em informações públicas - como notícias ou publicações - que indiquem que a mesma pessoa apresenta múltiplos pedidos semelhantes a outras entidades.
  4. O órgão jurisdicional de reenvio interroga-se ainda sobre se a apresentação de um pedido de acesso, bem como a resposta a esse pedido, constituem um “tratamento de dados pessoais”, na aceção do artigo 4.º, n.º 2 do RGPD.
  5. Por outro lado, o tribunal levanta dúvidas quanto aos requisitos para a atribuição de indemnização ao abrigo do artigo 82.º do RGPD. Em concreto, pretende saber se a simples violação do direito de acesso (artigo 15.º do RGPD) é suficiente para gerar um direito a indemnização, mesmo que não exista um tratamento de dados adicional.
  6. Perante estas dúvidas, o tribunal decidiu suspender o processo e submeter estas questões ao TJUE, para interpretação das normas relevantes do RGPD, nomeadamente os artigos 12.º, n.º 5, 4.º, n.º 2 e 82.º, n.º 1.
  7.  O TJUE esclareceu que, em determinadas circunstâncias, até um primeiro pedido de acesso pode ser considerado «excessivo». Isto acontece quando o responsável pelo tratamento consegue demonstrar que o pedido não tem como finalidade genuína o acesso ou a verificação da licitude do tratamento dos dados, mas sim um objetivo abusivo - por exemplo, criar artificialmente condições para exigir uma indemnização. O Tribunal admitiu ainda que o histórico de comportamentos do titular dos dados, incluindo a apresentação repetida de pedidos semelhantes a outras entidades, pode ser tido em consideração para demonstrar essa intenção abusiva.
  8. Quanto ao direito a indemnização, o TJUE afirmou que a violação do direito de acesso pode, em princípio, dar lugar a indemnização ao abrigo do artigo 82.º do RGPD. No entanto, isso exige que o titular dos dados prove a existência de um dano efetivo, incluindo danos imateriais, como a perda de controlo sobre os seus dados pessoais. Além disso, deve demonstrar-se que esse dano não resulta essencialmente da própria conduta do titular dos dados.

Em síntese, o TJUE veio esclarecer que:

  • Um pedido de acesso pode ser considerado abusivo, mesmo sendo o primeiro, se houver prova de má-fé;
  • O contexto e o comportamento anterior do titular dos dados são relevantes para essa avaliação;

A indemnização por violação do RGPG não é automática, dependendo da prova de um dano real e da existência de um nexo causal adequado.

______________________________

1 Disponível para consulta em: https://eur-lex.europa.eu/legal-content/PT/ALL/?uri=CELEX:62024CJ0526.


________________________________________________________________________________________________________________________

 Parecer Conjunto n.º 3/2026 sobre a Proposta de Regulamento de Biotecnologia (Biotech Act) da Comissão Europeia2

Comité Europeu para a Proteção de Dados (CEPD) e a Autoridade Europeia para a Proteção de Dados (AEPD) emitiram um parecer conjunto sobre a proposta da Comissão Europeia relativa ao Regulamento Europeu da Biotecnologia (Biotech Act). Neste processo, participou igualmente a Comissão Nacional de Proteção de Dados (CNPD), enquanto membro do CEPD

  1. Em dezembro de 2025, a Comissão Europeia apresentou uma proposta legislativacom o objetivo de reforçar os setores da biotecnologia e da biofabricação na Europa, com particular enfoque na área da saúde. A Proposta visa também responder a desafios relacionados com a aplicação consistente do Regulamento de Ensaios Clínicos (Regulamento (UE) 536/2014 – CTR). A iniciativa pretende simplificar o quadro regulamentar existente e atualizar as regras aplicáveis aos ensaios clínicos, tornando-as mais eficientes e adaptadas à inovação científica.
  2. O CEPD e a AEPD manifestam apoio ao objetivo global da proposta. No entanto, sublinham que as simplificações propostas devem clarificar as obrigações legais, e assegurar a segurança jurídica. Ao mesmo tempo, insistem que deve ser preservado o elevado nível de proteção dos dados pessoais, tal como previsto no RGPD e no Regulamento (UE) 2018/1725 – Regulamento de Proteção de Dados da União Europeia (EUDPR), sobretudo no que respeita a dados de saúde.
  3. Adicionalmente, as autoridades apoiam o objetivo da Proposta de harmonizar a forma como patrocinadores e investigadores devem tratar dados pessoais, no âmbito de ensaios clínicos em todo o Espaço Económico Europeu.
  4. Demonstram ainda satisfação pelo facto de esta mesma Proposta visar estabelecer uma base jurídica única para o tratamento de dados pessoais nestes moldes, considerando que isto irá contribuir para ajudar a abordar a fragmentação existente do quadro regulatório e melhorar a clareza jurídica. Neste Parecer, as autoridades aproveitaram também para fornecer recomendações específicas sobre como aumentar ainda mais a clareza e a previsibilidade da obrigação legal.
  5. Para além do exposto, é também admitida a introdução de salvaguardas adicionais destinadas a reforçar a proteção das pessoas cujos dados são tratados. Nesse sentido, são apresentadas várias recomendações com o objetivo de aumentar a segurança jurídica e assegurar uma proteção mais eficaz dos direitos e liberdades dos titulares dos dados. Destacam-se, em particular, as seguintes:
  • Defende-se a qualificação de patrocinadores e investigadores como responsáveis pelo tratamento, assegurando uma identificação clara das entidades e dos seus papéis.
  • Recomenda-se que seja clarificado que o período mínimo de conservação de 25 anos apenas se aplica aos dados constantes do arquivo mestre do ensaio clínico.
  • Quanto ao artigo 93.º, n.º 6, do CTR, considera-se necessário explicitar de forma mais clara o seu objetivo, nomeadamente o de fornecer uma base jurídica para o tratamento adicional de dados ao abrigo do artigo 6.º, n.º 1, alínea e), do RGPD (ou da alínea c), nos casos aplicáveis), bem como clarificar as respetivas finalidades e as salvaguardas pertinentes.
  • Destaca-se ainda a necessidade de adotar medidas técnicas e organizativas adequadas, como a pseudonimização, e de garantir que estas sejam devidamente refletidas no CTR.
  1. No que diz respeito ao eventual acesso a dados por autoridades competentes e pela Comissão, recomenda-se que esse acesso seja limitado ao estritamente necessário para o desempenho das suas funções. Sempre que possível, os dados devem ser disponibilizados em formato pseudonimizado, evitando o uso de informações diretamente identificáveis.

Adicionalmente, sugere-se a inclusão de exemplos concretos das situações em que poderá ser necessário o acesso a dados pessoais, de modo a clarificar e justificar esse acesso.

  1. São igualmente formuladas recomendações sobre outras alterações propostas ao Regulamento de Ensaios Clínicos, com destaque para:
  • A necessidade de harmonizar o procedimento de avaliação da conformidade com o RGPD, sugerindo-se que o CEPD emita orientações a nível europeu, sobre como estas devem ser realizadas.
  • Quanto à possibilidade de fornecer o consentimento informado por via eletrónica, recomenda-se esclarecer que a utilização da Carteira Europeia de Identidade Digital é voluntária, devendo manter-se a possibilidade de recorrer a outros meios de identificação e autenticação.
  • A definição clara do enquadramento jurídico das “regulatory sandboxes”, incluindo a base legal aplicável do tratamento de dados. Adicionalmente, recorda o papel consultivo das autoridades de proteção de dados, para assegurar a consistência nos aspetos de proteção de dados e a adequada supervisão destas iniciativas.
  • A clarificação de que as obrigações impostas aos patrocinadores quanto ao uso de sistemas de inteligência artificial em ensaios clínicos acrescem às já previstas no Regulamento de Inteligência Artificial.

Em conclusão, o parecer conjunto reconhece o mérito da proposta da Comissão Europeia ao procurar modernizar e simplificar o enquadramento dos ensaios clínicos, promovendo a inovação no setor da biotecnologia. No entanto, as autoridades de proteção de dados sublinham que essa simplificação não pode comprometer a clareza das regras nem o elevado nível de proteção dos dados pessoais, em especial dos dados de saúde.

As recomendações apresentadas vão no sentido de reforçar a segurança jurídica, clarificar responsabilidades e assegurar a aplicação consistente das normas de proteção de dados em toda a União Europeia. Ao mesmo tempo, procuram garantir que o desenvolvimento científico e tecnológico decorra de forma responsável, com respeito pelos direitos fundamentais dos cidadãos.

______________________________

2Disponível para consulta em: https://www.edpb.europa.eu/system/files/2026-03/edpb_edps_jointopinion_202603_biotechact_en.pdf.

________________________________________________________________________________________________________________________

JOÃO MIGUEL DUARTE BERNARDO FERREIRA

Técnico Superior da Unidade de Proteção de Dados do Serviço de Apoio Jurídico dos Serviços Partilhados da Universidade do Porto

Mestre em Ciência da Informação pela Faculdade de Engenharia e Faculdade de Letras da Universidade do Porto

Operação «TYCOON»: Polícia Judiciária ajuda a desmantelar a maior rede mundial de phishing

A Polícia Judiciária, no seu site oficial, informou que, através da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica, colaborou numa operação internacional que permitiu neutralizar a maior rede de phishing de todo o mundo.

A rede de cibercrime atuava a partir de uma plataforma digital, acessível a partir de uma subscrição paga e que habilitava cibercriminosos a capturar sessões autenticadas em tempo real, a ultrapassar mecanismos adicionais de proteção e, portanto, a assumir o controlo de contas que se consideravam devidamente seguras. É de sublinhar que, em meados de 2025, a TYCOON 2FA esteve diretamente associada a 62% de todas as tentativas de phishing bloqueadas pela Microsoft, incluindo cerca de 30 milhões de e-mails num só mês.

A plataforma permitia a esta rede aceder de forma não autorizada a contas de e-mail e de serviços cloud, incluindo Microsoft 365, Outlook e Gmail que estavam associadas a mais de 100 mil organizações internacionais. Entre as organizações atacadas encontram-se escolas, hospitais e entidades públicas. Estes incidentes de segurança da informação provocaram consequências que incluíram disrupção de serviços, desvio de recursos financeiros e humanos, bem como atrasos no atendimento a pacientes.

A operação encerrou cerca de 330 domínios que suportavam a arquitetura técnica do serviço, entre os quais páginas fraudulentas e painéis de gestão usados na atividade criminosa e envolveu a colaboração de autoridades policiais de Portugal, Lituânia, Polónia, Letónia, Reino Unido e Espanha, que foram coordenadas pelo Centro Europeu de Cibercrime (EC3) da EUROPOL. Esta operação de desmantelamento irá permitir a proteção de pessoas e organizações de ataques que incluem roubo de dados, ransomware, comprometimento de e-mails corporativos e fraude financeira.

Para mais informações poderão ser consultados os seguintes links:

https://www.europol.europa.eu/media-press/newsroom/news/global-phishing-service-platform-taken-down-in-coordinated-public-private-action.
https://blogs.microsoft.com/on-the-issues/2026/03/04/how-a-global-coalition-disrupted-tycoon/

________________________________________________________________________________________________________________________

Mais vale prevenir do que remed[IA]r…

Há duas verdades que, hoje em dia, são inquestionáveis. Uma é que a inteligência artificial pode, de facto, ajudar-nos em várias tarefas do dia-a-dia, incluindo nas nossas tarefas profissionais. A outra é que esta veio para ficar, numa sociedade em que a produtividade fala mais alto. No entanto, não quer dizer que esta seja, necessariamente, a nossa melhor amiga.

Há poucos dias foi publicado, no Jornal Económico, um artigo de opinião da autoria de Bruno Castro, CEO da VisionWare, empresa portuguesa especialista em cibersegurança e investigação forense que chamou a atenção dos leitores sobre o facto de a CISA (Cybersecurity and Infrastructure Security Agency), principal agência de cibersegurança dos Estados Unidos, ter introduzido documentos de caráter confidencial numa versão pública do ChatGPT.

O debate não é novo, mas nem por isso deve sair da ordem do dia: Até que ponto devemos confiar no «melhor amigo» que nos fornece enormes doses de informação, mediante o prompt que fornecermos, e que nos responde com base em quantidades de informação inimagináveis? E até que ponto podemos confiar para partilhar informações confidenciais, nas quais se poderão incluir informações de índole pessoal?

Hoje, o uso de inteligência artificial é comum e o tema em debate não reside aí: o problema está no facto de que todas as informações que partilhamos com estas ferramentas são, de facto, partilhadas com alguém. Melhor: com muitas pessoas, desde que tenham as autorizações de acesso necessárias para tal.

Sem querer evangelizar a questão, importa refletir se partilharíamos informações de caráter estritamente confidencial e/ou pessoal com qualquer pessoa que encontrássemos na rua. Provavelmente não. Contudo, no caso das ferramentas de inteligência artificial que hoje são tão usadas, é isso que cada vez mais fazemos. Sem que, muitas vezes, saibamos como esses dados serão usados, por quanto tempo serão conservados, em que condições de segurança serão mantidos e se serão partilhados com outras entidades.

A questão é: Poderá, no futuro, a informação que fornecemos a estas ferramentas ser usada contra nós e os nossos próprios interesses?

É precisamente isso que é chamado à atenção por Bruno Castro que relembra o caso da DeepSeek que, no início de 2025, viu uma base de dados ser alvo de um leak, que acabou por expor informações de índole muito sensível. Contudo, não devemos temer apenas os métodos, e respetivas consequências, dos famosos ataques efetuados por hackers. É mais do que sabido que hoje em dia há muitas entidades que optam por vender informações que constam nas suas bases de dados a outras entidades que pretendem dar uso a essa informação.

O CEO da VisionWare termina o artigo fornecendo a visão que o tem levado, de forma consistente e contínua, a disponibilizar formação às equipas da empresa sobre o uso responsável de ferramentas digitais e de IA generativa. Efetivamente, tendo em conta a ampla utilização que tem sido dada a estas ferramentas e considerando os «perigos» que poderão advir dessa utilização, é necessário que a sociedade, como um todo, seja incentivada a refletir sobre os cuidados a ter com estas ferramentas. Contudo, as necessidades formativas estendem-se, inclusivamente, aos cuidados de ciberhigiene que os profissionais de uma organização deverão ter pois, quando estes cuidados não são tidos, não é apenas a própria pessoa que será colocada em risco: será também a organização para a qual trabalha.

O artigo poderá ser consultado em https://jornaleconomico.sapo.pt/noticias/melhor-prevenir-do-que-remediar-com-ia-publica/.

________________________________________________________________________________________________________________________

Pois prevenir é poupar; e no poupar é que está o ganho!


A Fortinet, empresa norte-americana líder na área da cibersegurança, divulgou no final do ano transato o relatório «Insider Risk Report 2025», elaborado em colaboração com a Cybersecurity Insiders, que apontou para um agravamento significativo das ameaças internas nas organizações, em matéria de segurança da informação. Efetivamente, os resultados de um inquérito aplicado junto de 883 profissionais de cibersegurança e IT, demonstram que 77% das organizações reportaram incidentes internos de perda de dados, sendo que 62% sofreram incidentes que resultaram de erro humano.

Mas a que nos referimos quando falamos em «perda de dados»? Referimo-nos a dados estritamente pessoais?

Não, mas é importante ter em mente que este estudo apurou que, nos incidentes mais relevantes que foram esmiuçados, 53% dizem respeito a registos de clientes, 47% a informação pessoal identificável, 36% a credenciais de utilizadores e 17% a informações de saúde.

Este relatório vem corroborar a tese que, apesar de as ameaças maliciosas externas serem uma realidade da qual já não podemos fugir, num contexto atual em que as guerras já não se combatem apenas corpo a corpo, mas também em contexto cibernético, muitas vezes uma grande parte das ameaças encontram-se dentro de portas. Atividades quotidianas como o envio de ficheiros sensíveis por e-mail, o armazenamento de informações em clouds pessoais, utilização de ferramentas de Inteligência Artificial generativa não aprovadas e descartabilidade de dispositivos removíveis como discos externos e pendrives estão na origem de uma grande parte dos data leaks de muitas organizações.

E que se desengane quem vê na segurança da informação uma não-questão, pois estes incidentes não são uma mera questão catastrofista de engenheiros informáticos. Tal como aponta o relatório, estes incidentes têm impactos bastante reais na vida financeira, operacional e reputacional de uma empresa. Com efeito, 45% das organizações auscultadas relataram perdas financeiras como a consequência mais relevante do seu incidente mais importante, seguindo-se 43% dos profissionais que destacaram os danos reputacionais como a consequência mais relevante.

Se aprofundarmos um pouco a questão, verificaremos que o tema não é de somenos: 76% dos profissionais relataram perdas de 100 mil dólares, 41% entre 1 milhão e 10 milhões de dólares e 9% viram a empresa ter uma perda financeira de mais de 10 milhões de dólares.

Efetivamente, quando se trata de um incidente de segurança de informação, a questão não é «Será que vai acontecer um incidente?», mas sim «Quando é que vai acontecer um incidente?». Assim, as organizações devem apostar, não só numa correta resolução dos incidentes ocorridos mas também na prevenção adequada e respetiva mitigação dos riscos existentes, de forma a que os altos custos associados aos incidentes sejam prevenidos. Uma postura ativa na educação de uma organização para uma postura mais madura em matérias de segurança da informação e de proteção de dados é, de facto, a opção mais adequada para garantir que esta está em conformidade com a legislação aplicável. Assim, sublinha-se a necessidade de apostar em formação regular para que os profissionais possuam os conhecimentos mais atuais acerca dos comportamentos mais «higienes», sendo também recomendável a aposta em campanhas de phishing.

Para consultar o relatório completo, basta aceder a https://www.fortinet.com/content/dam/fortinet/assets/reports/2025-insider-risk-report-ftnt.pdf.

________________________________________________________________________________________________________________________

Decreto-Lei n.º 2/2025, de 23 de janeiro

Presidência do Conselho de Ministros

Executa o Regulamento (UE) 2022/868, relativo à governação europeia de dados

O Regulamento (UE) 2022/868, do Parlamento Europeu e do Conselho, de 30 de maio de 2022, relativo à governação europeia de dados, e que altera o Regulamento (UE) 2018/1724 (Regulamento Governação de Dados), visa regulamentar a reutilização, na União Europeia, de determinadas categorias de dados detidos por organismos do setor público, estabelecendo um regime de notificação e supervisão para a prestação de serviços de intermediação de dados, bem como um regime para o registo voluntário das entidades que recolhem e tratam os dados disponibilizados para fins altruístas, e um regime para a criação de um Comité Europeu de Inovação em Dados.

O principal objetivo é fomentar a inovação e a partilha segura de dados na economia digital europeia, respeitando simultaneamente os direitos dos titulares dos dados, quer do ponto de vista de dados pessoais como os não pessoais.

Assim, do Regulamento da Governação de Dados resulta a obrigação de cada Estado-Membro designar um ou vários organismos competentes, em determinados setores, para apoiar os organismos do setor público que, nesse quadro jurídico, concedem ou recusam acesso, para fins de reutilização, a determinadas categorias de dados protegidos.

Em conformidade com tal desígnio, foi publicado o Decreto-Lei n.º 2/2025, de 23 de janeiro no Diário da República, 1.ª série, n.º 16 que executa o referido Regulamento (EU) 2022/868, relativo à governação europeia de dados e que prescreve o Regime Jurídico das Contraordenações Económicas como mecanismo de aplicação subsidiário em tudo o que não estiver expressamente estabelecido no diploma legal aqui em apreço.

Neste sentido, nos termos do artigo 2.º do presente Decreto-Lei o Estado Português definiu como entidades competentes para assegurar a supervisão e a conformidade com as disposições do regulamento:

  • Agência para a Modernização Administrativa (AMA, I.P.) – cuja matéria de competência tem o seu elenco previsto no disposto do artigo 3.º do presente diploma legal;
    Secretaria-Geral do Ministério das Finanças,
    ANACOM,
    Inspeção-Geral da Agricultura, do Mar, do Ambiente e do Ordenamento do Território,
  • Autoridade de Segurança Alimentar e Económica,
  • Secretaria-Geral do Ministério do Ambiente,
  • Serviços Partilhados do Ministério da Saúde (SPMS) e a
  • Secretaria-Geral do Governo.

Com especial relevância, o artigo 34.º do Regulamento Governação de Dados determina que compete aos Estados‑Membros definir as regras relativas às sanções aplicáveis em caso de violação das obrigações referentes às transferências de dados não pessoais para países terceiros, bem como quando se verifique o incumprimento das condições para a prestação de serviços de intermediação de dados e das condições para o registo como organização de altruísmo de dados reconhecida, estas obrigações encontram-se reguladas nos artigos 7.º, 8.º e 9.º do presente Decreto-lei.

Assim, o presente Decreto-Lei, nos termos do artigo 10.º, veio classificar as contraordenações como sendo leves, graves e muito graves, ficando o quadro sancionatório exposto da seguinte forma:

  • Contraordenações muito graves – prevê-se a aplicação de coimas de 2.500,00€ a 3.740,00€ para pessoas singulares e de coimas de 20.000,00€ a 44.890,00€ para pessoas coletivas, prevendo-se ainda a possibilidade de aplicação de sanções acessórias, consoante a gravidade da infração e a culpa do agente.
  • Contraordenações graves – serão aplicadas coimas de 500,00€ a 2.500,00€ para pessoas singulares e de 5.000,00€ a 20.000,00€ para pessoas coletivas.
  • Contraordenações leves – preveem-se a aplicação de coimas de 100,00€ a 1.000,00€ para pessoas singulares e de 1.000,00€ a 5.000,00€ para pessoas coletivas.

Por último, neste quadro sancionatório, o legislador não esqueceu a punição a título de negligência, contemplada no n.º 4 do artigo 10.º, onde se prevê que os limites mínimos e máximos das coimas aplicáveis possam ser reduzidos a metade.

 

ACÓRDÃO DO TRIBUNAL DA JUSTIÇA DA UNIÃO EUROPEIA, processo C‑768/21, de 26 de setembro de 2024

(Publicado na Euro-Lex)

O pedido de decisão prejudicial tem por objeto a interpretação dos artigos 57.°, n.° 1, alíneas a) e f), 58.°, n.° 2, e 77.°, n.° 1, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). 

Este pedido foi apresentado no âmbito de um litígio que opõe TR ao Land Hessen (Land de Hesse, Alemanha) a respeito da abstenção de o Hessischer Beauftragte für Datenschutz und Informationsfreiheit (Responsável pela proteção de dados e pela liberdade de informação no Land de Hesse, Alemanha) («HBDI») tomar medidas de correção em relação à Sparkasse.