JOÃO MIGUEL DUARTE BERNARDO FERREIRA

Técnico Superior na Unidade de Proteção de Dados do Serviço de Apoio Jurídico dos Serviços Partilhados da Universidade do Porto

Mestre em Ciência da Informação pela Faculdade de Engenharia e Faculdade de Letras da Universidade do Porto

20 de maio de 2026

ADN, Tecnologias Emergentes e Proteção de Dados: Os Novos Desafios da Medicina Preditiva

A Humanidade encarou, durante largos anos, uma boa parte das doenças como uma fatal sentença que ditaria o destino daqueles que delas padeciam. No entanto, a inquietação insaciável de cientistas de excelência, incapazes de reconhecer limites ao conhecimento científico, não se conformaram com tal determinismo.

A utilização da sequência do ADN na prestação de cuidados de saúde representou, na segunda metade do século XX, uma mudança de paradigma na forma de praticar medicina. De facto, de uma prática predominantemente observacional e reativa, na qual se procurava descrever os efeitos da doença e mitigar os respetivos sintomas, transitamos para uma medicina preditiva que antecipa predisposições biológicas e desenha terapias personalizadas ajustadas às características genéticas de cada indivíduo, o que, desde logo, contribuiu para o aumento da esperança média de vida e para uma melhoria significativa da qualidade de vida das populações.

A densidade informacional do código genético é extraordinariamente complexa, tendo sido necessário cerca de um século de investigação para que o conhecimento sobre esta molécula e o desenvolvimento de técnicas de análise genética permitissem melhorar a prestação destes cuidados. O valor inerente aos dados genéticos, no qual se aliam a complexidade das informações genéticas de cada indivíduo à capacidade de revelar informações únicas relativas ao respetivo titular representa uma potencial fonte de risco particularmente elevada em matéria de proteção de dados, existindo uma multiplicidade de ameaças que deverão ser tidas em conta. Assim, não é de estranhar que no conhecido artigo 9.º do Regulamento Geral sobre a Proteção de Dados, os dados genéticos beneficiem do mais elevado nível de proteção conferido pelo legislador europeu.

A especial sensibilidade dos dados genéticos tem vindo a assumir crescente relevância no debate científico e jurídico contemporâneo. Neste contexto, um artigo de Mikel Recuero, Encarregado de Proteção de Dados da Universidade do País Basco, publicado na recém-criada revista da autoridade de controlo espanhola, a Revista de Privacidad, Innovación y Tecnología¹, relembra-nos da natureza particularmente sensível dos dados genéticos, destacando que:

• Cada sequência genética respeita única e exclusivamente a um indivíduo, distinguindo-o dos demais indivíduos da espécie humana.
• Os dados genéticos podem revelar informação hereditária, nomeadamente de familiares, sejam eles antecessores ou descendentes.
• São dados «estruturais, permanentes e inalteráveis»². Estes agregam informações biológicas intrínsecas ao indivíduo, que tendem a permanecer estáveis ao longo de toda a vida.
• Possuem potencial preditivo, permitindo aferir predisposições genéticas para o desenvolvimento de certa patologia.
• Não possuem caráter voluntário, constituindo informações que foram hereditariamente transmitidas pelos progenitores, sem que o respetivo indivíduo tenha opção de escolha.

Assim, estas características assumem a natureza de autênticos repositórios biológicos de informação profundamente íntima, estruturalmente permanente e potencialmente preditiva, capazes de revelar dimensões particularmente sensíveis da identidade humana que transcendem a esfera individual do respetivo titular.

De acordo com um artigo da revista MIT Technology Review publicado em 2019, à data de publicação, mais de 26 milhões de pessoas já haviam fornecido o seu ADN a quatro empresas que atuam nos setores da ancestralidade genética, parentesco biológico e, em alguns casos, saúde genética³.

É de reconhecer que as pessoas que recorrem a estes serviços, para qualquer que seja a finalidade, poderão ter consciência de que os seus dados serão analisados através de vasto conhecimento científico e tecnologias emergentes. No entanto, perante a impossibilidade de o comum dos mortais antecipar o que a ciência genética e tecnologias inovadoras poderão permitir num futuro próximo, é de sublinhar que o desenvolvimento destes recursos poderá elevar dados outrora suscetíveis de produzir um conjunto limitado de conclusões à condição de autênticas fontes de inferência, capazes de revelar informações que, um dia, seriam inimagináveis.

A conjugação entre o caráter sensível dos dados genéticos, a imprevisibilidade tecnológica e a crescente capacidade de inferência algorítmica fazem, desta forma, emergir desafios particularmente relevantes em matéria de proteção de dados pessoais e de tutela dos direitos fundamentais dos respetivos titulares. 

Naturalmente, tendo em conta o panorama atual, pode-se considerar relativamente consensual que uma das maiores ameaças associadas ao tratamento de dados genéticos reside na possibilidade de construção de perfis de risco a partir do conhecimento de predisposições genéticas para o desenvolvimento de certas patologias. Tal realidade poderá potenciar práticas discriminatórias por parte de empregadores, seguradoras ou instituições financeiras, nomeadamente através da recusa de concessão de créditos, recusa de celebração de contratos ou do afastamento de funções em contexto laboral.

Fazendo justamente referência às empresas que concentram nas suas bases de dados volumes astronómicos de informação genética relativa a milhões de indivíduos, não deverá igualmente ser desvalorizado o valor económico que estes dados representam, nem o caráter apetecível que estas informações representam para ciberatacantes. Considerando o valor intrínseco das sequências genéticas, bem como os custos, o tempo necessário e os recursos tecnológicos, dificilmente dados genéticos isolados poderão constituir, por si só, alvos altamente lucrativos. Todavia, quando estas informações se encontram estruturadas, organizadas e agregadas em massa, estes ativos representam, sem espaço para dúvidas, alvos extremamente valiosos, pelo que o risco deixa de ser meramente individual, assumindo uma dimensão coletiva e estrutural.

Contudo, um dos problemas mais controversos prende-se com o facto de que, quando um indivíduo partilha a sua informação genética com uma entidade, poderá, na realidade, estar simultaneamente a comprometer a privacidade genética de toda a sua família. A partilha do código genético ultrapassa largamente a esfera estritamente individual do respetivo titular, projetando-se para uma realidade jurídica particularmente delicada, na qual não apenas a privacidade genética familiar poderá ser colocada em causa, como também os restantes familiares dificilmente terão prestado um consentimento verdadeiramente livre, específico e informado relativamente à partilha dessas informações com entidades terceiras.

Se é inegável que a revolução genética representou um dos maiores avanços científicos da medicina, permitindo antecipar predisposições biológicas e desenvolver terapias cada vez mais personalizadas, não é menos verdade que a sensibilidade e densidade informacional dos dados genéticos fazem emergir desafios sem precedentes em matéria de proteção de dados pessoais e tutela dos direitos fundamentais. Num contexto marcado pelo desenvolvimento acelerado das novas tecnologias, a proteção da informação genética assume uma relevância central, impondo a necessidade de garantir que o progresso científico e tecnológico continue a ser acompanhado por mecanismos jurídicos e éticos capazes de salvaguardar a dignidade, a privacidade e a autodeterminação dos indivíduos.

_{1 O artigo está disponível para consulta em https://revista.aepd.es/revistaprivacidad/article/view/16/10.
2 Idem, Ibidem.
3 O artigo está disponível em https://www.technologyreview.com/2019/02/11/103446/more-than-26-million-people-have-taken-an-at-home-ancestry-test/.}

_{_____________________________________________________________________________________________________________________}

DIANA PATRÍCIA PEREIRA DIAS

Técnica Superior da Unidade de Proteção de Dados do Serviço de Apoio Jurídico dos Serviços Partilhados da Universidade do Porto

Mestre em Direito e Informática pela Universidade do Minho

15 de maio de 2026

 

CNPD EMITE RECOMENDAÇÕES AO PROJETO DE DECRETO-LEI SOBRE CERTIFICAÇÃO DE APLICAÇÕES ESCOLARES¹ 

A Comissão Nacional de Proteção de Dados (CNPD) publicou o Parecer n.º 30/2026, emitido na sequência de um pedido apresentado pelo Secretário de Estado da Presidência do Conselho de Ministros, relativamente ao projeto de Decreto-Lei que estabelece o regime de certificação de aplicações destinadas à utilização em ambiente escolar e pedagógico.

 

O diploma pretende criar um quadro normativo aplicável às aplicações digitais utilizadas no contexto educativo, assegurando simultaneamente a conformidade destas ferramentas com os princípios nacionais de interoperabilidade, segurança da informação e proteção de dados pessoais. A iniciativa surge no contexto da crescente digitalização do sistema educativo, procurando responder aos desafios associados ao tratamento massivo de dados de alunos, docentes e restantes profissionais da educação.

Entre os principais objetivos do projeto destaca-se a criação de um ambiente digital de confiança, capaz de garantir que os recursos tecnológicos utilizados nas escolas respeitam os direitos fundamentais, em especial o direito à proteção de dados pessoais dos menores. Adicionalmente, o projeto procura ainda assegurar a transparência algorítmica e salvaguardar o superior interesse da criança no contexto digital.
O diploma enquadra-se igualmente nas orientações definidas pela Resolução do Conselho de Ministros n.º 214/2025, de 29 de dezembro, que aprovou o Plano de Ação da Estratégia Digital Nacional para 2026-2027. Nesse sentido, visa promover a soberania digital do Estado e reforçar a interoperabilidade entre sistemas, a adoção de normas que assegurem a coerência, consistência e segurança na circulação da informação entre os diversos serviços da Administração Pública e entre estes e entidades privadas.

O objeto do presente projeto de Decreto-Lei passa por estabelecer um regime jurídico da certificação prévia de aplicações destinadas ao ensino não superior, abrangendo os setores público, privado e cooperativo.
O diploma aplica-se aos fornecedores de aplicações escolares que assegurem interoperabilidade com os sistemas da administração educativa, tratem dados pessoais de alunos ou profissionais de educação em contexto escolar, realizem operações consideradas críticas previstas no âmbito do diploma ou forneçam bens e serviços a entidades que exerçam funções no âmbito do Ministério da Educação, Ciência e Inovação (MECI) e da rede de ensino português no estrangeiro.
Nos termos do projeto, o fornecimento e a utilização de aplicações escolares dependerão da emissão prévia de um certificado de conformidade pela Agência para a Gestão do Sistema Educativo, I.P. (AGSE, I.P.), entidade que assumirá funções reguladoras neste domínio.
O diploma prevê ainda:

• a obrigatoriedade de os fornecedores garantirem mecanismos de exportação de ficheiros e transmissão de dados, nos termos e formatos definidos;
• deveres de colaboração e de reporte de incidentes de segurança à AGSE, I.P., e ao Centro Nacional de Cibersegurança;
• a definição de mecanismos de fiscalização e de um regime sancionatório;
• a regulamentação complementar através de portaria dos membros do Governo responsáveis pelas áreas dos negócios estrangeiros, da reforma do Estado e da educação;
• um regime transitório que determina que as aplicações já em funcionamento nas escolas deverão concluir o respetivo processo de certificação até 1 de janeiro de 2027.

Na análise efetuada, a CNPD considera que o regime projetado dispõe, em termos gerais, de base jurídica para o tratamento de dados pessoais ao abrigo do artigo 6.º, n.º 1, alíneas c) e e), do Regulamento Geral sobre a Proteção de Dados (RGPD).
Ainda assim, a autoridade de controlo formula um conjunto de recomendações destinadas a reforçar a conformidade do diploma com o quadro constitucional e europeu de proteção de dados.
Entre as principais recomendações da CNPD destacam-se as seguintes:

• a necessidade de densificação legal dos elementos essenciais do regime, nomeadamente quanto às categorias de dados pessoais tratados, finalidades do tratamento, critérios de elegibilidade, parâmetros de interoperabilidade e medidas técnicas e organizativas aplicáveis;
• a não remissão desses elementos essenciais para portaria, em conformidade com o artigo 6.º, n.º 3, do RGPD, o artigo 35.º da Constituição da República Portuguesa (CRP) e os limites decorrentes do artigo 165.º, n.º 1, alínea b), da CRP;
• a identificação expressa da base jurídica aplicável ao tratamento de categorias especiais de dados pessoais, nos termos do artigo 9.º, n.º 2, do RGPD, bem como das respetivas salvaguardas;
• a definição rigorosa das finalidades associadas a cada fluxo de dados, incluindo a delimitação das categorias de dados suscetíveis de transmissão, das entidades autorizadas a aceder aos dados e dos mecanismos de controlo de acessos;
• a implementação de mecanismos técnicos de vinculação à finalidade do tratamento, designadamente através de separação lógica de dados, limitação funcional das operações e mecanismos auditáveis de registo de acessos;
• a adoção de medidas destinadas a prevenir fenómenos de agregação e centralização de dados pessoais suscetíveis de permitir a criação de perfis extensivos dos estudantes;
• a identificação clara do responsável pelo tratamento e, quando aplicável, do regime de subcontratação, nos termos dos artigos 28.º e 29.º do RGPD;
• a delimitação material das finalidades secundárias de monitorização, avaliação e estudos, privilegiando técnicas de anonimização ou pseudonimização, em conformidade com o artigo 89.º do RGPD;
• a clarificação sobre a eventual utilização de decisões exclusivamente automatizadas e a previsão das garantias previstas no artigo 22.º do RGPD;
• a definição de prazos concretos de conservação de dados pessoais e a sua articulação com o regime arquivístico aplicável;
• a realização prévia de uma Avaliação de Impacto sobre a Proteção de Dados (AIPD), nos termos do artigo 35.º do RGPD, atendendo à natureza, escala e interconexão dos tratamentos previstos, ao abrigo do disposto no artigo 18.º, n.º 4, da Lei de Organização e Funcionamento da Comissão Nacional de Proteção de Dados.
• e, por fim, a revisão do regime sancionatório, assegurando a adequada articulação com o RGPD, a preservação das competências da CNPD e a clarificação da repartição de competências entre a AGSE, I.P., e a autoridade de controlo.

Em conclusão, o parecer da CNPD evidencia a crescente preocupação das autoridades públicas relativamente à utilização de tecnologias digitais no setor educativo, particularmente quando estão em causa dados pessoais de menores. Embora reconheça a legitimidade e relevância do objetivo de certificação das aplicações escolares, a Comissão sublinha que a transformação digital da educação deve ocorrer num quadro jurídico robusto, transparente e plenamente conforme com os princípios do RGPD e da Constituição.
O projeto de Decreto-Lei representa, assim, um passo relevante na construção de um ecossistema digital educativo mais seguro e interoperável. Contudo, a concretização desses objetivos dependerá da capacidade em assegurar um equilíbrio efetivo entre inovação tecnológica, eficiência administrativa e proteção dos direitos fundamentais dos titulares dos dados.

 

____________________________________________________________________________________________

 

CNPD PRONUNCIA-SE SOBRE ACORDO BILATERAL ENTRE PORTUGAL E ESPANHA²

A Comissão Nacional de Proteção de Dados (CNPD) emitiu o Parecer n.º 16/2026, relativo ao projeto de Acordo Bilateral a celebrar entre a República Portuguesa e o Reino de Espanha, no âmbito da prevenção e combate à criminalidade organizada transnacional e ao terrorismo

A cooperação policial transfronteiriça na União Europeia encontra-se sujeita a um enquadramento jurídico europeu e internacional, nomeadamente no que respeita ao intercâmbio de informações entre autoridades de aplicação da lei, nos termos da Diretiva (UE) 2023/977, que estabelece regras sobre pedidos de informação, canais de comunicação, prazos, fundamentos de recusa e garantias aplicáveis.

Quando estejam em causa sistemas de consulta automatizada ou a partilha estruturada de dados biométricos e ficheiros policiais, aplica-se ainda o Regulamento (UE) 2024/982, que define as condições técnicas, procedimentais e de proteção de dados para tais operações.

A CNPD relembra que a celebração de acordos bilaterais neste domínio é juridicamente admissível, desde que tais instrumentos respeitem integralmente o quadro normativo da União Europeia, não podendo implicar uma diminuição das garantias previstas no direito europeu, nem servir para contornar os mecanismos já estabelecidos de cooperação policial e judiciária.

Neste âmbito, a CNPD reconhece a importância da cooperação policial bilateral entre Estados-Membros, entendendo que instrumentos desta natureza podem reforçar a coordenação operacional entre as respetivas autoridades policiais.

Não obstante, a Comissão considera necessário que o Acordo defina de forma mais precisa o seu âmbito material, enquanto instrumento de cooperação policial preventiva e operacional, diferenciando-o claramente de mecanismos próprios de cooperação judiciária internacional em matéria penal, de modo a assegurar a sua conformidade com o direito da União Europeia e com o regime jurídico nacional aplicável.
Recomenda ainda o reforço do regime de tratamento de dados pessoais associado à cooperação prevista, nomeadamente através de:

• clarificação do conceito de “pessoas suspeitas”;
• definição das condições de transmissão de dados, incluindo a finalidade do tratamento, a verificação da exatidão, atualidade e fiabilidade dos dados e, ainda, a distinção entre dados baseados em factos e dados baseados em apreciações pessoais ou inferências operacionais;
• regras claras de conservação, revisão periódica e eliminação de dados;
• clarificação do conceito de interoperabilidade técnica prevista, distinguindo a coordenação operacional entre sistemas de comunicação de eventuais situações de interconexão ou partilha estruturada de dados pessoais;
• reforço da segurança das comunicações, com canais seguros e requisitos técnicos mínimos de confidencialidade, integridade e rastreabilidade;
• consagração de um núcleo mínimo de garantias de proteção de dados proporcional ao risco das operações;
• identificação clara das autoridades competentes em Portugal e Espanha e articulação com os instrumentos europeus aplicáveis à cooperação policial e ao intercâmbio de informações, como por exemplo a Europol/SIENA).

A CNPD assinala igualmente a existência de uma potencial incoerência entre a exclusão do auxílio judiciário, prevista no artigo 1.º, n.º 2, e o conteúdo do artigo 3.º, que contempla mecanismos como grupos mistos de investigação, entregas controladas e interceções. Entende, por isso, que esta articulação deve ser clarificada, de forma a evitar interpretações suscetíveis de aproximar o Acordo de instrumentos próprios de cooperação judiciária penal.

A Comissão sublinha ainda a necessidade de garantir que o Acordo não venha a ser interpretado ou aplicado de modo a criar mecanismos paralelos de consulta ou intercâmbio automatizado de dados à margem dos regimes estruturados previstos no Regulamento (UE) 2024/982. Assim, qualquer solução de interoperabilidade ou partilha estruturada de dados biométricos ou de ficheiros policiais deverá respeitar integralmente o quadro jurídico harmonizado da União Europeia.

______________________________
_{1 Disponível para consulta em: https://www.cnpd.pt/decisoes/historico-de-decisoes/?year=2026&type=&ent=.
2 Ibidem.}

_____________________________________________________________________________________________________________________

DIANA PATRÍCIA PEREIRA DIAS

Técnica Superior da Unidade de Proteção de Dados do Serviço de Apoio Jurídico dos Serviços Partilhados da Universidade do Porto

Mestre em Direito e Informática pela Universidade do Minho

17 de abril de 2026

 

Portugal aprova lei para execução do Regulamento dos Serviços Digitais¹

Foi publicada a Lei n.º 12-A/2026, de 15 de abril, que assegura a execução, em Portugal, do Regulamento (UE) 2022/2065 do Parlamento Europeu e do Conselho, de 19 de outubro de 202 – Regulamento dos Serviços Digitais, diploma europeu que estabelece regras harmonizadas para um mercado único de serviços digitais

 

A nova lei introduz um conjunto de obrigações reforçadas para os prestadores de serviços intermediários, que passam a estar vinculados a atuar de forma diligente sobre conteúdos ilegais. Entre os deveres previstos, incluem-se a prestação de informações sobre destinatários individuais dos seus serviços, bem como a disponibilização de listas de destinatários, estando sujeitos a prazos legalmente definidos. Estas medidas visam aumentar a transparência e a responsabilização no âmbito do mercado de serviços digitais no espaço europeu.

A Autoridade Nacional de Comunicações (ANACOM) foi designada como autoridade administrativa competente e Coordenador dos Serviços Digitais. Compete-lhe assegurar a supervisão e execução do Regulamento, funcionando igualmente como ponto de contacto único com a Comissão Europeia, o Comité Europeu dos Serviços Digitais e os coordenadores dos serviços digitais de outros Estados-Membros.

A par da ANACOM, a Entidade Reguladora para a Comunicação Social (ERC) e a Comissão Nacional de Proteção de Dados (CNPD) foram também designadas como autoridades administrativas competentes, cabendo-lhes aprovar os atos e regulamentos necessários à plena aplicação do diploma. A lei sublinha, aliás, a importância da cooperação interinstitucional, impondo a estas entidades o dever de articulação para garantir uma aplicação eficaz e coerente do Regulamento.

No que respeita aos direitos dos utilizadores, a legislação consagra a possibilidade de apresentação de reclamações contra prestadores de serviços intermediários. Este direito pode ser exercido diretamente pelos destinatários dos serviços ou por entidades que os representem, junto do Coordenador dos Serviços Digitais.

Um dos instrumentos centrais previstos é a criação de uma plataforma de comunicação, sob responsabilidade do coordenador. Esta plataforma permitirá, entre outras funcionalidades, o envio de determinações das autoridades judiciárias ou pelas entidades administrativas, a receção das comunicações dirigidas a estas, a transmissão das determinações entre entidades, bem como o encaminhamento de reclamações apresentadas pelos utilizadores.

Do ponto de vista da proteção de dados pessoais, a intervenção da CNPD assume especial relevância, na medida em que muitas das obrigações impostas aos prestadores implicam o tratamento e a partilha de dados. Assim, a aplicação do diploma deverá ser articulada com os princípios e exigências do Regulamento Geral sobre a Proteção de Dados (RGPD), garantindo a licitude, proporcionalidade e segurança no tratamento da informação.

Em suma, a entrada em vigor desta lei representa um passo decisivo na regulação do espaço digital em Portugal, alinhando o ordenamento jurídico nacional com as exigências europeias. O sucesso da sua aplicação dependerá, contudo, da capacidade de equilibrar a eficácia na remoção de conteúdos ilegais com o respeito pelos direitos fundamentais, em especial a proteção de dados pessoais.

 

_________________________________________________________________________________________

 

CNPD alerta para falhas na proteção de dados em proposta sobre intercâmbio policial europeu²

A Comissão Nacional de Proteção de Dados (CNPD) emitiu o Parecer n.º 22/2026, na sequência de um pedido formulado, a 4 de fevereiro de 2026, pela Comissão de Assuntos Constitucionais, Direitos, Liberdades e Garantias, relativo à Proposta de Lei n.º 53/XVII/1.ª.
Em causa está a iniciativa legislativa que visa regular o intercâmbio de informações entre autoridades de aplicação da lei dos Estados-Membros, completando a transposição da Diretiva (UE) 2023/977, de 10 de maio de 2023

A proposta surge num contexto de crescente criminalidade transnacional, procurando reforçar os mecanismos jurídicos que permitam às autoridades competentes prevenir, detetar, investigar e reprimir infrações penais que ultrapassam fronteiras e representam uma ameaça à segurança coletiva. Para tal, deve-se apostar na celeridade da troca de informações entre entidades policiais europeias, no quadro da cooperação operacional.

Apesar de reconhecer a relevância destes objetivos, a CNPD sublinha que a proposta tem um impacto significativo sobre direitos fundamentais, em particular o direito à reserva da intimidade da vida privada e à proteção de dados pessoais. Em causa está o tratamento e circulação de dados pessoais no âmbito de investigações criminais, incluindo matérias sensíveis como o combate ao terrorismo.

Um dos principais reparos apontados pela CNPD prende-se com a ausência de um regime sistematizado e autónomo de proteção de dados no diploma. Embora a proposta vise também assegurar a conformidade com a Diretiva (UE) 2023/2123 – relativa à harmonização com as regras da União em matéria de proteção de dados –, não integra um capítulo específico dedicado a esta matéria. Segundo a autoridade, esta dispersão normativa compromete a clareza, a acessibilidade e a segurança jurídica do regime.

Neste sentido, a CNPD recomenda que as normas relativas à proteção de dados sejam concentradas e densificadas num corpo normativo próprio. Adicionalmente, defende que futura regulamentação venha a estabelecer requisitos mínimos claros, nomeadamente: a identificação individual e processual dos operadores envolvidos no tratamento e intercâmbio de dados, bem como a definição concreta das medidas técnicas e organizativas destinadas a assegurar a segurança e confidencialidade da informação.

Por fim, a Comissão insiste na necessidade de realização prévia de uma avaliação de impacto sobre a proteção de dados, instrumento essencial no âmbito do Regulamento Geral sobre a Proteção de Dados (RGPD), antes da aprovação definitiva da proposta legislativa.

Em conclusão, o parecer da CNPD evidencia um equilíbrio delicado entre a eficácia da cooperação policial europeia e a salvaguarda dos direitos fundamentais. A adoção das recomendações apresentadas será determinante para assegurar que o reforço da segurança não se faça à custa da proteção de dados pessoais, pilar essencial do Estado de Direito democrático. 

______________________________
_{1 Disponível para consulta em: https://www.jusnet.pt/Content/DocumentMag.aspx?params=H4sIAAAAAAAEAMtMSbH1cTUAAkMLA0MTI7Wy1KLizPw8WyMDIzMDEyMDkEBmWqVLfnJIZUGqbVpiTnEqADhAePA1AAAAWKE.
2 Disponível para consulta em: https://www.cnpd.pt/decisoes/historico-de-decisoes/?year=2026&type=&ent=.}

_____________________________________________________________________________________________________________________

JOÃO MIGUEL DUARTE BERNARDO FERREIRA

Técnico Superior na Unidade de Proteção de Dados do Serviço de Apoio Jurídico dos Serviços Partilhados da Universidade do Porto

Mestre em Ciência da Informação pela Faculdade de Engenharia e Faculdade de Letras da Universidade do Porto

07 de abril de 2026

Pequenas divagações sobre a Era da Quarta Revolução Industrial

A relação que a humanidade está a desenvolver com as tecnologias digitais emergentes deixa antever duas questões, entre uma miríade delas:

1. a) Que riscos enfrentarão as pessoas que não desenvolverem competências digitais, bem como a consciencialização dos seus direitos? b) Estaremos preparados para pagar os custos que estas tecnologias terão para apresentar na sua fatura, particularmente nos casos em que estas são utilizadas de forma errática e opaca?

A revolução digital a que temos assistido justifica que se afirme que estamos perante a transformação mais profunda desde a Revolução Industrial, não sendo por isso de estranhar que o contexto atual em que vivamos seja denominado como a Era da Quarta Revolução Industrial[1]. Os constantes avanços computacionais, aliados ao desenvolvimento de tecnologias emergentes como a inteligência artificial, big data ou a computação na nuvem permitem que hoje possuamos uma vasta gama de ferramentas que nos garantem acesso a serviços que outrora apenas figurariam em filmes de ficção científica.

Estas tecnologias, quer sejam utilizadas para fins domésticos, profissionais ou pedagógicos, permitem o rápido acesso a elevados volumes de informação, assinalando-se, por exemplo, a análise de grandes volumes de dados em curtos espaços de tempo ou recomendações em tempo real que respondem ao conjunto de necessidades único que traça a nossa personalidade. De facto, é de salientar como os serviços digitais constroem uma teia de informações personalizada respeitante a cada um de nós, o que permite o ajuste aos nossos comportamentos e preferências, aumentando, a todo o momento, as expectativas que possuímos acerca destes «produtos invisíveis».

Estes instrumentos permitem o desenvolvimento de serviços inovadores em vários quadrantes, entre eles no ramo da educação. Aos dias de hoje, neste setor em particular, os estudantes têm à sua disposição plataformas para consulta de aulas gravadas que permitem recapitulação de matérias, ferramentas baseadas em inteligência artificial que auxiliam no desenvolvimento de competências críticas e estruturação de métodos de estudo, monitorização do progresso pedagógico dos alunos e realização de um processo de avaliação mais preciso, deteção de plágio e ainda tecnologias disruptivas como o proctoring.

Foi acerca destas tecnologias que a Autoridade de Controlo neerlandesa se debruçou no artigo «Digital learning tools in the classroom: privacy risks for students», no qual se sublinha que estes recursos pedagógicos, designadamente os que recorrem a inteligência artificial e armazenamento na cloud, pertencem, sobretudo, a empresas tecnológicas de grande envergadura o que poderá implicar, não raras vezes, transferência de dados para fora do espaço europeu. Neste contexto, é de notar que, caso não sejam acauteladas as medidas de segurança adequadas, estas transferências representam um risco significativo para a privacidade dos estudantes, risco esse que aumenta de grau se estivermos a falar de menores de idade[2].

A autoridade neerlandesa dá o mote para uma questão que, por agora, permanece sem qualquer escrutínio: Que acordos é que os fornecedores de serviços celebram com entidades terceiras no que diz respeito a estas informações?

No caso em concreto, quando uma escola ou universidade encontra fundamento legal para a implementação de tecnologias como gravação de aulas, monitorização contínua e personalizada do progresso pedagógico ou sistemas de proctoring, é sabido que os estudantes e, caso aplicável, os seus representantes legais, não têm propriamente opção de escolha relativamente à «não-submissão» a estas tecnologias.

Uma vez que os estudantes não possuem liberdade de escolha quanto à utilização destes instrumentos, existe um dever acrescido, por parte das instituições de ensino, de estrito respeito pelo princípio da transparência, consagrado no artigo 5.º, n.º 1, al. a) do Regulamento (UE) n.º 679/2016, de 27 de abril. Este princípio encontra a sua concretização no artigo 12.º do mesmo regulamento, que determina que devem ser fornecidas informações «de forma concisa, transparente, inteligível e de fácil acesso».

Contudo, reconhece-se que muitas vezes estes estabelecimentos não possuem os meios necessários para apurar as informações que deverão ser fornecidas. É por este motivo que a autoridade de controlo apela aos fornecedores de serviços que sejam transparentes com as instituições de ensino, nomeadamente quanto às seguintes questões:

• Que dados pessoais são recolhidos, de que forma são protegidos e armazenados;
• Quem tem acesso aos dados pessoais que se encontram na posse das empresas;
• Como é que os titulares dos dados podem exercer os seus direitos;
• Como é que o sistema disponibilizado funciona em concreto;
• Se está em causa um sistema que recorre a inteligência artificial e, em caso de resposta positiva, como este funciona;

Já quanto às responsabilidades dos estabelecimentos de ensino, é destacado que apenas devem ser celebrados acordos com entidades que respeitam o princípio da transparência referido anteriormente e o Encarregado da Proteção de Dados deve ser envolvido na elaboração e revisão dos acordos a firmar junto destes fornecedores.

Os estabelecimentos de ensino, em particular aqueles que lidam com menores de idade, devido à sua vulnerabilidade, deverão envidar todos os seus esforços para assegurar que, na prestação dos seus serviços, estão asseguradas todas as medidas de respeito pelos direitos fundamentais dos estudantes. Uma sociedade democrática deverá ser pautada pela garantia de que as informações relativas aos estudantes são tratadas como parte da sua identidade, única e inviolável, sendo protegidas contra qualquer forma de instrumentalização, exploração ou utilização diferente das finalidades educativas que legitimam o seu tratamento.

O recurso a serviços digitais no contexto educativo está, em larga medida, a deixar de ser uma opção de escolha para os estudantes, o que reforça a responsabilidade das instituições de ensino na proteção dos seus direitos, enquanto responsáveis pelo tratamento dos dados. Importa ainda reconhecer que a digitalização plena deste setor se afigura cada vez mais inevitável. No entanto, com mais frequência do que seria desejável, tomamos conhecimento de pessoas que não desenvolvem as suas competências digitais. As pessoas que não desenvolvam, desde já, as suas competências de literacia digital poderão vir a encontrar-se numa posição de particular vulnerabilidade e ver os seus direitos em significativo perigo.

No entanto, a inevitabilidade da digitalização no setor da educação não pode ser interpretada como uma legitimação de práticas opacas e de claro desrespeito pelos direitos dos titulares dos dados. A resposta parece ser a conjugação de uma tríade: por um lado, uma sociedade mais consciente dos seus direitos enquanto utilizadora destas ferramentas; por outro, fornecedores de serviços que adotem políticas de informação transparentes; e, por fim, os estabelecimentos de ensino se articulem com estes fornecedores, assegurando a prestação de informações adequadas aos utilizadores finais. 

______________________________
_{1 Menezes Cordeiro, António Barreto, Direito da proteção de dados – À luz do RGPD e da lei n.º 58/2019, Coimbra: Almedina, 2022, p. 27.
2 O artigo está disponível para consulta em https://media.licdn.com/dms/document/media/v2/D4E1FAQGIA32ZwRAneg/feedshare-document-url-metadata-scrapper-pdf/B4EZ1AtiqgHgA8-/0/1774907174688?e=1775559600&v=beta&t=jQe2j3uQY-Qv6nH3JgeE4BvsW8w1L-dgSe3ON3KVD9k.}

_____________________________________________________________________________________________________________________

DIANA PATRÍCIA PEREIRA DIAS

Técnica Superior da Unidade de Proteção de Dados do Serviço de Apoio Jurídico dos Serviços Partilhados da Universidade do Porto

Mestre em Direito e Informática pela Universidade do Minho

02 de abril de 2026

 

Acórdão do Tribunal de Justiça no processo C-526/24¹

 No âmbito de um litígio entre a empresa alemã de ótica Brillen Rottler GmbH & Co. KG e um cidadão identificado como TC, o Tribunal de Primeira Instância de Arnsberg, Alemanha, submeteu ao Tribunal de Justiça da União Europeia (TJUE) um pedido de decisão prejudicial, ao abrigo artigo 267.º do Tratado sobre o Funcionamento da União Europeia (TFUE)

 

Este litígio tem origem num pedido de acesso a dados pessoais apresentado por TC, com base no artigo 15.º do Regulamento Geral sobre a Proteção de Dados (RGPD), ao qual a empresa se recusou a dar seguimento. Os factos relevantes podem ser expostos da seguinte forma:

1. TC subscreveu o boletim informativo da empresa, fornecendo os seus dados pessoais e consentindo o respetivo tratamento. Treze dias depois, apresentou um pedido de acesso aos seus dados. A empresa considerou esse pedido abusivo e recusou dar-lhe seguimento dentro do prazo legal de um mês, invocando o artigo 12.º, n.º 5 do RGPD. Em resposta, TC reiterou o pedido e solicitou, ainda, uma indemnização, ao abrigo do artigo 82.º do RGPD.
2. Nesta sequência, a empresa intentou uma ação judicial com o objetivo de ver declarado que TC não tinha direito a qualquer indemnização. Alegou, ainda, para o efeito, que TC adota uma prática sistemática de apresentar pedidos de acesso a dados pessoais junto de diversas entidades, com o propósito de, posteriormente, reclamar indemnizações por alegadas violações do RGPD que ele próprio provoca deliberadamente.
3. O tribunal alemão questiona, em primeiro lugar, se um primeiro pedido de acesso pode ser considerado «excessivo», nos termos do artigo 12.º, n.º 5 do RGPD, e, portanto, configurar um abuso de direito. Em particular, pretende saber se o responsável pelo tratamento pode recusar um pedido de acesso com base em informações públicas - como notícias ou publicações - que indiquem que a mesma pessoa apresenta múltiplos pedidos semelhantes a outras entidades.
4. O órgão jurisdicional de reenvio interroga-se ainda sobre se a apresentação de um pedido de acesso, bem como a resposta a esse pedido, constituem um “tratamento de dados pessoais”, na aceção do artigo 4.º, n.º 2 do RGPD.
5. Por outro lado, o tribunal levanta dúvidas quanto aos requisitos para a atribuição de indemnização ao abrigo do artigo 82.º do RGPD. Em concreto, pretende saber se a simples violação do direito de acesso (artigo 15.º do RGPD) é suficiente para gerar um direito a indemnização, mesmo que não exista um tratamento de dados adicional.
6. Perante estas dúvidas, o tribunal decidiu suspender o processo e submeter estas questões ao TJUE, para interpretação das normas relevantes do RGPD, nomeadamente os artigos 12.º, n.º 5, 4.º, n.º 2 e 82.º, n.º 1.
7. O TJUE esclareceu que, em determinadas circunstâncias, até um primeiro pedido de acesso pode ser considerado «excessivo». Isto acontece quando o responsável pelo tratamento consegue demonstrar que o pedido não tem como finalidade genuína o acesso ou a verificação da licitude do tratamento dos dados, mas sim um objetivo abusivo - por exemplo, criar artificialmente condições para exigir uma indemnização. O Tribunal admitiu ainda que o histórico de comportamentos do titular dos dados, incluindo a apresentação repetida de pedidos semelhantes a outras entidades, pode ser tido em consideração para demonstrar essa intenção abusiva.
8. Quanto ao direito a indemnização, o TJUE afirmou que a violação do direito de acesso pode, em princípio, dar lugar a indemnização ao abrigo do artigo 82.º do RGPD. No entanto, isso exige que o titular dos dados prove a existência de um dano efetivo, incluindo danos imateriais, como a perda de controlo sobre os seus dados pessoais. Além disso, deve demonstrar-se que esse dano não resulta essencialmente da própria conduta do titular dos dados.

 

Em síntese, o TJUE veio esclarecer que:

• Um pedido de acesso pode ser considerado abusivo, mesmo sendo o primeiro, se houver prova de má-fé;
• O contexto e o comportamento anterior do titular dos dados são relevantes para essa avaliação;
• A indemnização por violação do RGPG não é automática, dependendo da prova de um dano real e da existência de um nexo causal adequado.

 

_________________________________________________________________________________________

 

Parecer Conjunto n.º 3/2026 sobre a Proposta de Regulamento de Biotecnologia (Biotech Act) da Comissão Europeia²

O Comité Europeu para a Proteção de Dados (CEPD) e a Autoridade Europeia para a Proteção de Dados (AEPD) emitiram um parecer conjunto sobre a proposta da Comissão Europeia relativa ao Regulamento Europeu da Biotecnologia (Biotech Act). Neste processo, participou igualmente a Comissão Nacional de Proteção de Dados (CNPD), enquanto membro do CEPD

1. Em dezembro de 2025, a Comissão Europeia apresentou uma proposta legislativa com o objetivo de reforçar os setores da biotecnologia e da biofabricação na Europa, com particular enfoque na área da saúde. A Proposta visa também responder a desafios relacionados com a aplicação consistente do Regulamento de Ensaios Clínicos (Regulamento (UE) 536/2014 – CTR). A iniciativa pretende simplificar o quadro regulamentar existente e atualizar as regras aplicáveis aos ensaios clínicos, tornando-as mais eficientes e adaptadas à inovação científica.
2. O CEPD e a AEPD manifestam apoio ao objetivo global da proposta. No entanto, sublinham que as simplificações propostas devem clarificar as obrigações legais, e assegurar a segurança jurídica. Ao mesmo tempo, insistem que deve ser preservado o elevado nível de proteção dos dados pessoais, tal como previsto no RGPD e no Regulamento (UE) 2018/1725 – Regulamento de Proteção de Dados da União Europeia (EUDPR), sobretudo no que respeita a dados de saúde.
3.  Adicionalmente, as autoridades apoiam o objetivo da Proposta de harmonizar a forma como patrocinadores e investigadores devem tratar dados pessoais, no âmbito de ensaios clínicos em todo o Espaço Económico Europeu. 
4.  Demonstram ainda satisfação pelo facto de esta mesma Proposta visar estabelecer uma base jurídica única para o tratamento de dados pessoais nestes moldes, considerando que isto irá contribuir para ajudar a abordar a fragmentação existente do quadro regulatório e melhorar a clareza jurídica. Neste Parecer, as autoridades aproveitaram também para fornecer recomendações específicas sobre como aumentar ainda mais a clareza e a previsibilidade da obrigação legal.
5. Para além do exposto, é também admitida a introdução de salvaguardas adicionais destinadas a reforçar a proteção das pessoas cujos dados são tratados. Nesse sentido, são apresentadas várias recomendações com o objetivo de aumentar a segurança jurídica e assegurar uma proteção mais eficaz dos direitos e liberdades dos titulares dos dados. Destacam-se, em particular, as seguintes:
   • Defende-se a qualificação de patrocinadores e investigadores como responsáveis pelo tratamento, assegurando uma identificação clara das entidades e dos seus papéis.
   • Recomenda-se que seja clarificado que o período mínimo de conservação de 25 anos apenas se aplica aos dados constantes do arquivo mestre do ensaio clínico.
   • Quanto ao artigo 93.º, n.º 6, do CTR, considera-se necessário explicitar de forma mais clara o seu objetivo, nomeadamente o de fornecer uma base jurídica para o tratamento adicional de dados ao abrigo do artigo 6.º, n.º 1, alínea e), do RGPD (ou da alínea c), nos casos aplicáveis), bem como clarificar as respetivas finalidades e as salvaguardas pertinentes.
   • Destaca-se ainda a necessidade de adotar medidas técnicas e organizativas adequadas, como a pseudonimização, e de garantir que estas sejam devidamente refletidas no CTR.

6. No que diz respeito ao eventual acesso a dados por autoridades competentes e pela Comissão, recomenda-se que esse acesso seja limitado ao estritamente necessário para o desempenho das suas funções. Sempre que possível, os dados devem ser disponibilizados em formato pseudonimizado, evitando o uso de informações diretamente identificáveis.
   Adicionalmente, sugere-se a inclusão de exemplos concretos das situações em que poderá ser necessário o acesso a dados pessoais, de modo a clarificar e justificar esse acesso.
7. São igualmente formuladas recomendações sobre outras alterações propostas ao Regulamento de Ensaios Clínicos, com destaque para: 
   • A necessidade de harmonizar o procedimento de avaliação da conformidade com o RGPD, sugerindo-se que o CEPD emita orientações a nível europeu, sobre como estas devem ser realizadas.
   • Quanto à possibilidade de fornecer o consentimento informado por via eletrónica, recomenda-se esclarecer que a utilização da Carteira Europeia de Identidade Digital é voluntária, devendo manter-se a possibilidade de recorrer a outros meios de identificação e autenticação.
   • A definição clara do enquadramento jurídico das “regulatory sandboxes”, incluindo a base legal aplicável do tratamento de dados. Adicionalmente, recorda o papel consultivo das autoridades de proteção de dados, para assegurar a consistência nos aspetos de proteção de dados e a adequada supervisão destas iniciativas.
   • A clarificação de que as obrigações impostas aos patrocinadores quanto ao uso de sistemas de inteligência artificial em ensaios clínicos acrescem às já previstas no Regulamento de Inteligência Artificial.

Em conclusão, o parecer conjunto reconhece o mérito da proposta da Comissão Europeia ao procurar modernizar e simplificar o enquadramento dos ensaios clínicos, promovendo a inovação no setor da biotecnologia. No entanto, as autoridades de proteção de dados sublinham que essa simplificação não pode comprometer a clareza das regras nem o elevado nível de proteção dos dados pessoais, em especial dos dados de saúde.
As recomendações apresentadas vão no sentido de reforçar a segurança jurídica, clarificar responsabilidades e assegurar a aplicação consistente das normas de proteção de dados em toda a União Europeia. Ao mesmo tempo, procuram garantir que o desenvolvimento científico e tecnológico decorra de forma responsável, com respeito pelos direitos fundamentais dos cidadãos.

______________________________
_{1 Disponível para consulta em: https://eur-lex.europa.eu/legal-content/PT/ALL/?uri=CELEX:62024CJ0526.
2 Disponível para consulta em: https://www.edpb.europa.eu/system/files/2026-03/edpb_edps_jointopinion_202603_biotechact_en.pdf.}

 

_____________________________________________________________________________________________________________________

 JOÃO MIGUEL DUARTE BERNARDO FERREIRA

Técnico Superior da Unidade de Proteção de Dados do Serviço de Apoio Jurídico dos Serviços Partilhados da Universidade do Porto

Mestre em Ciência da Informação pela Faculdade de Engenharia e Faculdade de Letras da Universidade do Porto

23 de março de 2026

A compliance é um dever que começa dentro de portas

Da mesma forma que não se pode iniciar a construção de uma casa a partir do telhado, também a implementação de um programa de conformidade com o Regulamento Geral sobre a Proteção de Dados não pode começar fora do reduto interno de uma organização. Assim, para ser resiliente e madura em matéria de proteção de dados, a organização precisa de ter os seus alicerces imunes a tempestades porque, caso contrário, não há telhado que lhes resista.

É neste contexto que Daphne Njeri, Encarregada de Proteção de Dados do National Bank of Kenya, publicou um artigo na rede social Linkedin, onde alertou para a relevância de proteger as informações relativas aos trabalhadores de uma organização, em detrimento de focar apenas nos dados pessoais dos seus clientes.

Efetivamente, no âmbito da relação laboral, o trabalhador encontra-se numa posição assimétrica de poder face ao empregador onde a maioria dos tratamentos de dados são efetuados sem que este tenha hipótese de se opor à sua realização. Inclusivamente, no domínio do exercício de direitos enquanto titular dos dados, o desequilíbrio estrutural que caracteriza a relação laboral pode comprometer a sua efetiva concretização, na medida em que este poderá abster-se de os exercer por receio de eventuais consequências negativas.

Deste modo, impõe-se reconhecer que os dados pessoais dos trabalhadores reclamam um nível extraordinário de proteção, exigindo da organização uma abordagem reforçada de conformidade, sob pena de se perpetuarem práticas potencialmente lesivas dos direitos fundamentais dos trabalhadores.

Tal como a autora começa por frisar, uma parte das organizações possui um grande volume de dados respeitante ao ciclo de vida da relação laboral mantida com os trabalhadores, que inclui desde informações relativas à fase de recrutamento até ao processamento de salários e de gestão de performance.

A sensibilidade destes dados aumenta quando falamos da Universidade do Porto, onde de acordo com um relatório de 2024[1], existem cerca de 4 mil trabalhadores na organização. O tratamento de dados de um número tão vasto de trabalhadores eleva exponencialmente, em caso de violação dos trâmites legais, o respetivo impacto potencial, assim como aumenta, de forma significativa, a probabilidade de ocorrência de incidentes e a dificuldade de controlo, supervisão e governação dos dados.

A autora destaca seis fases basilares da relação de emprego entre empregador e trabalhador: i) a fase de candidatura; ii) a fase de integração; iii) a fase de relação de trabalho; iv) a fase de monitorização; v) a fase de desvinculação; vi) e, por último, a fase de conservação de dados pós-desvinculação e posterior eliminação.

Entre as recomendações fornecidas, destaca-se, desde logo, a importância da definição de prazos concretos de retenção de dados, tanto para informações respeitantes a candidatos excluídos em fases de candidatura, mas também na fase em que o trabalhador já não faz parte da organização, altura em que as informações inicialmente tratadas para uma finalidade específica, a partir desse momento, deixam de ser necessárias.

A autora sublinha ainda a necessidade de atribuir permissões de acesso a dados pessoais apenas a trabalhadores com estrita necessidade de aceder aos mesmos, entre os quais equipas de recursos humanos, gestores de processamento de salários ou departamento financeiro, sendo uma boa prática analisar, de forma casuística e concreta, as permissões de acesso que deverão ser concedidas em cada operação de tratamento.

Entretanto, importa lembrar que com os avanços das novas tecnologias, atualmente é comum que uma organização utilize serviços que, devido às suas características, têm um certo caráter invasivo na vida privada, hábitos pessoais e características físicas de cada trabalhador, entre eles circuitos de CCTV, acessos concedidos através de sistemas biométricos, monitorização de e-mail e navegação na internet, assim como veículos com soluções de localização via GPS.

Os princípios da licitude, lealdade e transparência, acompanhados pelos da necessidade e proporcionalidade do tratamento são verdadeiros pilares estruturantes do regime jurídico da proteção de dados pessoais. Todavia, a sua relevância densifica-se nos tratamentos de dados que são realizados a partir de tecnologias emergentes, uma vez que estas implicam riscos significativos para os direitos e liberdades dos titulares dos dados. Com efeito, tais tratamentos podem originar definição de perfis, roubo de identidade, intrusão na vida privada, possível uso de imagens para fins não previstos, discriminação, inferência de dados sensíveis, entre outros riscos de natureza semelhante.

Assim, a autora sublinha que, caso o empregador pretenda proceder aos tratamentos destes dados, os trabalhadores deverão ser informados, à priori, da realização dos mesmos, nos casos em que são utilizadas tecnologias de monitorização de e-mail, navegação na internet e circuitos de CCTV, assim como deverão ser tomadas as medidas técnicas e organizativas de modo a assegurar que as informações são devidamente protegidas.

Este artigo aborda um tema muitas vezes negligenciado nos debates de académicos e profissionais da área, pelo que é premente lembrar que o cumprimento das regras juridicamente aplicáveis deve ser aplicado, desde logo, numa perspetiva interna, sem descurar, naturalmente, os dados pessoais de titulares que não mantêm uma relação laboral com a organização. 

Para mais informações deverá ser consultado o seguinte link:

https://media.licdn.com/dms/document/media/v2/D4D1FAQGKwEX7lr3k0Q/feedshare-document-pdf-analyzed/B4DZzWf2L4IwAY-/0/1773125200364?e=1774483200&v=beta&t=zLMX-BRDSfyohU3QOeQq8OI1hXYZAes015JE3GuDrYc.

______________________________
_{[1] O relatório encontra-se disponível em https://sigarra.up.pt/up/pt/conteudos_service.conteudos_cont?pct_id=38319&pv_cod=36D1kaRIJauh.}

_________________________________________________________________________________________

Investigadores da Universidade do Porto elaboram guia de boas práticas de captura de fotografias em contexto clínico

Há alguns anos, poucas pessoas antecipariam que um smartphone poderia vir a salvar vidas, mas parece que estamos cada vez mais próximos de considerar isso uma verdade universal. No contexto clínico, estes dispositivos têm permitido às equipas médicas colaborar entre si, através da partilha de fotografias, facilitando a formulação de diagnósticos adequados em tempo útil. É de sublinhar que as fotografias têm um papel crucial na medicina legal. No entanto, este procedimento, de caráter altruísta, pode colocar em causa a vida privada dos pacientes.

Em conformidade com o art.º 9.º, n.º 1 do Regulamento (UE) n.º 679/2016, de 27 de abril, as informações de saúde, atendendo à sua extrema sensibilidade, configuram uma categoria especial de dados, cuja proteção se deve distinguir pela necessidade de uma proteção extraordinária quando comparada à que é conferida às demais categorias de dados.

Em contexto clínico, é de relembrar que os pacientes que recorrem diariamente aos serviços de saúde não são apenas vítimas de acidentes, doenças crónicas ou infeções. De facto, como se verá mais adiante, não são raras as vezes em que os hospitais são visitados por pessoas com lesões resultantes de atos de violência praticados por terceiros. À luz destes diferentes contextos, importa ressaltar que, em matéria de proteção de dados, o tratamento de dados de saúde poderá resultar em diferentes riscos para os titulares de dados, entre os quais recusa de seguros ou créditos, exclusão social ou até atentado à segurança física de pessoas e bens, apenas para nomear alguns riscos.

O jornal Público publicou, esta semana, um artigo que dá conta de uma equipa de investigadores da Faculdade de Medicina da Universidade do Porto (FMUP) que, no âmbito de um estudo publicado na revista International Journal of Legal Medicine[2], desenvolveu um algoritmo destinado a mitigar o dilema entre garantir o direito à privacidade dos pacientes ou prestar cuidados médicos de qualidade. Este instrumento visa atenuar alguns dos problemas na prestação de cuidados médicos com recurso a smartphones como método de auxílio para os profissionais de saúde, tais como dificuldade na obtenção do consentimento informado, a dificuldade de saber onde os ficheiros digitais são armazenados e os desafios na gestão dos meios através dos quais estes ficheiros são partilhados.

Tal como explica José Paulo Andrade, docente e investigador da FMUP, esta ferramenta «é um guia prático que pode ser adoptado por hospitais, institutos de medicina legal e outras entidades, reforçando a protecção dos dados de saúde e a confiança do público». O docente refere ainda num comunicado da FMUP que «São dados conselhos práticos sobre como obter boas fotografias clínicas com telemóveis e propõe-se um algoritmo simples, em forma de fluxograma, que orienta os médicos passo a passo: quando podem fotografar, como devem fazê-lo em segurança e quais são os procedimentos correctos para guardar e enviar as imagens». O comunicado destaca que «a fotografia médica é essencial para documentar, examinar e demonstrar descobertas científicas e pode ser utilizada como meio de prova em processos criminais ou civis».

O estudo publicado no International Journal of Legal Medicine dedica especial atenção a quatro aspetos essenciais: i) a necessidade de recolha de um adequado consentimento informado; (ii) práticas aceitáveis de captura de fotografias; (iii) armazenamento e segurança de dados em repouso; (iv) transferência e segurança de dados em trânsito[3]. 

No que respeita ao primeiro ponto, a recolha do consentimento informado, o estudo aponta os diversos requisitos informacionais que deverão ser fornecidos neste documento, bem como os procedimentos a adotar quando o paciente se encontre impossibilitado de fornecer o seu consentimento. Nestes casos, em linha com as boas práticas, informa-se que o consentimento deverá ser prestado pelo respetivo representante legal. O estudo sublinha que, contudo, o consentimento não é o único fundamento de licitude possível para recolha das fotografias, pois estas poderão ser solicitadas por ordem judicial[4].

Quanto às práticas aceitáveis de captura de imagem, os autores referem que, sempre que possível, deverá ser evitada a captação de identificadores diretos do paciente, como nomes, retratos faciais completos, marcas de nascimento ou tatuagens. Acresce ainda que os nomes dos ficheiros digitais não deverão incluir o nome do paciente ou o seu número de utente[5].

No que concerne ao armazenamento e à segurança de dados em repouso, é apontado que o método ideal de captura é a partir de smartphones institucionais, uma vez que estes possuem múltiplas camadas de autenticação, permitem a eliminação remota de conteúdo e asseguram uma comunicação mais segura, rápida e ágil entre equipas médicas. Quanto ao armazenamento, é recomendado que o smartphone do hospital faça sincronização automática com os servidores institucionais, devendo os ficheiros ser eliminados do dispositivo assim que a sincronização termine.

Por último, no domínio da transferência e segurança de dados em trânsito, os autores desaconselham a utilização de redes públicas ou de origem desconhecida, bem como o envio de ficheiros através de e-mails pessoais ou websites como WeTransfer, por implicarem o armazenamento em servidores desconhecidos. Em contrapartida, deve ser privilegiada a transferência através de redes seguras, designadamente por via de correio eletrónico institucional ou ligação direta por cabo.

Para mais informações, poderá ser consultado o artigo integral do Público em https://www.publico.pt/2026/03/17/ciencia/noticia/cientistas-criam-algoritmo-proteger-dados-pessoais-fotografia-medica-2168089.

______________________________
_{1 O artigo publicado na revista International Journal of Legal Medicine está disponível através no link https://link.springer.com/article/10.1007/s00414-025-03640-w.
2 Cura, M., Loureiro, R., Marcelino, P., et al. General data protection regulation: an algorithmic proposal for forensic photography. Int J of Legal Med (2026).
3 Idem, ibidem.
4 Idem, ibidem.}

_____________________________________________________________________________________________________________________

DIANA PATRÍCIA PEREIRA DIAS

Técnica Superior da Unidade de Proteção de Dados do Serviço de Apoio Jurídico dos Serviços Partilhados da Universidade do Porto

Mestre em Direito e Informática pela Universidade do Minho

16 de março de 2026

 

Parecer 19/2026 da Comissão Nacional de Proteção de Dados (CNPD)

 O Gabinete do Secretário de Estado do Ensino Superior solicitou à CNPD a emissão de parecer sobre o projeto de Decreto-Lei que estabelece os princípios da política de apoio ao estudante no ensino superior, com particular incidência nas disposições relativas ao tratamento de dados pessoais
Decreto-Lei n.º 129/93, de 22 de abril, alterado pelas Leis n.^os 113/97, de 16 de setembro, e 62/2007, de 10 de setembro, bem como pelo Decreto-Lei n.º 204/2009, de 31 de agosto

 

O projeto de Decreto-Lei que se pretende implementar, visa definir de forma mais ajustada à realidade contemporânea, os princípios orientadores da política de apoio ao estudante no ensino superior. O novo regime pretende reforçar a promoção da igualdade de oportunidades no acesso e na frequência do ensino superior, através de uma intervenção pública estruturada e consistente, orientada para mitigar desigualdades sociais e reduzir os constrangimentos económicos que influenciam as decisões educativas dos estudantes e das respetivas famílias.

 A CNPD analisou o projeto e concluiu, em termos gerais, o seguinte:

1. Em primeiro lugar, entende-se que o regime proposto tem, no essencial, uma base legal adequada para permitir o tratamento de dados pessoais no contexto da atribuição de bolsas de estudo. Isto porque esse tratamento é necessário tanto para cumprir obrigações legais como para o exercício de funções de interesse público, o que está previsto no Regulamento Geral sobre a Proteção de Dados (RGPD), ao abrigo do artigo 6.º, n.º 1, alíneas c) e e).
2. Quanto à interoperabilidade com a Autoridade Tributária e com a Segurança Social, considera se que essa articulação é, em princípio, compatível com as regras de proteção de dados. No entanto, há uma condição importante: os dados a utilizar devem ser claramente definidos e limitados apenas ao que for estritamente necessário, respeitando o princípio da minimização, previsto no artigo 5.º, n.º 1, alínea c) do RGPD.
3. Por outro lado, a referência ao consentimento dos titulares dos dados, tal como está prevista no diploma, não é juridicamente adequada. Em contextos de exercício de funções públicas, o consentimento não é uma base válida para o tratamento de dados pelo que essa menção deve ser retirada.
4. Relativamente às finalidades adicionais, como a monitorização, avaliação e realização de estudos, estas devem ser melhor delimitadas. Sempre que possível, deve recorrer-se à anonimização ou pseudonimização dos dados, assegurando também as garantias previstas no artigo 89.º RGPD para este tipo de utilização.
5. No caso específico do tratamento de dados de saúde, o diploma deve observar exigências acrescidas, por estarem em causa categorias especiais de dados pessoais. Em particular, deve identificar expressamente a condição de licitude aplicável, nos termos do artigo 9.º do RGPD, bem como delimitar com precisão as categorias de dados a tratar. Deve ainda prever salvaguardas reforçadas adequadas à natureza sensível da informação e fixar prazos de conservação concretos e proporcionais, diretamente relacionados com a duração e necessidade da medida de apoio pedagógico em causa.
6. Também é importante esclarecer se existem, ou não, decisões tomadas exclusivamente por meios automatizados. Se existirem, o diploma deve prever explicitamente as garantias legais aplicáveis a essas situações, de acordo com o artigo 22.º do RGPD.
7. Além disso, devido à dimensão e sensibilidade do tratamento de dados, nomeadamente pela interligação de várias bases de dados públicas e pelo eventual tratamento de dados sensíveis, torna-se obrigatória a realização de uma avaliação de impacto sobre a proteção de dados, nos termos do artigo 35.º do RGPD.
8. O diploma deve ainda ser mais detalhado em aspetos essenciais, como as categorias de dados tratados, os critérios de elegibilidade e as condições de partilha de informação entre entidades. Sem essa densificação, pode haver falta declareza jurídica à luz do artigo 6.º, n.º 3, do RGPD e do artigo 35.º da Constituição da República Portuguesa (CRP).Por sua vez, a portaria prevista deverá concretizar os prazos de conservação dos dados e garantir que estes não são guardados por mais tempo do que o necessário, com vista a respeitar o princípio da limitação da conservação, nos termos do artigo 5.º, n.º 1, alínea e), do RGPD.

Em síntese, na forma atual, o projeto apresenta insuficiências relevantes em matéria de proteção de dados. Não assegura plenamente o cumprimento das exigências legais aplicáveis, nomeadamente exigências do RGPD, da Lei n.º 58/2019, de 08 de agosto, e do artigo 35.º da CRP, pelo que será necessário introduzir as alterações identificadas para garantir a sua conformidade com o RGPD, a legislação nacional e a Constituição.

 

_________________________________________________________________________________________

 

C-97/23 P - WhatsApp Ireland/Comité Europeu para a Proteção de Dados

 A WhatsApp Ireland Ltd interpôs recurso para o Tribunal de Justiça da União Europeia (TJUE), requerendo a anulação do despacho do Tribunal Geral da União Europeia, que declarou inadmissível o seu recurso de anulação da Decisão Vinculativa 1/2021 do Comité Europeu para a Proteção de Dados (EDPB)

 

A referida decisão foi adotada no âmbito do mecanismo de cooperação previsto no Regulamento Geral sobre a Proteção de Dados, na sequência de um procedimento conduzido pela Data Protection Commission (DPC), autoridade de controlo irlandesa, cujo enquadramento se passa a expor:

1. Após a entrada em vigor do RGPD, a DPC, recebeu várias queixas relativas ao tratamento de dados pessoais pela WhatsApp, bem como um pedido de assistência do Comissário Federal para a Proteção de Dados e Liberdade de Informação, Alemanha (BfDI), relacionado com a transparência e eventual partilha de dados com entidades do grupo Facebook/Meta. Neste contexto, a DPC enquanto autoridade de controlo principal, nos termos do artigo 56.ºRGPD, instaurou um inquérito.
2. Concluído o projeto de decisão, este foi apresentado a todas as autoridades de controlo interessadas no processo, nos termos do artigo 60.º, n.º 3 do RGPD. Neste seguimento, oito autoridades apresentaram objeções sobre determinados aspetos do projeto.
3. Não tendo sido alcançado consenso, o litígio foi remetido ao Comité Europeu, ao abrigo dos artigos 60.º, n.º 4, e 65.º, n.º 1, alínea a), do RGPD, para resolução vinculativa do mesmo. O Comité adotou uma decisão vinculativa, que alterou aspetos essenciais do projeto inicial.
4. Em conformidade com a decisão do Comité, a DPC concluiu que a WhatsApp violou o princípio da transparência (artigo. 5.º, n.º 1, alínea a) do RGPD), o dever geral de informação (artigo. 12.º, n.º 1 do RGPD), várias obrigações de informação previstas no artigo. 13.º do RGPD e, o artigo 14.º do RGPD, relativo à informação quando os dados não são recolhidos junto do titular. Não obstante, foi reconhecida conformidade parcial com o artigo 13.º do RGPD.
5. A decisão final impôs uma repreensão, a obrigação de corrigir práticas no prazo de três meses e, quatro coimas, no valor total de 225 milhões de euros. Estas medidas visavam assegurar o cumprimento efetivo dos princípios do RGPD, especialmente os princípios da legalidade, transparência e responsabilização.
6. A WhatsApp impugnou a decisão do Comité, interpondo recurso com fundamento no artigo 263.º do Tratado sobre o Funcionamento da União Europeia (TFUE). O Tribunal Geral julgou, porém, o recurso inadmissível, entendendo que a decisão do Comité era um ato intermédio, que não produzia efeitos jurídicos autónomos nem dizia respeito à Whatsapp e, a sua impugnação poderia ser assegurada indiretamente através de recurso da decisão final nacional, com eventual reenvio prejudicial ao abrigo do artigo 267.º TFUE.
7. A decisão final do TJUE passou por anular o despacho do Tribunal Geral, considerando que a decisão do Comité é um ato impugnável nos termos do artigo 263.º TFUE, produz efeitos jurídicos vinculativos e, diz direta e individualmente respeito à WhatsApp. O processo foi remetido ao Tribunal Geral para apreciação do mérito.

Em conclusão, o presente caso afirma o papel central do EDPB na uniformização da aplicação do sistema de cooperação e coerência estabelecido pelo RGPD, bem como a complexidade jurídica do mesmo. O TJUE reforça as garantias de tutela jurisdicional efetiva dos interessados, ao reconhecer a natureza impugnável das decisões vinculativa do Comité, sem comprometer a eficácia do mecanismo europeu de supervisão. Por outro lado, reforça que se exige que as organizações mantenham um elevado padrão de transparência e responsabilidade, por forma a garantir que o cumprimento do RGPD não se restringe a uma dimensão formal, mas que implica uma verdadeira cultura de proteção de dados pessoais.

 

_________________________________________________________________________________________

 

Parecer 13/2026 da Comissão Nacional de Proteção de Dados (CNPD)

 A Comissão de Assuntos Constitucionais, Direitos, Liberdades e Garantias solicitou, no dia 4 de fevereiro de 2026, a pronúncia da CNPD sobre o Projeto de Lei 398 XVII 1 (PSD), que «estabelece medidas de proteção de crianças em ambientes digitais»

 

Na sequência deste pedido, a CNPD emitiu parecer em 24 de fevereiro de 2026, indicando que o referido Projeto de Lei apresenta implicações diretas e indiretas no domínio da proteção de dados pessoais¹, razão pela qual procedeu à sua análise detalhada.

 A apreciação incidiu, em particular, sobre os seguintes aspetos:

• O objeto e âmbito do diploma;
• A definição de consentimento digital;
• O consentimento parental e as suas especificidades mediante o contexto familiar;
• A obrigação geral de verificação de idade e os respetivos requisitos técnicos;
• A utilização da Chave Móvel Digital como mecanismo de validação da faixa etária;

• A responsabilização dos titulares das responsabilidades parentais e dos responsáveis pelo tratamento de dados pessoais;
• O regime de responsabilidade das plataformas e serviços digitais;
• Os mecanismos de fiscalização do cumprimento do Projeto de Lei.

 Em sede conclusiva, a CNPD formula um conjunto de recomendações essenciais, destacando-se:

• A reformulação do objeto do Projeto de Lei de modo a abranger a fixação da idade para o consentimento com vista à proteção dos dados pessoais;
• A previsão no artigo 4.º do Projeto de Lei da definição do “consentimento digital”, estabelecendo a sua densificação;
• A densificação das previsões em que ocorre o consentimento parental digital, de modo a abranger as situações referenciadas nos itens 25-29;
• A clarificação do desenho legal da obrigação geral de verificação de idade e do Referencial Técnico Nacional de Verificação de Idade, respetivamente previstos nos artigos 7.º e 8.º do Projeto de Lei, assim como da implementação dos correspondentes mecanismos, atento o referenciado nos itens 30-37;
• A responsabilização dos titulares das responsabilidades parentais, quando estes sejam autores ou cúmplices de uma utilização ou acesso indevido por parte dos menores a sítios da internet relativamente aos quais deveriam estar excluídos;
• A implementação de funcionalidades de verificação de idade através do desenho técnico mencionado nos itens 40 a 49;
• A delimitação e especificação das competências entre a Autoridade Nacional de Comunicações e a Comissão Nacional de Proteção de Dados;
• A eliminação da previsão da implementação de “outros regulamentos” por parte da autoridade administrativa, prevista no artigo 13.º, n.º 2 do Projeto de Lei, ou através de qualquer outra;
• A realização do respetivo estudo de impacto sobre a proteção de dados pessoais, antes da aprovação do presente Projeto de Lei².

 

Em suma, o parecer da CNPD reconhece a relevância do objetivo de proteção das crianças em ambiente digital, mas sublinha a necessidade de assegurar a conformidade do Projeto de Lei com os princípios e obrigações em matéria de proteção de dados pessoais, propondo um conjunto de ajustamentos jurídicos e técnicos indispensáveis à sua adequada conformidade normativa.

 

______________________________
_{1Cfr. Parecer/2026/13, Comissão Nacional de Proteção de Dados, emitido a 24 de fevereiro de 2026, página 2v.
2Idem, página 5 e 5v.}

 

_____________________________________________________________________________________________________________________

JOÃO MIGUEL DUARTE BERNARDO FERREIRA

Técnico Superior da Unidade de Proteção de Dados do Serviço de Apoio Jurídico dos Serviços Partilhados da Universidade do Porto

Mestre em Ciência da Informação pela Faculdade de Engenharia e Faculdade de Letras da Universidade do Porto

06 de março de 2026

Operação «TYCOON»: Polícia Judiciária ajuda a desmantelar a maior rede mundial de phishing

A Polícia Judiciária, no seu site oficial, informou que, através da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica, colaborou numa operação internacional que permitiu neutralizar a maior rede de phishing de todo o mundo.

A rede de cibercrime atuava a partir de uma plataforma digital, acessível a partir de uma subscrição paga e que habilitava cibercriminosos a capturar sessões autenticadas em tempo real, a ultrapassar mecanismos adicionais de proteção e, portanto, a assumir o controlo de contas que se consideravam devidamente seguras. É de sublinhar que, em meados de 2025, a TYCOON 2FA esteve diretamente associada a 62% de todas as tentativas de phishing bloqueadas pela Microsoft, incluindo cerca de 30 milhões de e-mails num só mês.

A plataforma permitia a esta rede aceder de forma não autorizada a contas de e-mail e de serviços cloud, incluindo Microsoft 365, Outlook e Gmail que estavam associadas a mais de 100 mil organizações internacionais. Entre as organizações atacadas encontram-se escolas, hospitais e entidades públicas. Estes incidentes de segurança da informação provocaram consequências que incluíram disrupção de serviços, desvio de recursos financeiros e humanos, bem como atrasos no atendimento a pacientes.

A operação encerrou cerca de 330 domínios que suportavam a arquitetura técnica do serviço, entre os quais páginas fraudulentas e painéis de gestão usados na atividade criminosa e envolveu a colaboração de autoridades policiais de Portugal, Lituânia, Polónia, Letónia, Reino Unido e Espanha, que foram coordenadas pelo Centro Europeu de Cibercrime (EC3) da EUROPOL. Esta operação de desmantelamento irá permitir a proteção de pessoas e organizações de ataques que incluem roubo de dados, ransomware, comprometimento de e-mails corporativos e fraude financeira.

Para mais informações poderão ser consultados os seguintes links:

https://www.europol.europa.eu/media-press/newsroom/news/global-phishing-service-platform-taken-down-in-coordinated-public-private-action.
https://blogs.microsoft.com/on-the-issues/2026/03/04/how-a-global-coalition-disrupted-tycoon/

 

_________________________________________________________________________________________

 

Mais vale prevenir do que remed[IA]r…

Há duas verdades que, hoje em dia, são inquestionáveis. Uma é que a inteligência artificial pode, de facto, ajudar-nos em várias tarefas do dia-a-dia, incluindo nas nossas tarefas profissionais. A outra é que esta veio para ficar, numa sociedade em que a produtividade fala mais alto. No entanto, não quer dizer que esta seja, necessariamente, a nossa melhor amiga.

Há poucos dias foi publicado, no Jornal Económico, um artigo de opinião da autoria de Bruno Castro, CEO da VisionWare, empresa portuguesa especialista em cibersegurança e investigação forense que chamou a atenção dos leitores sobre o facto de a CISA (Cybersecurity and Infrastructure Security Agency), principal agência de cibersegurança dos Estados Unidos, ter introduzido documentos de caráter confidencial numa versão pública do ChatGPT.

O debate não é novo, mas nem por isso deve sair da ordem do dia: Até que ponto devemos confiar no «melhor amigo» que nos fornece enormes doses de informação, mediante o prompt que fornecermos, e que nos responde com base em quantidades de informação inimagináveis? E até que ponto podemos confiar para partilhar informações confidenciais, nas quais se poderão incluir informações de índole pessoal?

Hoje, o uso de inteligência artificial é comum e o tema em debate não reside aí: o problema está no facto de que todas as informações que partilhamos com estas ferramentas são, de facto, partilhadas com alguém. Melhor: com muitas pessoas, desde que tenham as autorizações de acesso necessárias para tal.

Sem querer evangelizar a questão, importa refletir se partilharíamos informações de caráter estritamente confidencial e/ou pessoal com qualquer pessoa que encontrássemos na rua. Provavelmente não. Contudo, no caso das ferramentas de inteligência artificial que hoje são tão usadas, é isso que cada vez mais fazemos. Sem que, muitas vezes, saibamos como esses dados serão usados, por quanto tempo serão conservados, em que condições de segurança serão mantidos e se serão partilhados com outras entidades.

A questão é: Poderá, no futuro, a informação que fornecemos a estas ferramentas ser usada contra nós e os nossos próprios interesses?

É precisamente isso que é chamado à atenção por Bruno Castro que relembra o caso da DeepSeek que, no início de 2025, viu uma base de dados ser alvo de um leak, que acabou por expor informações de índole muito sensível. Contudo, não devemos temer apenas os métodos, e respetivas consequências, dos famosos ataques efetuados por hackers. É mais do que sabido que hoje em dia há muitas entidades que optam por vender informações que constam nas suas bases de dados a outras entidades que pretendem dar uso a essa informação.

O CEO da VisionWare termina o artigo fornecendo a visão que o tem levado, de forma consistente e contínua, a disponibilizar formação às equipas da empresa sobre o uso responsável de ferramentas digitais e de IA generativa. Efetivamente, tendo em conta a ampla utilização que tem sido dada a estas ferramentas e considerando os «perigos» que poderão advir dessa utilização, é necessário que a sociedade, como um todo, seja incentivada a refletir sobre os cuidados a ter com estas ferramentas. Contudo, as necessidades formativas estendem-se, inclusivamente, aos cuidados de ciberhigiene que os profissionais de uma organização deverão ter pois, quando estes cuidados não são tidos, não é apenas a própria pessoa que será colocada em risco: será também a organização para a qual trabalha.

O artigo poderá ser consultado em https://jornaleconomico.sapo.pt/noticias/melhor-prevenir-do-que-remediar-com-ia-publica/.

 

_________________________________________________________________________________________

 

Pois prevenir é poupar; e no poupar é que está o ganho!

A Fortinet, empresa norte-americana líder na área da cibersegurança, divulgou no final do ano transato o relatório «Insider Risk Report 2025», elaborado em colaboração com a Cybersecurity Insiders, que apontou para um agravamento significativo das ameaças internas nas organizações, em matéria de segurança da informação. Efetivamente, os resultados de um inquérito aplicado junto de 883 profissionais de cibersegurança e IT, demonstram que 77% das organizações reportaram incidentes internos de perda de dados, sendo que 62% sofreram incidentes que resultaram de erro humano.

Mas a que nos referimos quando falamos em «perda de dados»? Referimo-nos a dados estritamente pessoais?

Não, mas é importante ter em mente que este estudo apurou que, nos incidentes mais relevantes que foram esmiuçados, 53% dizem respeito a registos de clientes, 47% a informação pessoal identificável, 36% a credenciais de utilizadores e 17% a informações de saúde.

Este relatório vem corroborar a tese que, apesar de as ameaças maliciosas externas serem uma realidade da qual já não podemos fugir, num contexto atual em que as guerras já não se combatem apenas corpo a corpo, mas também em contexto cibernético, muitas vezes uma grande parte das ameaças encontram-se dentro de portas. Atividades quotidianas como o envio de ficheiros sensíveis por e-mail, o armazenamento de informações em clouds pessoais, utilização de ferramentas de Inteligência Artificial generativa não aprovadas e descartabilidade de dispositivos removíveis como discos externos e pendrives estão na origem de uma grande parte dos data leaks de muitas organizações.

E que se desengane quem vê na segurança da informação uma não-questão, pois estes incidentes não são uma mera questão catastrofista de engenheiros informáticos. Tal como aponta o relatório, estes incidentes têm impactos bastante reais na vida financeira, operacional e reputacional de uma empresa. Com efeito, 45% das organizações auscultadas relataram perdas financeiras como a consequência mais relevante do seu incidente mais importante, seguindo-se 43% dos profissionais que destacaram os danos reputacionais como a consequência mais relevante.

Se aprofundarmos um pouco a questão, verificaremos que o tema não é de somenos: 76% dos profissionais relataram perdas de 100 mil dólares, 41% entre 1 milhão e 10 milhões de dólares e 9% viram a empresa ter uma perda financeira de mais de 10 milhões de dólares.

Efetivamente, quando se trata de um incidente de segurança de informação, a questão não é «Será que vai acontecer um incidente?», mas sim «Quando é que vai acontecer um incidente?». Assim, as organizações devem apostar, não só numa correta resolução dos incidentes ocorridos mas também na prevenção adequada e respetiva mitigação dos riscos existentes, de forma a que os altos custos associados aos incidentes sejam prevenidos. Uma postura ativa na educação de uma organização para uma postura mais madura em matérias de segurança da informação e de proteção de dados é, de facto, a opção mais adequada para garantir que esta está em conformidade com a legislação aplicável. Assim, sublinha-se a necessidade de apostar em formação regular para que os profissionais possuam os conhecimentos mais atuais acerca dos comportamentos mais «higienes», sendo também recomendável a aposta em campanhas de phishing.

Para consultar o relatório completo, basta aceder a https://www.fortinet.com/content/dam/fortinet/assets/reports/2025-insider-risk-report-ftnt.pdf.

______________________________
_{[1] Menezes Cordeiro, António Barreto, Direito da proteção de dados – À luz do RGPD e da lei n.º 58/2019, Coimbra: Almedina, 2022, p. 27.
[2] O artigo está disponível para consulta em https://media.licdn.com/dms/document/media/v2/D4E1FAQGIA32ZwRAneg/feedshare-document-url-metadata-scrapper-pdf/B4EZ1AtiqgHgA8-/0/1774907174688?e=1775559600&v=beta&t=jQe2j3uQY-Qv6nH3JgeE4BvsW8w1L-dgSe3ON3KVD9k.
[3] O relatório encontra-se disponível em https://sigarra.up.pt/up/pt/conteudos_service.conteudos_cont?pct_id=38319&pv_cod=36D1kaRIJauh.
[4] O estudo pode ser consultado em https://link.springer.com/article/10.1007/s00414-025-03640-w.
[5] Cura, M., Loureiro, R., Marcelino, P., et al. General data protection regulation: an algorithmic proposal for forensic photography. Int J of Legal Med (2026).
[6] Idem, ibidem.
[7] Idem, ibidem.}