DadosAngola
DadosAngola.co.ao
Consentimento mais exigente e interesse legítimo: duas chaves da nova proposta angolana
Voltar ao Blog
Guia11 min de leitura

Consentimento mais exigente e interesse legítimo: duas chaves da nova proposta angolana

A minuta redefine as condições de legitimidade para o tratamento de dados pessoais — e exige mais clareza, mais prova e mais ponderação

Marcelo Fattori

Fundador & Consultor Principal

16 de março de 2026

Partilhar:

Papel · Prova · Prontidão — Protecção de Dados e Cibersegurança com evidência.

A discussão em torno da proposta de actualização da Lei de Protecção de Dados Pessoais em Angola introduz um nível de sofisticação jurídica e operacional que merece uma análise cuidada. Entre as várias inovações, a redefinição das bases de legitimidade para o tratamento de dados pessoais emerge como uma das mais estruturantes. A minuta em apreciação não só eleva a fasquia para a obtenção de um consentimento válido, como também densifica o recurso ao "interesse legítimo", duas pedras angulares que determinam a legalidade de uma vasta gama de operações de tratamento de dados. Esta mudança não é meramente cosmética; ela exige que as organizações em Angola repensem, desde a sua fundação, a forma como justificam a recolha e o uso de informações sobre cidadãos, clientes e colaboradores.

Compreender a distinção e a correcta aplicação do consentimento e do interesse legítimo deixa de ser um exercício puramente académico e passa a ser uma condição essencial para a conformidade e para a mitigação de riscos operacionais e sancionatórios. A proposta legislativa, caso venha a ser promulgada, impulsionará uma cultura de maior transparência e responsabilidade, onde a prova da legitimidade do tratamento não será apenas um pressuposto, mas uma exigência contínua e auditável. Para o tecido empresarial angolano, desde a banca às telecomunicações, passando pelo retalho e pela saúde, esta evolução significa que a governação de dados terá de ser mais robusta, mais documentada e, acima de tudo, mais alinhada com os direitos fundamentais dos titulares dos dados.

Este artigo aprofunda as nuances do consentimento mais exigente e do recurso ao interesse legítimo, conforme desenhados na minuta que pode ser consultada na nossa área de recursos. Analisaremos o que a proposta efectivamente estabelece, as diferenças cruciais face ao regime ainda em vigor da Lei n.º 22/11, de 17 de Junho, e o que esta transformação representa na prática para as empresas que operam em Angola. O objectivo é claro: traduzir a complexidade da norma em orientações práticas que permitam às organizações não só cumprir a lei, mas também gerar confiança e sustentabilidade no mercado digital.

O que a minuta propõe: um novo paradigma de legitimidade

A proposta de actualização da lei angolana de protecção de dados dedica uma atenção especial às condições que tornam lícito o tratamento de dados pessoais. A minuta estabelece um catálogo de bases de legitimidade que, embora inspirado em regimes internacionais como o RGPD europeu, é ajustado para a realidade angolana. As duas bases que sofrem uma transformação mais profunda e que têm um impacto mais vasto na actividade empresarial são, sem dúvida, o consentimento e o interesse legítimo.

No que toca ao consentimento, a minuta eleva consideravelmente os requisitos para a sua validade. Deixa de ser suficiente uma aceitação tácita ou implícita. A proposta exige que o consentimento seja uma manifestação de vontade livre, específica, informada e explícita, através da qual o titular dos dados aceita, mediante declaração ou acto positivo inequívoco, que os seus dados pessoais sejam objecto de tratamento. A tónica no "acto positivo inequívoco" é crucial: acaba a validade das caixas pré-marcadas ou do consentimento inferido do silêncio. A organização que basear um tratamento no consentimento terá o ónus de provar que obteve uma autorização válida, documentada e granular para cada finalidade específica. Consentimentos vagos ou genéricos, que procuram legitimar todo e qualquer uso futuro dos dados, tornam-se juridicamente insustentáveis.

Por outro lado, o interesse legítimo é densificado como uma base de legitimidade autónoma, mas que exige uma rigorosa ponderação. As organizações podem tratar dados sem o consentimento do titular quando tal for necessário para a prossecução dos seus interesses legítimos (ou de terceiros), excepto se prevalecerem os direitos e liberdades fundamentais do titular. A grande novidade da minuta é a formalização da necessidade de uma avaliação de ponderação (conhecida noutras jurisdições como Legitimate Interests Assessment - LIA). Isto significa que, antes de invocar esta base, a empresa deve realizar e documentar uma análise que comprove três elementos: a existência de um interesse legítimo, a necessidade do tratamento para a sua prossecução e a prevalência desse interesse sobre os direitos do titular. Esta avaliação deixa de ser um exercício mental e passa a ser um documento de governação, sujeito a escrutínio pela Agência de Protecção de Dados (APD).

A relação entre Consentimento e Interesse Legítimo

É fundamental que as organizações compreendam que estas duas bases de legitimidade são mutuamente exclusivas para uma mesma finalidade. Não se pode invocar o interesse legítimo como "plano B" se o consentimento falhar ou for retirado. A escolha da base de legitimidade deve ser feita à partida, de forma criteriosa e justificada. O consentimento é ideal para situações onde o titular tem e deve ter controlo total, como no marketing directo ou na recolha de dados para finalidades que não são essenciais à relação principal. O interesse legítimo, por sua vez, aplica-se a tratamentos que, sendo necessários para a actividade da empresa, são também expectáveis pelo titular e têm um impacto reduzido na sua privacidade, como a prevenção de fraude ou a garantia da segurança das redes e da informação.

O que muda face à Lei n.º 22/11

A Lei n.º 22/11, ainda em vigor, já prevê o consentimento e o interesse legítimo como condições de legitimidade para o tratamento de dados. No entanto, a sua abordagem é consideravelmente menos detalhada e exigente, o que reflecte a sua natureza fundacional e o contexto tecnológico da altura da sua publicação. A comparação directa com a minuta revela um salto qualitativo e uma mudança de paradigma focada na prova e na responsabilidade (accountability).

Primeiro, a Lei n.º 22/11 define o consentimento como uma "manifestação de vontade, livre, específica e informada", mas não exige o carácter "explícito" ou o "acto positivo inequívoco" que a minuta consagra. Esta ausência abriu espaço para interpretações mais flexíveis, permitindo a aceitação de consentimentos tácitos ou implícitos em muitas situações. A prática de assumir o consentimento a partir da continuação do uso de um serviço, por exemplo, é comum ao abrigo da lei actual, mas será claramente insuficiente caso a nova proposta seja aprovada. A minuta exige uma prova muito mais robusta, o que obriga a redesenhar interfaces, contratos e processos de onboarding de clientes e colaboradores.

Segundo, no que diz respeito ao interesse legítimo, a Lei n.º 22/11 menciona-o de forma mais genérica, no seu artigo 9º, como uma das condições para o tratamento de dados, mas não detalha a obrigação de uma avaliação de ponderação formal. A lei actual permite que uma organização invoque o seu interesse legítimo sem ter de o documentar através de uma análise estruturada e prévia. A minuta, ao exigir esta avaliação, transforma o interesse legítimo de uma justificação abstracta numa ferramenta de governação concreta e auditável. Isto significa que a APD poderá, a qualquer momento, solicitar a uma empresa a apresentação da sua avaliação de ponderação para um determinado tratamento, e a ausência desse documento poderá constituir uma inconformidade.

Em suma, a passagem da Lei n.º 22/11 para a nova proposta representa a transição de um regime de presunção de conformidade para um regime de demonstração activa de conformidade. A carga da prova recai, de forma inequívoca, sobre o responsável pelo tratamento, que deve estar sempre pronto a evidenciar a base jurídica que legitima as suas operações, seja através de registos de consentimento detalhados, seja através de avaliações de ponderação bem fundamentadas. Para serviços como o de DPO as a Service, esta será uma área de actuação central.

Exemplos práticos em Angola

Para materializar o impacto destas mudanças, vejamos dois cenários concretos do quotidiano empresarial angolano, comparando a abordagem actual com a que será exigida pela minuta.

  1. Exemplo 1: Um Banco e a Análise de Risco de Crédito

    Situação: Um banco comercial em Luanda utiliza dados transaccionais e de comportamento dos seus clientes para alimentar um modelo de scoring de crédito. O objectivo é avaliar o risco de incumprimento e tomar decisões sobre a concessão de novos empréstimos. Adicionalmente, o banco pretende usar os dados de contacto para enviar campanhas de marketing sobre novos produtos de investimento.

    Abordagem sob a Lei n.º 22/11: O banco poderia basear-se num consentimento genérico obtido no contrato de abertura de conta, onde o cliente autoriza o tratamento dos seus dados para "gestão da relação contratual e finalidades de marketing". A análise de risco seria justificada como parte da execução do contrato, e o marketing como uma actividade consentida de forma ampla.

    Abordagem exigida pela minuta: A nova proposta obrigaria o banco a uma abordagem mais granular. Para a análise de risco de crédito, o banco poderia invocar o seu interesse legítimo em gerir o seu risco financeiro, uma actividade essencial e expectável no sector bancário. No entanto, teria de documentar uma avaliação de ponderação que demonstra que o seu interesse não se sobrepõe indevidamente aos direitos dos clientes, garantindo transparência sobre a lógica do scoring e o direito do cliente a uma intervenção humana. Já para as campanhas de marketing, o interesse legítimo seria dificilmente aplicável. O banco teria de obter um consentimento específico, informado e explícito, através de uma caixa de selecção (opt-in) separada, onde o cliente activamente concorda em receber comunicações sobre produtos de investimento. O consentimento para este fim não poderia estar agregado ou ser uma condição para a abertura de conta.

  2. Exemplo 2: Uma Empresa de Telecomunicações e a Optimização da Rede

    Situação: Uma das maiores operadoras de telecomunicações em Angola trata metadados de tráfego (como localização anonimizada, duração das chamadas, volume de dados) para optimizar a cobertura e a qualidade da sua rede móvel, bem como para planear a instalação de novas antenas.

    Abordagem sob a Lei n.º 22/11: A operadora justificaria este tratamento com base na necessidade de execução do contrato de serviço (garantir a qualidade da rede) e, possivelmente, com base no seu interesse legítimo em manter uma infraestrutura eficiente, sem uma formalização extensa.

    Abordagem exigida pela minuta: Sob a nova proposta, o interesse legítimo seria a base jurídica mais adequada. O tratamento é necessário para a operadora cumprir a sua função principal e, em última análise, beneficia os próprios clientes com um serviço melhor. Contudo, a operadora teria de formalizar esta justificação numa avaliação de ponderação. Essa avaliação deveria detalhar que os dados são tratados de forma agregada ou anonimizada sempre que possível, que as medidas de segurança são robustas e que o impacto na privacidade individual é mínimo. A transparência seria fundamental: a política de privacidade teria de explicar claramente que este tipo de tratamento ocorre e para que finalidades, assegurando que os clientes estão cientes desta prática que, embora não exija o seu consentimento directo, é uma parte necessária da operação do serviço. A conformidade com evidência torna-se aqui um factor crítico.

O que isto significa na prática

A redefinição do consentimento e a densificação do interesse legítimo na minuta da nova lei de protecção de dados não são meros ajustes teóricos. Têm implicações profundas e imediatas para a governação, a tecnologia e os processos de qualquer organização em Angola. Na prática, esta evolução exige uma mudança de mentalidade: passar de uma lógica de "recolher o máximo de dados possível e justificar depois" para uma de "justificar primeiro, recolher depois e apenas o necessário".

As organizações terão de realizar um mapeamento rigoroso das suas actividades de tratamento de dados (data mapping) para identificar, para cada uma, a base de legitimidade mais apropriada. Isto implica:

  • Rever todos os mecanismos de recolha de consentimento: Contratos, formulários online, aplicações móveis e processos de registo terão de ser redesenhados para garantir que o consentimento é explícito, granular e facilmente revogável. As equipas de marketing e de produto precisam de interiorizar que o "sim" do cliente tem de ser conquistado de forma transparente.
  • Institucionalizar a Avaliação de Ponderação do Interesse Legítimo: As equipas jurídicas, de conformidade e de segurança da informação devem criar um processo interno para realizar e documentar as avaliações de interesse legítimo antes de iniciar novos tratamentos de dados. Este documento passa a ser um activo de governação essencial, que demonstra a devida diligência da organização perante a APD e o mercado.
  • Investir em formação e cultura interna: A escolha da base de legitimidade correcta é uma decisão que envolve uma compreensão profunda tanto da lei como da operação. É crucial que os colaboradores, desde o gestor de produto ao analista de dados, compreendam os princípios em jogo para evitar riscos de inconformidade que podem levar a sanções pesadas e a danos reputacionais.

Em última análise, a proposta de actualização legislativa força as empresas a serem mais intencionais e responsáveis na forma como lidam com os dados pessoais. Embora represente um desafio de adaptação, é também uma oportunidade para construir relações de maior confiança com os clientes e para diferenciar-se num mercado cada vez mais consciente da importância da privacidade. As organizações que abraçarem esta mudança e investirem numa governação de dados com evidência estarão mais bem preparadas para o futuro digital em Angola. Se precisar de ajuda neste processo, não hesite em entrar em contacto.

Bibliografia

  • ANGOLA. Minuta da Lei de Protecção de Dados Pessoais. Versão final com contribuições do grupo de trabalho, remetida ao MINTTCS em 14 de Agosto de 2025.
  • ANGOLA. Lei n.º 22/11, de 17 de Junho. Lei da Protecção de Dados Pessoais. Diário da República, Luanda, 2011.
  • ANGOLA. Constituição da República de Angola.
  • UNIÃO AFRICANA. Convenção sobre Cibersegurança e Protecção de Dados Pessoais. Malabo, 2014.

Achou este artigo útil? Partilhe com a sua rede.

Partilhar:

Continue a Leitura

Artigos seleccionados com base no tema e contexto deste conteúdo.

Transferências internacionais de dados: a proposta angolana quer um regime mais sofisticado
Guia
11 min

Transferências internacionais de dados: a proposta angolana quer um regime mais sofisticado

A minuta cria um regime estruturado de transferências internacionais — com decisões de adequação, garantias contratuais e excepções limitadas

Marcelo FattoriLer artigo
Violação de dados e notificação à APD: o que muda se a minuta for promulgada
Guia
12 min

Violação de dados e notificação à APD: o que muda se a minuta for promulgada

A minuta introduz o prazo de 72 horas para notificação de violações de dados à APD — e exige documentação, avaliação de risco e comunicação ao titular

Marcelo FattoriLer artigo
Subcontratados, contratos e responsabilidade: a minuta angolana aperta a cadeia do tratamento
Guia
11 min

Subcontratados, contratos e responsabilidade: a minuta angolana aperta a cadeia do tratamento

A minuta exige contratos escritos, instruções documentadas e auditoria na relação entre responsáveis e subcontratados do tratamento

Marcelo FattoriLer artigo
Ver todos os artigos

Precisa de apoio especializado?

Se este tema é prioridade na sua organização, ajudamos a transformar intenção em evidência e rotina — sem travar a operação.

Marcar conversaPré‑reunião

Este site utiliza cookies estritamente necessários ao seu funcionamento. Ao continuar a navegar, aceita a utilização destes cookies. Saiba mais