Papel · Prova · Prontidão — Protecção de Dados e Cibersegurança com evidência.
A morte, enquanto facto jurídico, extingue a personalidade. Mas não extingue, de forma automática, os dados pessoais que uma pessoa gerou e acumulou ao longo da vida. Pelo contrário, esses dados permanecem em inúmeras bases de dados, públicas e privadas, contendo informações que vão do trivial ao extremamente sensível. O que acontece a este legado digital? Quem pode aceder-lhe? Com que finalidade? A legislação angolana em vigor, a Lei n.º 22/11, de 17 de Junho, é omissa quanto a esta matéria, criando um vácuo jurídico que gera incerteza e risco para organizações e para as famílias dos falecidos.
É neste cenário que a minuta da nova Lei de Protecção de Dados Pessoais, actualmente em apreciação, introduz uma das suas mais silenciosas, mas relevantes, inovações: um regime específico para o tratamento de dados de pessoas falecidas. Esta proposta de actualização legislativa reconhece que a protecção de dados não termina com a vida do titular, estabelecendo regras claras para a sua gestão póstuma. A abordagem não é apenas uma tecnicalidade jurídica; é uma resposta directa a desafios práticos e profundamente humanos que emergem em sectores como a saúde, os seguros, o direito sucessório e a preservação de arquivos históricos, reflectindo uma maturidade regulatória alinhada com as melhores práticas internacionais.
Compreender esta nova dimensão da protecção de dados é fundamental para qualquer organização que opere em Angola. A proposta, caso venha a ser promulgada, exigirá uma adaptação de políticas, procedimentos e sistemas para garantir a conformidade e, mais importante, para gerir com respeito e segurança a memória digital dos que já partiram. Este artigo aprofunda o que a minuta propõe, o que muda face ao regime actual e quais os impactos práticos desta nova fronteira da privacidade.
O que a minuta propõe sobre dados de pessoas falecidas
A proposta de nova Lei de Protecção de Dados Pessoais dedica um artigo específico à tutela dos dados de pessoas falecidas, uma matéria completamente ausente na legislação actual. A minuta estabelece um princípio fundamental: os dados pessoais de quem faleceu continuam a merecer protecção, e os direitos que antes pertenciam ao titular podem, sob certas condições, ser exercidos por terceiros. Esta abordagem visa equilibrar o respeito pela memória e privacidade do defunto com os interesses legítimos de herdeiros, familiares ou outras entidades.
Concretamente, a minuta prevê que os direitos de acesso, rectificação e apagamento dos dados do falecido possam ser exercidos por quem tenha um interesse legítimo ou pela via sucessória. Isto significa que os herdeiros legais, por exemplo, poderão solicitar a uma instituição financeira o acesso aos extractos bancários do falecido para efeitos de partilha de herança, ou pedir a um hospital a correcção de uma informação clínica incorrecta que possa ter impacto na saúde de outros membros da família. A proposta de lei define que este exercício de direitos pode ser feito "através de representante legal ou pela via sucessória, salvo se o contrário resultar de lei especial".
A proposta legislativa impõe, no entanto, limites claros. O exercício destes direitos póstumos não é absoluto. A minuta salvaguarda a possibilidade de o titular dos dados, ainda em vida, ter deixado instruções específicas em contrário. Uma pessoa poderia, por exemplo, determinar expressamente que certas informações (como o seu histórico de saúde mental ou correspondência privada) não deveriam ser acedidas por ninguém após a sua morte. Esta disposição reforça a autonomia e a vontade do titular, mesmo para além da sua vida, e obriga as organizações a ponderarem como irão registar e respeitar tais instruções. Adicionalmente, o exercício destes direitos não pode afectar os direitos ou interesses de terceiros, uma salvaguarda importante em situações complexas.
Esta arquitectura jurídica cria um nexo claro entre a norma (as novas regras), a governação (a necessidade de as empresas criarem procedimentos internos) e a prova (a capacidade de demonstrar que os pedidos foram geridos correctamente). Para a Agência de Protecção de Dados (APD), isto significará um novo campo de fiscalização, garantindo que as organizações não só respondem aos pedidos, mas que o fazem de forma segura e fundamentada, evitando acessos indevidos que poderiam constituir uma violação da privacidade póstuma.
O que muda face à Lei n.º 22/11
A mudança introduzida pela minuta é total, pois parte do silêncio absoluto para a criação de um regime jurídico completo. A Lei n.º 22/11, de 17 de Junho, a Lei da Protecção de Dados Pessoais actualmente em vigor, define "dados pessoais" como qualquer informação relativa a uma pessoa singular identificada ou identificável. A sua aplicação cessa com a morte do titular, momento em que, para efeitos da lei, a pessoa deixa de ser uma "pessoa singular". Este vazio legal deixa as organizações sem um guia claro sobre como proceder.
Na prática, sob o regime da Lei n.º 22/11, o tratamento de dados de pessoas falecidas é gerido por uma combinação de outras normas (como o sigilo bancário ou profissional), pela política interna de cada organização e, frequentemente, pelo bom senso. Um hospital pode, por exemplo, recusar o acesso ao processo clínico de um paciente falecido a um familiar, invocando o dever de sigilo profissional, mesmo que o familiar tenha um interesse legítimo e urgente. Uma seguradora pode ter dificuldades em validar a identidade dos beneficiários de um seguro de vida. A ausência de uma regra específica em protecção de dados gera insegurança jurídica e decisões inconsistentes, aumentando o risco operacional.
A minuta da nova lei substitui esta incerteza por um quadro de direitos e deveres. A principal diferença é o reconhecimento de que os dados pessoais "sobrevivem" ao seu titular e que a sua protecção se estende no tempo. Ao estabelecer quem pode exercer os direitos (herdeiros, representantes com interesse legítimo) e sob que condições, a proposta de actualização cria um procedimento que as organizações podem e devem seguir. Deixa de ser uma decisão discricionária para passar a ser uma obrigação legal, auditável e fiscalizável.
Esta transição de um vazio normativo para uma regulação explícita alinha Angola com jurisdições mais maduras em matéria de privacidade, como a União Europeia, onde o Regulamento Geral sobre a Protecção de Dados (RGPD) permite que os Estados-Membros legislem sobre esta matéria. A proposta angolana opta por uma solução clara e integrada na própria lei geral, o que simplifica a sua aplicação e demonstra uma preocupação com a segurança jurídica e a confiança do mercado.
Exemplos práticos em Angola
A relevância desta nova disposição torna-se mais clara quando aplicada a cenários concretos do quotidiano angolano. A gestão de dados post-mortem não é uma questão abstracta, mas um desafio operacional com implicações humanas e financeiras significativas.
Exemplo 1: O processo clínico num hospital em Luanda
Imaginemos uma situação num hospital privado em Luanda. Um cidadão falece vítima de uma doença cardíaca rara e com potencial componente hereditária. Meses depois, o seu filho, preocupado com a sua própria saúde e a dos seus descendentes, solicita ao hospital o acesso ao processo clínico do pai para compreender melhor o diagnóstico, os tratamentos efectuados e os factores de risco genético. Ao abrigo da Lei n.º 22/11, o hospital estaria numa posição delicada. O dever de sigilo profissional é forte, e a lei de protecção de dados não oferece uma excepção clara para este caso. A instituição poderia, por prudência, recusar o acesso, deixando a família sem informações vitais.
Com a nova minuta, o cenário muda. O filho, na qualidade de herdeiro e com um interesse legítimo evidente (a protecção da sua saúde e da sua família), poderia exercer o direito de acesso aos dados do pai. O hospital, por sua vez, teria uma base legal clara para fornecer a informação, desde que verificasse a legitimidade do requerente. A organização precisaria de ter um procedimento interno para: 1) receber e registar o pedido; 2) verificar a identidade do requerente e a sua qualidade de herdeiro (ex: através de uma certidão de habilitação de herdeiros); 3) analisar o pedido para garantir que não viola instruções deixadas pelo falecido ou direitos de terceiros; e 4) fornecer os dados de forma segura. Este processo, que demonstra conformidade com evidência, protege o hospital e garante um direito fundamental à família.
Exemplo 2: A gestão de um seguro de vida numa seguradora
Consideremos agora uma companhia de seguros que opera em Angola. Um dos seus clientes, titular de um seguro de vida, falece num acidente. Os beneficiários designados na apólice — a sua viúva e dois filhos — contactam a seguradora para accionar o seguro. Para processar o pagamento, a seguradora precisa de tratar vários dados do falecido: confirmar a causa da morte, verificar se as condições da apólice foram cumpridas e validar a identidade dos beneficiários. Este tratamento é essencial para o cumprimento do contrato de seguro.
A nova minuta oferece um enquadramento jurídico robusto para esta operação. O tratamento dos dados do falecido é lícito porque é necessário para a execução de um contrato no qual os beneficiários (terceiros) têm um interesse directo e legítimo. Se, durante o processo, a seguradora descobrir um erro nos dados de identificação do falecido, os herdeiros poderiam exercer o direito de rectificação para garantir que o processo decorre sem entraves. A existência de regras claras sobre o tratamento de dados de pessoas falecidas aumenta a segurança jurídica para a seguradora, reduz o risco de litígios com as famílias e reforça a confiança no sector segurador como um todo. A empresa teria de garantir que os seus colaboradores, especialmente os do departamento de sinistros, estão formados para lidar com estes pedidos com a sensibilidade e o rigor que a nova lei, caso aprovada, exigirá. Contratar um DPO as a Service poderia ser uma solução para garantir esta especialização.
O que isto significa na prática
A introdução de um regime para o tratamento de dados de pessoas falecidas, caso a minuta venha a ser promulgada, terá consequências práticas imediatas para as organizações em Angola. Não se trata de uma mera alteração cosmética, mas de uma nova obrigação de governação de dados que exige acção e preparação. As empresas e entidades públicas terão de olhar para os seus processos internos e questionar: estamos preparados para gerir o legado digital dos nossos clientes, colaboradores ou utentes falecidos?
Em primeiro lugar, será necessário actualizar as políticas de privacidade e os procedimentos internos. As organizações terão de criar um canal e um processo formal para receber, analisar e responder a pedidos de acesso, rectificação ou apagamento de dados de pessoas falecidas. Este processo deve incluir mecanismos de verificação rigorosos para confirmar a identidade e a legitimidade do requerente (seja ele um herdeiro, um representante legal ou outra pessoa com interesse legítimo), de modo a prevenir fraudes ou acessos indevidos. A capacidade de documentar cada passo deste processo — o "papel" e a "prova" — será crucial para demonstrar conformidade perante a APD.
Em segundo lugar, a formação dos colaboradores será essencial. As equipas de atendimento ao cliente, os departamentos jurídicos, de recursos humanos e de conformidade devem compreender as novas regras e a sensibilidade envolvida. Lidar com um herdeiro enlutado que procura informações é diferente de lidar com um cliente activo. A empatia, o rigor e o respeito pela memória do falecido devem pautar toda a interacção. Isto reforça a dimensão humana da protecção de dados, mostrando que a conformidade não é apenas sobre tecnologia e leis, mas sobre confiança e respeito.
Finalmente, esta mudança reforça a necessidade de uma visão integrada da governação de dados. As organizações que já investem numa cultura de privacidade e que mantêm um registo organizado das suas actividades de tratamento estarão mais bem preparadas. Para as outras, esta será mais uma razão para investir em sistemas e processos que garantam a prontidão para responder às exigências regulatórias. Para obter ajuda, pode sempre entrar em contacto connosco. A gestão de dados póstumos é mais um elo na cadeia de confiança entre as organizações e o mercado, e a sua correcta implementação será um sinal de maturidade e responsabilidade corporativa no novo ecossistema digital angolano que a nova lei de protecção de dados procura fortalecer.
Bibliografia
- ANGOLA. Lei n.º 22/11, de 17 de Junho. Lei da Protecção de Dados Pessoais. Diário da República, Luanda, 2011.
- ANGOLA. Minuta da Lei de Protecção de Dados Pessoais. Versão final com contribuições do grupo de trabalho, remetida ao MINTTCS em 14 de Agosto de 2025.
- ANGOLA. Constituição da República de Angola.
- UNIÃO AFRICANA. Convenção sobre Cibersegurança e Protecção de Dados Pessoais. Malabo, 2014.
