Papel · Prova · Prontidão — Protecção de Dados e Cibersegurança com evidência.
A globalização dos serviços digitais e a computação em nuvem transformaram radicalmente as fronteiras dos negócios. Hoje, uma empresa angolana pode utilizar uma plataforma de software como serviço (SaaS) alojada na Irlanda, contratar um fornecedor de infraestrutura de nuvem com servidores na África do Sul e ter os seus dados de apoio ao cliente processados por uma equipa nas Filipinas. Esta realidade, que acelera a inovação e a eficiência, levanta uma questão jurídica fundamental: até onde se estende a autoridade da lei angolana para proteger os dados pessoais dos seus cidadãos e residentes? Se os dados são tratados fora de Angola, por entidades estrangeiras, continuam sob a alçada da legislação nacional?
A resposta a esta pergunta define o poder real de uma nação para garantir a privacidade no século XXI. A Lei n.º 22/11, de 17 de Junho, o regime actualmente em vigor, já previa alguns cenários de aplicação extraterritorial, mas a sua abordagem é considerada limitada face à complexidade das cadeias de tratamento de dados contemporâneas. A nova minuta da Lei de Protecção de Dados Pessoais, actualmente em apreciação, vem precisamente endereçar esta lacuna, propondo uma modernização e uma expansão significativa do seu âmbito de aplicação territorial. O objectivo é claro: garantir que a protecção acompanha os dados, onde quer que eles estejam, desde que a operação de tratamento tenha uma ligação substancial com Angola.
Esta proposta de actualização legislativa não é um mero detalhe técnico; é uma declaração de soberania digital. Ao clarificar as condições em que a lei se aplica a responsáveis pelo tratamento e a subcontratados não estabelecidos em território nacional, a minuta visa criar um ambiente de maior segurança jurídica para as empresas angolanas que contratam serviços tecnológicos internacionais e, ao mesmo tempo, reforçar os direitos dos titulares dos dados. Compreender esta dimensão extraterritorial é, por isso, crucial para qualquer organização que opere em Angola ou que, a partir do estrangeiro, direccione os seus serviços para este mercado.
O que a minuta propõe: um alcance transfronteiriço e baseado na conexão
A principal inovação da minuta em apreciação reside na adopção de critérios de conexão que reflectem a forma como os dados circulam na economia digital. Em vez de se focar apenas na localização física do responsável pelo tratamento, o texto pré-legislativo estende a sua aplicação a situações em que o tratamento de dados, mesmo ocorrendo fora de Angola, está intrinsecamente ligado ao país. Esta abordagem inspira-se directamente no Regulamento Geral sobre a Protecção de Dados (RGPD) europeu, que se tornou um padrão global.
Concretamente, a proposta estabelece que a lei se aplicará ao tratamento de dados pessoais realizado no âmbito das actividades de um estabelecimento de um responsável ou subcontratado em Angola, independentemente de o tratamento ocorrer ou não em território nacional. Mais importante ainda, a minuta prevê a sua aplicação a responsáveis ou subcontratados não estabelecidos em Angola, sempre que as suas actividades de tratamento estejam relacionadas com:
- A oferta de bens ou a prestação de serviços a titulares de dados que se encontrem em Angola, independentemente de lhes ser exigido um pagamento.
- O controlo do comportamento de titulares de dados, na medida em que esse comportamento tenha lugar em Angola.
Esta expansão tem implicações directas para as plataformas estrangeiras que visam o mercado angolano. Uma rede social, uma plataforma de e-commerce ou um serviço de streaming que, mesmo sem ter escritórios em Luanda, direcciona os seus serviços para utilizadores em Angola (por exemplo, através de publicidade, aceitando Kwanzas como pagamento ou oferecendo conteúdos em português adaptado) ficará sujeito ao cumprimento da lei angolana. O mesmo se aplica a serviços de nuvem e fornecedores multinacionais. Se uma empresa angolana contrata um fornecedor de cloud para alojar a sua base de dados de clientes, esse fornecedor, mesmo que os seus servidores estejam em Frankfurt ou no Dubai, passa a ter de observar os princípios e as obrigações da lei angolana no que diz respeito a esses dados.
A noção de "controlo do comportamento" é igualmente relevante. Abrange práticas como a monitorização online, a perfilagem (profiling) para fins de publicidade direccionada ou a análise de padrões de consumo de utilizadores localizados em Angola. Assim, uma empresa de análise de dados sediada no estrangeiro que recolha e processe dados sobre os hábitos de navegação de internautas angolanos para criar perfis de consumo estará, à luz da minuta, a cair no seu âmbito de aplicação. Esta é uma mudança de paradigma que alinha Angola com as jurisdições mais avançadas em matéria de protecção de dados, reconhecendo que o local do tratamento é menos importante do que o local onde o titular dos dados se encontra e é afectado.
O que muda face à Lei n.º 22/11
A Lei n.º 22/11, embora pioneira no contexto angolano, adopta uma abordagem mais tradicional e, por vezes, ambígua quanto à sua aplicação extraterritorial. O seu artigo 3.º estabelece que a lei se aplica ao tratamento de dados "inteiramente ou parcialmente em território nacional", bem como ao tratamento que recorra a meios situados em Angola, salvo se esses meios servirem apenas para trânsito de dados.
A lei vigente também prevê a sua aplicação a um responsável pelo tratamento não estabelecido em Angola que recorra a meios situados no país. No entanto, a grande diferença reside na clareza e na abrangência dos critérios. A Lei n.º 22/11 foca-se muito na "localização dos meios", um conceito que se tornou fluido na era da nuvem. O que significa "recorrer a meios situados em Angola" quando se utiliza uma infraestrutura global e distribuída? A jurisprudência e a doutrina têm tido dificuldade em interpretar esta norma de forma consistente no contexto tecnológico actual.
A minuta da nova lei supera esta ambiguidade ao introduzir os critérios da "oferta de bens e serviços" e do "controlo do comportamento". Esta mudança desloca o foco dos meios (a infraestrutura) para o fim (o mercado e o indivíduo). Não importa tanto onde o servidor está, mas sim para quem o serviço é dirigido. Se o alvo é o mercado angolano ou se o comportamento monitorizado ocorre em Angola, a lei aplica-se. Esta é a grande evolução: de uma lógica baseada na infraestrutura para uma lógica baseada no mercado e no impacto sobre o indivíduo.
Além disso, a minuta impõe uma obrigação clara que não está explícita na lei actual: os responsáveis pelo tratamento não estabelecidos em Angola que se enquadrem nestes novos critérios terão de designar, por escrito, um representante em Angola. Este representante será o ponto de contacto para a Agência de Protecção de Dados (APD) e para os titulares dos dados, assegurando que existe uma entidade em solo nacional à qual se podem dirigir para exercer os seus direitos e para efeitos de fiscalização. Esta obrigação de representação é um mecanismo de governação fundamental para dar eficácia prática à aplicação extraterritorial da lei, garantindo que a norma não se torna letra morta por falta de um interlocutor local.
Exemplos práticos em Angola
Para ilustrar o alcance destas mudanças, consideremos dois cenários empresariais comuns em Angola.
Exemplo 1: Contratação de um software de apoio ao cliente na nuvem
Imaginemos um dos maiores bancos comerciais a operar em Angola, o "Banco Confiança Angolano". Para modernizar o seu serviço de atendimento, o banco decide contratar uma plataforma de CRM (Customer Relationship Management) líder de mercado, cuja empresa-mãe está sediada nos Estados Unidos e os servidores que alojam o serviço para a região de África estão localizados na África do Sul. Todos os dias, os operadores do call center do banco, em Luanda, inserem e consultam dados pessoais de milhares de clientes, incluindo nomes, números de conta, contactos telefónicos e históricos de interacções. Estes dados são processados e armazenados nos servidores na África do Sul.
À luz da Lei n.º 22/11, a aplicabilidade da lei ao fornecedor americano poderia ser discutível. Embora o tratamento seja feito por ordem do banco angolano, o fornecedor não tem estabelecimento nem recorre a meios principais em Angola. Com a nova minuta, a situação torna-se inequívoca. O tratamento de dados está directamente relacionado com as actividades do Banco Confiança Angolano (um estabelecimento em Angola). Adicionalmente, o fornecedor de CRM, ao prestar o seu serviço que processa dados de titulares em Angola, fica ele próprio sujeito à lei. O banco, como responsável pelo tratamento, terá de garantir que o contrato com este fornecedor multinacional inclui cláusulas que asseguram o cumprimento da lei angolana e, muito provavelmente, o fornecedor terá de designar um representante em Angola para facilitar a comunicação com a APD e os clientes do banco.
Exemplo 2: Uma plataforma de e-commerce internacional com foco em Angola
Consideremos uma grande retalhista de moda online, com sede em Portugal, que identifica Angola como um mercado de crescimento. A empresa não tem lojas físicas nem escritórios em Angola, mas lança uma campanha de marketing digital agressiva direccionada para utilizadores angolanos nas redes sociais. O seu site passa a aceitar pagamentos via cartões de bancos angolanos e oferece envios directos para Luanda, Benguela e outras províncias. Para optimizar as vendas, a plataforma utiliza algoritmos que analisam o comportamento de navegação dos visitantes angolanos, as suas pesquisas e compras anteriores, para lhes apresentar recomendações de produtos personalizadas.
Com a legislação actual, seria difícil responsabilizar directamente esta empresa portuguesa. No entanto, a nova minuta é clara: a empresa está a "ofertar bens" a titulares de dados em Angola e a "controlar o seu comportamento" através da perfilagem. Consequentemente, a retalhista portuguesa teria de cumprir integralmente a nova lei de protecção de dados angolana. Isto inclui obter consentimento válido para a perfilagem, garantir os direitos de acesso e apagamento dos dados aos seus clientes angolanos e, crucialmente, nomear um representante legal em Angola. A falta de cumprimento poderia levar a sanções aplicadas pela APD, que teria um enquadramento jurídico sólido para actuar, demonstrando o nexo entre a norma, a fiscalização e a protecção do mercado.
O que isto significa na prática
A proposta de alargamento do âmbito territorial da lei de protecção de dados angolana é um passo decisivo para a afirmação da soberania digital do país e para a criação de um ecossistema de confiança. Para as organizações, as implicações são profundas e exigem uma nova camada de diligência na governação de dados.
Em primeiro lugar, as empresas angolanas que actuam como responsáveis pelo tratamento (a esmagadora maioria) terão de mapear as suas cadeias de tratamento de dados com um rigor acrescido. Já não basta saber que se contratou um serviço; é preciso saber onde os dados são alojados, quem são os subcontratados dos seus fornecedores e que garantias contratuais existem para assegurar o cumprimento da lei angolana ao longo de toda a cadeia. A contratação tecnológica por empresas angolanas torna-se um exercício de gestão de risco jurídico e operacional, onde a conformidade com a protecção de dados (conformidade com evidência) é um critério central na selecção de fornecedores.
Em segundo lugar, os fornecedores de tecnologia e plataformas digitais estrangeiras que pretendam operar ou servir o mercado angolano terão de levar a legislação angolana a sério. Terão de adaptar as suas políticas de privacidade, mecanismos de consentimento e procedimentos internos para responder aos requisitos específicos da minuta, caso esta venha a ser promulgada. A designação de um representante local será um custo de entrada no mercado, mas também um sinal de compromisso e de respeito pela regulação de Angola. Isto eleva o padrão do mercado e protege as empresas locais de concorrência desleal baseada numa menor preocupação com a privacidade.
Finalmente, para os cidadãos e residentes em Angola, esta mudança significa um reforço substancial dos seus direitos. Terão um caminho mais claro para exercer controlo sobre os seus dados, mesmo quando estes são tratados por gigantes tecnológicos globais. A possibilidade de contactar um representante local (contacto) ou de recorrer à APD contra uma entidade estrangeira torna a protecção de dados uma realidade tangível, e não apenas uma promessa no papel. Esta prontidão regulatória é essencial para construir a confiança necessária para aprofundar a transformação digital da economia e da sociedade angolana, incluindo a adopção de serviços como o de DPO as a Service para garantir uma supervisão contínua.
Bibliografia
- ANGOLA. Minuta da Lei de Protecção de Dados Pessoais. Versão final com contribuições do grupo de trabalho, remetida ao MINTTCS em 14 de Agosto de 2025.
- ANGOLA. Lei n.º 22/11, de 17 de Junho. Lei da Protecção de Dados Pessoais. Diário da República, Luanda, 2011.
- UNIÃO EUROPEIA. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados).
- UNIÃO AFRICANA. Convenção sobre Cibersegurança e Protecção de Dados Pessoais. Malabo: União Africana, 2014.
