Papel · Prova · Prontidão — Protecção de Dados e Cibersegurança com evidência.
A proposta de actualização da Lei de Protecção de Dados Pessoais em Angola, actualmente em apreciação, representa um passo significativo na modernização do quadro jurídico nacional face aos avanços tecnológicos. Um dos domínios mais inovadores e críticos que a minuta procura regular é o da inteligência artificial (IA). Ao contrário da Lei n.º 22/11, de 17 de Junho, que não aborda especificamente esta matéria, o novo texto pré-legislativo dedica uma atenção particular aos riscos associados a sistemas de decisão automatizada, estabelecendo limites claros e proibindo práticas consideradas de alto risco para os direitos e liberdades dos cidadãos. Esta abordagem não é apenas uma reacção à evolução tecnológica, mas um posicionamento estratégico que visa alinhar Angola com as melhores práticas internacionais, como as que inspiram o Regulamento Geral sobre a Protecção de Dados (RGPD) na Europa e a própria Convenção de Malabo da União Africana.
A lógica subjacente a estas novas disposições é a de que a inovação tecnológica não pode ser um fim em si mesma, desprovida de uma moldura ética e jurídica que a enquadre. A minuta reconhece o potencial da IA para a economia e para a sociedade, mas também os seus perigos intrínsecos, especialmente quando aplicada a seres humanos de forma opaca, discriminatória ou exploratória. A introdução de um capítulo sobre práticas proibidas em matéria de IA é, por isso, uma declaração de princípios: a tecnologia deve servir as pessoas, e não o contrário. Para as organizações que operam em Angola, desde bancos e seguradoras a hospitais e plataformas digitais, compreender estas “zonas proibidas” é fundamental para garantir a conformidade futura e, mais importante, para construir uma relação de confiança com os seus clientes e utentes, alicerçada na transparência e no respeito pela dignidade humana.
O que a minuta propõe: As práticas de IA na zona proibida
A minuta da nova Lei de Protecção de Dados Pessoais é explícita ao proibir um conjunto de práticas de inteligência artificial consideradas inaceitáveis pelo legislador. Estas proibições visam mitigar riscos elevados e proteger os indivíduos contra utilizações abusivas da tecnologia. A proposta legislativa foca-se em três grandes áreas de preocupação, que passamos a detalhar.
Primeiramente, a minuta veda a utilização de sistemas de IA que explorem vulnerabilidades de um grupo específico de pessoas. Isto inclui vulnerabilidades relacionadas com a idade, a condição social ou económica, ou deficiências físicas ou mentais. O objectivo é proibir que uma organização utilize um algoritmo para, por exemplo, manipular o comportamento de consumo de um indivíduo que sabe ser financeiramente vulnerável ou para induzir decisões prejudiciais a um menor de idade. A norma procura, assim, proteger a autonomia e a capacidade de decisão dos titulares de dados, impedindo que a tecnologia seja usada como uma ferramenta de exploração.
Em segundo lugar, a proposta proíbe sistemas de IA que promovam a classificação social ilegítima (ou social scoring). Esta é uma das inovações mais relevantes e alinhadas com os debates internacionais. A ideia é impedir a criação de sistemas que pontuem ou classifiquem os cidadãos com base no seu comportamento social, nas suas características pessoais ou em predições sobre a sua conduta, resultando em tratamento desfavorável ou prejudicial em contextos sociais. Por exemplo, seria proibido que um sistema de IA atribuísse uma “pontuação de cidadania” que determinasse o acesso a crédito, a emprego ou a serviços públicos, criando uma sociedade de vigilância e estratificação digital.
Por fim, a minuta impõe restrições severas ao uso de biometria em tempo real e em espaços de acesso público para fins de vigilância. A utilização de sistemas de identificação biométrica à distância, como o reconhecimento facial em massa, é expressamente proibida, salvo em situações muito específicas e legalmente previstas, como a investigação de crimes graves e sob autorização judicial. Esta proibição visa proteger o direito à privacidade, à liberdade de expressão e de reunião, impedindo a criação de uma infra-estrutura de vigilância permanente que poderia ter um efeito inibidor sobre a vida em sociedade. A regra é clara: a conveniência da segurança não pode justificar a erosão de direitos fundamentais.
O que muda face à Lei n.º 22/11
A diferença entre a minuta em apreciação e a Lei n.º 22/11, actualmente em vigor, é abissal neste domínio. A lei de 2011, pioneira à sua época, não contém qualquer menção explícita a inteligência artificial, decisões automatizadas complexas ou práticas como a classificação social. A sua arquitectura foi desenhada numa era em que estas tecnologias não tinham a omnipresença nem o impacto que têm hoje. A Lei n.º 22/11 foca-se nos princípios gerais de tratamento de dados, como o consentimento, a finalidade e a segurança, mas não oferece um quadro normativo específico para os desafios colocados pela IA.
O tratamento de dados biométricos, por exemplo, é classificado como “dado sensível” pela Lei n.º 22/11, exigindo um nível de protecção acrescido e, em regra, o consentimento explícito do titular ou uma autorização da Agência de Protecção de Dados (APD). No entanto, a lei não proíbe especificamente o seu uso em tempo real para vigilância em massa. A minuta, por outro lado, vai muito além: não se limita a classificar o dado, mas proíbe uma finalidade específica e de alto risco, a do reconhecimento facial indiscriminado em espaços públicos. Esta mudança de paradigma é crucial: passa-se de uma lógica de “como tratar” para uma lógica de “o que não se pode tratar”.
Da mesma forma, a proibição da exploração de vulnerabilidades e da classificação social é uma novidade absoluta. A lei actual poderia, indirectamente, ser interpretada para proteger contra tais práticas através dos seus princípios fundamentais de lealdade e boa-fé. Contudo, a ausência de uma proibição expressa torna a fiscalização e a responsabilização mais difíceis. A minuta, ao nomear e proibir estas práticas, cria uma segurança jurídica muito maior para os cidadãos e uma linha vermelha clara para as organizações. Esta clareza é um activo para a governação de dados, pois permite que as empresas desenhem os seus processos e sistemas com base em regras explícitas, reduzindo o risco operacional e regulatório.
Exemplos práticos em Angola
Para tornar estas proibições mais concretas, imaginemos dois cenários hipotéticos no contexto empresarial angolano, caso a minuta venha a ser promulgada.
Caso 1: Uma instituição financeira e a classificação de risco de crédito.
Um grande banco a operar em Angola decide implementar um novo sistema de inteligência artificial para automatizar a análise e concessão de crédito ao consumo. O sistema utiliza centenas de variáveis, incluindo não apenas o histórico financeiro do cliente, mas também dados recolhidos das suas redes sociais, os seus padrões de consumo através de aplicações de pagamento e até a sua localização geográfica. Com base nestes dados, o algoritmo cria um perfil de risco e uma “pontuação social” que influencia a taxa de juro ou a própria aprovação do crédito. Um cliente que frequente zonas consideradas “de risco” ou que tenha ligações a pessoas com histórico de incumprimento poderia ver a sua pontuação diminuída, mesmo que o seu próprio historial de pagamentos seja impecável. Nos termos da nova minuta, este sistema seria ilegal. A utilização de variáveis não directamente relacionadas com a capacidade financeira do cliente para criar uma classificação social que resulta em tratamento desfavorável seria considerada uma prática proibida de social scoring. O banco teria de redesenhar o seu algoritmo para se basear estritamente em critérios objectivos e pertinentes à análise de crédito, garantindo transparência e o direito do cliente a uma explicação sobre a decisão.
Caso 2: Um centro comercial e o uso de reconhecimento facial.
Uma empresa gestora de um dos maiores centros comerciais de Luanda instala um sistema de videovigilância avançado com capacidade de reconhecimento facial em tempo real. O objectivo declarado é duplo: aumentar a segurança, identificando indivíduos com historial de furtos, e personalizar a experiência de compra, enviando promoções para os telemóveis dos clientes reconhecidos pelo sistema. Todos os visitantes são filmados e as suas faces comparadas com uma base de dados. Embora a intenção possa parecer legítima, esta prática seria frontalmente contrária à minuta. O uso de identificação biométrica à distância e em tempo real num espaço de acesso público como um centro comercial constitui uma forma de vigilância em massa. A proposta de lei proíbe este tratamento, pois cria um ambiente de controlo permanente que viola a expectativa de privacidade dos cidadãos. Para estar em conformidade, a empresa teria de desactivar a funcionalidade de reconhecimento facial em tempo real, podendo manter a videovigilância para fins de segurança, mas sem a identificação massiva e automatizada de todos os que por ali passam.
O que isto significa na prática
Para as organizações em Angola, a mensagem da minuta é inequívoca: a adopção de tecnologias de inteligência artificial deve ser feita de forma responsável, ética e juridicamente consciente. A inovação é bem-vinda, mas não a qualquer custo. Na prática, isto significa que as empresas terão de adoptar uma abordagem de “privacidade desde a concepção” (privacy by design) muito mais rigorosa quando desenvolverem ou contratarem soluções de IA.
Primeiro, será necessário um escrutínio muito maior sobre os algoritmos e os dados que os alimentam. As equipas de tecnologia, jurídica e de conformidade terão de trabalhar em conjunto para avaliar se um sistema de IA pode, mesmo que inadvertidamente, explorar vulnerabilidades ou criar classificações discriminatórias. A prova da conformidade, um pilar do posicionamento da dadosangola.co.ao, torna-se central. As organizações terão de documentar as suas análises de risco e as decisões tomadas para mitigar esses riscos, demonstrando à Agência de Protecção de Dados (APD) que agiram com a devida diligência.
Segundo, a contratação de fornecedores de tecnologia, especialmente plataformas estrangeiras, exigirá um cuidado redobrado. Muitas soluções de IA são desenvolvidas e operadas fora de Angola. Será responsabilidade da empresa angolana garantir que esses serviços cumprem as proibições da lei nacional. Isto implica auditorias, cláusulas contratuais robustas e, possivelmente, a nomeação de um Encarregado de Protecção de Dados (DPO as a Service pode ser uma solução) que supervisione esta relação.
Finalmente, esta nova abordagem reforça a necessidade de uma cultura de governação de dados. A proibição de certas práticas de IA não é apenas uma questão de conformidade legal; é uma questão de gestão de risco operacional e de reputação. As empresas que demonstrarem um compromisso sério com o uso ético da IA não só evitarão sanções, como também construirão uma vantagem competitiva baseada na confiança. Num mercado cada vez mais digital, a confiança é o activo mais valioso. Para qualquer esclarecimento adicional, não hesite em entrar em contacto.
Bibliografia
- ANGOLA. Minuta da Lei de Protecção de Dados Pessoais. Versão final com contribuições do grupo de trabalho, remetida ao MINTTCS em 14 de Agosto de 2025.
- ANGOLA. Lei n.º 22/11, de 17 de Junho. Lei da Protecção de Dados Pessoais. Diário da República, Luanda, 2011.
- UNIÃO AFRICANA. Convenção sobre Cibersegurança e Protecção de Dados Pessoais. Malabo, 2014.
- ANGOLA. Constituição da República de Angola.
