DadosAngola
DadosAngola.co.ao
As novas definições da minuta: biometria, genética, perfilagem e violação de dados entram no centro da lei
Voltar ao Blog
Guia11 min de leitura

As novas definições da minuta: biometria, genética, perfilagem e violação de dados entram no centro da lei

O vocabulário jurídico da minuta actualiza-se para regular a realidade tecnológica — e isso muda a forma como as organizações tratam dados em Angola

Marcelo Fattori

Fundador & Consultor Principal

16 de março de 2026

Partilhar:

Papel · Prova · Prontidão — Protecção de Dados e Cibersegurança com evidência.

A tecnologia avança a um ritmo que o direito, por natureza mais ponderado, nem sempre acompanha em tempo real. Contudo, há momentos em que a legislação dá um passo decisivo para se actualizar, não apenas corrigindo o passado, mas preparando o futuro. A minuta da nova Lei de Protecção de Dados Pessoais, actualmente em apreciação em Angola, representa um desses momentos. Mais do que uma simples revisão da Lei n.º 22/11, de 17 de Junho, esta proposta legislativa introduz um vocabulário renovado, desenhado para regular fenómenos tecnológicos que se tornaram omnipresentes na economia digital. Conceitos como dados biométricos, dados genéticos, perfilagem e violação de dados deixam de ser matéria de interpretação e passam a ter uma definição jurídica própria e um enquadramento específico.

Esta actualização terminológica não é um mero exercício académico. Pelo contrário, tem implicações profundas e directas na forma como as organizações em Angola — desde a banca e as telecomunicações até à saúde e aos recursos humanos — terão de gerir a informação que recolhem, tratam e armazenam. Ao nomear e definir estas realidades, a futura lei, caso venha a ser promulgada nos termos propostos, estabelece um perímetro de risco mais claro e impõe novas obrigações de transparência, segurança e responsabilidade. Para o cidadão, significa uma protecção mais robusta e alinhada com os desafios do século XXI. Para as empresas, é um sinal claro de que a governação de dados precisa de evoluir, tornando-se mais sofisticada, documentada e auditável.

Analisar estas novas definições é, portanto, essencial para qualquer gestor, jurista ou profissional de tecnologia que opere no mercado angolano. Compreender o que a minuta propõe é o primeiro passo para avaliar o impacto operacional, ajustar processos internos e transformar o que poderia ser um desafio de conformidade numa vantagem competitiva, alicerçada na confiança e na segurança jurídica. Este artigo explora o significado e o alcance de cada um destes novos conceitos, antecipando o que poderá mudar e como as organizações se podem preparar.

O que a minuta propõe: um novo léxico para a era digital

A proposta de actualização da lei angolana de protecção de dados dedica uma atenção particular à clarificação de conceitos que a Lei n.º 22/11 não detalhava, reflectindo a evolução tecnológica dos últimos anos. A inclusão de definições explícitas para dados biométricos, genéticos, perfilagem e violação de dados é um dos pilares da reforma, alinhando Angola com as melhores práticas internacionais, como o Regulamento Geral sobre a Protecção de Dados (RGPD) europeu. Vejamos o que cada um significa no contexto da minuta.

Dados Biométricos e Genéticos: a identidade no seu estado mais puro

A minuta propõe-se a definir dados biométricos como “dados pessoais resultantes de um tratamento técnico específico, relativos às características físicas, fisiológicas ou comportamentais de uma pessoa singular, que permitam ou confirmem a sua identificação única”. Pense-se em impressões digitais, reconhecimento facial, padrões de íris ou voz. Já os dados genéticos são definidos como “dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular”.

A importância desta distinção reside no facto de estes dados serem, pela sua natureza, únicos e imutáveis. Uma palavra-passe pode ser alterada; uma impressão digital, não. O seu tratamento, por conseguinte, acarreta um risco acrescido. A proposta classifica-os como dados sensíveis, o que implica que o seu tratamento só será, em princípio, permitido com o consentimento explícito do titular ou noutras circunstâncias muito restritas previstas na lei. Isto tem um impacto directo em sectores como a banca (autenticação em apps), a saúde (diagnósticos e historial clínico) e os recursos humanos (controlo de assiduidade e acesso a instalações).

Perfilagem: a criação de "personas" digitais

Outra inovação crucial é a definição de perfilagem (ou profiling). O texto refere-se a qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados para avaliar certos aspectos pessoais de uma pessoa singular. O objectivo é, nomeadamente, analisar ou prever aspectos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações.

Na prática, a perfilagem é o motor de muitos modelos de negócio digitais. Um banco que usa um algoritmo para decidir automaticamente se concede ou não um crédito está a fazer perfilagem. Uma empresa de telecomunicações que analisa os padrões de consumo dos seus clientes para lhes dirigir ofertas de marketing personalizadas está a fazer perfilagem. A minuta não proíbe esta prática, mas impõe condições rigorosas, como o direito do titular a não ficar sujeito a decisões tomadas exclusivamente com base no tratamento automatizado e o direito a obter intervenção humana, a expressar o seu ponto de vista e a contestar a decisão. A norma exige transparência sobre a lógica subjacente a estes algoritmos, ligando a conformidade com evidência à própria arquitectura dos sistemas.

Violação de Dados Pessoais: mais do que um "ataque informático"

Finalmente, a minuta introduz uma definição clara de violação de dados pessoais. Trata-se de uma “violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizados a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento”.

Esta definição é deliberadamente ampla. Uma violação não é apenas um ciberataque sofisticado. Pode ser a perda de uma pen drive com dados de clientes, o envio de um e-mail com informação confidencial para o destinatário errado ou o acesso indevido de um colaborador a uma base de dados. A consequência mais significativa desta definição é a criação de uma obrigação de notificação. Caso a proposta seja aprovada, as organizações terão de notificar a Agência de Protecção de Dados (APD) sobre certas violações, num prazo curto, e, em alguns casos, comunicar também aos próprios titulares dos dados afectados. Isto aumenta a pressão sobre as empresas para terem planos de resposta a incidentes robustos e auditáveis.

O que muda face à Lei n.º 22/11

A Lei n.º 22/11, de 17 de Junho, embora pioneira no contexto angolano, é um diploma de uma geração anterior. A sua abordagem aos conceitos tecnológicos é mais genérica. Embora já classificasse como sensíveis os dados relativos à saúde e à vida privada, não entrava no detalhe da biometria ou da genética, deixando uma zona cinzenta quanto ao nível de protecção exigido.

A maior mudança é a passagem de um regime implícito para um regime explícito. A Lei n.º 22/11 não menciona o termo “perfilagem”, embora as suas práticas pudessem ser enquadradas nos princípios gerais. A minuta, ao definir e regular a perfilagem e as decisões automatizadas, cria um quadro jurídico específico e mais exigente. O mesmo se aplica à violação de dados. A lei actual não estabelece uma obrigação geral de notificação de incidentes à APD, algo que a minuta torna mandatório em situações de risco, alinhando-se com a tendência regulatória global. Esta mudança obriga as organizações a passarem de uma postura reactiva para uma postura de prontidão, com processos documentados para gestão de crises.

Em suma, a proposta de lei substitui a ambiguidade por especificidade. Onde a Lei n.º 22/11 oferece princípios gerais, a minuta fornece regras operacionais concretas. Esta densificação normativa aumenta a segurança jurídica, mas também o nível de exigência para as organizações, que precisarão de um conhecimento mais aprofundado não só da lei, mas também da tecnologia que utilizam.

Exemplos práticos em Angola

Para materializar o impacto destas novas definições, imaginemos dois cenários plausíveis no quotidiano empresarial angolano.

Exemplo 1: Controlo de acessos biométrico numa empresa do sector petrolífero

Uma grande empresa do sector de Oil & Gas em Luanda decide modernizar o seu sistema de controlo de acessos às suas instalações críticas, substituindo os tradicionais cartões por um sistema de reconhecimento de impressão digital. Ao abrigo da Lei n.º 22/11, a empresa já teria de tratar esta informação com cuidado, mas a base legal poderia ser mais fluida. Com a nova minuta, a situação muda. A impressão digital é inequivocamente um dado biométrico e, como tal, um dado sensível.

A empresa terá de garantir que obtém o consentimento explícito dos seus trabalhadores para esta finalidade específica, informando-os claramente sobre como os dados serão armazenados e protegidos. Terá de realizar uma Avaliação de Impacto sobre a Protecção de Dados (AIPD) antes de implementar o sistema, para identificar e mitigar os riscos. Além disso, a segurança do sistema que armazena os padrões biométricos torna-se crítica. Uma violação de dados nesta base de dados seria considerada de alto risco, exigindo notificação urgente à APD e aos trabalhadores afectados, pois as suas impressões digitais, uma vez comprometidas, não podem ser "redefinidas". A governação deste sistema exige prova documental de todas as medidas técnicas e organizativas adoptadas.

Exemplo 2: Perfilagem para concessão de microcrédito num banco comercial

Um banco comercial angolano, com o objectivo de agilizar a sua carteira de microcrédito, implementa um novo sistema de software que toma decisões de crédito de forma totalmente automatizada. O algoritmo analisa o historial de transacções do cliente, a sua idade, a sua localização e outras variáveis para calcular um "score de risco" e aprovar ou recusar o pedido em segundos, sem intervenção de um gestor de conta.

Esta prática é um caso clássico de perfilagem com tomada de decisão automatizada. Sob a nova minuta, o banco não pode simplesmente implementar o sistema. Terá de ser transparente com os seus clientes, informando-os no momento do pedido de crédito que a decisão será tomada por um algoritmo. Mais importante, terá de garantir que o cliente pode contestar a decisão, solicitar uma revisão por um funcionário humano e expressar o seu ponto de vista. O banco precisa de ser capaz de explicar, em termos gerais, a lógica por detrás do seu algoritmo, demonstrando que não é discriminatório. A contratação de um Encarregado de Protecção de Dados (DPO) torna-se fundamental para supervisionar a legalidade e a ética destes processos.

O que isto significa na prática

A introdução destas novas definições na proposta de lei de protecção de dados de Angola é um sinal de maturidade regulatória. Para as organizações, significa que a gestão de dados deixa de ser um tema exclusivamente de TI para se tornar uma preocupação central da governação corporativa, com implicações jurídicas, operacionais e reputacionais. Na prática, as empresas e entidades públicas terão de:

  1. Mapear os seus dados com maior granularidade: Já não basta saber que se tem "dados de clientes". É preciso identificar se, entre eles, existem dados biométricos ou genéticos, pois estes activam obrigações mais estritas.
  2. Rever as bases de legitimidade: O tratamento de dados sensíveis e a perfilagem exigirão uma análise cuidada sobre se o consentimento é necessário e, em caso afirmativo, se está a ser recolhido de forma válida e explícita.
  3. Implementar processos de gestão de incidentes: A obrigação de notificar violações de dados exige que as organizações tenham um plano de resposta claro, que defina o que fazer, quem contactar e como comunicar, tanto interna como externamente. Contactar a equipa certa pode fazer a diferença (contacto).
  4. Garantir transparência e direitos dos titulares: Os sistemas que tomam decisões automatizadas precisam de ser desenhados para permitir a intervenção humana e a contestação. A transparência sobre a lógica dos algoritmos torna-se um pilar da confiança do cliente e do mercado.
  5. Investir em documentação e evidência: A capacidade de demonstrar conformidade — de produzir papel e prova — será a melhor defesa de uma organização perante uma fiscalização da APD ou uma queixa de um titular.

Em última análise, a actualização do vocabulário jurídico não visa travar a inovação, mas sim enquadrá-la. Ao criar regras mais claras para as tecnologias do presente, a minuta da nova lei procura construir um mercado digital mais seguro, transparente e confiável em Angola, onde o risco operacional é gerido de forma proactiva e a protecção de dados é vista como um activo estratégico.

Bibliografia

  • ANGOLA. Minuta da Lei de Protecção de Dados Pessoais. Versão final com contribuições do grupo de trabalho, remetida ao MINTTCS em 14 de Agosto de 2025.
  • ANGOLA. Lei n.º 22/11, de 17 de Junho. Lei da Protecção de Dados Pessoais. Diário da República, Luanda, 2011.
  • UNIÃO EUROPEIA. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (RGPD).
  • UNIÃO AFRICANA. Convenção sobre Cibersegurança e Protecção de Dados Pessoais. Malabo, 2014.

Achou este artigo útil? Partilhe com a sua rede.

Partilhar:

Continue a Leitura

Artigos seleccionados com base no tema e contexto deste conteúdo.

Produzir, fornecer ou operar inteligência artificial deixará de ser juridicamente neutro em Angola?
Guia
11 min

Produzir, fornecer ou operar inteligência artificial deixará de ser juridicamente neutro em Angola?

A minuta distribui responsabilidades ao longo da cadeia de valor da IA — do fornecedor ao integrador, do cliente ao regulador

Marcelo FattoriLer artigo
Que direitos terão os afectados por sistemas de inteligência artificial na proposta angolana?
Guia
11 min

Que direitos terão os afectados por sistemas de inteligência artificial na proposta angolana?

A minuta cria um catálogo de direitos específicos para quem é afectado por decisões de IA — informação, explicação, contestação e intervenção humana

Marcelo FattoriLer artigo
Avaliação de impacto sobre a protecção de dados: porque a minuta a coloca no centro da governação
Guia
11 min

Avaliação de impacto sobre a protecção de dados: porque a minuta a coloca no centro da governação

A avaliação de impacto passa de boa prática a obrigação regulatória — e torna-se ferramenta central de governação e prova de conformidade

Marcelo FattoriLer artigo
Ver todos os artigos

Precisa de apoio especializado?

Se este tema é prioridade na sua organização, ajudamos a transformar intenção em evidência e rotina — sem travar a operação.

Marcar conversaPré‑reunião

Este site utiliza cookies estritamente necessários ao seu funcionamento. Ao continuar a navegar, aceita a utilização destes cookies. Saiba mais