DadosAngola
DadosAngola.co.ao
Protecção de dados desde a concepção e por defeito: o que esta ideia muda no desenho dos sistemas
Voltar ao Blog
Guia10 min de leitura

Protecção de dados desde a concepção e por defeito: o que esta ideia muda no desenho dos sistemas

A minuta exige que a protecção de dados seja incorporada desde o início do ciclo de vida dos sistemas — e não remendada depois

Marcelo Fattori

Fundador & Consultor Principal

17 de março de 2026

Partilhar:

Papel · Prova · Prontidão — Protecção de Dados e Cibersegurança com evidência.

A cultura de desenvolvimento de sistemas e processos em muitas organizações tem sido, historicamente, reactiva. Lançam-se produtos, implementam-se plataformas e, apenas quando surge um problema — uma falha de segurança, uma queixa de um cliente ou uma sanção regulatória — é que se procuram remendos. Esta abordagem, além de dispendiosa e ineficiente, revela-se cada vez mais inadequada num mundo digital onde os dados pessoais são um activo valioso e um vector de risco significativo. A minuta da nova Lei de Protecção de Dados Pessoais, actualmente em apreciação em Angola, propõe uma viragem de 180 graus nesta filosofia, ao consagrar os princípios da protecção de dados desde a concepção (Privacy by Design) e por defeito (Privacy by Default).

Esta não é uma mera sugestão de boas práticas, mas sim uma obrigação jurídica que, caso venha a ser promulgada, forçará as organizações a repensar a forma como criam e gerem os seus sistemas desde a primeira linha de código e o primeiro esboço de um processo. A ideia central é simples e poderosa: a privacidade e a protecção de dados não podem ser um acrescento tardio, uma camada de verniz aplicada sobre um sistema já funcional. Devem ser elementos estruturantes, integrados na arquitectura fundamental de qualquer tecnologia, processo ou modelo de negócio que envolva o tratamento de dados pessoais. Trata-se de uma mudança de paradigma que move o foco da correcção para a prevenção, exigindo uma mentalidade proactiva e uma governação de dados muito mais robusta.

Neste artigo, vamos aprofundar o que esta proposta de actualização legislativa significa, explorando as suas implicações práticas para as empresas em Angola. Analisaremos o que a minuta propõe concretamente, as diferenças face ao regime ainda em vigor da Lei n.º 22/11, e traduziremos estes conceitos para o quotidiano empresarial angolano através de exemplos concretos, desde aplicações móveis a sistemas de recursos humanos. O objectivo é claro: demonstrar como a passagem da reacção para a prevenção não é apenas uma obrigação de conformidade, mas um factor essencial para a gestão de risco, a construção de confiança e a competitividade no mercado.

O que a minuta propõe: A Arquitectura da Prevenção

A proposta de nova lei dedica um artigo específico à protecção de dados desde a concepção e por defeito, estabelecendo um dever claro para o responsável pelo tratamento. Este deve aplicar, tanto no momento da definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas adequadas para garantir e comprovar que os princípios da protecção de dados são respeitados. Esta obrigação é dupla e complementar.

Protecção de Dados desde a Concepção (Privacy by Design) significa que, antes de um sistema ser desenvolvido ou de um novo processo ser implementado, a organização deve realizar uma avaliação de impacto e incorporar controlos de privacidade na sua própria estrutura. Isto pode incluir técnicas como a pseudonimização ou a cifragem de dados, a minimização da recolha de dados ao estritamente necessário para a finalidade, e a implementação de mecanismos que permitam aos titulares exercer os seus direitos de forma simples e eficaz. Em vez de se perguntar "como podemos corrigir este sistema para ser mais seguro?", a pergunta passa a ser "como podemos construir este sistema para que seja inerentemente seguro e respeitador da privacidade?".

Por sua vez, a Protecção de Dados por Defeito (Privacy by Default) foca-se nas configurações padrão. A minuta estabelece que o responsável pelo tratamento deve assegurar que, por defeito, apenas são tratados os dados pessoais que forem necessários para cada finalidade específica. Isto aplica-se à quantidade de dados recolhidos, à extensão do seu tratamento, ao seu prazo de conservação e à sua acessibilidade. Na prática, isto significa que as configurações mais amigas da privacidade devem vir pré-seleccionadas. O utilizador não deve ter de navegar por menus complexos para desactivar a partilha de dados ou a recolha de geolocalização; pelo contrário, estas opções devem vir desactivadas por defeito, exigindo uma acção positiva do titular para as activar.

O Custo da Correcção Tardia vs. o Valor da Prevenção

Uma das justificações mais fortes para esta abordagem é económica e operacional. Corrigir falhas de privacidade num sistema em produção é exponencialmente mais caro e complexo do que desenhá-lo correctamente desde o início. Uma correcção tardia pode implicar a reescrita de código, a reestruturação de bases de dados, a interrupção de serviços e, pior, a perda de confiança de clientes e parceiros. O custo de um incidente de dados, que poderia ter sido evitado com um desenho adequado, não se mede apenas em multas, mas também em dano reputacional, perda de negócio e custos de remediação. A prevenção, embora exija um investimento inicial em planeamento e conhecimento técnico, gera um retorno significativo a longo prazo, resultando em sistemas mais seguros, eficientes e alinhados com as expectativas dos reguladores e do mercado.

O que muda face à Lei n.º 22/11

A Lei n.º 22/11, de 17 de Junho, que ainda rege a protecção de dados em Angola, já contém sementes do princípio da prevenção, mas de forma muito menos explícita e robusta. O seu Artigo 30.º, sobre as "Medidas de segurança", obriga o responsável pelo tratamento a implementar medidas técnicas e organizativas para proteger os dados, mas não articula de forma clara o dever de o fazer "desde a concepção" e "por defeito". A lei actual foca-se mais na segurança dos dados existentes do que na arquitectura preventiva do tratamento em si.

A grande mudança que a minuta introduz é a formalização e a elevação destes conceitos a um princípio jurídico autónomo e vinculativo. Enquanto a Lei n.º 22/11 permite uma interpretação mais reactiva — "tenho dados, logo devo protegê-los" —, a nova proposta impõe uma lógica proactiva — "vou tratar dados, logo devo desenhar o tratamento para que seja seguro e mínimo por natureza". Esta diferença é fundamental. A nova abordagem exige prova e documentação. O responsável pelo tratamento terá de ser capaz de demonstrar à Agência de Protecção de Dados (APD) que ponderou e integrou a privacidade desde a fase de planeamento, e não apenas como uma reacção a um risco identificado posteriormente.

Além disso, a minuta conecta explicitamente estes princípios a outros, como o da minimização dos dados, e a ferramentas como as Avaliações de Impacto sobre a Protecção de Dados (AIPD), que se tornam o mecanismo formal para aplicar o Privacy by Design em tratamentos de alto risco. A Lei n.º 22/11 não prevê um instrumento com a mesma profundidade e objectivo. A mudança é, portanto, de uma obrigação genérica de segurança para um dever específico de engenharia de privacidade, que alinha Angola com as melhores práticas internacionais, como o Regulamento Geral sobre a Protecção de Dados (RGPD) da União Europeia.

Exemplos práticos em Angola

Para tornar estes conceitos mais concretos, vejamos como se aplicariam a dois cenários comuns no tecido empresarial angolano.

Exemplo 1: Desenvolvimento de uma Aplicação Móvel de um Banco

Um banco em Luanda decide lançar uma nova aplicação móvel para os seus clientes. Na abordagem antiga (pós-Lei n.º 22/11), a equipa de desenvolvimento poderia focar-se nas funcionalidades (consultar saldo, fazer transferências) e só mais tarde a equipa de segurança ou jurídica analisaria a aplicação para identificar riscos. Poderiam descobrir, por exemplo, que a app pedia acesso a todos os contactos do telemóvel sem necessidade, ou que guardava o histórico de geolocalização do utilizador por tempo indeterminado.

Com a obrigação de Privacy by Design e by Default, o processo seria diferente. Antes de escrever a primeira linha de código, a equipa multidisciplinar (incluindo gestores de produto, programadores, especialistas em segurança e o Encarregado de Protecção de Dados) teria de se sentar e mapear os fluxos de dados. As perguntas seriam:

  • Quais são os dados estritamente necessários para cada funcionalidade? Para uma transferência, precisamos do IBAN de destino, não do acesso à lista de contactos inteira.
  • Como podemos minimizar os dados? Em vez de guardar a localização exacta, talvez seja suficiente guardar apenas a cidade para análise de fraude.
  • Como garantimos a segurança desde o início? A comunicação com os servidores do banco será cifrada de ponta a ponta? Os dados na aplicação estarão também cifrados?
  • E por defeito? A opção de partilhar dados para fins de marketing virá desactivada. O login biométrico (impressão digital) será uma opção que o utilizador pode activar, e não uma imposição. Apenas as notificações essenciais (como confirmação de transacção) estarão activas por defeito.
Este planeamento preventivo resulta numa aplicação mais segura, que recolhe menos dados e, consequentemente, expõe o banco e os seus clientes a menos riscos, ao mesmo tempo que gera mais confiança.

Exemplo 2: Implementação de um Novo Sistema de Recursos Humanos

Uma grande empresa do sector petrolífero pretende adquirir um novo software de gestão de Recursos Humanos para gerir tudo, desde o recrutamento e processamento salarial até à avaliação de desempenho e controlo de assiduidade por biometria. A tentação poderia ser escolher o sistema mais completo em funcionalidades e adaptá-lo depois.

A abordagem da nova minuta exige uma avaliação prévia rigorosa. A equipa de RH, juntamente com o departamento de TI e jurídico, teria de avaliar os fornecedores com base na sua conformidade com a protecção de dados. O princípio by Design implicaria escolher um sistema que permita uma gestão granular de perfis de acesso — um técnico de RH não precisa de ver os dados de saúde dos funcionários, apenas o departamento médico. O sistema deveria permitir a definição de prazos de retenção automáticos, eliminando dados de candidatos não seleccionados após um período razoável.

O princípio by Default manifestar-se-ia nas configurações iniciais. Por defeito, o acesso a relatórios analíticos sobre os funcionários estaria restrito ao mínimo de pessoas possível. A partilha de dados entre módulos (ex: do módulo de avaliação de desempenho para o de formação) não seria automática, mas sim configurável com base numa finalidade legítima. Ao adoptar esta postura, a empresa não só cumpre uma futura obrigação legal, como mitiga riscos internos de acesso indevido a informação sensível e demonstra um compromisso com a privacidade dos seus colaboradores.

O que isto significa na prática

A consagração da protecção de dados desde a concepção e por defeito na minuta angolana é mais do que uma actualização técnica; é uma declaração de intenções sobre o tipo de economia digital que se pretende construir. Para as organizações, isto significa que a conformidade com a protecção de dados deixa de ser um exercício de "check-list" a cargo exclusivo do departamento jurídico e passa a ser uma responsabilidade transversal, integrada na cultura de inovação e desenvolvimento.

Na prática, as empresas terão de:

  1. Formar as suas equipas: Programadores, gestores de produto, analistas de negócio e equipas de marketing precisam de compreender estes princípios para os poderem aplicar no seu trabalho diário.
  2. Actualizar processos de aquisição: A compra de software e a contratação de fornecedores tecnológicos (incluindo serviços de nuvem) terá de incluir uma avaliação rigorosa das suas características de privacidade (due diligence).
  3. Integrar a privacidade no ciclo de vida do desenvolvimento: Metodologias ágeis (Agile, Scrum) terão de incorporar "histórias de utilizador" focadas em privacidade e segurança em cada sprint.
  4. Documentar para provar: Manter registos das decisões de desenho, das avaliações de impacto e das configurações escolhidas será crucial para demonstrar conformidade com evidência perante a APD.

Em última análise, esta viragem preventiva é um investimento na sustentabilidade do negócio. Empresas que adoptarem esta mentalidade estarão mais bem preparadas para gerir riscos operacionais, evitar sanções, diferenciar-se no mercado e, o mais importante, construir uma relação de confiança duradoura com os seus clientes e colaboradores. Num mercado cada vez mais consciente da importância da privacidade, a capacidade de a garantir desde a concepção não será apenas uma obrigação, mas uma vantagem competitiva decisiva. Se precisar de ajuda para navegar nesta transição, não hesite em entrar em contacto connosco.

Bibliografia

  • ANGOLA. Minuta da Lei de Protecção de Dados Pessoais. Versão final com contribuições do grupo de trabalho, remetida ao MINTTCS em 14 de Agosto de 2025.
  • ANGOLA. Lei n.º 22/11, de 17 de Junho. Lei da Protecção de Dados Pessoais. Diário da República, Luanda, 2011.
  • ANGOLA. Constituição da República de Angola. Luanda, 2010.
  • UNIÃO AFRICANA. Convenção sobre Cibersegurança e Protecção de Dados Pessoais. Malabo, 2014.

Achou este artigo útil? Partilhe com a sua rede.

Partilhar:

Continue a Leitura

Artigos seleccionados com base no tema e contexto deste conteúdo.

As novas definições da minuta: biometria, genética, perfilagem e violação de dados entram no centro da lei
Guia
11 min

As novas definições da minuta: biometria, genética, perfilagem e violação de dados entram no centro da lei

O vocabulário jurídico da minuta actualiza-se para regular a realidade tecnológica — e isso muda a forma como as organizações tratam dados em Angola

Marcelo FattoriLer artigo
Apagamento, limitação e portabilidade: os novos direitos que reforçam o poder do titular
Guia
11 min

Apagamento, limitação e portabilidade: os novos direitos que reforçam o poder do titular

A minuta amplia o catálogo de direitos dos titulares de dados — e obriga as organizações a criar canais, registos e rotinas de resposta

Marcelo FattoriLer artigo
Produzir, fornecer ou operar inteligência artificial deixará de ser juridicamente neutro em Angola?
Guia
11 min

Produzir, fornecer ou operar inteligência artificial deixará de ser juridicamente neutro em Angola?

A minuta distribui responsabilidades ao longo da cadeia de valor da IA — do fornecedor ao integrador, do cliente ao regulador

Marcelo FattoriLer artigo
Ver todos os artigos

Precisa de apoio especializado?

Se este tema é prioridade na sua organização, ajudamos a transformar intenção em evidência e rotina — sem travar a operação.

Marcar conversaPré‑reunião