DadosAngola
DadosAngola.co.ao
Produzir, fornecer ou operar inteligência artificial deixará de ser juridicamente neutro em Angola?
Voltar ao Blog
Guia11 min de leitura

Produzir, fornecer ou operar inteligência artificial deixará de ser juridicamente neutro em Angola?

A minuta distribui responsabilidades ao longo da cadeia de valor da IA — do fornecedor ao integrador, do cliente ao regulador

Marcelo Fattori

Fundador & Consultor Principal

17 de março de 2026

Partilhar:

Papel · Prova · Prontidão — Protecção de Dados e Cibersegurança com evidência.

A inteligência artificial (IA) deixou de ser uma promessa futurista para se tornar uma ferramenta presente no quotidiano das organizações em Angola, desde a análise de crédito na banca à optimização de redes nas telecomunicações. Contudo, a sua adopção massiva tem ocorrido num ambiente de relativa neutralidade jurídica, onde a responsabilidade por danos ou violações de direitos causados por sistemas autónomos é frequentemente diluída e de difícil atribuição. Este cenário está prestes a mudar de forma estrutural com a proposta de actualização da lei de protecção de dados pessoais, actualmente em apreciação, que promete uma viragem na forma como o mercado encara a responsabilidade tecnológica.

A minuta da nova lei angolana de protecção de dados afasta-se da abordagem generalista da legislação anterior e passa a prever, de forma explícita, uma distribuição de responsabilidades ao longo de toda a cadeia de valor da inteligência artificial. A proposta legislativa reconhece que um sistema de IA não é uma entidade monolítica, mas sim o resultado de um ecossistema complexo que envolve quem o produz, quem o fornece, quem o integra em sistemas existentes e quem o opera no dia-a-dia. Esta visão granular é fundamental para garantir que a inovação tecnológica ocorra de forma segura, ética e juridicamente responsável, alinhando Angola com as melhores práticas internacionais.

Este artigo analisa em profundidade como a minuta pretende desconstruir a aparente neutralidade jurídica da IA em Angola. Exploraremos as novas obrigações que recaem sobre fornecedores, integradores e clientes, o papel crucial das cláusulas contratuais na delimitação de deveres, e a importância da auditoria e da governação como instrumentos de prova e de mitigação de risco. O objectivo é claro: criar um quadro de confiança onde a responsabilidade é clara, partilhada e verificável, desde a concepção do algoritmo até à sua aplicação prática no mercado angolano.

O que a minuta propõe: Uma cadeia de responsabilidade partilhada

A grande viragem conceptual que a minuta da nova lei de protecção de dados propõe é o fim da ideia de que a tecnologia, por si só, é neutra. Em matéria de inteligência artificial, o texto pré-legislativo estabelece uma cadeia de responsabilidade que interliga os vários actores envolvidos no ciclo de vida de um sistema de IA. A lógica subjacente é que cada interveniente, na medida da sua actuação, contribui para o risco e, como tal, deve partilhar o ónus da conformidade e da segurança. Esta abordagem visa preencher as lacunas que permitem que, hoje, a responsabilidade se dissipe entre o criador do algoritmo, o fornecedor da plataforma e a empresa que o utiliza.

A proposta distribui os deveres da seguinte forma:

  • Fornecedores e Desenvolvedores: A responsabilidade começa na origem. Quem desenvolve um sistema de IA, de acordo com a minuta, terá o dever de garantir que o mesmo é concebido com base nos princípios da protecção de dados desde a concepção e por defeito (privacy by design and by default). Isto implica uma obrigação de transparência sobre os dados utilizados para treinar os algoritmos, a lógica de funcionamento das decisões automatizadas e a implementação de medidas técnicas que permitam ao cliente final cumprir as suas próprias obrigações legais.
  • Integradores: Muitas vezes, as empresas não adquirem uma solução de IA “pronta a usar”, mas contratam um integrador para a adaptar aos seus sistemas e processos internos. A minuta reconhece este papel e atribui-lhe uma responsabilidade específica. O integrador será responsável por garantir que a adaptação e a implementação do sistema de IA no ambiente do cliente não criam novas vulnerabilidades nem desvirtuam as garantias de protecção de dados oferecidas pelo fornecedor original.
  • Clientes e Operadores: A organização que utiliza o sistema de IA para uma finalidade concreta (como recrutamento, análise de risco de crédito ou diagnóstico médico) permanece como a principal responsável pelo tratamento dos dados perante os titulares. A minuta reforça que a contratação de um sistema de IA não é uma externalização da responsabilidade. O cliente tem o dever de escolher fornecedores e soluções conformes, de compreender o seu funcionamento, de realizar avaliações de impacto sobre a protecção de dados e de garantir que o uso do sistema é legítimo, proporcional e transparente para os cidadãos.

Para materializar esta cadeia de responsabilidade, a minuta enfatiza a importância das cláusulas contratuais. Os contratos entre fornecedores, integradores e clientes deverão especificar claramente as obrigações de cada parte, os níveis de serviço em matéria de segurança, os procedimentos em caso de incidentes e as garantias de acesso, auditoria e controlo. A governação e a auditoria tornam-se, assim, ferramentas essenciais não apenas de gestão interna, mas de prova jurídica perante a Agência de Protecção de Dados (APD) e os tribunais.

O que muda face à Lei n.º 22/11

A Lei n.º 22/11, de 17 de Junho, embora pioneira, foi concebida numa era em que a inteligência artificial não tinha a centralidade que tem hoje. Como tal, a sua abordagem é genérica e assenta primariamente na figura do “responsável pelo tratamento”, sem detalhar as nuances da cadeia de fornecimento tecnológico. A lei vigente não distingue claramente entre quem cria uma tecnologia e quem a utiliza, tratando a responsabilidade como um bloco quase indivisível que recai sobre a entidade que determina as finalidades e os meios do tratamento de dados.

A principal mudança introduzida pela minuta é a granularidade. Enquanto a Lei n.º 22/11 se concentra no “quem” (o responsável pelo tratamento), a nova proposta foca-se no “como” e no “através de quê”, reconhecendo que os meios tecnológicos modernos, especialmente a IA, são complexos e envolvem múltiplos actores. A minuta cria um regime de co-responsabilização de facto, mesmo que não o nomeie sempre como tal, ao atribuir deveres específicos a fornecedores e integradores que a lei actual não prevê. Por exemplo, a obrigação de privacy by design para um desenvolvedor de software de IA é uma novidade absoluta face ao regime de 2011.

Outra diferença fundamental reside na ênfase dada à contratualização e à auditoria. A Lei n.º 22/11 aborda a subcontratação de forma mais simples, exigindo um contrato e a garantia de que o subcontratado oferece medidas de segurança suficientes. A minuta vai muito além, sugerindo que os contratos na cadeia de valor da IA devem ser instrumentos detalhados de governação e alocação de responsabilidades. A possibilidade de auditar fornecedores e integradores, implícita na nova proposta, reforça o poder do cliente e a sua capacidade de demonstrar a devida diligência na escolha e gestão das suas ferramentas tecnológicas, um aspecto que a lei actual não desenvolve com esta profundidade.

Em suma, se a Lei n.º 22/11 estabelece o princípio geral de que quem usa os dados é responsável, a minuta vem dizer que quem cria, fornece e adapta as ferramentas para esse uso também tem uma quota-parte significativa de responsabilidade, transformando a conformidade num esforço colaborativo e contratualmente regulado ao longo de toda a cadeia tecnológica.

Exemplos práticos em Angola

Para compreender o alcance prático desta nova abordagem à responsabilidade, vejamos dois cenários concretos no contexto empresarial angolano.

Exemplo 1: Um banco angolano implementa um sistema de IA para análise de risco de crédito

Um grande banco em Luanda decide automatizar a sua análise de risco para a concessão de crédito ao consumo. Para tal, contrata uma fintech internacional que fornece uma plataforma de IA que analisa o perfil do cliente com base em centenas de variáveis. A integração da plataforma nos sistemas do banco é feita por uma consultora tecnológica local.

  • Ao abrigo da Lei n.º 22/11: A responsabilidade recairia quase exclusivamente sobre o banco como responsável pelo tratamento. Se o algoritmo se revelasse discriminatório ou tomasse decisões incorrectas com base em dados enviesados, seria o banco a responder perante a APD e os clientes, com pouca margem para responsabilizar formalmente o fornecedor da fintech, a menos que houvesse uma falha contratual muito evidente.
  • Com a nova minuta: A responsabilidade seria partilhada. A fintech (fornecedor) teria a obrigação de demonstrar que o seu algoritmo foi treinado com dados representativos e não discriminatórios e de fornecer ao banco toda a documentação sobre a sua lógica. A consultora (integradora) seria responsável por garantir que, ao ligar a plataforma ao sistema de clientes do banco, não introduziu falhas de segurança. O banco (cliente) continuaria a ser o principal responsável perante o titular, mas teria agora uma base jurídica sólida para exigir responsabilidades aos seus parceiros tecnológicos e para demonstrar à APD que adoptou uma postura de devida diligência ao longo de todo o processo, desde a conformidade com evidência até à gestão de risco.

Exemplo 2: Uma empresa petrolífera adopta IA para monitorização de segurança no local de trabalho

Uma empresa do sector petrolífero, para cumprir requisitos de segurança e saúde no trabalho, instala um sistema de videovigilância inteligente que utiliza IA para detectar automaticamente comportamentos de risco ou a não utilização de equipamento de protecção individual (EPI). O sistema é fornecido por uma empresa estrangeira e a sua gestão diária é operada pela equipa de segurança da petrolífera.

  • Ao abrigo da Lei n.º 22/11: A petrolífera seria a única responsável pelo tratamento dos dados biométricos e de imagem dos seus trabalhadores. Qualquer recolha excessiva de dados ou falha na segurança da plataforma seria da sua inteira responsabilidade.
  • Com a nova minuta: A empresa fornecedora do sistema de IA teria a obrigação de o ter concebido de forma a minimizar a recolha de dados (ex: desfocando rostos quando não estritamente necessário) e de garantir a segurança da plataforma contra acessos não autorizados. A petrolífera, por sua vez, teria de realizar uma avaliação de impacto sobre a protecção de dados antes de implementar o sistema, justificar a sua necessidade e proporcionalidade, e informar claramente os trabalhadores. A responsabilidade pela segurança da infraestrutura seria contratualmente partilhada, permitindo uma fiscalização mais eficaz e uma melhor protecção dos direitos dos trabalhadores, alinhada com serviços como o DPO as a Service para garantir uma supervisão independente e uma resposta atempada a incidentes e continuidade.

O que isto significa na prática

A proposta de responsabilização em cadeia para sistemas de IA, caso venha a ser promulgada, terá consequências profundas e imediatas para o mercado tecnológico e empresarial em Angola. A neutralidade jurídica deixa de ser uma opção, e a conformidade passa a ser um exercício de governação partilhada e documentada. Na prática, isto significa que:

  1. As compras públicas e a contratação tecnológica privada mudarão: O Estado e as empresas privadas terão de adoptar cadernos de encargos e processos de due diligence muito mais rigorosos na aquisição de tecnologia de IA. A avaliação de um fornecedor não se baseará apenas no preço e na funcionalidade, mas também na sua maturidade em matéria de protecção de dados, na transparência dos seus algoritmos e na sua capacidade de oferecer garantias contratuais robustas.
  2. A documentação e a auditoria tornam-se centrais: A máxima “o que não está documentado, não existe” ganhará uma nova dimensão. Fornecedores, integradores e clientes terão de manter registos detalhados das suas decisões, configurações e medidas de segurança. A capacidade de auditar a cadeia de fornecimento tecnológico será um factor crítico de gestão de risco e de prova perante a APD.
  3. Aumenta a necessidade de competências multidisciplinares: A avaliação e gestão de sistemas de IA exigirá equipas que combinem conhecimento jurídico, técnico e de negócio. Advogados, engenheiros de software e gestores de risco terão de colaborar de forma estreita para navegar este novo paradigma. A procura por consultoria especializada, que pode ser iniciada através de um simples contacto ou de uma pré-reunião, irá certamente aumentar.
  4. O mercado tenderá a profissionalizar-se: Fornecedores que invistam em transparência, segurança e conformidade terão uma vantagem competitiva. A longo prazo, a nova regulação poderá afastar do mercado angolano os actores que oferecem soluções opacas, inseguras ou que não estão dispostos a partilhar responsabilidades, promovendo um ecossistema tecnológico mais saudável e confiável.

Em última análise, a abordagem da minuta reflecte uma compreensão madura de que a confiança no digital não se decreta, constrói-se. E essa construção, no domínio da inteligência artificial, exige que cada elo da cadeia — do código à decisão final — seja visível, responsável e auditável. A era da inocência tecnológica está a chegar ao fim; a era da responsabilidade partilhada e com evidência está a começar. Para mais detalhes sobre a proposta, consulte os nossos recursos sobre a nova lei de protecção de dados.

Bibliografia

  • ANGOLA. Minuta da Lei de Protecção de Dados Pessoais. Versão final com contribuições do grupo de trabalho, remetida ao MINTTCS em 14 de Agosto de 2025.
  • ANGOLA. Lei n.º 22/11, de 17 de Junho. Lei da Protecção de Dados Pessoais. Diário da República, Luanda, 2011.
  • ANGOLA. Constituição da República de Angola.
  • UNIÃO AFRICANA. Convenção sobre Cibersegurança e Protecção de Dados Pessoais. Malabo, 2014. Disponível em: https://dadosangola.co.ao/blog/convencao-malabo-base-continental-ciberseguranca-proteccao-dados-africa.

Achou este artigo útil? Partilhe com a sua rede.

Partilhar:

Continue a Leitura

Artigos seleccionados com base no tema e contexto deste conteúdo.

Que direitos terão os afectados por sistemas de inteligência artificial na proposta angolana?
Guia
11 min

Que direitos terão os afectados por sistemas de inteligência artificial na proposta angolana?

A minuta cria um catálogo de direitos específicos para quem é afectado por decisões de IA — informação, explicação, contestação e intervenção humana

Marcelo FattoriLer artigo
O que as empresas em Angola já podem fazer desde já, sem confundir a minuta com lei em vigor
Guia
12 min

O que as empresas em Angola já podem fazer desde já, sem confundir a minuta com lei em vigor

A minuta ainda não é lei — mas isso não impede que as organizações comecem a preparar-se com prudência, método e visão de longo prazo

Marcelo FattoriLer artigo
Protecção de dados desde a concepção e por defeito: o que esta ideia muda no desenho dos sistemas
Guia
10 min

Protecção de dados desde a concepção e por defeito: o que esta ideia muda no desenho dos sistemas

A minuta exige que a protecção de dados seja incorporada desde o início do ciclo de vida dos sistemas — e não remendada depois

Marcelo FattoriLer artigo
Ver todos os artigos

Precisa de apoio especializado?

Se este tema é prioridade na sua organização, ajudamos a transformar intenção em evidência e rotina — sem travar a operação.

Marcar conversaPré‑reunião

Este site utiliza cookies estritamente necessários ao seu funcionamento. Ao continuar a navegar, aceita a utilização destes cookies. Saiba mais