DadosAngola
DadosAngola.co.ao
Segurança dos dados pessoais na minuta angolana: da cláusula genérica à obrigação operacional
Voltar ao Blog
Guia11 min de leitura

Segurança dos dados pessoais na minuta angolana: da cláusula genérica à obrigação operacional

A minuta transforma a segurança de dados de uma referência abstracta numa obrigação concreta — com medidas técnicas e organizativas documentáveis

Marcelo Fattori

Fundador & Consultor Principal

17 de março de 2026

Partilhar:

Papel · Prova · Prontidão — Protecção de Dados e Cibersegurança com evidência.

A proposta de actualização da Lei de Protecção de Dados Pessoais em Angola representa uma mudança de paradigma fundamental na forma como as organizações devem encarar a segurança da informação. Se a lei actualmente em vigor, a Lei n.º 22/11, de 17 de Junho, estabelece um dever genérico de protecção, a minuta em apreciação eleva a fasquia, transformando a segurança de dados de uma referência abstracta numa obrigação concreta, detalhada e, acima de tudo, auditável. A nova abordagem exige não apenas a implementação de controlos, mas a sua formalização, documentação e demonstração contínua, alinhando Angola com as melhores práticas internacionais, como o RGPD europeu.

Esta transição reflecte uma compreensão madura de que, na economia digital, a confiança não se decreta, constrói-se com base em evidências. A segurança dos dados pessoais deixa de ser um tema exclusivamente técnico, confinado aos departamentos de TI, para se tornar uma preocupação central da governação corporativa. A minuta exige que os responsáveis pelo tratamento e os seus subcontratados adoptem “medidas técnicas e organizativas adequadas” para assegurar um nível de segurança ajustado ao risco. Esta linguagem, aparentemente simples, esconde uma complexidade operacional significativa: as medidas devem ser apropriadas, o que implica uma análise de risco prévia, e devem ser documentáveis, o que exige a criação e manutenção de um corpo de políticas e procedimentos robusto.

A mensagem do legislador é clara: não basta proteger, é preciso provar que se protege. A prontidão para demonstrar a conformidade perante a Agência de Protecção de Dados (APD) ou em resposta a um incidente de segurança torna-se um factor crítico de sucesso. Para as empresas angolanas, isto significa que a segurança da informação passará a ser um pilar do risco operacional e da reputação no mercado, com implicações directas na sua capacidade de competir, inovar e manter a confiança dos seus clientes, colaboradores e parceiros.

O que a minuta propõe: A materialização da segurança

A grande novidade da minuta reside na sua abordagem prescritiva e baseada em risco para a segurança dos dados. O texto detalha um conjunto de obrigações que forçam as organizações a ir além das intenções e a materializar a segurança em processos e tecnologias concretas. A proposta abandona a generalidade da lei actual e especifica que as medidas técnicas e organizativas devem ser capazes de assegurar, de forma permanente, a “confidencialidade, integridade, disponibilidade e resiliência dos sistemas e dos serviços de tratamento”.

Para alcançar este objectivo, a minuta sugere um leque de controlos específicos que se tornam, na prática, o novo padrão de diligência esperado. Entre eles, destacam-se:

  • Classificação da Informação: A base de uma estratégia de segurança sólida é saber o que se está a proteger. A minuta implicitamente exige que as organizações classifiquem os dados pessoais que tratam em função da sua sensibilidade e do risco associado. Dados de saúde, biométricos ou financeiros, por exemplo, exigirão um nível de protecção muito superior a um simples endereço de correio electrónico. Esta classificação é o ponto de partida para definir políticas de acesso, armazenamento e transmissão adequadas.

  • Cifragem e Pseudonimização: A proposta menciona explicitamente a “cifragem dos dados pessoais” como uma das medidas a considerar. Isto significa que a encriptação, tanto em repouso (nos servidores e bases de dados) como em trânsito (nas comunicações de rede), deixa de ser uma opção para se tornar uma expectativa. A pseudonimização, que consiste em substituir os identificadores directos por pseudónimos, é também apresentada como uma técnica valiosa para reduzir os riscos.

  • Gestão de Acessos e Segmentação: O controlo de quem acede a quê é um pilar da segurança. A minuta reforça a necessidade de políticas de controlo de acesso baseadas no princípio da “necessidade de conhecer”. Isto implica a utilização de mecanismos de autenticação robustos, como palavras-passe complexas e, idealmente, autenticação multifactorial. A segmentação das redes e sistemas, que isola os dados mais sensíveis em ambientes protegidos, torna-se uma arquitectura de defesa essencial para conter o impacto de um eventual incidente.

  • Auditorias e Testes Regulares: A segurança não é um projecto com início, meio e fim; é um processo contínuo de melhoria. A minuta estabelece a obrigação de “testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas”. Isto traduz-se na necessidade de realizar auditorias de segurança periódicas, testes de penetração (pentests) e análises de vulnerabilidades para identificar e corrigir falhas antes que estas possam ser exploradas por atacantes.

Esta abordagem detalhada força as organizações a adoptar uma postura proactiva. A segurança deixa de ser reactiva, actuando apenas após um incidente, para se tornar preventiva e baseada na gestão contínua do risco.

O que muda face à Lei n.º 22/11

O contraste com a Lei n.º 22/11, de 17 de Junho, é notório. O artigo 31.º da lei vigente, sob a epígrafe “Segurança do tratamento”, estabelece que o responsável pelo tratamento “deve pôr em prática as medidas técnicas e organizativas adequadas para proteger os dados pessoais contra a destruição, acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizados”. Embora o espírito da norma seja protector, a sua formulação é genérica e carece de densidade operacional.

A Lei n.º 22/11 não oferece um roteiro claro sobre quais medidas são consideradas “adequadas”, deixando uma margem de interpretação demasiado ampla para as organizações. Esta falta de especificidade resulta, muitas vezes, numa abordagem minimalista à segurança, onde apenas os controlos mais básicos são implementados. A lei actual não menciona explicitamente conceitos como cifragem, testes de penetração, gestão de vulnerabilidades ou a necessidade de garantir a resiliência dos sistemas.

A minuta, pelo contrário, preenche esta lacuna. Ao detalhar um conjunto de controlos e princípios, como os mencionados anteriormente, ela fornece um referencial claro para a actuação das empresas e para a fiscalização por parte da Agência de Protecção de Dados. A mudança mais significativa é a passagem de uma obrigação de meios (fazer o possível para proteger) para uma obrigação de resultado demonstrável (implementar medidas eficazes e ser capaz de o provar).

Outra diferença crucial reside na responsabilização. A minuta, alinhada com o princípio da accountability, exige que o responsável pelo tratamento seja capaz de demonstrar a sua conformidade. Isto significa que o ónus da prova recai sobre a organização. Em caso de fiscalização ou de um incidente de segurança, não bastará afirmar que se tomaram medidas; será preciso apresentar as políticas, os registos de auditoria, os relatórios de testes e toda a documentação que comprove a diligência na protecção dos dados. Esta exigência de “papel e prova” é praticamente inexistente na lei actual, o que representa um salto qualitativo na cultura de governação de dados em Angola.

Exemplos práticos em Angola

Para traduzir estes conceitos em cenários concretos do quotidiano empresarial angolano, imaginemos duas situações distintas que ilustram a aplicação das novas obrigações de segurança.

Exemplo 1: Uma operadora de telecomunicações

Uma das maiores operadoras de telecomunicações em Angola trata um volume colossal de dados pessoais, incluindo registos de chamadas, dados de localização, informação de facturação e dados de identificação de milhões de clientes. Com a entrada em vigor da nova lei, a sua abordagem à segurança teria de ser radicalmente transformada. A operadora seria obrigada a realizar uma classificação rigorosa dos seus dados, identificando, por exemplo, os dados de tráfego e localização como altamente sensíveis. Para proteger esta informação, a cifragem das bases de dados onde estes registos são armazenados passaria a ser um requisito não negociável. O acesso a estes sistemas seria restrito a um número mínimo de funcionários, com autenticação de dois factores e registo detalhado de todas as actividades (logs). A segmentação da rede seria crucial para isolar a infra-estrutura crítica que processa os dados dos clientes dos sistemas corporativos gerais, como o email. Regularmente, a operadora teria de contratar entidades externas para realizar auditorias de segurança e testes de penetração, cujos relatórios seriam parte integrante da sua documentação de conformidade, prontos a serem apresentados à APD se solicitados. A implementação de um serviço de DPO as a Service poderia ajudar a estruturar e a manter este programa de segurança.

Exemplo 2: Um grande grupo empresarial com múltiplas filiais

Consideremos um conglomerado angolano com operações em sectores diversos como a construção, o retalho e a indústria. Este grupo possui um sistema centralizado de Recursos Humanos que processa os dados de milhares de colaboradores, incluindo salários, avaliações de desempenho, dados de saúde para seguros e, em alguns casos, dados biométricos para controlo de acessos. A minuta exigiria que o grupo tratasse este sistema como uma “jóia da coroa”. A política de palavras-passe teria de ser reforçada, com requisitos de complexidade, rotação periódica e bloqueio após tentativas falhadas. O acesso aos dados salariais e de saúde seria estritamente limitado ao pessoal autorizado dos RH e da direcção, com perfis de acesso distintos. A base de dados central teria de ser cifrada e os backups, também cifrados, armazenados num local seguro e isolado. Para uma empresa com múltiplas filiais, a segmentação da rede impediria que um incidente de segurança numa das subsidiárias se alastrasse e comprometesse o sistema central de RH. Anualmente, o grupo teria de realizar uma avaliação de impacto sobre a protecção de dados para este sistema e auditar os seus controlos, demonstrando uma abordagem de conformidade com evidência.

O que isto significa na prática

Na prática, a proposta de actualização da lei de protecção de dados eleva a segurança da informação a uma função estratégica e de governação. As implicações para as organizações em Angola são profundas e multifacetadas:

  1. O Fim da Segurança por Intuição: As decisões sobre segurança deixarão de poder ser baseadas em “achismos” ou na simples preferência por uma tecnologia. Terão de ser fundamentadas numa análise de risco documentada, que identifique as ameaças, as vulnerabilidades e o impacto potencial sobre os direitos e liberdades dos titulares dos dados.

  2. O Investimento Torna-se Obrigatório e Justificável: A segurança deixará de ser vista como um custo para ser encarada como um investimento na resiliência e na confiança do negócio. A necessidade de implementar controlos como cifragem, sistemas de detecção de intrusão e realizar auditorias regulares cria uma justificação clara para os orçamentos de cibersegurança perante a gestão de topo.

  3. A Documentação é a Chave da Prova: As organizações terão de criar e manter um corpo documental robusto, incluindo políticas de segurança, procedimentos de resposta a incidentes, relatórios de auditoria e registos de formação. Este “dossier de conformidade” será a principal ferramenta para demonstrar diligência à APD e para gerir o risco legal e reputacional. Em caso de dúvida, o contacto com especialistas através de um formulário de contacto pode ser um primeiro passo.

  4. A Segurança como Vantagem Competitiva: Num mercado cada vez mais digital, as empresas que conseguirem demonstrar um compromisso sério com a segurança dos dados terão uma vantagem competitiva. A conformidade com a nova lei de protecção de dados será um selo de confiança que atrairá clientes e parceiros de negócio, especialmente em transacções internacionais.

A passagem de uma cláusula genérica para uma obrigação operacional detalhada é, em suma, o reconhecimento de que a protecção de dados é indissociável da cibersegurança. A minuta força as organizações angolanas a adoptar uma cultura de “segurança por desenho e por defeito” (security by design and by default), onde a protecção é pensada desde o início de qualquer novo projecto ou sistema, e não como uma camada superficial aplicada no final. É uma mudança exigente, mas indispensável para a construção de uma economia digital robusta e confiável em Angola.

Bibliografia

  • ANGOLA. Lei n.º 22/11, de 17 de Junho. Lei da Protecção de Dados Pessoais. Diário da República, Luanda, 2011.
  • ANGOLA. Minuta da Lei de Protecção de Dados Pessoais. Versão final com contribuições do grupo de trabalho, remetida ao MINTTCS em 14 de Agosto de 2025.
  • AGÊNCIA DE PROTECÇÃO DE DADOS. Circular n.º 002/24 sobre notificação de acidentes e incidentes informáticos. Luanda: APD, 2024.
  • UNIÃO AFRICANA. Convenção sobre Cibersegurança e Protecção de Dados Pessoais. Malabo: União Africana, 2014.

Achou este artigo útil? Partilhe com a sua rede.

Partilhar:

Continue a Leitura

Artigos seleccionados com base no tema e contexto deste conteúdo.

Produzir, fornecer ou operar inteligência artificial deixará de ser juridicamente neutro em Angola?
Guia
11 min

Produzir, fornecer ou operar inteligência artificial deixará de ser juridicamente neutro em Angola?

A minuta distribui responsabilidades ao longo da cadeia de valor da IA — do fornecedor ao integrador, do cliente ao regulador

Marcelo FattoriLer artigo
Apagamento, limitação e portabilidade: os novos direitos que reforçam o poder do titular
Guia
11 min

Apagamento, limitação e portabilidade: os novos direitos que reforçam o poder do titular

A minuta amplia o catálogo de direitos dos titulares de dados — e obriga as organizações a criar canais, registos e rotinas de resposta

Marcelo FattoriLer artigo
Que direitos terão os afectados por sistemas de inteligência artificial na proposta angolana?
Guia
11 min

Que direitos terão os afectados por sistemas de inteligência artificial na proposta angolana?

A minuta cria um catálogo de direitos específicos para quem é afectado por decisões de IA — informação, explicação, contestação e intervenção humana

Marcelo FattoriLer artigo
Ver todos os artigos

Precisa de apoio especializado?

Se este tema é prioridade na sua organização, ajudamos a transformar intenção em evidência e rotina — sem travar a operação.

Marcar conversaPré‑reunião

Este site utiliza cookies estritamente necessários ao seu funcionamento. Ao continuar a navegar, aceita a utilização destes cookies. Saiba mais