Information Security Policy (Portugal)

A Política de Segurança da Informação é o documento empresarial celebrado em Portugal ao abrigo de Regulamento (UE) 2016/679 (RGPD) artigo 32.º.

O regime português da segurança da informação assenta em três planos. O primeiro é o do RGPD, diretamente aplicável: o artigo 32.º exige medidas técnicas e organizativas adequadas para garantir nível de segurança proporcional ao risco, considerando a pseudonimização, encriptação, confidencialidade, integridade, disponibilidade e resiliência dos sistemas. O artigo 33.º exige notificação à autoridade de controlo (CNPD) em 72 horas após o conhecimento de violação de dados pessoais, e o artigo 34.º exige comunicação aos titulares quando a violação implique risco elevado.

O segundo plano é o da cibersegurança nacional. A Lei nº 46/2018 transpôs a Diretiva NIS (UE) 2016/1148 e estabeleceu o quadro institucional liderado pelo Centro Nacional de Cibersegurança (CNCS) integrado no Gabinete Nacional de Segurança. A Lei aplica-se a operadores de serviços essenciais (OSE) — energia, transportes, banca supervisionada pelo Banco de Portugal, saúde, abastecimento de água, infraestruturas digitais — e a prestadores de serviços digitais (PSD) — mercados em linha, motores de pesquisa, serviços de computação em nuvem. A transposição da Diretiva NIS 2 (UE) 2022/2555 alarga substancialmente o âmbito subjetivo e os deveres aplicáveis.

O terceiro plano é o sectorial. As instituições de crédito supervisionadas pelo Banco de Portugal estão sujeitas ao Aviso do BdP sobre risco operacional e à regulamentação da Autoridade Bancária Europeia (EBA). As entidades supervisionadas pela Comissão do Mercado de Valores Mobiliários (CMVM) cumprem o regime do Código dos Valores Mobiliários (Decreto-Lei nº 486/99) e os regulamentos europeus DORA (Regulamento (UE) 2022/2554) sobre resiliência operacional digital. As entidades de saúde cumprem normas específicas sobre confidencialidade do segredo médico nos termos do Código Deontológico da Ordem dos Médicos e do Código Penal.

A Comissão Nacional de Proteção de Dados (CNPD), enquanto autoridade de supervisão portuguesa nos termos do artigo 51.º do RGPD e da Lei nº 58/2019 de 8 de Agosto, pode aplicar coimas administrativas até 20 milhões de euros ou 4% do volume de negócios anual mundial nos termos do artigo 83.º do RGPD por violações do dever de segurança. A CNPD tem aplicado coimas elevadas em casos de fuga massiva de dados por exposição de bases de dados não encriptadas, ataques de ransomware com dados pessoais comprometidos, e ausência de medidas mínimas de controlo de acessos.

A Política de Segurança da Informação em Portugal articula-se com a Política de Proteção de Dados, com a Política de Utilização Aceitável de Sistemas Informáticos, com o Plano de Continuidade de Negócio (Business Continuity Plan), com o Plano de Recuperação de Desastres (Disaster Recovery Plan), e com os procedimentos operacionais de gestão de incidentes (CSIRT — Computer Security Incident Response Team). A integração destes instrumentos é elemento determinante da maturidade do sistema e da defesa em sede de fiscalização do CNCS, da CNPD ou do supervisor sectorial.

A Política de Segurança da Informação em Portugal cumpre, em conjugação com o conjunto de instrumentos referidos, três funções jurídicas autónomas: vincula internamente todos os colaboradores e prestadores externos a regras de conduta exigíveis em sede disciplinar nos termos do Código do Trabalho aprovado pela Lei nº 7/2009; constitui prova do cumprimento do dever de segurança do artigo 32.º do RGPD perante a CNPD em sede de fiscalização; e estabelece o quadro de governança para gestão de incidentes, comunicação aos titulares e cooperação com autoridades como a CNPD, o CNCS, a Polícia Judiciária e o Departamento Central de Investigação e Ação Penal (DCIAP) em casos de cibercrime.

A Política de Segurança da Informação em Portugal é exigida em todas as entidades, públicas ou privadas, que tratem dados pessoais ao abrigo do Regulamento (UE) 2016/679 (RGPD) — o que abrange praticamente todas as empresas com colaboradores, clientes ou fornecedores identificáveis. A obrigação resulta diretamente do artigo 32.º do RGPD, complementado pela Lei nº 58/2019 de 8 de Agosto e pela Lei nº 46/2018 sobre cibersegurança.

A política é essencial em qualquer entidade qualificada como operador de serviços essenciais (OSE) ao abrigo da Lei nº 46/2018. Estão abrangidos os operadores no sector da energia (eletricidade supervisionada pela Entidade Reguladora dos Serviços Energéticos — ERSE, gás, petróleo), transportes (aéreo, marítimo, ferroviário, rodoviário), banca supervisionada pelo Banco de Portugal, infraestruturas dos mercados financeiros supervisionados pela CMVM, saúde, abastecimento e distribuição de água sob supervisão da Entidade Reguladora dos Serviços de Águas e Resíduos (ERSAR), e infraestruturas digitais (pontos de troca de Internet IXP, prestadores de serviços DNS, registos de TLD).

A política torna-se obrigatória nos termos da Diretiva NIS 2 (UE) 2022/2555 para entidades essenciais e importantes em sectores ampliados — administração pública, gestão de resíduos, fabricação de produtos químicos, alimentação, fabricação industrial, serviços postais, prestadores de serviços de cloud, plataformas online de larga dimensão. A transposição em Portugal alarga as obrigações de governance, gestão de risco, comunicação de incidentes e cooperação internacional.

A política é exigida em qualquer projeto de transformação digital — migração para cloud com fornecedores como Microsoft Azure, Amazon Web Services, Google Cloud Platform; implementação de plataformas SaaS; integração com APIs de terceiros; adoção de soluções de inteligência artificial. A avaliação de impacto sobre proteção de dados (DPIA) ao abrigo do artigo 35.º do RGPD é frequentemente obrigatória nestes contextos, e a Política de Segurança constitui referência indispensável das medidas adotadas.

A política é necessária na fase de preparação para auditoria externa. A certificação ISO/IEC 27001 emitida por organismo acreditado pelo Instituto Português de Acreditação (IPAC) exige sistema de gestão de segurança da informação documentado, com política aprovada pela direção. A certificação é frequentemente exigida em concursos públicos ao abrigo do Código dos Contratos Públicos aprovado pelo Decreto-Lei nº 18/2008 e em contratos com clientes corporativos de exigência elevada.

Na contratação de prestadores de serviços com acesso a sistemas ou dados — empresas de TI, consultoras, programadores externos, prestadores de cloud — a Política deve ser parte integrante das condições contratuais. O contrato de subcontratação ao abrigo do artigo 28.º do RGPD deve incluir compromisso de adesão à Política e responsabilidade contratual por incumprimento. As cláusulas devem prever auditoria, certificação periódica e plano de cessação com devolução ou destruição segura dos dados.

A política torna-se urgente após qualquer incidente de segurança relevante. A Lei nº 46/2018 e o RGPD impõem deveres específicos de notificação ao CNCS, à CNPD e aos titulares afetados, com prazos curtos. A inexistência de política prévia ou a sua inadequação configura factor agravante na fixação de coimas e pode determinar responsabilidade pessoal dos administradores e gerentes nos termos do artigo 64.º do Código das Sociedades Comerciais aprovado pelo Decreto-Lei nº 262/86 por violação do dever de cuidado.

Na contratação de novos colaboradores e prestadores de serviços, a Política deve ser entregue contra recibo assinado e integrar a formação inicial obrigatória sobre segurança da informação. A formação periódica anual é prática consolidada, com avaliação de conhecimentos e simulações de phishing. O artigo 39.º nº 1 alínea b) do RGPD atribui ao DPO a competência de monitorizar a conformidade, incluindo a sensibilização e formação dos trabalhadores.

Nas operações de fusão, aquisição ou trespasse de estabelecimento ao abrigo do artigo 285.º do Código do Trabalho, a Política deve ser revista para incorporar a integração dos sistemas, definir o regime aplicável durante a fase de transição e fixar as responsabilidades pelo legado de risco. A due diligence pré-aquisição inclui obrigatoriamente avaliação da postura de segurança, com identificação de incidentes históricos, vulnerabilidades conhecidas e contingências regulatórias.

Uma Política de Segurança da Informação em Portugal juridicamente eficaz integra um conjunto estruturado de elementos alinhados com o artigo 32.º do Regulamento (UE) 2016/679 (RGPD), com a Lei nº 46/2018 de 13 de Agosto sobre cibersegurança, e com os controlos da ISO/IEC 27001. A redação cuidada destes elementos é determinante para a defesa em sede de fiscalização da Comissão Nacional de Proteção de Dados (CNPD), do Centro Nacional de Cibersegurança (CNCS) e dos supervisores setoriais.

Identificação da entidade e governance. A Política deve identificar a entidade pela denominação social registada na Conservatória do Registo Comercial, NIPC, sede, capital social, CAE da atividade principal, número de trabalhadores, classificação como operador de serviços essenciais (OSE) ou prestador de serviços digitais (PSD) ao abrigo da Lei nº 46/2018, e classificação NIS 2 quando aplicável. Deve definir a governance: aprovação pelo órgão de administração, designação do responsável pela segurança da informação (CISO — Chief Information Security Officer), articulação com o encarregado da proteção de dados (DPO) nos termos do artigo 37.º do RGPD, e linhas de reporte ao órgão de administração e ao órgão de fiscalização.

Âmbito de aplicação. A Política deve definir o âmbito subjetivo e objetivo: destinatários (administradores, gerentes, trabalhadores subordinados, estagiários, prestadores de serviços externos com acesso a sistemas, parceiros e fornecedores), sistemas abrangidos (infraestrutura on-premises, cloud, SaaS, dispositivos móveis corporativos, BYOD quando autorizado), e categorias de informação cobertas (dados pessoais ao abrigo do RGPD, segredos comerciais protegidos pelos artigos 313.º a 320.º do Código da Propriedade Industrial aprovado pelo Decreto-Lei nº 110/2018, informação financeira, propriedade intelectual, informação operacional crítica).

Classificação da informação. A Política deve estabelecer esquema de classificação adaptado à realidade da entidade — tipicamente Pública, Interna, Confidencial e Restrita — com critérios claros de atribuição, regras de marcação (cabeçalho ou rodapé de documentos físicos e eletrónicos, metadados em ficheiros), e regras de manuseamento por classe (transmissão, armazenamento, partilha, destruição). A classificação deve articular-se com o Registo das Atividades de Tratamento ao abrigo do artigo 30.º do RGPD.

Controlo de acessos. A Política deve descrever os controlos de acesso aplicados nos termos do artigo 32.º nº 1 alínea b) do RGPD: autenticação forte com palavra-passe complexa renovada periodicamente; autenticação multifator obrigatória para acessos privilegiados, acesso remoto e administrativo; perfis de acesso baseados em princípio do menor privilégio (least privilege) e necessidade de conhecer (need-to-know); revisão semestral de perfis pelo gestor de área; revogação imediata após cessação de funções; gestão de identidades centralizada com Active Directory ou LDAP; sistema de Single Sign-On (SSO) sempre que possível.

Encriptação. A Política deve fixar regras sobre encriptação em trânsito (TLS 1.3 obrigatório para comunicações HTTPS, SFTP, SMTPS) e em repouso (AES-256 para bases de dados, sistemas de ficheiros, backups, dispositivos móveis com BitLocker, FileVault ou equivalente). Deve referir gestão de chaves criptográficas (cofre de chaves dedicado, rotação periódica, segregação de funções) e regras sobre certificados digitais (autoridade certificadora confiável, monitorização de validade, renovação automática).

Proteção contra software malicioso e ataques. A Política deve descrever medidas contra malware (antivírus em endpoint com atualização contínua, sandboxing de email, filtragem web), proteção contra ransomware (backups isolados off-line, segmentação de rede, princípio do menor privilégio), defesa de perímetro (firewall, IDS/IPS, WAF para aplicações web), proteção de email (SPF, DKIM, DMARC, anti-phishing), e gestão de vulnerabilidades (scan periódico com Nessus, Qualys, OpenVAS; patch management com prioridade por criticidade CVSS; testes de penetração anuais por entidade externa).

Gestão de incidentes. A Política deve estabelecer procedimento de gestão de incidentes alinhado com o ciclo NIST (Identificar, Proteger, Detetar, Responder, Recuperar): canais de reporte interno (portal dedicado, linha telefónica), classificação por severidade, escalonamento ao CISO e ao DPO, contenção, erradicação, recuperação, lessons learned. Para violações de dados pessoais, articulação com o procedimento de notificação à CNPD em 72 horas nos termos do artigo 33.º do RGPD através do Portal de Notificação de Violações da CNPD, e comunicação aos titulares quando o risco seja elevado nos termos do artigo 34.º. Para incidentes de cibersegurança em OSE ou PSD, notificação ao Centro Nacional de Cibersegurança (CNCS) nos termos da Lei nº 46/2018.

Continuidade de negócio. A Política deve articular-se com Plano de Continuidade de Negócio (BCP) e Plano de Recuperação de Desastres (DRP), com indicadores RTO (Recovery Time Objective) e RPO (Recovery Point Objective) definidos por sistema crítico, testes anuais de simulação, e procedimento de comunicação interna e externa em situação de crise.

Fornecedores e contratos. A Política deve estabelecer regras de avaliação de fornecedores com acesso a informação ou sistemas: due diligence inicial (questionário de segurança, certificações, histórico de incidentes), cláusulas contratuais obrigatórias (subcontratação ao abrigo do artigo 28.º do RGPD, direito de auditoria, notificação de incidentes em 24 horas, devolução ou destruição de dados na cessação), revisão periódica e plano de cessação. A forms-legal.com disponibiliza este modelo de Política de Segurança da Informação em Portugal como ponto de partida operacional. A redação final deve ser revista por advogado especializado em proteção de dados e cibersegurança ou por CISO certificado (CISSP, CISM). Documentos relacionados disponíveis no nosso catálogo: Política de Proteção de Dados de Trabalhadores, Política de Utilização Aceitável de Sistemas Informáticos e Política de Privacidade RGPD.

Formação e auditoria. A Política deve prever programa de formação inicial para novos colaboradores e formação periódica anual para todos com simulações de phishing semestrais e avaliação de conhecimentos. Deve estabelecer auditoria interna anual com função independente, auditoria externa periódica (alinhamento ISO 27001 ou SOC 2), e plano de ações corretivas com prazos e responsáveis.

O preenchimento da Política de Segurança da Informação em Portugal segue uma sequência prática alinhada com o artigo 32.º do RGPD, com a Lei nº 46/2018 sobre cibersegurança e com os controlos da ISO/IEC 27001:2022. A correta articulação entre Política, Plano de Continuidade de Negócio e procedimentos operacionais é determinante para a operacionalidade do sistema de gestão de segurança da informação (SGSI).

Passo 1 — Identificar a entidade e classificá-la. Recolha a denominação social registada na Conservatória do Registo Comercial em www.empresaonline.pt, NIPC de 9 dígitos, sede com código postal NNNN-NNN, CAE da atividade principal, número de trabalhadores. Verifique se a entidade está classificada como operador de serviços essenciais (OSE) ou prestador de serviços digitais (PSD) ao abrigo da Lei nº 46/2018, ou como entidade essencial ou importante ao abrigo da transposição da Diretiva NIS 2 (UE) 2022/2555. A classificação determina obrigações reforçadas de governance, gestão de risco e comunicação ao Centro Nacional de Cibersegurança (CNCS).

Passo 2 — Designar CISO e articular com DPO. Indique o responsável pela segurança da informação (CISO — Chief Information Security Officer) com qualificação técnica adequada (recomenda-se certificação CISSP, CISM ou equivalente) e linha de reporte ao órgão de administração. Defina articulação operacional com o encarregado da proteção de dados (DPO) designado nos termos do artigo 37.º do RGPD, mediante comité conjunto com agenda mensal e procedimentos partilhados de gestão de incidentes.

Passo 3 — Realizar avaliação de risco. Antes de redigir os controlos, conduza avaliação de risco que identifique ativos críticos (bases de dados de clientes, sistemas de produção, propriedade intelectual, infraestrutura de TI), ameaças (cibercrime, erro humano, falha técnica, desastre natural), vulnerabilidades, probabilidade e impacto. Documente a avaliação em metodologia formal (recomenda-se ISO/IEC 27005 ou NIST SP 800-30) e atualize anualmente.

Passo 4 — Definir esquema de classificação. Estabeleça níveis de classificação (tipicamente Pública, Interna, Confidencial, Restrita) com critérios objetivos de atribuição. Para cada nível, fixe regras de manuseamento: marcação obrigatória (cabeçalho/rodapé de documentos, metadados de ficheiros), encriptação obrigatória para Confidencial e Restrita, controlo de partilha externa, regras de armazenamento e destruição.

Passo 5 — Estabelecer controlos de acesso. Defina política de palavras-passe (complexidade mínima 12 caracteres, combinação de tipos, renovação semestral, proibição de reutilização das últimas 12), autenticação multifator obrigatória para acessos privilegiados e acesso remoto, perfis baseados no princípio do menor privilégio, revisão semestral de perfis, revogação em 24 horas após cessação de funções, gestão centralizada de identidades.

Passo 6 — Fixar regras de encriptação. Especifique encriptação em trânsito (TLS 1.3 obrigatório, proibição de TLS 1.0 e 1.1, certificados de autoridade certificadora confiável) e em repouso (AES-256 para bases de dados, sistemas de ficheiros e backups; BitLocker ou FileVault para dispositivos finais; encriptação obrigatória para dispositivos móveis corporativos). Inclua gestão de chaves criptográficas com cofre de chaves dedicado e rotação periódica.

Passo 7 — Estabelecer proteção contra ataques. Detalhe medidas anti-malware (antivírus em endpoint com atualização contínua, sandbox de email), proteção contra ransomware (backups isolados off-line ou imutáveis, segmentação de rede), defesa de perímetro (firewall com regras restritivas, IDS/IPS, WAF para aplicações web), proteção de email (SPF, DKIM, DMARC, anti-phishing), gestão de vulnerabilidades (scan mensal com ferramenta como Nessus, Qualys ou OpenVAS; patch management com prioridade por CVSS; testes de penetração anuais por entidade independente).

Passo 8 — Procedimento de gestão de incidentes. Defina ciclo NIST: deteção (canais internos com formulário dedicado e linha telefónica, monitorização SIEM/SOC), classificação por severidade, escalonamento ao CISO e ao DPO em 1 hora para incidentes críticos, contenção, erradicação, recuperação, lessons learned. Para violações de dados pessoais, integração com procedimento de notificação à CNPD em 72 horas nos termos do artigo 33.º do RGPD através do Portal de Notificação de Violações da CNPD, e comunicação aos titulares afetados quando o risco seja elevado nos termos do artigo 34.º.

Passo 9 — Articular com BCP e DRP. Estabeleça Plano de Continuidade de Negócio (BCP) e Plano de Recuperação de Desastres (DRP) com indicadores RTO (Recovery Time Objective) e RPO (Recovery Point Objective) definidos por sistema crítico — recomenda-se RTO de 4 horas e RPO de 1 hora para sistemas críticos, RTO de 24 horas e RPO de 4 horas para sistemas importantes. Inclua testes anuais com simulação realista e procedimento de comunicação interna e externa em situação de crise.

Passo 10 — Programa de formação e auditoria. Estabeleça formação inicial obrigatória sobre segurança da informação para novos colaboradores antes da entrada em funções, formação periódica anual para todos os colaboradores, e simulações de phishing semestrais com identificação de utilizadores que falhem para reforço individual. Estabeleça auditoria interna anual por função independente do CISO, auditoria externa periódica (alinhamento ISO 27001 ou SOC 2), e plano de ações corretivas com prazos e responsáveis aprovado pelo órgão de administração.

Os requisitos legais da Política de Segurança da Informação em Portugal resultam da articulação entre o Regulamento (UE) 2016/679 (RGPD) diretamente aplicável, a Lei nº 58/2019 de 8 de Agosto, a Lei nº 46/2018 de 13 de Agosto sobre cibersegurança, a Lei nº 41/2004 de 18 de Agosto sobre proteção de dados nas comunicações eletrónicas (ePrivacy), e a regulamentação setorial aplicável.

Dever de segurança do tratamento. O artigo 32.º nº 1 do RGPD exige que o responsável pelo tratamento e o subcontratante apliquem medidas técnicas e organizativas adequadas para garantir nível de segurança proporcional ao risco, considerando a pseudonimização e encriptação dos dados pessoais (alínea a), a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas (alínea b), a capacidade de restabelecer disponibilidade e acesso em caso de incidente físico ou técnico (alínea c), e o processo de teste, apreciação e avaliação regulares da eficácia das medidas (alínea d).

Avaliação proporcional ao risco. O artigo 32.º nº 2 exige consideração específica dos riscos da destruição, perda, alteração, divulgação ou acesso não autorizados a dados pessoais transmitidos, conservados ou tratados. As medidas devem ser adequadas ao estado da técnica, aos custos de aplicação, à natureza, âmbito, contexto e finalidades do tratamento e aos riscos para os direitos e liberdades das pessoas singulares. A inadequação manifesta gera coima nos termos do artigo 83.º nº 4 alínea a) — até 10 milhões de euros ou 2% do volume de negócios anual mundial.

Notificação de violações. O artigo 33.º do RGPD exige notificação à autoridade de controlo (CNPD) em 72 horas após o conhecimento da violação, salvo se a violação não for suscetível de resultar em risco para os direitos e liberdades. O artigo 34.º exige comunicação aos titulares afetados quando a violação implique risco elevado, em linguagem clara e acessível. O incumprimento gera coima autónoma por contraordenação muito grave nos termos do artigo 83.º nº 4.

Lei nº 46/2018 — cibersegurança. A Lei nº 46/2018 transpôs a Diretiva NIS (UE) 2016/1148 e estabelece o Regime Jurídico da Segurança do Ciberespaço. Aplica-se à Administração Pública, aos operadores de serviços essenciais (OSE) identificados pelo Conselho de Ministros nos termos do artigo 13.º (energia, transportes, banca supervisionada pelo Banco de Portugal, infraestruturas dos mercados financeiros, saúde, abastecimento de água, infraestruturas digitais), e aos prestadores de serviços digitais (PSD) — mercados em linha, motores de pesquisa, serviços de cloud. O Centro Nacional de Cibersegurança (CNCS) é a autoridade competente.

Deveres dos OSE e PSD. Os artigos 19.º a 24.º da Lei nº 46/2018 impõem aos OSE e PSD: identificação de risco e adoção de medidas técnicas e organizativas adequadas; notificação de incidentes com impacto significativo ao CNCS; cooperação com o CNCS; designação de pessoa responsável pela segurança das redes e dos sistemas. O incumprimento gera coima nos termos do artigo 32.º com limites entre 1 000 e 50 000 euros para pessoas singulares e entre 5 000 e 5 000 000 euros para pessoas coletivas.

Diretiva NIS 2. A Diretiva (UE) 2022/2555 (NIS 2), em transposição obrigatória pelos Estados-Membros, alarga substancialmente o âmbito subjetivo (entidades essenciais e importantes em sectores ampliados — administração pública, gestão de resíduos, fabricação, alimentação, prestadores de cloud, plataformas digitais), reforça os deveres de governance (responsabilidade dos órgãos de administração), introduz regime sancionatório agravado (até 10 milhões de euros ou 2% do volume de negócios anual mundial para entidades essenciais; até 7 milhões de euros ou 1,4% para entidades importantes), e impõe deveres de gestão de risco da cadeia de fornecimento.

Lei nº 41/2004 — ePrivacy. A Lei nº 41/2004 (com alterações) sobre proteção de dados nas comunicações eletrónicas exige aos prestadores de serviços de comunicações eletrónicas medidas técnicas e organizativas para garantir a segurança dos serviços, e impõe notificação de violações de dados pessoais à CNPD e aos titulares afetados em prazos específicos. O regime articula-se com o Código das Comunicações Eletrónicas aprovado pela Lei nº 16/2022.

Responsabilidade dos administradores. O artigo 64.º do Código das Sociedades Comerciais aprovado pelo Decreto-Lei nº 262/86 consagra os deveres de cuidado e de lealdade dos administradores e gerentes. A omissão de medidas adequadas de segurança da informação pode configurar violação do dever de cuidado, fundamentando responsabilidade civil nos termos do artigo 72.º perante a sociedade pelos prejuízos causados. A Diretiva NIS 2 reforça a responsabilidade pessoal dos órgãos de administração pelo cumprimento das obrigações de cibersegurança.

Subcontratação. O artigo 28.º do RGPD exige contrato de subcontratação com prestadores de serviços que tratem dados pessoais por conta do responsável, com cláusulas obrigatórias detalhadas: finalidades, durações, tipos de dados, categorias de titulares, medidas técnicas e organizativas, regras sobre transferências internacionais, devolução e destruição de dados na cessação.

Certificação. As certificações ISO/IEC 27001 e ISO/IEC 27701 (extensão sobre privacidade) emitidas por organismos acreditados pelo Instituto Português de Acreditação (IPAC) constituem prova relevante de adequação das medidas. O Selo Europeu de Cibersegurança previsto no Regulamento (UE) 2019/881 (Cibersecurity Act) começa a ser implementado por sectores.

Coimas. O artigo 83.º do RGPD prevê coimas até 20 milhões de euros ou 4% do volume de negócios anual mundial para violações dos princípios fundamentais. A Lei nº 46/2018 prevê coimas até 5 milhões de euros para OSE e PSD. A Diretiva NIS 2 introduz coimas até 10 milhões de euros ou 2% para entidades essenciais.

Os erros mais frequentes na Política de Segurança da Informação em Portugal expõem a empresa a coimas administrativas elevadas pela Comissão Nacional de Proteção de Dados (CNPD) nos termos do artigo 83.º do RGPD e pelo Centro Nacional de Cibersegurança (CNCS) nos termos da Lei nº 46/2018. A análise das deliberações públicas da CNPD revela um conjunto de falhas recorrentes prevenidas com revisão atenta da Política e da implementação prática.

Política meramente formal sem implementação técnica. Documentos aprovados pelo órgão de administração mas sem tradução em controlos técnicos efetivos (encriptação, multifator, segmentação, monitorização) são desconsiderados em sede de fiscalização. A solução é articular cada cláusula da Política com configuração concreta nos sistemas, evidência operacional documentada, e auditoria interna anual.

Falta de avaliação de risco prévia. Políticas elaboradas sem mapeamento dos ativos críticos, das ameaças aplicáveis e das vulnerabilidades concretas tendem a ser genéricas e a omitir matérias críticas. O artigo 32.º nº 2 do RGPD exige consideração dos riscos específicos. A solução é conduzir avaliação de risco formal segundo metodologia reconhecida (ISO/IEC 27005 ou NIST SP 800-30), atualizada anualmente, e integrada no Registo das Atividades de Tratamento ao abrigo do artigo 30.º do RGPD.

Ausência de encriptação adequada. A não encriptação de dados pessoais em repouso (bases de dados, backups, dispositivos móveis) ou em trânsito (comunicações HTTP em vez de HTTPS) configura inadequação manifesta nos termos do artigo 32.º nº 1 alínea a) do RGPD. A solução é exigir AES-256 para todos os dados pessoais em repouso, TLS 1.3 obrigatório para comunicações, e encriptação completa de dispositivos móveis corporativos com BitLocker, FileVault ou equivalente.

Controlo de acessos deficiente. Falta de autenticação multifator para acessos privilegiados, acesso remoto e administrativo viola o estado da técnica reconhecido pela CNPD. Atribuição genérica de perfis sem aplicação do princípio do menor privilégio ou revisão periódica gera acumulação indevida de permissões. A solução é multifator obrigatório para acessos críticos, perfis baseados em least privilege e need-to-know, revisão semestral por gestor de área, e revogação em 24 horas após cessação de funções.

Falta de procedimento de notificação em 72 horas. A não comunicação atempada à CNPD através do Portal de Notificação de Violações da CNPD configura violação autónoma do artigo 33.º do RGPD com coima até 10 milhões de euros. A solução é procedimento expresso com escalonamento ao CISO e ao DPO em 1 hora para incidentes críticos, avaliação de risco para identificação de violação de dados pessoais, e canal pré-configurado para comunicação à CNPD.

Ausência de Plano de Continuidade de Negócio (BCP) testado. A inexistência de BCP ou a falta de testes anuais expõe a entidade a períodos prolongados de indisponibilidade após incidente, com violação do artigo 32.º nº 1 alínea c) do RGPD sobre capacidade de restabelecer disponibilidade e acesso. A solução é BCP com indicadores RTO e RPO definidos por sistema crítico, testes anuais com simulação realista, e revisão após cada teste.

Gestão deficiente de fornecedores. A contratação de prestadores de serviços de cloud, SaaS ou TI sem due diligence inicial de segurança, sem cláusulas contratuais ao abrigo do artigo 28.º do RGPD, e sem revisão periódica, configura violação do dever de seleção criteriosa. A solução é questionário de segurança standard, exigência de certificações (ISO 27001, SOC 2 Type II), cláusulas contratuais obrigatórias incluindo notificação de incidentes em 24 horas, direito de auditoria, e plano de cessação com devolução ou destruição de dados.

Falta de formação e simulações. A omissão de programa de formação anual obrigatória sobre segurança da informação ou de simulações de phishing leva a que o factor humano seja a principal vulnerabilidade. A solução é formação inicial obrigatória para novos colaboradores, formação anual para todos com avaliação de conhecimentos, simulações de phishing semestrais com reforço individual para utilizadores que falhem, e comunicação periódica de alertas sobre ameaças emergentes.