UNIVERSIDADE TÉCNICA DE MOÇAMBIQUE

Faculdade de ciências tecnológicas

Licenciatura em Engenharia e Gestão de Tecnologias de Informação e Comunicação

Legislação das Tics

Regulamento sobre a Adequação das Medidas de Segurança para a Proteção de Dados

Pessoais

Discente:

Emildo João Manjate

Docente:

Eng. Helder Nhampule

Maputo, Novembro de 2023

 2

Decreto n.̊ 47/2023 da natureza ou setor da entidade, visando

assegurar uma abordagem uniforme e
De 21 de novembro
robusta à proteção de dados pessoais.
Havendo a necessidade de fortalecer a
salvaguarda dos dados pessoais no âmbito
da Lei n.̊ 3/2017, de 9 de Janeiro, este Artigo 3

regulamento é promulgado nos termos do n.̊ (Definições)

5 do artigo 63 da mencionada legislação. E
Para efeitos deste regulamento, aplicam-se
determina:
as definições consagradas na Lei das
Transações Eletrônicas de Moçambique,

Capítulo I bem como as que constam do glossário em

anexo, o qual é parte integrante do mesmo.
Disposições Gerais
Capítulo II - Critérios para Avaliação
Artigo 1
da Adequação:
(Objetivo)
Artigo 4
1. Este regulamento visa estabelecer
(Natureza e Sensibilidade dos Dados
critérios específicos para avaliar a
Pessoais)
adequação das medidas de segurança
adotadas pelos processadores de dados, em 1. O processador de dados deve

consonância com o número 5 do artigo 63 da considerar a natureza e a

Lei das Transações Eletrônicas de sensibilidade dos dados pessoais ao

Moçambique. implementar medidas de segurança.

Em casos nos quais os dados
abranjam informações médicas,
Artigo 2 genéticas ou outros dados
especialmente sensíveis, os
(Âmbito de Aplicação)
processadores devem adotar medidas
1. O presente regulamento abrange todos os de proteção mais rigorosas, como
processadores de dados que operam no pseudonimização ou anonimização.
território moçambicano, independentemente
 3

Artigo 5 Artigo 7

(Riscos Específicos aos Dados Pessoais) (Custo das Medidas de Segurança)

1. Antes da implementação de medidas 1. As medidas de segurança devem ser

de segurança, o processador de dados proporcionais aos riscos
deve conduzir uma avaliação identificados e levam em
completa dos riscos específicos a que consideração a capacidade financeira
os dados pessoais estão sujeitos. Isso do processador de dados. No entanto,
inclui, a identificação de riscos a busca por eficiência não deve
relacionados a ciberataques, falhas comprometer a eficácia na proteção
de segurança física e ameaças dos dados pessoais. Os
internas. É obrigatório a realização processadores devem buscar
de auditorias de segurança de forma soluções eficientes em termos de
regular para manter a eficácia custo, como o uso de ferramentas de
contínua das medidas adotadas. código aberto e a participação em
programas de conformidade que
Artigo 6
ofereçam suporte financeiro.
(Tecnologia Disponível e Práticas de
Mercado)
Artigo 8
1. O processador de dados deve
manter-se atualizado sobre as (Avaliação Contínua e Melhoria)
tecnologias emergentes e práticas de
1. O processador de dados deve estabelecer
mercado no campo da segurança de
um programa de avaliação contínua das
dados. Isso inclui a implementação
medidas de segurança, incluindo revisões
de medidas de segurança mais
periódicas e atualizações em resposta a
avançadas para deteção proativa de
mudanças no ambiente de ameaças e
ameaças. Deve haver uma
tecnologias disponíveis.
colaboração entre os processadores
2. Deve igualmente implementar revisões
de dados para compartilhar boas
semestrais das medidas de segurança,
práticas e informações sobre
envolvendo análise de incidentes anteriores,
ameaças emergentes.
atualizações de software e treinamento de
 4

funcionários para garantir a eficácia

contínua.
Artigo 11

(Senhas, Autenticação de dois fatores e

Capítulo III - Lista de Medidas de Controle de Acesso)
Segurança Obrigatórias:
1. Independentemente da natureza e da
Artigo 9 sensibilidade dos dados pessoais a
serem protegidos, o processador de
(Treinamento e Conscientização dos
dados deve adotar, pelo menos, as
Funcionários)
seguintes medidas de segurança:
1. O processador de dados deve fornecer a) A utilização de senhas
treinamento regular sobre práticas seguras fortes e de sistemas de
de manipulação de dados pessoais e autenticação de dois
conscientização sobre ameaças cibernéticas. fatores: as senhas devem ser
2. Deve proceder com a realização de complexas e devem ser
sessões de treinamento trimestrais para os alteradas periodicamente. Os
funcionários abordando práticas seguras de sistemas de autenticação de
senha, reconhecimento de phishing e boas dois fatores adicionam uma
práticas de navegação na internet. camada adicional de
Artigo 10 segurança, exigindo que o
utilizador apresente, além da
(Monitoramento Ativo de Ameaças)
senha, um código enviado
1. O processador de dados deve por SMS ou gerado por um
implementar sistemas de monitoramento dispositivo de autenticação
ativo para detetar e responder rapidamente a física.
possíveis ameaças à segurança dos dados.
Utilizando de ferramentas de monitoramento
de segurança em tempo real que alertam Artigo 12
automaticamente a equipe de segurança (Firewalls e Software Antivírus)
sobre atividades suspeitas ou potenciais
violações de dados.
 5

1. É obrigatório o uso de firewalls para 1. E obrigatório a realização regular de

proteger os sistemas informáticos backups para garantir a
contra acessos não autorizados, e do disponibilidade dos dados em caso
software antivírus para detectar e de falha do sistema ou eventos
remover vírus e outros malwares. catastróficos.
Bem como manter uma atualização 2. Deve-se efetuar agendamento de
contínua dos softwares antivírus e backups diários automáticos em
firewalls para garantir proteção locais de armazenamento seguros e
contra as últimas ameaças testes regulares de recuperação para
cibernéticas. verificar a integridade dos dados.

Artigo 13
Artigo 15
(Criptografia dos Dados Pessoais)
(Gerenciamento de Acesso de Terceiros)
1. A criptografia deve ser aplicada
1. O processador de dados deve
durante a transmissão e
estabelecer políticas rigorosas de
armazenamento dos dados pessoais,
gerenciamento de acesso para
garantindo confidencialidade e
terceiros que tenham acesso aos
integridade.
dados pessoais, garantindo que
2. E recomendado o uso de algoritmos
apenas as entidades autorizadas
de criptografia avançadas, como
tenham permissão para processar ou
AES (Advanced Encryption
manipular tais informações.
Standard), para proteger os dados
2. As políticas devem conter a
pessoais durante o tráfego pela rede e
implementação de revisões regulares
em repouso nos sistemas.
nos privilégios de acesso concedidos
a fornecedores externos, com
auditorias para garantir
Artigo 14
conformidade contínua.
(Backup dos Dados Pessoais)

Artigo 16
 6

(Resposta a Incidentes de Segurança)

1. O processador de dados deve Artigo 18
desenvolver e manter um plano de
(Fiscalização e Sanções)
resposta a incidentes de segurança,
descrevendo procedimentos claros a 1. A fiscalização compete a entidade
serem seguidos em caso de violações reguladora prevista na Lei das
de dados. Transações Eletrónicas de
Moçambique, incluindo auditorias
regulares para garantir a
conformidade. As sanções podem

Capítulo IV - Disposições Finais: variar de multas proporcionais à

suspensão temporária ou permanente
Artigo 17
do processamento de dados,
(Colaboração com a Sociedade Civil e dependendo da gravidade das
Entidades Acadêmicas) violações sendo esta última, uma
medida extrema reservada para casos
1. O processador de dados deve
graves de violações de dados
promover a colaboração com
pessoais.
organizações da sociedade civil e
entidades acadêmicas para aprimorar
a conscientização sobre segurança de
Artigo 19
dados e beneficiar-se de pesquisas e
insights especializados. (Entrada em Vigor)

2. O processador de dados deve 1. O regulamento entra em vigor na

estabelecer parcerias com data de sua publicação oficial, mas
universidades locais para condução concede um período de adaptação
de pesquisas conjuntas sobre para que os processadores de dados
tendências em segurança cibernética, possam implementar as mudanças
além de participação ativa em necessárias em seus sistemas e
programas de educação e práticas.
conscientização.
 7

2. No máximo um período de seis Ciberataque: Tentativa de roubar, expor,

meses pode ser concedido para que alterar, desativar ou destruir informações por
as entidades se ajustem às novas meio de acesso não autorizado a sistemas de
exigências antes da aplicação computador.
rigorosa das sanções por não
D
conformidade.
Dados pessoais: qualquer informação
relativa a uma pessoa singular identificada
Artigo 20 ou identificável.

(Revogação de Disposições Contrárias) M

1. Todas as disposições em contrário a Medidas de Segurança: Procedimentos

este regulamento são revogadas. Este técnicos e organizacionais destinados a
regulamento prevalece sobre proteger os dados pessoais contra riscos,
quaisquer outras normas que possam perdas, acesso não autorizado, destruição,
entrar em conflito. utilização, modificação ou divulgação.

Este regulamento foi aprovado pela P

presidente da assembleia da república
[16 de Novembro de 2023].
Data de Publicação: [21 de Novembro de
2023]
Publique-se.
O presidente da república. Filipe Jacinto
Nyusi.
Processador de dados: a pessoa singular ou
coletiva, a autoridade pública, o organismo
ou outro organismo que, sob a autoridade do
responsável pelo tratamento, trate os dados
pessoais.
Phishing: Crime de enganar as pessoas para
que compartilhem informações
confidenciais como senhas e número de
cartões de crédito.

Anexo Pseudonimização: Processo de remover

Glossário identificadores pessoais dos dados e
substituir esses identificadores por valores
C
de marcadores de posição.
 8

Riscos: as situações que possam pôr em

causa a segurança dos dados pessoais.

Segurança de dados: Medidas de proteção

empregadas para proteger os dados contra
acesso não aprovado e para preservar a
confidencialidade, integridade e
disponibilidade dos dados.