UNIVERSIDADE TÉCNICA DE MOÇAMBIQUE

Faculdade de ciências tecnológicas

Licenciatura em Engenharia e Gestão de Tecnologias de Informação e Comunicação

Legislação das Tics

Proposta de Diretrizes para Notificação de Violação de Dados Pessoais e Comunicação

Eficaz com Partes Afetadas

Discente:

Emildo João Manjate

Docente:

Eng. Helder Nhampule

Maputo, Novembro de 2023

Introdução

A criação das diretrizes para Notificação de Violações de Dados Pessoais e Comunicação Eficaz
com Partes Afetadas foi motivada pelas lacunas dispostas pelo artigo 63 da lei das transações
eletrónicas que, em suma, não aborda especificamente a necessidade de diretrizes para a
implementação de medidas técnicas de segurança de dados como notificação de violações de
dados pessoais e comunicação eficaz com as partes afetadas. Estas diretrizes estabelecem uma
estrutura abrangente, abordando desde a deteção de violações até a comunicação eficaz com as
partes afetadas, conforme exigido pela legislação de proteção de dados do país.

Capítulo I

Disposições Gerais

Artigo 1

(Objetivo)

1.1. Estas diretrizes têm como objetivo estabelecer os requisitos e as melhores práticas para a
notificação de violações de dados pessoais e a comunicação eficaz com as partes afetadas,
em conformidade com os requisitos estipulados na lei das transações eletrónicas de
Moçambique.

Artigo 2

(Âmbito de Aplicação)

2.1. Estas diretrizes aplicam-se a todos os processadores de dados que operam em Moçambique
e lidam com dados pessoais, sem prejuízo do disposto no artigo 2 da lei das transações
eletrónicas em vigor.

Artigo 3
 (Definições)

3.1. Para os fins destas diretrizes, entende-se por:

 Violação de dados pessoais: qualquer quebra da segurança que provoque, de forma

acidental ou ilícita, a destruição, a perda, a alteração, a divulgação ou o acesso não
autorizados a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo
de tratamento.
 Parte afetada: qualquer pessoa singular ou coletiva cujos dados pessoais tenham sido
objeto de uma violação.

Artigo 4

(Princípios)

4.1. A notificação de violações de dados pessoais e a comunicação eficaz com partes afetadas
devem observar os seguintes princípios:

 Transparência: os processadores de dados devem notificar as partes afetadas de forma

clara, concisa e compreensível, utilizando uma linguagem acessível a todas partes
afetadas.
 Tempestividade: as notificações devem ser efetuadas sem demora injustificada após a
identificação da violação de dados pessoais.
 Eficácia: as notificações devem ser eficazes para informar as partes afetadas e permitir-
lhes tomar as medidas apropriadas para proteger os seus direitos e interesses.

Capítulo II

Obrigações de Notificação de Violações de Dados Pessoais

Artigo 5

(Deteção de Violações de Dados Pessoais)

5.1. Os processadores de dados devem implementar medidas técnicas e organizacionais

adequadas para deteção, prevenção e resposta a violações de dados pessoais.
5.2. As medidas de segurança devem incluir a criptografia (usar um algoritmo de criptografia
forte e atual) de dados, o controle de acesso (exigir autenticação forte para o acesso aos dados
pessoais), auditorias regulares (definir um plano de auditoria que inclua a frequência e o escopo
das auditorias) e a capacidade de identificar incidentes de segurança em tempo real.

5.3. É recomendável a realização de testes de penetração regulares para avaliar a segurança dos
sistemas de processamento de dados isso inclui, definir um plano de testes de penetração que
inclua a frequência e o escopo dos testes.

Artigo 6

(Conteúdo da Notificação)

6.1. A notificação de violação de dados pessoais deve conter, no mínimo, as seguintes

informações:

a) Descrição da natureza da violação: deve ser clara e concisa, de forma a que as partes
afetadas possam compreender o que aconteceu. A descrição deve incluir informações
sobre como e quando a violação ocorreu, bem como sobre os meios utilizados para a
violação;
b) Categorias e quantidade de dados pessoais afetados: fornecer uma descrição clara das
categorias e uma estimativa da quantidade de dados pessoais afetados;
c) Medidas tomadas para mitigar os efeitos da violação fornecendo uma descrição clara e
informações sobre a eficácia das medidas tomadas;
d) Informações de contato do responsável pela proteção de dados como um endereço de e-
mail e um número de telefone do ponto de contato;
e) Recomendações para as partes afetadas protegerem seus dados;
f) Informações sobre o ponto de contato da autoridade de proteção de dados para obter mais
informações sobre a violação.

Artigo 7

(Prazo para Notificação)

7.1. Os processadores de dados devem notificar a autoridade de proteção de dados competente e
as partes afetadas de qualquer violação de dados pessoais sem demora indevida, e
preferencialmente no prazo de 48 horas após a deteção da violação excepto se a violação é de
natureza complexa e requer investigação adicional.

7.2. Em caso de atrasos na notificação, os processadores de dados devem fornecer justificativas

claras e documentadas para a autoridade de proteção de dados competente.

Artigo 8

(Exceções à Notificação)

8.1. O processador de dados não está obrigado a notificar a Autoridade Nacional de Proteção de
Dados (ANPD) ou as partes afetadas de uma violação de dados pessoais se:

 A violação não representar um risco significativo para os direitos e liberdades das

pessoas singulares;
 A notificação for impossível ou exigir um esforço desproporcionado, por exemplo, se a
violação envolve dados pessoais de um grande número de pessoas.;
 A notificação for suscetível de causar danos maiores do que os benefícios esperados.

Artigo 9

(Comunicação Eficaz com Partes Afetadas)

9.1. Os processadores de dados devem comunicar as violações de dados pessoais de forma clara
e compreensível às partes afetadas.

9.2. A comunicação deve ser redigida em linguagem simples, evitando jargões técnicos, para
garantir que as partes afetadas compreendam a natureza e o impacto da violação.

Artigo 10

(Assistência às Partes Afetadas)

10.1. Os processadores de dados devem oferecer assistência às partes afetadas, incluindo:

a) Orientação sobre como proteger seus dados pessoais após a violação;

b) Contato direto com a equipe de suporte para responder a dúvidas e fornecer atualizações
sobre a investigação da violação;
c) Potencial compensação, quando aplicável, de acordo com a legislação de proteção de
dados de Moçambique.

Artigo 11

(Treinamento e Conscientização)

11.1. Os processadores de dados devem fornecer treinamento adequado a seus funcionários para
garantir que compreendam as obrigações de notificação de violações de dados pessoais e como
responder de maneira adequada a incidentes de segurança.

11.2. Deve-se promover a conscientização sobre a importância da proteção de dados pessoais e a

notificação de violações em toda a organização.

Artigo 12

(Avaliação de Impacto de Proteção de Dados (DPIA)

12.1 - Os processadores de dados devem conduzir DPIAs de acordo com os requisitos da

legislação de proteção de dados, para avaliar e mitigar riscos à privacidade antes de processar
dados pessoais em determinadas situações.

12.2 - A DPIA deve incluir uma análise de riscos, medidas de mitigação e consultas às partes
interessadas, quando necessário.

Artigo 13

(Registro de Atividades de Processamento de Dados)

13.1 - Os processadores de dados devem manter um registro detalhado de todas as atividades de
processamento de dados pessoais, incluindo informações sobre categorias de dados, finalidades
do processamento e medidas de segurança.

13.2 - Esse registro deve ser disponibilizado à autoridade de proteção de dados e às partes
afetadas, quando necessário.

Capítulo 3

Disposições Finais

Artigo 14

(Competências da Autoridade de Proteção de Dados)

14.1. A autoridade de proteção de dados competente, conforme designada pela legislação de

proteção de dados de Moçambique, é responsável por supervisionar a aplicação destas diretrizes
e garantir o cumprimento das obrigações de notificação de violações de dados pessoais.

14.2 - A autoridade de proteção de dados tem o poder de:

a) Receber notificações de violações de dados pessoais;

b) Avaliar a conformidade dos processadores de dados com estas diretrizes e a legislação de
proteção de dados de Moçambique;
c) Impor sanções e penalidades em caso de não conformidade;
d) Emitir orientações e regulamentações adicionais para esclarecer a aplicação dessas
diretrizes;
e) Promover a conscientização pública sobre a proteção de dados pessoais e as obrigações
dos processadores de dados.

Artigo 15

(Competências dos Processadores de Dados e Penalidades)

15.1. Os processadores de dados são responsáveis por implementar as medidas necessárias para
cumprir estas diretrizes e garantir a notificação eficaz de violações de dados pessoais.
15.2. Suas competências incluem:

a) Estabelecer procedimentos internos para deteção e notificação de violações de dados

pessoais;
b) Garantir a capacitação adequada de sua equipe em relação às obrigações de notificação;
c) Manter registros detalhados de violações de dados pessoais e ações corretivas;
d) Cooperar plenamente com a autoridade de proteção de dados durante investigações de
violações;
e) Adotar medidas de segurança de dados adequadas para prevenir violações.

Artigo 16

(Natureza)

16.1 - Estas diretrizes têm uma natureza regulatória e de orientação. Elas visam promover a
proteção de dados pessoais e estabelecer um padrão de conduta para os processadores de dados
em Moçambique.

16.2 - Estas diretrizes não substituem a legislação de proteção de dados de Moçambique. Em

caso de conflito, a legislação prevalece.

Artigo 17

(Auditoria e Avaliação de Conformidade)

17.1. Os processadores de dados devem realizar auditorias regulares para avaliar a conformidade
com estas diretrizes e a legislação de proteção de dados de Moçambique.

17.2. Devem ser estabelecidos procedimentos para relatar e documentar a conformidade,

incluindo medidas corretivas em caso de não conformidade.

Artigo 18

(Entrada em Vigor)

18.1. Estas diretrizes entrarão em vigor na data de sua publicação oficial.

 Artigo 19

(Revisão e Atualização)

19.1. Estas diretrizes serão revisadas anualmente para garantir sua conformidade com a
legislação de proteção de dados em evolução e as melhores práticas.

Artigo 20

(Documentação de Violação de Dados Pessoais)

20.1. Os processadores de dados devem manter registros de todas as violações de dados pessoais,
incluindo notificações, respostas, medidas tomadas e lições aprendidas.

Artigo 21

(Relações com Autoridade de Proteção de Dados)

21.1. Os processadores de dados devem manter uma comunicação regular com a autoridade de
proteção de dados competente e cooperar em investigações de violações de dados pessoais,
conforme exigido pela legislação.

Artigo 22

(Relações com Terceiros)

22.1. Os processadores de dados que compartilham dados com terceiros devem estabelecer
acordos contratuais que definam claramente as responsabilidades em relação à notificação de
violações de dados pessoais e à comunicação eficaz com as partes afetadas.

Artigo 23

(Cooperação Internacional)
23.1 - Em casos de violações de dados pessoais que afetem cidadãos de outros países, os
processadores de dados devem cooperar com as autoridades de proteção de dados estrangeiras de
acordo com tratados internacionais e acordos bilaterais.

Artigo 24

(Recursos para as Partes Afetadas)

24.1 - As partes afetadas têm o direito de buscar recursos legais em casos de não conformidade
com estas diretrizes por parte dos processadores de dados.

Artigo 25

(Conformidade com Normas Internacionais)

25.1 - Os processadores de dados são encorajados a adotar padrões internacionais reconhecidos,

como o ISO/IEC 27001, para aprimorar a segurança de dados e a conformidade com essas
diretrizes.

Artigo 26

(Educação Pública)

26.1 - O regulador de proteção de dados deve promover programas de educação pública para
aumentar a conscientização sobre os direitos dos indivíduos em relação aos dados pessoais e as
obrigações dos processadores de dados em conformidade com estas diretrizes.

Conclusão

Estas diretrizes visam estabelecer um quadro abrangente para notificação de violação de dados
pessoais e comunicação eficaz com partes afetadas. Seguindo essas diretrizes, as organizações
em Moçambique podem contribuir significativamente para melhorar a proteção de dados
pessoais, promover práticas éticas e seguras, fortalecer a confiança na economia digital e, ao
mesmo tempo, cumprir os padrões internacionais de proteção de dados. Isso beneficia toda a
sociedade moçambicana e posiciona o país de maneira mais competitiva no cenário global de
proteção de dados.