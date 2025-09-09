A Comissão Nacional de Proteção de Dados foi chamada a pronunciar-se sobre a Proposta de Lei n.º 7/XVII/1 (GOV), que visa transpor para a ordem jurídica interna a Diretiva (UE) 2022/2555, relativa a um nível elevado comum de cibersegurança na União Europeia, e adaptar legislação nacional conexa (Regulamento Cibersegurança, Lei de Segurança Interna, Lei do Cibercrime e Lei das Comunicações Eletrónicas).

O Governo português aprovou, em julho de 2025, em Conselho de Ministros, um novo regime jurídico de cibersegurança.

A Diretiva NIS 2 (Network and Information Security Directive) é a atualização da primeira Diretiva NIS (2016), aprovada pela UE em 2022 e em processo de transposição para os Estados-Membros, incluindo Portugal.

Este novo regime tem como principal objetivo reforçar a segurança digital nacional, criando regras mais claras para empresas e organismos públicos. Além disso, visa também simplificar procedimentos burocráticos, alinhando-se com a estratégia de redução de burocracia anunciada recentemente.

Parecer da CNPD sobre a transposição da Diretiva SRI2 / NIS 2

Fundamentos de licitude do tratamento de dados (art. 10.º da Proposta) A CNPD considera insuficiente a formulação genérica adotada. Alerta que não basta remeter para o RGPD: é necessário especificar finalidades, categorias de dados, prazos de conservação, medidas técnicas, partilha e salvaguardas. Rejeita a invocação do “interesse legítimo” como base para autoridades públicas tratarem dados pessoais (foi já eliminado na nova versão, o que é positivo). Exige maior clareza no tratamento de categorias especiais de dados (saúde, genéticos, convicções, etc.), apenas admissível em casos de interesse público importante e com salvaguardas adequadas.

Cooperação entre CNPD e autoridades de cibersegurança (arts. 23.º e 79.º da Proposta) O texto atual pode gerar sobreposição de competências entre CNPD e outras entidades de cibersegurança. Defende que deve haver uma delimitação clara de responsabilidades e um regime concreto de cooperação, evitando processos paralelos e contraditórios. Chama a atenção para riscos de inversão do dever de colaboração (que deveria ser das demais entidades para com a CNPD, e não o contrário).

Ausência de Estudo de Impacto sobre Proteção de Dados A CNPD sublinha que a proposta não apresenta estudo de impacto, obrigatório por lei (Lei n.º 43/2004, Lei n.º 58/2019 e art. 35.º do RGPD). Essa lacuna compromete a avaliação dos riscos para os cidadãos e a decisão informada do legislador.



Conclusões e Recomendações

A CNPD recomenda:

a) Especificar melhor os fundamentos de licitude no art. 10.º;

b) Densificar regras sobre o tratamento de categorias especiais de dados;

c) Definir um regime claro de cooperação entre a CNPD e as autoridades de cibersegurança;

d) Realizar um Estudo de Impacto sobre Proteção de Dados antes da aprovação da lei.

A CNPD apoia a transposição da Diretiva de Cibersegurança, mas alerta que a proposta de lei, tal como está, é vaga em matéria de proteção de dados, podendo comprometer direitos fundamentais se não forem introduzidas salvaguardas concretas.

Pode ter acesso ao documento do parecer, aqui.