A Comissão Nacional de Proteção de Dados foi chamada a pronunciar-se sobre a Proposta de Lei n.º 7/XVII/1 (GOV), que visa transpor para a ordem jurídica interna a Diretiva (UE) 2022/2555, relativa a um nível elevado comum de cibersegurança na União Europeia, e adaptar legislação nacional conexa (Regulamento Cibersegurança, Lei de Segurança Interna, Lei do Cibercrime e Lei das Comunicações Eletrónicas).
O Governo português aprovou, em julho de 2025, em Conselho de Ministros, um novo regime jurídico de cibersegurança.
A Diretiva NIS 2 (Network and Information Security Directive) é a atualização da primeira Diretiva NIS (2016), aprovada pela UE em 2022 e em processo de transposição para os Estados-Membros, incluindo Portugal.
Este novo regime tem como principal objetivo reforçar a segurança digital nacional, criando regras mais claras para empresas e organismos públicos. Além disso, visa também simplificar procedimentos burocráticos, alinhando-se com a estratégia de redução de burocracia anunciada recentemente.
Parecer da CNPD sobre a transposição da Diretiva SRI2 / NIS 2
- Fundamentos de licitude do tratamento de dados (art. 10.º da Proposta)
- A CNPD considera insuficiente a formulação genérica adotada.
- Alerta que não basta remeter para o RGPD: é necessário especificar finalidades, categorias de dados, prazos de conservação, medidas técnicas, partilha e salvaguardas.
- Rejeita a invocação do “interesse legítimo” como base para autoridades públicas tratarem dados pessoais (foi já eliminado na nova versão, o que é positivo).
- Exige maior clareza no tratamento de categorias especiais de dados (saúde, genéticos, convicções, etc.), apenas admissível em casos de interesse público importante e com salvaguardas adequadas.
- Cooperação entre CNPD e autoridades de cibersegurança (arts. 23.º e 79.º da Proposta)
- O texto atual pode gerar sobreposição de competências entre CNPD e outras entidades de cibersegurança.
- Defende que deve haver uma delimitação clara de responsabilidades e um regime concreto de cooperação, evitando processos paralelos e contraditórios.
- Chama a atenção para riscos de inversão do dever de colaboração (que deveria ser das demais entidades para com a CNPD, e não o contrário).
- Ausência de Estudo de Impacto sobre Proteção de Dados
- A CNPD sublinha que a proposta não apresenta estudo de impacto, obrigatório por lei (Lei n.º 43/2004, Lei n.º 58/2019 e art. 35.º do RGPD).
- Essa lacuna compromete a avaliação dos riscos para os cidadãos e a decisão informada do legislador.
Conclusões e Recomendações
A CNPD recomenda:
- a) Especificar melhor os fundamentos de licitude no art. 10.º;
- b) Densificar regras sobre o tratamento de categorias especiais de dados;
- c) Definir um regime claro de cooperação entre a CNPD e as autoridades de cibersegurança;
- d) Realizar um Estudo de Impacto sobre Proteção de Dados antes da aprovação da lei.
A CNPD apoia a transposição da Diretiva de Cibersegurança, mas alerta que a proposta de lei, tal como está, é vaga em matéria de proteção de dados, podendo comprometer direitos fundamentais se não forem introduzidas salvaguardas concretas.
Pode ter acesso ao documento do parecer, aqui.