Condições técnicas e de segurança da comunicação electrónica para de transmissão dos dados de telecomunicações e Internet pelos oficiais de informações do SIS e do SIED

Portaria n.º 237-A/2018, de 28 de agosto – Condições técnicas e de segurança da comunicação electrónica para de transmissão dos dados de telecomunicações e Internet pelos oficiais de informações do SIS e do SIED.

Define as condições técnicas e de segurança da comunicação eletrónica para efeito de transmissão diferida dos dados de telecomunicações e Internet pelos oficiais de informações do Serviço de Informações de Segurança e do Serviço de Informações Estratégicas de Defesa.

https://dre.pt/web/guest/pesquisa/-/search/116236988/details/normal?q=Ciberseguran%C3%A7a

A Lei Orgânica n.º 4/2017, de 25 de agosto, aprova e regula o procedimento especial de acesso a dados de telecomunicações e Internet pelos oficiais de informações do Serviço de Informações de Segurança e do Serviço de Informações Estratégicas de Defesa e procede à segunda alteração à Lei n.º 62/2013, de 26 de agosto (Lei da Organização do Sistema Judiciário), alterada pela Lei n.º 40-A/2016, de 22 de dezembro, que a republicou.

De acordo com o disposto no n.º 1 do artigo 11.º da Lei Orgânica n.º 4/2017, de 25 de agosto, a transmissão diferida dos dados de telecomunicações e Internet obtidos ao abrigo do regime consagrado no referido diploma processa-se mediante comunicação eletrónica, nos termos das condições técnicas e de segurança fixadas em portaria do Primeiro-Ministro e dos membros do Governo responsáveis pelas áreas das comunicações e da cibersegurança, que devem observar um grau de codificação e proteção o mais elevado possível, de acordo com o estado da técnica ao momento da transmissão, incluindo métodos de codificação, encriptação ou outros adequados, sem prejuízo da observação dos princípios e do cumprimento das regras relativas à qualidade e à salvaguarda da confidencialidade e da segurança dos dados, previstos nas Leis n.º 67/98, de 26 de outubro, e n.º 41/2004, de 18 de agosto, nas suas versões atuais, sob fiscalização e controlo da Comissão de Fiscalização de Dados do Sistema de Informações da República Portuguesa, nos termos do artigo 15.º da Lei Orgânica n.º 4/2017, de 25 de agosto.

Ao abrigo do disposto no referido n.º 1 do artigo 11.º da Lei Orgânica n.º 4/2017, de 25 de agosto, vem a presente portaria definir as condições técnicas e de segurança da comunicação eletrónica para efeito de transmissão diferida dos dados de telecomunicações e Internet obtidos de acordo com o regime consagrado na referida Lei Orgânica.

Assim,

Manda o Governo, pelo Primeiro-Ministro, pela Ministra da Presidência e da Modernização Administrativa e pelo Ministro do Planeamento e das Infraestruturas, ao abrigo do disposto no n.º 1 do artigo 11.º da Lei Orgânica n.º 4/2017, de 25 de agosto, o seguinte:

Artigo 1.º

Objeto

A presente portaria estabelece os termos das condições técnicas e de segurança em que, mediante procedimento obrigatório e vinculado de autorização judicial prévia, se processa a comunicação eletrónica para efeitos da transmissão diferida de dados de telecomunicações e Internet, previamente armazenados pelos prestadores de serviços de comunicações eletrónicas, às autoridades competentes do Serviço de Informações de Segurança, doravante designado SIS, e do Serviço de Informações Estratégicas de Defesa, doravante designado SIED, nos termos previstos na Lei Orgânica n.º 4/2017, de 25 de agosto.

Artigo 2.º

Comunicação eletrónica de dados

1 – Os trâmites processuais relacionados com a comunicação eletrónica de dados de telecomunicações e Internet aos serviços de informações pelos prestadores de serviços de comunicações eletrónicas, nos termos previstos na Lei Orgânica n.º 4/2017, de 25 de agosto, são praticados por via de um serviço informático, baseado na Internet, especificamente disponibilizado para o efeito no denominado «Sistema de Acesso ou Pedido de Dados aos Prestadores de Serviços de Comunicações Eletrónicas», abreviadamente designado por SAPDOC.

2 – O SAPDOC é desenvolvido e gerido pelo Instituto de Gestão Financeira e Equipamentos da Justiça, I. P. (IGFEJ, I. P.), a quem caberá também a função de gestão do sistema e da respetiva credenciação de acesso.

3 – O SAPDOC é dotado de funcionalidades técnicas que permitam praticar, pelo menos, os seguintes atos procedimentais, em execução dos procedimentos previstos na Lei Orgânica n.º 4/2017, de 25 de agosto:

a) Apresentação do pedido, elaborado pelos diretores do Serviço de Informações de Segurança (SIS) ou do Serviço de Informações Estratégicas de Defesa (SIED) e remetido pelo/a Secretário/a-Geral do Sistema de Informações da República Portuguesa (SIRP) ao Presidente do Supremo Tribunal de Justiça (n.º 1 do artigo 9.º da Lei Orgânica n.º 4/2017);

b) Comunicação do pedido ao/à Procurador/a-Geral da República (n.º 1 do artigo 9.º da Lei Orgânica n.º 4/2017);

c) Eventual pronúncia do/a Procurador/a-Geral da República ao pedido elaborado pelos diretores do SIS ou do SIED;

d) Envio do pedido, pelo Presidente do Supremo Tribunal de Justiça, à formação especial de juízes (n.º 1 do artigo 5.º e artigo 8.º da Lei Orgânica n.º 4/2017);

e) Elaboração ou anexação da deliberação da formação especial de juízes (n.º 3 do artigo 10.º e n.º 1 do artigo 12.º da Lei Orgânica n.º 4/2017);

f) Comunicação da deliberação ao serviço de informações, ao prestador de serviços de comunicações eletrónicas depositário dos dados e ao/à Procurador/a-Geral da República (n.º 2 do artigo 5.º da Lei Orgânica n.º 4/2017);

g) Comunicação da deliberação à Comissão de Fiscalização de Dados do SIRP, com referência nominativa;

h) Eventual reação do SIS ou do SIED, do prestador de serviços de comunicações eletrónicas depositário dos dados ou do/a Procurador/a-Geral da República à deliberação da formação especial de juízes;

i) Remessa do ficheiro de resposta com os dados, pelo prestador de serviços de comunicações eletrónicas, com conhecimento da formação especial de juízes do Supremo Tribunal de Justiça que deliberou e do/a Procurador/a-Geral da República (n.º 1 do artigo 11.º da Lei Orgânica n.º 4/2017);

j) Eventual pronúncia do/a Procurador/a-Geral da República;

k) Validação do tratamento dos dados (n.º 2 do artigo 12.º da Lei Orgânica n.º 4/2017) e respetivo envio, pela formação especial de juízes do Supremo Tribunal de Justiça que deliberou, ao Diretor do Centro de Dados do SIS ou ao Diretor do Centro de Dados do SIED, com conhecimento do/a Procurador/a-Geral da República;

l) Comunicação, pelo Diretor do Centro de Dados do SIS ou pelo Diretor do Centro de Dados do SIED, da receção e armazenamento com sucesso do ficheiro de resposta;

m) Cancelamento dos procedimentos em curso de acesso a dados, pela formação especial de juízes do Supremo Tribunal de Justiça (n.º 3 do artigo 12.º da Lei Orgânica n.º 4/2017);

n) Comunicação da decisão de cancelamento de acesso e de destruição imediata dos dados ao Diretor do Centro de Dados do SIS ou ao Diretor do Centro de Dados do SIED, ao prestador de serviços de comunicações eletrónicas depositário dos dados, ao/à Procurador/a-Geral da República e à Comissão de Fiscalização de Dados do SIRP, para efeitos do exercício das suas competências legais (n.os 3, 4 e 5 do artigo 12.º da Lei Orgânica n.º 4/2017);

o) Comunicação, pelo Diretor do Centro de Dados do SIS ou pelo Diretor do Centro de Dados do SIED, ao/à Procurador-Geral da República, dos dados obtidos que indiciem a prática de crimes de espionagem e terrorismo (artigo 13.º da Lei Orgânica n.º 4/2017), sempre que tal seja possível e nos termos da legislação aplicável.

4 – Os atos e diligências processuais previstos na Lei Orgânica n.º 4/2017 são praticados no SAPDOC, por via do preenchimento de formulários eletrónicos previamente estabelecidos, sendo, quando necessário, feita a anexação dos respetivos despachos.

5 – Os formulários eletrónicos devem ainda permitir a inclusão de campos de texto, designadamente para suprir menções neles não previstas.

6 – Todos os atos praticados neste contexto, incluindo a emissão de despachos e o recebimento ou o conhecimento de comunicações ou notificações, entre outros, devem ter aposta a assinatura digital de quem os emite e recebe.

Artigo 3.º

Procedimento de autorização judicial prévia

1 – O procedimento obrigatório e vinculado de autorização judicial prévia do acesso dos oficiais de informações do SIS e do SIED a dados de telecomunicações e Internet inicia-se com o pedido elaborado pelos diretores do SIS ou do SIED, ou de quem os substitua em caso de ausência ou impedimento, e é enviado por escrito, através da aplicação informática SAPDOC, pelo/a Secretário/a-Geral do Sistema de Informações da República Portuguesa ao Presidente do Supremo Tribunal de Justiça, com conhecimento do/a Procurador/a-Geral da República, nos termos do disposto no n.º 1 do artigo 9.º da Lei Orgânica n.º 4/2017, de 25 de agosto.

2 – O formulário eletrónico do pedido de autorização judicial prévio deve conter, no mínimo, os elementos constantes do n.º 2 do artigo 9.º da Lei Orgânica n.º 4/2017, de 25 de agosto.

3 – O despacho da autorização judicial prévia é comunicado, de imediato, pela formação das secções criminais do Supremo Tribunal de Justiça aos prestadores de serviços de comunicações eletrónicas e às autoridades competentes do SIS e do SIED, com conhecimento do/a Procurador/a-Geral da República, através da aplicação informática SAPDOC, mediante a junção da parte relevante do despacho de autorização judicial prévia no respetivo formulário eletrónico.

4 – O despacho de autorização judicial prévia é comunicado à Comissão de Fiscalização de Dados do SIRP, com referência nominativa.

5 – O formulário eletrónico do despacho da autorização judicial prévia deve conter, no mínimo, os seguintes elementos:

a) A parte relevante do despacho da autorização judicial prévia, que deve especificar as categorias de dados de telecomunicações e Internet e o período temporal abrangido;

b) Os critérios predefinidos para a obtenção das medidas pontuais de acesso autorizadas.

6 – Os prestadores de serviços de comunicações eletrónicas solicitam, através da aplicação informática SAPDOC, que o formulário eletrónico seja retificado ou completado quando falte algum elemento essencial do mesmo.

Artigo 4.º

Recolha e transmissão de dados

1 – Após a receção do formulário referido no artigo anterior, e sem prejuízo do disposto no seu n.º 6, os prestadores de serviços de comunicações eletrónicas procedem imediatamente à pesquisa e recolha dos dados de telecomunicações e Internet.

2 – Os prestadores de serviços de comunicações eletrónicas enviam um ficheiro de resposta com os dados recolhidos, no prazo máximo de 36 horas, através da aplicação informática SAPDOC, à formação das secções criminais do Supremo Tribunal de Justiça, com conhecimento do/a Procurador/a-Geral da República.

3 – Em situações de urgência devidamente fundamentadas no pedido elaborado pelos diretores do SIS ou do SIED e validadas no despacho de autorização judicial prévia, o envio do ficheiro de resposta com os dados recolhidos é efetuado no mais breve prazo possível.

4 – A formação das secções criminais do Supremo Tribunal de Justiça, em caso de validação do tratamento dos dados, nos termos do n.º 2 do artigo 12.º da Lei Orgânica n.º 4/2017, de 25 de agosto, remete de forma imediata o ficheiro de resposta com os dados recolhidos, através da aplicação informática SAPDOC, ao Diretor do Centro de Dados do SIS ou ao Diretor do Centro de Dados do SIED, dando conhecimento ao/à Procurador/a-Geral da República.

5 – Os prestadores de serviços de comunicações eletrónicas são notificados, através da aplicação informática SAPDOC, da receção e armazenamento com sucesso do ficheiro de resposta enviado ao SIS ou ao SIED.

6 – Após a receção da notificação referida no número anterior, os prestadores de serviços de comunicações eletrónicas eliminam do seu sistema a cópia do ficheiro de resposta enviado, sem prejuízo da obrigação de conservação e preservação dos dados, constante nas normas legais aplicáveis.

Artigo 5.º

Cancelamento e destruição dos dados

1 – O despacho de cancelamento do procedimento em curso de acesso a dados de comunicações e Internet e de destruição de dados, a que se refere o n.º 3 do artigo 12.º da Lei Orgânica n.º 4/2017, de 25 de agosto, é comunicado, de imediato, pela formação das secções criminais do Supremo Tribunal de Justiça aos prestadores de serviços de comunicações eletrónicas, às autoridades competentes do SIS e do SIED, ao/à Procurador/a-Geral da República e à Comissão de Fiscalização de Dados do SIRP, através da aplicação informática SAPDOC.

2 – Os prestadores de serviços de comunicações eletrónicas e as autoridades competentes do SIS e do SIED comunicam à formação das secções criminais do Supremo Tribunal de Justiça a efetivação do cancelamento dos procedimentos e da destruição dos dados a que se refere o número anterior.

3 – No caso dos prestadores de serviços de comunicações eletrónicas a destruição dos dados opera-se no termos do n.º 6 do artigo anterior.

Artigo 6.º

Segurança dos dados e das comunicações

1 – A aplicação informática SAPDOC, designadamente a transmissão eletrónica de dados e os acessos previstos na mesma, é rastreável e auditável de acordo com o estado da técnica ao momento da transmissão, conferindo as máximas garantias de segurança neste domínio.

2 – Tendo em vista a segurança dos dados e das comunicações eletrónicas previstas na presente Portaria, são adotadas as seguintes medidas mínimas:

a) Acesso ao SAPDOC mediante permissões de acesso diferenciadas em razão da necessidade de conhecer e da segregação de funções, através de prévia autenticação, com a introdução da identificação individual de utilizador e de uma palavra-passe forte, única e intransmissível;

b) Cifra dos ficheiros de resposta na transmissão diferida dos dados de telecomunicações e de Internet;

c) Registo eletrónico dos ficheiros de resposta enviados, com a indicação de quem procedeu ao envio e da data e hora em que o mesmo ocorreu;

d) Registo eletrónico dos acessos ao SAPDOC, com a indicação da ação efetuada, do seu autor, local (designação do IP e porto), data e hora;

e) Registo eletrónico dos acessos a ficheiros de resposta, com a indicação de quem os efetuou, e da data e hora de cada acesso;

f) Eliminação dos suportes de dados tratados no âmbito do presente procedimento especial, quando deixarem de ser necessários, através da utilização de procedimentos seguros, formais e documentados que garantam a integral eliminação dos dados.

3 – Os ficheiros de resposta obedecem, no mínimo, aos seguintes requisitos técnicos de segurança:

a) Elaboração em formato portable document format (pdf), podendo ser incluída uma cópia em formato EXCEL ou CSV e/ou em arquivo de texto de formato ASCII;

b) Aposição de assinatura eletrónica, com indicação de data e hora;

c) Cifra mediante chaves assimétricas, disponibilizadas através de certificados digitais válidos, por forma a assegurar que no caso do Diretor do Centro de Dados do SIS ou do Centro de Dados do SIED a receção dos ficheiros, no caso da formação especial de juízes do Supremo Tribunal de Justiça a visualização e o envio, e do/a Procurador/a-Geral da República a visualização em suporte eletrónico dos dados neles constantes se efetuam apenas através do SAPDOC.

4 – As medidas e os requisitos técnicos mínimos de segurança inerentes à aplicação informática que sustenta a transmissão diferida dos dados de telecomunicações e Internet, através da aplicação informática SAPDOC, são aprovados mediante despacho classificado do Primeiro-Ministro e dos membros do Governo responsáveis pelas áreas das comunicações e da cibersegurança.

5 – As medidas relativas à qualidade e à salvaguarda da confidencialidade e da segurança dos dados, previstos na Lei n.º 67/98, de 26 de outubro, alterada pela Lei n.º 103/2015, de 24 de agosto, e na Lei n.º 41/2004, de 18 de agosto, alterada pela Lei n.º 46/2012, de 29 de agosto, que a republicou, no que respeita ao SIS e ao SIED estão sujeitas à fiscalização e controlo da Comissão de Fiscalização de Dados do SIRP, nos termos do artigo 15.º da Lei Orgânica n.º 4/2017, de 25 de agosto.

6 – A definição de acrescidos requisitos técnicos de segurança entre os prestadores de serviços de comunicações eletrónicas, as autoridades competentes do SIS e do SIED, a formação das secções criminais do Supremo Tribunal de Justiça e o/a Procurado/a-Geral da República, é coberta pelo regime do segredo de Estado aplicável ao SIRP, nos termos do disposto no n.º 5 do artigo 14.º da Lei Orgânica n.º 4/2017, de 25 de agosto.

7 – No âmbito do disposto na presente Portaria, o SAPDOC é objeto de auditorias de segurança a realizar pelo Gabinete Nacional de Segurança nos termos legais aplicáveis.

Artigo 7.º

1 – A presente Portaria produz efeitos na data da publicação no Diário da República da deliberação do Conselho Diretivo do IGFEJ, I. P., que atesta a operacionalidade do sistema previsto no artigo 2.º

2 – A deliberação prevista no n.º 1 deve ser adotada até ao dia 31 de janeiro de 2019.

Em 27 de agosto de 2018.

O Primeiro-Ministro, António Luís Santos da Costa. – A Ministra da Presidência e da Modernização Administrativa, Maria Manuel de Lemos Leitão Marques. – O Ministro do Planeamento e das Infraestruturas, Pedro Manuel Dias de Jesus Marques.

111614211