Resolução do Conselho de Ministros n.º 41/2018, de 28 de março – Arquitetura de Segurança das Redes e Sistemas de Informação dos Dados Pessoais na Administração Pública.
Define orientações técnicas para a Administração Pública em matéria de arquitetura de segurança das redes e sistemas de informação relativos a dados pessoais.
https://dre.pt/home/-/dre/114937034/details/maximized
O Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, doravante designado RGPD, veio introduzir um novo regime em matéria de proteção de dados pessoais, tendo revogado a Diretiva n.º 95/46/CE.
Para além do reforço da proteção jurídica dos direitos dos titulares dos dados, o RGPD exige novas regras e procedimentos do ponto de vista tecnológico.
A relação entre a tecnologia e o Direito está espelhada, de modo especial, na proteção de dados desde a conceção e por defeito (artigo 25.º do RGPD), nas medidas adequadas para garantir a segurança do tratamento (artigo 32.º do RGPD), na notificação de violações de dados pessoais às autoridades de controlo (artigo 33.º do RGPD), na comunicação de violação de dados pessoais aos titulares dos dados (artigo 34.º do RGPD) e na avaliação de impacto sobre a proteção de dados (artigo 35.º do RGPD).
O direito ao apagamento dos dados pessoais e o direito à portabilidade destes, consagrados respetivamente nos artigos 17.º e 20.º do RGPD, exigem igualmente a implementação de tecnologias de informação que utilizem formatos interoperáveis, sem imposição ou discriminação em favor da utilização de um determinado tipo de tecnologia, e que permitam que estes direitos possam ser efetivamente exercidos.
Nesta medida, o Governo considera fundamental definir orientações técnicas para a Administração Pública, recomendando-as ao setor empresarial do Estado, em matéria de arquitetura de segurança das redes e sistemas de informação e procedimentos a adotar de modo a cumprir as normas do RGPD.
Tendo em conta que o RGPD é aplicável a partir de 25 de maio de 2018, cumpre desde já fixar as mencionadas orientações.
Assim:
Nos termos da alínea g) do artigo 199.º da Constituição, o Conselho de Ministros resolve:
1 – Aprovar os requisitos técnicos mínimos das redes e sistemas de informação que são exigidos ou recomendados a todos os serviços e entidades da Administração direta e indireta do Estado, os quais constam do anexo à presente resolução e que dela faz parte integrante.
2 – Recomendar a aplicação dos requisitos técnicos a que se refere o número anterior também nas redes e sistemas de informação do setor empresarial do Estado.
3 – Determinar que cada serviço e entidade da Administração direta e indireta do Estado deve avaliar a conformidade dos requisitos técnicos das redes e sistemas de informação em uso com as finalidades e princípios de segurança que se pretendem alcançar com os requisitos estabelecidos no anexo à presente resolução.
4 – Determinar que os requisitos referidos no anexo à presente resolução devem ser implementados no prazo máximo de 18 meses após a data de entrada em vigor da presente resolução.
5 – Estabelecer que a presente resolução entra em vigor no dia seguinte ao da sua publicação.
Presidência do Conselho de Ministros, 22 de março de 2018. – Pelo Primeiro-Ministro, Augusto Ernesto Santos Silva, Ministro dos Negócios Estrangeiros.
ANEXO
(a que se referem os n.os 1, 3 e 4)
Arquitetura de segurança das redes e sistemas de informação
Requisitos técnicos
Notas:
FE – Front-end;
App – Camada Aplicacional
BD – Camada de Base de Dados
(ver documento original)