“Empresas devem colocar como prioridades a governação de dados e cibersegurança”

Pedro Lomba é sócio e coordenador da área de Tecnologia, Media e Telecomunicações da PLMJ. Com mais de 18 anos de experiência profissional como advogado, tem prática profissional no direito da tecnologia e da regulação digital. Exerceu antes funções públicas como Secretário de Estado Adjunto do Ministro Adjunto e do Desenvolvimento Regional no XIX Governo Constitucional (2013-2015), com responsabilidades na política de media, e Secretário de Estado Adjunto e dos Assuntos Parlamentares no XX Governo Constitucional (2015). Foi ainda assessor jurídico da Presidência do Conselho de Ministros (2003).

Em entrevista ao ECO/Advocatus, fala sobre o Plano de Ação da Estratégia Digital Nacional 2026-2027.

 

Que leitura faz do Plano de Ação da Estratégia Digital Nacional 2026-2027 enquanto sinal político e jurídico para o tecido empresarial português?

O Plano envia um duplo sinal para o mercado. Politicamente, afirma a digitalização como prioridade transversal e alinhada com a agenda europeia, colocando o acesso à informação do Estado e da Administração Pública como instrumento de gestão e modernização contínua. Juridicamente, desloca a digitalização do domínio das “boas práticas” para o da obrigação verificável, antecipando e materializando quadros europeus em matéria de dados, IA, interoperabilidade e cibersegurança.

Do ponto de vista das empresas, qual considera ser a principal mudança de paradigma introduzida por este Plano, sobretudo na relação com o Estado e na forma como a digitalização deixa de ser opcional?

A mudança central – não sei se lhe chamaria mudança de paradigma – é a transição para um modelo de conformidade contínua, com integração técnica em infraestruturas públicas, com ciclos de verificação e reporte definidos e a adoção de padrões mínimos em segurança e governação de dados que passam a ser operacionalizados por medidas e diplomas específicos. Um exemplo disto mesmo é a adoção obrigatória de plataformas ou normas de interoperabilidade nacionais. Mas há no Plano muitas medidas que remetem para medidas a serem tomadas futuramente pelo Governo. O Plano é ainda, essencialmente, um anúncio.

Que riscos jurídicos e de competitividade enfrentam as organizações que não acompanhem o ritmo imposto por este Plano de Ação, nomeadamente em matéria de acesso a apoios públicos e contratos com a Administração Pública?

As organizações que não acompanhem enfrentarão riscos operacionais (por força das exigências de interoperabilidade e atualização de normas técnicas), riscos económicos (serão vistos como reativas e, logo, mais atrasadas e menos ágeis) e riscos reputacionais ou responsabilidade (especialmente em cibersegurança e uso de IA). Este ponto demonstra-se quer por via da atualização do Regulamento Nacional de Interoperabilidade Digital (RNID), quer da criação e atualização de diplomas que tornam obrigatória a integração técnica, quer das medidas do plano relativas à cibersegurança.

A centralidade dos dados, da interoperabilidade, da IA e da cibersegurança atravessa todo o Plano. Quais destas dimensões lhe parecem mais críticas do ponto de vista da conformidade legal e regulatória para as empresas?

Creio que há, pelo menos, quatro dimensões prioritárias. Nos dados, a definição de um modelo de governação, e de regras de partilha, reutilização e qualidade. Na interoperabilidade, a adoção de padrões, APIs, semântica comum, visto serem aspetos que condicionam a relação com o Estado. Em matéria de IA, os requisitos de gestão de risco, documentação, transparência, serão decisivos, sobretudo em soluções de alto risco. E na cibersegurança o reforço dos procedimentos de gestão de risco, alinhamento de frameworks, reporte de incidentes e segurança da cadeia de fornecimento é a frente com maior probabilidade de fiscalização. Será interessante perceber como será feito o desenvolvimento de um modelo nacional de classificação de dados e definição de regras específicas para dados sensíveis.

A mudança central – não sei se lhe chamaria mudança de paradigma – é a transição para um modelo de conformidade contínua, com integração técnica em infraestruturas públicas, com ciclos de verificação e reporte definidos e a adoção de padrões mínimos em segurança e governação de dados que passam a ser operacionalizados por medidas e diplomas específicos”

A criação de um diploma que torna obrigatória a utilização da plataforma iAP para circulação de dados representa um reforço significativo de deveres. Que impactos práticos antevê para as empresas fornecedoras do Estado?

A obrigatoriedade de utilizar a plataforma iAP institucionaliza a interoperabilidade como dever operacional e contratual. Para fornecedores, isto implica adaptar arquiteturas para consumir e expor serviços via iAP, assegurar segurança de APIs, manter registos e pistas de auditoria, e refletir em contratos responsabilidades por indisponibilidades, integridade de dados e tempos de resposta, incluindo procedimentos de gestão de incidentes.

A aposta numa cloud soberana nacional levanta questões relevantes de governação de dados, localização e segurança. Que cuidados devem ter as empresas que operam com dados sensíveis ou infraestruturas críticas?

Fiquei com dúvidas sobre este eixo particular, porque a existência de uma cloud soberana (com governação, controlo e requisitos de segurança definidos em Portugal/UE) não implica, por si só, uma obrigação geral de residência de dados; e, inversamente, eventuais exigências de residência/localização resultam de regimes legais ou setoriais específicos (por exemplo, classificação de dados da Administração Pública, segredos de Estado ou requisitos setoriais), não do mero rótulo «soberana». No quadro europeu, o RGPD não impõe localização na UE, mas regula as transferências internacionais; já o Plano pode prever, para determinadas categorias de dados públicos sensíveis, que venham ser definidos requisitos de permanência em infraestruturas nacionais. Assim, as decisões de localização devem ser tomadas caso a caso, com base no regime que lhes for aplicável e não apenas no modelo de cloud.

Seja como for, para as organizações com dados sensíveis ou infraestruturas críticas isso implicará definir políticas de classificação e retenção, e desenhar planos de continuidade e resiliência adequados.

 

O Plano prevê um reforço claro das exigências em matéria de cibersegurança, incluindo responsabilidade de fornecedores e reporte de incidentes. Estamos preparados, enquanto mercado, para este nível de exigência?

O Plano eleva os requisitos de cibersegurança, com responsabilidades de fornecedores, reporte de incidentes e alinhamento com o regime jurídico nacional aplicável decorrente da transposição da NIS 2, exigindo clarificação da cadeia de governação, profissionalização de controlos, testes e gestão de riscos na cadeia de fornecimento. É expectável que a futura Estratégia Nacional de Cibersegurança traga novidades para as PME’s, em articulação com o regime jurídico nacional de cibersegurança recentemente aprovado.

Do ponto de vista estratégico, como devem as empresas acompanhar as atualizações semestrais do Plano de Ação para garantir antecipação regulatória e aproveitamento de oportunidades?

As atualizações periódicas pedem um ciclo interno da verificação da conformidade em cada seis meses, com responsáveis claros, mapeamento de requisitos para políticas/processos ou contratos e revisão de controlos e integrações técnicas, além de inteligência regulatória para antecipação.

No quadro europeu, o RGPD não impõe localização na UE, mas regula as transferências internacionais; já o Plano pode prever, para determinadas categorias de dados públicos sensíveis, que venham ser definidos requisitos de permanência em infraestruturas nacionais. Assim, as decisões de localização devem ser tomadas caso a caso, com base no regime que lhes for aplicável e não apenas no modelo de cloud”

Em síntese, que recomendações deixaria às lideranças empresariais para 2026, tendo em conta que a transformação digital passa a ser, também, uma obrigação jurídica e não apenas uma opção estratégica?

Desde logo as empresas devem colocar na primeira linha de prioridades os temas da governação de dados e da cibersegurança. Devem investir em interoperabilidade por conceção e profissionalizar o controlo de conformidade das soluções de IA (inventário, classificação de risco, documentação e avaliações), aproveitando a adoção de uma Agenda Nacional de IA assente em pilares como infraestrutura, adoção, talento e responsabilidade. Devem estar atentos aos requisitos de segurança e qualidade de dados na cadeia de fornecimento, preparar evidências e certificações e instituir um playbook de reporte de incidentes. De resto, relembrar sempre a regra sobejamente conhecida de que o alinhamento entre equipas jurídicas, TI e compras é decisivo para responder a qualquer plano, público ou privado, de digitalização.