Entre essas está a edificação ou aquisição de instalações próprias e adequadas e pessoal, no sentido de expandir os seus serviços a todas as províncias. Esses e outros assuntos são trazidos em entrevista com o director de Auditoria e Inspecção da instituição, Cruz Joaquim da Gama

Senhor director, como se dá a criação da Agência de Protecção de Dados?

Antes que responda a essa questão, permita-me que explique que a Agência de Protecção de Dados (APD) é a autoridade pública do Estado angolano responsável pela fiscalização do modo como as instituições públicas e privadas tratam os dados pessoais dos cidadãos.

Ela surge na sequência da aprovação da Lei da Protecção de Dados Pessoais, em 2011, dada à necessidade de um ente para fiscalizar a implementação da própria Lei e da Convenção da União Africana Sobre Ciber-segurança e Protecção de Dados Pessoais. 

Além dessa fiscalização que acaba de mencionar, quais as tarefas da Agência?

O principal papel é o de assegurar o respeito da privacidade dos cidadãos, mediante à protecção dos seus dados pessoais. Para tal, tem a incumbência de fiscalizar o modo como as instituições públicas e privadas tratam os dados pessoais dos cidadãos, autorizar o tratamento de dados pessoais, garantir o exercício dos direitos dos cidadãos sobre os seus dados pessoais e sancionar todos os que violem as regras do tratamento de dados pessoais. Mas, a nossa missão é, igualmente, emitir pareceres sobre os documentos normativos, apoiar o Executivo na elaboração de políticas, estudos, programas e projectos sobre a aplicação e controlo da legislação sobre a matéria de protecção de dados pessoais, orientar as medidas de segurança da informação, licenciar as Centrais Privadas de Informação de Crédito, dentre outras atribuições. 

Com o surgimento da Agência de Potecção de Dados, que grandes transformações se esperam ou já ocorreram nessa matéria?

Bem, a existência de uma autoridade de protecção de dados é uma das condições fundamentais para que um determinado país atinja a categoria de Estado com um nível de protecção de dados adequado, que sem o qual não pode existir fluxos transfronteiriços de dados pessoais e, concomitantemente, negócios. Por conseguinte, com a entrada em funções da APD, as empresas e outras instituições angolanas ficaram habilitadas a fazer negócios com empresas de outros países, porque Angola passou a integrar a lista de países que respeita e protege a privacidade dos cidadãos. Por outro lado, a nível interno, o país passou a contar com uma instituição que vela pelo respeito de um dos direitos fundamentais dos cidadãos; o direito à privacidade, por meio do controlo e fiscalização do modo como as instituições públicas e privadas tratam os dados pessoais, exigindo delas a observância das regras jurídicas estabelecidas por lei e a protecção desses dados, bem como assegurar aos cidadãos o exercício dos seus direitos, enquanto titulares dos dados. 

Em vários momentos refere-se a dados pessoais. Afinal, qual é a relação entre a APD com a gestão desses dados?

É preciso esclarecer que a gestão dos dados pessoais cabe às próprias empresas e instituições que recolhem e tratam esses dados. O papel da APD é autorizar o tratamento desses dados, mediante notificação ou pedido de autorização a si remetido pela instituição que pretende tratar os dados. Cabe, também, à APD a missão de fiscalizar a forma como os dados estão a ser tratados, ou seja, aferir se estão a ser observadas as regras jurídicas e de segurança da informação, através de acções inspectivas ou auditorias.

Em Angola, já existe uma lista de países que podem oferecer um nível de protecção de dados?

Por regra, todos os países que instituíram legislação e autoridade independente de protecção de dados são considerados países com um nível de protecção adequado. Como exemplo, podemos citar os países da União Europeia, o Reino Unido, e, em África, temos Cabo Verde, e todos os membros da Convenção 108 do Conselho da Europa e outros. Mas, é preciso que haja esse reconhecimento mútuo entre as respectivas autoridades de protecção de dados. 

Por quanto tempo, a APD conserva os dados de pessoas ou instituições públicas e privadas?

A APD não guarda os dados pessoais dos cidadãos, salvo os dos seus funcionários e colaboradores. Por via de regra, os dados pessoais são conservados pelas próprias empresas e instituições que os recolhem ou dão tratamento, cabendo a elas definir o prazo máximo de conservação dos mesmos. No entanto, a APD tem poder para determinar um limite no tempo máximo de conservação dos dados e, até, mesmo mandar apagar ou destruí-los, em função de uma situação concreta, fundamentalmente, da finalidade.

Presentemente, a Agência tem os funcionários para garantir as operações que acima citou?

Neste momento, a Agência conta com cerca de 30 funcionários, 90 por cento dos quais estão em comissão de serviço.

E qual seria a capacidade real de técnicos?

De acordo com o estatuto orgânico da APD seriam 175 funcionários, mas, por limitações orçamentais decorrentes de situações conjunturais do país, temos apenas os 30 de que fiz referência, número muito reduzido, se tivermos em conta o papel dessa instituição, enquanto ente responsável pela preservação de um dos direitos fundamentais dos cidadãos. Todavia, estamos a crer que os contactos que temos vindo a manter, quer com o Ministério das Finanças quer com a Entidade Recrutadora Única do Ministério da Administração Pública, Trabalho e Segurança Social (MAPTSS) e a superintendência, iremos ver minimizada essa carência a breve trecho. 

Com essa limitação de recursos humanos, em que províncias a APD está representada?

Até ao momento, por falta de recursos humanos e materiais, a APD não tem nenhuma representação provincial, digamos fora de Luanda. Mas, estamos a criar condições para, inicialmente, instalar representações regionais a médio prazo e, posteriormente, estender-se a cada  província. No entanto, para suprir essa falta, a Agência disponibilizou um balcão online no seu portal na internet, que é o www.apd.ao, por meio do qual é possível atender às solicitações quer dos cidadãos, quer das instituições públicas e privadas. Estamos a recepcionar as queixas, reclamações e denúncias dos cidadãos sobre a violação dos seus dados pessoais, bem como a recepção dos pedidos de autorização e notificações de tratamento de dados pessoais, ou seja, a legalização dos ficheiros de dados pessoais que as empresas dispõem. 

Quais são as instituições que mais solicitam os serviços da APD?

São, de longe, as instituições privadas. Apesar disso, temos vindo a constatar o surgimento de muitas micro e pequenas empresas, as chamadas Startups, sobretudo do segmento das tecnologias de informação que estão a tratar dados pessoais ilegalmente, ou seja, recolhem e tratam dados por via de formulários nos seus sites na Internet, sem a autorização da APD, sujeitando-se, dessa forma, a multas e outras penalizações previstas na Lei. 

Fez referência à escassez de recursos humanos e equipamentos. E do ponto de vista financeiro está a APD, para ser mais eficaz na prestação de serviços?

Bem, era nosso desejo ter, certamente, aquele orçamento que permitisse à APD dotar-se de meios humanos e materiais necessários para realizar cabalmente as suas atribuições orgânicas. Por exemplo, adquirir instalações próprias e adequadas, dispor-se de pessoal necessário, visto que, apesar de ser uma instituição nova. Desde a sua implementação, em Outubro de 2019 até ao momento, ainda não beneficiou de nenhum concurso público para o ingresso de funcionários, por falta de recursos financeiros, assim como precisa de adquirir meios técnicos e tecnológicos, instalar-se nas demais províncias, etc.

E qual é o orçamento actual da instituição?

O orçamento aprovado para a APD, no exercício de 2022, foi de 318.937.860 de kwanzas. 

Voltando às concepções de dados pessoais sensíveis e tratamento de dados pessoais, o que difere ambos os conceitos?

Dados pessoais sensíveis são aqueles, cujo tratamento indevido pode levar à discriminação, estigmatização e impedimento de usufruto de direitos por parte do cidadão titular dos dados, tais como os dados pessoais referentes a convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada, origem racial ou étnica, saúde e vida sexual, incluindo os dados genéticos. Entretanto, quando falamos de tratamento de dados pessoais estamos a nos referir a tudo aquilo que se pode fazer com esses dados, desde a recolha, registo, organização, comparação, conservação, adaptação ou alteração, recuperação, consulta, utilização, comunicação por transmissão ou por difusão ou por qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio ou destruição de dados.

Disse, há pouco, que o sector privado é que mais procura pelos serviços da APD. Como se encontra a situação da protecção de dados do sector público? 

A situação de protecção de dados pessoais no sector público é satisfatória, pese embora o incumprimento de algumas regras jurídicas para o efeito, mormente à notificação desses tratamentos à APD e de certas vulnerabilidades na implementação das medidas de segurança da informação. Daí aproveitarmos essa oportunidade para apelar aos responsáveis máximos das instituições, no sentido de investirem mais em segurança da informação para a protecção dos dados dos cidadãos, elevando, dessa forma, a confiança destes, quanto ao tratamento dos seus dados. 

Sobre os ataques cibernéticos, qual é a relação que a Agência tem com essa problemática?

Relativamente aos ataques cibernéticos, é importante esclarecer que a APD só tem competência para intervir nos casos em que os mesmos resultem em violação de dados pessoais. Portanto, a APD não intervém nos casos de violação de dados corporativos. Deste modo, quando tomamos conhecimento sobre um ataque cibernético ou incidente de segurança da informação, a APD despoleta um processo investigativo para aferir, em primeiro lugar, se dele resultou a violação de dados pessoais. Caso se confirme ter havido alguma negligência na implementação das medidas técnicas e organizativas de segurança da informação, ou inobservância dos requisitos e princípios estabelecidos na lei, se procede, então, a aplicação de multa contra a empresa responsável pelo tratamento desses dados. 

São mais as empresas públicas ou as privadas que têm propensão a sofrerem ataques cibernéticos no país?

De acordo com os nossos dados, esses ataques são direccionados na mesma proporção, independentemente de ser de direito público ou privado, embora com um ligeiro pendor mais para as do sector público. 

Desde a implementação da Agência, que avaliação é que se faz sobre quais as áreas mais sensíveis a nível da protecção de dados? 

As áreas mais sensíveis são, sem sombras de dúvidas, as do sector Financeiro e da Saúde.

Já se pode ter uma ideia de quantos ataques foram registados pela Agência?

A APD entrou em funções, em 2019, e desde aquela data teve conhecimento e deu tratamento a três ciberataques, designadamente a SETIC/MINFIN, BPC, Consulado de Angola em Lisboa e NCR, sem contar com outras situações não menos importantes que ocorrem a nível da Internet, das redes sociais e outros meios digitais. 

Particularmente, no ano recentemente findo, que estatísticas nos pode fornecer sobre ataques e outras situações?

No ano 2022, tivemos conhecimento de algumas violações de dados pessoais, sendo dois ataques cibernéticos; um no Consulado de Angola em Lisboa e outro à NCR – Angola, seis casos de acesso indevido de extratos bancários de cidadãos, dois de exposição de dados pessoais nas redes sociais e igual número de deposição de documentos com dados pessoais em contentores de lixo. Tivemos ainda um caso de existência de conta bancária com os dados pessoais de outro cidadão, três casos de recolha de imagens por CCTV em espaços comuns em moradores de edifícios multi-habitacionais, três casos de utilização de dados pessoais sem o consentimento dos titulares, um caso de usurpação de imagem de um cidadão, sete casos de acesso indevido a dados de saúde, oito casos de envio de SMS com conteúdo fraudulento, seis casos de comunicação de dados a terceiro sem o consentimento do titular dos dados e um caso de custódia de documentos com dados pessoais em local sem condições de segurança física. 

Pelos números que apresenta, naquilo que são as estratégias da APD, significa que tem havido poucas ou muitas denúncias?

Quanto a denúncias, recepcionamos muito poucas, apenas 19, número que revela a gritante falta de cultura de denúncia no seio da nossa sociedade. Apesar das acções de consciencialização levadas a cabo pela APD, quer por meio de webinares, seminários, debates televisivos e radiofónicos, entrevistas nosjornais e nas plataformas digitais da própria APD (Facebook e Youtube), sentimos, ainda, que o cidadão não tem noção da importância dos seus dados pessoais, tão pouco das consequências decorrentes da violação desses dados na sua vida.

O que se pode fazer para inverter este quadro?

Aproveitamos essa oportunidade para apelarmos uma vez mais aos cidadãos, no sentido de denunciarem junto da APD todas as violações aos seus dados pessoais, tais como o acesso indevido, exposição nas redes sociais, usurpação da sua identidade para a criação de perfis falsos, exposição de dados de saúde e dados bancários, exposição de documentos com dados pessoais em contentores de lixo, envio de publicidade de entes desconhecidos, etc..

Criar a cultura da denúncia é um dos grandes desafios da APD. Quais são as outras estratégias para os próximos anos?

Os desafios da APD vão desde à necessidade de se completar o quadro de pessoal e assegurar a sua formação contínua, a promoção da revisão e modernização da Lei da Protecção de Dados Pessoais, melhorar a aproximação aos cidadãos, com a realização de acções de sensibilização aos estudantes de todos os níveis de ensino e outros grupos alvos. Pretendemos, também, aperfeiçoar os sistemas de processamento dos dados, a fim de conferir maior celeridade nos pedidos de autorização de tratamento de dados pessoais, bem como assegurar a adesão do país na Convenção 108 do Conselho da Europa e outros fóruns internacionais de protecção de dados pessoais. 

Como está a APD em relação à questão das tecnologias?

A APD está longe do desejável, infelizmente, por conta das limitações financeiras. Mas, tem o mínimo para desempenhar as suas funções.