Artigos 72 a 76
O que custa não cumprir.
A Autoridade Nacional de Segurança Cibernética supervisiona, fiscaliza e sanciona art. 72 art. 73. O artigo 75 lista as contravenções e o artigo 76 fixa as multas em salários mínimos da função pública, sem prejuízo de pena mais grave ao abrigo da legislação penal. As molduras mais pesadas atingem exactamente as duas obrigações centrais da lei: requisitos de segurança e notificação de incidentes.
| Art. 75 | Contravenção | Multa (SM) | Sanção |
|---|---|---|---|
| t) | Incumprimento da obrigação de requisitos de segurança (artigos 48 e 50 a 56)⚠ O artigo 76 pune esta alínea duas vezes: 1 SM/semana na alínea f) e 90 a 160 SM na alínea h). Mostramos a moldura mais gravosa. | 90–160 | art. 76, h) |
| u) | Incumprimento da obrigação de notificação de incidentes (artigos 58 a 65) | 80–100 | art. 76, i) |
| v) | Incumprimento das instruções e alertas de segurança cibernética emitidos pela ANSC | 60–90 | art. 76, j) |
| g) | Violação do dever de licenciar os serviços previstos na lei (operar sem licença) | 64 | art. 76, g) |
| h) | Uso intencional de uma licença não concedida ao provedor de serviço | 35 | art. 76, a) |
| q) | Recusa em cumprir decisão da ANSC para bloquear, filtrar ou remover conteúdo que ameace ou afecte a segurança cibernética do país | 2–17 | art. 76, b) |
| a) | Não notificar a ANSC, no prazo de 7 dias, a mudança de propriedade legal de infra-estrutura crítica de informação registada | 1–7 | art. 76, d) |
| b) | Falha do responsável de infra-estrutura crítica em relatar um incidente de segurança cibernética | 1–7 | art. 76, d) |
| c) | Recusa ou obstrução à realização de auditoria em infra-estrutura crítica de informação | 1–7 | art. 76, d) |
| d) | Recusa em apresentar cópia do relatório de auditoria à autoridade | 1–7 | art. 76, d) |
| j) | Utilização indevida de mecanismos de interceptação na execução de mandado judicial | 7 | art. 76, c) |
| k) | Omissão das medidas necessárias para permitir a desencriptação de comunicação, nos termos de mandado judicial | 7 | art. 76, c) |
| l) | Incumprimento da obrigação de reter as informações do assinante por um ano | 1–7 | art. 76, d) |
| m) | Incumprimento da obrigação de reter os dados de tráfego por um ano | 1–7 | art. 76, d) |
| n) | Violação da responsabilidade de reter dados de tráfego por um ano⚠ Duplica materialmente a alínea m). | 1–7 | art. 76, d) |
| o) | Uso ilegal de dados retidos para finalidade diferente da declarada no mandado | 1–7 | art. 76, d) |
| p) | Violação da obrigação de apresentar informações relevantes à autoridade competente (OIC, CSIRT designado ou provedor digital) | 1–7 | art. 76, d) |
| s) | Incumprimento diário de pedido de envio de informação relevante à autoridade competente | 1–7 | art. 76, d) |
| e) | Incumprimento das directrizes regulatórias emanadas pela ANSC | 1–4 | art. 76, e) |
| f) | Recusa da instituição em relatar um incidente de segurança cibernética ao órgão competente | 1–4 | art. 76, e) |
| i) | Incumprimento dos requisitos e medidas de segurança cibernética⚠ Sobrepõe-se à alínea t): a mesma conduta pode cair em molduras muito diferentes (1-4 vs 90-160 SM). | 1–4 | art. 76, e) |
| r) | Incumprimento de directiva emanada pela ANSC | 1 /semana | art. 76, f) |
Incoerências que interessa conhecer
- Sanções em duplicado: o incumprimento dos requisitos de segurança (alínea t) é punido no artigo 76 com 1 SM por semana na alínea f) e com 90 a 160 SM na alínea h). Qual prevalece? A lei não diz.
- Molduras invertidas: operar sem licença custa 64 SM, mas usar a licença de outrem custa 35 SM, e recusar uma ordem de bloqueio de conteúdos custa apenas 2 a 17 SM, uma fracção do incumprimento de requisitos técnicos.
- Poder de bloqueio pela porta das traseiras: a alínea q) do artigo 75 pressupõe que a ANSC pode ordenar o bloqueio, filtragem ou remoção de conteúdos, mas esse poder não consta do elenco de competências do artigo 11, com implicações para a liberdade de expressão.
- Dever de desencriptação: a alínea k) sanciona o provedor que não adopte as medidas necessárias para permitir a desencriptação de comunicações sob mandado. O alcance (incluindo para cifra ponta-a-ponta) ficará dependente da regulamentação.