Saltar para o conteúdo
Lei Ciber MZ

Pesquisar em todo o portal

← Notícias e análises
Regulamentação5 de julho de 2026Equipa Lei Ciber MZ

O que aí vem: lei de protecção de dados e a estratégia 2026-2030

As duas leis cibernéticas não vêm sozinhas. Uma lei de protecção de dados pessoais está em debate na Assembleia da República e uma nova Estratégia Nacional de Segurança Cibernética está a ser preparada. O que muda para a sua organização.

As Leis 13/2026 e 14/2026 são a parte mais visível de uma mudança maior. À volta delas está a formar-se um enquadramento completo: um tratado internacional já assinado, uma lei de protecção de dados pessoais em debate no parlamento e uma nova estratégia nacional em preparação. Para quem tem de cumprir, o essencial é perceber que estas peças se articulam e que a conformidade que hoje se constrói para as leis cibernéticas será a base do que vem a seguir.

O tratado global: a Convenção de Hanói

A 25 de Outubro de 2025, em Hanói, no Vietname, Moçambique assinou a Convenção das Nações Unidas contra o Cibercrime, conhecida como Convenção de Hanói. Adoptada pela Assembleia Geral da ONU em Dezembro de 2024, é o primeiro tratado global abrangente sobre cibercrime. Foi já assinada por mais de 60 países e entra em vigor 90 dias após a ratificação pelo 40.º signatário.

Isto não é um pormenor diplomático distante. A Lei 14/2026, que tipifica os crimes cibernéticos, foi desenhada em alinhamento com estes instrumentos internacionais, tanto a Convenção de Budapeste como a da ONU: os tipos de crime, os poderes processuais e os mecanismos de cooperação internacional seguem essa matriz. Quem quiser perceber a lógica da lei moçambicana ganha em olhar para a comparação com a Convenção de Budapeste, que continua a ser a principal referência técnica na matéria.

A lei de protecção de dados pessoais

A peça que mais falta fazia está a caminho. A 3 de Março de 2026, o Conselho de Ministros aprovou a proposta de Lei que estabelece o Regime Jurídico de Protecção de Dados Pessoais, que seguiu para debate na Assembleia da República.

O alcance é largo. A proposta abrange entidades públicas e privadas e o tratamento de dados pessoais em suportes físicos e digitais. Define os princípios que passam a reger esse tratamento, entre eles a licitude, a finalidade e a minimização, consagra direitos dos titulares dos dados e estabelece a responsabilização de quem os trata.

A importância deste passo mede-se pelo que existia antes. Até esta lei entrar em vigor, Moçambique não tinha um regime geral de protecção de dados pessoais. Existiam apenas deveres esparsos, dispersos pelo Código Penal e por legislação avulsa, sem um enquadramento unificado. A nova lei preenche essa lacuna e coloca o país em linha com a tendência internacional de tratar a protecção de dados como um direito autónomo.

O ponto de contacto com a Lei 13/2026

É aqui que os dois mundos se cruzam. A Lei 13/2026 impõe a retenção de dados de tráfego por um ano (artigos 37 a 42) e o registo obrigatório de utilizadores. Essas obrigações vão ter de conviver com os princípios da nova lei de protecção de dados: conservar metadados de toda uma base de utilizadores durante doze meses é, em si, um tratamento de dados pessoais de grande escala, que terá de respeitar a finalidade, a minimização e a segurança que o novo regime exige.

Para as organizações, a mensagem prática é que os dois cumprimentos não são separados. Quem hoje monta o registo e a retenção previstos na Lei 13 deve fazê-lo já com a lente da protecção de dados. O portal disponibiliza para isso templates de registo de tratamento de dados (RoPA) e de avaliação de impacto sobre a protecção de dados (DPIA), que ajudam a documentar essa articulação desde o início.

A Estratégia Nacional de Segurança Cibernética 2026-2030

Falta a moldura de política pública, e ela também está a ser desenhada. O INTIC, com apoio da Finlândia, está a preparar a nova Estratégia Nacional de Segurança Cibernética 2026-2030, que sucede à de 2021-2025, aprovada pela Resolução n.º 69/2021.

Os objectivos anunciados dão a direcção do que vem:

  • Fortalecimento institucional, com estruturas de monitorização e resposta a incidentes mais robustas.
  • Capacitação técnica de quadros, para dotar o país das competências que a execução das leis exige.
  • Protecção de infra-estruturas críticas, os sistemas cujo comprometimento teria impacto nacional.

Para as entidades abrangidas pelas leis cibernéticas, a estratégia é o contexto em que as obrigações concretas vão ganhar apoio operacional: mais capacidade de resposta do lado do Estado, mais exigência de maturidade do lado de quem cumpre.

O que a sua organização deve fazer já

A tentação de esperar pela lei de protecção de dados antes de agir é um erro. As Leis 13 e 14 já estão em vigor e o seu cumprimento não pode ficar suspenso. O caminho sensato é cumprir hoje o que já é obrigatório e, ao fazê-lo, antecipar o que vem a seguir:

  • Cumprir as Leis 13 e 14, com o registo, a retenção e a notificação de incidentes que exigem.
  • Antecipar a protecção de dados, documentando desde já os tratamentos com os templates de RoPA e DPIA, para que a entrada em vigor do novo regime não apanhe a organização desprevenida.
  • Seguir um plano faseado, em vez de reagir peça a peça. O roadmap do portal organiza estes passos numa sequência realista.

A regulamentação, o tratado, a lei de dados e a estratégia apontam todos na mesma direcção. Quem construir agora uma base sólida de conformidade estará a preparar-se não para uma lei, mas para o enquadramento inteiro que Moçambique está a montar.

Conteúdo informativo, não constitui aconselhamento jurídico. Para decisões concretas, confirme sempre no texto integral das leis e com apoio jurídico habilitado.