Regulamento do Centro de Dados do Serviço de Informações Estratégicas de Defesa e do Centro de Dados do Serviço de Informações de Segurança


«Resolução do Conselho de Ministros n.º 188/2017

A Lei-Quadro do Sistema de Informações da República Portuguesa (SIRP), aprovada pela Lei n.º 30/84, de 5 de setembro, alterada pelas Leis n.os 4/95, de 21 de fevereiro, 15/96, de 30 de abril, e 75-A/97, de 22 de julho, e pelas Leis Orgânicas n.os 4/2004, de 6 de novembro, e 4/2014, de 13 de agosto, previu a criação de Centros de Dados nos Serviços de Informações.

Nesse sentido, as Resoluções do Conselho de Ministros n.os 47/88, de 5 de novembro, e 22/98, de 12 de fevereiro, adotaram e estabeleceram, em anexo, os regulamentos dos Centros de Dados, respetivamente, do Serviço de Informações de Segurança (SIS) e do Serviço de Informações Estratégicas de Defesa (SIED).

A experiência colhida ao longo dos anos de atividade dos Centros de Dados e a evolução técnica nesta área ditam a necessidade de aperfeiçoar alguns dos procedimentos tendentes à segurança de informações neles processadas. Por outro lado, a criação do Secretário-Geral do SIRP através da Lei Orgânica n.º 4/2004, de 6 de novembro, que alterou a Lei-Quadro do SIRP, aprovada pela Lei n.º 30/84, de 5 de setembro, gera igualmente a necessidade de aprovar um novo regulamento dos Centros de Dados. Com efeito, está o Secretário-Geral do SIRP incumbido, nos termos do disposto na alínea g) do n.º 3 do artigo 19.º daquela Lei-Quadro, de dirigir as atividades dos Centros de Dados do SIED e do SIS, o que não sucedia anteriormente, pelo que se impõe aclarar, num Regulamento dos Centros de Dados dos Serviços de Informações referidos, a necessária articulação entre a competência própria do Secretário-Geral e aquela de que estão revestidos os diretores dos referidos dois Centros de Dados. De resto, a Lei n.º 9/2007, de 19 de fevereiro, alterada pela Lei n.º 50/2014, de 13 de agosto, que estabelece a orgânica do Secretário-Geral do SIRP, do SIED e do SIS, veio, nos artigos 41.º e seguintes, dispor sobre a matéria em conformidade com o regime ora vigente, outro motivo que aconselha um novo regulamento para os Centros de Dados em referência.

Embora assegurando o processamento de informação distinta, o Centro de Dados do SIED e o Centro de Dados do SIS encontram-se sujeitos às mesmas disposições constitucionais e legais, designadamente em matéria de proteção de dados pessoais. Entendendo-se, por esse motivo, que uma uniformização de procedimentos e de atuação poderá contribuir para uma melhor prossecução dos objetivos dos Serviços de Informação e uma mais rigorosa defesa dos direitos individuais das pessoas, facilitando ainda a atividade dos respetivos órgãos de fiscalização. Razões estas que fundam a opção por um único regulamento comum aos dois Centros de Dados.

Foi promovida a participação do Conselho Superior de Informações, bem como a audição do Conselho de Fiscalização do SIRP e da Comissão de Fiscalização de Dados do SIRP.

Assim:

Nos termos das alíneas c) e d) do artigo 199.º da Constituição, o Conselho de Ministros resolve:

1 – Aprovar o Regulamento do Centro de Dados do Serviço de Informações Estratégicas de Defesa (SIED) e do Centro de Dados do Serviço de Informações de Segurança (SIS), anexo à presente resolução e da qual faz parte integrante.

2 – Revogar as Resoluções do Conselho de Ministros n.os 47/88, de 5 de novembro, e 22/98, de 12 de fevereiro.

3 – Determinar que a presente resolução produz efeitos no dia da sua aprovação.

Presidência do Conselho de Ministros, 23 de novembro de 2017. – O Primeiro-Ministro, António Luís Santos da Costa.

ANEXO

(a que se refere o n.º 1)

Regulamento do Centro de Dados do Serviço de Informações Estratégicas de Defesa e do Centro de Dados do Serviço de Informações de Segurança

CAPÍTULO I

Disposições gerais

Artigo 1.º

Objeto

1 – O presente Regulamento estabelece, no âmbito do Sistema de Informações da República Portuguesa (SIRP), regras de funcionamento, critérios, normas técnicas, medidas e procedimentos destinados a garantir a segurança da informação processada no Centro de Dados do Serviço de Informações Estratégicas de Defesa (SIED) e no Centro de Dados do Serviço de Informações de Segurança (SIS), de acordo com as normas nacionais e internacionais aplicáveis em matéria de segurança, bem como das orientações definidas, ao nível político, pelos órgãos próprios.

2 – As inovações relativas ao software e hardware utilizados nos Centros de Dados são aprovadas por despacho do Secretário-Geral do SIRP, delas devendo ser dado conhecimento à Comissão de Fiscalização de Dados do SIRP.

Artigo 2.º

Competência do Secretário-Geral

1 – Compete ao Secretário-Geral do SIRP dirigir a atividade dos Centros de Dados, os quais funcionam sob a orientação do respetivo diretor nomeado nos termos da Lei-Quadro do SIRP, aprovada pela Lei n.º 30/84, de 5 de setembro, alterada pelas Leis n.os 4/95, de 21 de fevereiro, 15/96, de 30 de abril, e 75-A/97, de 22 de julho, e pelas Leis Orgânicas n.os 4/2004, de 6 de novembro, e 4/2014, de 13 de agosto.

2 – O Secretário-Geral do SIRP exerce as competências referidas no número anterior em articulação com os diretores do SIED e do SIS.

Artigo 3.º

Atribuições dos Centros de Dados

1 – Cada um dos Centros de Dados desenvolve as atividades de processamento e conservação de dados e informações respeitantes exclusivamente às atribuições específicas do Serviço de Informações em que se integra.

2 – Cada um dos Centros de Dados funciona autonomamente, não podendo existir qualquer tipo de conexão com o outro.

Artigo 4.º

Competências dos Diretores dos Centros de Dados

Compete ao Diretor do Centro de Dados:

a) Assegurar o respeito pelas disposições constitucionais, legais e regulamentares aplicáveis, no processamento, na conservação e no acesso aos dados e informações recolhidos pelo SIED e/ou pelo SIS no âmbito das respetivas atividades;

b) Fiscalizar o cumprimento das normas que regem o acesso, por parte dos funcionários, aos dados constantes do respetivo Centro de Dados, bem como das demais normas respeitantes à segurança das informações processadas e dos critérios e normas técnicas do seu funcionamento;

c) Informar mensalmente, e também sempre que circunstâncias excecionais o exijam, o Secretário-Geral do SIRP, a Comissão de Fiscalização de Dados do SIRP e o respetivo Diretor do SIED ou do SIS das atividades de controlo das operações de tratamento automatizado da informação.

CAPÍTULO II

Funcionamento dos Centros de Dados

Artigo 5.º

Definições

1 – Os «Centros de Dados» são o conjunto de dados e informações recolhidos no âmbito das atividades do SIED e do SIS, respeitantes às suas atribuições institucionais legalmente estabelecidas, processados e conservados em arquivo magnético ou outro tipo de suporte.

2 – Para efeito do disposto no presente Regulamento, consideram-se «Bases de Dados» o conjunto de ficheiros automatizados de dados, relacionados com os departamentos que integram o SIED e o SIS, e acessíveis segundo critérios determinados, assentes no princípio da necessidade de conhecer e de autorização de acesso.

3 – O processamento e conservação em suporte magnético ou outro suporte próprio de dados e informações tratados no âmbito da atividade do SIED e do SIS compreende as operações de:

a) Receção;

b) Registo e Indexação/Normalização;

c) Gestão, Controlo e Validação; e

d) Arquivo, Supressão e Destruição.

Artigo 6.º

Dados pessoais

1 – A recolha de dados pessoais para tratamento automatizado limita-se ao necessário para a produção de informações que contribuam para o cumprimento das atribuições institucionais do SIED e do SIS.

2 – Os dados pessoais, recolhidos nos termos do número anterior, devem ser adequados, pertinentes e não excessivos relativamente à finalidade determinante da sua recolha, bem como exatos e atualizados, conservando-se apenas durante o período de tempo estritamente necessário para a prossecução de tal finalidade.

3 – Os diretores dos Centros de Dados são responsáveis pelo tratamento dos dados pessoais nos termos da lei.

Artigo 7.º

Recolha de dados

Os dados e informações conservados nos Centros de Dados são obtidos a partir de informação recolhida pelo SIED ou pelo SIS, respetivamente, no exercício das respetivas atribuições institucionais, designadamente:

a) Informação recebida de Forças e Serviços de Segurança, das Forças Armadas e de Serviços Públicos, no âmbito da cooperação prevista na lei; e

b) Informação recebida de organismos congéneres estrangeiros, no quadro dos compromissos assumidos pelo Estado Português, dentro dos limites das suas atribuições específicas, no âmbito da cooperação prevista na lei.

CAPÍTULO III

Critérios e normas técnicas

Artigo 8.º

Acesso aos dados

1 – Os funcionários e agentes do SIED e do SIS, devidamente autorizados para o efeito, apenas têm acesso à informação contida no Centro de Dados do respetivo Serviço.

2 – A autorização de acesso referida no número anterior é concedida pelo Secretário-Geral do SIRP, sob proposta dos diretores do SIED e do SIS, e tem caráter estritamente pessoal, podendo ser revogada a qualquer momento.

3 – Sem prejuízo do disposto sobre fiscalização na legislação aplicável ao SIRP, nenhuma entidade estranha ao SIED ou ao SIS pode ter acesso aos dados e informações conservados nos respetivos Centros de Dados.

4 – As condições em que os dados e informações conservados nos Centros de Dados podem ser fornecidos aos órgãos e serviços previstos na Lei-Quadro do SIRP e na legislação de segurança interna são as que constam de despacho do Primeiro-Ministro, ouvido o Conselho de Fiscalização e a Comissão de Fiscalização de Dados do SIRP.

Artigo 9.º

Tratamento automatizado de dados

1 – Consideram-se incluídas no tratamento autorizado da informação quaisquer operações manuais ou lógicas de inserção de dados, a aplicação de operações lógicas e ou aritméticas a esses dados, bem como a sua modificação e supressão.

2 – Todas as operações de inserção, modificação e supressão de dados são sempre validadas, no mais curto espaço de tempo, pelo respetivo Diretor do Centro de Dados.

3 – As operações lógicas de inserção de dados são automaticamente notificadas ao respetivo Diretor do Centro de Dados, cuja validação é necessária para concluir o processamento lógico da sua inserção.

4 – Nenhum dado é definitivamente inserido ou suprimido sem a correspondente validação do respetivo Diretor do Centro de Dados, ficando a intervenção assinalada no sistema informático, relativamente a cada um dos movimentos efetuados.

5 – Os Diretores dos Centros de Dados devem impedir a introdução de dados que manifestamente se afigurem inadequados às finalidades legalmente definidas.

6 – A recusa de validação, pelo respetivo Diretor do Centro de Dados, de qualquer operação de inserção, modificação ou supressão de dados, é de imediato comunicada aos interessados.

7 – Qualquer supressão de registos deverá ser fundamentada, sob pena da sua não validação pelo respetivo Diretor do Centro de Dados.

Artigo 10.º

Conservação dos dados acessíveis

1 – Os dados não podem ser conservados por período superior ao necessário às finalidades para que foram inseridos.

2 – Logo que o mero decurso do tempo ou a ocorrência de circunstâncias supervenientes determinem a desatualização ou a inutilidade dos dados inseridos, os departamentos interessados devem propor ao respetivo Diretor do Centro de Dados a sua atualização ou a respetiva supressão.

3 – Três anos decorridos da inserção dos dados, os departamentos interessados devem obrigatoriamente justificar, junto do respetivo Diretor do Centro de Dados, a necessidade da sua manutenção.

4 – O Diretor do Centro de Dados pode propor aos departamentos interessados a ponderação da atualização ou supressão da informação suscetível de ser considerada caduca ou inútil.

5 – Os dados suprimidos são preservados, por um prazo mínimo de cinco anos, em ficheiro autónomo, no respetivo Serviço de Informações, não acessível através do sistema informático do SIED ou do SIS.

Artigo 11.º

Acesso aos registos suprimidos

1 – Aos registos suprimidos só podem aceder o Secretário-Geral do SIRP, os Diretores do SIED e do SIS, o Diretor do respetivo Centro de Dados e, nos termos legalmente previstos, os membros do Conselho de Fiscalização do SIRP e da Comissão de Fiscalização de Dados do SIRP.

2 – O acesso previsto no número anterior deve ser objeto de registo adequado.

3 – A destruição dos dados deve ser efetuada na presença dos membros da Comissão de Fiscalização de Dados do SIRP, dela sendo elaborado um auto que ficará arquivado no Centro de Dados respetivo.

CAPÍTULO IV

Da segurança

Artigo 12.º

Segurança da informação e dos sistemas de informação

1 – Os sistemas de informação e os dados processados são objeto de permanentes medidas de segurança que os salvaguarde dos riscos resultantes do quadro das ameaças e vulnerabilidades.

2 – Os utilizadores dos dois Centros de Dados devem observar as normas internas de segurança do respetivo Serviço de Informações.

3 – Os incidentes que afetem a segurança são obrigatória e imediatamente relatados, através dos canais adequados aos respetivos Diretor do Centro de Dados e Diretor do Serviço de Informações, devendo as quebras de segurança originar inquéritos que podem impor a instauração de procedimentos disciplinares e/ou criminais.

Artigo 13.º

Segurança física

A segurança física do Centro de Dados compreende o conjunto de medidas de proteção das instalações e do equipamento, e o controlo de entrada e permanência de pessoas, previstas em normas internas do respetivo Serviço de Informações em que se integra.

Artigo 14.º

Segurança dos dados

O conjunto de critérios e normas técnicas, medidas e procedimentos destinados a garantir a segurança da informação e dos sistemas de informação, de forma a impedir o acesso, a alteração e a destruição de informação de uma forma não prevista ou autorizada é o previsto nas instruções para a segurança nacional, nos acordos firmados no âmbito de convenções internacionais de que Portugal seja parte ou em resoluções adotadas no seu seguimento.»