de 11 de abril
Define as regras e os procedimentos especiais de segurança para acesso e tratamento de dados e a estrutura e regras de funcionamento da plataforma de tramitação eletrónica no âmbito do Sistema de Informação da Organização do Estado (SIOE), nos termos da Lei 104/2019, de 6 de setembro, na redação dada pela Lei 45-A/2024, de 31 de dezembro.
A Lei 104/2019, de 6 de setembro, alterada pela Lei 82/2023, de 29 de dezembro, e pela Lei 45-A/2024, de 31 de dezembro, reformula e amplia o Sistema de Informação da Organização do Estado (SIOE), criado pela Lei 57/2011, de 28 de novembro, alterada pela Lei 66-B/2012, de 31 de dezembro, integra no SIOE os dados constantes da base de dados dos recursos humanos da Administração Pública (BDAP), criada pelo Decreto-Lei 47/98, de 7 de março, e estabelece ainda o regime de prestação de informação, no SIOE, sobre a caracterização e atividade social dos empregadores públicos.
A presente portaria define as regras e procedimentos especiais de segurança, a adotar pela entidade gestora do SIOE, para acesso e tratamento de informação, incluindo dados pessoais, registada no SIOE, com utilização de mecanismos de autenticação eletrónica, nos termos do n.º 4 do artigo 15.º da Lei 104/2019, de 6 de setembro, na redação pela Lei 45-A/2024, de 31 de dezembro.
Em casos excecionais, prevê-se a possibilidade de partilha de dados pessoais existentes no SIOE, nos termos do artigo 23.º da Lei 58/2019, de 8 de agosto, que assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
Para efeitos da alínea e) do n.º 2 do artigo 4.º da Lei 104/2019, de 6 de setembro, são também definidas as regras de funcionamento e integração do SIOE com outros sistemas de informação, designadamente, com o Electronic Exchange of Social Security Information (EESSI), sistema de informação que visa garantir que todas as instituições de segurança social da União Europeia procedam à troca de informações de forma mais rápida e segura, conforme exigido pelo Regulamento (CE) n.º 883/2004 do Parlamento Europeu e do Conselho, de 29 de abril de 2004, e no Regulamento (CE) n.º 987/2009 do Parlamento Europeu e do Conselho, de 16 de setembro de 2009, relativamente às eventualidades imediatas dos trabalhadores integrados no regime de proteção social convergente (RPSC), criado pela Lei 4/2009, de 29 de janeiro.
O ponto de acesso nacional ao EESSI é o Instituto de Informática, I. P., que tem a função de tramitar a informação relevante, relativa às diversas eventualidades, entre as a(s) instituição(ões) competente(s) do Sistema de Segurança Social, cabendo à DGAEP assegurar as condições materiais que garantem o encaminhamento dos Structured Electronic Documents (SED) relativos a trabalhadores integrados no RPSC - no âmbito das eventualidades doença, maternidade, paternidade e adoção, desemprego e acidentes de trabalho e doenças profissionais - entre o ponto de acesso nacional e a entidade a que o trabalhador se encontra vinculado ou afeto.
Importa, ainda, definir a estrutura e regras de funcionamento da plataforma de tramitação eletrónica de procedimentos administrativos, prestação de informação e tomada de decisão prevista no n.º 5 do artigo 4.º da Lei 104/2019, de 6 de setembro. Para o efeito, definem-se um conjunto de regras de funcionamento de forma a agilizar, automatizar e desmaterializar procedimentos administrativos entre empregadores públicos e entre estes e outras entidades nacionais, sem partilha ou utilização de quaisquer dados de identificação ou dados pessoais dos trabalhadores.
Assim, manda o Governo, pelo Ministro de Estado e das Finanças, pelo Ministro da Presidência, pela Ministra do Trabalho, Solidariedade e Segurança Social e pela Ministra da Juventude e Modernização, ao abrigo do n.º 6 do artigo 4.º e do n.º 4 do artigo 15.º da Lei 104/2019, de 6 de setembro, o seguinte:
Artigo 1.º
Objeto e âmbito de aplicação material
1 - A presente portaria:
a) Define regras e procedimentos de segurança especiais a adotar, nos termos da Lei 104/2019, de 6 de setembro, que reformula e amplia o Sistema de Informação da Organização do Estado (SIOE);
b) Define a estrutura e as regras de funcionamento da plataforma de tramitação eletrónica de procedimentos administrativos, prestação de informação e tomada de decisão prevista no artigo 4.º da Lei 104/2019, de 6 de setembro.
2 - São ainda fixadas as condições técnicas e organizativas necessárias para garantir a proteção dos dados pessoais tratados no âmbito do SIOE e da plataforma de tramitação eletrónica, em conformidade com o Regulamento (UE) 2016/679 (RGPD) e a Lei 58/2019, de 8 de agosto.
TÍTULO I
REGRAS E PROCEDIMENTOS DE SEGURANÇA ESPECIAIS PARA ACESSO E TRATAMENTO DE INFORMAÇÃO NÃO PÚBLICA NO SIOE
Artigo 2.º
Acesso ao SIOE
O SIOE, acessível através de página eletrónica, disponibiliza uma interface web para administração e gestão da aplicação.
Artigo 3.º
Competências da entidade gestora do SIOE
Para efeitos do disposto na presente portaria, compete à Direção-Geral da Administração e do Emprego Público (DGAEP), enquanto entidade gestora do SIOE:
a) Assegurar a monitorização e o acompanhamento da atividade da plataforma eletrónica;
b) Promover a utilização de arquiteturas que assegurem a tolerância a falhas físicas e lógicas;
c) Assegurar a integridade, confidencialidade e disponibilidade da informação enviada pelos empregadores públicos através de ferramentas seguras;
d) Promover a utilização de mecanismos de alarmística para o controlo;
e) Promover a utilização de mecanismos de auditoria dos acessos;
f) Adotar medidas técnicas e organizativas adequadas para assegurar que pessoas ou entidades não abrangidas nos n.os 1 e 2 do artigo 15.º da Lei 104/2019, de 6 de setembro, não acedem a informação reservada, incluindo dados pessoais, constante do SIOE.
Artigo 4.º
Segurança e Proteção de Dados
1 - A DGAEP deve adotar medidas de segurança proporcionais ao risco, observando os princípios da disponibilidade, integridade e confidencialidade da informação.
2 - O desenvolvimento e operação do SIOE observa o princípio da privacidade desde a conceção, bem como o princípio da privacidade por defeito.
Artigo 5.º
Estrutura organizativa da entidade gestora do SIOE
1 - A estrutura organizativa da DGAEP deve contemplar, pelo menos, as seguintes funções necessárias à operação do SIOE:
a) «Responsável de segurança», com a responsabilidade global de implementação das políticas e práticas de segurança e autorizado a monitorizar os arquivos de atividade dos sistemas e registo de eventos para auditoria;
b) «Administrador de sistemas», autorizado a instalar, configurar e manter os sistemas, mas com acesso limitado às configurações e aspetos relacionados com a segurança;
c) «Operador de sistemas», responsável por operar diariamente os sistemas, autorizado a realizar cópias de segurança e operações de rotina.
2 - Os postos de trabalho ou funções referidas nas alíneas a) e b) do número anterior são assegurados por pessoas distintas, havendo segregação de perfis de acesso, com formação adequada às funções e experiência demonstrada nas respetivas áreas.
Artigo 6.º
Procedimentos de segurança, sigilo e confidencialidade
1 - Os trabalhadores e dirigentes da DGAEP com acesso ao SIOE estão sujeitos aos procedimentos de segurança, sigilo e confidencialidade conduzidos pela unidade orgânica responsável pela segurança dos sistemas de informação, durante o processo de recrutamento conducente à sua designação e no decurso do exercício de funções.
2 - O disposto no número anterior mantém-se após o termo de funções.
3 - Os procedimentos e meios utilizados pela unidade orgânica responsável pela segurança constam de regulamento próprio classificado, aprovado por despacho do dirigente máximo da DGAEP.
Artigo 7.º
Sistemas e operações
1 - A DGAEP garante a fiabilidade, segurança, desempenho e disponibilidade da plataforma eletrónica, designadamente através:
a) Da definição de procedimentos de operação, administração e de segurança;
b) Da definição de critérios de desempenho e disponibilidade;
c) Do desenvolvimento aplicacional de modo que o risco de falha dos sistemas seja mínimo, seguindo as orientações descritas no modelo de gestão da segurança da informação;
d) Da proteção contra vírus e software malicioso de modo a assegurar a integridade dos sistemas e da informação nestes incluídos;
e) Da desativação, retirada e não instalação de serviços e processos desnecessários do sistema operativo, servidor web e servidor de aplicações;
f) Da aplicação dos requisitos estabelecidos na lei relativos à proteção de dados pessoais, nomeadamente na Resolução do Conselho de Ministros n.º 41/2018, de 28 de março;
g) Da aplicação dos requisitos definidos no modelo comum de desenho e desenvolvimento de serviços públicos digitais.
2 - A plataforma eletrónica deve assegurar a disponibilidade da informação para todos os seus utilizadores, exceto nos períodos de manutenção.
3 - A ligação da plataforma eletrónica à rede pública deve ser assegurada, no mínimo, por duas origens fisicamente independentes.
4 - Os vários sistemas que compõem a plataforma eletrónica devem receber as últimas atualizações de segurança, de forma atempada, à medida que são descobertas novas vulnerabilidades.
5 - Todos os serviços da plataforma eletrónica devem estar sincronizados com o NTP (Network Time Protocol) definido a partir do UTC (Universal Time Coordinated), devendo ser utilizadas duas fontes de tempo diferentes, em que uma delas é obrigatoriamente a hora legal portuguesa.
6 - Em caso de desastre, a plataforma eletrónica deve disponibilizar meios capazes de continuar as operações usando sistemas alternativos, assegurar o backup para garantir a integridade e a possibilidade de recuperação da informação, garantir a imutabilidade dos dados e garantir um plano de continuidade de negócio.
7 - A DGAEP deve especificar na sua política qual o tempo máximo aceitável para reposição dos serviços.
Artigo 8.º
Auditorias
1 - A DGAEP deve realizar auditorias internas periódicas para avaliar:
a) A eficácia das medidas técnicas e organizativas implementadas no SIOE;
b) A conformidade com o RGPD, a Lei 58/2019 e a presente portaria.
2 - Para assegurar a imparcialidade e a independência, a DGAEP deve recorrer a auditorias externas para avaliar os riscos, vulnerabilidades e a conformidade do sistema, com uma periodicidade máxima de três anos.
3 - Os resultados das auditorias devem ser documentados e mantidos durante pelo menos cinco anos, podendo ser disponibilizados à CNPD mediante solicitação.
Artigo 9.º
Segurança aplicacional
1 - A DGAEP deve garantir que o SIOE se encontra protegido contra vulnerabilidades e ataques informáticos.
2 - O SIOE deve possuir uma configuração de segurança adequada, o que exige, no mínimo, que todos os elementos de software sejam atualizados para as suas últimas versões, na medida do necessário, para mitigar eventuais vulnerabilidades.
3 - O SIOE deve assegurar a autenticação forte no acesso do utilizador, nos termos do artigo seguinte.
4 - O SIOE deve limitar o acesso com base nos níveis e autorizações de acesso do utilizador.
Artigo 10.º
Autenticação de utilizadores na plataforma eletrónica
A autenticação dos utilizadores na plataforma eletrónica é efetuada com recurso a mecanismos de autenticação segura, designadamente através da utilização de cartão de cidadão ou chave móvel digital, com possibilidade de recurso ao Sistema de Certificação de Atributos Profissionais (SCAP) e a meios de identificação eletrónica emitidos noutros Estados-Membros, reconhecidos para o efeito nos termos do artigo 6.º do Regulamento (UE) n.º 910/2014 do Parlamento Europeu e do Conselho.
Artigo 11.º
Centro de dados
1 - A DGAEP deve dispor de centros de dados compatíveis com a natureza do serviço e a criticidade da informação, aos quais competirá processar e conservar em suporte eletrónico os dados recolhidos e informações tratadas no âmbito da sua atividade.
2 - Os centros de dados utilizados deverão assegurar o cumprimento do Regulamento Geral sobre a Proteção de Dados (RGPD) e demais legislação em matéria de proteção de dados pessoais, nomeadamente a Resolução do Conselho de Ministros n.º 41/2018, de 28 de março.
3 - Os centros de dados utilizados deverão ter um plano de recuperação de desastres.
Artigo 12.º
Segurança de rede
1 - À segurança de rede são aplicáveis os requisitos definidos na Resolução do Conselho de Ministros n.º 41/2018, de 28 de março.
2 - A ligação da plataforma eletrónica à Internet deve ser protegida por um sistema de proteção de fronteira (firewall).
3 - Todo o tráfego destinado à plataforma eletrónica deve ser inspecionado e registado.
4 - As regras do sistema de proteção de fronteira devem rejeitar o tráfego que não é necessário à utilização e à administração segura do sistema.
5 - A plataforma eletrónica deve estar alojada num segmento da rede de produção devidamente protegido, separado de eventuais segmentos utilizados para alojar sistemas que não são de produção, como ambientes de desenvolvimento, de qualidade ou de testes.
Artigo 13.º
Tratamento de dados pessoais
1 - A DGAEP, enquanto entidade gestora do SIOE e responsável pelo tratamento dos dados pessoais no SIOE, efetua o tratamento dos dados estritamente necessários para cumprir as finalidades previstas na Lei 104/2019, de 6 de setembro, na redação atual, assegurando a conformidade com as disposições do Regulamento (UE) 2016/679 (RGPD) e da Lei 58/2019, de 8 de agosto.
2 - O tratamento de dados pessoais tem por base a necessidade de cumprir obrigações legais ou de desempenhar funções de interesse público que incumbem à DGAEP.
3 - As categorias de dados pessoais a recolher e a tratar no SIOE são definidas na Lei 104/2019, de 6 de setembro, na redação atual, devendo observar o princípio da minimização de dados, sendo proibida a recolha ou processamento de dados não estritamente relevantes para as finalidades de reporte, estatística e gestão da informação no âmbito do SIOE.
4 - A DGAEP garante que o acesso aos dados pessoais é reservado apenas aos utilizadores devidamente autorizados, em respeito pelos princípios da integridade e confidencialidade, adotando as medidas de segurança previstas na presente portaria.
5 - A DGAEP procede à anonimização dos dados pessoais quando os mesmos deixem de ser necessários para as finalidades que motivaram a sua recolha e tratamento, nos termos dos números seguintes.
6 - Os dados pessoais relativos aos trabalhadores no ativo são conservados enquanto essa situação se mantiver.
7 - Os dados pessoais relativos aos trabalhadores que cessem a sua atividade no setor público, designadamente por motivos de cessação da relação laboral ou de aposentação ou reforma, são conservados com caráter permanente, mediante recurso a medidas adicionais de segurança.
8 - Excetuam-se do número anterior os dados pessoais que contenham identificadores diretos dos titulares dos dados, dos quais só será conservado um identificador direto que possa restabelecer o histórico do trabalhador na Administração Pública quando, e se, necessário.
9 - Os dados previstos no número anterior destinam-se à constituição de um histórico dos trabalhadores do setor público e à produção das séries estatísticas necessárias à elaboração de estudos, investigações, pareceres e fundamentação de outras medidas ou ações.
Artigo 14.º
Segurança física
Sem prejuízo dos controlos de segurança identificados e implementados, com base nos requisitos da ISO/ IEC 27001, os sistemas que compõem a plataforma eletrónica devem estar devidamente protegidos em zona segura, com acesso restrito e controlado por sistemas de controlo de acessos.
Artigo 15.º
Controlo e registo de acessos
1 - A plataforma eletrónica deve garantir a capacidade de controlar e limitar o acesso aos diversos recursos, identificando os utilizadores e associando o perfil às respetivas permissões, bem como o seu ciclo de vida.
2 - Para o efeito, a DGAEP deve garantir a identificação correta e fiável dos utilizadores através de processo de verificação, assegurando a atribuição ou o cancelamento de utilizadores.
3 - A plataforma eletrónica deve operar com o menor conjunto de privilégios de que necessita para esse fim.
4 - Os registos de auditoria e de acesso, que preservam metadados de data, hora, utilizador e operação efetuada, são considerados informação sensível.
5 - O acesso aos registos de auditoria será restrito a um perfil, devidamente atribuído nominalmente para o efeito.
6 - Qualquer período de tempo em que os arquivos de auditoria possam estar desativados deve ser registado no respetivo arquivo de auditoria, com indicação da data e hora de início e o registo do respetivo fim.
Artigo 16.º
Cópias de segurança e recuperação
1 - A plataforma eletrónica deve incluir uma função para efetuar cópia de segurança da informação, com e sem intervenção humana.
2 - Os dados guardados na cópia de segurança devem ser suficientes para recriar o estado do sistema a qualquer momento.
3 - As cópias de segurança devem estar protegidas contra leitura não autorizada e contra a modificação com recurso a mecanismos de cifra.
4 - A plataforma eletrónica deve assegurar que a informação relativa a parâmetros críticos de segurança da plataforma eletrónica não está armazenada em claro, devendo ser cifrada com recurso a algoritmos correntes fortes e chaves fortes, conformes às normas internacionais, sendo a gestão de chaves parte integrante do sistema.
5 - A DGAEP deve definir uma política de salvaguarda de informação e respetiva reposição.
Artigo 17.º
Exercício dos direitos do titular dos dados pessoais
1 - São garantidos ao titular dos dados pessoais, mediante prova da sua identidade, os direitos de informação, de acesso e de retificação dos respetivos dados pessoais, estando o acesso disponível na plataforma eletrónica, nas instalações da DGAEP ou do respetivo empregador público, nos termos do RGPD e demais legislação em matéria de proteção de dados pessoais.
2 - A entidade gestora do SIOE pode solicitar elementos adicionais que permitam confirmar a identidade do titular dos dados, garantindo que o acesso ou alteração de dados apenas ocorra por parte do seu efetivo titular ou de representante legalmente habilitado.
3 - O direito de retificação deve ser exercido junto do respetivo empregador público, ou da DGAEP, que diligenciará junto do empregador público pela correção de inexatidões, o completamento de omissões e a supressão de dados indevidamente registados, nos termos e para os efeitos previstos no RGPD e demais legislação em matéria de proteção de dados pessoais.
4 - A decisão sobre o pedido deve ser proferida no prazo de um mês a contar da data da receção do pedido, podendo esse prazo ser prorrogado até dois meses em casos de especial complexidade.
5 - A decisão referida no número anterior deve ser fundamentada e comunicada ao titular dos dados, indicando o resultado da apreciação, as medidas adotadas e as vias de reclamação ou recurso, designadamente a possibilidade de apresentar queixa à Comissão Nacional de Proteção de Dados (CNPD).
TÍTULO II
REGRAS PARA O FUNCIONAMENTO DA PLATAFORMA DE TRAMITAÇÃO ELETRÓNICA
Artigo 18.º
Plataforma de tramitação eletrónica
1 - A plataforma de tramitação eletrónica de procedimentos administrativos, de prestação de informação e de tomada de decisão, prevista no artigo 4.º da Lei 104/2019, de 6 de setembro, na redação atual, é disponibilizada e gerida pela DGAEP, em articulação com os serviços e organismos competentes, e integra as seguintes funcionalidades:
a) Integração com o Electronic Exchange of Social Security Information (EESSI), infraestrutura europeia para a troca eletrónica de dados prevista no Regulamento (CE) n.º 883/2004 do Parlamento Europeu e do Conselho, de 29 de abril de 2004, e no Regulamento (CE) n.º 987/2009 do Parlamento Europeu e do Conselho, de 16 de setembro de 2009, relativamente às eventualidades imediatas dos trabalhadores integrados no regime de proteção social convergente (RPSC), criado pela Lei 4/2009, de 29 de janeiro, na sua atual redação;
b) Emissão de parecer prévio por parte dos membros do Governo responsáveis pelas áreas das Finanças e da Administração Pública, para efeitos de celebração ou renovação de contratos de prestação de serviço, nas modalidades de tarefa e de avença, previsto, designadamente, no artigo 32.º da Lei Geral do Trabalho em Funções Públicas (LTFP), aprovada pela Lei 35/2014, de 20 de junho;
c) Emissão de parecer ou despacho autorizador por parte dos membros do Governo responsáveis pelas áreas das Finanças e da Administração Pública, previstos, designadamente, nos n.os 9 e 10 do artigo 99.º, no artigo 99.º-A, no n.º 2 do artigo 241.º e no n.º 2 do artigo 284.º da LTFP e no artigo 2.º do Decreto Regulamentar 2/2019, de 5 de fevereiro;
d) Mecanismo de acompanhamento e controlo do sistema de créditos sindicais e cedências de interesse público, no âmbito da atividade sindical, em articulação com as associações sindicais;
e) Outras funcionalidades que venham a encontrar-se legalmente previstas e definidas por despacho do membro do Governo responsável pela área da Administração Pública, mediante proposta da DGAEP.
2 - Compete à DGAEP a definição dos níveis de acesso e dos perfis de utilizador, em articulação com as necessidades específicas de cada entidade.
Artigo 19.º
Estrutura e conteúdo da informação EESSI
1 - No processo da troca eletrónica de dados no âmbito da coordenação europeia dos sistemas de segurança social dos diferentes Estados-Membros da União Europeia, a DGAEP, na qualidade de entidade gestora do SIOE, é a entidade competente para a tramitação da informação relativa às eventualidades doença, maternidade, paternidade e adoção, desemprego e acidentes de trabalho e doenças profissionais no âmbito do RPSC.
2 - Os documentos eletrónicos (Structured Electronic Documents - SED) rececionados no Ponto de Acesso Nacional, centralizado no Instituto de Informática, I. P. (II, I. P.), são reencaminhados para a entidade empregadora competente, através do recurso à informação disponível no SIOE.
Artigo 20.º
Submissão, tramitação e emissão de pareceres e autorizações
1 - As funcionalidades previstas nas alíneas b), c), d) e e) do n.º 1 do artigo 18.º são efetivadas através de plataforma eletrónica, a disponibilizar na página eletrónica da DGAEP, sendo observadas as regras e procedimentos de segurança exigidos pelas disposições legais aplicáveis.
2 - O acesso, pelos órgãos, serviços e entidades, à plataforma eletrónica referida no número anterior depende de prévia credenciação pela DGAEP.
Artigo 21.º
Integração de sistemas de informação
1 - A integração dos sistemas de informação ou plataformas eletrónicas previstas nos artigos anteriores é efetuada com recurso à Plataforma de Interoperabilidade da Administração Pública, devendo cumprir os requisitos previstos na Resolução do Conselho de Ministros n.º 42/2015, de 19 de junho, com observância:
a) De mecanismos de autenticação seguros, como o cartão de cidadão e a chave móvel digital, nos termos da Lei 7/2007, de 5 de fevereiro, na redação atual, e da Lei 37/2014, de 26 de junho, na redação atual, respetivamente;
b) Dos formatos abertos aprovados pela Resolução do Conselho de Ministros n.º 2/2018, de 5 de janeiro.
2 - A integração com o EESSI segue os mecanismos previstos de interação eletrónica com o RINA (Reference Implementation of a National Application), ponto de acesso para Portugal no Instituto de Informática, I. P., nomeadamente através da implementação dos conectores necessários à correta comunicação de pedidos e demais interações entre os sistemas.
Artigo 22.º
Protocolos
Para efeitos de integração dos sistemas de informação, são celebrados protocolos que prevejam os detalhes técnicos adequados à interoperabilidade entre os sistemas informáticos da DGAEP, do Instituto de Informática, I. P., e da Agência para a Modernização Administrativa, I. P.
O Ministro de Estado e das Finanças, Joaquim Miranda Sarmento, em 21 de março de 2025. - O Ministro da Presidência, António Leitão Amaro, em 20 de março de 2025. - A Ministra do Trabalho, Solidariedade e Segurança Social, Rosário Palma Ramalho, em 21 de março de 2025. - A Ministra da Juventude e Modernização, Margarida Balseiro Lopes, em 31 de março de 2025.
118926845
