Página 1
Sexta-feira, 13 de julho de 2018 II Série-E — Número 21
XIII LEGISLATURA 3.ª SESSÃO LEGISLATIVA (2017-2018)
S U M Á R I O
Presidente da Assembleia da República:
Despacho n.º 88/XIII — Regulamento sobre Proteção de Dados na Assembleia da República.
Despacho n.º 89/XIII — Regulamento sobre Política de Classificação e Manuseamento da Informação na Assembleia da República.
Página 2
II SÉRIE-E — NÚMERO 21
2
PRESIDENTE DA ASSEMBLEIA DA REPÚBLICA
Despacho n.º 88/XIII — Regulamento sobre Proteção de Dados na Assembleia da República
O Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à
proteção das pessoas singulares, no que diz respeito ao tratamento de dados pessoais e à livre circulação
desses dados, aplicável em todos os Estados-Membros a partir de 25 de maio de 2018, tornou necessária a
criação de normas e procedimentos internos ao nível da proteção de dados pessoais para garantir que o
tratamento destes é feito em conformidade com os requisitos legais.
Por outro lado, devem ser implementadas medidas técnicas e organizacionais para proteger tais dados contra
a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizado e qualquer
outra forma de tratamento ilícito.
Nestes termos, ouvidos o Conselho de Administração, a Conferência de Líderes e a Conferência dos
Presidentes das Comissões Parlamentares, determino:
É aprovado, em anexo ao presente despacho, dele fazendo parte integrante, o Regulamento sobre Proteção
de Dados na Assembleia da República.
Registe-se e publique-se.
Palácio de São Bento, 12 de julho de 2018
O Presidente da Assembleia da República, Eduardo Ferro Rodrigues.
Anexo: Regulamento sobre Proteção de Dados na Assembleia da República
Anexo
Regulamento sobre Proteção de Dados na Assembleia da República
CAPÍTULO I
Princípios e objeto do tratamento de dados
Artigo 1.º
Definições
Para efeitos do presente Regulamento, entende-se por:
a) «RGPD», o Regulamento Geral sobre a Proteção de Dados, Regulamento (UE) 2016/679, do Parlamento
Europeu e do Conselho de 27 de abril de 2016, retificado em 23 de maio de 2018;
b) «Encarregado», o encarregado da proteção de dados previsto no artigo 37.º do RGPD, doravante EPD;
c) «Unidades competentes», as unidades competentes em razão da matéria de acordo com a Lei Orgânica
de Funcionamento da Assembleia da República (LOFAR) e com a Resolução sobre a Estrutura e Competências
dos Serviços da Assembleia da República;
d) «Unidades interessadas», as que têm funcionários ou colaboradores com privilégios de inscrição,
modificação ou apagamento de dados, que não apenas na qualidade de administrador do sistema;
e) «Subcontratante», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo
que trate os dados pessoais por conta do responsável pelo tratamento destes;
Página 3
20 DE JULHO DE 2018
3
f) «Terceiro», pessoa singular ou coletiva, autoridade pública, o serviço ou qualquer outro organismo que,
não sendo o titular dos dados, o responsável pelo tratamento, o subcontratante ou outra pessoa sob autoridade
direta do responsável pelo tratamento ou do subcontratante, esteja autorizado a tratar os dados pessoais;
g) «Tratamento», operação ou conjunto de operações efetuadas sobre dados pessoais, por meios
automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a
conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão,
difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento
ou a destruição.
Artigo 2.º
Objeto
1 – A Assembleia da República pretende assegurar um nível de proteção elevado e coerente do tratamento
de dados pessoais, relativamente às pessoas singulares, independentemente da sua nacionalidade ou do seu
local de residência.
2 – O presente regulamento estabelece a política e práticas da Assembleia da República em matéria de
proteção de dados, à luz das novas obrigações decorrentes do RGPD, adotando as medidas técnicas e
organizativas adequadas para assegurar o tratamento de dados em conformidade com a legislação aplicável,
bem como para lidar com casos de violações de dados pessoais.
3 – O presente regulamento dispõe ainda sobre a designação, estatuto e deveres do encarregado de
proteção de dados.
Artigo 3.º
Princípios
1 – Os princípios da proteção de dados devem aplicar-se a qualquer informação relativa a uma pessoa
singular identificada ou identificável.
2 – Os dados pessoais que tenham sido pseudonimizados, que possam ser atribuídos a uma pessoa singular
mediante a utilização de informações suplementares, são considerados como informações sobre uma pessoa
singular identificável.
3 – Ficam abrangidos pelo presente regulamento os dados tratados pela Assembleia da República (AR),
nomeadamente os relativos a todos os cidadãos que com ela contactem, bem como Deputados, dirigentes e
funcionários da AR, pessoal que desempenha funções nos Grupos Parlamentares, nos Gabinetes e nos
Serviços da AR, e, ainda, os prestadores de serviços externos e entidades que utilizam as instalações e meios
da AR.
4 – A Assembleia da República trata as categorias de dados pessoais estritamente necessárias, adequadas
e pertinentes à prossecução das finalidades de interesse público que lhe são atribuídas por lei ou no
cumprimento de uma obrigação legal, tratando também dados pessoais com base em contratos celebrados
designadamente com os seus colaboradores e prestadores de serviços.
5 – A Assembleia da República procura garantir a proteção de dados desde a conceção e por defeito.
6 – São mantidos registos internos das atividades de tratamento sob a responsabilidade da Assembleia da
República, que incluem, designadamente: tipo de dados tratados, finalidades do tratamento, descrição das
categorias de titulares de dados e destinatários dos mesmos, medidas de segurança e prazo de conservação.
Artigo 4.º
Licitude do tratamento dos dados pessoais
O tratamento de dados pessoais pela Assembleia da República é lícito nos seguintes casos:
a) Cumprimento de uma obrigação legal pela Assembleia da República;
b) Consentimento do titular dos dados para uma ou mais finalidades específicas;
Página 4
II SÉRIE-E — NÚMERO 21
4
c) Defesa de interesses do titular dos dados ou de outra pessoa singular;
d) Execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido
do titular dos dados;
e) Exercício de funções de interesse público ou o exercício da autoridade pública de que está investido o
responsável pelo tratamento;
f) Necessidade para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por
terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a
proteção dos dados pessoais, em especial se o titular for uma criança.
Artigo 5.º
Consentimento do titular dos dados pessoais
1 – O consentimento do titular para o tratamento dos seus dados deve ser dado através de uma ação positiva
e explícita no momento da recolha dos seus dados.
2 – O consentimento deve ser uma manifestação de vontade livre, específica, informada e explícita dos
desejos do indivíduo.
3 – O consentimento pode ter várias formas: escrita, oral ou através da validação de uma opção numa página
da Internet.
4 – O pedido de consentimento deve ser separado de outros termos e condições, apresentado numa
linguagem clara e simples e permitir facilidade idêntica quer na prestação, quer na retirada do consentimento.
Artigo 6.º
Conservação dos dados
1 – O período de tempo durante o qual os dados são armazenados e conservados depende da finalidade
para a qual a informação é tratada, e da existência, ou não, de requisitos legais que obriguem a conservar os
dados por um período de tempo mínimo.
2 – Quando não exista uma exigência legal específica, os dados serão armazenados e conservados apenas
pelo período mínimo necessário para as finalidades que motivaram a sua recolha ou o seu posterior tratamento,
findo o qual serão eliminados.
3 – Sem prejuízo do disposto nos números anteriores, alguns dados podem ser conservados para fins de
arquivo de interesse público, investigação científica ou histórica, ou para fins estatísticos.
CAPÍTULO II
Direitos dos titulares dos dados
Artigo 7.º
Direito à informação
1 – Quando os dados pessoais forem recolhidos junto do titular, a Assembleia da República faculta-lhe,
nomeadamente, as seguintes informações:
a) A identidade e os contactos do responsável pelo tratamento e, se aplicável, do seu representante;
b) O contacto do encarregado da proteção de dados;
c) As finalidades do tratamento a que os dados pessoais se destinam, bem como, se aplicável, o fundamento
jurídico para o tratamento;
d) Se o tratamento dos dados se basear em interesses legítimos da Assembleia da República ou de um
terceiro, a indicação de tais interesses;
e) Se aplicável, os destinatários ou categorias de destinatários dos dados pessoais;
Página 5
20 DE JULHO DE 2018
5
f) Se aplicável, a indicação de que os dados pessoais serão transferidos para um país terceiro ou uma
organização internacional, e a existência, ou não, de uma decisão de adequação adotada pela Comissão
Europeia ou a referência a garantias de transferência apropriadas ou adequadas;
g) O prazo de conservação dos dados pessoais;
h) O direito de solicitar à Assembleia da República o acesso aos dados pessoais, bem como a sua
retificação, apagamento ou limitação, o direito de se opor ao tratamento e o direito à portabilidade dos dados;
i) Se o tratamento dos dados se basear no consentimento do titular, o direito de retirar o consentimento em
qualquer altura, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente
dado;
j) O direito de apresentar reclamação junto da autoridade de controlo;
k) A indicação sobre se a comunicação de dados pessoais constitui ou não uma obrigação legal ou
contratual, ou um requisito necessário para celebrar um contrato, bem como sobre se o titular está obrigado a
fornecer os dados pessoais e as eventuais consequências de não fornecer esses dados;
l) Se aplicável, a existência de decisões automatizadas, incluindo a definição de perfis, e informações
relativas à lógica subjacente, bem como a importância e as consequências previstas de tal tratamento para o
titular dos dados.
2 – A informação suprarreferida é prestada de forma concisa, transparente, inteligível e de fácil acesso, de
forma gratuita e sem demora injustificada.
3 – Caso a Assembleia da República pretenda proceder ao tratamento posterior dos dados para um fim que
não seja aquele para o qual os dados foram recolhidos, fornecerá ao titular, antes desse tratamento, informações
sobre esse fim e quaisquer outras informações pertinentes, nos termos acima referidos.
Artigo 8.º
Direito de acesso aos dados
1 – O titular tem o direito de obter da Assembleia da República a confirmação de que os dados pessoais que
lhe digam respeito são ou não objeto de tratamento e, sendo o caso, o direito de aceder aos seus dados pessoais
e às seguintes informações:
a) As finalidades do tratamento dos dados;
b) As categorias dos dados pessoais em questão;
c) Os destinatários ou categorias de destinatários a quem os dados pessoais foram ou serão divulgados,
nomeadamente os destinatários estabelecidos em países terceiros ou pertencentes a organizações
internacionais;
d) O prazo de conservação dos dados pessoais;
e) O direito de solicitar à Assembleia da República a retificação, o apagamento ou a limitação do tratamento
dos dados pessoais, ou o direito de se opor a esse tratamento;
f) O direito de apresentar reclamação junto da autoridade de controlo;
g) Se os dados não tiverem sido recolhidos junto do titular, as informações disponíveis sobre a origem desses
dados;
h) A existência de decisões automatizadas, incluindo a definição de perfis, e informações relativas à lógica
subjacente, bem como a importância e as consequências previstas de tal tratamento para o titular dos dados;
i) O direito a ser informado sobre as garantias adequadas associadas à transferência de dados para países
terceiros ou organizações internacionais.
2 – Mediante solicitação, a Assembleia da República fornecerá ao titular, a título gratuito, uma cópia dos seus
dados pessoais que se encontram em fase de tratamento.
3 – O fornecimento de outras cópias solicitadas pelo titular poderá acarretar custos administrativos.
Página 6
II SÉRIE-E — NÚMERO 21
6
Artigo 9.º
Direito de retificação dos dados
1 – O titular tem o direito de solicitar, a qualquer momento, a retificação dos seus dados pessoais e, bem
assim, o direito a que os seus dados pessoais incompletos sejam completados.
2 – Em caso de retificação dos dados, a Assembleia da República comunica a cada destinatário a quem os
dados tenham sido transmitidos a respetiva retificação, salvo se tal comunicação se revelar impossível ou
implicar um esforço desproporcionado para a Assembleia da República.
3 – Se o titular o solicitar, a Assembleia da República fornece informações sobre os referidos destinatários.
Artigo 10.º
Direito ao apagamento dos dados
1 – O titular tem o direito de obter, por parte da Assembleia da República, a qualquer altura, o apagamento
dos seus dados, quando:
a) Os dados deixem de ser necessários para a finalidade que motivou a sua recolha ou tratamento;
b) O titular retirar o consentimento em que se baseia o tratamento dos dados e não existir outro fundamento
jurídico para o referido tratamento;
c) O titular se opuser ao tratamento e não existirem interesses legítimos que justifiquem o tratamento;
d) Os dados do titular forem tratados ilicitamente;
e) Os dados do titular devam ser apagados para o cumprimento de uma obrigação jurídica a que a
Assembleia da República esteja sujeita;
f) Os dados do titular tenham sido recolhidos no contexto de uma oferta de serviços da sociedade da
informação a crianças.
2 – A Assembleia da República não tem a obrigação de apagar os dados do titular na medida em que o
tratamento se revele necessário ao cumprimento de uma obrigação legal a que a Assembleia da República
esteja sujeita ou para efeitos de declaração, exercício ou defesa de um direito da Assembleia da República num
processo judicial.
3 – Em caso de apagamento dos dados, a Assembleia da República comunica aos terceiros a quem os dados
tenham sido transmitidos o respetivo apagamento, salvo se tal comunicação se revelar impossível ou implicar
um esforço desproporcionado para a Assembleia da República.
4 – Se o titular o solicitar, a Assembleia da República fornece informações sobre os referidos destinatários.
Artigo 11.º
Direito à limitação do tratamento dos dados
1 – O titular tem o direito de obter, por parte da Assembleia da República, a limitação do tratamento dos
dados do titular, quando:
a) Contestar a exatidão dos dados pessoais, durante um período que permita à Assembleia da República
verificar a sua exatidão;
b) O tratamento for ilícito e o titular se opuser ao apagamento dos dados, solicitando, em contrapartida, a
limitação da sua utilização;
c) A Assembleia da República já não precisar dos dados do titular para fins de tratamento, mas esses dados
sejam requeridos pelo titular para efeitos de declaração, exercício ou defesa de um direito num processo judicial;
d) O titular se tenha oposto ao tratamento, até se verificar que os motivos legítimos da Assembleia da
República prevalecem sobre os do titular.
Página 7
20 DE JULHO DE 2018
7
2 – Em caso de limitação do tratamento dos dados, a Assembleia da República comunicará a cada
destinatário a quem os dados tenham sido transmitidos a respetiva limitação, salvo se tal comunicação se revelar
impossível ou implicar um esforço desproporcionado para a Assembleia da República.
3 – Se o titular o solicitar, a Assembleia da República fornece informações sobre os referidos destinatários.
Artigo 12.º
Direito à portabilidade dos dados
1 – O titular tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido à
Assembleia da República, quando se verifiquem cumulativamente as seguintes situações:
a) Os dados pessoais solicitados foram fornecidos pelo titular e lhe dizem respeito;
b) O tratamento é realizado por meios automatizados, com base no consentimento prévio do titular ou na
execução de um contrato no qual o titular dos dados é parte; e
c) O exercício deste direito não prejudica os direitos e liberdades de terceiros.
2 – A informação deve, em regra, ser fornecida gratuitamente e num formato estruturado, de uso corrente e
de leitura automática.
3 – Quando o titular o solicitar e for tecnicamente viável, a Assembleia da República transmite os dados
diretamente para outra organização.
Artigo 13.º
Direito de oposição ao tratamento
1 – O facto de o tratamento de dados pessoais ser lícito, fundado no exercício de funções de interesse
público, de autoridade pública ou ainda por motivos de interesse legítimo da Assembleia da República ou de
terceiros, não impede que o titular tenha o direito de se opor ao tratamento dos dados pessoais que digam
respeito à sua situação específica.
2 – Havendo oposição, a Assembleia da República cessará o tratamento dos dados do titular, salvo se
apresentar razões imperiosas e legítimas para esse tratamento que prevaleçam sobre os interesses, direitos e
liberdades do titular, ou para efeitos de declaração, exercício ou defesa de um direito da Assembleia da
República num processo judicial.
Artigo 14.º
Procedimentos com vista ao exercício dos direitos pelo titular
1 – O direito de acesso, de retificação, de apagamento, de portabilidade, à limitação e o direito à oposição
podem ser exercidos pelo titular mediante contacto com a Assembleia da República, através do endereço de
correio eletrónico encarregado.protecao.dados@ar.parlamento.pt.
2 – A Assembleia da República dará resposta ao pedido do titular no prazo máximo de um mês a contar da
receção do pedido, salvo em casos de especial complexidade, em que esse prazo pode ser prorrogado até dois
meses.
3 – Se os pedidos apresentados pelo titular forem manifestamente infundados ou excessivos, nomeadamente
devido ao seu caráter repetitivo, a Assembleia da República reserva-se o direito de cobrar custos administrativos
ou recusar-se a dar seguimento ao pedido.
4 – Quando o tratamento dos dados do titular for realizado pela Assembleia da República com base no
consentimento do titular, este tem o direito de retirar o seu consentimento a qualquer momento.
5 – Sem prejuízo do disposto no número anterior, a retirada do consentimento não compromete a licitude do
tratamento efetuado pela Assembleia da República com base no consentimento previamente dado pelo titular.
Página 8
II SÉRIE-E — NÚMERO 21
8
Artigo 15.º
Tratamento de dados pessoais em decorrência de vínculo laboral ou semelhante
1 – O tratamento dos dados pessoais para finalidades inerentes a vínculo laboral ou semelhante (e.g.
pagamento de salários, dedução de quotizações ou cobrança de impostos) deve ser o estritamente necessário.
2 – A análise da proporcionalidade do tratamento a efetuar deve garantir o equilíbrio entre os direitos de
privacidade dos funcionários e o interesse legítimo no tratamento.
3 – Caberá ao EPD, em cooperação com as unidades competentes, definir medidas técnicas e organizativas
para assegurar que, por defeito, só são tratados os dados pessoais necessários para cada finalidade específica
do tratamento.
4 – Deve ser também garantido o princípio da minimização de dados sempre que se decida sobre a utilização
de novas tecnologias.
Artigo 16.º
Contratos com terceiros
1 – Toda a contratação com terceiros que implique o acesso a dados pessoais sob a responsabilidade da
Assembleia da República, é precedida de uma análise das garantias de cumprimento do RGPD e da
implementação de medidas de segurança por parte de tais terceiros.
2 – Os contratos a celebrar devem incluir cláusulas específicas de proteção de dados que limitem o
tratamento dos dados à execução do contrato e às instruções da Assembleia da República, bem como prever
medidas de proteção dos dados por parte da entidade contratada.
3 – Após a cessação do contrato, a entidade contratada deve ser obrigada a devolver os dados pessoais à
Assembleia da República e destruir todas as cópias dos mesmos, com exceção dos casos em que exista uma
obrigação legal ou contratual da sua conservação.
4 – Quanto aos contratos já celebrados, a Assembleia da República procede, no prazo de 30 dias a contar
da publicação do presente regulamento, ao inventário de terceiros que têm acesso direto ou indireto aos dados
pessoais sob a sua responsabilidade, podendo, caso se justifique, rever os contratos existentes para que os
mesmos fiquem em conformidade com as obrigações impostas pelo RGPD.
Artigo 17.º
Subcontratantes
1 – Quando a Assembleia da República recorra a entidades subcontratadas para, em seu nome e de acordo
com as suas instruções, procederem ao tratamento de dados pessoais, o contrato deve definir claramente a
duração do serviço, a natureza e as finalidades do tratamento dos dados pessoais, o tipo de dados pessoais, as
categorias de titulares de dados, a obrigação de notificar uma violação de dados pessoais, bem como indicar as
obrigações da entidade subcontratada no que concerne à segurança da informação e confidencialidade.
2 – As entidades subcontratadas devem fornecer à Assembleia da República a documentação necessária
para demonstrar o adequado cumprimento de todas as obrigações referentes à proteção de dados pessoais,
em especial no RGPD.
3 – Essas entidades não poderão transmitir os dados pessoais a outras entidades sem que a Assembleia da
República tenha dado, previamente e por escrito, autorização para tal.
4 – Quando o contrato cesse, essas entidades devem ser obrigadas a devolver os dados pessoais à
Assembleia da República e a destruir todas as cópias dos mesmos, com exceção dos casos em que exista uma
obrigação legal ou contratual da sua conservação.
Página 9
20 DE JULHO DE 2018
9
CAPÍTULO III
Do encarregado da proteção de dados
Artigo 18.º
Designação, estatuto e deveres do encarregado
1 – O encarregado da proteção de dados (EPD) será designado por despacho do Secretário-Geral da
Assembleia da República.
2 – Do despacho referido no número anterior constará, designadamente:
a) O estatuto e funções do EPD;
b) A forma de substituição do EPD nas suas faltas, ausências ou impedimentos.
3 – De entre as funções do EPD constará a definição de um programa de sensibilização e formação em
matéria de proteção de dados pessoais, eventualmente com a participação de entidades externas, bem como
controlar a realização de avaliações de impacto da privacidade.
Artigo 19.º
Contactos
Os contactos, internos e externos à Assembleia da República, de ou para o EPD, nessa qualidade são feitos
através do endereço encarregado.protecao.dados@ar.parlamento.pt, sendo automaticamente comunicados ao
Gabinete do Secretário-Geral para registo em «Caixa de e-mail funcional».
Artigo 20.º
Solicitações do Encarregado
1 – Os Gabinetes e unidades orgânicas da Assembleia da República respondem às solicitações do
encarregado no prazo por este determinado.
2 – Caso não seja indicado prazo pelo encarregado, este é de três dias úteis.
3 – O encarregado pode solicitar informações que sejam relevantes para o exercício das suas funções
diretamente a qualquer funcionário ou colaborador da Assembleia da República, nomeadamente nos seguintes
termos:
a) Independentemente de este estar ou não sujeito a direção ou coordenação;
b) Devendo o funcionário colaborar mantendo sigilosa a solicitação de colaboração.
Artigo 21.º
Outros contactos
1 – Os contactos feitos com outros responsáveis do tratamento, subcontratantes, terceiros, destinatários ou
outros recipientes da informação previstos nas alíneas 7), 8), 9) e 10) do artigo 4.º do RGPD, bem como os
titulares dos dados no âmbito do tratamento de bases de dados são feitos:
a) Pelas unidades competentes;
b) Pelas unidades interessadas, no caso de não haver unidade especificamente competente.
3 – As unidades interessadas apoiam as competentes nos prazos por elas determinado.
4 – Se, no caso da alínea b) do n.º 1, existir mais de uma unidade interessada, estas realizam conjuntamente
os contactos e respondem conjuntamente a eventuais pedidos, salvo se o Secretário-Geral da Assembleia da
República designar uma unidade responsável para o efeito.
5 – As respostas dadas no âmbito do presente artigo são comunicadas ao encarregado através do endereço
previsto no artigo 19.º.
Página 10
II SÉRIE-E — NÚMERO 21
10
CAPÍTULO IV
Reporte à autoridade de controlo
Artigo 22.º
Contactos com autoridades de controlo
1 – Os contactos com autoridades de controlo são feitos através do encarregado, nos termos da alínea e) do
n.º 1 do artigo 39.º do RGPD, salvo se, nos termos da alínea b) do n.º 3 do artigo 33.º, outro contacto for escolhido
pelo Secretário-Geral da Assembleia da República.
2 – Assim que tenha conhecimento de uma violação de dados pessoais, a Assembleia da República deve
notificá-la à autoridade de controlo, sem demora injustificada e, sempre que possível, no prazo de 72 horas após
ter tido conhecimento do ocorrido, a menos que seja capaz de demonstrar, em conformidade com o princípio da
responsabilidade, que essa violação não é suscetível de implicar um risco para os direitos e liberdades das
pessoas singulares.
3 – Caso a violação de dados pessoais possa afetar negativamente a privacidade do titular dos dados (i.e.,
seja suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares), a Assembleia
da República deve também notificar os titulares dos dados.
4 – Se não for possível efetuar a notificação referida no número anterior no prazo de 72 horas, a notificação
deve ser acompanhada dos motivos do atraso.
5 – Todas as violações ocorridas, os efeitos e as medidas de reparação devem ser documentados, de forma
a permitir, à autoridade de controlo, verificar o cumprimento das regras previstas no RGPD.
Artigo 23.º
Normas sobre reporte
Quando as unidades orgânicas proponham normas que impõem o envio de informação à Assembleia da
República devem indicar:
a) A finalidade do tratamento;
b) Os instrumentos de análise dos dados a exigir, especificando a periodicidade da análise e a sua natureza,
automática ou não;
c) A conexão que será feita com dados já exigidos.
d) A definição de responsabilidades e procedimentos operacionais de resposta a incidentes com dados
pessoais.
Artigo 24.º
Norma final
O EPD, em conjunto com as unidades competentes, com as interessadas e com o administrador de
segurança da Assembleia da República, propõe soluções para os registos de atividades de tratamento de dados
e medidas de segurança dos mesmos.
Artigo 25.º
Entrada em vigor
O presente regulamento entra em vigor no dia seguinte ao da sua publicação.
———
Página 11
20 DE JULHO DE 2018
11
Despacho n.º 89/XIII — Regulamento sobre Política de Classificação e Manuseamento da Informação
na Assembleia da República
Nos termos da Resolução da Assembleia da República n.º 123/2018, de 8 de maio, «(…) a Assembleia da
República reconhece que, independentemente do seu suporte, a informação é um ativo indispensável à sua
atividade, pelo que se torna absolutamente indispensável a criação das condições necessárias à sua proteção,
tendo em vista garantir os meios adequados ao cumprimento eficiente da sua missão».
Considerando que a defesa de uma política coerente que garanta a confidencialidade, a integridade, a
autenticidade e a disponibilidade da informação passa pela adoção de regras e procedimentos específicos
referentes ao seu manuseamento, tratamento, armazenamento, acesso e divulgação.
E tendo sido ouvidos o Conselho de Administração, a Conferência de Líderes e a Conferência dos
Presidentes das Comissões Parlamentares, determino:
1. É aprovado, em anexo ao presente despacho, dele fazendo parte integrante, o Regulamento sobre
Política de Classificação e Manuseamento da Informação na Assembleia da República.
2. O presente Regulamento entra em vigor no dia seguinte ao da sua publicação.
Registe-se e publique-se.
Palácio de São Bento, 12 de julho de 2018.
O Presidente da Assembleia da República, Eduardo Ferro Rodrigues.
Anexo: Regulamento sobre Política de Classificação e Manuseamento da Informação na Assembleia da
República
ÍNDICE
1. Objetivo 2. Destinatários 3. Graus de classificação de segurança da informação e respetivos responsáveis 4. Princípios
4.1 Princípios básicos 4.2 Ciclo de vida da informação
4.3 Etiquetagem da informação 5. Informação Pública ou informação não classificada
5.1 Caracterização da informação 5.2 Entidades competentes para reclassificar informação
6. Grau Reservado
6.1 Caracterização da informação 6.2 Entidades competentes para classificar, renovar a classificação, reclassificar e desclassificar 6.3 Acesso à informação e credenciação 6.4 Etiquetagem da informação 6.5 Tratamento da informação (alteração ou cópia) 6.6 Distribuição da informação em formato papel dentro da AR 6.7 Distribuição da informação em formato papel para fora da AR 6.8 Distribuição da informação em suporte eletrónico
Página 12
II SÉRIE-E — NÚMERO 21
12
6.9 Distribuição da informação noutros formatos
6.10 Salvaguarda 6.11 Destruição da informação em formato papel 6.12 Destruição da informação em formato eletrónico
6.13 Penalidades 7. Grau Confidencial
7.1 Caracterização da informação 7.2 Entidades competentes para classificar, renovar a classificação, reclassificar e desclassificar
7.3 Acesso à informação e credenciaçãoErro! Marcador não definido.
7.4 Etiquetagem da informação 7.5 Tratamento da informação (alteração ou cópia) 7.6 Distribuição da informação em formato papel dentro da AR
7.7 Distribuição da informação em formato papel para fora da AR 7.8 Distribuição da informação em formato eletrónico
7.9 Distribuição da informação noutros formatos 7.10 Salvaguarda da informação 7.11 Destruição da informação em formato papel 7.12 Destruição da informação em formato eletrónico
7.13 Penalidades 8. Grau Secreto
8.1 Caracterização da informação 8.2 Entidades competentes para classificar, renovar a classificação, reclassificar e desclassificar 8.3 Acesso à informação e credenciação
8.4 Etiquetagem da informação 8.5 Tratamento da informação (alteração ou cópia)
8.6 Distribuição da informação em formato papel dentro da AR 8.7 Distribuição da informação em formato papel para fora da AR
8.8 Distribuição da informação em formato eletrónico 8.9 Distribuição da informação por outros meios
8.10 Salvaguarda da informação em formato papel 8.11 Salvaguarda da informação em suporte físico amovível 8.12 Salvaguarda da informação em suporte físico inamovível
8.13 Destruição da informação em formato papel 8.14 Destruição da informação em formato eletrónico
9. Grau Muito Secreto
9.1 Caracterização da informação 9.2 Entidades competentes para classificar, renovar a classificação, reclassificar e desclassificar
9.3 Credenciação e acesso à informação 9.4 Etiquetagem da Informação 9.5 Tratamento da informação (alteração ou cópia)
9.6 Distribuição da informação em formato papel dentro da AR 9.7 Distribuição da informação em formato papel para fora da AR
9.8 Distribuição da informação em formato eletrónico 9.9 Distribuição da informação por outros meios
9.10 Salvaguarda da informação em formato papel 9.11 Salvaguarda da informação em suporte físico amovível 9.12 Salvaguarda da informação em suporte físico inamovível 9.13 Destruição da informação em formato papel 9.14 Destruição da informação em formato eletrónico 9.15 Penalidades
10. Informações adicionais 10.1 Classificação de informação fornecida à AR por terceiros
Página 13
20 DE JULHO DE 2018
13
10.2 Classificação de informação fornecida pela AR a terceiros
11. Designação, estatuto e deveres do Administrador de segurança
12. Glossário
Classificação da Informação
1. Objetivo
O objetivo do presente regulamento é o de definir o grau de proteção da informação a nível da confidencialidade
e, consequentemente, determinar o conjunto de medidas de segurança a aplicar, durante a sua produção,
receção, transmissão, armazenamento, transporte, reprodução ou destruição, sejam quais forem os meios ou
processos de comunicação utilizados.
2. Destinatários
Os destinatários desta política são os Deputados, os dirigentes e equiparados, os funcionários parlamentares,
o pessoal que desempenha funções nos Gabinetes e nos grupos parlamentares, os prestadores de serviços
externos e as entidades que utilizam as instalações e os meios da Assembleia da República (AR).
3. Graus de classificação de segurança da informação e respetivos responsáveis
3.1. Em regra, a informação parlamentar é considerada “Informação Pública”.
Considera-se “Informação Classificada” aquela a que tenha sido atribuído um grau de classificação de
segurança e que requeira proteção contra acessos e divulgação não autorizada, independentemente do meio,
ou meios, em que se apresente. Os graus de classificação de segurança da informação são os seguintes:
Reservado;
Confidencial;
Secreto;
Muito Secreto.
Toda a informação deve ser manuseada de acordo com o grau de classificação de segurança atribuído, a fim
de se proteger a sua integridade, autenticidade, disponibilidade e confidencialidade.
3.2. Para cada informação produzida, existe um responsável que deve:
• Classificar a que não seja considerada pública, com um grau de classificação de segurança;
• Verificar periodicamente se as proteções de segurança existentes são as adequadas em matéria de
confidencialidade, autenticidade, integridade e disponibilidade e proceder à sua reclassificação ou
desclassificação se necessário;
• Assegurar que, em qualquer fase do ciclo de vida da informação, são ser sempre seguidos os
procedimentos estabelecidos para o seu tratamento correto e seguro;
• Avaliar as implicações de alterações aos controlos de segurança da informação;
• Avaliar e decidir quanto à autorização de acessos a terceiros;
• Manter atualizado o inventário;
• Decidir as necessidades em matéria de salvaguarda da informação (cópias);
• Identificar os parâmetros da informação para o respetivo modelo de recuperação, em caso de desastre.
Página 14
II SÉRIE-E — NÚMERO 21
14
4. Princípios
4.1 Princípios básicos
Tendo em vista normalizar a atribuição da classificação de segurança da informação, devem ser observados
os seguintes princípios básicos:
a) Apenas deve ser classificada a informação que efetivamente necessite de ser convenientemente
protegida;
b) A informação deve ser classificada tendo em conta apenas o seu conteúdo, devendo existir uma
adequação da classificação de segurança à natureza da matéria a proteger;
c) A duração da classificação não deve exceder o tempo estritamente necessário, considerando os
interesses a proteger e os motivos ou circunstâncias que os justificam;
d) A classificação da informação deve ser periodicamente reavaliada ao longo do seu ciclo de vida
(reclassificação/desclassificação);
e) A classificação, reclassificação ou desclassificação deve ser expressamente fundamentada,
indicando-se os interesses a proteger e os motivos ou circunstâncias que a justificam;
f) O acesso à informação classificada é concedido exclusivamente a pessoas credenciadas e a quem
tiver comprovada necessidade de a conhecer ou de a possuir;
g) Quem acede à informação classificada apenas a utiliza ou partilha no âmbito exclusivo do estabelecido
para o efeito pelo responsável pela informação;
h) Quem detém informação classificada devolve ou destrói a informação ou seus suportes sempre que
tal seja solicitado pelo responsável da informação e de acordo com as regras estabelecidas;
i) Quem detém informação classificada abstém-se de a comunicar ou partilhar sem o prévio
consentimento escrito do responsável por essa informação;
j) Quando se apense informação proveniente de diversas fontes, deve ser revista a classificação de
segurança global, atribuindo-se, ao documento como um todo, o grau de classificação de segurança
mais elevado dos vários componentes;
k) Todos os intervenientes que, no desempenho das suas funções, solicitem o acesso a informações
classificadas de grau confidencial ou superior são sujeitos a um processo de credenciação apropriado
antes de lhes ser facultado esse acesso;
l) A concessão de uma credenciação de segurança pressupõe uma avaliação e uma decisão
administrativa sobre a idoneidade e capacidade da pessoa singular ou coletiva a credenciar, atentos
os interesses que fundamentam a classificação de segurança;
m) Toda a informação classificada deve ser alvo de etiquetagem, nos moldes definidos na presente
política;
n) O material de preparação acumulado na elaboração de um documento classificado deve ser tratado,
armazenado ou destruído conforme exigido pela classificação do documento final;
o) A tradução de informação classificada apenas pode ser realizada sob supervisão do seu responsável;
p) A reprodução da informação também deve ser realizada sob supervisão;
q) Toda a informação que não se encontre etiquetada deve ser tratada como informação reservada, salvo
quando se enquadre na informação relativa à atividade parlamentar, que é pública, ou quando exista
legislação, regulamentação ou despacho que a torne pública;
r) Nenhuma disposição da presente política pode ser considerada como base para a transmissão
obrigatória ou facultativa de informação classificada;
s) Nenhuma disposição da presente politica se sobrepõe a legislação ou regulamentação vigente
aplicável à Assembleia da República (AR), nomeadamente sobre a proteção de dados pessoais e o
acesso aos arquivos e registos administrativos;
t) A obrigação de cumprir a presente politica mantém-se para além da cessação de funções e/ou
colaboração com a AR.
Página 15
20 DE JULHO DE 2018
15
4.2 Ciclo de vida da Informação
O ciclo de vida da informação compreende diversas fases, distintas e interdependentes:
Criação ou receção
Tratamento (processamento, tradução ou reprodução)
Distribuição ou transmissão
Salvaguarda ou arquivo
Destruição
4.3 Etiquetagem da Informação
A etiquetagem da informação é o ato de aposição do grau de classificação da informação em documentos
e em suportes físicos.
De acordo com o princípio n.º 17, enumerado na secção 4.1, qualquer informação não etiquetada e que não
deva ser pública, não tendo sido alvo de regulamentação ou despacho de publicação, deve ser considerada
informação classificada com o grau de reservada, sendo manipulada de acordo com as regras em vigor na
AR, designadamente respeitando o disposto nas alíneas b) e c) do nº 1 e nº 3 do artigo 3.º do Estatuto dos
Funcionários Parlamentares, aprovado pela Lei n.º 23/2011, de 20 de maio, bem como o artigo 35.º da
LOFAR (Deveres de sigilo e de reserva profissional).
Na autoria e revisão de um documento classificado, a metainformação associada deve conter
obrigatoriamente o grau de classificação de segurança em local visível.
No caso de informação lógica residente em suporte físico (v.g. pen), deve ser inscrito neste suporte o grau
de classificação de segurança da informação que aquele possui.
5. Informação Pública ou informação não classificada
5.1 Caracterização da informação
«Informação Pública» ou «Informação não classificada» produzida pela AR é toda aquela que, por via de
legislação aplicável à atividade da AR, regulamentação interna ou despacho de entidade competente, é
passível de ser partilhada com terceiros ou publicada.
«Informação Pública» ou «Informação não classificada», não produzida pela AR, é toda aquela que é
rececionada e que não foi classificada pelo seu autor ou detentor dos seus direitos, ou que não se encontra
abrangida por nenhuma legislação ou regulamento em vigor, designadamente a lei de proteção de dados
pessoais, ou cuja publicidade está implícita ao meio que a divulga.
São exemplos de informação pública:
Toda a informação que é publicada no Diário da Assembleia da República (DAR);
Atas e relatórios de reuniões/audições públicas;
Toda a informação que é publicada no site do Parlamento, desde que não protegida por mecanismos
de controlo de acesso, ou seja, que se encontre acessível a todos os utilizadores da rede internet;
Estatísticas da atividade parlamentar;
Instrumentos de gestão como o balanço social, o orçamento e a conta da AR;
Informação histórica que, nos termos das políticas internas e legislação vigente, já ultrapassou os
respetivos prazos de limitação de acesso.
5.2 Entidades competentes para reclassificar informação
São competentes para proceder à reclassificação: todas as entidades que podem determinar a classificação,
desde que detentoras de competência adequada para o grau de classificação de segurança a atribuir.
Página 16
II SÉRIE-E — NÚMERO 21
16
6. Grau Reservado
6.1 Caracterização da informação
A informação reservada produzida pela AR é a que, não sendo pública, não requer classificação mais
elevada, devendo ser apenas do conhecimento de pessoas que dela necessitem para o estrito cumprimento
das suas funções.
São exemplos de informação reservada:
Documentos administrativos preparatórios de uma decisão ou constantes de processos não
concluídos;
Documentos preparatórios das deliberações do Conselho de Administração ou das reuniões ou
deliberações de outros órgãos parlamentares;
Informação de carácter geral da AR que não necessite de mecanismos de proteção elevados e cuja
potencial divulgação não coloque em risco o normal funcionamento da AR, mas cuja classificação
como reservada seja fundamentada pelas entidades competentes para classificar;
Qualquer outra informação cuja classificação como reservada seja recomendável para garantir a sua
integridade ou ainda quando se trate de informação de exclusivo interesse da Assembleia da
República.
6.2 Entidades competentes para classificar, renovar a classificação, reclassificar e desclassificar
São competentes para proceder a esta classificação, renovação, reclassificação e desclassificação: o
PAR, os Presidentes das Comissões Parlamentares, os Presidentes das Subcomissões, o Conselho
de Administração, o Secretário-Geral, os Diretores de Serviços e os Chefes de Divisão.
As competências para a classificação da informação reservada não podem ser delegadas, com
exceção das do PAR, que podem ser delegadas num Vice-PAR.
6.3 Acesso à informação e credenciação
6.3.1. Acesso
O acesso a esta informação só deve ser feito por intervenientes devidamente credenciados. Este acesso
deve ser efetuado em locais de acesso restrito, requerendo-se sempre parcimónia neste ato.
6.3.2. Credenciação
A credenciação para acesso à informação reservada é atribuída por um interveniente com poderes de
classificar a informação deste grau de segurança. A atribuição de credenciação tem que ser prontamente
comunicada ao responsável pela guarda da informação.
São requisitos mínimos de credenciação:
• Justificação da necessidade de acesso à informação;
• Identificação inequívoca do interveniente.
Por inerência, encontram-se automaticamente credenciados o PAR, os Deputados, os funcionários da AR,
o pessoal que desempenha funções nos Grupos Parlamentares, Serviços e Gabinetes.
6.4 Etiquetagem da Informação
É requerida a etiquetagem deste tipo de informação pelo autor ou depositário da mesma.
A etiquetagem da informação em formato papel deve ser feita através da colocação do seu grau de classificação
de segurança no canto superior direito da folha de rosto.
No caso de informação em formato eletrónico, sempre que possível, deve ser utilizada uma das seguintes formas
de etiquetagem:
Acrescentar na folha de rosto a expressão ‘Reservado’;
Sufixar ao nome do ficheiro lógico a expressão ‘Reservado’;
Página 17
20 DE JULHO DE 2018
17
Apensar, em local visível, no suporte físico a inscrição ‘Reservado’.
6.5 Tratamento da informação (alteração ou cópia)
6.5.1. Alteração da Informação
A alteração de informação em formato papel requer autorização antecipada do responsável da informação. A
execução deste ato deve ser devidamente inscrita na primeira folha do documento, constando nesta inscrição,
de forma manuscrita, o nome abreviado do interveniente que procede à alteração, rubrica deste e respetiva data.
Quando em formato eletrónico editável, independentemente do seu suporte físico, requer-se atualização da
metainformação do documento, registo e salvaguarda das versões do documento, apenas se procedendo à sua
eliminação nos termos da política e legislação em vigor.
6.5.2. Cópia da Informação
A cópia da informação deve ser devidamente registada e comunicada ao responsável da informação.
A cópia da informação em formato papel deve ser executada recorrendo preferencialmente aos meios instalados
na AR e dentro dos limites necessários e suficientes para a tramitação interna e externa dos processos. No ato
de receção o destinatário deve ser informado de que se trata de cópia ou, em alternativa, deve ser apensa a
inscrição do termo “Cópia”.
Quando em formato eletrónico, independentemente do seu suporte, deve proceder-se à atualização do campo
‘distribuição’ da metainformação associada, sempre que o formato de origem o permita.
6.6 Distribuição da informação em formato papel dentro da AR
Deve ser feita por correio interno.
6.7 Distribuição da informação em formato papel para fora da AR
Deve ser entregue em mão, correio postal nacional, ou através de instituições públicas ou privadas de transporte
de informação aprovadas pela AR.
6.8 Distribuição da informação em suporte eletrónico
Deve ser distribuída através da colocação em sites da intranet da AR, que dispõem de mecanismos de controlo
de acesso que podem ser configurados à medida das necessidades. Pode ser distribuída também através de
correio eletrónico ou outros métodos aprovados para transmissão eletrónica de dados.
6.9 Distribuição da informação noutros formatos
Não é permitida a divulgação de informação por outro meio que não os anteriormente previstos.
6.10 Salvaguarda
A informação deve ser mantida fora do alcance de terceiros (não deixar a informação sobre a secretária; apagar
a informação de quadros de reuniões; não colocar a informação eletrónica em suportes com acesso público).
6.11 Destruição da informação em formato papel
A informação deve ser destruída de forma efetiva, designadamente utilizando uma destruidora de papel,
devendo ser elaborado auto de destruição, assinado por dois intervenientes.
6.12 Destruição da informação em formato eletrónico
Devem ser eliminados os dados que se encontram no dispositivo eletrónico, utilizando as ferramentas
disponíveis no sistema operativo do respetivo computador pessoal garantindo que esta não é recuperável, ou
no caso de residir em formato amovível, utilizando os equipamentos destruidores apropriados. Deve ser
elaborado auto de destruição, assinado por dois intervenientes.
Página 18
II SÉRIE-E — NÚMERO 21
18
6.13 Penalidades
O desrespeito pelas regras e procedimentos estabelecidos na presente política é passível de responsabilização
disciplinar, civil e penal, nos termos legais.
7. Grau Confidencial
7.1 Caracterização da informação
A informação confidencial produzida pela AR é aquela que, se acedida por pessoas não autorizadas, pode
causar prejuízos para os interesses dos cidadãos, da AR ou de outras entidades públicas ou privadas.
Para além de outra informação classificada com o grau de confidencial, constitui informação confidencial:
Condenações penais e infrações ou medidas de segurança conexas;
Processos disciplinares;
Relatórios de avaliação de desempenho;
Registos e atestados médicos;
Dados biográficos;
Dados biométricos que identifiquem uma pessoa de forma inequívoca;
Dados relativos à vida sexual ou orientação sexual de uma pessoa;
Dados que revelem a origem racial ou étnica;
Avaliações do Risco;
Resultados de auditorias internas;
Propostas de mitigação de riscos;
Segredos comerciais;
Palavras-passe atribuídas aos utilizadores do sistema informático da AR;
Código fonte;
Informação sobre segurança física ou lógica da AR.
7.2 Entidades competentes para classificar, renovar a classificação, reclassificar e desclassificar
São competentes para proceder à classificação, renovação, reclassificação e desclassificação: o PAR, os
Presidentes de Comissão, os Presidentes de Subcomissão e o Secretário-Geral;
As competências para a classificação da informação não podem ser delegadas, salvo no que respeita ao PAR,
que pode delegar num Vice-PAR.
7.3 Acesso à informação e credenciação
7.3.1. Acesso
O acesso a esta informação para leitura, alteração ou cópia, é feito por intervenientes devidamente
credenciados.
Qualquer acesso a esta informação só pode ser efetuado em zona de acesso restrito e de circulação
devidamente controlada.
7.3.2. Credenciação
A credenciação para acesso à informação confidencial é atribuída por um interveniente com poderes para
classificar a informação deste grau de segurança. A atribuição de credenciação tem que ser prontamente
comunicada ao responsável pela guarda da informação.
Todos os funcionários parlamentares que, por inerência das suas funções, careçam de acesso à informação,
estão automaticamente credenciados para o grau de classificação adequado.
São requisitos mínimos de credenciação:
Página 19
20 DE JULHO DE 2018
19
Justificação da necessidade de acesso à informação;
Identificação inequívoca do interveniente.
Os Deputados que são membros ou desempenham funções na comissão parlamentar responsável pela Defesa
Nacional estão automaticamente credenciados para o grau de classificação de confidencial, no que concerne à
informação classificada recebida no âmbito dessa comissão.
Os Deputados que são membros ou desempenham funções na comissão ou subcomissão parlamentar
competente para apreciar as questões relativas à aplicação do Estatuto dos Deputados, estão automaticamente
credenciados para o grau de classificação de confidencial, no que concerne à informação classificada relativa à
aplicação desse Estatuto.
Os Deputados que são membros ou desempenham funções numa comissão de inquérito parlamentar, bem
como os funcionários parlamentares que dão apoio às reuniões, estão automaticamente credenciados para o
grau de classificação de confidencial, no que concerne à informação classificada recebida no âmbito desse
inquérito parlamentar.
7.4 Etiquetagem da Informação
É requerida a etiquetagem deste tipo de informação pelo autor ou responsável da mesma.
A etiquetagem da informação em formato papel deve ser feita através da colocação do seu grau de classificação
de segurança no canto superior direito da folha de rosto.
No caso de informação em formato eletrónico deve, sempre que possível, ser utilizada uma das seguintes formas
de etiquetagem:
Acrescentar na folha de rosto do documento a expressão ‘Confidencial;
Sufixar ao nome do ficheiro lógico a expressão ‘Confidencial’;
Apensar, em local visível, no suporte físico a inscrição ‘Confidencial’. Caso o suporte físico já esteja
etiquetado com grau de classificação inferior procede-se à substituição da etiqueta.
7.5 Tratamento da informação (alteração ou cópia)
7.5.1. Alteração da informação
A alteração da informação requer comunicação do ato ao responsável da informação e registo do ato (data, hora
e intervenientes) a efetuar por este último.
7.5.2. Cópia da informação
A cópia de informação, independentemente do seu formato, requer autorização do responsável da mesma. As
cópias devem ser controladas, através de numeração e, sempre que possível, de personalização de cada cópia.
Deve ser constituído registo do ato (data, hora e intervenientes) pelo responsável da informação.
Quando em formato eletrónico, independentemente do seu suporte físico, requer-se atualização do campo
‘distribuição’ da metainformação associada, sempre que o formato de origem o permita.
7.6 Distribuição da informação em formato papel dentro da AR
A distribuição faz-se por correio interno, em envelope externo opaco devidamente fechado, sem referência, e
envelope interno com menção do grau de reserva. Deve ser acompanhado de protocolo.
7.7 Distribuição da informação em formato papel para fora da AR
A distribuição faz-se por entrega em mão, em envelope opaco e devidamente fechado ou através de instituições
privadas de transporte de informação aprovadas pela AR.
7.8 Distribuição da informação em formato eletrónico
A distribuição faz-se com restrições, devendo existir uma identificação inequívoca dos destinatários da
informação; a informação deve sempre ser cifrada com palavra-chave forte, podendo ser distribuída por correio
Página 20
II SÉRIE-E — NÚMERO 21
20
eletrónico ou em suporte físico, aplicando-se neste caso também as regras de distribuição da informação em
formato papel.
7.9 Distribuição da informação noutros formatos
Não é permitida a divulgação de informação por outro meio que não os anteriormente previstos.
7.10 Salvaguarda da informação
A informação classificada com o grau de confidencial deve ser conservada em ambientes de acesso controlado.
De modo a manter a confidencialidade e integridade da informação, o PAR, os Presidentes de Comissão ou
Subcomissão, o Secretário-Geral, os Diretores de Serviço e os Chefes de Divisão podem determinar que toda
a informação classificada não deve ser deixada sem vigilância e que, quando não esteja em uso, deva ser
guardada num cofre.
7.11 Destruição da informação em formato papel
A informação deve ser destruída de forma efetiva, utilizando uma destruidora de papel e deve ser elaborado
auto de destruição, assinado por dois intervenientes.
7.12 Destruição da informação em formato eletrónico
A eliminação da informação confidencial em formato eletrónico, ou do próprio suporte físico, deve obedecer às
seguintes regras:
A informação em formato eletrónico deve ser eliminada utilizando as ferramentas do sistema operativo
do computador, garantindo que esta não é recuperável, ou seja, que não fica guardada cópia indesejada
noutro local (por exemplo: na “Reciclagem”);
Os suportes físicos que se encontram operacionais e que possibilitam o acesso à informação neles
contida devem ser formatados recorrendo a aplicações de formatação de baixo nível;
Os suportes físicos que se encontrem avariados impossibilitando acesso à informação neles contida,
devem ser desmagnetizados, com recurso a um desmagnetizador, ou fisicamente destruídos;
Deve ser elaborado auto de destruição a ser assinado por dois intervenientes.
7.13 Penalidades
O desrespeito pelas regras e procedimentos estabelecidos na presente política é passível de
responsabilização disciplinar, civil e penal, nos termos legais
8. Grau Secreto
8.1 Caracterização da informação
A Informação secreta produzida pela AR é aquela cujo acesso não autorizado pode colocar em risco pessoas e
bens, constituir uma ameaça para o País, para a AR, ou para outras entidades públicas ou privadas.
Para além de outra informação classificada com este grau, constitui informação secreta:
A informação que diga respeito a investigações em segredo de justiça;
Os códigos de acesso a suportes físicos e a cofres.
A informação que prejudique a condução de negociações ou as relações internacionais do País, ou que
tenha sido fornecida com essa classificação por outros Estados ou organismos internacionais.
8.2 Entidades competentes para classificar, renovar a classificação, reclassificar e desclassificar
São competentes para proceder a esta classificação, renovação da classificação, reclassificação e
desclassificação, o PAR ou quem legalmente o substituir, os Presidentes de Comissão e o Secretário-Geral.
As competências para a classificação da informação não podem ser delegadas.
Página 21
20 DE JULHO DE 2018
21
8.3 Acesso à informação e credenciação
8.3.1. Acesso
O acesso a informação secreta só pode ser efetuado por intervenientes credenciados, em zona de acesso
restrito com controlo de circulação e equipamentos de comunicação e reprodução.
Qualquer acesso tem de ser objeto de registo e ser sempre efetuado na presença de dois elementos. Do registo
deve constar, de forma clara, a identificação e assinatura dos intervenientes, data, hora e motivo do acesso,
data e hora de finalização de acesso.
Quando os membros de uma comissão parlamentar necessitem de consultar informação secreta no âmbito de
uma reunião, deve ser garantido que:
A reunião decorre à porta fechada;
Só são autorizadas a entrar na sala de reunião pessoas indicadas para participar na reunião pelo
presidente da comissão ou pela instância competente;
Os documentos são todos numerados, distribuídos no início da reunião e recolhidos no final, e não são
tomadas notas nem feitas fotocópias ou fotografias desses documentos;
Da ata da reunião não consta o conteúdo do debate sobre as informações apreciadas;
São distribuídas cópias dos documentos apenas no número necessário de participantes e apenas no
início da reunião;
Quem presidir à reunião informa, no início da mesma, todos os presentes quanto à classificação dos
documentos em análise;
Os participantes não retiram documentos da sala de reunião;
As cópias dos documentos são todas recolhidas e controladas, no final da reunião, pelos funcionários
parlamentares que dão apoio à comissão;
Não são introduzidos na sala dispositivos de comunicação móvel nem outro equipamento técnico de
reprodução ou transmissão de documentos.
8.3.2. Credenciação
A credenciação para acesso à informação secreta é atribuída por um interveniente com poderes para classificar
a informação neste grau de segurança. A atribuição de credenciação tem que ser prontamente comunicada ao
responsável pela guarda da informação.
São requisitos mínimos de credenciação:
Justificação da necessidade de acesso à informação;
Identificação inequívoca do interveniente;
Assinatura de termo de responsabilidade e confidencialidade, contendo as regras a aplicar;
Quando se trate de Deputados, deve ser previamente obtida autorização expressa do PAR ou do
Presidente da Comissão respetiva sempre que se trate de matéria analisada no âmbito de uma comissão
parlamentar; ou do Secretário-Geral da AR, nos restantes casos.
8.4 Etiquetagem da Informação
É requerida a etiquetagem deste tipo de informação pelo autor ou responsável da mesma.
A etiquetagem da informação que reside em suporte papel deve ser feita através da colocação do seu grau de
classificação de segurança no canto superior direito da folha de rosto.
No caso de informação em formato eletrónico, sempre que possível, deve ser utilizada uma das seguintes formas
de etiquetagem:
Acrescentar na folha de rosto do documento a expressão ‘Secreto’;
Sufixar ao nome do ficheiro lógico a expressão ‘Secreto’;
Apensar, em local visível, no suporte físico a inscrição ‘Secreto’. Caso o suporte físico já esteja
etiquetado com grau de classificação inferior procede-se à substituição da etiqueta.
Página 22
II SÉRIE-E — NÚMERO 21
22
8.5 Tratamento da informação (alteração ou cópia)
8.5.1. Alteração da Informação
A alteração de informação secreta requer aprovação formal antecipada do ato pelo responsável da informação.
Quando em formato eletrónico editável, independentemente do seu suporte físico, requer-se a atualização da
metainformação do documento.
Quando em formato papel, a execução deste ato deve ser devidamente inscrita na primeira folha do documento,
consistindo esta inscrição, de forma manuscrita, nas iniciais do interveniente que procede à alteração, rubrica
deste e respetiva data.
8.5.2. Cópia da Informação
A cópia de informação, independentemente do seu formato, requer autorização do responsável da mesma. As
cópias devem ser controladas, através de numeração e, sempre que possível, deve ser feita a personalização
de cada cópia. Deve ser constituído registo do ato (data, hora e intervenientes) pelo responsável da informação.
Quando em formato eletrónico, independentemente do seu suporte físico, é requerida a atualização do campo
‘distribuição’ da metainformação associada, sempre que o formato de origem o permita.
8.6 Distribuição da informação em formato papel dentro da AR
A informação deve ser distribuída em termos que permitam a inequívoca identificação dos seus destinatários,
nomeadamente, através de correio interno com protocolo. Deve ser usado envelope externo opaco, devidamente
fechado, sem referência, e envelope interno com menção do grau de reserva. A entrega deve ser feita em mão,
ao seu destinatário, por elemento credenciado pela AR.
8.7 Distribuição da informação em formato papel para fora da AR
A informação deve ser distribuída em termos que permitam a inequívoca identificação dos seus destinatários,
nomeadamente com aviso de receção ou protocolo. A entrega deve ser feita em mão, ao seu destinatário, por
elemento credenciado pela AR, ou através de instituições privadas ou públicas de transporte de informação com
certificação ISO/IEC 27001, ou que, em alternativa, tenham sido credenciadas pela AR para o efeito. A
informação deve circular em envelope externo opaco, devidamente fechado, sem referência, e envelope interno
com menção do grau de reserva. O envelope deve ser lacrado pelo responsável da informação.
8.8 Distribuição da informação em formato eletrónico
A distribuição desta informação deve condicionada às seguintes restrições: deve existir uma inequívoca
identificação dos destinatários da informação, sendo obrigatória a utilização dos certificados digitais, aprovados
pela AR para cifrar a informação a ser distribuída por correio eletrónico. Caso a informação resida em suporte
físico, deve sempre ser cifrada com palavra-chave forte, aplicando-se também neste caso as regras de
distribuição da informação em formato papel.
8.9 Distribuição da informação por outros meios
Não é permitida a divulgação da informação por outros meios que não os anteriormente previstos.
8.10 Salvaguarda da informação em formato papel
A informação secreta deve ser sempre colocada em envelopes devidamente fechados e que ocultem o seu
conteúdo (opacos). Estes devem ser colocados em cofres-fortes ou armários exclusivos para este nível de
informação, cujo acesso é restringido a elementos devidamente credenciados.
A combinação do cofre-forte deve ser memorizada pelo menor número possível de pessoas e deve ser mudada
sempre que mude o pessoal que conhece a combinação ou sempre que haja conhecimento/suspeita de
comprometimento.
8.11 Salvaguarda da informação em suporte físico amovível
A informação secreta, que conste em suporte físico amovível, deve ser sempre alvo de prévia encriptação
através de ferramentas aprovadas pela AR ou, em alternativa, o seu conteúdo deve ser unicamente acessível
Página 23
20 DE JULHO DE 2018
23
mediante prévia digitação de um ou mais códigos secretos. Todo e qualquer tratamento efetuado para mover ou
copiar a informação contida nestes suportes deve ser alvo de registo (identificação do interveniente, data, hora
e motivo do tratamento).
8.12 Salvaguarda da informação em suporte físico inamovível
Todos os suportes que possuam este tipo de informação devem ser dotados de mecanismos robustos (palavras-
chave fortes) para identificação inequívoca dos seus utilizadores.
8.13 Destruição da informação em formato papel
A informação deve ser destruída de forma efetiva, designadamente utilizando uma destruidora de papel, de corte
cruzado, devendo ser elaborado auto de destruição, assinado por dois intervenientes.
8.14 Destruição da informação em formato eletrónico
A eliminação da informação secreta em formato eletrónico, ou do próprio suporte físico, deve sempre ser
efetuada por dois elementos credenciados, que devem assinar auto de destruição, obedecendo ao seguinte:
A informação em formato eletrónico deve ser eliminada utilizando as ferramentas do sistema operativo
do computador, garantindo que esta não é recuperável, ou seja, que não fica guardada cópia indesejada
noutro local (por exemplo: na “Reciclagem”);
Os suportes físicos que se encontrem avariados, impossibilitando acesso à informação neles contida,
devem ser desmagnetizados, com recurso a um desmagnetizador, ou fisicamente destruídos (por
exemplo, com recurso a um martelo);
Os suportes físicos que se encontram operacionais e que possibilitam o acesso à informação neles
contida, devem ser formatados recorrendo a aplicações de formatação de baixo nível.
8.15 Penalidades
O desrespeito pelas regras e procedimentos estabelecidos na presente política é passível de responsabilização
disciplinar, civil e penal, nos termos legais.
9. Grau Muito Secreto
9.1 Caracterização da informação
A informação muito secreta, produzida pela AR, é aquela que necessita do mais elevado grau de proteção. Deve
ser aplicada unicamente a matérias cujo conhecimento, ou divulgação por pessoas não autorizadas possa
implicar consequências excecionalmente graves para o País, para a AR, ou para outras entidades públicas ou
privadas, em virtude de poderem prejudicar a segurança nacional, colocar em perigo pessoas e bens ou impedir
o funcionamento de infraestruturas críticas.
Para além de outra informação classificada com este grau, constitui informação muito secreta:
A informação suscetível de colocar em risco planos ou operações estratégicas das Forças Armadas;
A informação que coloque em risco a defesa e a soberania nacionais ou a integridade do território
nacional;
A informação suscetível de colocar em risco a vida, a segurança ou a saúde da população;
A informação suscetível de colocar em risco a estabilidade económica, financeira ou monetária do país;
A informação suscetível de colocar em risco projetos vitais para o desenvolvimento científico ou
tecnológico do país, bens, instalações ou áreas de interesse estratégico nacional.
9.2 Entidades competentes para classificar, renovar a classificação, reclassificar e desclassificar
São competentes para proceder a esta classificação, renovação da classificação, reclassificação ou
desclassificação, o PAR ou quem legalmente o substitua e os Presidentes de Comissão.
As competências para a classificação da informação não podem ser delegadas.
Página 24
II SÉRIE-E — NÚMERO 21
24
9.3 Credenciação e acesso à informação
9.3.1. Acesso
O acesso a esta informação só pode ser efetuado por intervenientes credenciados, em zona de acesso restrito,
com controlo de circulação e equipamentos de comunicação e reprodução, sendo apenas permitida a presença
nesta área de pessoal com autorização expressa do responsável da informação e com igual credenciação para
o efeito.
Qualquer acesso tem que ser alvo de registo e efetuado sempre na presença de dois elementos credenciados,
sendo um deles o responsável da informação. Do registo tem que constar de forma clara a Identificação e
assinatura do interveniente que acede à informação, data, hora e motivo do acesso, data e hora de finalização
de acesso, identificação e assinatura do interveniente, que acompanha a operação.
O acesso à informação só é permitido mediante a prévia digitação de dois ou mais códigos secretos ou palavras
passe sob responsabilidade de dois elementos credenciados.
Quando os membros de uma comissão parlamentar necessitem de consultar informação muito secreta no
âmbito de uma reunião, deve ser garantido que:
A reunião decorre à porta fechada;
Só são autorizadas a entrar na sala de reunião pessoas indicadas para participar na reunião pelo
presidente da comissão ou pela instância competente;
Os documentos são todos numerados, distribuídos no início da reunião e recolhidos no final, e não são
tomadas notas nem feitas fotocópias ou fotografias desses documentos;
Da ata da reunião não consta o conteúdo do debate sobre as informações apreciadas;
São distribuídas cópias dos documentos apenas no número necessário de participantes, no início da
reunião;
No início da reunião, quem a estiver a presidir informa os presentes quanto à classificação dos
documentos em análise;
Os participantes não retiram documentos da sala de reunião;
As cópias dos documentos são todas recolhidas e controladas no final da reunião pelos funcionários
parlamentares dessa comissão;
Não são introduzidos dispositivos de comunicação móvel nem outro equipamento técnico de
reprodução ou transmissão de documentos.
9.3.2. Credenciação
A credenciação para acesso a informação muito secreta é única e exclusivamente atribuída pelo PAR. A
atribuição de credenciação tem que ser prontamente comunicada ao responsável pela guarda da informação.
São requisitos mínimos de credenciação:
Justificação da necessidade de acesso a informação muito secreta;
Identificação inequívoca do interveniente;
Obtenção de autorização expressa do PAR para o acesso;
Assinatura de termo de responsabilidade e confidencialidade, contendo as regras a aplicar.
9.4 Etiquetagem da Informação
É requerida a etiquetagem deste tipo de informação pelo autor ou responsável da mesma.
A etiquetagem da informação que reside em formato papel deve ser feita através da colocação do seu grau de
classificação de segurança no canto superior direito da folha de rosto.
No caso de informação em formato eletrónico, sempre que possível, deve ser utilizada uma das seguintes formas
de etiquetagem:
Acrescentar na folha de rosto do documento a expressão ‘Muito Secreto’;
Sufixar ao nome do ficheiro lógico a expressão ‘Muito Secreto’;
Apensar, em local visível, no suporte físico a inscrição ‘Muito Secreto’. Caso o suporte físico já esteja
etiquetado com grau de classificação inferior procede-se à substituição da etiqueta.
Página 25
20 DE JULHO DE 2018
25
9.5 Tratamento da informação (alteração ou cópia)
9.5.1. Alteração da Informação
A alteração de informação muito secreta requer aprovação formal e agendamento antecipado do ato pelo
responsável da informação.
Quando em formato eletrónico editável, independentemente do seu suporte físico, requer-se atualização da
metainformação do documento.
Quando em formato papel, a execução deste ato deve ser devidamente inscrita em todas as páginas alteradas
do documento consistindo esta inscrição, de forma manuscrita, nas iniciais e rubrica do interveniente que
procede à alteração. A data da realização deste ato deve ser inscrita na primeira e na última folha do documento.
9.5.2 Cópia da Informação
A cópia de informação muito secreta requer aprovação formal e agendamento antecipado do ato pelo
responsável da informação.
Quando em formato eletrónico, independentemente do seu suporte físico, requer-se atualização do campo
‘distribuição’ da metainformação associada, sempre que o formato de origem o permita.
Em caso de cópia de informação em formato papel, acresce a obrigatoriedade de numeração e personalização
em cada cópia efetuada.
Toda e qualquer ação efetuada, cujo fim seja o mover ou copiar a informação contida no suporte deve ser alvo
de registo e sempre efetuada sob presença de dois elementos. Do registo tem que constar de forma clara a
identificação e rubrica do interveniente que acede à informação, data e hora de acesso, motivo do acesso, data
e hora de finalização de acesso, identificação e rubrica do interveniente que acompanha a operação.
9.6 Distribuição da informação em formato papel dentro da AR
A distribuição deve ser feita com inequívoca identificação dos destinatários da informação, devendo a
informação ser colocada em envelope externo opaco, devidamente fechado, sem referência, e envelope interno
com menção do grau de reserva. O envelope externo deve ser devidamente fechado com lacre e selo próprio
da Assembleia da República. A entrega deve ser feita em mão, ao destinatário, pelo responsável da informação,
acompanhado por outro elemento devidamente designado para o efeito, sendo assinado protocolo.
9.7 Distribuição da informação em formato papel para fora da AR
A distribuição deve ser feita de forma a garantir a inequívoca identificação dos destinatários da informação. A
entrega deve ser feita em mão, ao destinatário, pelo responsável da informação, acompanhado por outro
elemento devidamente designado para o efeito, ou por instituições privadas de transporte de informação com
certificação ISO/IEC 27001 ou que, em alternativa, tenham sido credenciadas pelo PAR para o efeito. A
informação deve circular em envelope externo opaco, devidamente fechado, sem referência, e envelope interno
com menção do grau de reserva. O envelope externo deve ser lacrado com selo próprio da Assembleia da
República, pelo responsável da informação. A informação deve ainda circular com protocolo ou aviso de receção.
9.8 Distribuição da informação em formato eletrónico
A distribuição neste formato só é permitida com recurso a suporte físico amovível, e seguindo o estabelecido
para a distribuição em papel para dentro ou fora da AR, consoante o caso. A utilização de correio eletrónico,
mesmo considerado seguro, não é permitida.
9.9 Distribuição da informação por outros meios
Não é permitida a divulgação da informação por outros meios que não os anteriormente previstos
9.10 Salvaguarda da informação em formato papel
A informação deve ser sempre colocada em envelopes lacrados com o selo próprio da Assembleia da República
e que ocultem o seu conteúdo (opacos). Estes devem ser colocados em cofres-fortes ou armários exclusivos
para este nível de informação, cujo acesso seja restringido a elementos devidamente credenciados.
A combinação do cofre-forte deve ser memorizada pelo menor número possível de pessoas e deve ser mudada:
sempre que mude o pessoal que conhece a combinação ou sempre que haja conhecimento/suspeita de
comprometimento.
Página 26
II SÉRIE-E — NÚMERO 21
26
9.11 Salvaguarda da informação em suporte físico amovível
A informação muito secreta, que conste em suporte físico amovível, deve ser sempre alvo de prévia encriptação
através de ferramentas aprovadas pela AR ou, em alternativa, o seu conteúdo deve ser unicamente acessível
mediante prévia digitação de dois ou mais códigos secretos ou palavras passe sob responsabilidade de dois
elementos credenciados. Todo e qualquer tratamento efetuado para mover ou copiar a informação contida
nestes suportes deve ser alvo de registo (identificação do interveniente, data, hora e motivo do tratamento).
9.12 Salvaguarda da informação em suporte físico inamovível
Todos os suportes que possuam este tipo de informação devem ser dotados de mecanismos robustos (palavras-
chave fortes) para identificação inequívoca dos seus utilizadores.
9.13 Destruição da informação em formato papel
A informação deve ser destruída de forma efetiva, designadamente utilizando uma destruidora de papel, de corte
cruzado, devendo ser elaborado auto de destruição, assinado por dois intervenientes.
9.14 Destruição da informação em formato eletrónico
A eliminação da informação em formato eletrónico, ou do próprio suporte físico, deve sempre ser efetuada por
dois elementos credenciados, que devem assinar auto de destruição, obedecendo a:
A informação em formato eletrónico tem de ser eliminada utilizando as ferramentas do sistema operativo
do computador, garantindo que esta não é recuperável, ou seja, que não fica guardada cópia indesejada
noutro local (por exemplo: na “Reciclagem”);
Os suportes físicos que se encontrem avariados impossibilitando acesso à informação neles contida,
deverão ser desmagnetizados, com recurso a um desmagnetizador, ou fisicamente destruídos;
Os suportes físicos que se encontram operacionais, que possibilitam o acesso à informação neles
contida, devem ser formatados recorrendo a aplicações de formatação de baixo nível.
9.15 Penalidades
O desrespeito pelas regras e procedimentos estabelecidos na presente política é passível de responsabilização
disciplinar, civil e penal, nos termos legais.
10. Informações adicionais
10.1 Classificação de informação fornecida à AR por terceiros
Como regra, a classificação da informação fornecida por terceiros à AR deve ser mantida, devendo a informação
ser manuseada de acordo com as regras da entidade autora. Quando, em casos devidamente justificados, tal
não for possível, o Administrador de Segurança da AR deve estabelecer o paralelismo entre os métodos de
classificação, por forma a que seja adotada para essa informação uma classificação interna da AR, devendo
deste facto ser dado conhecimento à entidade autora.
10.2 Classificação de informação fornecida pela AR a terceiros
A classificação da informação fornecida pela AR a terceiros deve ser mantida, tendo a mesma que ser
manuseada de acordo com as regras do presente regulamento. Quando, nos casos devidamente justificados,
tal não for possível, o Administrador de Segurança deve estabelecer o paralelismo entre os métodos de
classificação, de forma a avaliar a necessidade de reclassificação da informação face ao modelo da entidade
recetora. Deste facto deve ser dado conhecimento à entidade autora. Em caso de disparidade de grau de
classificação, a regra é a de se adotar o grau de classificação mais elevado. A entidade recetora deve,
obrigatoriamente, declarar a receção da informação.
Página 27
20 DE JULHO DE 2018
27
Do Administrador de Segurança
11. Designação, estatuto e deveres do Administrador de segurança
11.1 – O Administrador de segurança será designado por despacho do Secretário-Geral da Assembleia da
República.
11.2 – Do despacho referido no número anterior constará, designadamente:
a) O estatuto e funções do Administrador;
b) A forma de substituição nas suas faltas, ausências ou impedimentos.
11.3 – De entre as funções do Administrador de segurança constará a definição de um programa de
sensibilização e formação em matéria de segurança da informação.
11.4 – Os Gabinetes e unidades orgânicas da Assembleia da República respondem às solicitações do
Administrador, no prazo por este determinado.
11.5 – Caso não seja indicado prazo pelo Administrador, é de três dias úteis.
12. Glossário
Acesso Restrito Zona cujo acesso não é público. Acesso reservado a indivíduos credenciados (intervenientes).
Ambientes de acesso controlado Locais ou espaços com permissão de acesso mediante mecanismos de controlo.
Ambientes de acesso não controlado Locais ou espaços públicos. Sem supervisão de autoridades policiais ou sem quaisquer mecanismos de controlo de acessos.
Classificação de Segurança
Uma designação que indica: - o grau de prejuízo para os interesses do cidadão, da AR ou do país, e - o nível de proteção consequentemente exigido em conformidade com as disposições legais ou regulamentares.
Correio Eletrónico Seguro Mensagem de correio eletrónico com conteúdos (corpo e anexos) cifrados mediante a utilização de algoritmos de chave pública e certificados digitais qualificados.
Elemento credenciado Interveniente que possui a devida autorização para acesso ou manuseamento de informação classificada. Indivíduo que possui uma habilitação de segurança.
Desclassificação Ato pelo qual é retirado à informação classificada qualquer grau de classificação de segurança.
Formato eletrónico Ficheiro lógico Word, Excel, PDF, wav, gif, jpeg. (lista não exaustiva).
Formato papel Folha(s) manuscrita(s) ou impressa(s), documento, livro, dossier, fotografia impressa (lista não exaustiva).
Formato Voz ou Imagem Conversações verbais, presenciais ou não, projeção ou apresentação de imagem(s).
Habilitação de Segurança
Uma decisão administrativa tomada em conformidade com as disposições legislativas e regulamentares da AR que certifica que determinado indivíduo / interveniente pode ser autorizado a aceder a informações classificadas até determinado nível.
Página 28
II SÉRIE-E — NÚMERO 21
28
Informação Classificada
Qualquer informação ou documento, independentemente da sua forma, natureza e meios de transmissão ou registo, a que tenha sido atribuída uma marca ou um grau de classificação de segurança e que requeira proteção contra divulgação não autorizada.
Interveniente
Elemento devidamente credenciado para acesso ou manuseamento de informação classificada. Cidadãos de nacionalidade portuguesa ou outra, Deputados, pessoal que desempenha funções nos Grupos Parlamentares, Gabinetes e Serviços da AR.
Marca de Classificação
Designação ou símbolo aposto nos suportes de informação classificada, documento e/ou documentos de acompanhamento, que indica a classificação de segurança da informação contida nos suportes.
Mecanismo de Controlo de Acessos Mecanismos que permitem o acesso mediante a utilização de uma chave física ou lógica (por palavra-chave, código secreto ou sistema biométrico, por exemplo)
Metainformação
Informação diretamente associada a um documento que o permite identificar univocamente num sistema de gestão possuindo ainda informação adicional sobre características deste.
Personalização de Cópia
Identificação em cada página copiada do nome do destinatário com, no mínimo, o primeiro e último nome deste. Em documentos em formato eletrónico, sempre que possível, deve ser utilizada a opção de ‘marca de água’ para inscrição do nome do destinatário.
Reclassificação Ato pelo qual é atribuído à informação classificada um grau de classificação inferior ou superior ao originalmente atribuído.
Responsável da Informação
Interveniente autor da informação ou a quem foi formalmente atribuída a responsabilidade sobre esta. Tem a responsabilidade da manutenção dos necessários controlos para proteção das características de confidencialidade, disponibilidade e integridade da informação.
Suporte físico Contentor físico com informação em formato eletrónico, em suporte magnético ou ótico.
Suporte físico amovível Computador Portátil, disco externo, telemóvel, PDA, CD, DVD, Pen (lista não exaustiva).
Suporte físico inamovível Suporte físico que não pode ser deslocado para fora das instalações da AR (Computador pessoal fixo (desktop, não portátil), servidor ou armário de discos).
Suporte de Informação Classificada Material, incluindo elementos físicos que contenham informações classificadas sob a forma de símbolos, imagens, sinais, soluções e processos técnicos.
A DIVISÃO DE REDAÇÃO.