Medidas Organizativas e Técnicas Propostas pela CNPD Para Evitar Ataques Informáticos

A Comissão Nacional de Proteção de Dados (CNPD) definiu recentemente, mediante a Diretriz n.º 1/2023, de 10.01.2023, as medidas organizativas e técnicas de segurança aplicáveis aos tratamentos de dados pessoais. Segundo a CNPD, a maior parte dos ataques podiam ter sido evitados ou, pelo menos, ter as suas consequências substancialmente reduzidas. As medidas técnicas e organizativas devem ser adotadas para garantir a segurança adequada dos dados pessoais, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental. O responsável pelo tratamento deve avaliar e aplicar as medidas técnicas e organizativas necessárias para conferir ao tratamento dos dados pessoais um nível de segurança adequado ao risco, incluindo a capacidade para garantir a confidencialidade, a integridade, a disponibilidade e a resiliência dos sistemas e serviços de tratamento. Consoante o que for adequado às características e sensibilidade de cada tratamento de dados pessoais efetuado e às especificidades da concreta organização, devem ser consideradas as seguintes medidas de segurança:

Medidas organizativas

  • definir e exercitar regularmente o plano de resposta a incidentes e recuperação do desastre, prevendo os mecanismos necessários para garantir a segurança da informação e a resiliência dos sistemas e serviços, bem como assegurar que a disponibilidade dos dados é restabelecida atempadamente após um incidente;
  • classificar a informação de acordo com o nível de confidencialidade e sensibilidade e adotar as medidas organizativas e técnicas adequadas à classificação;
  • documentar as políticas de segurança;
  • adotar procedimentos de análise para a monitorização dos fluxos de tráfego na rede;
  • definir políticas de gestão de palavras-passe seguras, impondo requisitos para o tamanho, a composição, o armazenamento e a frequência com que uma palavra-passe precisa de ser alterada;
  • criar uma política de gestão de ciclo de vida dos utilizadores, para garantir que cada trabalhador tem acesso apenas aos dados necessários para executar as suas funções e rever com frequência as permissões dos vários perfis de utilizadores, se possível, bem como a desativação/revogação de perfis inativos;
  • adotar alarmística que permita identificar situações de acesso, tentativas ou utilização indevida;
  • verificar se as medidas de segurança definidas estão em prática, garantindo que são eficazes e atualizando-as regularmente, especialmente quando o processamento ou as circunstâncias se alteram, incluindo as que são implementadas pelos subcontratantes nos tratamentos de dados;
  • documentar e corrigir as vulnerabilidades de segurança detetadas sem demora;
  • tomar as medidas necessárias para garantir o RGPD no que respeita ao desenvolvimento de uma política interna para lidar e documentar eventuais violações de dados pessoais;
  • fomentar junto dos colaboradores uma cultura de privacidade e segurança da informação, para que cada colaborador esteja capacitado para reconhecer potenciais ameaças e agir em conformidade, e como forma de reduzir a ocorrência e o impacto do erro humano;
  • dar a conhecer aos trabalhadores o dever de confidencialidade a que estão sujeitos pelo facto de tratarem dados pessoais;
  • avaliar periodicamente as medidas de segurança, técnicas e organizativas, internas e proceder à sua atualização e revisão sempre que necessário;
  • definir, numa fase inicial, as melhores práticas de segurança de informação a adotar, quer em fase de desenvolvimento de software, quer em fase de testes de aceitação, considerando em particular:

– os princípios de proteção de dados desde a conceção e por defeito, análises de risco do tratamento e do ciclo de vida dos dados, métodos de pseudonimização e anonimização dos dados, mesmo quando o sistema seja desenvolvido e mantido por subcontratante;
– realizar auditorias de segurança de TI e avaliações de vulnerabilidade (testes de penetração) sistemáticos, para que os utilizadores possam ter conhecimento das próprias fragilidades e para que as organizações consigam monitorizar os alvos mais frágeis e invistam em formação com conteúdo específico e direcionado, de acordo com as vulnerabilidades detetadas.

Medidas técnicas

Autenticação

  • usar credenciais fortes com palavras-passe longas (pelo menos 12 caracteres), únicas, complexas e com números, símbolos, letras maiúsculas e minúsculas, alterando-as com frequência;
  • equacionar a aplicação de autenticação multifator, designadamente face à sensibilidade da informação, aos privilégios dos utilizadores ou à forma de acesso (por exemplo, remota);

Infraestrutura e sistemas

  • garantir que os sistemas operativos de servidores e terminais se encontram atualizados, bem como todas as aplicações (por exemplo, browser e plugins);
  • manter atualizado o firmware dos equipamentos de rede;
  • desenhar e organizar os sistemas e a infraestrutura por forma a segmentar ou isolar os sistemas e as redes de dados para prevenir a propagação de malware dentro da organização e para sistemas externos;
  • robustecer a segurança dos postos de trabalho e servidores, nomeadamente:

– bloquear o acesso a sítios que sejam suscetíveis de constituir um risco para a segurança;
– bloquear os redireccionamentos suspeitos através de motores de busca;
– bloquear de imediato os ficheiros e aplicações infetadas com malware;
– realizar inspeção periódica do estado e utilização dos recursos do sistema;
– monitorizar a utilização do software instalado;
– ativar e conservar os registos de auditoria (log);
– validar os acessos por IP aos servidores que estão expostos ao público;
– alterar o porto configurado por omissão para o protocolo de acessos remotos (RDP).

Ferramenta de correio eletrónico

  • definir de forma clara e inequívoca políticas e procedimentos internos sobre o específico envio de mensagens de correio eletrónico contendo dados pessoais, que introduzam as verificações adicionais necessárias, no sentido de:

– garantir a inserção dos endereços de correio eletrónico dos destinatários no campo ‘Bcc:’, nos casos de múltiplos destinatários;
– prevenir erros na introdução manual de endereços de correio eletrónico;
– assegurar que os ficheiros enviados em anexo contêm apenas os dados pessoais que se pretendem comunicar;

  • equacionar a criação de listas de distribuição ou grupos de contacto, com o objetivo de prevenir a divulgação dos endereços dos destinatários em operações de envio massivo de mensagens de correio eletrónico;
  • equacionar a criação de regras com o objetivo de adiar/atrasar a entrega de mensagens de correio eletrónico contendo dados pessoais, mantendo-as na ‘Caixa de Saída’ por um tempo determinado, permitindo verificações de conformidade, após clique em ‘Enviar’;
  • encriptar com código, ao qual só o destinatário tenha acesso, os emails e/ou anexos enviados que contenham dados pessoais;
  • confirmar com o destinatário, antes de envio de e-mail contendo dados pessoais, o endereço de e-mail preferencial para contacto;
  • realizar ações de formação no sentido de capacitar os trabalhadores a operar os mecanismos de envio de mensagens de correio eletrónico de acordo com os procedimentos definidos, sensibilizando-os para os erros mais comuns, potencialmente suscetíveis de originar violações de dados pessoais e incentivando-os à dupla verificação;
  • reforçar o sistema de alerta da ferramenta de alarmística utilizada pela entidade, para assegurar visibilidade imediata sobre a criação por utilizadores de regras de encaminhamento automático de e-mails para contas externas;
  • reforçar o sistema com ferramentas antiphishing e antispam, que permitam bloquear ligações e/ou anexos com código malicioso;
  • adotar controlos de segurança que permitam classificar e proteger as mensagens de correio eletrónico sensíveis.

Proteção contra malware

  • utilizar encriptação segura especialmente no caso de credenciais de acesso, de dados especiais, de dados de natureza altamente pessoal ou de dados financeiros (em geral, dados pessoais relacionados com condenações penais e infrações ou com dimensões da vida privada e familiar);
  • criar um sistema de cópias de segurança (backup) atualizado, seguro e testado, totalmente separado das bases de dados principais e sem acessibilidade externa;
  • reforçar o sistema com ferramentas antimalware que inclua a capacidade de o verificar e detetar, bem como o bloqueio em tempo real de ameaças do tipo ransomware.

Utilização de equipamentos em ambiente externo

  • amazenar dados em sistemas internos, protegidos com medidas de segurança apropriadas, e acessíveis remotamente através mecanismos de acesso seguro (VPN);
  • permitir acessos apenas por VPN;
  • bloquear as contas após várias tentativas inválidas de login;
  • ativar a autenticação multifator para os utilizadores dos equipamentos;
  • aplicar cifragem dos dados no sistema operativo;
  • sempre que for aplicável, ativar a funcionalidade de “remote wipe” e “find my device”;
  • efetuar cópias de segurança automáticas das pastas de trabalho, quando o equipamento se encontra ligado à rede da entidade;
  • definir regras claras e adequadas para a utilização de equipamentos em ambiente externo.

Armazenamento de documentos em papel que contenham dados pessoais

  • usar papel e impressão que seja durável;
  • conservar documentação em local com controlo de humidade e temperatura;
  • armazenar, devidamente organizados, os documentos que contêm dados pessoais sensíveis em local fechado, resistente ao fogo e inundação;
  • controlar os acessos, com registo das respetivas data e hora, de quem acede e do(s) específico(s) documento(s) acedido(s).
  • destruir os documentos através de equipamento específico que garanta a destruição “segura”;

Transporte de informação que integre dados pessoais

  • adotar medidas para impedir que, no transporte de informação com dados pessoais, estes possam ser lidos, copiados, alterados ou eliminados de forma não autorizada;
  • utilizar encriptação segura no transporte, em dispositivos de massa ou arquivo potencialmente permanente (CD/DVD/PEN USB).

Qualificação Fiscal das Despesas de Teletrabalho

A Autoridade Tributária (A.T.) esclareceu recentemente o enquadramento fiscal das despesas relacionados com o teletrabalho. As dúvidas surgiram no âmbito das alterações ao regime do teletrabalho, previsto no Código do Trabalho e em vigor desde 1 de janeiro de 2022.

Entende a A.T. que os valores pagos pelos empregadores aos seus trabalhadores consideram-se enquadrados nos termos do Código do IRS, sendo rendimento do trabalho sob a forma de compensação pecuniária, constituindo compensação pelo acréscimo de encargos do trabalhador em razão da situação específica da prestação do trabalho em regime de teletrabalho. Só assim não será se corresponderem ao ressarcimento direto e comprovado de despesas adicionais, mas, neste caso, as respetivas despesas terão que ser devidamente comprovadas. Desta forma e em síntese:

  • o reembolso das despesas adicionais suportadas pelo trabalhador em regime de teletrabalho, quando devidamente comprovadas e apuradas, não são rendimento em sede de IRS para o trabalhador e constituem um encargo para o empregador;
     
  • para efeitos da comprovação das despesas adicionais, deve ser considerado o acordo estabelecido entre o trabalhador e a entidade empregadora, bem como a evidência do acréscimo de despesas, pela documentação/faturação apresentada pelo trabalhador, mediante a comparação com as despesas homólogas no mesmo mês do último ano anterior à aplicação desse acordo e que indique, inequivocamente, que respeita ao local de trabalho que foi identificado no acordo celebrado com a entidade empregadora, apesar de não ser exigível que o trabalhador figure como titular na documentação/faturação;
     
  • o documento comprovativo do pagamento das despesas adicionais deve aferir-se pelo processamento salarial ou documento idêntico, sendo este o documento fiscalmente relevante para a entidade empregadora, a qual refletirá essa compensação paga para “despesas adicionais” do trabalhador na Declaração Mensal de Remunerações (DMR), como rendimento do trabalho não sujeito (código A23);
     
  • o pagamento de um valor a título de compensação pecuniária para fazer face ao acréscimo de encargos em razão da prestação do trabalho em regime de teletrabalho, sem que haja uma conexão direta com as despesas adicionais efetivas por parte do trabalhador, determinam a tributação em sede de IRS. Consequentemente, a entidade empregadora deverá refletir a compensação pecuniária paga na DMR, no âmbito dos rendimentos sujeitos.

Referências: Ofício Circulado 20249 de 18/01/2023

Novo Sistema de Apoio às Empresas

Entrou em vigor o DL n.º 4/2023, de 11 de janeiro, que aprovou o o Sistema de Apoio à Reposição das Capacidades Produtivas e da Competitividade (SARCPC).

O diploma prevê um regime específico para apoiar empresas em qualquer atividade económica, afetadas, total ou parcialmente, por situações adversas como incêndios, inundações, deslizamento de terras, tornados, terramotos ou furacões.

O SARCPC destina-se a situações de prejuízos reportados até 200 mil euros, causados por situações adversas reconhecidas por resolução do Conselho de Ministros; os apoios são atribuídos a fundo perdido até ao limite máximo dos 200 mil euros por projeto.

Os apoios concedidos não são cumuláveis com outros da mesma natureza.

As candidaturas fazem-se junto das Comissões de Coordenação e Desenvolvimento Regional (CCDR).

O SARCPC apoia, nomeadamente, a aquisição de máquinas, de ativos biológicos, de equipamentos, de material circulante de utilização produtiva, de stocks e as despesas associadas aos projetos de arquitetura e de engenharia e a obras de construção necessárias à reposição das respetivas capacidades produtivas.

Entende-se por situação adversa, uma calamidade natural ou ocorrência natural excecional reconhecidas por resolução do Conselho de Ministros, nomeadamente incêndios, inundações, deslizamento de terras, tornados, terramotos, furacões, que permitem a aplicação do regime de auxílios às empresas destinados a remediar os danos causados por certas calamidades naturais e o regime de auxílios de minimis.

Podem ser apoiados para restabelecimento da atividade económica os projetos de investimento destinados a repor, total ou parcialmente, as capacidades produtivas diretamente afetadas pelas situações adversas.

São elegíveis os projetos inseridos em todas as atividades económicas, com algumas exceções.

As exceções são os projetos relativos ao setor da pesca e da aquicultura e ao setor da produção agrícola primária, nos termos do Regulamento de Isenção por Categoria da Comissão.

Valor Médio de Construção Para 2023

Foi fixado em 532 euros o valor médio de construção por m2, para efeitos da aplicação das regras do valor base dos prédios edificados previstas no Código do Imposto Municipal sobre os Imóveis (CIMI), a vigorar no ano de 2023.

Em 2022, o valor foi de 512 euros, e em 2021, de 492 euros, tal como foi em 2020 e 2019.

Aquele valor vai aplicar-se a todos os prédios urbanos cujas declarações modelo 1 sejam entregues a partir de 4 de janeiro de 2023.

Com base neste valor, determina-se o valor base para efeitos de avaliação dos prédios, que em 2023 passa a ser de 665 euros (532+ 25%).

O valor base dos prédios edificados corresponde ao valor médio de construção, por metro quadrado, adicionado do valor do metro quadrado do terreno de implantação fixado em 25% daquele valor.

O Código do Imposto Municipal sobre Imóveis (CIMI), prevê que um dos elementos objetivos integrados na fórmula de cálculo do sistema de avaliação de prédios urbanos é o valor médio de construção por metro quadrado, a fixar anualmente, sob proposta da Comissão Nacional de Avaliação de Prédios Urbanos (CNAPU).

O valor médio de construção é determinado tendo em conta, nomeadamente, os encargos diretos e indiretos suportados na construção do edifício, tais como os relativos a materiais, mão-de-obra, equipamentos, administração, energia, comunicações e outros consumíveis.

Referências: Portaria n.º 7-A/2023 – DR n.º 2/2023, 1º Supl, Série I de 03.01.2023, Código do Imposto Municipal sobre Imóveis, artigos 13.º, 37.º, 28.º, 39.º e 62.º

Atualização das Rendas para 2023

Os senhorios de contratos de arrendamento que não tenham aplicado os coeficientes de atualização de rendas dos últimos três anos, podem adicionar aos 2% previstos pelo Governo, 0,43%, em resultado da aplicação do coeficiente fixado em 2021.

Nos termos do Código Civil, os coeficientes podem ser aplicados em anos posteriores, desde que não tenham passado mais de três anos sobre a data em que teria sido inicialmente possível a sua aplicação.

Assim, ao valor de 2% determinado pelo Governo, para aplicação em 2023, podem ser adicionados os 0,43% relativos a 2022.

Referências: Lei n.º 19/2022 de 21.10.2022, artigos 2.º e 3.º Código Civil, artigo 1077.º n.º 2 d); Aviso n.º 17989/2021 – DR n.º 186/2021, Série II de 23.09.2021.

Prevenção e Regularização do Incumprimento no Crédito à Habitação

Entrou em vigor o Decreto-Lei n.º 80/2022 de 25/11. Este diploma estabelece medidas destinadas a mitigar os efeitos do incremento dos indexantes de referência de contratos de crédito para aquisição ou construção de habitação própria permanente.

Estas medidas passam pelo alargamento do prazo de amortização do empréstimo e suspensão temporária da exigibilidade da comissão de reembolso antecipado.

Na avaliação das situações, as instituições de crédito têm de ter em conta o rendimento do mutuário e a taxa de esforço a que está sujeito para aferir se existe agravamento significativo da taxa de esforço dos mutuários.

O diploma entrou em vigor em 26.11.2022.

Proteção de Investidores não Sofisticados

Entra hoje em vigor o Regulamento Delegado (UE) 2022/2114 da Comissão, de 13 de julho de 2022, que complementa o Regulamento (UE) 2020/1503 do Parlamento Europeu e do Conselho no que diz respeito às normas técnicas de regulamentação que especificam a prova de conhecimentos para admissão e a simulação da capacidade de suportar perdas dos potenciais investidores não sofisticados em projetos de financiamento colaborativo.

Alteração ao Código dos Contratos Públicos

Foi alterado o Código dos Contratos Públicos. Destacam-se as alterações relativas à escolha de ajuste direto ou de procedimento de negociação em casos de concursos terminados por exclusão da proposta, com diversos fundamentos.

De acordo com as novas regras, sendo adotado o procedimento de negociação, nos casos de exclusão de todas as propostas por falta de apresentação de documentos que contenham os atributos da proposta, apresentação depois do prazo fixado, por concorrentes que integrem um agrupamento candidato ou concorrente, ou por concorrentes em contratos reservados, ou que não integrem todos os documentos exigidos para o respetivo tipo de contrato, a entidade adjudicante pode convidar exclusivamente os concorrentes do anterior concurso cujas propostas tenham sido excluídas para novo procedimento de negociação. Nestes casos a entidade adjudicante não pode publicar anúncios no Diário da República.

Continuar a ler “Alteração ao Código dos Contratos Públicos”

Trabalhadores Independentes – Limite de Isenção de IVA

Atualmente, os trabalhadores independentes estão isentos de IVA se não ultrapassarem o montante anual de 12.500 euros. Estes limites irão, no entanto, aumentar considerando uma inflação média de 8%.

Em 2023 o limite passará a 13.500 euros, em 2024 será de 14.500 euros, e em 2025 passará a 15.000 euros.

Esta medida decorre da aprovação de uma proposta de alteração ao Orçamento do Estado para 2023.

Assim, um trabalhador independente que aumente o valor cobrado pelo serviço que presta, em linha com a inflação – aumento que não constitui um crescimento real do seu rendimento- não será penalizado nas suas obrigações perante a autoridade fiscal e o Estado.