Passar para o Conteúdo Principal

A digitalização das autarquias tem permitido uma melhoria visível na eficiência dos serviços, na proximidade com os cidadãos e na agilidade das decisões. Mas à medida que os processos se tornam mais tecnológicos, as responsabilidades legais aumentam — e, com elas, os riscos de incumprimento.

Cumprir as normas deixou de ser um esforço de última hora. Hoje, é uma condição base para liderar com segurança, proteger a reputação institucional e prestar um serviço público confiável.

RGPC, RGPD, AI Act e NIS2 são nomes que começam a soar com cada vez mais frequência nos corredores das autarquias. Mas são mais do que siglas: são quadros legais exigentes, que vieram para ficar. Tentamos de seguida descomplicar cada um deles, com exemplos reais, desafios comuns, coimas associadas e caminhos práticos para agir.

Nenhuma destas normas é decorativa. Todas exigem ação, método e cultura interna.

Mas mais do que uma obrigação, representam uma oportunidade: proteger os dados, prevenir riscos e garantir segurança não é apenas cumprir a lei — é liderar com responsabilidade.

A boa notícia? Já existem soluções práticas, acessíveis e desenhadas para o setor público. O primeiro passo é reconhecer que conformidade não é um custo: é um investimento na credibilidade e solidez do futuro autárquico.

RGPC — Um compromisso formal com a integridade

A prevenção da corrupção deixou de ser apenas uma intenção política: passou a ser um dever legal. Com a entrada em vigor do Regime Geral de Prevenção da Corrupção, as autarquias com mais de 50 trabalhadores são obrigadas a implementar mecanismos concretos para identificar e prevenir riscos.

Ainda assim, muitas câmaras e juntas continuam sem canal de denúncias funcional, sem código de conduta, sem nomeação formal de um responsável pelo cumprimento normativo ou sem um Plano de Prevenção de Riscos de Corrupção e Infrações Conexas (PPR). O problema não é a intenção — é a operacionalização.

Quando estes mecanismos funcionam, o resultado é mais confiança dos cidadãos, maior transparência interna e menos riscos jurídicos.

Por onde começar?
Definir um canal de denúncia oficial, seguro e anonimizado é um passo estruturante. A isso junta-se o Plano de Prevenção de Riscos, um código de conduta claro e formação interna.

Exemplo prático:
A Câmara Municipal de Valongo disponibilizou publicamente o seu plano, assumindo a integridade como valor institucional.

O executivo da autarquia nomeou um Responsável pelo Cumprimento Normativo (RCN).

O que evitar?
O incumprimento do RGPC pode implicar coimas até 44.891,81€, e que podem recair não só sobre a entidade, mas também sobre o executivo ou o RCN. 

RGPD — A proteção de dados começa na estrutura, não no rodapé

Proteger os dados dos cidadãos não se resume a colocar uma política de privacidade no site ou a recolher o consentimento num formulário em papel. O Regulamento Geral de Proteção de Dados exige um esforço de organização, prevenção e responsabilidade partilhada por toda a estrutura autárquica.

Na prática, muitas autarquias ainda recolhem dados sem consentimento explícito, não documentam as finalidades do tratamento ou utilizam plataformas sem controlo sobre os dados.

Exemplos? Quando foi a última vez que ouviu dizer que se ia fazer um Google Forms para recolher dados? E utilizar os dados que recolheram no âmbito das férias desportivas para informar sobre outras atividades lúdicas?

Este incumprimento pode resultar em sanções — mas, mais do que isso, compromete a confiança dos cidadãos.

Por onde começar?
Nomear um Encarregado de Proteção de Dados (DPO ou EPD em português) é obrigatório. Criar registos de tratamento atualizados e utilizar plataformas que garantam consentimento, segurança e controlo — é um passo fundamental.

Exemplo prático:
A CNPD já advertiu câmaras municipais por divulgarem dados pessoais em atas e deliberações públicas, sem qualquer consentimento ou anonimização.

O que evitar?

O incumprimento do RGPD recai sobre a entidade e pode ir até 20 milhões de euros ou 4% do volume de negócios, dependendo da gravidade. Pode ainda recair sobre pessoas singulares no âmbito de processos disciplinares, civis ou penais, quando agem com dolo ou negligência grave. Por exemplo, um dirigente que ignore de forma reiterada alertas do DPO, um técnico que divulgue dados intencionalmente ou um responsável de serviço que viole deveres de sigilo. 

AI Act — Inteligência artificial com ética, transparência e propósito

A chegada do AI Act europeu muda as regras do jogo para todas as entidades públicas que usem sistemas com inteligência artificial OU mesmo com um simples algoritmo que analise dados e retorne um resultado. Desde assistentes virtuais até algoritmos de recomendação, passando por simuladores de taxas, há novas exigências: explicabilidade, não discriminação e registo de lógica de decisão.

Muitas autarquias utilizam IA sem o saber — ou sem controlar o que esta diz. Esse risco aumenta quando se recorre a ferramentas gratuitas ou não auditadas. O risco passa na maioria das vezes a incumprimento quando se usa ferramentas disponíveis em sites internacionais (principalmente americanos ou chineses).

Por onde começar?
A escolha da solução é crucial. Deve-se optar por plataformas que usem controlo de conteúdos, auditáveis e personalizáveis. Devem permitir sincronizar conteúdos com o site, orientar o sentido das respostas, e cumprir o regulamento sem perder utilidade.

Exemplo prático:
Autarquias com assistentes genéricos baseados em IA já enfrentaram problemas com respostas incorretas ou discriminatórias, afetando a imagem institucional.

O que evitar?

O incumprimento do AI Act recai sobre a autarquia ou mesmo sobre o fornecedor, podendo ascender a  35 milhões € ou 7% do volume de negócios, dependendo do risco do sistema. 

NIS2 — Cibersegurança como serviço público essencial

A Diretiva NIS2 introduz um novo patamar de exigência na proteção dos sistemas e infraestruturas digitais. A sua aplicação obriga a medidas preventivas, resposta a incidentes, planos de continuidade e notificação obrigatória em caso de ataque.

Apesar disso, muitas autarquias ainda não têm inventário de ativos, backups regulares ou formação de equipas técnicas. E os riscos são reais: os municípios estão entre os principais alvos de ciberataques na Europa.

25% dos municípios já reportaram incidentes de segurança.

Por onde começar?
Nomear um responsável pela cibersegurança (interno ou externo), criar um plano de resposta a incidentes, reportar incidentes graves em menos de 24h, formar dirigentes e técnicos sobre NIS2, implementar autenticação multifator e realizar testes de intrusão.

Exemplo prático:
Vários municípios ficaram impedidos de trabalhar durante dias na sequência de ataques, com grave prejuízo material e reputacional. Chaves, Gondomar, Lagoa, Oliveira do Hospital e Odemira são apenas alguns casos que tiveram ampla cobertura mediática. Mas não são únicos.

Responsável: O executivo e os dirigentes da autarquia.

O que evitar?

As autarquias são na sua maioria designadas como entidades essenciais, pelo que o incumprimento do NIS2 implica sanções até 10 milhões de euros ou 2% do volume de negócios anual. Pode implicar também responsabilidade pessoal de dirigentes.

Em síntese, a conformidade não é um custo: é investimento em confiança, resiliência e futuro. As autarquias que assumirem este desafio não apenas cumprem a lei — lideram pelo exemplo, assegurando serviços públicos mais seguros, transparentes e credíveis.