Escrito por Paulo Rowett
A reputação de Macau enquanto região com índice de segurança elevado e reduzida incidência de criminalidade violenta, desempenha um papel essencial na atracção de investimentos, negócios e turismo, promovendo o desenvolvimento e dinamização da economia local.
No entanto, apesar deste ambiente tradicionalmente seguro, a região enfrenta um desafio crescente no território digital, com um aumento contínuo dos ataques e tentativas de fraude online – como ameaças de phishing, ransomware ou data breaches.
Segundo o balanço efectuado pelo Secretário para a Segurança no passado mês de Fevereiro, em 2024 as autoridades locais instauraram 992 inquéritos criminais com origem em criminalidade informática. Dados do mesmo gabinete reportam que os ataques informáticos aos operadores de infraestruturas críticas (“OIC”) triplicaram desde 2020, atingindo uma média de 6.400 ataques por dia durante 2024.
Com a entrada em vigor em Dezembro de 2019 da Lei da Cibersegurança (Lei n.º 13/2019), o legislador centrou-se na proteção das infraestruturas críticas através de uma abordagem estruturada e preventiva. Neste lote de entidades estão incluídas as concessionárias responsáveis pela exploração de jogos de fortuna e azar em casino, bem como entidades responsáveis pela gestão e manutenção de serviços e infraestruturas essenciais para o funcionamento da sociedade e da economia local, nomeadamente, saúde, energia, instituições financeiras, comunicações e departamentos governamentais, cuja interrupção de funcionamento pode ameaçar o bem-estar social, a segurança e a ordem pública.
Os requisitos previstos na Lei n.º 13/2019 incluem a adesão a orientações estratégicas e normas técnicas obrigatórias emitidas pelo Centro de Alerta e Resposta a Incidentes de Cibersegurança (ou “CARIC”), a implementação de medidas específicas em resposta a incidentes graves e a monitorização de dados para prevenir e combater ameaças informáticas. A ratio da lei passa por estabelecer processos e mecanismos de segurança robustos para redes, sistemas e dados informáticos, por forma a assegurar a resiliência destas infraestruturas essenciais contra ciberataques. Nesse contexto, impõe-se aos OIC a implementação de um quadro normativo e operacional eficaz, capaz de assegurar a cibersegurança das suas atividades, mediante uma estreita colaboração entre as entidades reguladoras e os respetivos operadores.
Para cumprimento das disposições legais, estão previstas fiscalizações regulares e a aplicação de sanções, as quais podem resultar na aplicação de multa a fixar entre 50.000 MOP$ e 5.000.000 MOP$, bem como na aplicação de sanções acessórias, como a privação do direito a participar em processos de contratação pública ou ajuste directo para aquisição de bens ou serviços, bem como a privação do direito a subsídios ou benefícios governamentais.
Por outro lado, as pequenas e médias empresas (“PME’s”) encontram-se particularmente vulneráveis a ameaças desta natureza, uma vez que não dispõe de políticas de segurança adequadas à sofisticação dos ataques desenhados pelos piratas informáticos. Fruto de um desconhecimento generalizado das práticas actuais de cibercrime e das novas ferramentas utilizadas pelos hackers (que recorrem a ferramentas e softwares avançados de inteligência artificial generativa – GenerativeAI – para ludibriar o consumidor), conjugado com uma falta de investimento em políticas de cibersegurança e ausência de formação específica do pessoal contratado, as PME’s não dispõem de ferramentas e medidas eficazes que permitam proteger o seu negócio. Esta fragilidade pode resultar em fugas de informação, pagamento de indemnizações e perda de clientela.
A este propósito, importa recordar as normas vigentes em Macau em matéria de protecção de dados pessoais. A Lei de Protecção de Dados Pessoais (“LPDP”) publicada no Boletim Oficial com o n.º 8/2005, regula a protecção dos dados pessoais, ou seja, as informações de qualquer natureza que permitem que alguém seja identificado. No seio empresarial, estes dados podem assumir a natureza de informações de identificação pessoal (nome, data de nascimento, residência ou contacto telefónico), dados financeiros (informação bancária, salário e histórico de pagamentos), dados de saúde (informações sobre ausências médicas e licenças) ou dados de clientes (histórico de compras e transações; preferências de produtos e serviços; feedback e reclamações).
A LPDP não prevê um dever estatutário automático de comunicação de incidentes de segurança a uma autoridade ou aos afectados. No entanto, o responsável pelo tratamento de dados tem obrigações implícitas e responsabilidades que decorrem dos princípios gerais da lei, nomeadamente:
1. Garantia de Segurança dos Dados (Artigo 15.º)
O responsável pelo tratamento deve implementar medidas técnicas e organizativas adequadas para proteger os dados pessoais contra acesso não autorizado, perda, destruição ou alteração. Em caso de violação, o responsável deve avaliar e mitigar os danos, assegurando a continuidade da conformidade com este dever.
2. Transparência e Boa-Fé (Artigo 5.º)
A LPDP exige que o tratamento de dados seja realizado de forma transparente e em conformidade com o princípio da boa-fé. Se uma violação comprometer os direitos dos titulares dos dados, o responsável tem a responsabilidade ética (e potencialmente jurídica) de informar os afectados, especialmente em caso de afectação dos seus direitos, liberdades ou garantias.
3. Notificação ao GPDP em Certos Casos
Embora não haja uma obrigação geral de notificar violações, o responsável pelo tratamento deve notificar o Gabinete de Proteção de Dados Pessoais (“GPDP”) previamente sobre o tratamento de dados pessoais (Artigo 21.º) e, em situações específicas (como interconexão de dados ou tratamentos sensíveis), solicitar a sua autorização (Artigo 22.º). Se uma violação revelar insuficiências nas medidas de segurança previamente declaradas, o GPDP poderá investigar e exigir correções, sob pena de aplicação de sanções administrativas.
4. Sanções por Incumprimento
O não cumprimento das obrigações de segurança pode resultar em multas administrativas entre 2.000 MOP$ e 100.000 MOP$ (dependendo se o responsável é uma pessoa singular ou colectiva) ou, em casos graves envolvendo acesso indevido ou destruição de dados, sanções criminais (Artigos 33.º e seguintes).
Deste modo, em situações de ataques informáticos, as PMEs que não disponham de políticas de cibersegurança eficazes encontram-se particularmente expostas, enfrentando impactos e consequências que podem comprometer gravemente a sua continuidade operacional e sustentabilidade. Tais riscos manifestam-se, nomeadamente, nas seguintes dimensões:
1. Consequências Financeiras
A ausência de medidas robustas de cibersegurança expõe as PMEs a perdas financeiras directas decorrentes de ataques como ransomware, phishing ou acesso não autorizado a sistemas. Tais incidentes podem implicar a solicitação do pagamento de resgates, custos de recuperação de dados e sistemas, bem como despesas com a contratação de especialistas em resposta a incidentes, estando ainda previstas multas administrativas (entre 2.000 MOP$ e 100.000 MOP$, conforme o artigo 33.º) em caso de violação dos deveres de segurança (artigo 15.º), caso o GPDP determine negligência na proteção de dados pessoais.
2. Consequências Económicas
Do ponto de vista económico, a interrupção das operações causada por um ataque informático pode resultar na paralisação de actividades comerciais, perda de contratos ou atrasos na entrega de bens e serviços, afectando a competitividade da PME no mercado. Em Macau, onde o dinamismo económico depende em larga medida da confiança de investidores e turistas, a incapacidade de manter a continuidade operacional pode traduzir-se numa redução significativa da receita e, em casos extremos, na falência da empresa.
3. Consequências Reputacionais
A reputação de uma PME pode ser afectada por uma violação de dados que exponha informações sensíveis de clientes A perda de confiança por parte de consumidores, parceiros comerciais e fornecedores pode levar à erosão da base de clientes e à exclusão de oportunidades de negócio. Num mercado como o de Macau, caracterizado por uma economia de proximidade e elevada interdependência entre actores locais, o dano reputacional assume contornos particularmente lesivos, sendo frequentemente difícil de reverter.
4. Consequências Sociais
A exposição de dados pessoais de clientes ou colaboradores devido à ausência de políticas de cibersegurança pode gerar desconfiança generalizada na comunidade, afectando as relações interpessoais e comerciais que sustentam o tecido empresarial local. Além disso, a vitimização de indivíduos cujos dados sejam comprometidos pode originar litígios ou reclamações junto do GPDP, ampliando o impacto social negativo e potenciando uma percepção de insegurança associada à PME.
5. Consequências Jurídicas e Operacionais
Para além das sanções administrativas previstas na LPDP, a negligência na implementação de medidas de segurança pode configurar infracção administrativa ou crime, acarretando responsabilidade penal em situações de acesso ilícito ou destruição de dados (artigos 34.º e seguintes). Operacionalmente, a falta de preparação para responder a incidentes pode prolongar o tempo de inactividade, aumentar os custos de remediação e dificultar o cumprimento de obrigações contratuais, especialmente em sectores altamente regulados ou com requisitos de conformidade específicos.
Embora a LPDP não preveja uma obrigação geral de notificação de violações de dados a terceiros ou ao GPDP, o artigo 14.º estabelece o direito dos titulares dos dados a uma indemnização por danos sofridos em consequência de um tratamento ilícito ou de qualquer acto que viole as disposições legais sobre protecção de dados. Assim, terceiros lesados — como clientes, parceiros comerciais ou outros cujas informações confidenciais (e.g., dados pessoais, financeiros ou contratuais) tenham sido expostas devido a uma falha de cibersegurança (e.g., ausência de implementação de medidas técnicas e organizativas adequadas para garantir a segurança dos dados pessoais contra perda, destruição, alteração ou acesso não autorizado (artigo 15.º) — e que queiram ser ressarcidos, podem agir judicialmente contra PMEs ao abrigo do artigo 14.º da LPDP.
Complementarmente, o Código Civil de Macau (artigos 477.º e seguintes) estabelece a responsabilidade extracontratual por actos ou omissões culposas, possibilitando a reparação de danos directos (e.g., perdas financeiras) ou indirectos (e.g., danos morais) causados pela falta de diligência na proteção de dados sensíveis. No caso de uma violação de dados resultante da falta de implementação de políticas de cibersegurança, pode invocado por terceiros lesados de que a PME agiu com negligência ao não adoptar as medidas necessárias para proteger informações confidenciais, especialmente se tais medidas fossem razoavelmente expectáveis num contexto de crescente digitalização.
Em suma, a protecção contra ameaças no mundo digital exige que as empresas adoptem medidas estruturadas, preventivas e proactivas, começando pela monitorização contínua da actividade global da empresa, com notificações e alertas em tempo real para detectar rapidamente incidentes no ciberespaço. Esta vigilância deve ser complementada pela formação dos colaboradores e pelo desenvolvimento de políticas de cibersegurança, bem como pela aquisição de instrumentos de defesa – como tecnologias específicas para prevenir e mitigar riscos informáticos.
Esta protecção pode ser aumentada através da contratação de um Cibersecurity Desk Service, o qual assegura acesso permanente a uma equipa de resposta especializada, capaz de intervir de forma célere e eficaz para conter os danos de um incidente, por forma a minimizar os impactos operacionais e financeiros, prevenindo a perda de clientes e receita, como também garantir a conformidade com o quadro normativo aplicável.
Perante os desafios emergentes e as ameaças contínuas no domínio digital, a inexistência de políticas de cibersegurança eficazes coloca as PMEs e os OIC numa posição de extrema vulnerabilidade, sujeitando-os a consequências que se repercutem em inúmeras dimensões. Num cenário marcado pela crescente sofisticação dos ciberataques, a adoção proactiva de medidas preventivas transcende a mera prudência, configurando-se como uma exigência inadiável para salvaguardar os interesses empresariais, assegurar o cumprimento das obrigações legais e manter a confiança de clientes e parceiros. Num contexto de crescente exposição da informação e de digitalização dos modelos de negócio, a cibersegurança apresenta-se como um pilar fundamental para garantir a resiliência e a sustentabilidade das organizações na era contemporânea.
Paulo Rowett, Consultor Jurídico
rowett@ccadvog.com