{"id":41433,"date":"2026-06-02T11:21:33","date_gmt":"2026-06-02T09:21:33","guid":{"rendered":"https:\/\/smartfense.com\/?p=41433"},"modified":"2026-06-02T11:21:41","modified_gmt":"2026-06-02T09:21:41","slug":"lei-25326-argentina-evidencias-programa-awareness","status":"publish","type":"post","link":"https:\/\/smartfense.com\/pt-pt\/blog-pt-pt\/lei-25326-argentina-evidencias-programa-awareness\/","title":{"rendered":"Lei 25.326 de prote\u00e7\u00e3o de dados pessoais da Argentina: o que o seu programa de awareness tem de poder demonstrar"},"content":{"rendered":"

A sua organiza\u00e7\u00e3o conseguiria mostrar, j\u00e1 amanh\u00e3, o que cada um dos seus colaboradores leu sobre o tratamento de dados pessoais, quando o aceitou e sob que credenciais? A Lei 25.326 da Argentina n\u00e3o exige apenas formar o pessoal: exige poder prov\u00e1-lo. E entre uma coisa e a outra abre-se um espa\u00e7o que muitos programas de awareness s\u00f3 descobrem quando chega a primeira notifica\u00e7\u00e3o da autoridade de controlo.<\/p>\n

Trabalho em governo, risco e conformidade, e essa \u00e9 a primeira pergunta que fa\u00e7o quando reviso um programa de dados pessoais. N\u00e3o me interessa rever a lei em abstrato, mas olh\u00e1-la a partir de onde se torna um risco concreto para a organiza\u00e7\u00e3o: o momento em que \u00e9 preciso abrir o arquivo, mostrar a evid\u00eancia e sustentar que o dever est\u00e1 cumprido. Do enquadramento at\u00e9 \u00e0 opera\u00e7\u00e3o, ent\u00e3o: o que pede a 25.326, o que a AAIP espera ver, o que muda com a reforma em debate e, sobretudo, o que tem de registar um programa de awareness para resistir a uma inspe\u00e7\u00e3o.<\/p>\n

O que exige hoje a Lei 25.326 a quem forma o seu pessoal?<\/h2>\n

A Lei 25.326 \u00e9 o enquadramento que regula, na Argentina, a prote\u00e7\u00e3o integral dos dados pessoais contidos em arquivos, registos, bases de dados ou outros meios de tratamento, p\u00fablicos ou privados. \u00c9 a lei que concretiza o direito de habeas data<\/strong> do artigo 43 da Constitui\u00e7\u00e3o Nacional, e a sua autoridade de aplica\u00e7\u00e3o \u00e9 a Ag\u00eancia de Acesso \u00e0 Informa\u00e7\u00e3o P\u00fablica (AAIP), nos termos dos artigos 29 e 30.<\/p>\n

No plano dos deveres concretos, o artigo 9 estabelece que quem trata dados pessoais deve adotar as medidas t\u00e9cnicas e organizativas necess\u00e1rias para garantir a seguran\u00e7a e a confidencialidade<\/strong> dos dados, de modo a evitar a sua adultera\u00e7\u00e3o, perda, consulta ou tratamento n\u00e3o autorizados. A f\u00f3rmula importa, e do ponto de vista do governo l\u00ea-se com aten\u00e7\u00e3o: a lei n\u00e3o se contentou com medidas t\u00e9cnicas. Exigiu, em p\u00e9 de igualdade, medidas organizativas<\/strong>. Dentro desse segundo bloco vive tudo o que uma pol\u00edtica interna, um programa de awareness e uma forma\u00e7\u00e3o eficaz podem aportar. Na pr\u00e1tica de qualquer framework de gest\u00e3o, isso \u00e9 um controlo, e os controlos gerem-se, medem-se e evidenciam-se.<\/p>\n

O artigo 10 acrescenta o dever de confidencialidade<\/strong>: os respons\u00e1veis e quem intervenha em qualquer fase do tratamento est\u00e3o obrigados ao sigilo profissional, obriga\u00e7\u00e3o que subsiste mesmo depois de terminada a rela\u00e7\u00e3o<\/strong> com o titular do arquivo. Essa frase tem uma consequ\u00eancia operacional que muitos programas ignoram: o dever n\u00e3o se desliga no dia em que o colaborador sai. Se a forma\u00e7\u00e3o n\u00e3o cobriu esse ponto e n\u00e3o ficou registada, a organiza\u00e7\u00e3o fica sem forma de provar que o comunicou.<\/p>\n

A regulamenta\u00e7\u00e3o da autoridade de aplica\u00e7\u00e3o tem vindo a precisar o que se entende por \u201cmedidas t\u00e9cnicas e organizativas\u201d do artigo 9: a designa\u00e7\u00e3o de um respons\u00e1vel interno, a documenta\u00e7\u00e3o de pol\u00edticas, os controlos de acesso e a forma\u00e7\u00e3o peri\u00f3dica do pessoal. A AAIP n\u00e3o inventa esses requisitos. Deriva-os do pr\u00f3prio artigo 9 e torna-os exig\u00edveis em sede administrativa. Para quem gere a conformidade, s\u00e3o os mesmos controlos que qualquer framework de seguran\u00e7a da informa\u00e7\u00e3o reconhece como b\u00e1sicos.<\/p>\n

A dist\u00e2ncia entre cumprir a lei e poder prov\u00e1-lo<\/h2>\n

Conv\u00e9m explicitar um ponto antes de avan\u00e7ar, porque \u00e9 a\u00ed que muitos programas se desfazem: cumprir a Lei 25.326 \u00e9 uma coisa, poder prov\u00e1-lo<\/strong> \u00e9 outra. A diferen\u00e7a parece subtil. Numa auditoria ou numa inspe\u00e7\u00e3o \u00e9 a que decide se tudo termina com um auto favor\u00e1vel ou com um processo aberto.<\/p>\n

A lei n\u00e3o detalha como se prova o cumprimento, porque isso pertence \u00e0 atividade probat\u00f3ria geral da organiza\u00e7\u00e3o. Mas o regime sancionat\u00f3rio do artigo 31 (advert\u00eancias, multas, suspens\u00f5es, encerramentos) opera, por defini\u00e7\u00e3o, sobre factos que t\u00eam de ser demonstrados. Sem evid\u00eancia, o cumprimento \u00e9 uma afirma\u00e7\u00e3o. Com evid\u00eancia, \u00e9 um facto que se pode sustentar perante o \u00f3rg\u00e3o de controlo. Quem vem do mundo da gest\u00e3o de risco conhece bem essa dist\u00e2ncia: um controlo que existe mas n\u00e3o deixa rasto \u00e9, para efeitos pr\u00e1ticos, um controlo que n\u00e3o se pode auditar.<\/p>\n

Para um programa de awareness isto significa que cada a\u00e7\u00e3o formativa, cada pol\u00edtica aceite e cada lembrete enviado t\u00eam de deixar um rasto verific\u00e1vel. N\u00e3o basta que o colaborador tenha recebido o curso. \u00c9 preciso saber quem, quando, que vers\u00e3o do conte\u00fado e sob que credenciais<\/strong> o recebeu. A pergunta operacional, ent\u00e3o, deixa de ser \u201cform\u00e1mos o pessoal?\u201d e passa a ser \u201co que podemos exportar no dia em que a autoridade o pedir?\u201d.<\/p>\n

\"Pormenor<\/p>\n

O que tem de registar o seu programa para resistir a uma inspe\u00e7\u00e3o da AAIP?<\/h2>\n

As inspe\u00e7\u00f5es e as auditorias que acabam bem s\u00e3o as que assentam num conjunto reduzido mas firme de registos. Estes s\u00e3o os seis que, na minha experi\u00eancia a gerir conformidade, todo o programa de awareness deveria ter dispon\u00edveis para uma autoridade de controlo:<\/p>\n

    \n
  1. \n

    Aceita\u00e7\u00e3o verific\u00e1vel da pol\u00edtica de tratamento de dados pessoais.<\/strong> N\u00e3o a assinatura gen\u00e9rica ao entrar na empresa, mas a aceita\u00e7\u00e3o expressa, datada e ligada ao utilizador, da pol\u00edtica espec\u00edfica em vigor no momento da leitura. Se a pol\u00edtica foi atualizada, o registo tem de poder identificar contra que vers\u00e3o foi prestado o consentimento.<\/p>\n<\/li>\n

  2. \n

    Comprovativo de forma\u00e7\u00e3o com data, conte\u00fado e autentica\u00e7\u00e3o.<\/strong> Um comprovativo gen\u00e9rico (\u201crealizou o curso de prote\u00e7\u00e3o de dados\u201d) \u00e9 fraco. O comprovativo s\u00f3lido indica a vers\u00e3o do m\u00f3dulo, a data de in\u00edcio e de fim, a dura\u00e7\u00e3o efetiva e a identifica\u00e7\u00e3o do colaborador atrav\u00e9s de credenciais corporativas, n\u00e3o por autodeclara\u00e7\u00e3o.<\/p>\n<\/li>\n

  3. \n

    Registo de aprova\u00e7\u00e3o, n\u00e3o apenas de presen\u00e7a.<\/strong> Para os efeitos do artigo 9 importa que o conte\u00fado tenha sido compreendido, n\u00e3o que o colaborador tenha aberto o curso. A evid\u00eancia pertinente inclui o resultado de uma avalia\u00e7\u00e3o (question\u00e1rio, simula\u00e7\u00e3o ou equivalente) com um limiar de aprova\u00e7\u00e3o documentado.<\/p>\n<\/li>\n

  4. \n

    Rastreabilidade das atualiza\u00e7\u00f5es da pol\u00edtica e do programa.<\/strong> A AAIP pode perguntar quando foi incorporado no programa um determinado dever (por exemplo, a cifragem de bases ou o reporte interno de incidentes) e a partir de que data cada colaborador estava obrigado a conhec\u00ea-lo. Sem um hist\u00f3rico versionado, essa pergunta fica sem resposta.<\/p>\n<\/li>\n

  5. \n

    Evid\u00eancia da comunica\u00e7\u00e3o de obriga\u00e7\u00f5es posteriores ao fim da rela\u00e7\u00e3o.<\/strong> O artigo 10 estabelece que o dever de confidencialidade subsiste ap\u00f3s o fim da rela\u00e7\u00e3o. A boa pr\u00e1tica \u00e9 comunicar esse dever expressamente, regist\u00e1-lo e conservar o comprovativo durante o prazo de prescri\u00e7\u00e3o aplic\u00e1vel.<\/p>\n<\/li>\n

  6. \n

    Documenta\u00e7\u00e3o do respons\u00e1vel interno que coordena o programa.<\/strong> Ato de designa\u00e7\u00e3o, \u00e2mbito da fun\u00e7\u00e3o, crit\u00e9rios sob os quais aprova a pol\u00edtica e assinatura dos entreg\u00e1veis. A AAIP dirige-se normalmente a uma pessoa concreta, e a pergunta de quem responde pelo programa n\u00e3o se resolve no momento.<\/p>\n<\/li>\n<\/ol>\n

    A lista n\u00e3o \u00e9 taxativa, e o peso relativo de cada item varia consoante o setor da organiza\u00e7\u00e3o (financeiro, sa\u00fade, retalho, setor p\u00fablico), a sua dimens\u00e3o e a sensibilidade dos dados que trata. Mas nenhum programa s\u00e9rio pode prescindir dos seis ao mesmo tempo.<\/p>\n

    E se o seu programa s\u00f3 prova que o colaborador abriu o curso?<\/h2>\n

    Imaginemos um cen\u00e1rio frequente. Uma organiza\u00e7\u00e3o sofre um incidente: \u00e9 divulgada uma base com dados pessoais de clientes. A den\u00fancia chega \u00e0 AAIP. A autoridade pede, entre outras coisas, evid\u00eancia da forma\u00e7\u00e3o recebida pelo pessoal com acesso a essa base. A organiza\u00e7\u00e3o apresenta uma lista: \u201ctodos os colaboradores realizaram o curso de prote\u00e7\u00e3o de dados\u201d. A AAIP pede o detalhe. O sistema s\u00f3 regista cliques de abertura.<\/p>\n

    Esse cen\u00e1rio ilustra um d\u00e9fice recorrente. O que um clique de abertura prova \u00e9 que o colaborador, a certa altura, acedeu ao recurso. N\u00e3o prova que o tenha lido, nem que o tenha compreendido, nem que a vers\u00e3o a que acedeu contivesse o ponto em discuss\u00e3o. Perante uma autoridade de controlo, uma evid\u00eancia t\u00e3o escassa raramente chega, e deixa a organiza\u00e7\u00e3o na posi\u00e7\u00e3o mais inc\u00f3moda de qualquer processo de conformidade: ter o controlo mas n\u00e3o o poder mostrar.<\/p>\n

    A isto soma-se um elemento que conv\u00e9m gerir desde o desenho: a integridade da evid\u00eancia<\/strong> do registo de forma\u00e7\u00e3o. O que est\u00e1 em jogo \u00e9 poder demonstrar que o registo n\u00e3o foi alterado depois de gerado, que a sua data \u00e9 aut\u00eantica e que a atribui\u00e7\u00e3o ao colaborador \u00e9 \u00edntegra. Uma folha de c\u00e1lculo edit\u00e1vel \u00e0 m\u00e3o n\u00e3o satisfaz esse padr\u00e3o. Um registo gerado por um sistema com marca temporal, identifica\u00e7\u00e3o de utilizador e log de acesso, sim. Essa diferen\u00e7a, que parece t\u00e9cnica, \u00e9 na verdade de governo: define quanto vale a sua evid\u00eancia no dia em que algu\u00e9m a questiona.<\/p>\n

    No regime do artigo 31, a advert\u00eancia \u00e9 o degrau mais leve e as multas e os encerramentos os mais severos. A intensidade da san\u00e7\u00e3o responde \u00e0 gravidade da conduta, mas tamb\u00e9m ao grau de dilig\u00eancia que a organiza\u00e7\u00e3o consiga provar. Ter evid\u00eancia s\u00f3lida \u00e9, em termos de gest\u00e3o de risco, o principal fator de mitiga\u00e7\u00e3o perante o \u00f3rg\u00e3o de controlo.<\/p>\n

    O que muda com a reforma pendente da 25.326?<\/h2>\n

    A Lei 25.326 foi aprovada em 2000 e, desde ent\u00e3o, atravessou reformas regulamentares sucessivas. Nos \u00faltimos anos, os projetos de reforma que deram entrada no Congresso procuram aproximar o regime argentino dos padr\u00f5es contempor\u00e2neos, em particular do Regulamento Geral sobre a Prote\u00e7\u00e3o de Dados europeu (GDPR). Enquanto a aprova\u00e7\u00e3o definitiva n\u00e3o se concretiza, o prudente \u00e9 ler o debate como um roteiro do que a AAIP come\u00e7ar\u00e1 a exigir quando o texto entrar em vigor.<\/p>\n

    Entre os eixos que esse debate vem insinuando, quatro tocam diretamente um programa de awareness:<\/p>\n