Os 14 Vectores Regulatórios

O vector de Proteção de Dados abrange o universo regulatório relativo à privacidade e ao tratamento de dados pessoais em Portugal e na União Europeia. Centra-se no Regulamento Geral sobre a Proteção de Dados (RGPD), na sua lei de execução nacional (Lei 58/2019) e nos diplomas conexos que regulam a privacidade nas comunicações electrónicas, a videovigilância e o marketing directo.

Este vector é transversal a todas as organizações — públicas e privadas — que tratem dados pessoais, o que na prática abrange a quase totalidade do tecido empresarial e institucional português. A figura do Encarregado de Proteção de Dados (DPO) e as obrigações de Avaliação de Impacto sobre a Proteção de Dados (AIPD) constituem dois dos principais eixos de serviço.

O vector de Segurança Física compreende o quadro regulatório aplicável à protecção de pessoas, instalações e infra-estruturas críticas contra ameaças físicas. Integra a continuidade de negócio (ISO 22301), a protecção civil (Lei 27/2006), a segurança contra incêndios em edifícios (DL 220/2008) e os regimes de segurança privada.

Este vector é particularmente relevante para organizações com instalações físicas significativas, infra-estruturas críticas, actividades industriais e entidades que empreguem serviços de segurança privada. A articulação com os vectores de cibersegurança e de segurança da informação é estrutural.

O vector de Segurança da Informação abrange o quadro normativo e as melhores práticas de gestão da segurança de activos de informação. Centra-se na norma internacional ISO/IEC 27001:2022 e no seu código de práticas (ISO 27002), cobrindo o Sistema de Gestão de Segurança da Informação (SGSI).

Este vector é fundamental para organizações que pretendam certificar o seu SGSI, que estejam sujeitas a requisitos de segurança da informação em cadeia de fornecimento, ou que necessitem de demonstrar diligência na proteção dos seus activos de informação perante reguladores, clientes e parceiros.

O vector de Cibersegurança cobre o regime jurídico da segurança do ciberespaço em Portugal e na União Europeia. Centra-se na Directiva NIS2 e na sua transposição nacional (DL 61/2024 e DL 125/2025), no Regime Jurídico da Segurança do Ciberespaço (Lei 46/2018) e na Lei do Cibercrime (Lei 109/2009).

Com a entrada em vigor da NIS2, este vector adquiriu uma relevância sem precedentes, abrangendo um universo significativamente alargado de entidades essenciais e importantes. As obrigações de notificação de incidentes, gestão de risco e governação da cibersegurança impõem transformações organizacionais profundas.

O vector de Proteção de Denunciantes compreende o regime jurídico de proteção das pessoas que denunciam violações do direito da União e do direito nacional. A Lei 93/2021 transpôs a Directiva (UE) 2019/1937, impondo a obrigação de criação de canais de denúncia internos a todas as entidades com 50 ou mais trabalhadores.

As obrigações incluem a criação e gestão de canais de denúncia, a proteção dos denunciantes contra retaliação, o tratamento confidencial das denúncias e a articulação com o regime de prevenção da corrupção. A fiscalização é exercida pelas autoridades sectoriais competentes.

O vector de Prevenção da Corrupção abrange o Regime Geral de Prevenção da Corrupção (RGPC), instituído pelo Decreto-Lei 109-E/2021, que impõe a todas as entidades públicas e a entidades privadas de média e grande dimensão a adopção de Programas de Cumprimento Normativo (compliance programmes).

A Autoridade Nacional Anticorrupção (MENAC) é a entidade competente para a fiscalização deste regime, que exige a elaboração de Planos de Prevenção de Riscos de Corrupção e Infracções Conexas, códigos de conduta, formação obrigatória e canais de denúncia articulados com o regime do V05.

O vector de Inteligência Artificial cobre o Regulamento Europeu de Inteligência Artificial (AI Act), o primeiro quadro regulatório abrangente do mundo para sistemas de IA. O Regulamento (UE) 2024/1689 estabelece uma abordagem baseada no risco, classificando os sistemas de IA em categorias de risco inaceitável, elevado, limitado e mínimo.

Este é um vector emergente de relevância crescente, que afecta todas as organizações que desenvolvam, disponibilizem ou utilizem sistemas de IA. As obrigações variam conforme a categoria de risco e a posição na cadeia de valor da IA, com requisitos particularmente exigentes para sistemas de IA de alto risco.

O vector de Acesso à Informação abrange o direito fundamental de acesso aos documentos administrativos e à informação pública, regulado pela Lei 26/2016 (Lei de Acesso aos Documentos Administrativos — LADA) e supervisionado pela Comissão de Acesso aos Documentos Administrativos (CADA).

Este vector é primariamente relevante para entidades do sector público, que são obrigadas a garantir o acesso efectivo à informação administrativa. A articulação com o regime de proteção de dados (V01) é essencial, dado que o acesso à informação deve ser compatibilizado com a proteção de dados pessoais.

O vector de Gestão de RH integra os dois grandes regimes laborais do ordenamento jurídico português: o Código do Trabalho (Lei 7/2009) para o sector privado e a Lei Geral do Trabalho em Funções Públicas — LTFP (Lei 35/2014) para o sector público, complementados pelo SIADAP, o regime de segurança e saúde no trabalho e demais legislação laboral.

Este é um dos vectores de maior abrangência, dado que todas as organizações — independentemente da sua natureza — têm obrigações laborais. A dualidade Código do Trabalho / LTFP reflecte a segmentação fundamental do mercado português entre sector público e sector privado.

O vector de Gestão de Terceiros abrange o quadro regulatório aplicável às relações com fornecedores, prestadores de serviços e parceiros contratuais. No sector público, centra-se no Código dos Contratos Públicos (CCP — DL 18/2008); no sector privado, integra as obrigações emergentes de due diligence na cadeia de fornecimento (CS3D) e os requisitos de gestão de terceiros impostos por regimes como o NIS2 e o RGPD.

A relevância deste vector é crescente, dado que a regulação europeia impõe cada vez mais obrigações de vigilância e controlo sobre a cadeia de fornecimento, particularmente em matéria de cibersegurança, sustentabilidade e direitos humanos.

O vector de Governação Corporativa integra os regimes jurídicos que regulam a organização, gestão e controlo das pessoas colectivas — tanto no sector privado (Código das Sociedades Comerciais) como no sector público (Estatuto do Gestor Público, RJSPE, regime de incompatibilidades).

A boa governação é transversal a todos os demais vectores regulatórios, dado que a conformidade organizacional depende estruturalmente de mecanismos de governação eficazes — desde a composição e funcionamento dos órgãos sociais até aos sistemas de controlo interno e gestão de riscos.

O vector de Sustentabilidade abrange o quadro regulatório emergente de reporte de sustentabilidade empresarial, centrado na Directiva CSRD (Corporate Sustainability Reporting Directive — Dir. (UE) 2022/2464) e na CS3D (Corporate Sustainability Due Diligence Directive).

Este vector é particularmente relevante para grandes empresas e entidades de interesse público que ficam sujeitas a obrigações de reporte de sustentabilidade segundo os European Sustainability Reporting Standards (ESRS). A articulação com os vectores de governação corporativa e gestão de terceiros é estrutural.

O vector de Responsabilidade Regulatória é o mais abrangente do ecossistema, funcionando como vector transversal que integra os regimes que não se encaixam exclusivamente num único vector temático, bem como os princípios gerais de boa regulação, legística e avaliação de impacto regulatório.

Este vector é particularmente relevante para entidades reguladoras, organismos de normalização, gabinetes de política legislativa e profissionais que participam no processo de produção ou avaliação de normas jurídicas. É o vector de maior densidade, com regimes distribuídos por todas as seis categorias.

O vector de Atendimento cobre o regime jurídico dos centros de contacto e serviços de atendimento ao público, regulado pelo Decreto-Lei 134/2009 e supervisionado pela ANACOM. Abrange tanto os centros de contacto do sector privado como os serviços de atendimento ao cidadão na administração pública.

As obrigações incluem tempos máximos de espera, proibição de custos adicionais em linhas de apoio ao cliente, requisitos de qualidade de serviço e direitos dos consumidores no contexto do atendimento. A articulação com a modernização administrativa e os direitos do consumidor é relevante.