O Regulamento dos Serviços Digitais da União Europeia entrou em vigor há precisamente um ano, o Regulamento da Inteligência Artificial (AI Act) está quase a começar a ser aplicado e a diretiva europeia NIS 2 - Network and Information Security 2 encontra-se em fase de transposição para a lei nacional, mas as pequenas e médias empresas (PME) ainda não estão totalmente conscientes das mudanças.
Então, as sociedades de advogados têm optado por criar protocolos com outras instituições ou preparam seminários explicativos, disseram aos Jornal Económico alguns especialistas em Tecnologia, Media e Telecomunicações (TMT).
João Luís Traça, sócio da Miranda & Associados, não tem dúvidas de que a legislação mais importante a ter em conta nesta área é a NIS2, até pelos ganhos de produtividade que daí poderão vir. “Sem cibersegurança não haverá internet, não haverá sociedade da informação e, acima de tudo, não teremos os ganhos de produtividade que são essenciais aos lucros das empresas e à criação de empregos”, diz o advogado de Direito Societário e Comercial, Direito do Consumidor, Proteção de Dados, Propriedade Intelectual e TMT.
A NIS 2 traz novas exigências às empresas, desde logo porque alarga o número de setores abrangidos pela lei (águas residuais, correio, hidrogénio, farmacêuticas, fornecedores de centros de dados...), põe fim à distinção entre operadores de serviços essenciais e serviços digitais, detalha as regras quanto ao reporte de incidentes de cibersegurança, estabelece um quadro sancionatório com coimas mais pesadas e divide os alvos entre “entidades essenciais” e “entidades importantes”.
No entanto, o sócio da Miranda acha que a generalidade das empresas em Portugal – que são micro e PME – não estão preparadas e necessitam de incentivos para o fazer.
Numa altura em que se acaba de votar o Orçamento do Estado para 2025 na generalidade e se entra no debate e votação na especialidade, João Luís Traça propõe a criação de incentivos fiscais para programas de segurança informática. “Poderemos sempre questionar o preço da cibersegurança, mas todos aqueles que já foram atacados se questionam sobre os investimentos que poderiam e deveriam ter realizado”, alerta. É essa a razão pela qual a Miranda está a ponderar a realização de seminários sobre o tema.
A Uría Menéndez prepara-se para fazer o mesmo caminho. A sociedade de advogados ibérica tem previsto um conjunto de ações de comunicação e iniciativas de formação para alertar para a importância destes temas e auxiliar os clientes na adaptação e implementação dos procedimentos necessários. Até porque, exceto as empresas de maior dimensão, das telecomunicações ou do setor bancário e segurador, “a grande maioria das empresas portuguesas estão ainda fases muito embrionárias de adaptação e implementação destas regras”, diz a associada coordenadora de TMT e Proteção de Dados.
“Em primeiro lugar, porque os conhecimentos técnicos para a adaptação dos processos internos das empresas a uma regulação mais robusta em matérias como a cibersegurança ou (a transparência d)os algoritmos são ainda escassos. Por outro lado, o investimento financeiro que é preciso fazer em ferramentas de compliance e de governance não está ainda ao alcance de todas as empresas que muitas vezes têm de fazer escolhas em relação aos recursos que têm disponíveis e acabam por optar, na maioria dos casos por desconhecimento e incerteza quanto ao futuro, por investir em outras áreas que acreditam trazer benefícios mais imediatos e serem mais estratégicos para o seu funcionamento”, argumenta Joana Mota.
No âmbito da NIS 2, Ricardo Henriques, sócio da Abreu Advogados e membro da direção do Instituto do Conhecimento, explica que cabe aos Estados-membros fazer uma lista das tais entidades essenciais e importantes. Logo, considerando a lista que será apresentada, é que se saberá de forma mais concreta o impacto que a futura lei de cibersegurança terá no tecido empresarial português. “As entidades essenciais e importantes terão de investir no cumprimento destas disposições normativas através da implementação de, nomeadamente, medidas técnicas e organizativas”, lembra.
“Neste momento, o setor enfrenta uma fase de execução e aplicação progressiva da variada legislação europeia que incide sobre o setor digital, pelo que as empresas têm sentido a necessidade de procurar aconselhamento sobre a aplicabilidade dos regimes jurídicos aos respetivos setores de atividade”, afirma o advogado de TMT, admitindo que o volume de trabalho neste ramo tem crescido que por esta via regulatória quer pela consciencialização das empresas e dos cidadãos.
Ricardo Henriques confirma que NIS 2, DORA e AI Act são as leis relacionadas com o digital mais relevantes de momento, mas não devem ser olhadas pelas empresas “de forma individual”. “Dependendo do modelo de negócio poderá estar em causa a aplicação de vários regimes jurídicos que, na sua maioria, são complementares entre si”, esclarece.
É também nesta lógica que a associada coordenadora da área de TMT da PLMJ defende que as empresas prestem atenção a outras normas que complementam este quadro, como por exemplo o Digital Services Act (DSA), “que não se aplica apenas às Big Tech”.
“As empresas que operam no espaço digital, incluindo PME, também estão abrangidas pelas novas regras. Referimo-nos a plataformas online que reúnem vendedores e consumidores, serviços de alojamento virtual e serviços intermediários. Estão previstas obrigações para proteger os utilizadores de conteúdos, bens ou serviços ilegais e são impostas novas regras quanto à publicidade e transparência nos sistemas de recomendação, entre outras. As pequenas empresas e as microempresas estão isentas das obrigações mais onerosas”, explica Inês Dias Pinheiro.
Quanto ao AI Act, a PLMJ e o INESC ID estabeleceram um protocolo de colaboração executarem em conjunto programas de verificação de conformidade com a lei europeia, que inclui mapeamento, avaliação e auditoria de riscos aos sistemas de IA das organizações.
