estágio ite 2015 ética no trabalho e gestão do risco de ... · pdf...
TRANSCRIPT
1 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Estágio ITE 2015 Normas de conduta e políticas de segurança da informação
DSF 2015
Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
No final da ação de formação deve conhecer:
• os princípios e valores éticos da AT;
• os principais riscos de corrupção e infrações conexas no âmbito do PGRCIC da AT;
• as principais regras que regulam a segurança dos dados pessoais;
• os mecanismos de controlo e monitorização do acesso indevido a informação;
• o que pode e não pode fazer enquanto trabalhador e inspetor da AT;
• os riscos de incumprimento de tais regras;
• os direitos e deveres dos trabalhadores.
Objetivos
Normas de Conduta e Políticas de Segurança da Informação
3 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Programa
1.Etica no trabalho e gestão do risco de corrupção e infrações conexas
•Conduta ética, princípios e valores
•Gestão de riscos de corrupção e infrações conexas
•Cultura de controlo interno
2. Segurança da informação e proteção de dados
•Política de segurança da informação: o que pode fazer e o que não pode fazer
•Mecanismos de controlo
3. Exercício do poder disciplinar
• Direitos
• Deveres
Normas de Conduta e Políticas de Segurança da Informação
4 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Os dirigentes estão vinculados à observância dos valores fundamentais e princípios
da atividade administrativa, a saber:
• Legalidade,
• Justiça e imparcialidade,
• Competência,
• Responsabilidade,
• Proporcionalidade ,e
• Transparência e boa fé.
Os dirigentes devem ter como desígnio assegurar o respeito e confiança dos
trabalhadores da AT e da sociedade na Administração Pública.
Responsabilidades dos dirigentes
5 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Incompatibilidades, impedimentos e inibições para os dirigentes
Os dirigentes devem :
• Observar as proibições específicas previstas no art. n.º 24.º da Lei Geral dos
Trabalhadores em Funções Públicas);
• Observar as garantias de imparcialidade;
• Verificar a existência de situações de acumulação de funções não autorizadas;
• Fiscalizar o cumprimento das garantias de imparcialidade no desempenho de funções públicas.
6 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Código de Conduta da AT
Princípios e valores comuns de serviço público, juntando-lhes referências éticas de
conduta profissional e pública.
Aplicam-se aos dirigentes, chefias e restantes trabalhadores.
Serviço público Legalidade Hierarquia
Igualdade Proporcionalidade Colaboração
Integridade Qualidade Imparcialidade
7 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Princípio da colaboração
Deveres de informação recíprocos dos intervenientes, que permitam à AT e aos particulares tomar conhecimento dos seus direitos.
Princípio da boa fé
Valores fundamentais do direito, relevantes em face das situações consideradas, e, em especial, a confiança suscitada na contraparte pela atuação em causa e o objetivo a alcançar com a atuação empreendida.
Esta exigência tem um conteúdo de caráter ético, impondo aos intervenientes no procedimento tributário que atuem com lealdade e sinceridade recíprocas, abstendo-se de atuações que possam enganar o outro interveniente, ou ocultando-lhe elementos que possam ter proveito para a defesa das suas posições (Art.º n.º 266.º, n.º 2, da CRP; art.º n.º 6.º - A, n.º 1 do CPA e art.º n.º 59, n.º 2, da LGT).
8 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Valores Profissionais e Éticos
Valores profissionais
Valores éticos
9 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Valores Profissionais
Na sua conduta profissional os trabalhadores devem:
• perseguir a competência, a eficiência, a objetividade e a imparcialidade;
• atuar em obediência à lei e às ordens legítimas dos superiores hierárquicos;
• assegurar a neutralidade política do serviço público;
• desenvolver um esforço permanente e sistemático de atualização e de formação profissional;
• assegurar o valor da transparência do serviço público;
• resguardar a informação a que tenham acesso por causa do exercício das suas funções.
10 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Valores Éticos de Conduta Pública
Os trabalhadores devem:
• exercer a autoridade inspirando-se no respeito pela dignidade humana e pelos valores da cada pessoa;
• manifestar respeito, solidariedade e cortesia nas relações com os cidadãos e outros trabalhadores ou serviços públicos;
• prestar serviço público num espírito de abertura, participação, cordialidade e respeito pela diversidade;
• desempenhar as suas atividades públicas e privadas de modo a reforçar a confiança na integridade, objetividade e imparcialidade do serviço público que representam;
• agir em todas as circunstâncias de forma que resista ao mais rigoroso escrutínio público;
• evitar situações que possam dar origem a conflitos de interesses.
11 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Valores Éticos de Conduta Pública
Os trabalhadores devem : (cont.)
• conjugar o exercício dos seus deveres profissionais e das suas atividades ou interesses privados de forma a prevenir o surgimento de conflitos de interesses reais ou potenciais;
• abster-se de participar na preparação de uma decisão ou na decisão propriamente dita, da qual possa emergir a mera aparência de tratamento preferencial a familiares ou amigos, além do que a lei dispõe em matéria de impedimentos e suspeições;
• estabelecer para si próprios orientações de conduta para minimizar as possibilidades de emergência de conflitos entre interesses ou atividades privadas e os deveres de serviço público;
• evitar atividades ou interesses privados que possam ser beneficiados ou prejudicados, de forma real ou aparente, pela atividade pública que exercem;
• evitar situações que afetem o seu estatuto e credibilidade públicos.
12 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Valores Éticos de Conduta Pública
Os trabalhadores não devem:
• prestar assistência ou assessoria que, de alguma forma, possa ser ou parecer tratamento preferencial, sem prejuízo do dever de, no exercício dos seus deveres profissionais, prestarem o melhor atendimento e informação aos particulares e entidades que os demandem, fora da prestação do serviço público que lhes cabe;
• pedir ou aceitar quaisquer benefícios económicos.
• procurar ou obter vantagem ou benefício com base em informação a que tenham acesso no exercício das suas funções e que legalmente estejam obrigados a proteger.
• usar ou consentir, direta ou indiretamente, o uso de bens públicos para outros fins que não os oficiais.
13 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Valores Éticos de Conduta Pública
Os trabalhadores não devem : (cont.)
• pedir ou aceitar presentes, hospitalidade ou quaisquer benefícios que, de forma real, potencial ou meramente aparente, possam influenciar o exercício das suas funções ou colocá-los em obrigação perante o doador.
• A aceitação de ofertas ou hospitalidade de reduzido valor (objetos promocionais, lembranças, …) não é censurável se não for frequente, estiver dentro dos padrões normais de cortesia, hospitalidade ou protocolo e não for suscetível de comprometer, de alguma forma, ainda que aparente, a integridade do funcionário ou do serviço.
14 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
“… Os Estados democráticos estão confrontados com a necessidade de se
protegerem contra o fenómeno da corrupção, que mina os fundamentos da
cidadania, da confiança, da credibilidade e da coesão social. Não podemos aceitar
a corrupção como uma fatalidade. Há, por isso, que pôr em prática tudo o que for
possível para contrariar e combater a tentação dos favores ilegitímos, da
criminalidade ligada à influência pública e da perniciosa confusão entre o bem
comum, interesse público e interesses privados. Temos de limitar drasticamente as
ocasiões e oportunidades que conduzem às infrações e aos crimes.”
Dr. Guilherme d’Oliveira Martins,
Presidente do Conselho de Prevenção da Corrupção (CPC)
15 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Definição e tipos de corrupção
A corrupção pode ser sujeita a diversas classificações, consoante as situações em causa.
Para haver corrupção, há sempre um comportamento, verificado ou prometido, ou a ausência deste, que, numa dada circunstância, constitui um crime.
A Corrupção Implica
Uma ação ou omissão A prática de um ato
lícito ou ilícito
A contrapartida de uma vantagem indevida para
o próprio ou para um terceiro
Elementos do crime
16 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Definição e tipos de corrupção
Corrupção
Tráfico de influências
Peculato
Concussão
Suborno
Participação económica em negócio
Abuso de poder
Crimes conexos
Pontos comuns : a obtenção de uma vantagem (ou compensação) não devida.
17 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Controlo da corrupção
1. A criação e atividade do CPC (Conselho de Prevenção da Corrupção)
2. O dever de colaboração da AT com o CPC
18 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Controlo da corrupção
1. A criação e atividade do CPC (Conselho de Prevenção da Corrupção)
Recomendação n.º 1/2009, de 1 de julho, sobre a elaboração de “Planos de gestão de riscos de corrupção e infracções conexas”
O Plano deve conter:
• identificação dos riscos de corrupção e infrações conexas;
• identificação das medidas que previnam a sua ocorrência;
• definição e identificação dos responsáveis envolvidos na gestão do plano,
• elaboração anual de um relatório sobre a execução do plano.
19 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Controlo da corrupção
1. A criação e atividade do CPC (Conselho de Prevenção da Corrupção) (cont.)
Recomendação do CPC de 6 de julho de 2011 – Plano de reversão de riscos na AT
• Reforçar a atuação da auditoria na deteção de situações de conflitos de interesses;
• Ponderar a concretização de códigos de conduta a vincularem os funcionários à obrigatoriedade de comportamentos éticos e transparentes;
• Prevenir situações de acesso ilegítimo a informações fiscais para fornecimento a terceiros e situações de furto de identidade (utilização indevida de passwords);
20 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Controlo da corrupção
1. A criação e atividade do CPC (Conselho de Prevenção da Corrupção) (cont.)
Recomendação do CPC de 6 de julho de 2011 – Plano de reversão de riscos na AT (cont.)
• Concretizar mecanismos de reverificação por amostragem de decisões em processos de inspeção de contribuintes ou em processos da área da justiça tributária;
• Incrementar a segregação de funções;
• Utilizar de forma mais ampla o equipamento para efetuar scanner de contentores ou camiões, dada a sua potencialidade para a deteção de fraudes aduaneiras e fiscais.
21 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Controlo da corrupção: o dever de colaboração da AT com o CPC
1. Dever específico de colaboração com o CPC
2. Cópias dos relatórios de auditoria
22 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Controlo da corrupção: o dever de colaboração da AT com o CPC
1. Dever específico de colaboração com o CPC
No quadro da colaboração com o CPC, as entidades da Administração Pública e do setor empresarial devem remeter ao CPC cópias de todas as:
• participações,
• denúncias,
• decisões de arquivamento.
23 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Controlo da corrupção: o dever de colaboração da AT com o CPC
2. Cópias dos relatórios de auditoria, que reportem:
Corrupção ativa e passiva Administração danosa
Criminalidade económica e financeira
peculato
Branqueamento de capitais
Participação económica em negócio
Tráfico de influências Abuso de poder ou violação de dever de segredo
Apropriação ilegítima de bens públicos
Aquisição de imóveis ou valores mobiiários em consequência da obtenção ou utilização ilicítas de informação privilegiada no exercício de funções na AP ou no setor público empresarial
24 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Âmbito da Política de Prevenção da Corrupção da AT
A Política de Prevenção da Corrupção na AT aplica-se:
• a todos os trabalhadores que integram o pessoal da AT;
• A todos os colaboradores que não integrem os grupos de pessoal da AT, mas que nela prestem efetivamente serviço (exemplo: peritos avaliadores);
• a todos os contribuintes, stakeholders públicos ou privados e a outros interessados que se relacionem direta ou indiretamente com a AT (exemplo: municípios, empresas de transporte, universidades, bem como fornecedores de bens e serviços).
25 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
PGRCIC - Competências e responsabilidades
Gestão do risco de corrupção: uma estrutura hierárquica em que todos os intervenientes conhecem as suas responsabilidades:
Política de prevenção
da corrupção
Diretor- geral
Dirigentes e chefias
Trabalhadores e
colaboradores
Núcleo de Gestão de Riscos de
Corrupção
26 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
PGRCIC - Prevenção
O tema “corrupção” implica a abordagem da sua prevenção.
Só com uma atuação antecipatória do fenómeno corruptivo se poderá diminuir a sua incidência.
Na elaboração do PGRCIC foi observado:
• a identificação dos riscos de corrupção;
• as medidas já adotadas para a sua prevenção;
• as estratégias adequadas (medidas a adotar) para enfrentar esses riscos
27 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
PGRCIC – Prevenção: Definição, tipologia e identificação de riscos
• Delegação de competências
• Saída de pessoal para o setor privado
• Progressão na carreira e nomeações para os cargos
• Acumulação de funções privadas
• Supervisão dos trabalhadores
• Conflito de interesse
• Dádivas e outros benefícios
• Informação – dever de sigilo fiscal
• Sistemas de informação
• Serviços – atendimento presencial
• Serviços – cobrança
• Serviços – inspeção
28 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
PGRCIC – Prevenção: Definição, tipologia e identificação de riscos
Acumulação de funções privadas
Riscos Identificados Medidas adotadas Medidas a adotar
1. A utilização de
recursos públicos no
exercício da
atividade privada;
2. O exercício de
atividades não
autorizadas;
1. Regime geral de incompatibilidades e
impedimentos a que os trabalhadores da AT
estão sujeitos (Art. n.º 19.º da LTFP) e regime
especial (Art. n.º 32º do DL nº 363/78, de 28
/11, e art.º n.º 105.º do DL 252-A/82, de 28/6);
2. Obrigatoriedade de apresentação de um pedido
prévio de acumulações de funções (n.º 1 do art.
n.º 23º da LTFP);
1. Centralizar os registos
de todos os pedidos
de acumulação de
funções privadas
numa base de dados
informática.
29 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Acumulação de funções privadas (cont.)
Não obstante a lei conter regras claras relativamente à acumulação de funções, o sistema de controlo interno implementado apresenta algumas limitações que implicam riscos, a saber:
3. O comprometimento da
isenção e a imparcialidade
exigidas no exercício de
funções públicas;
4. A não declaração de
conflitos de interesse;
5. O tratamento privilegiado
de contribuintes.
3. Definição de critérios conducentes a
compatibilizar o desempenho das funções
públicas dos trabalhadores da AT com a sua
eventual colaboração em entidades externas
na qualidade de formadores;
4. Existência de política de sanções em caso de
violação dos normativos legais.
2. Declaração de
compromisso de
todos os
dirigentes, chefias
e trabalhadores da
AT.
Riscos Identificados Medidas adotadas Medidas a adotar
PGRCIC – Prevenção: Definição, tipologia e identificação de riscos
30 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Conflito de interesses
1. O tratamento
privilegiado de um
familiar ou amigo;
1.Existência de regime especial de imparcialidade
a que os trabalhadores da AT estão sujeitos (Art.
n.ºs 20 º ao 22.º do RCPIT e art.º n.º 105.º do DL
n.º 252-A/82, de 28/6), para além das regras
gerais previstas nos art. 19.º a 24.º da LTFP;
2. Promover ao registo
informático dos conflitos
de interesses declarados
pelos trabalhadores;
Riscos Identificados Medidas adotadas Medidas a adotar
PGRCIC – Prevenção: Definição, tipologia e identificação de riscos
31 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Conflito de interesses (cont.)
2. O favorecimento de um
contribuinte, no qual o
trabalhador familiar ou amigo
tenha algum interesse
particular na tramitação de
processos ou na tomada de
decisões;
3. O prejuízo de uma pessoa ou
grupo na tramitação de
processos ou tomada de decisão.
3. Existência de política de
sanções em caso de
violação dos normativos
legais;
4. Existência de uma
estrutura fortemente
hierarquizada para a
decisão, com vários níveis
de decisão.
3. Melhorar o processo de deteção
de violações do dever de sigilo
dos trabalhadores da AT;
4. Controlar regularmente e
aleatoriamente com a
informação disponível nas bases
informáticas, os eventuais
conflitos de interesses dos
trabalhadores da AT.
Riscos Identificados Medidas adotadas Medidas a adotar
PGRCIC – Prevenção: Definição, tipologia e identificação de riscos
32 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Dádivas e outros benefícios
1. A influência junto dos trabalhadores
na obtenção de tratamento favorável
ou violações regulamentares;
1. Existência de uma política
de sanções em caso de
incumprimento das
orientações;
1. Definir os procedimentos
a realizar no caso de
recebimento de presente
não solicitado;
Riscos Identificados Medidas adotadas Medidas a adotar
PGRCIC – Prevenção: Definição, tipologia e identificação de riscos
33 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Dádivas e outros benefícios (cont.)
2. A perceção da opinião pública que as
decisões dos trabalhadores da AT
estão abertas à influência ou que a
eficácia e eficiência no tratamento
de processos está dependente de
ofertas;
3. A suspeição de que as decisões
tomadas são imparciais por terem
sido influenciadas pelo recebimento
de presentes
2. Proibição dos trabalhadores
AT em pedirem ou aceitarem
dádivas e outros benefícios,
independentemente do valor.
2. Divulgar ao público a
política da AT, no que
concerne ao
recebimento de
presentes.
Riscos Identificados Medidas adotadas Medidas a adotar
PGRCIC – Prevenção: Definição, tipologia e identificação de riscos
34 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Informação – Dever de sigilo fiscal
A AT detém e gere grandes quantidades de informações confidenciais dos
contribuintes, pelo que o seu dever de sigilo encontra-se necessariamente
enquadrado nos normativos legais que regem a atividade da Administração
Tributária. Assim, o dever de sigilo fiscal envolve diversos riscos, a saber:
PGRCIC – Prevenção: Definição, tipologia e identificação de riscos
35 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Informação – Dever de sigilo fiscal (cont.)
1. A divulgação de
informações a ex-
trabalhadores para uso em
atividades privadas;
2. O fornecimento de
informações confidências a
terceiros com o objetivo de
ganho de vantagens
pessoais;
1. Integração do dever de sigilo
na LGT (art.º 64) e no RCPIT
(art.º 22);
2. Existência de uma política
de sanções em caso de
violação dos regulamentos
legais; Existência de uma
“Política de Segurança da
Informação da
Administração Fiscal e
Aduaneira”;
1. Melhorar o processo de deteção
de violações do dever de sigilo
dos trabalhadores da AT;
2. Avaliar dos níveis de segurança
dos arquivos com informação
sensível e dos procedimentos
de controlo implementados
pelas unidades orgânicas.
Riscos Identificados Medidas adotadas Medidas a adotar
PGRCIC – Prevenção: Definição, tipologia e identificação de riscos
36 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Informação – Dever de sigilo fiscal (cont.)
3. A divulgação aos meios de
comunicação social de
informação susceptível de
criar perturbações interna
ou externa;
4. O uso das informações
pessoais para fins
privados;
5. Os perfis de consulta
alargados, por motivos de
eficiência operacional.
3. Suporte e salvaguarda da
informação eletrónica a cargo da
área informática;
4. Acesso à informação constante
das bases de dados informáticas
dependente de um processo de
autenticação, com trilhos de
auditoria relativos à informação
acedida e modificada;
5. Existência de um conjunto dos
procedimentos relativos à
classificação, avaliação e seleção
de documentos.
Riscos Identificados Medidas adotadas Medidas a adotar
PGRCIC – Prevenção: Definição, tipologia e identificação de riscos
37 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Serviços - Inspeção
Riscos Identificados Medidas adotadas Medidas a adotar
PGRCIC – Prevenção: Definição, tipologia e identificação de riscos
1. O desconhecimento dos
dirigentes de eventual
conflito de interesses ou
de incompatibilidade para
o exercício das funções
inspetivas
2. A aceitação ou solicitação
de subornos, para o
exercício ou não de atos
inspetivos;
1. Regulamentação da
atividade inspetiva através
do RCPIT, designadamente
em matérias de
incompatibilidades e
conflitos de interesses;
2. Existência de política de
sanções em caso de
violação dos regulamentos e
procedimentos;
1. Incrementar o contacto
regular entre os
inspetores e os chefes de
equipa no trabalho de
campo;
2. Fomentar a visita dos
chefes de equipa dos
inspetores no trabalho de
campo numa base
aleatória programada,
sem notificação prévia;
38 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Serviços - Inspeção (cont.)
(cont.)
Riscos Identificados Medidas adotadas Medidas a adotar
PGRCIC – Prevenção: Definição, tipologia e identificação de riscos
3. A negociação mediante
vantagens pessoais, dos
resultados de ações
inspetivas;
4. A possibilidade de
negociar os resultados de
ações inspetivas;
3. Controlo da tramitação e
decisão de processos
através do sistema
informático de apoio à
atividade da inspeção
tributária;
4. Padronização dos
documentos mais
relevantes;
5. Existência de uma estrutura
fortemente hierarquizada
para a decisão;
3. Dar a conhecer aos
sujeitos passivos objeto
de inspeção as
consequências de
oferecer pagamentos
diretos, suborno ou outros
incentivos;
39 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Riscos Identificados Medidas adotadas Medidas a adotar
PGRCIC – Prevenção: Definição, tipologia e identificação de riscos
5. A possibilidade de não
serem
selecionados/inspecionad
os SP que, face às
análises de risco
promovidas pela área do
planeamento, o deveriam
ser;
6. Revisão e aprovação final
de documentação por parte
dos coordenadores;
7. Manutenção de registos
relativos a procedimentos
inspetivos;
8. Segregação de funções na
seleção, atribuição e
execução de atos inspetivos;
9. Instituição do trabalho em
equipa em inspeções de
elevada complexidade/risco.
4. Investir em áreas de
planeamento de seleção
e abertura de OS de
contribuintes a
inspecionar.
Serviços - Inspeção (cont.)
40 Normas de Conduta e Políticas de Segurança da Informação
Segurança da informação e proteção de dados
A Segurança da informação como princípio orientador de conduta
A segurança e a salvaguarda da privacidade são valores que devem nortear a utilização dos sistemas da informação pelos funcionários e agentes da AT.
A política de segurança da informação da AT surge da necessidade de prevenir os riscos identificados no seu Plano de Gestão de Riscos de Corrupção e Infrações Conexas (PGRCIC).
*Importante*
• conhecer as principais regras que regulam a segurança dos dados pessoais;
• conhecer os mecanismos de controlo e monitorização do acesso indevido a informação;
• saber quais são os riscos de incumprimento de tais regras;
41 Normas de Conduta e Políticas de Segurança da Informação
Segurança da informação e proteção de dados
A AT dispõe de :
• Dados pessoais
• Dados de natureza tributária e aduaneira
Proteção de Dados
CRP (Constituição da República Portuguesa)
LGT (Lei Geral Tributária)
LPD (Lei de Proteção de Dados Pessoais)
O Manual de Política de Segurança da Informação da Administração Fiscal e Aduaneira (MPSI) enquadra a atuação da AT e dos seus trabalhadores em matéria de segurança informática.
Especificidades da AT em matéria de segurança da informação
42 Normas de Conduta e Políticas de Segurança da Informação
Segurança da informação e proteção de dados
A Política de Segurança da Informação
Proteção da informação
A segurança da informação sofre elevado risco quando ocorre:
• interrupção intencional do sistema informático;
• acesso indevido a dados pessoais dos contribuintes;
• utilização indevida de informação classificada;
• manipulação de dados;
• destruição de dados.
43 Normas de Conduta e Políticas de Segurança da Informação
Segurança da informação e proteção de dados
A Política de Segurança da Informação
Pilares de um sistema de informação seguro
O sistema de segurança da informação da AT assenta em três pilares:
• Confidencialidade – no sentido de permitir o acesso apenas a utilizadores autorizados;
• Integridade – ou seja, a garantia de que a informação é correta;
• Disponibilidade – o que significa a possibilidade de utilizar a informação quando é necessária.
44 Normas de Conduta e Políticas de Segurança da Informação
Segurança da informação e proteção de dados
Responsabilidade dos utilizadores
Os utilizadores devem:
• usar os sistemas de informática respeitando os limites de acesso e os fins a que se destinam;
• manter, de acordo com as normas e procedimentos em vigor, o equipamento, suporte lógico e os dados (por exemplo, não desligar o cabo de rede do PC);
• garantir a confidencialidade das senhas (por exemplo, as senhas de acesso a aplicações são intransmissíveis e pessoais);
• saber que o contribuinte, titular de dados pessoais, tem o direito, quando requerido, designadamente, à informação sobre a identidade do responsável do seu tratamento;
• comunicar todas as situações de falha de segurança, utilização indevida, incumprimento das regras de controlo e proteção da informação tratada.
45 Normas de Conduta e Políticas de Segurança da Informação
Segurança da informação e proteção de dados
Normas de utilização dos recursos informáticos
Os utilizadores não devem:
• violar ou tentar violar os sistemas de autenticação que protegem as contas de utilizadores, servidores, redes ou serviços;
• divulgar, expor, transmitir ou comunicar os dados sujeitos a sigilo profissional ou protegidos;
• divulgar, expor, transmitir ou comunicar os códigos de acesso (senhas de passe, palavras-chave, passwords;
• aceder sem autorização a dados de terceiros;
• garantir a confidencialidade das senhas (por exemplo, as senhas de acesso a aplicações são intransmissíveis e pessoais);
46 Normas de Conduta e Políticas de Segurança da Informação
Segurança da informação e proteção de dados
Normas de utilização dos recursos informáticos
Os utilizadores não devem (cont.)
• intercetar dados sem autorização, constitui violação da LPD art.º 15º, n.º 1, alínea h);
• falsificar dados, incluindo endereços IP (Internet Protocol) e de correio eletrónico, também constitui violação da LPD art.º 15º, n.º 1, alínea h);
• usurpar a identidade, designadamente através da utilização dos códigos de acesso atribuídos a outrem;
• exercer uma atividade que provoque a perda, alteração ou impossibilidade de acesso a dados ou a degradação do desempenho de sistemas, comunicações ou serviços.
• utilizar o correio eletrónico para transmitir a terceiros, de forma não autorizada, informação sujeita a sigilo profissional.
47 Normas de Conduta e Políticas de Segurança da Informação
Segurança da informação e proteção de dados
Controlo e monitorização da segurança da informação
Mecanismos aplicados e monitorização
• estabeleceu regras em relação às senhas de acesso dos seus trabalhadores;
• controla, gere e revê periodicamente o acesso aos sistemas de rede informática da AT;
• utiliza um procedimento de participação ao helpdesk pelos utilizadores de eventuais incidentes de segurança;
48 Normas de Conduta e Políticas de Segurança da Informação
Segurança da informação e proteção de dados
Controlo e monitorização da segurança da informação
Mecanismos aplicados e monitorização (cont.)
• mantém trilhos de auditoria que identificam o utilizador, indicam a data e hora de ligação e saída do sistema, em suma fornecem um registo da atividade dos utilizadores que acedem aos computadores e redes com ligação para o exterior;
• pode monitorizar e auditar as mensagens para avaliação de conformidade;
• promove auditorias regulares para avaliar a conformidade da configuração das redes sem fios com os padrões aplicáveis.
Estes mecanismos permitem, nomeadamente, detetar desvios de utilização autorizada.
49 Normas de Conduta e Políticas de Segurança da Informação
Segurança da informação e proteção de dados
Deteção de anomalias pelo sistema
O sistema ativa esses mecanismos, nomeadamente, nos seguintes casos:
• quebra de confidencialidade;
• deteção de pesquisas não autorizadas na rede;
• erros provocados por dados não fiáveis ou incompletos;
• tentativas repetidas de acesso não autorizado.
Isto permite identificar, analisar e documentar os incidentes.
Estes elementos de informação podem ser utilizados para recolha de prova para possível ação disciplinar.
50 Normas de Conduta e Políticas de Segurança da Informação
Segurança da informação e proteção de dados
Controlo de acessos
A ASI dedica uma atenção particular ao controlo dos acessos dos utilizadores para:
• proteger a informação sensível, de forma a assegurar que os dados não são
indevidamente divulgados, modificados, eliminados ou tornados indisponíveis;
• responsabilizar os utilizadores por toda a atividade executada pelos seus
códigos de acesso pessoais;
• proteger a divulgação da informação, exceto a classificada como pública.
51 Normas de Conduta e Políticas de Segurança da Informação
Segurança da informação e proteção de dados
Controlo de acessos
Autorização de acesso dos utilizadores
• É responsável por toda a atividade executada pelos seus códigos de acesso pessoais;
• está proibido de aceder aos recursos de informação com os códigos de acesso de outros utilizadores;
• deve mudar imediatamente de palavra-chave, caso suspeite que a mesma foi comprometida;
• deve comunicar qualquer suspeita de violação das normas de segurança;
• perde definitivamente os privilégios de acesso atribuído no caso de cessação do vínculo laboral.
52 Normas de Conduta e Políticas de Segurança da Informação
Segurança da informação e proteção de dados
Controlo de acessos
Construção da senha de acesso
Proteção de:
• Contas de utilizador
• Acesso a aplicação web
• Contas de correio eletrónico
• Acesso remoto
53 Normas de Conduta e Políticas de Segurança da Informação
Segurança da informação e proteção de dados
Controlo de acessos
Construção da senha de acesso
Requisitos na sua construção
• Ter no mínimo, 8 (oito) carateres alfanuméricos;
• conter letras maiúsculas e minúsculas;
• incluir carateres especiais;
• não conter palavras, em qualquer dialeto;
• não se basear em informação pessoal.
54 Normas de Conduta e Políticas de Segurança da Informação
Segurança da informação e proteção de dados
Controlo de acessos
Regras da senha de acesso para melhor proteção
• Deve mudar a senha no 1.º acesso a um sistema;
• deve comunicar ao helpdesk qualquer suspeita de a senha ter sido comprometida e alterar a senha de acesso;
• não deve partilhar a senha com qualquer outra pessoa ou divulgá-la por qualquer meio - as senhas de acesso são pessoais e intransmissíveis;
• não deve escrever as senhas de acesso de forma percetível, conservá-las ou guardá-las;
• É responsável pelas ações que forem executadas através da sua senha de acesso.
A Segurança da Informação e a Proteção de Dados Pessoais
55 Normas de Conduta e Políticas de Segurança da Informação
Segurança da informação e proteção de dados
Sistemas de informação
Riscos Identificados Medidas adotadas Medidas a adotar
PGRCIC – Prevenção: Definição, tipologia e identificação de riscos
1. A inserção/alteração de
dados que
comprometam a
integridade da
informação;
1. Existência de uma política de
segurança elaborada pelas
entidades que disponibilizam os
sistemas de informação da AT;
1. Melhorar o processo de
deteção do não cumprimento
da Política de Segurança da
Informação da Administração
Fiscal e Aduaneira;
56 Normas de Conduta e Políticas de Segurança da Informação
Segurança da informação e proteção de dados
Sistemas de informação (cont.)
2. A elaboração de documentação
fraudulenta para fornecimento a
terceiros;
3. O aproveitamento fraudulento de
eventuais inoperâncias temporárias do
sistema informático;
4. O acesso remoto a terceiros aos sistemas
aplicacionais da AT;
5. A compartilha de senhas de utilizadores;
6. As sessões de trabalho abertas sem a
presença o respetivo utilizador;
2. Existência de uma política de
sanções em caso de violação da
política e procedimentos;
3. Acesso ao sistema informático
dependente de processo de
autenticação;
4. Responsabilização dos titulares
das senhas de identificação na
sua utilização;
5. Alteração das senhas de
identificação com base regular;
PGRCIC – Prevenção: Definição, tipologia e identificação de riscos
Riscos Identificados Medidas adotadas Medidas a adotar
57 Normas de Conduta e Políticas de Segurança da Informação
Segurança da informação e proteção de dados
Sistemas de informação (cont.)
7. A cópia eletrónica de dados dos sistemas
de informação e seu fornecimento não
autorizado a outras entidades.
6. Atribuição dos acessos às
aplicações informáticas segue o
princípio do requisito mínimo para
o exercício das funções.
2. Continuar,
em
articulação
com a área
informática,
na melhoria
contínua e
sustentada
dos sistemas
informativos.
PGRCIC – Prevenção: Definição, tipologia e identificação de riscos
Riscos Identificados Medidas adotadas Medidas a adotar
58 Normas de Conduta e Políticas de Segurança da Informação
Segurança da informação e proteção de dados
Sistemas de informação (cont.)
6. As sessões de trabalho abertas sem a
presença o respetivo utilizador;
7. A cópia eletrónica de dados dos sistemas
de informação e seu fornecimento não
autorizado a outras entidades.
5. Alteração das senhas de
identificação com base regular;
6. Atribuição dos acessos às
aplicações informáticas segue o
princípio do requisito mínimo para
o exercício das funções.
PGRCIC – Prevenção: Definição, tipologia e identificação de riscos
Riscos Identificados Medidas adotadas Medidas a
adotar
59 Normas de Conduta e Políticas de Segurança da Informação
Exercício do poder disciplinar
Direito do contribuinte à reparação
Responsabilidade civil desses responsáveis Lei de Proteção de Dados Pessoais (LPD) que dispõe sobre a (art.º 34.º, n.º 1).
Qualquer pessoa que tenha sofrido um prejuízo devido ao tratamento ilícito de dados ou a qualquer outro ato que viole disposições legais em matéria de proteção de dados pessoais tem o direito de obter do responsável a reparação pelo prejuízo sofrido.
Com efeito, na AT, a quebra de normas neste domínio pode dar origem, por exemplo, à revogação de todas as contas do prevaricador para acesso aos recursos informáticos. Pode igualmente estar na origem de sanções não só disciplinares, mas também penais como veremos no módulo a seguir, “O Poder disciplinar – Elementos essenciais”.
60 Normas de Conduta e Políticas de Segurança da Informação
Exercício do poder disciplinar
Deveres do Trabalhador em Funções Públicas
Deveres: características, atributos ou comportamentos que o trabalhador está obrigado a observar, quer sejam estabelecidos por lei, regulamento ou instrumento de regulamentação coletiva de trabalho.
Os deveres a que estão sujeitos os trabalhadores são de carácter geral ou especifico:
• Deveres de carácter geral: os que estão definidos como tal no Art.º 73.º, e o seu cumprimento é esperado de todos os trabalhadores em funções públicas.
• Deveres de carácter específico: os que estão previstos noutros diplomas legais, regulamentos e instrumentos de regulamentação coletiva.
61 Normas de Conduta e Políticas de Segurança da Informação
Exercício do poder disciplinar
Deveres do Trabalhador em Funções Públicas
dever de imparcialidade
dever de zelo dever de
informação dever de correção
dever de isenção
dever de prossecução do
interesse público
dever de assiduidade
dever de lealdade
dever de obediência
dever de pontualidade
O legislador definiu os deveres gerais a que se encontram sujeitos os trabalhadores em funções públicas:
62 Normas de Conduta e Políticas de Segurança da Informação
Exercício do poder disciplinar
Deveres do Trabalhador em Funções Públicas
Infração disciplinar é a conduta do trabalhador, externa, culposa, ilícita e prejudicial.
Traduz-se na violação de deveres gerais ou específicos previstos na lei e inerentes às funções que executa e para as quais está habilitado.
Elementos constitutivos da infração disciplinar:
Comportamento Culpa Ilicitude
63 Normas de Conduta e Políticas de Segurança da Informação
Exercício do poder disciplinar
Direitos do Trabalhador em Funções Públicas
• Ser respeitado e tratado com urbanidade e probidade;
• receber pontualmente a remuneração, que deve ser justa e adequada ao tabalho;
• boas condições de trabalho, tanto do ponto de vista físico como moral;
• formação profissional;
• exercício de cargos em organizações representativas dos trabalhadores;
• prevenção de riscos e doenças profissionais, tendo em conta a proteção da segurança e saúde do trabalhador;
• segurança e saúde no trabalho, nos termos das prescrições legais e convencionais vigentes;
• informação e formação adequadas à prevenção de riscos de acidente e doença;
• - (...)
64 Normas de Conduta e Políticas de Segurança da Informação
Exercício do poder disciplinar
Poder disciplinar
Repreensão Escrita
Multa Suspensão
Despedimento disciplinar ou
Demissão
Cessação Comissão Serviço
S
A
N
Ç
Õ
E
S
Os comportamentos que violam deveres podem constituir uma infração disciplinar.
65 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Cultura de controlo interno - uma forma privilegiada de melhorar a gestão da responsabilidade de dirigentes e chefias.
Definição: o controlo interno é uma atividade que procura garantir as boas práticas de gestão e procedimentos e o cumprimento das políticas estabelecidas pela gestão.
Ambiente de controlo interno
• Integridade
• Valores éticos
• Filosofia e estilo de liderança e gestão operacional
• Adequação de competências
• Gestão e desenvolvimento dos colaboradores.
Cultura de controlo interno
66 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Recomendações para fomentar uma relação AT/contribuinte mais correta
Os trabalhadores da AT devem:
• atuar respeitando as regras éticas inerentes às suas funções;
• agir sempre com isenção e em conformidade com a lei;
• atuar de forma a reforçar a confi ança dos cidadãos na integridade,
imparcialidade e eficácia dos poderes públicos.
Recomendações contra a corrupção
67 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Recomendações contra a corrupção
Recomendações para fomentar uma relação AT/contribuinte mais correta (cont.)
Os trabalhadores da AT não devem:
• usar a sua posição e os recursos públicos em seu benefício;
• tirar partido da sua posição para servir interesses individuais, evitando que os
seus interesses privados colidam com as suas funções públicas;
• solicitar ou aceitar qualquer vantagem não devida, para si ou para terceiro,
como contrapartida do exercício das suas funções (caso de ofertas).
68 Normas de Conduta e Políticas de Segurança da Informação
Ética no trabalho e gestão do risco de corrupção e infrações conexas
Cultura organizacional
A eficácia da gestão dos riscos de corrupção da AT depende do comprometimento dos seus líderes e tem subjacente uma cultura organizacional sólida e uma clara e efetiva adesão às normas e valores abraçados pela AT.
CADA “NÃO” CONTA !
(Guilherme d’Oliveira Martins)
DIGA “NÃO” À CORRUPÇÃO !