Acórdão do Tribunal da Relação de Guimarães
| 37/24.4T8MLG.G2 |  |
REGULAMENTAÇÃO
NORMA EM BRANCO
VIOLAÇÃO DO PRINCÍPIO DA TIPICIDADE
I. Ao Município compete a elaboração e comunicação da lista de activos e do relatório anual (previstos nos arts. 6.º e 8.º do D.L. n.º 65/2021, de 30 de Julho) ao Centro Nacional de Cibersegurança.
II. O art. 21.º, n.º 1, do mesmo D.L., não definindo de forma clara o conteúdo da infracção – na parte em que remete para o regime sancionatório da Lei n.º 46/2018, de 13 de Agosto –, é uma norma em branco, que não concretiza o acto ou omissão a sancionar nem os elementos de punibilidade.
III. Têm de ser as disposições legais – e não a autoridade administrativa – a dizer expressamente que as citadas omissões constituem incumprimento das regras de segurança e, por isso, geradoras de riscos, para que os seus destinatários possam ter conhecimento da proibição e da respectiva sanção.
IV. Faltando o preenchimento de alguma das alíneas do art. 23.º, n.º 1, da citada Lei, estava a autoridade administrativa impedida de aplicar à recorrida as coimas previstas no n.º 2, por violação do princípio da tipicidade.
Neste processo n.º 37/24.4T8MLG.G2, acordam em conferência os Juízes na Secção Penal do Tribunal da Relação de Guimarães:
I - RELATÓRIO
Em processo contra-ordenacional movido pelo Centro Nacional de Cibersegurança à Câmara Municipal ..., com sede no Largo ..., ... ..., foi decidido, nos termos do art. 23.º da Lei n.º 46/2018, de 13 de Agosto, e do n.º 1 do art. 21.º do D.L. n.º 65/2021, de 30 de Julho, condenar a arguida no pagamento de uma coima de € 6.600,00, resultante do cúmulo jurídico entre duas coimas de € 5.000,00:
- uma por violação do n.º 3 do art. 6.º do D.L. n.º 65/2021, de 30 de Julho, conjugado com os nºs. 3 e 4 do art. 4.º do Regulamento n.º 183/2022, de 21 de Fevereiro;
- outra por violação do art. 8.º do citado D.L. n.º 65/2021, conjugado com o art. 5.º do mesmo Regulamento.
No recurso de contra-ordenação n.º 37/24.4T8MLG, a correr termos no Juízo de Competência Genérica de Melgaço, Comarca de Viana do Castelo, interposto pela arguida, após a realização de audiência de julgamento[1], foi proferida sentença que declarou a nulidade insanável da decisão administrativa recorrida, revogando-a, e determinou o arquivamento dos autos, por violação do princípio da tipicidade (arts. 1.º e 2.º do D.L. n.º 433/82, de 27 de Outubro, ex vi art. 28.º da Lei n.º 46/2018, de 13 de Agosto).
Inconformado com essa decisão judicial, recorreu o Ministério Público, apresentando as seguintes conclusões[2]:
«(…) 2. Na decisão da entidade administrativa, o Coordenador do Centro Nacional de Cibersegurança imputa à Câmara Municipal ..., a violação da obrigação de não ter elaborado e comunicado ao Centro Nacional de Cibersegurança a lista de ativos, nos termos do artigo 6.º do Decreto-Lei n.º 65/2021, de 30 de julho, e de não ter elaborado e comunicado ao Centro Nacional de Cibersegurança o relatório anual, nos termos do artigo 8.º do Decreto-Lei n.º 65/2021, de 30 de julho. (…)
5. A questão que se coloca é a seguinte: A elaboração e a manutenção de um plano de segurança atualizado, devidamente documentado e assinado pelo responsável de segurança (artigo 7.º da Lei n.º 65/2021 de 31 de julho) e a elaboração de um relatório anual que é remetido ao Centro Nacional de Cibersegurança (artigo 8.º da Lei n.º 65/2021 de 31 de julho) não são, por si só, medidas técnicas e organizativas que se destinam a gerir riscos? Parece-nos que sim.
6. É certo que no artigo 23.º, n.º 1 da Lei n.º 46/2018, de 13 de Agosto não se encontra expressamente referida a violação dos artigo 6.º e 8.º do Decreto-Lei n.º 65/2021, de 30 de julho, como constituindo infrações muito graves, porém, a violação destes artigos cabe na previsão dos artigos 14.º e 16.º da Lei n.º 46/2018, de 13 de Agosto, estes sim, expressamente previstos no artigo 23.º, n.º 1, alínea a), do mesmo diploma legal.
7. Prescreve o artigo 31.º da Lei n.º 46/2018, de 13 de Agosto que “os requisitos de segurança previstos no artigo 14.º e no artigo 16.º são definidos em legislação própria no prazo de 150 dias após em entrada em vigor da presente lei.” o que significa que os artigos 14.º e 16.º da Lei n.º 46/2018, de 13 de Agosto, são normas penais em branco, não integram qualquer obrigação em concreto e precisam de ser necessariamente complementadas com as regras definidas no Decreto-lei n.º 65/2021, de 30 de julho.
8. Chama-se ainda à colação o disposto no artigo 21.º do Decreto-Lei n.º 65/2021, de 30 de julho que reza que “Às infrações ao disposto no presente decreto-lei é aplicável o regime sancionatório previsto no Regime Jurídico da Segurança do Ciberespaço aprovado pela Lei n.º 46/2018, de 13 de agosto.”. Assim, decorre de tal artigo que qualquer violação às normas estipuladas naquele diploma (nomeadamente os artigos 6.º e 8.º ora em apreço) é punida através do artigo 23.º da Lei n.º 46/2018, de 13 de agosto.»
Pugna o recorrente pela revogação da sentença.
O recurso foi admitido.
O Município ... apresentou resposta, com as seguintes conclusões:
«A. Perscrutadas as normas identificadas na decisão recorrida e os diplomas em que estão inseridas, verifica-se que o não cumprimento das obrigações legais em causa não se encontra tipificado como contraordenação.
B. Nenhum dos diplomas citados tipifica como contraordenação, com o mínimo de conteúdo, a violação do artigo 6º e do artigo 8º do Decreto-Lei n.º 65/2021, de 30 de julho.
C. E ainda, nenhuma das normas citadas na decisão qualifica a violação das obrigações constantes daqueles dispositivos como infração muito grave, conforme faz a decisão recorrida, e nem sequer como infração grave.
D. Assim, conclui-se as não existe norma que tipifique as condutas em causa como contraordenação, em violação do princípio da legalidade e tipicidade, pelo que a decisão recorrida viola o disposto no 29.º/1 da CRP e o artigo 2º do RGCO, e, nessa medida, é nula.»
Conclui defendendo a improcedência do recurso e a manutenção da decisão sindicada.
Nesta Relação, o Senhor Procurador-Geral Adjunto sufraga a motivação e conclusões do recurso, sendo de parecer que este deve ser julgado procedente.
Cumprido o contraditório, não foi dada resposta ao parecer.
Colhidos os vistos, realizou-se a conferência.
II – FUNDAMENTAÇÃO
A. Delimitação do objecto do recurso
Nos termos do art. 412.º do Código de Processo Penal, e face às conclusões do recurso, a única questão a resolver é se a decisão administrativa violou o princípio da tipicidade.
B. Sentença recorrida[3]
1. Factos provados
«1) A 11 de Novembro de 2022, foi expedida missiva para a Câmara Municipal ... informando que não havia procedido à elaboração e comunicação, até 31 de Janeiro de 2022, ao Centro Nacional de Cibersegurança, da lista de ativos e do relatório anual, autorizando esta entidade o cumprimento das referidas obrigações até 15 de Janeiro de 2023.
2) A 31 de Janeiro de 2023 foi elaborado auto de notícia, uma vez que, até esta data, a recorrente não remeteu, para o endereço de correio eletrónico ..........@....., a lista de ativos e o relatório anual.»
2. Fundamentação de direito
«Decorre da decisão administrativa que a recorrente não cumpriu as seguintes obrigações nos prazos previstos:
- Elaboração e comunicação ao Centro Nacional de Cibersegurança de lista de ativos (artigo 6.º do Decreto-Lei n.º 65/2021, de 30 de Julho), no prazo estabelecido no n.º 2 do artigo 22.º do mesmo diploma (ou seja, 31/01/2022);
- Elaboração e comunicação ao Centro Nacional de Cibersegurança de relatório anual (artigo 8.º do Decreto-Lei n.º 65/2021, de 30 de Julho), no prazo estabelecido no n.º 2 do artigo 22.º do mesmo diploma (ou seja, 31/01/2022).[4] (…)
O Decreto-Lei n.º 65/2021, de 30 de Julho regulamenta o Regime Jurídico da Segurança do Ciberespaço e define as obrigações em matéria de certificação da cibersegurança em execução do Regulamento (UE) 2019/881 do Parlamento Europeu, de 17 de abril de 2019. (…)
Percorrendo o quadro normativo aplicado pela entidade administrativa, o artigo 6.º, n.º 3, do Decreto-Lei n.º 65/2021, de 30 de Julho, prevê: «As entidades devem comunicar ao CNCS a lista dos ativos constantes do inventário, com a informação que venha a ser determinada nos termos do número anterior, com a seguinte periodicidade:
a) Na sua versão inicial, no prazo de 20 dias úteis a contar da data de início de atividade;
b) Numa versão atualizada, anualmente, a ser entregue em conjunto com o relatório anual a que se refere o artigo 8.º.»
E o art. 8.º do mesmo diploma legal prevê:
«1 - As entidades devem elaborar um relatório anual que, em relação ao ano civil a que se reporta, contenha os seguintes elementos: (…)
2 - As entidades devem remeter o relatório anual ao CNCS, devidamente assinado pelo responsável de segurança, nos seguintes termos:
a) Relativamente ao primeiro relatório anual:
i) Até ao último dia útil do mês de janeiro do ano civil seguinte ao primeiro ano civil de atividade, quando esta tenha tido início no primeiro semestre;
ii) Até ao último dia útil do mês de janeiro do segundo ano civil seguinte ao primeiro ano civil de atividade, quando esta tenha tido início no segundo semestre;
b) Relativamente aos relatórios subsequentes anuais, até ao último dia útil do mês de janeiro do ano civil seguinte aos quais os mesmos se reportam.
3 - Para efeitos do disposto na subalínea ii) da alínea a) do número anterior, o relatório anual deve abranger todo o período entre a data de início de atividade e o final do ano civil anterior.
4 - Para efeitos do disposto no presente artigo, o CNCS pode definir o formato em que a informação deve ser apresentada.
5 - As entidades reguladoras e as entidades com poderes de supervisão sobre os setores e subsetores identificados no anexo ao Regime Jurídico da Segurança do Ciberespaço, remetem ao CNCS os relatórios considerados equivalentes nos termos do artigo 18.º, quando tal resulte de instrução complementar emitida pelo CNCS, em articulação com as entidades reguladoras e de supervisão acima referidas.»
No que concerne ao regime sancionatório, reza o artigo 21.º do Decreto-Lei n.º 65/2021, de 30 de Julho: «1 - Às infrações ao disposto no presente decreto-lei é aplicável o regime sancionatório previsto no Regime Jurídico da Segurança do Ciberespaço aprovado pela Lei n.º 46/2018, de 13 de agosto.
2 - Constitui contraordenação punível com coima de (euro) 1000,00 a (euro) 3740,98, no caso de pessoa singular, ou de (euro) 5000,00 a (euro) 44 891,81, no caso de pessoa coletiva, a prática das seguintes infrações:
a) A utilização de marca de certificação da cibersegurança inválida, caducada ou revogada;
b) A utilização de expressão ou grafismo que expressa ou tacitamente sugira a certificação da cibersegurança de produto, serviço ou processo que não seja certificado;
c) A omissão dolosa de informação ou a prestação de falsa informação que seja relevante para o processo de certificação da cibersegurança que se encontre em curso, nos termos definidos em cada esquema de certificação.
3 - Sem prejuízo das competências atribuídas a outras entidades em razão da matéria, às contraordenações previstas no número anterior aplica-se o disposto nos artigos 21.º e 25.º a 28.º do Regime Jurídico da Segurança do Ciberespaço.». (…)
Focando a nossa atenção, agora, na Lei n.º 46/2018, de 13 de Agosto, este diploma legal estabelece o regime jurídico da segurança do ciberespaço, transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.
E discorre, no capítulo IV, sobre a fiscalização e as sanções a aplicar pelo Centro Nacional de Cibersegurança (vide artigos 21.º a 28.º).
O artigo 23.º, n.º 1, refere: “Constituem infrações muito graves:
a) O incumprimento da obrigação de implementar requisitos de segurança tal como previsto nos artigos 14.º, 16.º e 18.º;
b) O incumprimento de instruções de cibersegurança emitidas pelo Centro Nacional de Cibersegurança tal como previsto no n.º 5 do artigo 7.º
2 - As contraordenações referidas no número anterior são punidas com coima de (euro) 5000 a (euro) 25 000, tratando-se de uma pessoa singular, e de (euro) 10 000 a (euro) 50 000, no caso de se tratar de uma pessoa coletiva.”
Acrescenta o n.º 2 que “as contraordenações referidas no número anterior são punidas com coima de (euro) 5000 a (euro) 25 000, tratando-se de uma pessoa singular, e de (euro) 10 000 a (euro) 50 000, no caso de se tratar de uma pessoa coletiva.”
Os artigos 14.º, 16.º e 18.º densificam os requisitos de segurança para a Administração Pública e operadores de infraestruturas críticas, operadores de serviços essenciais e prestadores de serviços digitais, sendo que, no caso da recorrente, terá aplicação o disposto no artigo 14.º, que estipula:
“1 - A Administração Pública e os operadores de infraestruturas críticas devem cumprir as medidas técnicas e organizativas adequadas e proporcionais para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam.
2 - As medidas previstas no número anterior devem garantir um nível de segurança adequado ao risco em causa, tendo em conta os progressos técnicos mais recentes.
3 - A Administração Pública e os operadores de infraestruturas críticas tomam as medidas adequadas para evitar os incidentes que afetem a segurança das redes e dos sistemas de informação utilizados e para reduzir ao mínimo o seu impacto.”
Por sua vez, o artigo 7.º, n.º 5, concretiza que “O Centro Nacional de Cibersegurança tem o poder de emitir instruções de cibersegurança e de definir o nível nacional de alerta de cibersegurança.”
São classificadas como infrações graves, punidas com coima de (euro) 1000 a (euro) 3000, tratando-se de uma pessoa singular, e de (euro) 3000 a (euro) 9000, no caso de se tratar de uma pessoa coletiva, as seguintes (vide artigo 24.º):
a) O incumprimento da obrigação de notificar o Centro Nacional de Cibersegurança dos incidentes tal como previsto nos artigos 15.º, 17.º e 19.º;
b) O incumprimento da obrigação de notificar o Centro Nacional de Cibersegurança do exercício de atividade no setor das infraestruturas digitais tal como previsto no n.º 3 do artigo 29.º;
c) O incumprimento da obrigação de notificar o Centro Nacional de Cibersegurança da identificação como prestador de serviços digitais tal como previsto no artigo 30.º
A negligência será, também, punível, com a implicação de que os limites mínimos e máximos das coimas serão reduzidos a metade, como preceitua o artigo 25.º da Lei n.º 46/2018, de 13 de Agosto.
Finalmente, o artigo 28.º expõe que “em matéria contraordenacional, em tudo o que não estiver previsto na presente lei, aplica-se o disposto no regime geral das contraordenações.»
É ainda mencionado pela entidade administrativa o Regulamento n.º 183/2022, de 21 de Fevereiro, que se subsume à instrução técnica relativa a comunicações entre as entidades e o Centro Nacional de Cibersegurança, e menciona, nos artigos 4.º e 5.º, o que deve ser incluído no inventário de ativos e de que modo deve ser comunicado o relatório anual.
Percorrendo o quadro normativo supra evidenciado e a decisão administrativa, é imputado à recorrente o incumprimento da elaboração e comunicação da lista de ativos e do relatório anual (cfr. artigos 6.º e 8.º do Decreto-Lei n.º 65/2021, de 30 de Julho).
Resulta evidente que a matéria em causa não encontra acolhimento em nenhuma das alíneas do n.º 2 do artigo 21.º do Decreto-Lei, pelo que se será aplicável a Lei n.º 46/2018, de 13 de Agosto, conforme remete o n.º 1.
Analisando, agora, a Lei n.º 46/2018, de 13 de Agosto, o incumprimento da comunicação da lista de ativos e do relatório anual não se inclui em nenhuma das situações vertidas no artigo 23.º, nº 1.
De facto, estas atividades não são requisitos de segurança adequados a gerir riscos, mas obrigações meramente formais, pelo que não terá aplicação o artigo 14.º.
Poderia equacionar-se que o conceito de requisitos de segurança terá de ser integrado pelas regras definidas pelo Decreto-Lei n.º 65/2021, de 30 de Julho, designadamente os artigos 9.º e 10.º, insertos no capítulo “Segurança das redes e dos sistemas de informação”.
Assim, considero que, quando o artigo 23.º da Lei n.º 46/2018, de 13 de Agosto aduz que constitui contraordenação muito grave o incumprimento da obrigação de implementar requisitos de segurança tal como previsto nos artigos 14.º, 16.º e 18.º, tal artigo 14.º remeterá somente para os artigos 9.º e 10.º do Decreto-Lei n.º 65/2021, ou seja, está em causa a análise dos riscos de âmbito parcial e global.
Para além do mais, não está em causa o incumprimento de instruções de cibersegurança, melhor explicadas no artigo 7.º, n.º 5, emitidas pela entidade administrativa especificamente para a recorrente.
E nada foi alegado pela entidade administrativa que pudesse subsumir-se a qualquer uma das situações assinaladas.
Deste modo, o disposto no artigo 23.º, n.º 1, da Lei n.º 46/2018, de 13 de Agosto não terá aplicação ao presente caso, o que determina a falta de sustentáculo legal para a aplicação de uma coima à recorrente, com o fundamento adotado pela entidade recorrente.
O mesmo sucede em relação ao artigo 24.º da Lei n.º 46/2018, de 13 de Agosto, pois os artigos para os quais remetem as três alíneas não são aplicáveis ao presente caso.
Nos termos do artigo 1.º do Decreto-Lei n.º 433/82, de 27 de outubro, constitui contraordenação todo o facto ilícito e censurável que preencha um tipo legal no qual se comine uma coima.
Acrescentando o artigo 2.º do mesmo diploma que só será punido como contraordenação o facto descrito e declarado passível de coima por lei anterior ao momento da sua prática, deste modo consagrando, no domínio do direito contraordenacional, os chamados princípios da legalidade, da tipicidade e da não retroatividade.
Face ao exposto, as contraordenações aplicadas à recorrente contrariam o princípio da tipicidade, previsto nos artigos 1.º, 2.º do Decreto-Lei n.º 433/82, de 27 de outubro e 29.º da Constituição da República Portuguesa, o que implicará a nulidade da decisão administrativa e o arquivamento dos autos, pois a nulidade é insanável.
Em face da decisão que se proferirá, julgo despiciendo o conhecimento das demais questões suscitas pela recorrente.»
C. Apreciação do recurso
Violação do princípio da tipicidade
Em consonância com a regra constitucional do art. 29.º, nºs. 1 e 3 – “Ninguém pode ser sentenciado criminalmente senão em virtude de lei anterior que declare punível a acção ou a omissão (…)” e “Não podem ser aplicadas penas (…) que não estejam expressamente cominadas em lei anterior” –, também as duas primeiras normas do D.L. n.º 433/82, de 27 de Outubro (que regula o ilícito de mera ordenação social, o Regime Jurídico das Contra-Ordenações)[5] estabelecem, respectivamente:
- o princípio da tipicidade (art. 1.º) – “Constitui contra-ordenação todo o facto ilícito e censurável que preencha um tipo legal no qual se comine uma coima.”; e
- o princípio da legalidade (art. 2.º) – “Só será punido como contra-ordenação o facto descrito e declarado passível de coima por lei anterior ao momento da sua prática.”
Já em 1982 Figueiredo Dias entendia “que se transportam para o direito das contra-ordenações as garantias constitucionalmente atribuídas ao direito penal, nomeadamente as resultantes dos princípios da legalidade e da aplicabilidade da lei penal mais favorável. Daqui decorre que (…) também no direito das contra-ordenações vale a proibição de aplicação analógica in malem partem e a exigência de tipicidade e consequente determinabilidade dos tipos.”[6]
O que está em causa nos autos é a omissão, por parte da Câmara Municipal ..., do cumprimento de duas obrigações legais junto do Centro Nacional de Cibersegurança:
- o envio da “lista de activos constantes do inventário” (a ser assinado pelo responsável de segurança) – cujo conteúdo é definido no Regulamento n.º 183/2022, de 21 de Fevereiro; e
- o relatório anual (referente às actividades em matéria de segurança de redes, incidentes, suas consequências e medidas tomadas após aqueles), descrito no art. 5.º do Regulamento n.º 183/2022 (este reúne um conjunto de normas de natureza operativa, não prevendo qualquer regime sancionatório, razão pela qual se mostra irrelevante para o que aqui se analisa).
Ambas as obrigações estão previstas no D.L. n.º 65/2021, de 30 de Julho (Regulamento do Regime Jurídico da Segurança do Ciberespaço[7]) – respectivamente, nos arts. 6.º (com a epígrafe “Inventário de activos”) e 8.º (“Relatório anual”)[8] –, enquanto esse Regime tinha sido estabelecido pela Lei n.º 46/2018, de 13 de Agosto[9].
Em termos de âmbito de aplicação, o desta última é mais alargado, já que se estende à Administração Pública, aos operadores de infra-estruturas críticas, aos operadores de serviços essenciais, aos prestadores de serviços digitais e a quaisquer outras entidades que utilizem redes e sistemas de informação, como decorre do seu art. 2.º, n.º 1, a) a e).
O D.L. restringe a sua aplicação às entidades previstas nas alíneas a) a d) desse art. 2.º, estando, por isso, incluída a Administração Pública (art. 2.º, n.º 1). Se dúvidas houvesse, a Lei (alínea c) do art. 2.º, n.º 2) esclarece que integram essa Administração as autarquias locais, como é o caso dos autos.
Ora, havendo infracções das normas aí previstas, o art. 21.º, n.º 1, do D.L. remete, como regra geral, para o regime sancionatório previsto na Lei – à excepção de três infracções, todas definidas no n.º 2 do mesmo artigo (e aqui irrelevantes, desde logo porque não foi tal norma invocada pela autoridade administrativa na aplicação das coimas, mas também porque o seu conteúdo, como decorre da respectiva leitura, nada tem a ver com as omissões apontadas à recorrida).
E, com esta remissão, apresenta-se o primeiro obstáculo à punibilidade dessas omissões: é uma norma absolutamente em branco, no sentido de não definir de forma clara o conteúdo da infracção. Ora, tendo-se destinado o D.L., nomeadamente, a estabelecer os requisitos de segurança previstos no art. 14.º, n.º 1 da Lei (conforme art. 31.º, n.º 1, desta), não pode depois limitar-se a remeter genericamente para o regime que ia concretizar, caindo numa petição de princípio.
É que, mesmo admitindo a jurisprudência (e a doutrina) a existência de normas em branco no ilícito de mera ordenação social, há duas condições: “que a norma sancionadora conste de lei ou decreto-lei autorizado e que a norma complementar tenha um carácter, apenas, concretizador, e não inovador, em relação à norma sancionadora”[10]. Em relação aos tipos contra-ordenacionais, “indispensável é que não obstem à determinabilidade objectiva das condutas proibidas e demais elementos de punibilidade requeridos.”[11]
Tal jurisprudência, citada pelo recorrente na sua motivação, indica um caminho diverso do traçado por este, como adiante se explicará.
Face à aludida remissão do art. 21.º do D.L., considerou a autoridade administrativa que a norma violada teria sido a do art. 23.º da Lei (sem sequer referir qual das alíneas do n.º 1 teve em conta).
Este enumera as infracções muito graves, que se reportam, face às duas alíneas do seu n.º 1:
- ao incumprimento da obrigação de implementar os requisitos de segurança dos arts. 14.º, 16.º e 18.º – alínea a);
- ou ao incumprimento de instruções de cibersegurança emitidas pelo respectivo Centro Nacional (art. 7.º, n.º 5) – alínea b).
Daqueles três, apenas o art. 14.º seria susceptível de aplicação ao caso concreto – tem como epígrafe “Requisitos de segurança para a Administração Pública e operadores de infra-estruturas críticas” –, já que os restantes se referem apenas aos “operadores de serviços essenciais”, definidos no art. 3.º, g), da Lei.
Ora, os requisitos de segurança não estão previstos nos arts. 6.º ou 8.º do D.L. – que se integram no capítulo das “Disposições comuns” – mas sim nos arts. 9.º e 10.º, conteúdo único do capítulo “Segurança das redes e dos sistemas de informação”.
Portanto, a concretização prevista no citado art. 31.º, n.º 1, da Lei ocorreu nestas duas últimas normas, e não naquelas cuja violação é imputada à autarquia recorrida, tal como se defendeu na sentença recorrida.
Daí que se imponha a conclusão de que à arguida não vem imputada a prática de nenhum acto enquadrável no art. 23.º, n.º 1, a), da Lei, uma vez que, na decisão administrativa, nada está escrito quanto a qualquer violação dos requisitos de segurança.
Têm de ser as normas – e não a autoridade administrativa – a dizer expressamente que as citadas omissões constituem incumprimento das regras de segurança e, por isso, geradoras de riscos (ao contrário do defendido pelo recorrente – conclusão 5). O regime legal tem de permitir “aos seus destinatários saber de antemão quais são as condutas proibidas e antecipar com segurança a sanção aplicável ao correspondente comportamento ilícito”[12], o que, como se constata da sistemática do D.L., não acontece nesta situação (aliás, até o recorrente reconhece que no citado art. 23.º, n.º 1, não está expressamente prevista a violação daqueles arts. 6.º e 8.º – conclusão 6).
Resolvida a questão da alínea a) do art. 23.º, n.º 1, da Lei, no sentido da sua inaplicabilidade ao caso, a mesma conclusão se impõe no que diz respeito à sua alínea b): é que o art. 7.º, n.º 5, da Lei refere-se a “instruções de cibersegurança” e definição do “nível nacional de alerta de cibersegurança”, o que não é confundível com os (escassos) factos dos autos – o que a autoridade administrativa fez foi mandar uma carta à recorrida «informando que não havia procedido à elaboração e comunicação, até 31 de Janeiro de 2022, ao Centro Nacional de Cibersegurança, da lista de ativos e do relatório anual, autorizando esta entidade o cumprimento das referidas obrigações até 15 de Janeiro de 2023».
Ora, não obstante ser obrigação legal da recorrida elaborar e enviar ambos os documentos à autoridade administrativa, mostra-se impossível considerar que aquela informação e autorização seja uma instrução de cibersegurança, no sentido do citado art. 7.º, n.º 5 (dada, mais uma vez, a formulação vaga que a Lei utiliza).
Faltando o preenchimento de alguma das alíneas do art. 23.º, n.º 1, da Lei, estava a autoridade administrativa impedida de aplicar à recorrida as coimas previstas no n.º 2, por violação do princípio da tipicidade.
Teve ainda a Mm.ª Juiz a quo o cuidado de referir a não aplicabilidade ao caso do art. 24.º da Lei (que, note-se, a autoridade administrativa não invocou na aplicação das coimas); e com razão, porquanto as três alíneas do seu n.º 1 (que definem as infracções graves) reportam-se a obrigações de notificação ao Centro Nacional de Cibersegurança (de incidentes com impacto relevante na segurança das redes e dos sistemas de informação – art. 15.º –, conforme alínea a), a única susceptível de aplicação subjectiva à Administração Pública, porquanto a alínea b) aponta para o exercício de actividade no sector das infra-estruturas digitais e a alínea c) para os prestadores de serviços digitais).
Não existem na Lei – nem foram chamadas à colação pela autoridade administrativa – quaisquer outras normas sancionatórias.
Aqui chegados, não pode deixar de se concordar com o entendimento da Mm.ª Juiz a quo, por falta de tipificação de conduta contra-ordenacional da recorrida e respectiva sanção. Ou seja, a autoridade administrativa partiu de uma obrigação legal e classificou a sua violação como contra-ordenação; se tal não fosse já contra a letra da lei, ainda a qualificou como muito grave, subsumindo-a ao quadro sancionatório mais grave previsto nos diplomas legais em causa. Tudo isso sem suporte nas normas relevantes.
Sem tipo legal incriminador, não há contra-ordenação – conforme o princípio da tipicidade – e não poderia a autoridade administrativa aplicar coimas à recorrida (que pressupõe o cumprimento do princípio da legalidade).
Assim, nada há a censurar à sentença recorrida, estando o recurso destinado ao insucesso, sem necessidade de mais considerações.
III - DISPOSITIVO
Face ao exposto, acordam os Juízes na Secção Penal do Tribunal da Relação de Guimarães em julgar improcedente o recurso interposto pelo Ministério Público, confirmando integralmente a sentença recorrida.
Sem custas, pela isenção do recorrente.
Guimarães, 10 de Março de 2026
(Processado em computador e revisto pela relatora)
(Processado em computador e revisto pela relatora)
Os Juízes Desembargadores
Cristina Xavier da Fonseca
Anabela Varizo Martins
António Teixeira
[1] Suprida que se mostra a nulidade detectada na decisão sumária da aqui relatora (ref.ª ...49).
[2] Não se reproduzem a primeira, terceira e quarta conclusões, por reproduzirem extractos decisórios da autoridade administrativa e da sentença; mantêm-se os destaques de origem, tal como nas demais peças processuais transcritas.
[3] No extracto relevante para o recurso.
[4] Segue-se a descrição das coimas, já supra referidas.
[5] Adiante designado pelo acrónimo RGCO.
[6] O Movimento da Descriminalização e o Ilícito de Mera Ordenação Social, in Jornadas de Direito Criminal, CEJ, Fase I, publicado em Abril de 1983, pág. 330.
[7] Doravante designado apenas por “D.L.”, por facilidade de exposição.
[8] Supra transcritos em B.2., tal como as demais normas relevantes para o caso.
[9] Adiante indicado simplesmente como “Lei”.
[10] Ac. Rel. Lisboa de 29.11.11, in https://jurisprudencia.csm.org.pt/ecli/ECLI:PT:TRL:2011:773.10.2TYLSB.L1.5.D9/.
[11] Ac. Rel. Guimarães de 1.12.14, in https://jurisprudencia.csm.org.pt/ecli/ECLI:PT:TRG:2014:7469.13.1TBBRG.G1.78/.
[12] Ac. Rel. Coimbra de 8.10.25, in https://jurisprudencia.csm.org.pt/ecli/ECLI:PT:TRC:2025:23.25.7T9PNI.C1.28/.