Uma publicação ASSOCIAÇÃO PORTUGUESA DE SEGURANÇA
N.º 33
JANEIRO – MARÇO DE 2018
6,00 € PORTAS RESISTENTES AO FOGO — A BARREIRA SEGURA CONTRA O INCÊNDIO Função, boas práticas e erros a evitar. Conheça as várias portas existentes e quais os elementos que as constituem.
INTRODUÇÃO AO ADR — CISTERNAS Regras de segurança que evitam acidentes no transporte rodoviário de matérias perigosas.
EXPOSIÇÃO OCUPACIONAL A SUBSTÂNCIAS PERIGOSAS — CUMPRIMENTO DE DISPOSIÇÕES LEGAIS Complementaridade entre o Regulamento REACH e a legislação específica de Segurança e Saúde no Trabalho.
GRANDE ENTREVISTA Coordenador do Centro Nacional de Cibersegurança
Proteção de dados pessoais e cibersegurança. ALTERAÇÕES A APLICAR E O IMPACTO NA EMPRESA E COLABORADORES COM A ENTRADA EM VIGOR DO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS, A PARTIR DE DIA 25 DE MAIO
PUB
Maria João Conde
editorial Precisamos de mais fiscalização para poder assegurar que as pessoas estão seguras Portugal é internacionalmente reconhecido como um Estado progressista em matéria de legislação. Portugal foi o primeiro Estado no mundo a prever a abolição da pena de morte na Lei Constitucional, há 150 anos atrás, o segundo a abolir a escravatura, em 1761, e foi também pioneiro na adoção da escolaridade obrigatória. Não nos falta capacidade para antecipar tendências e de contemplar tudo em legislação bem elaborada. Então porque é que temos a sensação que esta não é aplicada? O caso da escolaridade obrigatória é ilustrativo do nosso modus operandi. Foi adotada em 1844, mas na década de 60 continuávamos a ter 20% de analfabetos em Portugal devido à ineficácia em implementar o que está consagrado na legislação. No mercado da Segurança existe um generalizado consenso de que a legislação de segurança, do ponto de vista da segurança e saúde do trabalhador, da segurança privada e da segurança contra incêndio em edifícios é adequada, salvaguarda os valores e princípios do Estado, protege os cidadãos e regula as atividades económicas. Contudo, os vários e terríveis acidentes e incidentes recentemente ocorridos no nosso País provam a ineficácia do Estado em garantir a sua aplicação.
O que é que o Estado não faz e não pode deixar de fazer? Divulgação da legislação e, principalmente, fiscalização. De acordo com o Código Civil, “A ignorância ou má interpretação da lei não justifica a falta do seu cumprimento nem isenta as pessoas das sanções nela estabelecidas”. Instituições, como a APSEI, muito têm feito em prol da divulgação das obrigatoriedades legais de segurança. Mas o Estado também pode colaborar, verdade? Se, em algumas áreas da Segurança, encontramos instituições com uma dinâmica interessante de divulgação, outras passam anos sem que se oiça falar nelas. O exemplo do responsável de segurança dos edifícios é paradigmático: tem como principais obrigações garantir a manutenção das condições de segurança contra risco de incêndio dos edifícios, através da implementação das medidas de autoproteção aprovadas, e solicitar à Autoridade Nacional de Proteção Civil (ANPC) a realização de inspeções regulares aos edifícios, mas poucas pessoas sabem que são responsáveis de segurança. Porquê? Desconhecimento. É, por isso, que saudamos a recente iniciativa do Governo, após muitas recomendações da APSEI, da realização de uma campanha de divulgação e informação sobre o regime jurídico da segurança contra incêndios em edifícios. Agora a fiscalização: distantes da cultura de responsabilidade civil anglo-saxónica, a nossa motivação para o respeito pelas regras rege-se mais por estratégias de dissuasão. Sem uma fiscalização consistente e constante, que ocasionalmente resulte em sanções e coimas, dificilmente a legislação é cumprida. Os incêndios florestais de junho e outubro passados e o incêndio urbano em Tondela
tiveram múltiplas causas, entre as quais a falta de fiscalização por parte do Estado. Tenha um cariz mais orientador ou mais punitivo, a fiscalização não pode deixar de acontecer e é o meio que dá mais garantias para o cumprimento da legislação. O reduzido compromisso do Estado português com a fiscalização começa até a ser visível do exterior. O relatório do Comité Europeu dos Direitos Sociais do Conselho da Europa estranhou que apenas 44.814 trabalhadores (menos 67,3% de 2012 para 2015) tenham estado envolvidos em ações de inspeção na área da saúde ocupacional e segurança no trabalho. Precisamos de mais fiscalização para poder assegurar que as pessoas estão seguras nos seus locais de trabalho e de lazer e também para regular a atividade económica e a concorrência. As empresas que cumprem com as obrigações legais de segurança acabam por ser prejudicadas no mercado face a concorrentes que não cumprem com os requisitos legais. Não temos por hábito criticar condutas sem colaborar na construção de soluções. A divulgação das boas práticas da prevenção e segurança tem sido assumida pela APSEI com um espírito de missão. A página web da APSEI confunde-se com um site de um organismo da Administração Pública e as centenas de eventos que temos realizado nos últimos 14 anos demonstram o empenho da associação em levar as normas e os preceitos da prevenção e segurança aos profissionais e cidadãos. Já do ponto de vista da regulação do mercado, a APSEI implementou alguns mecanismos de autorregulação através da certificação de alguns serviços de segurança. Mas “o seu a seu dono” e a fiscalização é uma responsabilidade do Estado. V
Direção Maria João Conde Coordenação Joana Marques Colaboradores Residentes Ana Ferreira, Bruno Pinto, João Carvalho, Luís Pires, Mélanie Cuendet, Rui Bragança, Sofia Quintas Colaboradores neste número Ana Fernandes, Filipe Pereira, Inês Antas de Barros, João Costa, Jorge Vicente, José Gonçalves, Manuel Rebelo, Marco Miguel, Teresa Almeida Edição e Propriedade APSEI – Associação Portuguesa de Segurança Publicidade João Carvalho Redação, Edição e Publicidade Rua Cooperativa A Sacavenense n.º 25, C/F, 2685-005 – Sacavém, Tel +351 219 527 849 | Fax +351 219 527 851, e-mail proteger@ apsei.org.pt, www.apsei.org.pt/proteger Fotografia Joana Marques, Rui Bragança, Shutterstock Projeto Gráfico e Paginação José Mendes Edição de Imagem Eduardo Pulido Impressão Gráfica Central Almeirim Periodicidade Trimestral Tiragem 4500 exemplares Registo ERC 126 538 Depósito Legal 284 212/08 ISSN 1647-1288 /// Os artigos assinalados e as opiniões expressas são da exclusiva responsabilidade dos seus autores e não refletem, necessariamente, as posições e opiniões da Associação Portuguesa de Segurança. Consulte o nosso Estatuto Editorial disponível em www.apsei.org.pt/proteger/estatuto-editorial/
proteger JANEIRO | MARÇO 2018
01.
JUNTOS CHEGAMOS MAIS LONGE.
ESTAMOS MAIS ABRANGENTES, CRIAMOS MAIS SEGURANÇA. Para melhor representar e promover a segurança de pessoas e bens, a APSEI reúne empresas de segurança de diferentes áreas (proteção contra incêndio, segurança eletrónica e segurança no trabalho), técnicos individuais e entidades/empresas que reconhecem o caráter estratégico da segurança. Faça parte desta comunidade de segurança e associe-se à APSEI.
ASSOCIE-SE EM www.apsei.org.pt
n.º
33
JANEIRO MARÇO 2018
índice
04
14
EM DESTAQUE
FORMAÇÃO APSEI
APSEI | ASSOCIADOS | SETOR
P&R | AGENDA | EM FOCO
10
NOTÍCIAS
10
PUBLICADO NOVO MODELO DE PARTICIPAÇÃO DE ACIDENTES DE TRABALHO ALTERAÇÃO À MARCAÇÃO CE DE PORTAS RESISTENTES AO FOGO EM ANÁLISE
12
APA PUBLICA GUIA DE APOIO À CLASSIFICAÇÃO DE RESÍDUOS
18
CURSO DE GESTÃO DE SEGURANÇA CONTRA INCÊNDIO DE EDIFÍCIOS HOTELEIROS
Jorge Vicente A adoção de estratégias que sensibilizem os colaboradores para a segurança das redes e dos sistemas de informação da organização.
20
21
As medidas mais adequadas no tratamento de dados pessoas de acordo com o novo RGPD.
49
INTRODUÇÃO AO ADR – CISTERNAS Manuel Rebelo
PORTAS RESISTENTES AO FOGO – A BARREIRA SEGURA CONTRA O INCÊNDIO Luís Pires
PROTEÇÃO DE DADOS PESSOAIS E CIBERSEGURANÇA
A SEGURANÇA E A PROTEÇÃO DOS DADOS PESSOAIS
46
COMPATIBILIDADE ELETROMAGNÉTICA – A DIRETIVA CEM Bruno Pinto
52
CAPA
Inês Antas de Barros PLATAFORMA EUROPEIA SOBRE TRABALHO NÃO DECLARADO
28
CONSCIENCIALIZAR OS COLABORADORES PARA A CIBERSEGURANÇA
33
55
GRANDE ENTREVISTA
LEGISLAÇÃO
“AS PESSOAS FAZEM ANÁLISES DE RISCO PARA BALIZAR O SEU COMPORTAMENTO E A SEGURANÇA, INFELIZMENTE, É ALGO QUE DESCURAMOS” Mª João Conde & Joana Marques
NOVO REGULAMENTO DOS EQUIPAMENTOS SOB PRESSÃO Ana Ferreira
Entrevista ao Coordenador do CNCS – Centro Nacional de Cibersegurança sobre as ciberameaças que nos rodeiam e a adaptação ao RGPD.
40
58 NORMALIZAÇÃO EQUIPAMENTOS DE CONTROLO E SINALIZAÇÃO DE ALARME DE VOZ APSEI Entrevista a José Gonçalves, vogal da CT46
INFORMAÇÃO TÉCNICA
24
EM VÉSPERAS DA APLICAÇÃO DO RGPD – COMO GARANTIR A CONFORMIDADE Filipe Pereira Quais as novidades do novo regulamento, os desafios da sua adaptação e as melhores práticas a aplicar. Uma publicação da
ASSOCIAÇÃO PORTUGUESA DE SEGURANÇA
40
EXPOSIÇÃO OCUPACIONAL A SUBSTÂNCIAS PERIGOSAS - CUMPRIMENTO DE DISPOSIÇÕES LEGAIS Teresa Almeida & Ana Fernandes
43
ISO 45001 – REFERENCIAL INTERNACIONAL DOS SISTEMAS DE GESTÃO DA SEGURANÇA E SAÚDE NO TRABALHO João Carlos Costa
proteger JANEIRO | MARÇO 2018
59 PRODUTO
62 APSEI RESPONDE
63 FICHA TÉCNICA APSEI N.º59 — SISTEMAS DE CONTROLO DE ACESSOS 03.
— EM DESTAQUE
// agenda
// notícias apsei
EVENTOS APSEI 9
MAI
Eficiência Tecnológica num Mundo 4.0 Lispolis – Lisboa
23 MAI
34.º Fórum APSEI Algarsafe Portimão
SUBMISSÃO DE TRABALHOS PARA AS INICIATIVAS APSEI MAI
Open Day APSEI Segurança Eletrónica – O futuro do Security em Portugal Sede da APSEI – Sacavém
EVENTOS DO SETOR 12
ABR
Fire Safety in Tunnels Conference Amsterdão, Holanda
18
ABR
Modos de falha em Equipamentos Industriais – Corrosão e Desgaste Sede da APMI, Lisboa
23 MAI
24 MAI
25 MAI
ALGARSAFE Portimão
13
JUN
14
Encontra-se a decorrer, até dia 8 de abril, a segunda fase de submissão de trabalhos para apresentação nas várias iniciativas da APSEI. Com o objetivo de promover o conhecimento e sabendo que entre os seus mais de 500 associados se encontram alguns dos maiores especialistas de segurança nas respetivas áreas de atividade, a APSEI continua a promover, em 2018, eventos e oportunidades de comunicação que permitam às empresas e profissionais de segurança tomarem conhecimento das novas circunstâncias tecnológicas, normativas e regulamentares. As apresentações e artigos técnicos enviados podem encaixar-se nos Debates Segurança 360º, realizados no âmbito das reuniões dos Núcleos de Atividade da APSEI; nos Fóruns e Conferências organizadas pela APSEI; e na revista Proteger. O regulamento de participação pode ser consultado em http://bit.ly/ regulamento_submissao_ trabalhos. Até ao final do ano haverá, ainda uma terceira fase, entre 2 de junho e 24 de junho. V
JUN
Fire Sprinkler International 2018 Radisson Blu Waterfront, Stockholm
19
JUN
20 JUN
IFSEC 2018 Excell, Londres
04.
21
EFICIÊNCIA TECNOLÓGICA NUM MUNDO 4.0
JUN
A APSEI junta-se à APFM e à APMI na organização do evento Eficiência Tecnológica num Mundo 4.0 (ETM 4.0), no próximo
dia 9 de maio, no LISPOLIS – Auditório do Fórum Tecnológico. O ETM 4.0 irá abordar as grandes vantagens da “Indústria 4.0” (I4.0) ou “Internet das Coisas” (IoT); a importância da resposta adequada aos requisitos da evolução proporcionada pela IoT; as técnicas, tecnologias e metodologias relacionadas com a IoT; e ainda a relação da IoT com a Gestão, a Manutenção e a Segurança. Destinado a empresas e profissionais de toda a cadeia de valor da gestão, manutenção e segurança; utilizadores de sistemas e equipamentos com tecnologia relacionada com a IoT; e comunidade científica e ensino, este evento é uma excelente oportunidade para os participantes aprofundarem conhecimentos e trocarem experiências entre si. V APSEI MARCA PRESENÇA NOS MEIOS DE COMUNICAÇÃO SOCIAL No passado mês de janeiro, Tondela foi afetada por um incêndio na Associação Cultural, Recreativa e Humanitária de Vila Nova da Rainha. No seguimento deste incêndio, cuja origem esteve numa salamandra, vários meios contactaram a APSEI para esclarecimentos técnicos sobre Segurança Contra Incêndio. A APSEI foi ainda convidada para alguns programas a fim de partilhar conselhos sobre Medidas de Autoproteção e as melhores práticas na utilização de sistemas de aquecimento em espaços fechados. Conheça as intervenções da associação em www.apsei.org. pt/apsei/o-que-temos-feito. V OPEN DAY APSEI 2018 PROTEÇÃO CONTRA INCÊNDIO A APSEI realizou, no passado dia 7 de março, o primeiro Open Day APSEI’18. Dedicado à Proteção Contra Incêndio, este evento versou-se sobre as
// associados
Obrigatoriedades de Segurança contra Incêndio em Edifícios e contou com a participação de mais de 139 pessoas. Durante o evento foram abordados temas como a marcação CE, certificação de Produto, as regras de boas práticas de instalação e colocação em serviço de sistemas de proteção contra incêndio, obrigações aplicáveis a soluções de proteção passiva contra incêndio, obrigatoriedades aplicáveis aos vários intervenientes da cadeia de valor da segurança contra incêndio e medidas de autoproteção. O evento contou com a presença de José Oliveira, Diretor Nacional da ANPC, responsável por uma breve intervenção institucional. V
APSEI FAZ PRIMEIRA DEMONSTRAÇÃO PRÁTICA DAS NOVAS OFICINAS No passado dia 7 de março, foi feita a primeira Demonstração Prática das Novas Oficinas da APSEI. Consciente das necessidades do setor, no referente às valências técnicas dos profissionais da segurança contra incêndio, a APSEI propôs-se a constituir aquela que é a primeira oficina prática de segurança contra incêndio em Portugal, da qual fazem parte uma oficina de sistemas de extinção de incêndios, uma oficina de manutenção de extintores e ainda um parque didático de proteção passiva contra incêndio e segurança eletrónica. V
GRUPO BERNARDO DA COSTA CRESCEU 40% EM 2017
2017 foi um ano de consolidação da presença do grupo Bernardo da Costa no setor da distribuição da segurança eletrónica através de um crescimento de 40% graças à aquisição de duas empresas: DIID Portugal e AVPRO. O Grupo obteve em 2017 um volume de negócios global de 32.5 milhões de euros, 17.8 milhões respetivos a Portugal, tendo a área de distribuição de equipamentos de segurança registado um total de 16.9 milhões de euros. V
DAHUA APRESENTOU OS SEUS PRODUTOS E SOLUÇÕES MAIS RECENTES NA SICUR 2018
Entre 20 e 23 de fevereiro, a Dahua apresentou os seus produtos de topo série HDCVI 4.0 na SICUR 2018, Madrid. Ao longo dos quatro dias da feira, a Dahua organizou seis apresentações sobre vários tópicos para mostrar uma inovadora solução de serviços e foco em todos os temas mais em voga na sociedade de hoje, como os conceitos de cidade inteligente, segurança de dados e tráfego inteligente. V
ET CERTIFICADA COMO SERVICE PARTNER 3M™
A ET, Lda. tornou-se um distribuidor certificado Service Partner da 3M™, inserindo-se no programa de serviços de revisão e manutenção preventiva para equipamentos de proteção respiratória da marca. Com o intuito de ampliar a sua parceria com a 3M™ e de assegurar uma suplementar segurança aos trabalhadores, a ET desenvolve todas as tarefas relacionadas com a manutenção preventiva proteger JANEIRO | MARÇO 2018
e a revisão de equipamentos motorizados e de ar assistido, máscaras e meias máscaras reutilizáveis 3M™. A correta conservação e manutenção dos equipamentos de proteção respiratória é essencial para a sua eficácia e a ET dispõe de serviços de revisão, higienização e limpeza, manutenção preventiva, substituição de acessórios de desgaste, calibração dos equipamentos, entre outros. V 05.
— EM DESTAQUE
CONTERA REPRESENTA MARCAS EKEY, POLITEC, PASO, EVAC E GENIUS
A Contera afirma-se como um distribuidor de soluções nas áreas de intercomunicação, segurança eletrónica e redes estruturadas. Por forma a dar aos seus clientes as melhores soluções, a Contera irá distribuir em Portugal as marcas EKEY – acesso de controlo biométrico que integra com a Comelit, representada pela Contera na área de intercomunicação; a Politec – deteção perimetral; a Paso – soluções completas de som ambiente, public address; a EVAC – compatível e já integrada com a INIM – sistemas de incêndio; e por fim, a Genius – marca pertencente à FAAC e que também integra com a Comelit. V
Website da KSB.
KSB CRIA WEBSITE DEDICADO A PROJETISTAS
A KSB lançou recentemente, dentro do seu website internacional, uma página da internet onde junta todas as ferramentas que ajudam os projetistas a realizarem os seus projetos, incluindo o seu software geral de seleção de bombas e válvulas, denominado EasySelect. Disponíveis no EasySelect estão os desenhos CAD, livros técnicos
sobre hidráulica, réguas de cálculo especializadas, aplicação para telemóvel de cálculo de poupanças energéticas na utilização de motores KSB IE5, dois softwares de seleção de bombas e válvulas, um específico para projetistas de Edifícios, denominado KSBase, e outro para projetistas de águas residuais. V
quer internacional, contando com clientes em mais de 20 países, espalhados por todos os continentes. Estes números espelham a confiança dos seus parceiros no trabalho da Previnave, motivando-a para enfrentar o
futuro ainda com mais confiança, sempre suportada nos valores que a guiaram até hoje: a aposta incondicional na qualidade e na inovação. A Previnave agradece a todos os que a ajudaram a alcançar esta marca. V
PREVINAVE COMEMORA 20 ANOS
NAUTA LIDERA MAIOR PROJETO EVAC IBÉRICO NO ALGARVE SHOPPING E IKEA O projeto acompanhado e liderado pela divisão Áudio da NAUTA, que devido à sua dimensão e complexidade testou e comprovou a capacidade da NAUTA, abrangeu uma área de construção de 85.000 m2, com 220 lojas além do IKEA, divididas pelo Mar Shopping e Outlet, no valor de 200 milhões de euros. O desafio envolveu mais de 2.100 altifalantes, mais de 200 amplificadores e mais de 40 sistemas integrados em rede, para assegurar um sistema de som ambiente e Evacuação BOSCH totalmente conforme a En54. V 06.
É com enorme orgulho que a Previnave comemora o seu vigésimo aniversário. Passados vinte anos, recheados de marcos e sucessos, a Previnave é hoje reconhecida como uma referência nas áreas onde opera, quer a nível nacional
UTC CONVIDADA PARA AS JORNADAS TÉCNICAS OET
A deteção de incêndios, através de Sistemas Automáticos de Deteção de Incêndio, é uma das ferramentas mais eficazes na deteção de um incêndio. De instalação obrigatória no âmbito da regulamentação de Segurança Contra Incêndios em Edifícios, esta não garante, por si só, uma proteção eficaz.
Este tema levou a UTC e OET Norte a realizarem em dezembro no Porto as Jornadas Técnicas “Deteção Automática de Fumos boas práticas para projeto, instalação e manutenção”, onde foram abordados o “Regulamento, as Normas e o Método Prescritivo”, o “Fumo como característica de um
proteger JANEIRO | MARÇO 2018
À esquerda, Eng.º Carlos Nobre, UTC, à direita, Eng.º António Fernandes, OET Norte
Fogo”, o “Modo de funcionamento dos Detetores”, “Testes e Convenções de Norma” e “Técnicas de Simulação de Fumos”. V
— EM DESTAQUE
// setor
APROVADA CAMPANHA SOBRE SEGURANÇA CONTRA INCÊNDIOS EM EDIFÍCIOS O conselho de Ministros aprovou, no dia 8 de fevereiro, a resolução para a realização de uma campanha de divulgação e informação sobre o regime jurídico da segurança contra incêndios em edifícios por parte da Autoridade Nacional da Proteção Civil (ANPC). Esta resolução tem como objetivo assegurar a verificação do cumprimento das condições de segurança contra incêndios em edifícios e recintos com o apoio das várias entidades competentes, incluindo a ANPC e os municípios. Em paralelo, foi debatido no Parlamento a proposta do Governo que adequa o regime jurídico contra incêndios em edifícios. Esta proposta atribui aos municípios as competências para apreciarem os projetos e realizarem vistorias e inspeções aos edifícios e recintos que são classificados na primeira categoria de risco; ajusta o regime de sanções para as empresas que comercializam equipamentos e sistemas de segurança contra incêndios em edifícios e não estejam registadas na ANPC; e estabelece um período transitório para a entrega das medidas de autoproteção e para a alteração dos requisitos por parte dos técnicos projetistas e autores para que, neste período, possam ser reconhecidos pela ANPC. V LUÍSA GUIMARÃES É A NOVA INSPETORA-GERAL DO TRABALHO Foi nomeada, em janeiro passado, a nova equipa dirigente da Autoridade para as Condições do Trabalho (ACT), que fica assim a cargo de Luísa Guimarães, enquanto Inspetora-Geral, e de Fernanda Campos, enquanto Subinspetora-Geral. Luísa Guimarães é licenciada em direito e dirigia, desde 2014, um programa de proteção social no 08.
centro internacional de formação da Organização Internacional do Trabalho (OIT), em Turim, com responsabilidade na área da inspeção do trabalho, entre outras. A nova Subinspetora-Geral do Trabalho, Fernanda Campos, também é licenciada em direito, é inspetora do trabalho de carreira desde 1996 e desempenhava, desde 2015, as funções de diretora do centro Local do Grande Porto da ACT. Luísa Guimarães e Fernanda Campos iniciaram funções em janeiro, em regime de substituição, depois de Pedro Pimenta Braz ter sido suspenso em resultado de um processo disciplinar. V
de gestão de TI, tecnologias inteligentes, proteção de dados, entre outros. Para tal, este grupo vai identificar e avaliar a possível adoção de normas já disponíveis ou em desenvolvimento que possam apoiar o Mercado Único Digital da UE e analisar diferentes solicitações de normas e diretivas e regulamentos da Comissão Europeia. O Comité dará especial atenção às normas do Comité Técnico ISO/IEC JTC 1, mas também serão tidas em consideração outras organizações de desenvolvimento de normas e organismos internacionais, tais como ISO, IEC, ITU-T, IEEE ou NIST. As normas relevantes poderão vir a ser adotadas como Normas Europeias (EN) ou como EN com requisitos adicionais, por exemplo, para garantir o cumprimento de requisitos legais europeus. V
CEN CRIA COMITÉ TÉCNICO DE PROTEÇÃO DE DADOS E CIBERSEGURANÇA Após vários workshops sobre Security, Safety, Resiliência e Cibersegurança organizados pelo Comité Europeu de Normalização (CEN), foi criado um novo comité técnico sobre a matéria, o CEN/ CLC TC13 Cyber Security and Data Protection. Este Comité tem como principal objetivo o desenvolvimento de normas para a proteção de dados e segurança da informação, cobrindo os vários aspetos de uma sociedade de informação em constante evolução, como diretrizes de privacidade, sistemas
IEC DESENVOLVE NOVAS NORMAS DE VIDEOVIGILÂNCIA A Comissão Eletrotécnica Internacional (IEC) está a desenvolver a norma IEC 626765: Data specifications and image quality performance for camera device, relativa ao desempenho das câmaras utilizadas em aplicações de videovigilância. Esta norma terá como propósito
proteger JANEIRO | MARÇO 2018
fornecer métodos de medição de valores de desempenho a serem descritos em materiais como manuais de instruções, folhetos e especificações das câmaras de videovigilância, permitindo que os clientes comparem soluções de diferentes fornecedores. Está ainda a ser desenvolvida a norma IEC 62676-6: Video content analytics – Performance testing and grading que permitirá que a indústria e os clientes tenham uma forma de medir a eficácia da análise de conteúdo de vídeo para diferentes aplicações. V APSEI VOLTA A COLABORAR NA REVISÃO DO REGIME JURÍDICO DE SEGURANÇA PRIVADA No início do ano, a APSEI enviou à Secretaria de Estado da Administração Interna os seus comentários às propostas de alteração ao Regime Jurídico que regula a atividade de segurança privada, propostas estas que resultaram da avaliação legislativa prevista no Artigo 66.º da Lei n.º 34/2013. A APSEI teve a oportunidade de verificar que muitas das suas propostas apresentadas em 2016 foram incluídas na proposta agora apresentada pela Secretaria de Estado. Ainda assim, a APSEI apresentou um novo conjunto de propostas de alteração que acredita poderem contribuir para uma maior clareza na interpretação da Lei n.º 34/2013 e dos seus diplomas complementares, bem como para um melhor funcionamento da atividade da Segurança Privada e de Segurança Eletrónica em Portugal. É ainda de salientar a colaboração dos associados da APSEI,
nomeadamente dos membros do Núcleo Autónomo de Segurança Eletrónica, que mais uma vez contribuíram de forma decisiva para a qualidade e pertinência das propostas de alteração ao RJSP apresentadas pela associação. V
OBSERVATÓRIO DA SEGURANÇA PRIVADA A Associação de Empresas de Segurança (AES), a Associação Nacional das Empresas de Segurança (AESIRF), o Sindicato dos Trabalhadores de Serviços de Portaria (STAD), o Sindicato dos Trabalhadores e Técnicos de Serviços, Comércio, Restauração e Turismo (FETESE) e o Sindicato Nacional da Indústria e da Energia
(SINDEL) juntaram-se para criar o Observatório da Segurança Privada (OSP). Pela primeira vez, associações empresariais e sindicais unem esforços para promover o desenvolvimento e valorização do setor da segurança privada. A promoção de uma concorrência sã, a efetivação e melhoria das condições laborais, a qualidade do emprego, a formação e a igualdade de oportunidades são alguns temas a que o OSP se vai dedicar, prevendo uma apresentação regular de propostas ao Governo a fim de melhorar as condições económicas e sociais das empresas e dos seus trabalhadores. V RESOLUÇÃO DO CONSELHO DE MINISTROS N.º 13/2018 Foi publicada no passado dia 20 de fevereiro, em Diário da República, a Resolução do Conselho de Ministros n.º 13/2018, que determina um conjunto de iniciativas sobre a divulgação, verificação e cumprimento do Regime Jurídico de Segurança contra Incêndio em Edifícios.
O diploma em questão determina a autoverificação do cumprimento das condições de segurança contra incêndio, de acordo com a legislação aplicável, pelas entidades responsáveis ou gestoras dos edifícios, recintos ou estabelecimentos das utilizações-tipo IV «escolares» e V «hospitalares e lares de idosos», em todas as categorias de risco, e nas utilizações-tipo VI «espetáculos e reuniões públicas» e IX «desportivos e de lazer», nas 2.ª, 3.ª e 4.ª categorias de risco, e exige que estas entidades comuniquem, no prazo de 90 dias, à entidade competente (ANPC ou câmara municipal, consoante o tipo de utilização e categoria de risco), o cumprimento do Regime Jurídico de Segurança contra Incêndio." V O RISCO E A CONTINUIDADE DO NEGÓCIO NA GESTÃO DAS ORGANIZAÇÕES No passado dia 1 de março, as Comissões Técnicas de Normalização 180 – Gestão do Risco, e 195 – Segurança nas Organizações e na Sociedade, da qual a APSEI faz parte, juntaram-se
para uma conferência dedicada ao tema “O Risco e a Continuidade do Negócio na Gestão das Organizações”. Ambas as comissões, sob a dependência do Organismo Setorial da Associação Portuguesa para a Qualidade, assumem um papel ativo no desenvolvimento e revisão dos documentos normativos dos Technical Committees ISO 262 (Risk Management) e 292 (Security and resilience), tendo esta conferência tido como principais objetivos a divulgação externa do trabalho desenvolvido pelas duas comissões junto dos seus destinatários em Portugal – as Organizações e a Sociedade em geral – e o debate centrado na Gestão do Risco e a Gestão da Continuidade do Negócio – temas centrais para a grande maioria das organizações atualmente. V PUB
proteger JANEIRO | MARÇO 2018
09.
— NOTÍCIAS
p
PUBLICADO NOVO MODELO DE PARTICIPAÇÃO DE ACIDENTES DE TRABALHO
Foi publicado, no passado mês de janeiro, em Diário da República, a Portaria n.º 14/2018 que veio definir o novo modelo de participação de acidentes de trabalho, a preencher pelos empregadores. A Portaria complementa o Decreto-Lei n.º 106/2017, de 29 de agosto, que regula a recolha, a publicação e a divulgação da informação estatística oficial sobre acidentes de trabalho. O Decreto‑Lei n.º 106/2017 é aplicável ao setor privado, incluindo o cooperativo e o social, bem como os trabalhadores independentes e as entidades públicas que tenham transferido a responsabilidade de reparação do acidente de trabalho para uma seguradora. Para além de definir o novo modelo de participação
a
10 trabalhadores, trabalhadores independentes e trabalhadores do serviço doméstico, os quais podem remeter a participação de acidentes de trabalhos à seguradora em suporte papel. A participação eletrónica de acidentes de trabalho às seguradoras é efetuada na página eletrónica da Associação Portuguesa de Seguradores (APS), que afirma que todas as seguradoras estão habilitadas a receber participações eletrónicas de acidentes de trabalho e incentiva a este tipo de participação, pelos benefícios claros para os trabalhadores acidentados e para as entidades empregadoras. V
ALTERAÇÃO À MARCAÇÃO CE DE PORTAS RESISTENTES AO FOGO EM ANÁLISE
A Comissão Técnica 33 Doors, windows, shutters, building hardware and curtain walling, do Comité Europeu de Normalização (CEN), está atualmente a analisar a possibilidade de incluir, nas normas de produto aplicáveis a portas de exterior, de interior, de garagem e automáticas, os requisitos da Norma Europeia (EN) 16034, situação que irá reformular por completo a normalização aplicável às portas resistentes ao fogo. Atualmente, para uma porta resistente ao fogo poder ter aposta a marcação CE, necessita de dar resposta aos requisitos aplicáveis da norma de produto harmonizada que lhe for aplicável e aos requisitos aplicáveis da norma harmonizada EN 16034, relativa às características de resistência 10.
de acidentes de trabalho, a Portaria veio ainda estabelecer as informações que devem ser fornecidas sobre acidentes de trabalho pelas seguradoras e os correspondentes prazos de submissão, assim como o conteúdo e o prazo de envio de informações para efeitos do encerramento do processo de recolha de informação estatística relativa aos acidentes de trabalho. Assim, as seguradoras devem remeter ao serviço da Autoridade para as Condições do Trabalho (ACT), cuja área geográfica de competência abranja o local de ocorrência do acidente de trabalho, as informações sobre os acidentes de trabalho recebidas no trimestre anterior até ao último dia do mês a seguir ao fim do trimestre; no mês de setembro, as
informações necessárias ao encerramento dos processos de acidentes de trabalho ocorridos até ao fim do mês de junho do ano anterior; e no mês de fevereiro, as informações relativas a acidentes ocorridos entre julho e dezembro de dois anos antes. A participação de acidentes de trabalho é obrigatória, devendo ser efetuada para a ACT e para a respetiva seguradora, no caso de acidentes de trabalho mortais ou graves, no prazo de 24 horas a partir da data do conhecimento do acidente pelo empregador, constituindo uma contraordenação grave o não cumprimento desta obrigatoriedade legal. A participação dos acidentes de trabalho deve ser efetuada em formato eletrónico, com exceção das empresas com menos de
ao fogo e/ou de controlo de fumo de blocos porta pedonais, portas e janelas de edifícios industriais, de estabelecimentos comerciais e de garagem. Por exemplo, para uma porta de exterior, com características de resistência ao fogo, poder ter aposta a marcação CE, tem de cumprir, obrigatoriamente, os requisitos aplicáveis da EN 14351-1 e da norma de resistência ao fogo EN 16034, ambas já publicadas no Jornal Oficial da União Europeia, como normas harmonizadas, ao abrigo do Regulamento dos Produtos de Construção. De acordo com a legislação europeia em vigor, a marcação CE de portas resistentes ao fogo apenas será uma obrigatoriedade a partir de novembro de 2019. No entanto,
à data de hoje, desde que já exista norma de produto harmonizada para uma dada porta resistente ao fogo, os fabricantes poderão decidir, desde já, apor a marcação CE nos seus produtos, atestando, desta forma, a conformidade dos seus produtos com os requisitos aplicáveis do Regulamento dos Produtos de Construção (uma vez que ainda não existe norma de produto para portas de interior, atualmente as portas de interior resistentes ao fogo ainda não podem ter aposta marcação CE). Estando a CEN/TC 33 a analisar a possibilidade de incluir, nas várias normas de produto de portas, os requisitos aplicáveis da EN 16034, sobre características de resistência ao fogo, prevê-se que a EN 16034 recentemente
proteger JANEIRO | MARÇO 2018
publicada (a norma foi publicada em 2014, depois de vários anos em elaboração), venha a ser anulada. Apesar de ser expectável que esta anulação venha a facilitar o processo de marcação CE das portas resistentes ao fogo, visto estas passarem a ter de cumprir uma única norma harmonizada, em vez das atuais duas, as restantes normas de produto harmonizadas aplicáveis às portas terão de ser reformuladas, de modo a incluir os requisitos da EN 16034. Tendo em conta que os processos de reformulação de normas nunca são fáceis, nem céleres, prevê-se que a marcação CE de portas resistentes ao fogo venha a sofrer atrasos graves, caso a CEN/TC 33 decida aprovar a proposta em análise. V
— NOTÍCIAS
p
RESÍDUO (RGGR) 1. CLASSIFICAÇÃO DE ACORDO COM A LISTA EUROPEIA DE RESÍDUOS
ENTRADA ABSOLUTA PERIGOSA
ENTRADA ESPELHO
ENTRADA ABSOLUTA NÃO PERIGOSA
2. AVALIAÇÃO DA PERIGOSIDADE.
NÃO
a) Caracterização do resíduo Existe informação suficiente sobre a composição do resíduo que permita determinar se os resíduos apresentam alguma característica de perigosidade?
SIM SIM
b) Determinação das caraterísticas de perigosidade O resíduo alguma das características de perigosidade de acordo com o regulamento n.º 1357/2014 e CLP?
NÃO SIM
c) Determinação da presença de POP É provável ou sabe-se que o resíduo contém algum dos POP enunciados na decisão 2014/995/UE?
NÃO
na plataforma SILiAmb, não contempla os resíduos que constituam matérias radioativas e matérias ou objetos explosivos,
uma vez que estes se encontram excluídos do âmbito de aplicação do Regime Geral de Gestão de Resíduos. V
aos vários membros gerir o trabalho não declarado através de uma abordagem holística e compreensível. A Plataforma disponibiliza diferentes recursos com vista à gestão prática e identificação de situações de trabalho não declarado. Nestes recursos incluem-se um glossário técnico sobre o assunto; uma biblioteca virtual através da qual é possível aceder, entre outra documentação, a exemplos de boas práticas de gestão de trabalho não declarado; fichas informativas sobre as características deste tipo de trabalho nos 28 países da União
Europeia, assim como as medidas implementadas pelos vários países na sua gestão; estudos, inquéritos e relatórios anuais; e ainda informações sobre as reuniões plenárias realizadas no âmbito do projeto. O trabalho não declarado é um problema real que afeta o Estado, as organizações e os trabalhadores em toda a Europa, e que pode ter consequências gravíssimas para os indivíduos, as empresas e a sociedade em geral, das quais se destacam a violação dos direitos dos trabalhadores, a concorrência desleal e a redução das receitas fiscais recebidas. V
PLATAFORMA EUROPEIA SOBRE TRABALHO NÃO DECLARADO
A Comissão Europeia criou, na sua página eletrónica, uma Plataforma Europeia sobre Trabalho Não declarado, que pretende incentivar a cooperação entre os vários países europeus e as suas entidades competentes no combate eficiente e eficaz a esta problemática cada vez mais generalizada. A Plataforma tem como principais objetivos auxiliar os países europeus na gestão das várias formas de trabalho não declarado, incentivar alterações a nível nacional que possam contribuir para a mitigação desta problemática e promover 12.
carregamento, transporte e descarga. No âmbito do Regime Geral de Gestão de Resíduos (RGGR), os resíduos são classificados com base na Lista Europeia de Resíduos (LER). Este sistema não tem qualquer correlação com o sistema do ADR, podendo existir resíduos classificados como perigosos de acordo com a Lista Europeia de Resíduos que não se enquadrem nos critérios de classificação previstos no ADR e resíduos que, não sendo classificados como perigosos no âmbito da legislação nacional de transporte de resíduos, sejam classificados como mercadoria perigosa para transporte no âmbito do ADR, como acontece com as pilhas de lítio. Assim, com o Guia agora publicado, é objetivo da APA apoiar os produtores de resíduos em território nacional na classificação dos resíduos enquanto mercadoria perigosa para transporte. O Guia da APA, que está disponível para download
RESÍDUO NÃO PERIGOSO
A Agência Portuguesa do Ambiente (APA) publicou recentemente, na sua página eletrónica, um guia de apoio à classificação de resíduos no âmbito do Acordo Europeu relativo ao Transporte Internacional de Mercadorias Perigosas por Estrada (ADR), intitulado Aplicação do ADR ao Transporte de Resíduos. Em Portugal, o transporte de resíduos é regulado pela Portaria n.º 145/2017, de 26 de abril, que define as regras aplicáveis ao transporte rodoviário, ferroviário, fluvial, marítimo e aéreo de resíduos em território nacional. No entanto, para além da Portaria n.º 145/2017, sempre que os resíduos forem enquadrados nos critérios de classificação expressos na Parte 2 do ADR, estes terão de ser classificados como mercadoria perigosa para transporte e devem ser cumpridas as disposições aplicáveis do ADR no que diz respeito à forma de acondicionamento, sinalização, documentação, operações de embalamento, enchimento,
RESÍDUO PERIGOSO
a
A AGÊNCIA PORTUGUESA DO AMBIENTE PUBLICA GUIA DE APOIO À CLASSIFICAÇÃO DE RESÍDUOS
melhores condições de trabalho e o emprego formal. O projeto envolve diferentes intervenientes, desde parceiros sociais até autoridades competentes das áreas da inspeção laboral, segurança social e finanças, permitindo que estes troquem conhecimentos e boas práticas, incrementem as suas competências e colaborem em projetos conjuntos transfronteiriços. O programa 2017/2018 encontra-se disponível para consulta na página eletrónica da Comissão Europeia e inclui atividades que irão permitir
proteger JANEIRO | MARÇO 2018
— ESPAÇO ASSOCIADO TRÊS CONVIDADOS. PERGUNTA & RESPOSTA.
P &R a associados da apsei
Eduardo Gomes Cacho Responsável GEZE Portugal GEZE IBERIA SRLU
Hugo Rocha Sócio-Gerente UNIFOGO
António Gomes Gerente ABC SEGURANÇA
A GEZE é uma multinacional alemã, com 150 anos de vida, que desenvolve, produz e comercializa molas aéreas, pavimento, portas automáticas, sistemas de desenfumagem e controles de acesso.
A UNIFOGO dedica-se à engenharia de segurança, visando a promoção de soluções inovadoras e de excelência, desde o projeto, à auditoria, consultoria, comercialização, instalação e manutenção nas áreas da prevenção e proteção de pessoas e bens.
A principal atividade desenvolvida pela ABC SEGURANÇA é a manutenção de equipamentos: extintores, carreteis e sistemas de extinção fixa por agentes gasosos, RIA, claraboias, portas corta-fogo, etc.
Qual o tema da atualidade do setor que mais vos preocupa? A estabilidade do ramo da construção e o cumprimento das normas europeias relativamente à manutenção preventiva. Quais os principais projetos no horizonte da GEZE? A abertura da empresa em Portugal. Quais as atividades desenvolvidas pela APSEI que mais valoriza? Criação, apoio e divulgação de normas junto das entidades governamentais para que estas as façam cumprir. V
Qual o tema da atualidade do setor que mais vos preocupa? Preocupa-me a proliferação de soluções de qualidade questionável e a falta de fiscalização. De uma perspetiva positiva, estamos focados na elevação dos padrões de qualidade: encontrar, em colaboração com as nossas representadas, soluções inovadoras de I&D, capazes de criar inputs de elevado valor tecnológico, elevando os níveis de segurança do cliente a padrões de referência. Quais os principais projetos no horizonte da Unifogo? A incorporação de quatro novas áreas de negócio para a promoção de soluções de segurança, incluindo a implementação de procedimentos inovadores de gestão, infraestruturas e equipamentos críticos, de modo a potenciar e elevar os padrões de qualidade no serviço de Facility Management nas áreas do Safety & Security. Quais as atividades desenvolvidas pela APSEI que mais valoriza? Percebemos a importância de se sermos associados, pois só com uma associação forte seríamos capazes de desenvolver sinergias que visassem garantir influência positiva, quer ao nível institucional, quer como instrumento padrão regulador da atividade, garantido pelas ações de formação, trabalho técnico de apoio desenvolvido, entre outros. V
14.
proteger JANEIRO | MARÇO 2018
Qual o tema da atualidade do setor que mais vos preocupa? Fiscalização das empresas de segurança, pois as que estão legais estão em desvantagem com as outras em termos concorrenciais – fiscalização que, de uma forma geral, não existe. Quais os principais projetos no horizonte da ABC Segurança? Aperfeiçoar a plataforma SGEQ, que já utilizamos há cerca de sete anos, para os restantes equipamentos de segurança (Sistemas Fixos de Deteção, etc.) Quais as atividades desenvolvidas pela APSEI que mais valoriza? Todas de uma forma geral, em especial o empenho nas normas. Se bem que, como menciono acima, apesar de valorizarem as empresas, penalizam quem cumpre, pelo facto de não haver uma fiscalização mais eficaz – se bem que esta não é uma responsabilidade da APSEI. V
— FORMAÇÃO APSEI
// agenda de formação INSCREVA-SE NOS CURSOS DA APSEI E INVISTA EM FORMAÇÃO DE QUALIDADE. CONSULTE O CALENDÁRIO COMPLETO EM WWW.APSEI.ORG.PT/FORMACAO/CURSOS-DE-FORMACAO/
LOCAL
CURSO DE FORMAÇÃO
DATA
AVALIAÇÃO E GESTÃO DO RISCO LISBOA
GESTÃO DA SEGURANÇA EM ESTABELECIMENTOS INDUSTRIAIS
20 e 21 abr
LISBOA
AVALIAÇÃO DE RISCOS DE INCÊNDIO
03 mai
LISBOA
AUDITORIAS DE SEGURANÇA CONTRA INCÊNDIO
04 mai
LISBOA
AUDITORIAS DE SEGURANÇA CONTRA INCÊNDIO
04 mai
PORTO
AVALIAÇÃO DE RISCOS DE INCÊNDIO
07 mai
PORTO
AUDITORIAS DE SEGURANÇA CONTRA INCÊNDIO
09 mai
LISBOA
DIREÇÃO DE OBRAS DE SEGURANÇA CONTRA INCÊNDIO EM EDIFÍCIOS
LISBOA
GESTÃO DA EMERGÊNCIA: DO PLANEAMENTO À AVALIAÇÃO DE EXERCÍCIOS — NÍVEL INICIAL
25 mai
LISBOA
GESTÃO DA EMERGÊNCIA: DO PLANEAMENTO À AVALIAÇÃO DE EXERCÍCIOS — NÍVEL AVANÇADO
26 mai
LISBOA
GESTÃO DE SEGURANÇA CONTRA INCÊNDIO EM EDIFÍCIOS HOTELEIROS
6 e 7 jun
LISBOA
GESTÃO DE EMERGÊNCIAS E CONTINUIDADE DE NEGÓCIOS
8 e 9 jun
PORTO
GESTÃO DA EMERGÊNCIA: DO PLANEAMENTO À AVALIAÇÃO DE EXERCÍCIOS — NÍVEL INICIAL
15 jun
PORTO
GESTÃO DA EMERGÊNCIA: DO PLANEAMENTO À AVALIAÇÃO DE EXERCÍCIOS — NÍVEL AVANÇADO
16 jun
18 e 19 mai
GESTÃO APLICADA À SEGURANÇA LISBOA
FUNDAMENTOS DE GESTÃO COMERCIAL APLICADOS À SEGURANÇA
30 jun
RISCOS PROFISSIONAIS PORTO
SEGURANÇA EM TRABALHOS A QUENTE (HOT WORKS)
LISBOA
SEGURANÇA EM ATMOSFERAS EXPLOSIVAS (ATEX)
LISBOA
SEGURANÇA EM TRABALHOS A QUENTE (HOT WORKS)
28 abr 11 e 12 mai 28 jun
SEGURANÇA CONTRA INCÊNDIO E PREVENÇÃO DE EXPLOSÕES
16.
PORTO
SISTEMAS DE PROTEÇÃO PASSIVA CONTRA INCÊNDIO
2 a 4 abr
LISBOA
PRINCÍPIOS DO PROJETO DE SCI BASEADO NO DESEMPENHO
6 abr a 2 jun
LISBOA
SISTEMAS DE EXTINÇÃO POR AGENTES DISTINTOS DA ÁGUA
6 e 7 abr
PORTO
TÉCNICO EUROPEU DE SEGURANÇA CONTRA INCÊNDIO
PORTO
REGULAMENTO TÉCNICO DE SEGURANÇA CONTRA INCÊNDIO EM EDIFÍCIOS
PORTO
FENOMENOLOGIA DA COMBUSTÃO
6 abr a 9 mai 6 e 7 abr 11 abr
proteger JANEIRO | MARÇO 2018
LOCAL
CURSO DE FORMAÇÃO
DATA
SEGURANÇA CONTRA INCÊNDIO E PREVENÇÃO DE EXPLOSÕES LISBOA
SISTEMAS DE CONTROLO DE FUMO
13 e 14 abr
PORTO
ORGANIZAÇÃO E GESTÃO DE SCI
13 e 14 abr
LISBOA
SISTEMAS DE PROTEÇÃO PASSIVA CONTRA INCÊNDIO
16 a 18 abr
LISBOA
PORTAS E ENVIDRAÇADOS RESISTENTES AO FOGO
16 e 17 abr
LISBOA
SISTEMAS DE COMPARTIMENTAÇÃO E REVESTIMENTOS CONTRA INCÊNDIO
16 a 18 abr
LISBOA
GESTÃO DA MANUTENÇÃO DE SISTEMAS DE SEGURANÇA CONTRA INCÊNDIO
20 abr
LISBOA
EVACUAÇÃO DE EDIFÍCIOS
21 abr
PORTO
TÉCNICO RESPONSÁVEL SCI RENOVAÇÃO — FORMAÇÃO GERAL
04 mai
PORTO
GESTÃO DA MANUTENÇÃO DE SISTEMAS DE SEGURANÇA CONTRA INCÊNDIO
05 mai
LISBOA
TÉCNICO RESPONSÁVEL SCI RENOVAÇÃO — FORMAÇÃO GERAL
10 mai
LISBOA
MANUTENÇÃO DE EXTINTORES — RENOVAÇÃO
LISBOA
INTRODUÇÃO AOS EQUIPAMENTOS E SISTEMAS DE SEGURANÇA CONTRA INCÊNDIO
LISBOA
MANUTENÇÃO DE EXTINTORES — INICIAL
4 e 5 jun 29 jun 2 a 5 jul
SEGURANÇA ELETRÓNICA /SECURITY LISBOA
AVALIAÇÃO E GESTÃO DE SISTEMAS DE SECURITY
6 e 7 abr
LISBOA
REDES INFORMÁTICAS APLICADAS AOS SISTEMAS ELETRÓNICOS DE SEGURANÇA
14 abr
LISBOA
FUNDAMENTOS DE CIBERSEGURANÇA
28 abr
PORTO
TÉCNICO DE SECURITY
PORTO
REGIME JURÍDICO DE SEGURANÇA PRIVADA
12 mai
PORTO
SISTEMAS DE DETEÇÃO DE INTRUSÃO
18 mai
PORTO
SISTEMAS DE VIDEOVIGILÂNCIA
19 mai
PORTO
SISTEMAS DE CONTROLO DE ACESSOS
25 mai
PORTO
SISTEMAS DE VIDEOVIGILÂNCIA — AVANÇADO
4 a 6 jun
PORTO
AVALIAÇÃO E GESTÃO DE SISTEMAS DE SECURITY
8 e 9 jun
LISBOA
SISTEMAS DE VIDEOVIGILÂNCIA — AVANÇADO
PORTO
REDES INFORMÁTICAS APLICADAS AOS SISTEMAS ELETRÓNICOS DE SEGURANÇA
12 mai a 9 jun
proteger JANEIRO | MARÇO 2018
21 a 23 jun 07 jul
17.
// formação apsei
Inscreva-se no novo curso de gestão de segurança contra incêndio de edifícios hoteleiros. Conteúdos
EM FOCO CURSO DE GESTÃO DE SEGURANÇA CONTRA INCÊNDIO DE EDIFÍCIOS HOTELEIROS
— Princípios Básicos da Fenomenologia da CombustãoAvaliação de Riscos de Incêndio em Edifícios Hoteleiros. — Enquadramento LegalTecnologias de Segurança contra Incêndio. —O rganização de Segurança contra Incêndio Planeamento de Emergência. Próximas edições — Algarsafe, Portimão, 24 e 25 de maio
TEXTO
— Lisboa, 6 e 7 de junho
Carlos Ferreira de Castro & Marco Miguel Formadores
A crescente mobilidade das sociedades contemporâneas, motivada não só pelo turismo nas suas diversas vertentes, mas também por questões profissionais, acentua as necessidades de alojamento temporário – estabelecimentos hoteleiros, dos quais se espera a resposta e garantia de algumas das necessidades humanas. Recordando a hierarquia das necessidades através da pirâmide de Maslow, constatase que a segurança, conjuntamente com as necessidades fisiológicas, encontra-se na base da pirâmide, que integra as necessidades básicas. Ora a segurança enquanto conceito geral, resultando num sentimento individual e coletivo, tem por base a capacidade de dar resposta adequada às situações adversas. Essa capacidade é diretamente proporcional ao conhecimento e preparação para fazer face aos riscos existentes, o que torna evidente a necessidade prática de formação de decisores e intervenientes nas suas diversas formas. O Curso de Gestão de Segurança contra Incêndio de Edifícios Hoteleiros da APSEI pretende dotar os responsáveis e delegados de segurança, deste tipo de 18.
Mais informações em: www.apsei.org.pt/formacao
edifícios, dos conhecimentos e valências necessários à definição e implementação de uma organização de segurança contra incêndio que dê resposta às exigências da atual regulamentação de segurança contra incêndio em edifícios, adaptada à realidade específica de cada estabelecimento. O curso tem por base as disposições do Regime Jurídico e do Regulamento Técnico de Segurança contra Incêndio em Edifícios (Decreto-Lei n.º 220/2008, com as alterações do Decreto-Lei n.º 224/2015, e Portaria n.º 1532/2008), abordando-se ainda os vários equipamentos e sistemas de segurança, tendo como objetivos principais: — Identificar a legislação nacional que regulamenta as medidas de segurança contra incêndio aplicáveis à conceção e exploração (medidas de autoproteção) dos edifícios hoteleiros; — Conhecer os conceitos básicos da fenomenologia da combustão, da propagação dos incêndios nos edifícios e dos vários mecanismos de extinção de incêndios; — Definir e implementar um sistema que permita avaliar os riscos de
incêndio existentes em edifícios hoteleiros; — Definir e implementar medidas preventivas e corretivas que permitam reduzir ou eliminar os riscos de incêndio existentes nos edifícios hoteleiros; — Conhecer as principais funcionalidades, características e elementos constituintes dos vários equipamentos e sistemas de segurança contra incêndio em edifícios; — Conhecer a periodicidade e os procedimentos mínimos de manutenção aplicáveis aos vários equipamentos e sistemas de segurança contra incêndio em edifícios; — Estabelecer uma organização de segurança que dê resposta às exigências da regulamentação nacional aplicável, adaptadas à realidade dos edifícios hoteleiros; — Definir um plano de emergência interno que permita sistematizar a evacuação dos ocupantes dos edifícios e limitar a propagação e as consequências dos
proteger JANEIRO | MARÇO 2018
incêndios com recurso a meios próprios; — Ter conhecimento dos instrumentos necessários para a realização de exercícios de treino e teste do plano de emergência interno definido. Pela sua abrangência e profundidade, o curso poderá ser frequentado por todos os que pretendam desenvolver os seus conhecimentos na área da segurança contra incêndio, designadamente por responsáveis, delegados e diretores de segurança, peritos de seguros e analistas de risco, fabricantes e instaladores de sistemas de segurança contra incêndio, quadros da Proteção Civil, corpos de bombeiros e outros técnicos de licenciamento e fiscalização, projetistas e consultores de segurança e técnicos de segurança no trabalho, entre outros. O curso, além de ter a chancela da APSEI, dá também acesso a declaração de formação da CFPA-Europe, reconhecida em 19 países europeus. Como Sun Tzu referiu, em Arte da Guerra, “Aquele que se empenha a resolver as dificuldades resolve-as antes que elas surjam”. V
Qualidade Lideres em Soluções Integrais Experiência Serviço Pós-venda de Segurança Eletrónica Assistência a Projetos Vanguarda Serviços de Valor Acrescentado Liderança Variedade de Soluções Formação Técnica Logística Profissionalismo Assistência Técnica Consultoria a Projetos Atenção Personalizada Assessoria Pré-venda Serviço Técnico Marcas Lideres Tecnologia Hotline
www.casmar.pt info@casmar.pt Tel.: +351 223 717 467 • Rua do Pombal 58-66 • 4430-612 Vila Nova de Gaia
— TEMA DE CAPA
Proteção de dados pessoais e cibersegurança. Dia 25 de maio entra em vigor o Regulamento Geral de Proteção de Dados (RGPD) que tem levantado várias dúvidas às organizações, quer pela alteração de procedimentos internos já existentes, quer pela implementação de novas regras que o regulamento traz. Identificar as principais mudanças e perceber quais os passos a dar de forma a evitar inconformidades é algo em que as entidades se têm focado nos últimos tempos, de forma a responder às exigências da legislação que tem em vista a uniformização a nível europeu das regras de proteção de dados. Nesta edição abordamos a necessidade de garantir a segurança da informação, ao mesmo tempo que se respeita a nova legislação, e o impacto do elemento humano no sucesso da correta aplicação do RGPD. 20.
proteger JANEIRO | MARÇO 2018
1
— A SEGURANÇA E A PROTEÇÃO DOS DADOS PESSOAIS TEXTO Inês Antas de Barros Vieira de Almeida
O ano de 2017 ficou marcado por vários e conhecidos casos de data breaches. Casos como o da Equifax, Yahoo ou Uber põem o tema da segurança dos dados pessoais na ordem do dia, em particular numa altura em que as organizações se encontram a implementar o Regulamento Geral sobre a Proteção dos Dados (RGPD) – Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE. De facto, o RGPD, que se tornará aplicável a partir de 25 de maio, vai implicar uma alteração profunda à forma como as organizações passarão a tratar os dados pessoais, pondo um especial enfoque na segurança dos dados pessoais, que se assume como um pilar
As obrigações de segurança dos dados pessoais não terminam com a adoção das medidas organizativas e técnicas mais adequadas.
proteger JANEIRO | MARÇO 2018
incontornável do novo quadro legal de proteção de dados pessoais. Apesar de já prevista no atual quadro legal (Lei n.º 67/98 de 26 de outubro que transpôs, para o ordenamento jurídico nacional, a Diretiva 95/46/CE), a obrigação de adoção de medidas de segurança dos dados pessoais é reforçada e concretizada no contexto do RGPD. O RGPD impõe, tanto ao responsável pelo tratamento (i.e. entidade que, isolada ou conjuntamente com outra, determina as finalidades e meios do tratamento de dados) como ao subcontratante (entidade que trata os dados em nome e por conta do responsável pelo tratamento), especiais obrigações de segurança dos dados pessoais a que têm acesso. É, no entanto, sobre o responsável pelo tratamento que recaem a maioria das obrigações e responsabilidades relativas à segurança dos dados. 21.
— TEMA DE CAPA Seguindo o princípio basilar da responsabilidade (accountability), o responsável pelo tratamento deve, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares (cuja probabilidade e gravidade podem ser variáveis), aplicar as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o RGPD. Estas medidas deverão ser revistas e atualizadas consoante as necessidades. O RGPD pressupõe que seja feita uma análise, caso a caso, das medidas mais adequadas. Em particular, o RGPD prevê que “tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento e o subcontratante aplicam as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco (…)”. Na avaliação da adequação das medidas, devem ser tidos em conta, designadamente, os riscos apresentados pelo tratamento, em particular devido à destruição, perda e alteração acidentais ou ilícitas, e à divulgação ou ao acesso não autorizados, de dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento. Assim, previamente ao início do tratamento de dados pessoais, as organizações (tanto responsáveis como subcontratantes) devem identificar quais as medidas de segurança mais adequadas. Para o efeito, as organizações terão, necessariamente, que levar a cabo um assessment do risco envolvido com a operação de tratamento de dados pessoais que pretendem iniciar. Este assessment deverá ser documentado, por forma a consubstanciar uma evidência em como a organização em causa avaliou, efetivamente, quais as medidas de segurança mais adequadas, considerando a tipologia do tratamento, dos dados pessoais, dos titulares e os contornos das atividades de tratamento. Neste contexto, e por forma a ajudar as organizações nesta avaliação, a ENISA (European Union Agency for Network and Security Information) emitiu, em dezembro de 2017, um manual de segurança no tratamento de dados pessoais (Handbook on Security of Personal Data Protection). Neste manual, a ENISA fornece algumas orientações às organizações sobre a melhor forma de levar a cabo a avaliação dos riscos para, posteriormente, se definirem as medidas de segurança mais adequadas e ajustadas. A avaliação do risco deverá, segundo a ENISA, ser efetuada através da adoção de 22.
uma metodologia que segue, pelo menos, os seguintes passos: (i) definição da operação de tratamento de dados pessoais e o respetivo contexto, (ii) determinação e avaliação do impacto para os titulares dos dados, (iii) definição de possíveis ameaças e a sua probabilidade e (iv) avaliação do risco. Na definição da operação do tratamento de dados pessoais, os responsáveis pelo tratamento devem identificar as categorias de dados pessoais envolvidas (dados pessoais, categorias especiais de dados, dados pessoais relacionados com condenações penais e infrações), as finalidades do tratamento dados pessoais, os meios utilizados, o local onde o tratamento de dados é levado a cabo, as categorias de titulares dos dados (em particular, se existem titulares menores ou vulneráveis) e os destinatários dos dados. Após esta identificação e caracterização da operação de tratamento de dados pessoais, as organizações devem determinar e avaliar o impacto de uma possível perda de dados pessoais para os direitos e liberdades dos titulares dos dados. Para o efeito, a ENISA avança com quatro graus de impacto, variando consoante o impacto da perda seja negligenciável até à situação em que a perda tem consequências significativas e irreversíveis para os direitos e liberdades dos titulares dos dados. Para a avaliação de tal impacto, devem ser tidos em consideração diversos fatores tais como a tipologia de dados, a criticidade da operação de tratamento de dados, o volume de dados envolvidos, assim como as características do responsável pelo tratamento e dos titulares dos dados em causa. Avaliado o possível impacto, há que concretizar e perceber quais as ameaças e grau de probabilidade da sua ocorrência. Nesta fase, as organizações são chamadas a desenhar diferentes cenários, considerando, por exemplo, as partes envolvidas no tratamento, o setor de atividade, a escala do tratamento ou o tipo de tecnologia envolvida. Determinadas as ameaças, é avaliado o risco existente, considerando, por um lado, o nível de impacto para os direitos e liberdades dos titulares dos dados e, por outro lado, o grau de probabilidade de ocorrência das ameaças identificadas. Consoante o risco identificado (baixo, médio ou alto), serão determinadas as medidas de segurança adequadas – organizativas e técnicas. A ENISA avança com algumas medidas que passam pela mera aprovação de políticas internas (para casos de risco baixo) à implementação de medidas mais sofisticadas, decorrentes do próprio RGPD, tais como: (a) a pseudonimização e a cifragem dos dados pessoais; (b) a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento; (c) a capacidade proteger JANEIRO | MARÇO 2018
de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico; (d) a implementação de um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento. Na escolha das medidas, e não obstante as guidelines da ENISA, as organizações devem ainda ter em consideração aquelas que sejam práticas do setor, bem como eventuais obrigações resultantes de outros diplomas, tais como a Diretiva NIS [Diretiva (UE) 2016/1148, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União Europeia]. É de notar ainda que o cumprimento de um código de conduta ou de um procedimento de certificação aprovados nos termos do RGPD podem ser utilizados como elemento para demonstrar o cumprimento das obrigações de segurança dos dados pessoais. As obrigações de segurança dos dados pessoais não terminam com a adoção das medidas organizativas e técnicas mais adequadas. Uma das grandes novidades do RGPD é a obrigação de notificação de violações de dados pessoais (definidas como “uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento”), até à data apenas aplicável, no ordenamento jurídico nacional, para o setor das comunicações eletrónicas. Assim, a partir de 25 de maio, todas as organizações são obrigadas a notificar as violações de dados pessoais, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento das mesmas, às autoridades de controlo (a menos que a violação dos dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades dos titulares dos dados). Em determinadas situações, as organizações são também obrigadas a comunicar aos titulares dos dados a ocorrência de uma violação de dados pessoais. A implementação de medidas de segurança adequadas é, assim, fundamental não apenas numa perspetiva preventiva, mas, também, como forma de demonstrar que a organização adotou as medidas e cautelas adequadas para evitar uma violação de dados pessoais. Note-se ainda que a adoção de determinadas medidas – como a cifragem dos dados pessoais – pode determinar que, verificadas certas condições, não seja obrigatório comunicar aos titulares dos dados a violação ocorrida. Como referido, a obrigação de segurança dos dados pessoais é, no RGPD, aplicável também aos subcontratantes que devem,
— TEMA DE CAPA
2
— EM VÉSPERAS DA APLICAÇÃO DO RGPD – COMO GARANTIR A CONFORMIDADE TEXTO Filipe Pereira LCG
igualmente, adotar as medidas adequadas, seguindo a metodologia de risk based approach, concretizada no recente manual da ENISA. Na perspetiva do subcontratante, a obrigação da adoção de medidas de segurança tem ainda outros impactos, já que, uma deficiente estratégia de segurança pode, no limite, comprometer o negócio destas entidades. De facto, o RGPD vem impor especiais cuidados nas escolhas dos subcontratantes, impondo ao responsável pelo tratamento que recorra apenas a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o tratamento satisfaça os requisitos do RGPD e assegure a defesa dos direitos do titular dos dados. Tais medidas e garantias devem, aliás, constar do contrato que seja celebrado entre o responsável e o subcontratante. Como tal, as entidades que se dedicam à prestação de serviços e, como tal, se assumem tipicamente como subcontratantes, devem ter um especial cuidado na definição das medidas de segurança, sob pena de não serem bemsucedidas na fase de escolha e avaliação de entidades por parte de uma organização que se assuma como responsável pelo tratamento. Resulta, assim, que a segurança dos dados pessoais é inegavelmente reforçada no RGPD, impondo-se a adoção de princípios de security by design. Numa lógica de alteração de paradigma do quadro regulatório, as organizações deverão documentar todas as análises efetuadas, de forma a evidenciar e comprovar, perante as autoridades de controlo, que as medidas adotadas são as mais corretas e adequadas, considerando o risco envolvido no tratamento de dados em causa. Não obstante o RGPD prever, como analisado, várias disposições aplicáveis à segurança, as organizações aguardam, com expetativa, desenvolvimentos e orientações nacionais e setoriais, em particular quanto à certificação que constituirá, certamente, uma mais valia e um fator diferenciador em relação à concorrência. V 24.
Em vésperas da aplicação do Regulamento Geral de Proteção de Dados (RGPD), as organizações têm que ser objetivas e pragmáticas na priorização e decisão de abordagem, principalmente as que ainda não iniciaram qualquer programa de proteção de dados e de conformidade com o RGPD. Assim, é crucial identificar os passos essenciais que permitem à organização conhecer o seu atual estado de conformidade, nos âmbitos jurídico, processual e tecnológico, avaliar a eficiência de quaisquer políticas, processos e medidas de controlo que possam existir, bem como identificar as ações que permitam colmatar quaisquer lacunas. Para além destes passos essenciais, as organizações devem seguir um conjunto de boas práticas que permitirão o devido enquadramento e definição clara de responsabilidades, suas e das entidades com as quais se relaciona.
De onde vem esta aparente exigência repentina de privacidade e proteção de dados? Não é repentina. Dado o progresso digital contínuo das nossas vidas profissionais e privadas e à medida que os dados pessoais assumem cada vez mais um papel central dentro dos domínios da gestão de informação, hoje em dia qualquer entidade depende em larga medida do relacionamento com os seus stakeholders e, consequentemente, do estabelecer de relações fortes de confiança. O que realmente se constata, é o assumir de uma "nova" realidade onde os cidadãos gerem e controlam a sua identidade, offline e online. É crucial que os legisladores adotem esta mudança de paradigma em relação aos proteger JANEIRO | MARÇO 2018
dados pessoais, precisamente para que estes não continuem a ser considerados como um ativo das organizações. Por outro lado, as novas exigências de maior transparência e de reforço dos direitos do indivíduo, protegem os titulares dos dados de tratamentos ilícitos e de técnicas intrusivas de rastreio e segmentação. A legislação está a acompanhar o progresso tecnológico e a digitalização contínua? Atualmente, existem discrepâncias entre as legislações dos vários países e abordagens não uniformizadas. Este regulamento europeu, com abrangência e extensão globais, ajuda a criar esse terreno comum de entendimento e ação.
Enquanto fomos assistindo à transformação da sociedade de informação, a mentalidade geral e as práticas não evoluíram ao mesmo ritmo. Hoje em dia, a gestão da reputação é fundamental para o posicionamento das organizações e depende fortemente de uma gestão eficaz dos dados pessoais. Qualquer indústria será potencialmente impactada, sem precedentes, pela mudança de atitudes dos cidadãos em relação aos seus dados pessoais. As empresas com atividades de negócio que dependam fortemente do processamento de dados de indivíduos ou que processam dados em nome dos seus clientes, estarão necessariamente mais expostas aos impactos do RGPD. O que muda realmente se compararmos o RGPD com a lei de Proteção de Dados n.º 67/98? Embora a grande maioria das exigências do RGPD sejam comuns à legislação Portuguesa aprovada em 1998, o regulamento vem trazer, de facto, alterações significativas. Se considerarmos os eixos de mensagem escolhidos pelo legislador para apresentação do RGPD, as alterações são ao nível do reforço dos direitos dos cidadãos, da maior responsabilização por parte das organizações, da extensão do âmbito de aplicação com um escrutínio muito mais rigoroso entre entidades clientes e
prestadores de serviço e de um quadro sancionatório mais rígido. No entanto, em termos absolutos, altera-se a sensação de propriedade de dados que os indivíduos adquirem e como, em última análise, irão aprender a apreciar o controlo da sua identidade, também no registo digital. Para uma resposta mais pragmática, destacam-se duas principais alterações: privacy by design e exigência de consentimento explícito. Se o primeiro implica uma mudança de mentalidades organizacionais e de cultura corporativa, este último implica uma revisão completa da forma como as organizações planeiam as suas iniciativas de negócio, se posicionam e interagem com os seus públicos. Os destinatários dos serviços, produtos e mensagens são agora recetores atentos e prontos a agir, quer para reforçar o benefício que adquirem ou anular qualquer interação vista como desnecessária. Os que realmente pretendem estabelecer uma relação com a organização, são aqueles que estão totalmente interessados e comprometidos com a marca. Quais os principais desafios na implementação de conformidade com o RGPD? Numa primeira análise, o principal desafio será dotar a organização da sensibilidade, conhecimento e maturidade suficientes proteger JANEIRO | MARÇO 2018
para enquadramento da aplicação do regulamento na sua própria realidade. Apenas assim será possível anular ou mitigar riscos de vulnerabilidade e corresponder às exigências de âmbito jurídico, processual e tecnológico que o RGPD apresenta. A salvaguarda da privacidade de dados pessoais e a segurança de informação, requerem uma abordagem transversal à organização, com o envolvimento e suporte direto da administração e a abrangência integradora em todas as unidades e equipas de trabalho. Independentemente da robustez que o programa de proteção de dados possa ter, do rigor da revisão contratual e dos acordos de processamento de dados ou da blindagem e granularidade das soluções de segurança que possam ser consideradas, os melhores resultados na prevenção de comprometimento de dados e fugas de informação, são alcançados através de sensibilização e formação dos recursos humanos. É através destes que a grande maioria dos incidentes ocorrem, seja por desconhecimento de comportamentos de risco, negligência no local de trabalho, processo intencional no manuseamento de dados pessoais ou por falta de competência. A Gestão da Mudança assume assim um papel essencial na forma como trabalhadores e utilizadores das infraestruturas e sistemas da organização adoptam as boas práticas necessárias. É do interesse da organização considerar um conjunto de sessões de formação e de sensibilização para quadros de administração, quadros executivos e todos os trabalhadores, com particular incidência naqueles que lidam com dados pessoais e sensíveis. Numa segunda análise, para se poderem identificar quais as lacunas de conformidade e as soluções que devem ser consideradas para as colmatar, é necessário saber exatamente qual o estado de conformidade da organização. É crítico que as organizações possuam sistemas adequados de informação, de 25.
— TEMA DE CAPA
gestão do risco e de conformidade, alinhados entre si e devidamente integrados na cadeia de valor dos processos de negócio, de modo a ser possível identificar, em cada momento, qualquer vulnerabilidade, ataque externo ou risco de salvaguarda de privacidade dos dados. Como resultado deste exercício, devem concluir-se as ações necessárias por forma a reforçar o nível de sistematização e processamento de informação, bem como a robustez e fluidez dos procedimentos, através da implementação de mecanismos e processos de controlo de acessos, gestão de perfis de utilizadores e a definição e consolidação de processos transversais às várias unidades orgânicas. Para o efeito, procede-se a um levantamento de informação e mapeamento dos dados existentes resultando num relatório da situação atual com identificação dos pontos de conformidade e de não conformidade com o novo regulamento, bem como um plano de implementação de ações de melhoria/corretivas. Este levantamento de informação deverá conter elementos que permitam, na análise de conformidade com o RGPD, concluir sobre a avaliação da licitude do tratamento de dados, a salvaguarda dos direitos dos titulares nas transferências de dados, a adequação contratual e de acordos de processamento de dados com clientes e subcontratados. É no culminar deste levantamento, que será possível elaborar um documento de estrutura de dados com a respetiva classificação de informação, complementar ao mapeamento das atividades de processamento e de fluxos de informação, com indicação concreta dos momentos, etapas e suportes onde é processada a recolha de informação, qual o tipo de dados processados, mecanismos de transferência de dados, onde é feito o armazenamento, quem tem acesso, períodos de retenção dos dados e mecanismos de eliminação. Para além do já referido, o diagnóstico permitirá aferir sobre a adequação das políticas, processos e procedimentos em vigor, a validade de procedimentos de notificação, a identificação inequívoca de responsabilidades, a governação de partilha e acesso dos dados, a autenticação e rastreio de utilizadores e a extensão de aplicação dos conceitos de Privacy by Default e Privacy by Design. Quais as boas práticas que as organizações deverão seguir? Necessariamente, a realização de um diagnóstico das dimensões jurídica, processual e tecnológica para identificar pontos de não-cumprimento e as necessárias alterações a implementar. Durante este 26.
diagnóstico, deverá ser efetuada uma revisão contratual que identifique as componentes de consentimento, transparência, responsabilidade e proteção dos dados, bem como a revisão das políticas, processos e responsabilidades que respondem às condições exigíveis para a disponibilização de dados pessoais. Em paralelo, deverá ser efetuado o mapeamento de procedimentos de recolha,
nomeação, já que o perfil da pessoa que ocupará esse cargo deverá ser definido após serem retiradas conclusões a respeito do âmbito e extensão do próprio programa de proteção de dados adotado, bem como da estrutura orgânica que lhe dará suporte. Por tudo o que já foi referido, facilmente se constata como sendo “necessária uma nova mentalidade sobre a segurança da informação, para que esta seja aceite como uma preocupação transversal da organização. Só assim, as organizações farão uma correta abordagem às exigências do RGPD, sendo mais eficazes na proteção e prevenção de fugas de informação.” O correto mapeamento de riscos e desafios na gestão interna da privacidade de dados, deverá permitir aproveitar oportunidades e desenvolver sinergias entre departamentos, sendo que a integração do diagnóstico de privacidade de dados com outras iniciativas de auditoria interna e de certificação de processos, permitirá reduzir os custos associados.
tratamento, armazenamento e eliminação de dados pessoais, bem como a definição de processos de notificação à autoridade e titulares dos dados, no caso de acesso indevido ou de fuga de informação. Por último, será sempre necessária uma revisão da política de segurança, tornando-a mais robusta através do reforço dos mecanismos de autenticação, da gestão de perfis de acesso, da configuração de plataformas e dispositivos, da confidencialidade das transmissões de dados e do registo dos acessos. Quanto à figura do Encarregado de Proteção de Dados (DPO), e caso não seja observado o enquadramento que aponta à sua obrigatoriedade, é essencial que cada entidade faça o seu diagnóstico e a sua avaliação de complexidade de tratamento de dados para aferir a necessidade de nomeação de um DPO ou se, ao invés, a opção pela função não formalizada de um Responsável de Proteção de Dados será suficiente para corresponder às exigências do RGPD. Tendo, como principais tarefas, aconselhar a organização e os trabalhadores, garantir a execução das avaliações de impacto de risco (quando necessárias) e cooperar com as entidades de controlo, sendo o ponto de contacto com a Autoridade Nacional, o DPO tem como principais desafios conhecer bem a estrutura da organização e consciencializar os stakeholders relevantes para a implementação do programa de proteção de dados. Não é uma função de pouca relevância e, como tal, requer alguma ponderação no momento da escolha e
O RGPD irá estimular a inovação como pretendem as Instituições Europeias? A evolução do conceito de privacidade de dados faz com que as organizações se tornem conscientes e totalmente estruturadas em relação aos seus processos internos, bem como inclinadas para se tornarem mais digitais nas suas operações. O mapeamento de informações e a avaliação de riscos, juntamente com a implementação da privacidade por default e por design, capacitarão as organizações de identificar melhor as suas lacunas e pontos fortes, podendo derivar conhecimento a partir da informação guardada. Hoje em dia, a realidade empresarial assume-se como claramente vulnerável. Apesar de existir uma desvalorização do risco de se ser vítima de ataque, na realidade as empresas converteram-se nos principais alvos dos hackers e das fugas de informação internas. Existe uma incapacidade generalizada de medir, avaliar e mitigar os riscos de segurança, bem como uma regular inexistência de uma estratégia de segurança da informação. Para este cenário de pouca preparação, acresce o facto da sensibilização e formação dos recursos humanos serem, na maior parte dos casos, quase nulas ou inexistentes. Reforçar ou criar as estruturas adequadas de segurança de informação será sempre mais difícil, não só para as entidades que tenham poucos recursos disponíveis, mas principalmente para aquelas que, atendendo à dificuldade de justificar o retorno do investimento, não conseguirão obter o apoio da sua administração para desbloquear os recursos necessários. V
proteger JANEIRO | MARÇO 2018
— TEMA DE CAPA
3
— CONSCIENCIALIZAR OS COLABORADORES PARA A CIBERSEGURANÇA TEXTO Jorge Vicente Lidl Portugal
Consciencializar e sensibilizar os colaboradores de uma organização é uma vantagem competitiva e uma motivação para o colaborador. É também a melhor forma de se conhecer o colaborador e de entender a sua forma de pensar e de agir perante uma situação definida, planeada ou mesmo inesperada. As pessoas são o principal ativo das organizações, pois são elas que aplicam os processos de negócio com recurso à tecnologia disponibilizada. Os Millennials estão a chegar ao mercado de trabalho e esta geração tem uma abordagem diferente ao trabalho e à tecnologia. São pessoas ativas, pragmáticas e inovadoras, vivem ligadas, partilham experiências pessoais e profissionais nas redes sociais, querem mobilidade total e facilidade de acesso à informação. As organizações serão mais ricas e dinâmicas se conseguirem juntar diferentes gerações, com diferentes perspetivas, mas com os mesmos objetivos. As pessoas que constituem as organizações devem remar no mesmo sentido e para isso todos devem ter os mesmos princípios e objetivos. A implementação de um plano de sensibilização para as organizações é o caminho adequado para reduzir os riscos, alinhá-las com as obrigações legais e aproveitar as oportunidades de melhoria. O risco: vive-se na era da mobilidade, as empresas já não têm um perímetro de defesa definido pelas suas instalações físicas. Os dispositivos móveis abriram as portas à mobilidade: hoje um colaborador pode trabalhar dentro ou fora das instalações com os dispositivos próprios ou da empresa. Neste mundo distribuído e informatizado onde já não existem empresas sem sistemas informáticos ou 28.
sistemas automáticos, todos os setores estão dependentes da IT e dos seus riscos. Existe hoje o risco de se perder o controlo da gestão das barragens, das centrais elétricas, do gás, dos transportes, da saúde, do sistema bancário, da distribuição de bens alimentares e de fármacos, e dos serviços governamentais, como a segurança social, a justiça e as forças armadas. Este proteger JANEIRO | MARÇO 2018
risco não só é imaginável, como é efetivo, quer por fraudes informáticas quer por falhas humanas já assistidas. Recorde-se o WannaCry que, em 12 de maio de 2017, parou o serviço de saúde britânico, fábricas da Renault em França e afetou várias empresas em Portugal. E o “Petya” que iniciou a sua propagação a 27 de junho e atacou mais de duas dezenas de
As organizações serão mais ricas e dinâmicas se conseguirem juntar diferentes gerações, com diferentes perspetivas, mas com os mesmos objetivos.
empresas na Ucrânia, o grupo petrolífero na Rússia (Rosneft) e a companhia de transportes marítimo Maersk. Na Alemanha, a empresa Deutsche Post DHL foi afetada nas entregas, o metro parou e a multinacional Beiersdorf, que produz a marca Nivea e Eucerin, esteve parada três dias. Mais recentemente, um falso alarme de ameaça de míssil balístico no Havai, que
provocou o pânico na população, está ainda por explicar. Terá sido provocado por um ciberataque, utilizando a password dos sistemas divulgada nas redes sociais através de uma fotografia, ou tratou-se de um erro humano por falta de formação? Persiste a dúvida! O quotidiano das organizações é preenchido com inúmeras tentativas proteger JANEIRO | MARÇO 2018
de fraudes, com cartões bancários, com campanhas de marketing e emails falsos, etc. Logo, sensibilizar os colaboradores para o risco de fraude e tipos de ataques reduz a sua probabilidade. A obrigação: os novos regulamentos ou diretivas estão cada vez mais focadas nas tecnologias de informação e exigem mais requisitos técnicos e melhor governança. O novo regulamento europeu, RGPD – Regulamento Geral de Proteção de Dados Pessoais, de 4 de maio de 2016, com aplicação a partir de 25 de maio de 2018, vem reforçar a necessidade de sensibilizar de forma adequada. O regulamento prevê o período de dois anos para que as organizações se adaptem às novas regras, tais como: — Novos direitos e obrigações, ex. direito ao esquecimento e à portabilidade dos dados, etc.; — Coimas elevadas em caso de incumprimento, até 20 milhões de euros ou 4% do volume anual de negócios do grupo; — Incluir a privacidade, desde a conceção, como princípio orientador nas organizações (Privacy by default); — A confiança nas TIC impõe garantir que as tecnologias não afetam os direitos fundamentais das pessoas à privacidade e à proteção dos dados pessoais (Privacy by design); — Princípio de responsabilidade na recolha e proteção dos dados, (Accountability e Opposition to profiling); — A obrigação de identificar, classificar os dados pessoais e demonstrar governança; — Estratégia baseada nos conhecimentos e em recursos sensibilizados. 29.
— TEMA DE CAPA
A diretiva europeia NIS – Network and Information Security, de 6 de julho de 2016, relativa à segurança das redes e da informação, visa aumentar a cooperação entre os Estados Membros e criar uma cultura de segurança. Os Estados-Membros dispõem de 21 meses para a transpor para a ordem jurídica nacional e de seis meses adicionais para identificar os prestadores de serviços essenciais.
— Possuir a capacidade de fazer a adequada identificação de um “incidente” e “tratamento de incidentes”, com todos os procedimentos de apoio à deteção, análise, contenção e resposta; — Possuir um procedimento de análise de “Risco”, respetiva classificação e identificação de um evento;
executar um plano de sensibilização em Cibersegurança: 1. Conhecer melhor os colaboradores, os pontos fortes e as fraquezas; 2. P erceber onde reforçar o conhecimento dos processos de negócio; 3. F ocar os colaboradores nos processos e tecnologias do negócio;
um colaborador sensibilizado reduz os riscos
4. Reduzir o risco de coimas, de fuga de informação, perda de competitividade, fraude e ataques; 5. D ar um passo para a conformidade legal.
Esta diretiva estabelece medidas destinadas a alcançar um elevado nível de segurança das redes e dos sistemas de informação na União com os seguintes requisitos: — Criar uma rede de equipas de resposta a incidentes de segurança informática; — Estabelecer requisitos de segurança e de notificação para os operadores de serviços essenciais em cooperação nacional e internacional; — Garantir regras que definem a capacidade das redes e dos sistemas para resistir às ações que comprometam a disponibilidade, a autenticidade, a integridade ou a confidencialidade dos dados armazenados, transmitidos ou tratados; 30.
— A Agência Europeia para a Segurança das Redes e da Informação (ENISA) presta assistência nos domínios da estratégia de segurança das redes e dos sistemas de informação, na realização de exercícios de segurança, no intercâmbio de informações e em ações de sensibilização e formação. A oportunidade: a regulamentação traz a oportunidade de organização dos sistemas, dos dados, dos processos de negócio que recolhem e tratam dados e de reduzir o shadow IT risk, ou seja, os riscos desconhecidos da IT. Este é o momento de sensibilizar e de atingir a conformidade, legal e técnica de processos. O fator humano é fundamental no reforço da cibersegurança por isso aqui ficam cinco razões para estabelecer e proteger JANEIRO | MARÇO 2018
Em conclusão, defina uma estratégia para a sensibilização dividida em três áreas: — O estabelecer do plano de sensibilização alinhado com a missão da organização, de forma a que este abranja as necessidades do negócio, a cultura e se possível a arquitetura IT; — A execução do plano com base nos fatores de risco internos e externos, conteúdos adequados aos diferentes grupos e níveis de conhecimento; — A avaliação e adaptação do plano pela recolha de indicadores, ex.: identifique a baseline patamar de conhecimento inicial; após a realização da sensibilização, recolha os novos indicadores; avalie a evolução; e introduza novos conteúdos de acordo com as necessidades. Um colaborador sensibilizado reduz os riscos, está alinhado com os princípios da empresa, aplica as boas práticas e cumpre as obrigações legais. V
— GRANDE ENTREVISTA
GRANDE ENTREVISTA
Pedro Veiga “AS PESSOAS FAZEM ANÁLISES DE RISCO PARA BALIZAR O SEU COMPORTAMENTO E A SEGURANÇA, INFELIZMENTE, É ALGO QUE DESCURAMOS” ENTREVISTA M.ª João Conde & Joana Marques APSEI FOTOGRAFIA Joana Marques APSEI
32.
proteger JANEIRO | MARÇO 2018
NO PASSADO DIA 20 DE FEVEREIRO, DECORREU, NO CENTRO NACIONAL DE CIBERSEGURANÇA (CNCS), A CONFERÊNCIA “CIBERSEGURANÇA: AMEAÇAS EM 2017”, ONDE FOI DIVULGADO E ANALISADO O RELATÓRIO DA ENISA (THREAT LANDSCAPE 2017). NO FIM DESTA INICIATIVA, TIVEMOS A OPORTUNIDADE DE CONVERSAR COM O PROFESSOR DOUTOR PEDRO VEIGA SOBRE AS CIBERAMEAÇAS QUE NOS RODEIAM, OS DESAFIOS DA EVOLUÇÃO TECNOLÓGICA E A ADAPTAÇÃO DOS ORGANISMOS AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS.
Pode elucidar-nos sobre a missão do Centro Nacional de Cibersegurança (CNCS)? O CNCS atua como coordenador operacional e autoridade nacional especialista em matéria de cibersegurança, garantindo que o ciberespaço é utilizado como espaço de liberdade, segurança e justiça, para proteção dos setores da sociedade que materializam a soberania nacional e o Estado de Direito Democrático – o Centro está vocacionado para a Administração Pública Central e para as empresas que gerem infraestruturas críticas, ou seja, empresas ligadas ao setor dos transportes e energia (eletricidade, petróleo, gás). A segurança do ciberespaço está organizada em três grandes áreas: a cibersegurança, que é da responsabilidade do CNCS, o cibercrime, que é da competência da Polícia Judiciária (PJ), e a ciberdefesa que pertence à tutela do Ministério da Defesa. Nós lidamos com a segurança numa perspetiva de difusão de boas práticas e de normas que prescrevem como as organizações se devem preparar para incrementar o seu grau de segurança no ciberespaço. Portanto, atuamos na segurança na vertente da prevenção. Por exemplo, a estratégia nacional de cibersegurança aborda também o cibercrime, atribuindo a responsabilidade de investigação à PJ; aborda a proteção do ciberespaço e das infraestruturas,
nesta área, em que às vezes há uma grande urgência, do ponto de vista da competição, (...) acaba por se desvalorizar a segurança, o que é uma má prática.
nomeadamente em empresas que gerem serviços como eletricidade, gás, transportes, sistema bancário, financeiro, saúde, distribuição de água potável e as infraestruturas digitais; isto é, o CNCS coordena a atuação, define as regras gerais, mas quem atua e implementa essas regras são as referidas entidades. Investimos bastante em educação, sensibilização e prevenção, sendo proteger JANEIRO | MARÇO 2018
exemplo disso a conferência de hoje sobre as ciberameaças na Europa e análise de tendências. Concretizamos este investimento através de diversos eventos que realizamos; de documentação que produzimos (autonomamente ou em colaboração com outras entidades), à semelhança da que partilhámos recentemente no nosso site e Facebook sobre os cuidados que as pessoas devem ter para proteger os seus equipamentos eletrónicos quando viajam. O CNCS tem igualmente uma componente de atuação na investigação e desenvolvimento, que é feita em colaboração nas universidades e unidades de I&D, bem como uma forte intervenção na área da cooperação. Quando visitamos as organizações, alertamos para o que é a cibersegurança, os cuidados a ter, esclarecendo de que não se trata apenas de uma questão tecnológica, mas também organizativa e comportamental. Abordamos também a importância da proteção dos dados, apresentamos o relatório da ENISA, os desafios, a ameaça interna, apresentamos a diretiva Segurança das Redes e Sistemas de Informação e o que preconiza e se virá a tornar na Lei da Cibersegurança. Há pouco, durante a conferência, ouvimos Jorge Portugal, da Cotec, a relatar que a inovação da indústria 4.0 está a ser feita 33.
— GRANDE ENTREVISTA
Licenciado em Engenharia Eletrotécnica (1975) e Doutorado em Engenharia Electrotécnica (1984) pelo Instituto Superior Técnico, assumiu funções
de Coordenador do Centro Nacional de Cibersegurança em abril de 2016. Foi presidente da antiga Fundação para a Computação Científica Nacional (FCCN) desde 1997
até 2013 e fez parte da administração da ENISA em representação de Portugal, entre 2012 e 2014.
à revelia da segurança. De que forma podemos contrariar esta tendência? Passa sobretudo por uma mudança de mentalidades dos gestores das empresas que têm de pensar que a segurança deve ser uma preocupação à cabeça. Infelizmente não é fácil, porque, normalmente, aumenta os custos, atrasa o time to market do produto. Nas organizações e na vida comum, as pessoas fazem análises de risco para balizar o seu comportamento e a segurança, infelizmente, é algo que descuramos. E nesta área, em que às vezes há uma grande urgência, do ponto de vista de competição, para chegar antes da empresa concorrente ou ter o produto mais barato, acaba por se desvalorizar a segurança, o que é uma má prática.
o envio, via email, de dados pessoais ou informações críticas do negócio apenas deve ser feito de forma encriptada; as passwords devem ser alteradas, no máximo, a cada 90 dias… Há uma quantidade significativa de boas práticas que deve ser implementada e não pode ser descurada. Por outro lado, no que diz respeito aos investimentos a efetuar, grande parte dos decisores não percebem que investir na prevenção da cibersegurança é vantajoso porque vai evitar que, mais tarde, se tenham gastos adicionais na fase de funcionamento. A segurança deve ser entendida como investimento que tem retorno e que evita muitas dores de cabeça, multas ou falhas de continuidade dos serviços mais tarde.
Mas também ouvimos dizer que o investimento financeiro não precisa de ser muito avultado, mas passa mais por interiorização de comportamentos corretos. Sim, os comportamentos são muito importantes. Por exemplo, para quem trabalha num escritório, quando imprime documentos confidenciais, deve acompanhar o processo de impressão, garantindo que ninguém tem acesso aos documentos; quando se abandona a secretária, o utilizador deve ficar bloqueado;
Percebemos também que o fator humano é sempre o mais fraco da cadeia e que o CNCS irá tentar implementar, através do projeto Dogana, uma estratégia de consciencialização relativamente às ameaças à cibersegurança. Em que é que consiste este projeto? É um projeto internacional, co-financiado pela União Europeia (EU), que surge pela necessidade de colmatar as vulnerabilidades identificadas no elemento humano, como um vetor de ataque que tem vindo a ser mais explorado, quer pela carência de
34.
proteger JANEIRO | MARÇO 2018
ferramentas de segurança adequadas, quer pela necessidade constante de consciencialização e educação das pessoas neste domínio. Resumindo, é um projeto na área dos fatores humanos no mundo digital. A base do Dogana será um teste, realizado num universo de 200 pessoas de um grande organismo público, cujos resultados nos ajudarão a perceber como é que as pessoas agem quando confrontadas com situações de cibersegurança. O grupo é composto por pessoas de várias faixas etárias e géneros que não sabem quando é que vão ser testadas. A certa altura, recebem um email com determinado conteúdo e nós vamos analisar o comportamento de cada um dos participantes a esse conteúdo, criando uma relação entre a sua reação e a cibersegurança das organizações. Há, por exemplo, experiências internacionais, onde os participantes recebem um email com o assunto “Não abrir” e, em média, 20% das pessoas abre… depois dentro da mensagem há um link que diz “Não clique aqui” e, mesmo assim, há quem clique! Qual a sua opinião relativamente ao grau de preparação e de adaptação das empresas às novas regras do novo Regulamento Geral de Proteção de Dados (RGPD) que entrará em vigor já em maio?
Boas Boas práticas práticas de segurança de segurança da informação. da informação. — Todos Todos os os seus seus dispositivos dispositivosmóveis móveisdevem devem estar estar protegidos protegidoscom compassword; password; — Altere as as passwords regularmente, sistemanão nãoooobrigue obrigue fazê-lo; Altere passwords regularmente,mesmo mesmo que que o sistema aa fazê-lo; — NãoNão utilize as as mesmas passwords da organização organizaçãoe esistemas sistemas pessoais; utilize mesmas passwordspara para os os sistemas sistemas da pessoais; — NãoNão clique emem links dedeemails o endereço endereçodiretamente diretamente browser; clique links emailssuspeitos. suspeitos. Escreva Escreva o nono browser; — Se Se o seu computador detetar de um umcomportamento comportamento anormal, deve: o seu computador detetarum umvírus vírus ou ou suspeitar suspeitar de anormal, deve:
1. Desligar o Wi-Fi; 1. Desligar o wi-fi;
2. Remover o cabo de rede; 2. Remover o cabo de rede;
3. Não3.desligue o equipamento; Não desligue o equipamento;
4. Contacte de imediato o suporte informático dada empresa. 4. Contacte de imediato o suporte informático empresa.
—C onsulte os os extratos das regularidade.Se Seencontrar encontrar algum Consulte extratos dascontas contasbancárias bancárias com com regularidade. algum movimento movimento contacte deo imediato prestador do estranho, estranho, contacte de imediato prestadorodo serviço ou o serviço banco; ou o banco; —E vite falar dede assuntos dedetrabalho críticasde denegócio negócio em locais Evite falar assuntos trabalhoou ou ler ler informações informações críticas em locais e e transportes públicos; transportes públicos; — NãoNão coloque informações públicos(ex.: (ex.:Dropbox); Dropbox); coloque informaçõesda daorganização organização em em sites sites públicos — Quando fizer compras/pagamentos Quando fizer compras/pagamentosonline: online:
PRÓXIMO CURSO
Curso Geral de Cibersegurança 3 e 4 julho
1. U tilize cartões de crédito pré-pagos e carregados com 1. Uapenas tilize apenas cartões de crédito pré-pagos e carregados comvalor valornecessário necessário para apara compra; a compra;
2. E vite fazer compras em websites forafora da da UE,EU, pois poderá ter 2. E vite fazer compras em websites pois poderá terdificuldades dificuldades em em reclamar se ocorrer algum problema; reclamar se ocorrer algum problema;
3. T enha cuidado com com a utilização de redes Wi-Fi operações. 3. Tenha cuidado a utilização de redes wi-fipúblicas públicaspara para estas estas operações. Muitas não são e podem estar a guardar osos dados Muitas não seguras são seguras e podem estar a guardar dadosdos dosseus seuscartões. cartões.
Fonte: Website Fonte: Website do Centro doNacional Centro Nacional de Cibersegurança. de Cibersegurança. Autoria da Autoria informação: da informação: Lidl PT. Lidl PT.
GNS/CNCS Rua da Junqueira, 69
Como sabem, o CNCS não tem intervenção direta no RGPD. O Centro tem responsabilidade na área da cibersegurança e na transposição da diretiva Segurança das Redes e Sistemas de Informação. O RGPD em Portugal é acompanhado pela Comissão Nacional de Proteção de Dados (CNPD). São duas peças legislativas da EU distintas. Há uma quantidade de entidades que estão a olhar isto como uma oportunidade comercial e há sociedades de advogados, universidades e todo um conjunto de entidades a fazer formações na área do RGPD. O que posso dizer, da minha experiência de professor universitário, é que há uma falta de preparação das pessoas para os desafios do mundo digital e muitas pessoas nem devem saber que o regulamento vai entrar em vigor. Não sei se foi feito algum teste junto de gestores de PME para auscultar o seu conhecimento sobre o RGPD, mas estou convencido que se tivesse sido feito, a percentagem dos que diriam “Sim” era baixíssima, e isso é um problema. Os problemas no mundo digital são muito complicados porque é uma área nova e as pessoas muitas vezes são demasiado despreocupadas. Não é uma dificuldade só no nosso País, é uma dificuldade generalizada. Quer nós, quer outras entidades, andamos a fazer um grande esforço para
boas práticas e, curiosamente, pouco tempo depois deu-se o ataque do WannaCry e muitas organizações não estavam preparadas.
há uma falta de preparação das pessoas para os desafios do mundo digital e muitas pessoas nem devem saber que o regulamento vai entrar em vigor.
que a nossa sociedade se prepare para os desafios de um mundo digital. O evento desta manhã e o que se vai realizar em breve sobre o EU, Cybersecurity Act – Establishing the link between Standardization and Certification, é um exemplo da nossa tentativa de antecipar problemas. Há cerca um ano, dia 27 de janeiro tivemos um evento sobre ransomware em que se divulgaram proteger JANEIRO | MARÇO 2018
Falando no WannaCry (um ataque ransomware que afetou 230.000 sistemas a nível mundial), estamos às portas de uma nova atualização dos processos internos das organizações com o RGPD e, de alguma forma, isso terá de se enquadrar nos processos de segurança. A um ano deste ataque, poderá haver alguma fragilidade maior neste momento? Eu diria que depois do WannaCry, a maior parte das empresas apanharam um susto e instalaram finalmente as atualizações de segurança. Essa fragilidade que existia no Windows XP, que não tinha sido atualizado, já não se deve verificar. Existem é desafios permanentes porque a cibersegurança, neste momento, é um grande negócio e há muitos criminosos a fazer negócio. É um submundo do crime que tenta explorar as falhas da sociedade para fazer dinheiro e o cibercrime financeiro é uma nova porta aberta para os criminosos. É o jogo do gato e do rato e se o gato estiver bem preparado, apanha os ratos com mais facilidade, ou se tapar os buracos que tem em casa, os ratos não conseguem entrar e o gato fica mais descansado. 35.
Para além das organizações que não estão preparados para esta nova realidade, também existirão muitas pessoas que não cresceram com as novas tecnologias ou que não têm propensão para a mesma, em que a necessidade de adaptação é maior. Que ações o CNCS tem implementado para facilitar esta adaptação e consciencialização relativamente à cibersegurança? Um exemplo do que temos feito é a publicação com boas práticas quando vamos de viagem – “Viaje com cibersegurança – Conselhos aos viajantes”. No ano passado apresentamos uma proposta ao Governo que vai arrancar até ao fim do primeiro semestre, onde vamos ter no nosso site com conteúdo educativo. Chama-se Cidadão Ciberseguro, é dirigido para todas as pessoas e inclui, por exemplo, vídeos com recomendações. Outro exemplo, é o nosso canal do Youtube onde temos vindo a partilhar alguns vídeos com boas práticas. Voltando ao RGPD, considera que as entidades públicas e empresas estarão preparadas para adaptar as novas regras, ao mesmo tempo que respeitam as questões de segurança internas? Eu tenho dificuldade em responder-lhe com base em generalizações. Há empresas que estão muito bem preparadas porque estão em negócios em que manipulam muitos dados pessoais e, portanto, estavam bastante atentas para esta problemática, e depois há empresas que nem sabem que há um RGPD. No caso da Administração Pública, o Governo tem vindo a criar e implementar uma série de medidas como, por exemplo, a criação de um grupo de trabalho que é integrado pelo ContraAlmirante Gameiro Marques, Diretor Geral do Gabinete Nacional de Segurança, que elaborou um conjunto de propostas que, quando forem aprovadas, constituirão preceitos obrigatórios para a administração pública. Ou seja, em futuros concursos públicos que tenham por objeto a aquisição de novos sistemas de informação, terão obrigatoriamente que responder a um caderno de encargos com determinadas especificações, a fim de serem compatíveis com esta legislação. Naturalmente que esta legislação poderá ser utilizada como um guião para o setor privado. Mas o Estado não é “paizinho” das empresas e as empresas são livres para adotar as práticas que entenderem e escolherem os fornecedores que entenderem, desde que rerspeitem a lei. Felizmente, cada vez mais se encontram fornecedores que têm interesse em oferecer uma solução adequada com o panorama atual e compatível com a legislação em vigor.
Regulamento geral de proteção de dados. —D ados pessoais são todas as informações relativas a uma pessoa identificada ou identificável (nome, morada, telefone, imagem, etc.); —N ão deve reunir dados pessoais (em papel ou formato eletrónico) sem informar o Encarregado de Proteção de Dados (DPO – Data Private Officer) da organização, quando aplicável a existência desta figura na organização; —A o destruir ou eliminar dados pessoais, garanta que estes não podem ser recuperados por terceiros; — Se perder ou se roubarem dados pessoais da organização, informe de imediato o DPO; —O DPO tem a obrigação de comunicar às autoridades todas as “fugas” ou perdas de dados pessoais; —A destruição de informação confidencial deve ser realizada de acordo com regras de segurança e procedimentos adequados, tais como:
1. A eliminação de impressões deve ocorrer no escritório;
2. A eliminação de impressões só é permitida em casa se o colaborador utilizar uma trituradora de corte em pedaços com o máximo de 8mm;
3. A destruição de pequenos volumes de papel é realizada pelo próprio colaborador nos destruidores de papel disponibilizados pela empresa;
4. A destruição de grandes volumes de papel deve ser feita a pedido;
5. O s equipamentos eletrónicos só podem ser destruídos ou ter os dados apagados pelo IT.
Fonte: Website do Centro Nacional de Cibersegurança. Autoria da informação: Lidl PT.
Professor Catedrático do Departamento de Informática da Faculdade de Ciências da Universidade de Lisboa, desde 1993, foi Membro do Conselho do International Institute of Software Technology (IIST) da United Nations University de 2000 a 2007 e assumiu o cargo de Pró-reitor da Universidade de Lisboa, responsável pelos Sistemas de Informação (2009-2013). Por fim e, enquanto cidadãos, temos uma curiosidade sobre passwords: onde é que as devemos guardar? Há programas para guardar passwords, mas pode, por exemplo, anotar em papel ou num ficheiro. Não se deve é registar a password direta, mas usar mnemónicas. Por exemplo, imagine que a password é o nome da sua mãe e do filho com um carater especial e uma maiúscula. Então, deveria escrever no papel “Mãe(filho)” e não os nomes deles diretamente. proteger JANEIRO | MARÇO 2018
Ou então tem o nome da mãe e o código postal, o que ficaria algo como “Mãe(CP)”. ”Assim, não tem a password na sua forma original. E nunca se deve usar a data de nascimento no pin dos cartões de multibanco, porque os ladrões, quando roubam uma carteira, a primeira coisa que fazem é ver o Cartão de Cidadão e testar a data no pin do cartão. Quanto aos programas para guardar as passwords, alguns também já foram corrompidos, por isso, esses, eu não aconselho. V 37.
— INFORMAÇÃO TÉCNICA
Exposição ocupacional a substâncias perigosas. — Cumprimento de disposições legais. TEXTO Teresa Almeida & Ana Fernandes ACT – Autoridade para as Condições do Trabalho
ENQUADRAMENTO LEGAL A utilização de agentes químicos perigosos (substâncias e misturas), em contexto profissional, pressupõe o cumprimento de disposições legais específicas de Segurança e Saúde no Trabalho (SST) em articulação com outras regulamentações europeias de aplicação direta, os Regulamentos REACH e CLP, respetivamente relativos ao Registo, Avaliação, Autorização e Restrição de Sustâncias Químicas [Regulamento (CE) n.º 1907/2006, de 18 de dezembro] e a Classificação, Rotulagem e Embalagem de substâncias e misturas [Regulamento (CE) n.º 1272/2008, de 16 de dezembro]. A legislação de SST que visa a proteção dos trabalhadores contra os riscos de exposição a agentes químicos encontra-se distribuída por várias disposições legais, das quais se destacam as seguintes: — O Regime Jurídico da Promoção da Segurança e Saúde no Trabalho (RJPSST); — O Decreto-Lei n.º 24/2012, de 6 de fevereiro, relativo à proteção dos trabalhadores contra riscos de exposição a agentes químicos no trabalho – prescrições mínimas; — O Decreto-Lei n.º 301/2000, de 18 de setembro, relativo à proteção dos trabalhadores contra riscos de exposição a agentes cancerígenos ou mutagénicos no trabalho (alterações previstas aquando da transposição da Diretiva dos agentes cancerígenos e mutagénicos); 40.
— O Decreto-Lei n.º 88/2015, de 28 de maio, (que altera o Decreto-Lei n.º 24/2012 e Decreto-Lei n.º 301/2000 e outros e transpõe a Diretiva 2014/27/ EU no que se refere a adaptação ao CLP). Considerando o progresso técnico e científico e consequente alteração da regulamentação, a curto prazo surgirá um novo enquadramento legal, resultado da transposição de duas Diretivas: a Diretiva (EU) 2017/164, de 31 de janeiro, que estabelece a 4.ª Lista de valores-limite de exposição profissional indicativos, e a Diretiva 2017/2398 de 12 de dezembro,
relativa à proteção dos trabalhadores contra riscos de exposição a agentes cancerígenos ou mutagénicos no trabalho, que fixa valores-limite de exposição a agentes cancerígenos e mutagénicos para mais 11 agentes cancerígenos que os que constam na Diretiva em vigor. AVALIAÇÃO DE RISCOS NA ÓPTICA DO REGULAMENTO REACH E LEGISLAÇÃO DE SST A interface entre o Regulamento REACH e a legislação de SST torna possível que a avaliação de riscos no local de trabalho seja complementar à avaliação de
PROTEÇÃO DE TRABALHADORES EXPOSTOS A PRODUTOS QUÍMICOS
COMERCIALIZAÇÃO E UTILIZAÇÃO DE SUBSTÂNCIAS
AVALIAÇÃO DO RISCO QUÍMICO
+
SUBSTITUIÇÃO DE SUBSTÂNCIAS REACH CLP
Fig. 1 – Diferentes perspetivas da avaliação de risco.
proteger JANEIRO | MARÇO 2018
LEGISLAÇÃO
SST
segurança química realizada no âmbito do Regulamento REACH. Por sua vez, o Regulamento CLP prevê a comunicação dos perigos apresentados por substâncias e misturas, por meio da classificação e rotulagem. Desta complementaridade de disposições legais resulta uma utilização mais segura do produto químico e consequentemente uma maior proteção da saúde dos utilizadores de produtos químicos (fig. 1). No âmbito do Regulamento REACH, o registo da substância assegura que foram considerados os riscos associados à sua utilização, tornando possível comunicar devidamente na cadeia de abastecimento a sua utilização em segurança. Durante o período de registo das substâncias, cuja 3.ª fase termina em 31 de maio de 2018, existem circunstâncias várias em que os registantes têm de apresentar uma avaliação da segurança química (CSA) das substâncias, face aos usos dados à substância pelos seus clientes e que lhes foram reportados ou têm conhecimento. Esta avaliação da segurança química irá dar origem aos cenários de exposição que surgem nas Fichas de Dados de Segurança (FDS), passando estas a designar-se por Fichas de Dados de Segurança Alargadas (FDSa). A Avaliação de segurança química do registante não substitui a avaliação de risco ao nível do utilizador, da responsabilidade do empregador. No âmbito da Legislação de SST, o artigo 15.º do RJPSST obriga o empregador a assegurar, nos locais de trabalho, que as exposições aos agentes químicos, físicos e biológicos e os fatores de risco psicossociais não constituem risco para a segurança e saúde do trabalhador. — No ponto 1 do artigo 73.º – B do RJPSST, relativo às atividades principais do serviço de segurança e de saúde no trabalho, está previsto que este serviço “deva tomar as medidas necessárias para prevenir os riscos profissionais e promover a segurança e a saúde dos trabalhadores, nomeadamente: a) Planear a prevenção, integrando, a todos os níveis e para o conjunto das atividades da empresa, a avaliação dos riscos e as respetivas medidas de prevenção;
b) Proceder à avaliação dos riscos, elaborando os respetivos relatórios; c) Elaborar o plano de prevenção de riscos profissionais, bem como planos detalhados de prevenção e proteção exigidos por legislação específica.” — O artigo 4.º do Decreto-Lei n.º 301/2000, de 18 de setembro, relativo à avaliação do risco prevê igualmente que “Nas atividades suscetíveis de apresentar risco de exposição a agentes cancerígenos ou mutagénicos, o empregador deve avaliar o risco para a segurança e a saúde dos trabalhadores, determinando a natureza, o grau e o tempo de exposição.” — O artigo 7.º do Decreto-Lei n.º 24/2012, de 6 de fevereiro, relativo à avaliação do risco de exposição a agentes químicos perigosos, prevê ainda que o empregador deva avaliar os riscos tendo em consideração, nomeadamente: a) As suas propriedades perigosas; b) A s informações relativas à segurança e à saúde constantes das fichas de dados de segurança de acordo com a legislação aplicável sobre classificação, embalagem e rotulagem das substâncias e misturas perigosas e outras informações suplementares necessárias à avaliação de risco fornecidas pelo fabricante, designadamente a avaliação específica dos riscos para os utilizadores; c) A natureza, o grau e a duração da exposição; d) A presença simultânea de vários agentes químicos perigosos; e) A s condições de trabalho que impliquem a presença desses agentes, incluindo a sua quantidade; f ) Os valores-limite estabelecidos nos anexos I, II e III; g) Os valores-limite de exposição profissional a agentes cancerígenos ou mutagénicos e ao amianto, estabelecidos em legislação especial; h) O efeito das medidas de prevenção implementadas ou a implementar; i) O s resultados disponíveis sobre a vigilância da saúde efetuada. proteger JANEIRO | MARÇO 2018
SEMELHANÇAS ENTRE O REGULAMENTO REACH E LEGISLAÇÃO SST Para além da partilha de dados entre as empresas que registem a mesma substância, evitando testes desnecessários em animais e redução de custos, o Regulamento REACH prevê ainda a gradual substituição de substâncias de maior perigosidade por outras de menor perigosidade, à semelhança do que se verifica na legislação de SST, em que a exposição a determinados agentes, por exemplo cancerígenos e mutagénicos, é eliminada ou, na sua impossibilidade, reduzida a exposição. No âmbito do Regulamento REACH, as substâncias de elevada preocupação (SVHC) serão sujeitas a autorização por forma a garantir um controlo e serão gradualmente substituídas por outras substâncias alternativas adequadas que apresentem menor perigosidade. São exemplos de SVHC: — Substâncias cancerígenas Cat 1A e 1B; — Células germinativas mutagénicas Cat 1A e 1B; — Substâncias tóxicas para a reprodução Cat 1A e 1B; — Substâncias Persistentes, Bioacumuláveis, Tóxicas (PBT); — Muito Persistentes, muito Bioacumuláveis (mPmB); — Disruptores endócrinos. O Regulamento REACH prevê ainda restrições de substâncias em certos processos e ou setores. Quando as substâncias se encontram no anexo XVII do REACH, correspondente às restrições, apresentam uso restrito por apresentarem risco inaceitável, pelo que em hipótese alguma devem ser utilizadas. A nível da SST, existem igualmente substâncias proibidas e condicionadas a determinados grupos vulneráveis e outras que requerem autorização para a sua utilização, que importa considerar. Ambas as condições devem ser verificadas em sede de utilização dos agentes químicos. No que se refere à proteção do trabalhador, deverá ainda ter-se em conta não só os valores-limite de exposição profissional (VLE) como os níveis de efeito derivado como o DNEL (Derived No-Effect 41.
— INFORMAÇÃO TÉCNICA
Quadro 1 LOCAL DE TRABALHO
PROCESSO
— Dimensão do espaço ;
— Frequência e duração da atividade/tarefa;
— Condições de exaustão e circulação de ar;
— Substância perigosa (priorizar se for uma SVHC);
— Condições de limpeza;
— Quantidade utilizada da substância;
— Manutenção de equipamentos de trabalho (por exemplo, filtros, etc.).
— Existência de valores-limite legais de exposição para a substância; — Tipo de sistema: aberto ou fechado; — Proximidade do trabalhador ao agente químico (considerar via de exposição); — Número de trabalhadores envolvidos na atividade/ tarefa; — Existência de proteções coletivas; — Existência de proteções individuais.
Level – nível derivado de exposição sem efeitos) para a mesma via e duração da exposição do utilizador, estabelecidos pelo Regulamento REACH. AVALIAÇÃO DO RISCO QUÍMICO — PRESSUPOSTOS A avaliação de risco profissional na utilização de produtos químicos é realizada habitualmente pelos Técnicos e Técnicos Superiores de Segurança no Trabalho (TST e TSST) que integram os serviços de segurança e saúde no trabalho. No âmbito das suas funções cabe a estes Técnicos definirem as prioridades de atuação no que se refere à avaliação de riscos e, no caso concreto de exposição a agentes químicos, avaliação do risco químico. Esta avaliação exige um conhecimento do local e posto de trabalho, bem como do processo, atividades e tarefas a executar, em que se verifique a exposição a agentes químicos, por forma a priorizar a sua intervenção.
Os principais aspetos a considerar são os sistematizados no quadro 1. No que se refere ao conhecimento das substâncias perigosas utilizadas, importa ainda dispor de um inventário com: — Designação da substância ou mistura (se mistura deve identificar as substâncias perigosas); — N.º CAS; N.º CE; N.º registo REACH (quando aplicável); — Identificação do fornecedor (caso se trate de produto importado, o país); — Data da FDS (atualizada); — Utilização da substância na empresa; — Local de utilização da substância na empresa; — Informação sobre classificação e rotulagem (identificar frases H e pictogramas); — Identificar se é substância de elevada preocupação (SVHC); — Informação de Cenários de exposição [descritores de uso, medidas de
Elementos a constar no inventário — Nome comercial do produto; — Nome da substância estreme; — Nome da mistura com a identificação das substâncias contidas na mistura; — N.º CAS, N.º CE; N.º registo REACH; — Identificação do fornecedor (caso se trate de produto importado, o país); — Data da FDS (actualizada); — Utilização da substância na empresa; — Local de utilização na empresa; — Classificação e rotulagem (Pictogramas); — Cenários de exposição (descritores, Medidas de Gestão do Risco e Condições Operacionais), se aplicável; — Quantidades consumidas (últimos 3 anos).
42.
proteger JANEIRO | MARÇO 2018
gestão de risco (MGR), condições operacionais (CO)] — Quantidades consumidas (últimos três anos). Este inventário pode ainda conter informação relativa a medidas de prevenção, resultado da avaliação de risco, desde que com nível de exigência superior às que constam do cenário de exposição, derivado do facto de, habitualmente, se ter uma reação entre substâncias e não uma substância estreme, como previsto pelo Regulamento REACH. Uma vez identificadas as substâncias perigosas, que constam do inventário, definido o papel da empresa no âmbito do REACH e definidas as prioridades de intervenção, o TST ou TSST está em condições de avaliar o risco com recurso a um método de avaliação de risco adequado. Existem vários modelos e ferramentas online que podem ser utilizadas para auxiliar na estimativa do risco e ainda preconizar algumas medidas de prevenção. São exemplos o Stoffenmanager, o COSHH Essentials (HSE) e o SEIRICH (INRS). De salientar que a utilização de um método matricial para a avaliação do risco pressupõe que este tenha a quantidade utilizada, as propriedades da substância, a frequência e duração da utilização da substância e as condições de trabalho, nomeadamente quanto ao facto de o sistema ser fechado ou aberto. Uma vez valorado o risco, há que proceder à medição da concentração dos agentes químicos presentes e que foram identificados como sendo prejudiciais para a saúde do trabalhador. Deste modo é possível monitorizar a exposição dos trabalhadores aos agentes químicos (monitorização ambiental e biológica, esta última se possível e necessário) e tomar medidas para a redução da exposição ou mesmo substituir o agente químico. COMPLEMENTARIDADE ENTRE O REGULAMENTO REACH E A LEGISLAÇÃO DE SST Em conclusão, constata-se que existe uma relação de complementaridade entre o Regulamento REACH e a legislação específica de SST, uma vez que os riscos a comunicar ao longo da cadeia de abastecimento, onde se encontram a empresa e ou profissional que utiliza as substâncias químicas, logo o trabalhador, pressupõe que seja feita uma avaliação de riscos ao nível do utilizador, da responsabilidade do empregador, tendo como base a avaliação feita pelo registante e da qual resultam elementos fundamentais para a comunicação dos riscos, como as Fichas de Dados de Segurança. V
ISO 45001 — referencial internacional dos Sistemas de Gestão da Segurança e Saúde no Trabalho. TEXTO João Carlos Costa Business Development Instituto de Soldadura e Qualidade
1 — INTRODUÇÃO A norma ISO 45001 está em publicação, prevendo-se que esta ocorra antes do fim do mês de março do corrente ano. A ISO proporcionará então à comunidade internacional um referencial para os Sistemas de Gestão da Segurança e Saúde no Trabalho (SGSST) em linha com os consagrados referenciais para a área da Qualidade (ISO 9000) e para o ambiente (ISO 14000). A ISO 45001 irá suceder ao referencial OHSAS 18001 que obteve um significativo sucesso internacional no plano da utilização como referencial. Este artigo baseia-se na versão ISO/ FDIS 45001 de 2017-11-30.
implementações de SGSST, desde 1991, identificadas em publicações específicas do “Health and Safety Executive”. Este Guia evoluiu, assumindo a forma de especificação, a OHSAS 18001 (1999). Não obstante a relevância reconhecida, mesmo internacionalmente, estes referenciais apresentavam algumas insuficiências, designadamente no plano terminológico e na vertente saúde no contexto da SST.
2 — EVOLUÇÃO DOS SGSST A evolução dos SGSST tem sido muito significativa. Assim, não obstante as decisões da ISO de não desenvolver uma normalização para a SST paralela à existente para a Qualidade (sistema ISO 9000) e o Ambiente (sistema ISO 14000), tiveram lugar, designadamente no Reino Unido, iniciativas para dotar os agentes económicos com esse tipo de ferramenta. Assistiu-se desde o meio da década de 90 a uma evolução marcada pela sucessiva publicação da BS 8800 (1996), então como um Guia que aproveitava experiência de
Assim, aquela instituição soube manter uma contínua evolução técnica que deu origem ao aparecimento de uma revisão da BS 8800 (em 2004) e posteriormente da própria OHSAS 18001 (2007). Esta constante e marcada evolução foi acompanhada por outras iniciativas, designadamente pela Organização Internacional do Trabalho sob a forma do Guia ILO-OSH (2001). Este Guia, de
ISO/FDIS 45001 (capa parcial).
proteger JANEIRO | MARÇO 2018
43.
— INFORMAÇÃO TÉCNICA
Quadro 1 – Referenciais de Sistemas de Gestão da SST ANO (EDIÇÃO)
DOCUMENTO
TIPO Guia
1996 (1)
BS 8800
1999 (1)
OHSAS 18001
Especificação
2000 (1)
OHSAS 18002
Linhas de orientação para implementação
2001
ILO – OSH
Guia
2001 (1)
NP 4397
Norma
2004 (1)
NP 4410
Linhas de orientação para implementação
2004 (2)
BS 8800
Guia
2007 (2)
OHSAS 18001
Especificação
2008 (2)
OHSAS 18002
Linhas de orientação para implementação
2008 (2)
NP 4397
Norma
2010 (2)
prNP 4410
Linhas de orientação para implementação (a)
a) projeto de norma não publicado.
formulação substancialmente diferente, teve aceitação significativa nalgumas zonas do globo, das quais ressalta o Japão, cujos agentes económicos terão adotado este referencial de forma alargada, aliás, com o apoio das instâncias administrativas Japonesas. Na nossa opinião, o Guia da OIT não representa qualquer inovação relativamente aos referenciais atrás identificados, podendo conduzir, pela forma como está redigido, a abordagens muito simplistas no âmbito da gestão do risco. O Quadro 1 procura identificar a evolução referida, incluindo os guias de implementação do OHSAS 18001.
Quadro 2 – R elação entre o PDCA e a estrutura na ISO 45001. CONTEXTO DA ORGANIZAÇÃO (4)
QUESTÕES INTERNAS E EXTERNAS (4.1)
P PLANEAMENTO (6)
A
MELHORIA (10)
3 — A ISO 45001 – CARACTERÍSTICAS E COMPOSIÇÃO 3.1 Características A ISO 45001 apresenta algumas características designadamente: — Especifica requisitos para um SGSST e fornece orientações para a sua utilização (o que o referencial OHSAS fazia em dois documentos diferentes), para permitir que uma organização proporcione locais de trabalho seguros e saudáveis, através da prevenção de lesões e afeções da saúde relacionadas com o trabalho, bem como através da melhoria proativa do desempenho da SST; — Respeita a Estrutura de Alto Nível definida como texto nuclear idêntico e termos e definições de base comum, concebidos para beneficiar os utilizadores que implementam várias normas ISO de sistemas de gestão. Este facto auxilia a compatibilidade com aquelas normas designadamente as referidas das áreas da Qualidade e do Ambiente; 44.
NECESSIDADES E EXPETATIVAS DOS TRABALHADORES E DE OUTRAS PARTES INTERESSADAS (4.2)
LIDERANÇA E PARTICIPAÇÃO DOS TRABALHADORES (5)
SUPORTE (7) E OPERAÇÃO (8)
D
AVALIAÇÃO DO DESEMPENHO (9)
C RESULTADOS PRETENDIDOS DO SISTEMA DE GESTÃO DA SST
Quadro 3 – C omposição da ISO 45001 ELEMENTO
SECÇÃO
Contexto da organização
4
Liderança e participação do trabalhador
5
Planeamento
6
proteger JANEIRO | MARÇO 2018
Apoio
7
Operação
8
Avaliação do desempenho
9
— A abordagem ao sistema de gestão da SST aplicada assenta no conceito de Planear-Executar-VerificarAtuar (PDCA). O modelo PDCA é um processo interativo utilizado pelas organizações para atingir a melhoria contínua. Este pode ser aplicado a um sistema de gestão e a cada um dos seus elementos individuais; — Não trata questões como a segurança do produto, danos à propriedade ou impactos ambientais, para além dos riscos para os trabalhadores e para outras partes interessadas relevantes; — Não prescreve critérios específicos para desempenho da SST, nem é prescritiva sobre a conceção de um sistema de gestão da SST. A relação entre a estrutura da ISO 45001 e o modelo PDCA é ilustrado no quadro 2. 3.2 Composição A ISO 45001 desenvolve-se em seis elementos identificados no quadro 3. 3.2.1 O contexto da organização desdobra-se nos seguintes aspetos:
— Compreender a organização e o seu contexto; — Compreender as necessidades e as expetativas dos trabalhadores e de outras partes interessadas; — Determinar o âmbito do sistema de gestão da SST; — Sistema de gestão da SST. 3.2.2 A liderança e participação dos trabalhadores desdobra-se nos seguintes aspetos: — Liderança e compromisso; — Política da SST; — Funções, responsabilidades e autoridades organizacionais; — Consulta e participação dos trabalhadores. 3.2.3 O Planeamento desdobra-se nos seguintes aspetos: — Ações para tratar riscos e oportunidades o que inclui: — Identificação de perigos e apreciação de riscos e oportunidades; — Determinação dos requisitos legais e outros requisitos;
— Planeamento de ações; — Objetivos da SST e planeamento para os atingir. 3.2.4 O Apoio desdobra-se nos seguintes aspetos: — Recursos; — Competência; — Consciencialização; — Comunicação, o que inclui a comunicação interna e a comunicação externa; — Ações para tratar riscos e oportunidades o que inclui: — Informação documentada. 3.2.5 A Operacionalização desdobra-se nos seguintes aspetos: — Planeamento e controlo operacional; — Preparação e resposta a emergências. 3.2.6 A Avaliação do desempenho desdobra-se nos seguintes aspetos: — Monitorização, medição, análise e avaliação do desempenho; — Auditoria interna; — Revisão pela gestão. V
PUB
— INFORMAÇÃO TÉCNICA
Compatibilidade eletromagnética — A diretiva CEM. TEXTO Bruno Pinto APSEI
Antigamente, os equipamentos elétricos e eletrónicos tinham níveis de compatibilidade eletromagnética reduzidos e por isso a ocorrência de interferências eletromagnéticas era bastante comum. Estas interferências são fenómenos que se manifestam por uma degradação no desempenho dos equipamentos causada por perturbações eletromagnéticas capazes de se propagarem quer por meios físicos, como cabos de alimentação ou de comunicação, quer no vácuo. Na realidade, todos os circuitos eletrónicos produzem algum tipo de campo magnético e como consequência, verifica-se a transferência de energia eletromagnética de um equipamento para outro. Genericamente, temos uma fonte de energia eletromagnética, um equipamento que é afetado por esta energia e um caminho de transmissão que permite a transferência da energia. As interferências eletromagnéticas podem resultar em diversos problemas para os equipamentos eletrónicos como alterações nas imagens exibidas por monitores, erros de posicionamento num equipamento GPS, acionamento de alarmes sem razão aparente, entre outros. Os termos “perturbação eletromagnética” e “interferência eletromagnética” são diferentes e designam, respetivamente, causa e efeito. Neste contexto, surge a importância de se compreender um outro conceito, o de Compatibilidade Eletromagnética (CEM), normalmente definido como a capacidade de um equipamento ou sistema funcionar satisfatoriamente no seu ambiente eletromagnético sem introduzir, ele próprio, perturbações eletromagnéticas intoleráveis naquele ambiente. Para que um equipamento seja considerado como electromagneticamente compatível, não pode causar interferências noutros 46.
equipamentos e tem de funcionar de acordo com o previsto, sem sofrer degradações na presença de perturbações eletromagnéticas, sejam estas provocadas por si ou por outros equipamentos. A CEM é agora parte integrante da conceção destes equipamentos que são ensaiados para garantir que não geram e não são afetados por perturbações eletromagnéticas. Na União Europeia, estes equipamentos têm de estar em conformidade com a Diretiva n.º 2014/30/EU que reformulou e revogou a Diretiva n.º 2004/108/CE, e estão igualmente obrigados a possuir a marcação CE. Em Portugal, as regras aplicáveis à compatibilidade eletromagnética dos equipamentos são estabelecidas pelo Decreto-Lei n.º 31/2017, de 22 de março, que transpõe para a ordem jurídica interna a referida Diretiva Europeia. Tendo como objetivo garantir a livre circulação de aparelhos e criar um ambiente eletromagnético com níveis aceitáveis na União Europeia, a diretiva é aplicável a equipamentos móveis e instalações fixas (combinação de dispositivos, montados, instalados e destinados a serem permanentemente utilizados numa localização predefinida) colocados no mercado depois de 19 de abril de 2016. No entanto, nem todos os equipamentos estão abrangidos por esta diretiva. Alguns, como é o caso dos abrangidos pela Diretiva RED, os produtos, peças e equipamentos aeronáuticos abrangidos pelo Regulamento (CE) n.º 216/2008, os equipamentos de rádio utilizados por radioamadores que não estejam disponíveis no mercado, e os conjuntos de avaliação fabricados por medida, destinados a profissionais, para uso exclusivo em instalações de investigação e desenvolvimento, estão fora do âmbito desta diretiva. Para além dos equipamentos referidos, estão ainda excluídos os proteger JANEIRO | MARÇO 2018
equipamentos que sejam incapazes de gerar ou contribuir para emissões eletromagnéticas que afetem o normal funcionamento de equipamentos de rádio e telecomunicações, entre outros, ou que funcionem sem degradação inaceitável na presença de perturbações eletromagnéticas normalmente resultantes da utilização prevista. Para que um equipamento cumpra com o Decreto-Lei n.º 31/2017, tem de ser sujeito a um procedimento de avaliação de conformidade e cumprir com os requisitos essenciais descritos neste diploma e que consistem em: — assegurar que as perturbações eletromagnéticas geradas não excedem o nível acima do qual os equipamentos de rádio e de telecomunicações ou outros deixam de funcionar da forma prevista; — ter o nível de imunidade às perturbações eletromagnéticas esperado na sua utilização prevista, ou seja, ser capaz de funcionar de acordo com o previsto sem sofrer degradações inaceitáveis. É necessário ainda referir que para os equipamentos estarem em conformidade com este Decreto-Lei, é necessário que tenham sido objeto da devida marcação, que a embalagem possua as informações indispensáveis, que venham acompanhados de manual de instruções e de informações de segurança (em língua portuguesa) e que tenham a indicação do nome e contacto do fabricante e/ou importador. No caso das instalações fixas, de modo a preencherem os requisitos essenciais acima referidos, devem ser instaladas tendo em consideração as boas práticas de engenharia e no respeito da informação sobre a utilização prevista dos seus componentes. Como cada
instalação fixa tem características únicas e uma localização previamente definida, o cumprimento dos requisitos deve ser avaliado caso a caso. Aliás, a combinação de vários equipamentos, mesmo que individualmente cumpram os requisitos de compatibilidade eletromagnética, pode afetar a conformidade da instalação final. Apesar de estarem obrigadas a cumprir com os requisitos essenciais, as instalações fixas não necessitam de marcação CE nem de declaração de conformidade, que são aplicáveis aos equipamentos individualmente. Atualmente, os fabricantes de equipamentos elétricos e eletrónicos, tanto no fabrico em série como no fabrico por unidade, que queiram comercializar os seus produtos em qualquer país pertencente à União Europeia, são obrigados a cumprir com a Diretiva de Compatibilidade Eletromagnética. Este cumprimento implica que os equipamentos colocados no mercado devem ser concebidos e fabricados em conformidade com os requisitos essenciais. Esta é uma responsabilidade do fabricante que tem não só de efetuar ou mandar efetuar procedimentos de avaliação da conformidade aos equipamentos fabricados, como de assegurar a existência de procedimentos para manter a conformidade da produção dos mesmos com as disposições do Decreto-Lei n.º 31/2017. O fabricante pode demonstrar a conformidade dos equipamentos que produz através do controlo interno da produção, onde garante e declara, sob sua exclusiva responsabilidade, que os equipamentos cumprem com os requisitos que lhes são aplicáveis. Mas pode ainda optar por um exame UE de tipo, em que um organismo examina o projeto técnico de um equipamento e verifica e declara que o mesmo cumpre os requisitos, seguido de conformidade com o tipo baseado no controlo interno de produção, em que o fabricante declara e garante que os equipamentos em causa
estão em conformidade com o tipo descrito no certificado de exame UE de tipo e que satisfazem os requisitos que lhes são aplicáveis. É também da responsabilidade dos fabricantes a elaboração da documentação técnica e da declaração UE de conformidade dos equipamentos. Tanto a documentação técnica como a declaração devem ser conservadas por um período de 10 anos. O fabricante é ainda responsável pela aposição da marcação CE nos equipamentos ou na respetiva placa de identificação de modo visível, legível e indelével, ou, caso desta não ser possível, por exemplo devido à natureza do aparelho, na embalagem e nos documentos que o acompanham. É ainda o fabricante que assegura que no equipamento figura o tipo, lote ou série e que o mesmo é acompanhado das instruções, informações e rotulagem redigidas de forma clara e em língua portuguesa. Contudo, as responsabilidades deste operador económico estendem-se para lá da colocação do equipamento no mercado, isto é, depois de ter sido disponibilizado pela primeira vez no mercado da UE, o fabricante caso considere que o equipamento por algum motivo não está conforme, é obrigado a tomar as medidas corretivas necessárias para voltar a colocar esse equipamento em conformidade. Se por outro lado o equipamento apresentar algum risco, então o fabricante tem não só de informar imediatamente as autoridades de fiscalização, como cooperar sempre que solicitado, em todas as ações de eliminação dos riscos decorrentes dos equipamentos que tenha colocado no mercado. Mas apesar de serem os fabricantes os responsáveis pela conformidade dos aparelhos, todos os operadores económicos como os mandatários, os importadores e os distribuidores têm igualmente um conjunto de obrigatoriedades muito bem definidas no Decreto-lei. O importador, por exemplo, está obrigado, tal como o fabricante, a conservar a declaração UE de conformidade
do equipamento durante dez anos. Para além disso, o importador tem de assegurar que o equipamento ostenta a marcação CE e certificar-se de que o fabricante indicou o tipo, lote ou série do equipamento e que colocou as instruções, informações e rotulagem, bem como o seu nome e endereço. Os distribuidores, por sua vez, têm a responsabilidade de verificar a existência da marcação CE e de todas as informações acima descritas. Com efeito, todos os operadores económicos são, de alguma forma, responsáveis pelo cumprimento da diretiva e por conseguinte estão sujeitos ao regime sancionatório previsto. Quem fabrica, importa, distribui ou comercializa equipamentos que utilizem o espectro eletromagnético deve por isso confirmar que está a cumprir com a Diretiva CEM. No âmbito da compatibilidade eletromagnética dos equipamentos, as autoridades responsáveis pela fiscalização são a ANACOM – Autoridade Nacional de Comunicações, e a ASAE – Autoridade de Segurança Alimentar e Económica, sendo que a ANACOM fiscaliza os equipamentos de comunicações eletrónicas, entre os quais, os telefones com fios, os computadores e as impressoras multifunções com fax (desde que sem Wi-Fi e sem Bluetooth). Com o aumento exponencial do número de equipamentos elétricos e eletrónicos, a necessidade de manter padrões elevados de compatibilidade eletromagnética tem-se tornado cada vez maior e por essa razão surgiram diversas normas para auxiliar os fabricantes destes equipamentos a garantir que os níveis necessários de compatibilidade eletromagnética entre equipamentos eram alcançados. Em síntese, a Diretiva CEM veio dar um contributo significativo para a correta utilização do espectro eletromagnético que tende a ficar cada vez mais ocupado, tornando-se um recurso crítico. A sua gestão é crucial para garantir que, no futuro, os equipamentos continuarão a funcionar corretamente. V PUB
proteger JANEIRO | MARÇO 2018
47.
Introdução ao ADR — Cisternas. TEXTO Manuel Rebelo IPQ
Com o presente trabalho, pretende-se fazer uma divulgação global do ADR – “Regulamento para o Transporte de Mercadorias Perigosas por Estrada”, mas focada no material de transporte, as cisternas. Dada a enorme quantidade de matéria perigosa permanentemente em circulação, os acidentes facilmente podem transformar-se em catástrofes, o que releva a indiscutível relevância deste regulamento para a segurança em geral.
1 — A ORIGEM O ADR – “Acord European Relatif au Transport de Merchandises Dangerouses par Route”, foi celebrado em Genebra, a 30 de setembro de 1957, e entrou em vigor em janeiro de 1968, tendo como objetivo principal, garantir que o transporte rodoviário de matérias perigosas possa fazer-se de um modo seguro, completando-se noutros regulamentos: — RID – Regulamento do transporte internacional ferroviário de mercadorias perigosas; — IMDG – Código internacional marítimo de mercadorias perigosas; — ADN – Regulamento do transporte fluvial. As autoridades competentes para aplicar o ADR são o Instituto da Mobilidade e dos Transportes, I.P. (IMT), a Infraestruturas de Portugal (IP), e o Instituto Português da Qualidade, IP (IPQ), no que se refere especificamente às cisternas, que retomou em 2015 essa competência delegada em 1992 nas, ora extintas, Direções Regionais do Ministério da Economia (DRE). 2 — O CONTEÚDO DO ADR O ADR foi transposto para o direito interno em 1984, pelo Decreto-Lei n.º 210-C/84, com o nome de “Regulamento para o Transporte de Mercadorias Perigosas por Estrada” (RPE). Tendo por base o Decreto-Lei n.º 41-A/2010 e a efetivação de revisões
bienais, encontra-se atualmente em vigor o ADR 2017 pelo Decreto-Lei n.º 111-A/2017. O ADR tem por base a classificação ONU das matérias perigosas, cujo código é formado por um conjunto de quatro dígitos. Se uma dada matéria não está classificada, não é considerada perigosa, mas estando listada, pode ainda acontecer não estar autorizada a ser transportada. As matérias perigosas são classificadas em nove classes principais: explosivas, gases, líquidas inflamáveis, sólidas inflamáveis, comburentes, tóxicas, radioativas, corrosivas e diversos. Todas as vertentes relativas ao transporte de mercadorias perigosas por estrada estão abrangidas pelo ADR, a saber: a) Classificação dos meios de transporte para cada tipo de matéria perigosa; b) Conceção do material de transporte (cisternas, contentores, garrafas e embalagens); c) Definição de regras gerais para a construção; d) Definição de regras para a utilização; e) Definição de regras para a trasfega; f) Definição de regras para a formação dos condutores; g) Definição de regras gerais para o veículo. Para atingir estes objetivos o ADR está organizado em nove partes: 1. Disposições gerais; 2. Classificação (das matérias); proteger JANEIRO | MARÇO 2018
3. Lista das matérias perigosas; 4. D isposições relativas à utilização das embalagens e das cisternas; 5. Procedimentos de expedição; 6. P rescrições relativas à construção dos recipientes para granel e para cisternas; 7. Disposições relativas às condições de transporte, carga, descarga e manuseamento; 8. Prescrições relativas à tripulação, ao equipamento, à operação e à documentação; 9. P rescrições relativas à construção e aprovação dos veículos. Na parte 4, é tratada a sinalética e as classes de perigo, código numérico que classifica as matérias em causa quanto ao grau de perigosidade. Na sinalética temos as etiquetas e os painéis de perigo. Para a classe de perigo, temos os “painéis laranja” com o número identificativo da classe de perigo e o número ONU da matéria a transportar. À semelhança da Diretiva n.º 97/23/CE para os equipamentos sob pressão, designada por PED (Pressure Equipment Directive), foi publicada a Diretiva n.º 2010/35/UE, de 16 de junho, para os equipamentos sob pressão transportáveis, particularmente aplicável às cisternas para gases comprimidos e liquefeitos, sendo assim criada uma nova tipologia de material de transporte, as cisternas com “marcação π”. 49.
— INFORMAÇÃO TÉCNICA
Transposta para a ordem jurídica portuguesa pelo Decreto-Lei n.º 57/2011, de 27 de abril, esta diretiva introduziu o conceito de avaliação da conformidade efetuada por organismos notificados, afastando-se das disposições do ADR aplicáveis aos outros tipos de cisternas. 3 – AS CISTERNAS Cisterna é um reservatório munido dos seus equipamentos de serviço e estruturas de apoio, com mais de 450L. Quando o termo é usado isoladamente inclui: a) Contentor-cisterna (cisterna para vários tipos de transporte); b) Cisterna móvel (cisterna para o transporte rodoviário, ferroviário e marítimo); c) Cisterna desmontável (cisterna para ser utilizada em condições fixas); d) Cisterna fixa (cisterna rigidamente ligada ao veículo, também chamada veículo-cisterna); e) Reboque cisterna (cisterna instalada num reboque); f ) Semirreboque cisterna (cisterna equipada com rodado traseiro e ligação ao “trator”). Além dos tipos de cisternas citados, existem ainda cisternas especiais, nomeadamente a “memu”, para o fabrico de explosivos, e as destinadas à recolha de resíduos (operada a vácuo). Se uma dada matéria é passível de ser transportada numa cisterna, a sua conceção tem de ser adequada para a matéria, modo de enchimento e de descarga. Esta harmonização está consignada no ADR com o “código-cisterna”, composto por quatro campos, abarcando os assuntos abaixo indicados e pela mesma ordem: 1. Tipo de matéria: sólida, líquida ou gasosa; 2. Pressão de cálculo (bar): tem em conta o peso da matéria, a altura manométrica, a pressão de vapor e as pressões de carga e descarga; 3. Tipo de aberturas para enchimento e descarga: o enchimento e a descarga podem ser efetuados pela parte superior ou inferior da cisterna, sendo usado mais de um fecho em série; 4. Tipo de dispositivos de segurança: podem ser válvulas de sobrepressão, de depressão ou de arejamento (com dispositivo corta-chamas e proteção contra capotagem). Atendendo à enorme variedade de matérias perigosas, a um “código-cisterna” podem estar associadas disposições especiais, que abordam questões específicas para a matéria perigosa que estiver em causa. 50.
O equipamento das cisternas inclui aberturas para enchimento e descarga, obturadores internos, entradas de homem para inspeção, dispositivos de respiro, válvulas de segurança e instrumentos de controlo das operações, por exemplo, controlador de nível de líquido. Apresentamos um exemplo de “códigocisterna”, sendo a matéria a transportar gasóleo. O gasóleo é classificado pela lista da ONU com o número 1202, a que corresponde o número de identificação de perigo 30. Ao número ONU 1202 corresponde o códigocisterna LGBF, em que o L é relativo ao estado da matéria, neste caso é líquido, o G é relativo à pressão de cálculo em bar, o B é relativo às aberturas (cisterna com sistema de abertura e de fecho com três válvulas) e o F é relativo aos dispositivos de segurança, neste caso temos um dispositivo de respiro (com dispositivo de proteção contra a propagação da chama). Os atos de base para o licenciamento das cisternas sem “marcação π” são os seguintes: Aprovação de tipo de cisterna; Aprovação da construção; Autorização de utilização; Renovação da autorização de utilização. a) Aprovação de tipo de cisterna Tendo em conta as matérias a transportar, é definido o “código-cisterna”, que inclui a pressão de cálculo, o sistema de carga e descarga e os órgãos de proteção. O processo de “aprovação de tipo de cisterna” é composto pelo cálculo mecânico, conceção de “ligação ao veículo”, procedimentos de fabrico e soldadura, plano de ensaios; desenhos e lista dos equipamentos de controlo e serviço, podendo incluir variantes, nomeadamente, para o número de compartimentos. Para o cálculo mecânico, é necessário conhecer o tipo de cisterna, o volume total, proteger JANEIRO | MARÇO 2018
Cisterna usada na distribuição de combustíveis líquidos. Está rigidamente ligada ao veículo.
o número de compartimentos e o tipo de material a utilizar (aço, aço inox, liga de alumínio ou material compósito). O cálculo mecânico deve ter em conta a pressão interna, a pressão externa (vácuo eventual), os esforços nos pontos de apoios, o movimento (aceleração e desaceleração) e o eventual derrube. O ADR apresenta uma orientação geral para o cálculo e uma lista de normas que estão de acordo com essa orientação, cabendo ao projetista efetuar a seleção. Estando o processo conforme, o IPQ atribui um número de “aprovação de tipo” que irá ser integrado no futuro número de “aprovação de construção” da cisterna. Registe-se que, conforme o ADR, a “aprovação de tipo” é válida por 10 anos, devendo nessa altura ser revisto, de modo a verificar o cumprimento de eventuais alterações técnicas entretanto regulamentadas que, no limite, podem implicar a reprovação do tipo, não podendo então ser fabricadas mais cisternas com aquele projeto. b) Aprovação da construção Uma cisterna só pode ser construída se esta obedecer a um “tipo aprovado”. O processo construtivo compõe-se de certificados dos materiais, certificados dos soldadores, relatórios dos ensaios efetuados (com resultados aprovativos) e utilização dos acessórios e sistemas de controlo previsto. O processo conclui-se com o “certificado de aprovação da construção” emitido pelo IPQ, com o respetivo número de aprovação, que irá acompanhar a cisterna durante toda a sua vida útil, cabendo ao
organismo de inspeção a emissão da placa de caraterísticas. c) Autorização de utilização A autorização de instalação corresponde à entrega da cisterna ao utilizador, situação que pode acontecer algum tempo depois da construção. Como nos casos anteriores, é necessário um relatório de um organismo de inspeção. d) Renovação da autorização de utilização As cisternas estão sujeitas a uma requalificação periódica, que passa por uma prova de pressão e ensaio de estanquidade, ensaio dos acessórios de controlo e segurança, e verificação das condições operacionais. A periodicidade, no caso geral, será seis anos e de 12 anos para as cisternas com gases liquefeitos, devendo ser efetuada uma inspeção intercalar. Um caso especial são as cisternas com proteções internas anticorrosivas, que devem ser inspecionadas anualmente. Para todos estes atos, é necessária a intervenção de Organismos de Inspeção (OI) devidamente acreditados pelo Instituto Português de Acreditação (IPAC), sendo os respetivos relatórios enviados ao IPQ para que, se tudo estiver conforme, emita os
respetivos certificados. Contudo, os pareceres dos OI não são vinculativos, podendo o IPQ indicar condições ou propor alterações. 4 – AS CISTERNAS COM MARCAÇÃO π As cisternas enquadradas nesta tipologia afastam-se da doutrina exposta por envolverem organismos notificados que efetuam a avaliação da conformidade do “tipo de cisterna”, isto é, do projeto e das respetivas construções, emitindo o fabricante uma declaração de conformidade e o Organismo Notificado um certificado de conformidade, que permite requerer ao IPQ o registo da cisterna. A partir do registo, o utilizador pode requerer a autorização de utilização acompanhada de um relatório de um OI e, passado o prazo de utilização regulamentado pelo ADR, requerer renovação da autorização de utilização, tal como acontece nos outros tipos de cisternas. 5 – AS CISTERNAS IMPORTADAS Tendo em conta que o ADR é um regulamento internacional, subscrito pelo Estado Português, a importação de cisternas novas depende apenas da conformidade dos documentos com o ADR. Situação diversa passa-se com as cisternas usadas importadas, sendo de
realçar que as aprovações de tipo devem ser revistas ao fim de dez anos. Tendo em conta que existem duas “famílias” de cisternas, existem procedimentos específicos para cada uma delas, conforme abaixo indicado. a) Cisterna ADR É necessária uma avaliação da conformidade relativamente ao tipo e uma validação relativa à construção pelo IPQ. Só depois, estando tudo conforme, o proprietário pode requerer autorização de utilização. b) Cisterna ADR com “marcação π” O registo é precedido de uma avaliação da conformidade. Se a documentação estiver conforme, o IPQ comunica o número de registo e o utilizador pode então requerer autorização de utilização. 6 – CONSIDERAÇÕES FINAIS A aplicação do ADR obriga a uma vigilância permanente, atendendo às mudanças tecnológicas, às vias rodoviárias e ao desgaste que o uso das cisternas inevitavelmente produz. É uma mais-valia proceder ao registo detalhado das diferentes intervenções, não efetuar improvisações e manter informados os fabricantes e os organismos de inspeção sobre eventuais deficiências operacionais. V
Aumente rapidamente a sua produtividade Reduza até 20 % o seu tempo de produção*, com o nosso novo e avançado Hempaprime Multi 500, que lhe permite aplicar três demãos num único turno, sem comprometer a qualidade, a resistência ou o acabamento.
• Secagem rápida • Manuseamento ainda mais fácil • Aplicação otimizada Testado de acordo com os requisitos da norma ISO 12944 C5-I elevada e da norma ISO 20340 C5-M, estando pré-qualificado para a norma NORSOK M-501, Ed. 6, sistema 1. Saiba mais, através de hempaprime@hempel.com. hempaprime.hempel.com *Calculado como o tempo de secagem total reduzido, para esquema de 3 demãos constituído por Avantguard 750, intermédio e Hempathane HS (tempos de recobrimento acrescidos do tempo de secagem ao toque do acabamento a 20 °C), utilizando o Hempaprime Multi 500 como demão intermédia em vez do Hempadur Mastic.
PUB
— INFORMAÇÃO TÉCNICA
Portas resistentes ao fogo – a barreira segura contra o incêndio. TEXTO Luís Pires APSEI
As portas resistentes ao fogo têm como objetivos evitar ou adiar a propagação das chamas e gases quentes através dos vários compartimentos do edifício e criar zonas de evacuação seguras para os seus ocupantes e para os bombeiros intervenientes. Como tal, em situação de incêndio, estes equipamentos são essenciais na salvaguarda da vida humana, dos animais domésticos e dos bens materiais. A especificação das portas a instalar num dado edifício deve ser efetuada na fase de projeto, sendo a sua aplicação comum, por exemplo, para proteção de aberturas em paredes resistentes ao fogo destinadas à passagem de pessoas ou bens, de aberturas verticais de serviços técnicos (por exemplo, caixas de escadas e de elevadores) que atravessam pavimentos resistentes ao fogo e de aberturas em vias de evacuação. As portas resistentes ao fogo apenas poderão cumprir a sua função prevista se, para além de corretamente especificadas, forem utilizadas de forma correta, o que implica a adoção de comportamentos adequados por parte dos utilizadores dos edifícios. Estes comportamentos devem ser definidos nas medidas de autoproteção do edifício. No entanto, o Regulamento Técnico de Segurança contra Incêndio em Edifícios (RT-SCIE) (aprovado pela Portaria n.ºᵒ 1532/2008, de 29 de dezembro) estabelece 52.
também algumas regras fundamentais a adotar, como a obrigatoriedade de manter as vias de evacuação desobstruídas, a porta na posição especificada no projeto (aberta ou fechada) e o sentido de abertura da porta corresponder ao sentido de evacuação. Conforme referido, o tipo de porta resistente ao fogo a instalar deve cumprir o estabelecido no projeto aprovado, o qual deve cumprir, por sua vez, os requisitos aplicáveis da legislação nacional em vigor. Em termos do modo de funcionamento, o tipo de porta a instalar irá depender da função pretendida, pelo que as portas poderão ser articuladas ou giratórias, de correr, de fole, basculantes ou de enrolar. Relativamente aos materiais constituintes das portas, existem diversas opções adaptáveis à arquitetura e estética do edifício, podendo ser utilizadas portas de madeira ou metálicas, as quais poderão ter ou não incorporados envidraçados resistentes ao fogo. Segundo a legislação europeia de desempenho ao fogo, transposta para o ordenamento jurídico nacional através do Regime Jurídico de Segurança Contra Incêndio em Edifícios (RJ-SCIE) (estabelecido pelo Decreto Lei n.º 220/2008, de 12 de novembro, com as alterações introduzidas pelo Decreto-Lei n.º 224/2015, de 9 de outubro), as portas resistentes ao proteger JANEIRO | MARÇO 2018
fogo são classificadas tendo em conta os seguintes critérios: — Estanquidade (E) – capacidade de um elemento de construção com função de compartimentação impedir a passagem de quaisquer chamas ou gases quentes durante um período de tempo determinado; — Isolamento térmico (I) – capacidade de garantir que a temperatura na face não exposta não se eleva acima da temperatura média de 140ºC ou da temperatura máxima de 180ºC num ponto, desde o início da exposição ao fogo e durante um período de tempo determinado; — Controlo de radiação (W) – capacidade de redução da energia radiada pela face não exposta às chamas. A classificação das portas resistentes ao fogo resulta da sua capacidade em termos dos critérios anteriormente referidos, sendo determinada através da realização de ensaios de fogo normalizados. Assim, de acordo com a legislação europeia e, portanto, com o RJ-SCIE, as portas resistentes ao fogo podem apresentar as classificações referidas no quadro. O tipo de porta resistente ao fogo que deve ser instalada num dado local de um edifício é estabelecido pelo RT-SCIE, em função do enquadramento do edifício em termos de Utilização-Tipo e Categoria de
Classificações de portas resistentes ao fogo. DURAÇÃO (em minutos)
CLASSIFICAÇÃO E
15
20
30
45
60
90
120
180
240
EI
15
20
30
45
60
90
120
180
240
EW
–
20
30
–
60
–
–
–
–
NOTA 1: Norma de Ensaio aplicável: EN 1634-1 Norma de Classificação aplicável: EN 13501-2 NOTA 2: A classificação referida pode ser complementada pelo sufixo “1” ou “2”, dependendo das características do isolamento aplicado. No caso da porta possuir um dispositivo de fecho automático, a classificação deve ser seguida pelo símbolo C, complementado por um dígito de 0 a 5, em função do regime de utilização recomendado.
Risco. De um modo geral, esta legislação nacional exige que as portas resistentes ao fogo tenham no mínimo um escalão de tempo, associado à sua classificação, igual a metade do escalão da parede em que se inserem, com exceção dos casos particulares referidos na referida legislação. Cumulativamente, todos os elementos que constituem uma porta devem garantir a sua classificação de resistência ao fogo, bem como o seu correto funcionamento mecânico. Em termos genéricos, uma porta resistente ao fogo pode ser composta por uma ou duas folhas, que constituem o seu elemento principal, podendo possuir ainda uma zona envidraçada resistente ao fogo, para visualização dos espaços adjacentes. As portas também são constituídas por aros que, possuindo função de suporte da porta, garantem também a estanquidade da porta às chamas e a gases quentes e inflamáveis, através do alojamento de uma fita intumescente no seu interior. O funcionamento da porta é viabilizado através de diversos acessórios, tais como dobradiças, dispositivos de abertura (barras antipânico e puxadores) e dispositivos de fecho (molas recuperadoras, seletores de fecho, fechaduras, etc.). Tendo em conta a relevância das portas resistentes ao fogo como elementos de proteção passiva contra incêndio, deve
Exemplos de más práticas na utilização de portas resistentes ao fogo (abertura forçada e obstrução).
proteger JANEIRO | MARÇO 2018
53.
— INFORMAÇÃO TÉCNICA
O quarto dígito representa a adequação ao uso da mola em portas resistentes ao fogo. O dígito “0” significa que a mola não é adequada para utilização em portas resistentes ao fogo e o dígito “1” que a mola é adequada para esse fim.
ser sempre garantido o desempenho de todos os elementos que as constituem. Esta garantia é assegurada, em parte, através da conformidade dos referidos elementos com as normas europeias aplicáveis decorrentes do Regulamento Europeu dos Produtos de Construção (Regulamento UE n.º 305/2011). As portas resistentes ao fogo são clas sificadas pela norma europeia (EN) 13501-2, tendo em conta os resultados obtidos nos ensaios realizados em conformidade com a EN 1634-1. Da mesma forma, os diversos acessórios que integram a porta devem respeitar os requisitos e os métodos de ensaio descritos nas respetivas Normas
Harmonizadas. A classificação dos acessórios é realizada através de um sistema de código, no qual cada dígito categoriza o dispositivo relativamente a um critério específico, como por exemplo, a utilização, o ângulo de abertura, a durabilidade, a segurança, a resistência à corrosão, a força, o peso da porta ou a adequação ao uso em portas resistentes ao fogo. Esta informação é apresentada na marcação CE do elemento, sempre que esta for obrigatória, a qual inclui ainda a identificação do organismo notificado envolvido no processo de avaliação de conformidade e a identificação do fabricante, entre outros.
Utilização real vs. utilização prevista. A aplicação real de uma porta resistente ao fogo deve corresponder à utilização prevista que é indicada no relatório de classificação da porta. Se a utilização prevista da porta for, por exemplo, numa parede de alvenaria, então a porta só deve ser instalada neste tipo de parede, sob pena de se estar a comprometer seriamente a sua função, numa situação de incêndio. Da mesma forma, caso seja necessário substituir componentes da porta, há que assegurar que os componentes de substituição correspondem aos permitidos, conforme indicado no relatório de classificação.
Mola Aro Fita intumescente Vidro resistente ao fogo Dobradiça Fechadura
Puxador
Imagem exemplificativa de porta resistente ao fogo.
54.
proteger JANEIRO | MARÇO 2018
Enquanto não for possível apor a marcação CE nas portas resistentes ao fogo, a conformidade das portas com as disposições aplicáveis da legislação nacional deve ser comprovada através do relatório de classificação da porta. Este relatório, que é emitido por um laboratório de ensaio notificado e deve ser disponibilizado pelo fabricante da porta aquando da sua venda, devem ter identificados, de forma clara, o tipo de porta ensaiada, a sua utilização prevista, as normas de ensaio e de classificação utilizadas como referência e a classificação de resistência ao fogo da porta ensaiada, podendo ainda incluir informações relativamente aos acessórios que podem ser incluídos na porta sem comprometer o seu desempenho ao fogo. Adicionalmente, o fabricante ou distribuidor da porta deverá ainda emitir uma declaração de conformidade, que garanta que o modelo da porta fornecida corresponde ao modelo ensaiado segundo as normas europeias aplicáveis. No que diz respeito à instalação das portas resistentes ao fogo, esta deve ser assegurada obrigatoriamente por entidade devidamente registada na Autoridade Nacional de Proteção Civil. O mesmo se aplica às empresas comercializadoras e que fazem a manutenção ao equipamento. As entidades instaladoras estão obrigadas a entregar ao proprietário da porta um termo de responsabilidade, que deve ser subscrito pelo Técnico Responsável da entidade, que garanta que a instalação foi efetuada conforme o projeto aprovado e de acordo com as normas aplicáveis e as instruções do fabricante. Para além disso, durante a fase de serviço, a porta deve ser submetida a procedimentos de inspeção e manutenção regulares. Estas ações devem ser asseguradas pelo Responsável de Segurança do edifício e os procedimentos de manutenção propriamente ditos por entidade devidamente registada na Autoridade Nacional de Proteção Civil. As portas resistentes ao fogo são equipamentos fundamentais na proteção contra incêndio dos edifícios. Como tal, para que numa situação de incêndio estes elementos consigam cumprir a sua função, que é a de evitar a propagação do incêndio e permitir a evacuação segura dos ocupantes e a atuação segura dos corpos de bombeiros, há que garantir que são corretamente selecionadas, instaladas, mantidas e utilizadas. A segurança dos edifícios é, assim, uma responsabilidade de todos, que começa no dono de obra e termina nos utilizadores dos edifícios, passando pelos prescritores, pela fiscalização de obra, pela entidade instaladora, pelo Responsável de Segurança do edifício e pelas autoridades competentes. V
Legislação NOVO REGULAMENTO DOS EQUIPAMENTOS SOB PRESSÃO TEXTO Ana Ferreira APSEI
A Diretiva 97/23/CE, relativa aos equipamentos sob pressão, foi substituída pela Diretiva n.º 2014/68/UE. Esta Diretiva, em concreto o seu artigo 13.º, que estabelece a classificação dos equipamentos sob pressão (ESP), foi transposta para o ordenamento jurídico nacional através do Decreto-Lei n.º 32/2015, de 4 de março. No passado dia 31 de agosto, através do Decreto-Lei n.º 111-D/2017, foi finalmente efetuada a transposição do restante articulado da Diretiva para Portugal. A nova Diretiva dos Equipamentos sob Pressão pretende garantir que todos os equipamentos sob pressão novos, produzidos na União Europeia, e os equipamentos sob pressão ou conjuntos, quer sejam novos ou usados, importados de país terceiro assegurem o nível de proteção exigido em termos de proteção da saúde e da segurança das pessoas, dos animais domésticos e dos bens. Por outro lado, a publicação desta Diretiva pretende igualmente alinhar a regulamentação aplicável aos equipamentos sob pressão com o quadro legislativo composto pelo Regulamento (CE) n.º 765/2008 e Decisão n.º 768/2008/CE, ambos do Parlamento Europeu e do Conselho, de 9 de julho, que visam estabelecer requisitos comuns de comercialização de produtos e de acreditação e fiscalização do mercado. Desta forma, a Diretiva vem agora, entre outros, definir de forma clara as obrigações para com o mercado de cada um dos intervenientes do processo, designadamente fabricante, mandatário, importador e distribuidor. A Diretiva é aplicável a todos os equipamentos sob pressão e conjuntos sujeitos a uma pressão máxima admissível (PS) superior e 0,5 bar e estabelece requisitos referentes a projeto, fabrico e avaliação da conformidade. No âmbito da segurança contra incêndio, refere-se que
nesta Diretiva se enquadrem, entre outros, os extintores de incêndio e as garrafas dos equipamentos de proteção respiratória. Para efeitos da disponibilização no mercado e colocação em serviço os equipamentos sob pressão, os conjuntos necessitam obrigatoriamente de cumprir os requisitos estabelecidos pela Diretiva 2014/68/UE. No entanto, para além do cumprimento destes requisitos, a Diretiva vem agora referir a importância dos equipamentos serem também corretamente instalados, sujeitos a manutenção conveniente e utilizados conforme o fim previsto. A forma mais imediata de garantir a conformidade dos equipamentos sob pressão com os requisitos essenciais de segurança estabelecidos pela Diretiva Europeia é através do cumprimento das normas harmonizadas aplicáveis que tenham sido publicadas no Jornal Oficial da União Europeia. Esta conformidade é efetuada através de procedimentos de avaliação de
conformidade, que são selecionados pelos fabricantes e determinados pela classe de risco em que o equipamento sob pressão for classificado, conforme apresentado: — Classe I: Módulo A — Classe II: Módulos A2, D1, E1 — Classe III: Módulos B (tipo de projeto) + D, Módulos B (tipo de projeto) + F, Módulos B (tipo de produção) + E, Módulos B (tipo de produção) + C2, Módulo H — Classe IV: Módulos B (tipo de produção) + D, Módulos B (tipo de produção) + F, Módulo G, Módulo H1 A conformidade do equipamento sob pressão com os requisitos é demonstrada através da aposição da Marcação CE no equipamento, a qual deve cumprir os princípios gerais do artigo 30.º do Regulamento (CE) n.º 765/2008, do Parlamento Europeu e do Conselho, de 9 de julho de 2008, e da emissão de declaração UE de conformidade pelo fabricante, em língua portuguesa.
Marcação CE. A marcação CE deve ser aposta de modo visível, legível e indelével no equipamento sob pressão ou conjunto ou, em alternativa, nas respetivas placas de identificação, antes da sua colocação no mercado. Sempre que a natureza do equipamento ou do conjunto não permitir a aposição da marcação CE, esta deve ser aposta na embalagem e nos documentos de acompanhamento. A marcação CE deve ainda ser acompanhada do número de identificação do organismo notificado, nos casos em que este tenha participado na fase de controlo da produção.
proteger JANEIRO | MARÇO 2018
55.
— LEGISLAÇÃO & NORMALIZAÇÃO
Definições importantes. Avaliação da Conformidade: processo de verificação através do qual se demonstra se estão cumpridos os requisitos essenciais de segurança previstos na legislação aplicável aos equipamentos sob pressão ou conjuntos. Colocação em Serviço: primeira utilização pelo utilizador final. Colocação no Mercado: primeira disponibilização no mercado da União Europeia. Disponibilização no Mercado: distribuição ou utilização no mercado da União Europeia no âmbito de uma atividade comercial, a título oneroso ou gratuito. Equipamento sob Pressão: os recipientes, tubagens, acessórios de segurança e acessórios sob pressão, incluindo, se for caso disso, os componentes ligados às partes sob pressão, tais como flanges, tubuladuras, acoplamentos, apoios e olhais de elevação.
Conforme anteriormente referido, a nova Diretiva vem clarificar as obrigações aplicáveis aos vários operadores económicos. De acordo com o novo quadro legislativo, todos os operadores económicos são responsáveis por assegurar a conformidade dos equipamentos sob pressão que disponibilizam no mercado com os requisitos essenciais de segurança da Diretiva 2014/68/EU. As principais obrigações dos operadores podem ser facilmente identificadas através do quadroresumo apresentado. Para além da discriminação das obrigatoriedades inerentes a cada um dos operadores económicos, a nova Diretiva vem exigir que a pedido da autoridade de fiscalização do mercado, os operadores identifiquem quem lhes forneceu e/ou a quem forneceram um determinado equipamento sob pressão ou conjunto e que o registo destas informações seja conservado durante 10 anos, contados a partir da data do fornecimento do equipamento ou conjunto. Havendo ainda no mercado equipamentos e conjuntos em conformidade com a legislação anterior, a nova legislação europeia prevê que os equipamentos sob pressão e conjuntos em conformidade com a regulamentação em vigor à data de aplicação do DecretoLei n.º 211/99 possam ser colocados em serviço, desde que tenham sido colocados no mercado até 29 de maio de 2002. Da mesma forma, a legislação prevê que os referidos equipamentos ou conjuntos que tenham sido colocados no mercado antes de 1 de junho de 2015 possam ser disponibilizados no mercado e/ou colocados em serviço. A fiscalização do cumprimento da nova Diretiva compete à Autoridade de Segurança Alimentar e Económica (ASAE), que pode solicitar o auxílio de quaisquer outras entidades sempre que o julgue necessário. V 56.
Quadro resumo. Deveres dos Operadores Económicos
F
Garantir que os ESP que colocam no mercado foram projetados e fabricados em conformidade com os requisitos essenciais de segurança e com as regras da boa prática de engenharia.
Elaborar a documentação técnica.
Efetuar (ou mandar efetuar) o procedimento de avaliação de conformidade aplicável.
Elaborar a declaração EU de conformidade e apor a marcação CE.
Conservar a documentação técnica e a declaração UE de conformidade durante 10 anos.
Garantir que nos ESP que colocaram no mercado figuram as informações que permitam a respetiva identificação (tipo, número de lote ou série, etc.).
Indicar no ESP, em língua facilmente compreensível pelos utilizadores, o seu nome, o nome comercial registado ou marca registada e endereço postal de contacto.
Assegurar que os ESP são acompanhados de instruções ou informações de segurança, em língua portuguesa e em linguagem clara, compreensível e inteligível.
Tomar medidas corretivas imediatas necessárias à conformidade do ESP, para o retirar ou recolher, sempre que existam motivos para crer que a sua conformidade foi comprometida.
Facultar em língua facilmente compreensível pela autoridade de fiscalização do mercado, e a pedido desta, toda a informação e documentação necessária à demonstração da conformidade do ESP.
Cooperar, sempre que solicitado, com a autoridade de fiscalização do mercado em todas as ações de eliminação dos riscos decorrentes de um ESP que tenham colocado no mercado.
M
I
D
Assegurar que o fabricante aplicou o procedimento de avaliação da conformidade adequado, elaborou a documentação técnica obrigatória e apôs a marcação CE, e que os ESP estão acompanhados de instruções e informações de segurança.
Informar de imediato o fabricante (ou o importador) e a autoridade de fiscalização do mercado sempre que o ESP apresentar riscos.
Assegurar que as condições de armazenamento e transporte não prejudicam a conformidade dos ESP, enquanto estes estiverem sob a sua responsabilidade.
Assegurar que o fabricante e o importador respeitaram os seus deveres. Assegurar que a marcação CE foi aposta. F – Fabricante
M – Mandatário
proteger JANEIRO | MARÇO 2018
I – Importador
D – Distribuidor
Normalização COMISSÃO TÉCNICA 46
EQUIPAMENTOS DE CONTROLO E SINALIZAÇÃO DE ALARME DE VOZ A Comissão Técnica 46, coordenada pela APSEI, é responsável pela atividade normativa na área da Segurança contra Incêndios e Símbolos Gráficos, mais especificamente no âmbito da segurança em edifícios, equipamentos e sistemas automáticos de deteção e alarme, pictogramas e símbolos gráficos. Recentemente, a comissão deu mais um contributo ao setor da segurança em Portugal, ao terminar a tradução da Norma Europeia (EN) 54-16: Sistemas de deteção e de alarme de incêndio – Parte 16: Controlo de alarme de voz e equipamento de sinalização. Esta Norma Europeia define os requisitos, os métodos de ensaio e os critérios de desempenho para equipamentos de controlo e sinalização de alarme de voz para utilização em sistemas de deteção e alarme de incêndio instalados em edifícios, onde o sinal de alarme está na forma de tom ou mensagem de voz, ou ambos. A EN 54-16 é uma norma harmonizada ao abrigo da Diretiva dos Produtos de Construção, pelo que é utilizada na avaliação da conformidade destes equipamentos. Para perceber a importância desta norma para o setor, conversámos com José Gonçalves, vogal da Comissão Técnica 46.
Antes da norma, como se garantia que a conceção e instalação dos equipamentos de controlo e sinalização de alarme de voz eram as mais adequadas aos níveis de desempenho requeridos em cada espaço? Antes desta norma, não existia qualquer integração entre sistemas de incêndio e unidades de controlo e sinalização de alarme de voz (UCSAV). Estas unidades de controlo vieram melhorar significativamente os planos de emergência e evacuação nos edifícios, principalmente em áreas com grande circulação de pessoas. Para além disso, não tínhamos forma de comunicar diretamente com as pessoas para evitar o pânico numa emergência, pois só existiam sirenes como forma de alerta. Passamos assim a ter uma informação concisa e orientada na proteção das pessoas na eventualidade de uma emergência. Ou seja, até aqui só tínhamos sistemas Public Address para som ambiente e chamada de pessoas, mas com a entrada em vigor desta norma passamos a ter equipamentos de segurança EVAC. devidamente regulamentados e certificados para a evacuação. Assim, na criação de um novo edifício, projetamos e instalamos em conformidade com a norma e, com isto, o nível de segurança aumenta com a introdução destes novos equipamentos. É de acrescentar que, com o aparecimento desta norma, os procedimentos de segurança contra incêndio em edifícios passam a ser reforçados, onde são previstos
os simulacros em determinadas categorias de risco para apoiar a evacuação. Que contributo veio trazer esta norma para a qualidade da prestação do serviço de instalação destes equipamentos? Veio melhorar extraordinariamente a proteção de pessoas nas áreas públicas. Este setor da segurança esteve bastante tempo focado na eficácia dos equipamentos e preocupado com os edifícios e bens. Com a entrada em vigor desta norma, o pensamento centraliza-se agora nas pessoas, mais concretamente na evacuação. Esta mudança é fundamental para os profissionais de segurança aplicarem os seus conhecimentos. Abrange transversalmente todos os envolvidos na segurança, desde a engenharia que desenvolve e cria novos projetos, passando pela cadeia da distribuição e integração, até ao cliente final. Todos, sem exceção, ficam assim sensibilizados para a melhoria da proteção das pessoas. A existência de novas formas de aplicar a segurança de pessoas em edifícios é determinante para o setor desenvolver e promover a integração com os sistemas de incêndio e é fundamental para o crescimento de instalações devidamente equipadas. Ao normalizarmos, vamos ao encontro da Diretiva dos Produtos de Construção na Europa, que é utilizada na avaliação da conformidade dos equipamentos de controlo e sinalização de alarme de voz.
proteger JANEIRO | MARÇO 2018
Como avalia a adequabilidade desta norma ao nosso mercado da segurança? Penso que ainda temos um longo caminho a percorrer para que todo o setor esteja totalmente informado para começar a regular o mercado. Parece já existir legislação suficiente para aplicar os bons padrões de segurança, pois só falta melhorar projetos, soluções de segurança e certificar que os equipamentos são instalados em conformidade. Tenho reparado que os profissionais da segurança mais atentos iniciaram um trabalho de divulgação com os seus clientes, com resultados positivos. Por sua vez, tenho visto o cliente final a solicitar apoio em projeto na implementação de unidades de controlo e sinalização de alarme de voz e também na implementação da solução completa de um sistema de emergência e evacuação por voz. Por outro lado, a atualidade tem trazido novos desafios ao mercado da segurança, tais como as ameaças de bomba e o terrorismo que têm afetado milhares de pessoas. Estas novas preocupações têm influenciado toda a opinião pública, obrigando-nos a melhorar a segurança e proteção das pessoas. É também de realçar que os fabricantes estão cada vez mais empenhados em colocar no mercado produtos certificados que respondam às necessidades do mercado. Resumindo, acho que temos condições fantásticas para que o mercado se adapte às novas formas de aplicação da segurança ao dispor da proteção de pessoas. V
// produto TECNOLOGIA DAHUA HDCVI-POC
Inovando para melhor servir os utilizadores, a Dahua, líder no fornecimento de soluções para a indústria global de videovigilância, simplificou a instalação do sistema de vigilância HDCVI com a sua tecnologia de alimentação por cabo coaxial (PoC), a qual transmite sinais de vídeo, áudio e controlo e de alimentação elétrica através de um único cabo coaxial, que por sua vez permite atingir uma transmissão de PoC até 400m, desligar a alimentação rapidamente, além da identificação
FITAS BI-ADESIVAS VHB 3M
automática para garantir a segurança operacional. A tecnologia HDCVI-PoC elimina a necessidade de fontes de alimentação para câmara separadas e minimiza os custos operacionais. Entretanto, com base no avançado isolamento e
compensação do sinal, a tecnologia HDCVI-PoC garante na perfeição a qualidade da imagem, minimizando a interferência do sinal entre a alimentação e o vídeo. Saiba mais em: www.dahuasecurity.com/pt/
Alternativa comprovada à utilização de parafusos, rebites e a alguns tipos de soldaduras, as fitas bi-adesivas VHB, da 3M, são utilizadas para fixação e montagem permanente, produzidas com suporte especial de espuma acrílica impregnada com adesivos sintéticos de última geração e tecnologia patenteada. Possuem desempenho extraordinário, tal como: alta
resistência mecânica e química; tolerância a temperaturas extremas (de -50º C até 230ºC); excelente capacidade de isolamento e vedação; e espuma com capacidade de absorver dilatações e contrações resultantes da variação de temperatura dos materiais. Saiba mais em www.etlda.pt.
proteger JANEIRO | MARÇO 2018
59.
// produto
As câmaras térmicas TruVision fornecem uma solução para aplicações de deteção perimétrica e monitorização de alta segurança em condições críticas de iluminação. Os recursos das câmaras são incorporados em análises, como a intrusão, a linha cruzada, a entrada da região e a deteção de saída da região. Também inclui
VÍDEO PORTEIROS DOOR INTERCOM SERIES DA HIKVISION
monitorização de temperatura para infraestruturas críticas. As câmaras térmicas TruVision podem ser usadas em combinação com uma variedade de plataformas de gravação como a TruVision ou a UltraView, bem como quaisquer plataformas de terceiros que usem conetividade Onvif ou CGI. Saiba mais em www. utcfssecurityproducts.com.pt.
SRL: A NOVA ESTAÇÃO DE BOMBAGEM INLINE DA KSB
60.
A nova série de Vídeo Porteiros da Hikvision (Door Intercom Series) permite que o utilizador veja tudo o que acontece em casa ou na empresa e confere o poder de o controlar na ponta dos dedos. Estes sistemas podem ser usados para controlo de acesso e chamadas de vídeo, de unidade para unidade, e ajudam na comunicação entre quartos e/ou edifícios.
Todos os videoporteiros podem ser controlados através da Hik‑Connect, uma aplicação móvel que permite abrir portas remotamente, comunicar com o sistema externo e receber notificações de alarme onde quer que esteja. Saiba mais em www.bc.pt.
CÂMARAS DE VÍDEO VIGILÂNCIA TÉRMICAS
A KSB lançou recentemente uma nova estação de bombagem de águas residuais inline, a SRL, que pode ser fornecida com bombas de instalação a seco ou submergíveis, motores de alta performance IE5, impulsor de alto rendimento Vortex F Max ou helicoidal aberto (tipo D), e com empanque mecânico duplo, para maior fiabilidade. Permite o funcionamento em cascata de dois sistemas de
proteger JANEIRO | MARÇO 2018
bombas (ou bombagem) em paralelo, a mudança e paragem de bombas selecionadas, o registo diário dos eventos e a gestão remota, bem como ajustar os caudais do sistema, e adequar o funcionamento aos caudais instantâneos, com poupanças energéticas até 50%. Saiba mais em www.ksb.pt.
As centrais de incêndio convencional da INIM – Série Smartline com caixa de metal robusta e display LCD, estão disponíveis em modelos de duas e de quatro zonas, expansíveis a 20 ou 36 zonas. Compatíveis com qualquer detetor de gás do mercado (4-20mA), podem funcionar como centrais de gás. Têm ainda balanceamento
automático de zonas para qualquer detetor do mercado, um canal de extinção, ligação à Internet e possibilidade de colocação de módulos wireless para detetores e botoneiras sem fios. De programação simples e altamente competitivas, são ideais para qualquer instalação. Saiba mais em www.contera.pt.
NOVA SIRENE DOLPHIN
O Revestimento de secagem rápida da Hempel permite um aumento da produtividade (tempo de produção reduzido até 20%), a aplicação de três demãos num único turno, colocação fácil sem necessidade de diluir (pistola, trincha, rolo), possui um elevado teor de sólidos (até 85%) e um baixo teor de COV, bem como uma resistência melhorada à fissuração e enrugamento, mesmo
com espessuras de filme seco elevado, sendo a sua conformidade comprovada com a norma ISO 12944 C5-I alta e pré-qualificado para a norma NORSOK M-501, Ed. 6, sistema 1. Versátil, como aplicação direta ao metal ou em superfícies já protegidas com primário, oferece uma proteção forte e duradoura. Saiba mais em www.hempel.pt.
CENTRAIS DE INCÊNDIO CONVENCIONAL DA INIM – SÉRIE SMARTLINE
A grande inovação da nova sirene interior Dolphin reside no facto de funcionar como luz de emergência, no caso de falha de electricidade. A sirene da marca GO possui um design simples e agradável, que se enquadra em qualquer tipo de arquitetura. Está disponível em duas versões: azul e branco ou totalmente
branca. O seu tamanho reduzido (140x85x32mm) torna-a ideal para aplicar em ambientes interiores. Possui dois tipos de alarme: alarme sonoro e alarme visual. A potência do som é de 112Db e podem-se sincronizar ou assincronizar as saídas de alarme sonoro e visual. Saiba mais em www.nautasolutions.com.
HEMPAPRIME MULTI 500
proteger JANEIRO | MARÇO 2018
61.
— FAQ's
apsei responde* *UM ESPAÇO ONDE A APSEI RESPONDE ÀS QUESTÕES QUE LHE CHEGAM DIARIAMENTE
1.
Quais as principais obrigações dos Responsáveis de Segurança dos Edifícios?
Os Responsáveis de Segurança dos edifícios têm como principais obrigações garantir a manutenção das condições de segurança contra risco de incêndio dos edifícios, através da implementação das medidas de autoproteção aprovadas, e solicitar à Autoridade Nacional de Proteção Civil (ANPC) a realização de inspeções regulares aos edifícios. Entre outras, a manutenção das condições de segurança contra incêndio de um edifício é conseguida através da realização de verificações e manutenções regulares aos equipamentos e sistemas instalados, devendo estas últimas ser efetuadas por empresas devidamente registadas na ANPC. Só através da realização destas ações é possível assegurar que, perante uma situação de incêndio, os equipamentos e sistemas de segurança instalados cumprem a sua função, que é a de salvaguardar a vida dos ocupantes e a proteção dos bens. Quanto às inspeções regulares dos edifícios, estas devem ser solicitadas pelos Responsáveis de Segurança à ANPC, com uma periodicidade que poderá variar entre três e seis anos, dependendo da categoria de risco do edifício. Apenas estão isentos da solicitação de inspeções regulares à ANPC os edifícios da 1.ª categoria de risco, com exceção dos edifícios escolares e hospitalares. Estão também isentos desta obrigatoriedade os edifícios habitacionais de utilização exclusiva da 2.ª categoria de risco. A não solicitação das referidas inspeções regulares, nas datas previstas no Regime Jurídico de Segurança contra Incêndio em Edifícios, constitui contraordenação punível com coima de 275€ a 2 750€, no caso de pessoas singulares, ou até 27 500€, no caso de pessoa coletiva. A não realização de manutenções regulares aos equipamentos e sistemas de segurança contra incêndio instalados nos edifícios também constitui contraordenação, podendo esta atingir o valor máximo de 44.000€, no caso de pessoas coletivas. V
62.
2.
Qual a sinalização aplicável aos sistemas de videovigilância existentes nos estabelecimentos abrangidos pelo Regime Jurídico de Segurança Privada?
A sinalização a colocar nos locais objeto de videovigilância deve cumprir os requisitos do artigo 115.º e do Anexo VIII da Portaria n.º 273/2013, de 20 de agosto, entretanto alterada pela Portaria n.º 106/2015, de 13 de abril. Assim, esta Portaria exige que os requisitos, especificações técnicas e dimensão da sinalização cumpram as disposições da norma ISO 3864-1 e que o sinal seja colocado de forma a garantir boas condições de legibilidade das mensagens nele contidas e a acautelar a normal circulação e segurança dos utentes dos espaços, devendo ser colocado no perímetro exterior do local objeto de videovigilância e repetido no seu interior. A Lei n.º 34/2013, de 16 de maio, que aprova o regime do exercício da atividade de segurança privada, obriga ainda, através do n.º 5 do Artigo 11.º, que os avisos que acompanham a sinalização dos sistemas de videovigilância possuam informação sobre a existência e localização das câmaras de vídeo e identifiquem a entidade de segurança privada autorizada a operar o sistema, pela menção do nome e alvará ou licença, bem como o responsável pelo tratamento dos dados recolhidos perante quem os direitos de acesso e retificação podem ser exercidos. Nestes avisos é ainda obrigatório colocar a menção «Para sua proteção, este local é objeto de videovigilância». V
proteger JANEIRO | MARÇO 2018
3.
Quando deve um acidente de trabalho ser comunicado à ACT?
Todos os acidentes de trabalho mortais ou graves sofridos por um trabalhador, trabalhador independente que trabalhe em instalações alheias, ou pessoa terceira da relação de emprego, deverão ser comunicados à Autoridade para as Condições do Trabalho (ACT). Esta comunicação deve ser efetuada por correio eletrónico para o ponto local da ACT no prazo máximo de 24 horas após a ocorrência. No entanto, existem setores de atividade económica aos quais é aplicável legislação específica. Assim, devem ser comunicados: — No mais curto prazo possível, não podendo exceder vinte e quatro horas: os acidentes ocorridos nos estaleiros de construção de que resulte a morte ou lesão grave de trabalhador, bem como os que assumam particular gravidade na perspetiva da segurança, desde que provoquem lesão física no trabalhador; — No mais curto prazo possível: os acidentes ocorridos a bordo dos navios de pesca de que resulte a morte ou lesão de trabalhadores ou que, independentemente da produção de danos pessoais, evidenciem uma situação particularmente grave para a segurança ou a saúde dos trabalhadores; — No prazo de vinte e quatro horas: os acidentes ocorridos nas indústrias extrativas por perfuração a céu aberto ou subterrâneas de que resulte a morte ou lesão grave de trabalhadores, ou que, independentemente da produção de tais danos pessoais, evidenciem uma situação particularmente grave para a segurança ou a saúde dos trabalhadores. A comunicação deve ser feita através de formulário próprio disponível na página da ACT ou por qualquer outro meio, preferencialmente no serviço desconcentrado do local de ocorrência do acidente de trabalho. Se o acidente tiver ocorrido em viagem ou em trajeto (in itinere) a comunicação deve ser dirigida ao serviço desconcentrado da ACT da área de jurisdição da sede da entidade empregadora. V
ASSOCIAÇÃO PORTUGUESA DE SEGURANÇA
SISTEMAS DE CONTROLO DE ACESSOS CHAVES DE ACESSO
FICHA TÉCNICA
N.º 59 VERSÃO MARÇO 2018
DEFINIÇÃO Chaves de acesso, elementos constituintes de um sistema de controlo de acessos que, através da comunicação com um dispositivo de identificação, permitem que o sistema reconheça o utilizador e, consequentemente, o autorize a aceder ao espaço protegido.
// TIPOS DE CHAVES DE ACESSOS As chaves de acessos podem assumir formas e tecnologias diversas, das quais destacamos as mais comuns: Cartões de Banda Magnética: cartões dotados de uma banda de material magnético que contém um código. Dispositivos de Proximidade: dispositivos eletrónicos de comunicação que utilizam tecnologia RFID (Radio Frequency IDentification), geralmente constituídos por uma antena e por um circuito eletrónico encapsulado num elemento plástico (normalmente sob a forma de um cartão), que é ativado pelo sinal da fonte emissora e em resposta ao sinal recebido envia um código ao elemento recetor do dispositivo de identificação (leitor de proximidade). Estes dispositivos podem ser de dois tipos, consoante as necessidades de distância de leitura: — Passivos: a energia que alimenta o circuito que gera o código é obtida do sinal rádio do leitor de proximidade, o que implica que a leitura destes dispositivos tenha de ser efetuada a pequenas distâncias. — Ativos: possuem uma bateria que alimenta o circuito que gera o código, permitindo que a leitura destes dispositivos possa ser efetuada a uma maior distância. Dispositivos Inteligentes: são dispositivos dotados de um microchip onde podem ser armazenados dados, os quais podem ser alterados, apagados ou adicionados em qualquer altura pelo dispositivo de identificação. Estes dispositivos podem ser de dois tipos: — De contacto: para comunicarem com o dispositivo de identificação precisam de estar em contacto direto com este último. — Sem contacto: para comunicarem com o dispositivo de identificação não necessitam de estar em contacto direto com este último. Estes dispositivos utilizam, regra geral, tecnologia RFID (Radio Frequency IDentification). — Cartões MIFARE: cartões inteligentes sem contacto que têm a capacidade de leitura, escrita e memória. Podem ser utilizados em vários sistemas e apresentam a vantagem da sua cópia ser praticamente impossível, pelo facto dos protocolos de comunicação entre os dispositivos de identificação e os cartões terem por base algoritmos de cifra. — Chaves de Acesso Eletrónicas: dispositivos em forma de chave que possuem um circuito eletrónico e que são identificados perante o sistema através de um código interno quando em contacto com o dispositivo de identificação. — Códigos de Acesso: número pessoal constituído por vários dígitos que é conhecido pelo utilizador e inserido no dispositivo de identificação — Biometria: tecnologia de identificação que utiliza dados características físicas e únicas do utilizador (dados biométricos) para o identificar perante o sistema. Os dados biométricos mais utilizados são as impressões digitais, o padrão da íris, a geometria da mão, a voz e as características da face. Neste caso, a chave de acesso será o próprio utilizador.
Fig. 1 — E xemplos de Chaves de Acessos de Sistemas de Controlo de Acessos. APSEI — ASSOCIAÇÃO PORTUGUESA DE SEGURANÇA Rua Cooperativa A Sacavenense n.º 25, C/F, 2685–005 — Sacavém | Tel +351 219 527 849 | Fax +351 219 527 851 | proteger@apsei.org.pt, www.apsei.org.pt
1 / 2
// FUNCIONAMENTO Consoante os tipos de tecnologias utilizadas, a forma de controlar o acesso a um determinado espaço poderá ser mais ou menos complexa. De uma forma genérica e simplificada, este controlo é iniciado quando o utilizador apresenta a sua chave de acessos ao correspondente dispositivo de identificação do sistema. Este dispositivo lê os dados da chave de acessos do utilizador e transmite-os à unidade de processamento, que os compara com as informações dos utilizadores autorizados do sistema. No caso de os dados coincidirem com as informações de um dos utilizadores da base de dados, a unidade autoriza o acesso do utilizador ao espaço protegido. No caso dos dados da chave de acessos não coincidirem com as informações constantes da base de dados, o acesso ao espaço não será permitido.
// APLICAÇÕES Consoante o nível de proteção pretendido, o controlo dos acessos pode ser efetuado através da apresentação de uma única chave de acesso ou através da combinação de várias, conforme exemplificado:
— NORMAS APLICÁVEIS EN 60839-11-1 Alarm and electronic security systems – Electronic access control systems – System and components requirements. EN 60839-11-2:2015 Alarm systems – Access control systems for use in security applications – Part 7: Application guidelines. EN 60839-11-31 Alarm and electronic security systems – Electronic access control systems – Core interoperability protocol based on Web services. EN 60839-11-32:2017 Alarm and electronic security systems – Electronic access control systems – Access control monitoring based on Web services.
— Cartão de banda magnética ou de proximidade — Cartão de banda magnética + código pessoal — Cartão de proximidade + biometria — Código pessoal + biometria — Cartão de proximidade + código pessoal + biometria
As FICHAS TÉCNICAS APSEI estão sujeitas a um processo de atualização contínua, dependente das alterações legais, normativas e técnicas que estejam relacionadas com o seu conteúdo. Certifique-se sempre, antes de aplicar a informação contida nesta Ficha Técnica, de que está na posse da sua última versão.
OBTENHA TODAS AS FICHAS TÉCNICAS APSEI ATUALIZADAS EM WWW.APSEI.ORG.PT
2 / 2