Em resposta ao pedido da CTA de esclarecimento sobre a interpretação do Regulamento relativo à Soberania de Dados, o Banco de Moçambique, em carta datada de 02 de Outubro de 2024, respondeu nos seguintes termos:

1. O quadro legal que genericamente regula a matéria de protecção de dados, inclui normas de âmbito internacional, e demais legislação extravagante, aprovada, quer pela Assembleia da República, assim como pelo Conselho de Ministros.

2. No que tange à legislação que regula, ainda que de forma perfunctória, a protecção, processamento e alojamento de dados em nuvens para Instituições de Crédito e Sociedades Financeiras, põe fazer-se menção à seguinte:

a. Lei nº 20/2020, de 31 de Dezembro – Lei das Instituições de Crédito e Sociedades Financeiras (LICSF), que estabelece, no nº 2, do artigo 72, que as instituições estão sujeitas ao dever de segredo, quanto aos nomes dos clientes, as contas de depósitos e seus movimentos e outras operações financeiras;

b. Lei nº 3/2017, de 9 de Janeiro – Lei das Transacções Electrónicas, que dispõe, no artigo nº 4, do artigo 41, que o processamento de dados para as Instituições de Crédito e Sociedades Financeiras rege-se por normas específicas emitidas pelo Banco de Moçambique;

c. Aviso nº 4/GGBM/2023, de 10 de Setembro, sobre os Centros de Processamento de Dados das Instituições de Crédito e Sociedades Financeiras que, no nº 1, do artigo 1, dispõe que as Instituições de Crédito e Sociedades Financeiras (ICSF) devem ter os seus Centros de Processamento de Dados (CPD) sediadas em território nacional. O nº 1 do artigo 5, do mesmo Aviso, refere que os centros de réplica das ICSF deverão estar equipadas de meios semelhantes aos dos CPD primários, podendo os mesmos serem instalados em território nacional ou no estrangeiro, desde que se assegure a inexistência de conflitos legais e a diferença de fusos horários não ponha em causa o funcionamento das ICSF.

3. Nesta senda, e na qualidade de regulador e supervisor do sistema financeiro, o Banco de Moçambique tem praticado actos com vista a acompanhar a transformação digital assistida no sector financeiro, entretanto, com a devida cautela, por forma a assegurar a confidencialidade, integridade, disponibilidade e acessibilidade de dados e serviços financeiros transaccionados, tendo ainda em linha de conta as limitações decorrentes das insuficientes infraestruturas e os custos que a conformidade poderá implicar.

4. Nestes termos, referimos que, até ao momento, não existem normas que regulem a utilização de serviços de cloud, devendo as Instituições de Crédito e Sociedades Finaceiras ater-se às normas constantes da LICSF e do Aviso nº 4/GGBM/2023, de 10 de Setembro, concernente aos Centros de Processamento de Dados e das Instituições de Crédito e Sociedades Financeiras, de modo a proteger os dados que estão sob sua responsabilidade.