|
Lei n.º 96/2015, de 17 de Agosto REGULA A DISPONIBILIZAÇÃO E A UTILIZAÇÃO DAS PLATAFORMAS ELETRÓNICAS DE CONTRATAÇÃO PÚBLICA(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Regula a disponibilização e a utilização das plataformas eletrónicas de contratação pública e transpõe o artigo 29.º da Diretiva 2014/23/UE, o artigo 22.º e o anexo IV da Diretiva 2014/24/UE e o artigo 40.º e o anexo V da Diretiva 2014/25/CE, do Parlamento Europeu e do Conselho, de 26 de fevereiro de 2014, revogando o Decreto-Lei n.º 143-A/2008, de 25 de julho _____________________ |
|
SECÇÃO II
Meios humanos e técnicos
| Artigo 9.º
Estrutura organizativa da empresa gestora |
1 - A estrutura organizativa da empresa gestora, a comprovar perante o GNS, deve contemplar, pelo menos, os seguintes cargos e funções necessários à operação dos sistemas:
a) Administrador de segurança, com a responsabilidade global de implementar as políticas e práticas de segurança;
b) Administrador de sistemas, autorizado a instalar, configurar e manter os sistemas, mas com acesso limitado às configurações e aspetos relacionadas com a segurança;
c) Operador de sistemas, sendo responsável por operar diariamente os sistemas, autorizado a realizar cópias de segurança e operações de rotina;
d) Auditor de sistemas, autorizado a monitorizar os arquivos de atividade dos sistemas e registo de eventos para auditoria.
2 - Os postos de trabalho ou funções referidos nas alíneas a), b) e d) do número anterior não podem ser assegurados pela mesma pessoa.
3 - Todos aqueles que desempenhem funções relacionadas com os procedimentos das plataformas eletrónicas, em especial, os cargos definidos no número anterior, devem estar livres de conflitos de interesse que possam prejudicar a sua imparcialidade no exercício das funções.
4 - A empresa gestora é responsável por todos os serviços incluídos no âmbito da sua plataforma eletrónica, bem como dos meios humanos pertencentes à sua estrutura organizativa, mesmo quando prestados por terceiros por ela contratados.
5 - A empresa gestora pode contratar a prestação de serviços tecnológicos e o fornecimento dos respetivos componentes e meios humanos assumindo e mantendo a inteira responsabilidade pelo cumprimento de todos os requisitos exigidos na presente lei.
6 - São obrigatoriamente reduzidos a escrito os contratos celebrados entre a empresa gestora e qualquer prestador de serviços, onde se estabelecem as obrigações das partes e se identificam os serviços e funções prestadas pelo contratado. |
| |
|
|
|
|
Artigo 10.º
Auditores de segurança |
1 - O auditor de segurança é uma pessoa singular ou coletiva, independente da empresa gestora, de reconhecida idoneidade, experiência e qualificações comprovadas na área de sistemas de informação e de segurança de informação, devidamente credenciado pelo GNS, nos termos da alínea a) do n.º 2 do artigo 8.º
2 - O auditor de segurança deve garantir que os membros da sua equipa não atuam de forma parcial ou discriminatória e está sujeito aos seguintes impedimentos:
a) Não realizar auditorias à mesma plataforma eletrónica em mais do que três anos consecutivos;
b) Não realizar auditorias sempre que se verifique qualquer situação que possa comprometer a sua independência;
c) Não ter prestado serviços de consultoria à empresa gestora nos últimos três anos, nem manter com esta qualquer outro acordo ou vínculo contratual.
3 - O auditor de segurança, antes de celebrar qualquer contrato com a empresa gestora, deve solicitar previamente ao GNS, a respetiva autorização, tendo este 30 dias para se pronunciar.
4 - A autorização a que se refere o número anterior depende, designadamente, da inexistência de qualquer situação de impedimento ou incompatibilidade para o exercício da atividade por parte do auditor.
5 - Se, da aplicação do n.º 2 resultar que não existem auditores de segurança credenciados pelo GNS disponíveis, o GNS garante a realização da auditoria. |
| |
|
|
|
|
SECÇÃO III
Relatórios de segurança
| Artigo 11.º
Relatório inicial de segurança |
1 - O auditor de segurança, indicado pela empresa gestora, é responsável pela elaboração do relatório inicial de segurança, para efeitos de obtenção da credenciação da plataforma eletrónica.
2 - O relatório inicial de segurança deve ser elaborado de acordo com as Normas ISO/IEC 20000 e 27001 e englobar obrigatoriamente:
a) A identificação dos perfis dos técnicos que operam as plataformas eletrónicas, com descrição das respetivas funções;
b) Uma descrição técnica detalhada da arquitetura e dos sistemas da plataforma eletrónica, contendo uma análise e verificação:
i) Da conformidade dos certificados digitais utilizados e disponibilizados pelas plataformas eletrónicas;
ii) Do desempenho dos processos de autenticação e validação de utilizadores;
iii) Da conformidade dos requisitos de assinatura eletrónica utilizados;
iv) Dos processos de validação cronológica;
v) Dos níveis de segurança verificados nos processos de encriptação e desencriptação;
vi) Dos processos de recuperação de chaves privadas de encriptação;
vii) Dos processos de custódia de chaves privadas;
viii) Dos mecanismos de controlo de acessos às plataformas eletrónicas e do funcionamento dos registos de acesso;
ix) Da operabilidade da plataforma eletrónica em múltiplos sistemas operativos e múltiplos navegadores (browsers);
x) Do formato standard utilizado para os ficheiros carregados nas plataformas eletrónicas;
xi) Dos processos de carregamento de documentos;
xii) Do funcionamento dos mecanismos e meios de segurança, garantia da confidencialidade e integridade das propostas, candidaturas e soluções apresentadas em procedimentos concorrenciais;
xiii) Da sincronização dos serviços das plataformas eletrónicas com o serviço de tempo de rede (NTP) definido a partir do tempo universal coordenado (UTC);
xiv) Das funcionalidades utilizadas para o arquivo e preservação digital, bem como para a interoperabilidade das plataformas eletrónicas, nos termos decorrentes do n.º 3 do artigo 36.º |
| |
|
|
|
|
Artigo 12.º
Relatório anual de segurança |
1 - Para efeitos de manutenção da credenciação da plataforma eletrónica e da sua própria credenciação, o respetivo auditor de segurança deve realizar uma auditoria anual à plataforma eletrónica, de acordo com as Normas ISO/IEC 20000 e 27001, e elaborar o respetivo relatório anual de segurança, que deve ser enviado ao GNS até ao fim do mês de fevereiro de cada ano civil.
2 - O relatório anual de segurança, para além de conter os elementos referidos no n.º 2 do artigo anterior, deve reportar-se a uma análise de procedimentos de formação dos contratos já concluídos e em curso, através de uma amostragem aleatória, considerada suficiente para a elaboração de um relatório rigoroso e com margens de erro mínimas.
3 - Se do relatório referido no número anterior resultarem desconformidades, deve a entidade gestora, no prazo de 30 dias, corrigir essas situações.
4 - Findo o prazo referido no número anterior, o auditor realiza nova auditoria para avaliar a correção das anomalias apontadas.
5 - Se da nova auditoria resultar que as situações identificadas, ou algumas delas, não foram devidamente corrigidas, deve o facto ser comunicado pelo GNS ao IMPIC, I. P., para que este, após a realização da respetiva audiência prévia, promova o cancelamento da licença, sem prejuízo da efetivação da eventual responsabilidade contraordenacional.
6 - Verificando-se o cancelamento da licença, nos termos do número anterior, a entidade gestora deve transferir, no prazo de 30 dias, para cada entidade adjudicante, toda a informação e documentação atinente aos respetivos procedimentos de formação de contratos públicos em curso, que devem prosseguir, posteriormente, noutra plataforma eletrónica licenciada pelo IMPIC, I. P. |
| |
|
|
|
|
CAPÍTULO III
Licenciamento da atividade de gestão e exploração de plataformas electrónicas
| Artigo 13.º
Licenciamento para o exercício da actividade |
1 - O exercício da atividade de gestão e exploração, em território nacional, de plataformas eletrónicas, depende de licença a conceder pelo IMPIC, I. P.
2 - As licenças emitidas pelo IMPIC, I. P., têm validade de 10 anos, sem prejuízo da verificação anual oficiosa da manutenção dos requisitos gerais de licenciamento e do cancelamento da licença em caso de incumprimento destes requisitos. |
| |
|
|
|
|
Artigo 14.º
Pedidos de licenciamento |
1 - Os pedidos de licenciamento da atividade de gestão e exploração das plataformas eletrónicas são submetidos ao IMPIC, I. P., no respetivo sítio na Internet ou no Balcão do Empreendedor, em formulário próprio aprovado pelo conselho diretivo.
2 - Caso os pedidos contenham omissões ou deficiências suscetíveis de suprimento ou de correção, ou quando se verifiquem irregularidades ou insuficiências relativas aos documentos instrutórios e cuja falta não possa ser oficiosamente suprida, os requerentes são notificados, no prazo de 10 dias a contar da apresentação, para efetuarem as correções necessárias ou apresentarem os documentos em falta, dentro de um prazo fixado pelo IMPIC, I. P., que não pode ser inferior a 15 dias nem superior a 30 dias, sob pena de indeferimento do pedido.
3 - Para decidir do pedido, o IMPIC, I. P., dispõe do prazo de 60 dias, a contar da data da receção respetiva ou dos elementos solicitados nos termos do número anterior ou, quando estes não forem entregues, a contar do termo do prazo concedido para a respetiva apresentação.
4 - Quando o pedido de credenciação é submetido diretamente pelo requerente ao IMPIC, I. P., nos termos do n.º 3 do artigo 8.º, o prazo de decisão referido no número anterior inicia-se após a receção efetiva do comprovativo de credenciação da plataforma eletrónica.
5 - O projeto da decisão referida no n.º 3 deve ser remetido ao requerente, para efeitos de audiência prévia, nos termos previstos no Código do Procedimento Administrativo.
6 - A decisão final é notificada ao requerente, no prazo máximo de oito dias, com a guia para o pagamento da taxa devida, caso o pedido seja deferido pelo IMPIC, I. P.
7 - O pagamento da taxa no prazo fixado na respetiva guia, bem como o pagamento das coimas em dívida pelo requerente, são condição de eficácia do licenciamento. |
| |
|
|
|
|
Artigo 15.º
Requisitos gerais de licenciamento |
O licenciamento para o exercício da atividade de prestação de serviços de utilização de plataformas eletrónicas depende do preenchimento cumulativo, pelos requerentes, dos seguintes requisitos:
a) A respetiva plataforma eletrónica estar credenciada junto do GNS, nos termos do disposto na alínea c) do n.º 2 do artigo 8.º;
b) Possuir idoneidade comercial, nos termos do artigo seguinte;
c) Possuir capital próprio mínimo, nos termos do artigo 17.º;
d) Ser titular de um seguro de responsabilidade civil, ou de uma garantia financeira ou instrumento equivalente que o substitua, destinado a assegurar a responsabilidade emergente da sua atividade, nos termos do disposto no artigo 18.º;
e) Apresentar relatório, em modelo próprio do IMPIC, I. P., emitido pelos representantes legais da empresa gestora, declarando, sob compromisso de honra, o cumprimento, por parte desta, dos requisitos previstos nas secções I e II do capítulo VI. |
| |
|
|
|
|
Artigo 16.º
Idoneidade comercial |
1 - Não são consideradas comercialmente idóneas as empresas gestoras e os respetivos representantes legais que tenham sido declarados insolventes, salvo se tiver sido proferida decisão homologatória de plano de insolvência transitada em julgado.
2 - As pessoas singulares e as pessoas coletivas e os seus representantes legais que tenham sido proibidos do exercício do comércio, são também considerados, durante o período em que a proibição vigore, como comercialmente não idóneos.
3 - São ainda considerados como comercialmente não idóneos as pessoas singulares e as pessoas coletivas e os seus representantes legais que tenham sido objeto de três decisões condenatórias definitivas pela prática dolosa de ilícitos de mera ordenação social muito graves, previstos na presente lei.
4 - Para efeitos do número anterior, são consideradas as condenações de pessoa singular, a título individual ou na qualidade de representante legal de pessoa coletiva, e as condenações de pessoa coletiva de que a pessoa singular tenha sido representante legal.
5 - Não são considerados idóneos:
a) As pessoas singulares e os representantes legais de pessoas coletivas que se encontrem em qualquer uma das situações indicadas nos n.os 1, 2 e 3;
b) As pessoas coletivas que se encontrem em qualquer uma das situações indicadas no n.º 3, bem como aquelas cujos representantes legais sejam considerados não idóneos nos termos do presente artigo e não procedam à respetiva substituição no prazo máximo de 30 dias a contar do conhecimento do facto que determinou a perda de idoneidade.
6 - Não são considerados comercialmente idóneos os representantes legais de empresas gestoras que tenham sido condenados em pena de prisão efetiva, ainda que suspensa na sua execução, transitada em julgado, pela prática de qualquer dos seguintes crimes:
a) Burla, burla informática e nas comunicações ou burla relativa a trabalho ou emprego;
b) Insolvência dolosa, insolvência negligente, favorecimento de credores ou perturbação de arrematações;
c) Falsificação ou contrafação de documento, quando praticado no âmbito da atividade de gestão de plataformas eletrónicas;
d) Desobediência, quando praticado no âmbito da atividade de gestão de plataformas eletrónicas;
e) Corrupção ativa;
f) Fraude na obtenção de subsídio ou subvenção, desvio de subvenção, subsídio ou crédito bonificado, fraude na obtenção de crédito e ofensa à reputação económica;
g) Contrafação ou imitação e uso ilegal de marca, quando praticado no âmbito da atividade de gestão de plataformas eletrónicas;
h) Branqueamento de capitais.
7 - As condenações referidas no n.º 3 não relevam após o decurso do prazo de três anos contados do cumprimento integral das obrigações decorrentes da aplicação da última sanção.
8 - A condenação pela prática de um dos crimes previstos no n.º 6 não afeta a idoneidade de todos aqueles cujo registo criminal tenha sido cancelado, a título provisório ou definitivamente, ou relativamente aos quais o IMPIC, I. P., venha a considerar, de forma justificada, que estão reunidas as condições de idoneidade, tendo em conta, nomeadamente, o tempo decorrido desde a prática dos factos.
9 - Sempre que o IMPIC, I. P., considere existir uma situação de inidoneidade, deve justificar de forma fundamentada as circunstâncias de facto e de direito em que baseia esse juízo de inidoneidade. |
| |
|
|
|
|
Artigo 17.º
Capital próprio |
1 - As empresas gestoras devem estar dotadas de capital próprio, no valor mínimo de (euro) 50 000.
2 - O capital próprio mínimo previsto no número anterior deve estar integralmente realizado à data do pedido de licenciamento e é condição de manutenção da licença. |
| |
|
|
|
|
Artigo 18.º
Seguro de responsabilidade civil |
1 - O montante mínimo do seguro de responsabilidade civil, a que se refere a alínea d) do artigo 15.º, é de (euro) 150 000, por anuidade.
2 - O seguro previsto no número anterior, tal como a garantia financeira ou instrumento equivalente que o substituam, podem ser contratados em qualquer Estado do Espaço Económico Europeu, nos termos dos n.os 2 e 3 do artigo 13.º do Decreto-Lei n.º 92/2010, de 26 de julho, devendo, quando o risco esteja localizado em Portugal, satisfazer as condições mínimas fixadas no anexo I à presente lei, que dela faz parte integrante.
3 - O seguro de responsabilidade civil destina-se ao ressarcimento dos danos patrimoniais causados a terceiros, decorrentes de ações ou omissões das empresas, dos seus representantes e dos seus colaboradores.
4 - Consideram-se terceiros, para efeitos do presente artigo, todos os que, em resultado de um ato ou omissão praticado pela entidade gestora, venham a sofrer danos patrimoniais, ainda que não tenham sido parte no respetivo contrato de utilização da plataforma eletrónica. |
| |
|
|
|
|
Artigo 19.º
Cancelamento da licença |
1 - A licença para o exercício da atividade de prestação de serviços de utilização de plataformas eletrónicas é cancelada:
a) Sempre que o IMPIC, I. P., comprove que a empresa gestora deixou de cumprir qualquer dos requisitos gerais de licenciamento previstos no artigo 15.º;
b) Quando a empresa gestora cessar a sua atividade em território nacional.
2 - O projeto de decisão de cancelamento da licença pelos motivos constantes da alínea a) do número anterior deve ser comunicado à empresa gestora, para efeitos de audiência prévia.
3 - A decisão de cancelamento da licença deve ser comunicada pelo IMPIC, I. P., à empresa gestora e ao GNS, e é publicitada nos sítios na Internet do IMPIC, I. P., e do GNS e no Portal dos Contratos Públicos.
4 - Verificando-se o cancelamento da licença, nos termos do n.º 1, a empresa gestora deve fornecer ao IMPIC, I. P., no prazo de 15 dias a contar da respetiva ocorrência, cópia eletrónica dos arquivos relativos aos procedimentos de formação de contratos públicos realizados na respetiva plataforma eletrónica, sem prejuízo do disposto no n.º 6 do artigo 12.º |
| |
|
|
|
|
Ver
índice sistemático do diploma
Imprimir todo o diploma
Contactos