|
Lei n.º 96/2015, de 17 de Agosto REGULA A DISPONIBILIZAÇÃO E A UTILIZAÇÃO DAS PLATAFORMAS ELETRÓNICAS DE CONTRATAÇÃO PÚBLICA(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Regula a disponibilização e a utilização das plataformas eletrónicas de contratação pública e transpõe o artigo 29.º da Diretiva 2014/23/UE, o artigo 22.º e o anexo IV da Diretiva 2014/24/UE e o artigo 40.º e o anexo V da Diretiva 2014/25/CE, do Parlamento Europeu e do Conselho, de 26 de fevereiro de 2014, revogando o Decreto-Lei n.º 143-A/2008, de 25 de julho _____________________ |
|
Artigo 31.º
Fluxo do procedimento |
1 - As plataformas eletrónicas mantêm em vigor um sistema que documenta as várias fases do procedimento conduzido por meios eletrónicos, permitindo, em cada momento, fornecer informação adequada e fidedigna que se revele necessária.
2 - As plataformas eletrónicas devem disponibilizar as funcionalidades necessárias para o cumprimento desta obrigação de forma a permitir manter os documentos no seu formato original, devidamente conservados, bem como um registo de todas as incidências do procedimento apto a servir de prova, em caso de litígio.
3 - O sistema referido no n.º 1 deve permitir identificar, entre outras informações:
a) A entidade e o utilizador que acedeu às peças do procedimento;
b) A data e hora exatas da submissão dos documentos;
c) O documento enviado, bem como a entidade e o utilizador que o enviou; e
d) A duração da comunicação.
4 - O sistema previsto no presente artigo deve manter-se atualizado, incluindo a informação cronológica nas peças do concurso, até ao ato de adjudicação, sem prejuízo do disposto no artigo 74.º |
| |
|
|
|
|
Artigo 32.º
Impedimentos de acesso à plataforma electrónica |
1 - A entidade adjudicante e a empresa gestora apenas respondem pelos impedimentos de ordem técnica no acesso à plataforma eletrónica que lhes sejam imputáveis, que sejam imputáveis ao sistema em que a plataforma opera ou à própria plataforma.
2 - Sempre que ocorram problemas técnicos na rede pública ou na plataforma eletrónica que impossibilitem ou tornem excessivamente demorada a prática de qualquer ato que, nos termos do CCP, deva ser praticado na plataforma eletrónica, deve a entidade adjudicante, por iniciativa própria ou a solicitação dos candidatos e concorrentes, tomar todas as medidas necessárias de forma a que os interessados não sejam prejudicados, podendo, nomeadamente, prorrogar o prazo para a prática desses mesmos atos, o qual aproveita a todos os candidatos e concorrentes.
3 - A entidade gestora deve informar, através de anúncio publicado na página de entrada da plataforma eletrónica, em área de acesso livre a todos os interessados, o período de tempo durante o qual a mesma esteve inoperacional. |
| |
|
|
|
|
Artigo 33.º
Informação aos interessados |
As plataformas eletrónicas devem disponibilizar, em local de acesso livre a todos os potenciais interessados, as especificações necessárias exigidas para a realização dos procedimentos de formação dos contratos, designadamente as respeitantes:
a) A anúncios publicados no Diário da República ou no Jornal Oficial da União Europeia, quando existam;
b) Às peças do procedimento;
c) Ao modo de apresentação das candidaturas, soluções e propostas, tal como definido pela entidade adjudicante;
d) Ao modo e requisitos a que a encriptação de dados deve obedecer;
e) A assinaturas eletrónicas exigidas e ao modo de as obter, designadamente através da utilização dos certificados do cartão de cidadão;
f) Aos selos temporais exigidos e ao modo de os obter;
g) Aos requisitos a que os ficheiros que contêm os documentos das propostas, das candidaturas e das soluções devem obedecer. |
| |
|
|
|
|
SECÇÃO II
Requisitos técnicos das plataformas electrónicas
| Artigo 34.º
Interoperabilidade e compatibilidade |
1 - As plataformas eletrónicas devem cumprir os requisitos de interoperabilidade e compatibilidade previstos no RNID.
2 - As plataformas eletrónicas devem ter a capacidade para permitir o intercâmbio generalizado de dados, nomeadamente entre diferentes formatos e aplicações ou entre níveis diferentes de desempenho, respeitando os requisitos fixados e atualizados, sempre que razões de ordem tecnológica tal justifique, mediante portaria dos membros do Governo que tutelam o IMPIC, I. P., a ESPAP, I. P., e a Agência para a Modernização Administrativa, I. P. (AMA, I. P.), e de que depende o GNS, designadamente:
a) A linguagem de ing para página web;
b) O nível de acessibilidade para as páginas públicas;
c) O acesso remoto a sistemas de ficheiros (se aplicável);
d) O envio seguro de correio eletrónico;
e) A representação gráfica para a especificação de processos de negócio;
f) O protocolo para a garantia de entrega de mensagens na integração entre dois ou mais sistemas de informação interorganismos da Administração Pública;
g) A segurança de integridade e confidencialidade da comunicação na integração entre dois ou mais sistemas de informação interorganismos da Administração Pública;
h) A segurança de autenticação da comunicação na integração entre dois ou mais sistemas de informação interorganismos da Administração Pública;
i) A possibilidade de utilização de WS-Addressing na troca de informação entre sistemas de informação;
j) A definição do standard universal utilizado para todos os ficheiros carregados nas plataformas eletrónicas;
k) O tipo de assinatura eletrónica que todos os documentos assinados eletronicamente devem utilizar. |
| |
|
|
|
|
Artigo 35.º
Interligação com plataformas públicas |
1 - Sem prejuízo do disposto no artigo anterior, as plataformas eletrónicas devem garantir, sempre que necessário e tecnicamente possível através da plataforma de interoperabilidade da Administração Pública, a sua interligação:
a) Com o Portal dos Contratos Públicos, quer em termos técnicos quer no que respeita ao cumprimento das regras de sincronismo necessárias à transferência dos dados requeridos entre a plataforma eletrónica e o referido Portal;
b) Com o portal do Diário da República Eletrónico, nomeadamente para efeitos de envio dos anúncios previstos no CCP;
c) Com o Catálogo Nacional de Compras Públicas da ESPAP, I. P., quer em termos técnicos quer no que respeita ao cumprimento das regras de sincronismo necessárias à transferência dos dados requeridos entre a plataforma eletrónica e o referido Catálogo;
d) Com a solução de Gestão de Recursos Financeiros e Orçamentais em modo partilhado (GeRFiP, da ESPAP, I. P.), quer em termos técnicos, quer no que respeita ao cumprimento das regras de sincronismo necessárias à transferência dos dados requeridos entre a plataforma eletrónica e a referida solução;
e) Com a solução que venha a ser implementada pelo Tribunal de Contas ou pelas entidades do Sistema Nacional de Controlo Interno da Administração Financeira do Estado, no âmbito das suas competências na área da auditoria e controlo dos contratos públicos;
f) Com a solução de autenticação do cartão de cidadão e com o mecanismo central de autenticação «Autenticação.Gov.pt», disponibilizadas pela AMA, I. P.;
g) Com o Protocolo para a Normalização da Informação Técnica na Construção (ProNIC), gerido pelo IMPIC, I. P.;
h) Com a plataforma a desenvolver pela Autoridade da Concorrência.
2 - As interligações previstas no número anterior devem ser estabelecidas através de protocolo a celebrar entre as respetivas entidades envolvidas.
3 - Não pode ser cobrado pelas entidades gestoras qualquer montante pelo estabelecimento das interligações previstas nos números anteriores. |
| |
|
|
|
|
Artigo 36.º
Interligação entre plataformas electrónicas |
1 - As empresas gestoras devem cumprir as condições de interligação e interoperabilidade entre si, necessárias para que os operadores económicos possam escolher livremente a plataforma eletrónica, independentemente da que for utilizada pela entidade pública com que pretendem interagir.
2 - A ESPAP, I. P., é responsável pelo sistema de interligação entre as plataformas eletrónicas, cujo desenvolvimento e manutenção são assegurados pela Imprensa Nacional-Casa da Moeda, S. A. (INCM), e que funciona através da plataforma de interoperabilidade da Administração Pública.
3 - As condições de interligação, interoperabilidade e financiamento são fixadas por portaria dos membros do Governo que tutelam a AMA, I. P., a ESPAP, I. P., e o IMPIC, I. P., de que depende o GNS e responsáveis pela INCM, a publicar no prazo de 90 dias após a publicação da presente lei.
4 - Quando as fases mais avançadas de interoperabilidade forem alcançadas, cessa a obrigação de prestação dos serviços base definidos no artigo 24.º |
| |
|
|
|
|
Artigo 37.º
Troca de dados entre as plataformas eletrónicas e o Portal dos Contratos Públicos |
1 - A informação transmitida pelas plataformas eletrónicas ao Portal dos Contratos Públicos destina-se, designadamente, a arquivo, ao tratamento estatístico e a monitorização da informação, devendo os dados transmitidos estar devidamente codificados e serem suscetíveis de tratamento automático.
2 - A codificação a que se refere o número anterior deve estar perfeitamente sincronizada com o Portal dos Contratos Públicos, com vista a que não se verifique qualquer perturbação na correta identificação das entidades e dos processos a que respeita a informação transmitida.
3 - As condições de interligação das plataformas eletrónicas com o Portal dos Contratos Públicos são fixadas por portaria do membro do Governo que tutela o IMPIC, I. P.
4 - Sem prejuízo do disposto no número anterior, as plataformas eletrónicas devem prever a realização de procedimentos por agrupamento de entidades adjudicantes, disponibilizando para esse efeito campos para indicação dos dados de cada uma das entidades adjudicantes, nomeadamente designação e número de identificação de pessoa coletiva (NIPC), e demais dados necessários à exportação automática das fichas, a definir nos termos do artigo seguinte. |
| |
|
|
|
|
Artigo 38.º
Dados a transmitir ao Portal dos Contratos Públicos |
| As plataformas eletrónicas devem transmitir ao Portal dos Contratos Públicos dados relativos à formação e à execução dos contratos públicos, nos termos a definir por portaria do membro do Governo que tutela o IMPIC, I. P. |
| |
|
|
|
|
SECÇÃO III
Requisitos de segurança das plataformas electrónicas
| Artigo 39.º
Implementação e gestão da segurança |
1 - No desenvolvimento da sua atividade, as empresas gestoras implementam um sistema de gestão de segurança da informação baseado na Norma ISO/IEC 27001.
2 - Para efeitos do disposto no número anterior, as empresas gestoras fornecem ao GNS documentação comprovativa, nomeadamente:
a) Da realização de uma avaliação exaustiva dos riscos que identifique o âmbito de aplicação do sistema e assinale o impacto na atividade em caso de violação da garantia da informação;
b) Da identificação das ameaças e vulnerabilidades da plataforma eletrónica, e a produção de um documento de análise de riscos onde se enumerem igualmente contramedidas para evitar tais ameaças, e as medidas corretivas a tomar caso a ameaça se concretize, bem como a apresentação de uma lista hierarquizada de melhorias a introduzir;
c) Da identificação dos riscos residuais por escrito.
3 - As empresas gestoras selecionam os controlos de segurança adequados com base na análise de riscos prevista na alínea a) do número anterior, e na norma ISO/IEC 27002, nas seguintes áreas da segurança:
a) Avaliação de risco, adotando-se para o efeito a norma ISO/IEC 27005 ou outra metodologia de avaliação de riscos equivalente;
b) Segurança física e ambiental;
c) Segurança dos recursos humanos;
d) Gestão de comunicações e operações;
e) Medidas normalizadas de controlo do acesso;
f) Aquisição, desenvolvimento e manutenção dos sistemas de informação;
g) Gestão de incidentes no domínio da segurança das informações;
h) Medidas para corrigir e mitigar violações dos sistemas de informação suscetíveis de causar a destruição, a perda acidental, a alteração, ou a divulgação ou acesso não autorizados dos dados pessoais a tratar;
i) Conformidade;
j) Segurança de redes informáticas, recomendando-se para o efeito a norma ISO/IEC 27033.
4 - A aplicação destas normas pode cingir-se apenas às partes da organização que são relevantes para a atividade das plataformas eletrónicas. |
| |
|
|
|
|
Artigo 40.º
Gestão de utilizadores, perfil de acesso e privilégios |
1 - A plataforma eletrónica deve suportar perfis com diferentes privilégios, incluindo, no mínimo, os seguintes:
a) Administrador de segurança;
b) Administrador de sistemas;
c) Operador de sistemas;
d) Auditor de sistemas.
2 - A plataforma eletrónica deve ser capaz de associar e atribuir os utilizadores aos perfis definidos no número anterior.
3 - A plataforma eletrónica deve garantir que um utilizador não pode ser associado a múltiplos perfis, de acordo com o seguinte critério:
a) Um utilizador com o perfil de «administrador de segurança» não é autorizado a assumir o perfil de «auditor de sistemas»;
b) Um utilizador com o perfil de «administrador de sistemas» não é autorizado a assumir o perfil de «administrador de segurança» ou de «auditor de sistemas». |
| |
|
|
|
|
Artigo 41.º
Sistemas e operações |
1 - A empresa gestora garante que a plataforma eletrónica é fiável, nomeadamente:
a) Os procedimentos de operação e segurança estão definidos;
b) A plataforma eletrónica foi desenhada e desenvolvida de modo a que o risco de falha dos sistemas seja mínimo;
c) A plataforma eletrónica está protegida de vírus e software malicioso de modo a assegurar a integridades dos sistemas e da informação nestes incluídos.
2 - As plataformas eletrónicas devem assegurar a disponibilidade da informação para todos os seus utilizadores, exceto nos períodos de manutenção, de acordo com o disposto nos n.os 5 e 6 do artigo 28.º
3 - As plataformas eletrónicas devem implementar soluções de modo a inibir e minimizar os efeitos de ataques distribuídos de negação de serviços.
4 - A ligação da plataforma eletrónica à rede pública deve ser assegurada, no mínimo, por duas origens fisicamente independentes.
5 - Os vários sistemas que compõem a plataforma eletrónica devem estar atualizados e ser corrigidos (patched), de forma expedita, à medida que são descobertas novas vulnerabilidades.
6 - Todos os serviços das plataformas eletrónicas devem estar sincronizados com o NTP (Network Time Protocol) definido a partir do UTC (Universal Time Coordinated), devendo ser utilizadas duas fontes de tempo diferentes, em que uma delas é obrigatoriamente a hora legal portuguesa.
7 - Em caso de desastre, as plataformas eletrónicas devem disponibilizar meios capazes de continuar as operações usando sistemas alternativos e assegurar o backup para garantir a integridade e a possibilidade de recuperação da informação.
8 - A empresa gestora deve especificar na sua política qual o tempo máximo aceitável, na reposição dos serviços. |
| |
|
|
|
|
Ver
índice sistemático do diploma
Imprimir todo o diploma
Contactos