Relacionados
Ato Original
Decreto-Lei n.º 138/2026
de 10 de julho
A digitalização do ecossistema educativo exige um quadro de confiança que garanta que os recursos tecnológicos utilizados por alunos e docentes respeitam os direitos fundamentais, em especial a proteção de dados dos menores e a segurança da informação.
A transposição da Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União que altera o Regulamento (UE) n.º 910/2014 e a Diretiva (UE) 2018/1972 e revoga a Diretiva (UE) 2016/1148, pelo Decreto-Lei n.º 125/2025, de 4 de dezembro, estabeleceu um novo regime jurídico da cibersegurança, revogando a Lei n.º 46/2018, de 13 de agosto. Garantiu, igualmente, a execução, na ordem jurídica interna, do Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.º 526/2013, o que impõe o reforço dos requisitos de segurança das redes e da informação no setor escolar.
Paralelamente, em observância ao Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados ou RGPD), à Lei n.º 58/2019, de 8 de agosto, que executa na ordem jurídica interna o RGPD, e ao Regulamento (UE) 2022/2065 do Parlamento Europeu e do Conselho, de 19 de outubro de 2022, relativo a um mercado único para os serviços digitais e que altera a Diretiva 2000/31/CE, importa assegurar a transparência algorítmica e a salvaguarda do superior interesse da criança no ambiente digital.
Nesse sentido, o presente decreto-lei estabelece o regime de certificação dos sistemas de informação destinados a utilização em ambiente escolar, promovendo a interoperabilidade e a soberania digital do Estado, em linha com as orientações da Resolução do Conselho de Ministros n.º 214/2025, de 29 de dezembro, que aprovou o Plano de Ação da Estratégia Digital Nacional para 2026-2027. De igual forma, o presente decreto-lei e a regulamentação posterior permitirão assegurar que os sistemas de informação escolares observam os princípios e as orientações nacionais em matéria de interoperabilidade, promovendo a capacidade de interação técnica entre sistemas, a utilização de modelos comuns e a adoção de normas que garantam a coerência, consistência e segurança na circulação de informação entre os diversos serviços da Administração Pública e entre esta e os privados. Daqui é de destacar que os sistemas de informação escolares deverão respeitar um modelo canónico, taxonomias e os códigos de referência nacionais a publicar pela Agência para a Gestão do Sistema Educativo, I. P.
Foi ouvida a Comissão Nacional de Proteção de Dados.
Assim:
Nos termos da alínea a) do n.º 1 do artigo 198.º da Constituição, o Governo decreta o seguinte:
CAPÍTULO I
DISPOSIÇÕES GERAIS
Artigo 1.º
Objeto
O presente decreto-lei estabelece a obrigatoriedade de certificação prévia dos sistemas de informação destinados a utilização em contexto escolar e pedagógico de ensino não superior público, privado e cooperativo, doravante designados por sistemas de informação escolares.
Artigo 2.º
Fins de tratamento
1 - Os sistemas de informação escolares são utilizados pelas escolas não agrupadas e agrupamentos de escolas, bem como pelas entidades e serviços do Ministério da Educação, Ciência e Inovação (MECI), exclusivamente para efeitos do cumprimento das respetivas missões e atribuições e para a gestão administrativa da comunidade educativa, nos termos da legislação aplicável.
2 - A Agência para a Gestão do Sistema Educativo, I. P. (AGSE, I. P.), coordena o acesso das escolas e agrupamentos de escolas aos sistemas de informação escolares, sendo responsável pela sua gestão e sincronização com os sistemas destinatários do MECI, nos termos do artigo 8.º
Artigo 3.º
Fornecedores de sistemas de informação escolares
O presente decreto-lei é aplicável aos fornecedores de sistemas de informação escolares, independentemente de exercerem a sua atividade dentro ou fora do território nacional, que, nomeadamente:
a) Assegurem a interoperabilidade com os sistemas centrais da administração educativa, de acordo com a legislação e regulamentação aplicáveis, nomeadamente o disposto no Regulamento (UE) 2024/903 do Parlamento Europeu e do Conselho, de 13 de março de 2024, que estabelece medidas para um elevado nível de interoperabilidade do setor público em toda a União (Regulamento Europa Interoperável), na Lei n.º 36/2011, de 21 de junho, e na Resolução do Conselho de Ministros n.º 2/2018, de 5 de janeiro;
b) Procedam ao tratamento de dados pessoais de alunos ou de profissionais de educação em equipamentos da rede escolar;
c) Realizem operações críticas no âmbito do presente decreto-lei, designadamente:
i) Gestão administrativa, pedagógica e curricular, nomeadamente relacionada com a lecionação e preenchimento de sumários, planeamento e atribuição de horários, alocação de docentes a turmas, processamento de remunerações, gestão de recursos humanos e comunicações com encarregados de educação;
ii) Registo de assiduidade, avaliação, matrículas e inscrições;
iii) Anotação de ocorrências e medidas disciplinares;
iv) Aplicação e gestão da Ação Social Escolar;
v) Registo e organização de ficheiros administrativos de saúde escolar;
vi) Gestão de bibliotecas escolares;
vii) Exportação, comunicação ou tratamento de dados educacionais estruturados;
d) Forneçam bens ou prestem serviços aos órgãos, organismos e entidades que exercem funções no âmbito do Ministério dos Negócios Estrangeiros, no que respeita a rede de ensino português no estrangeiro, e do MECI, para efeitos do presente decreto-lei.
CAPÍTULO II
REQUISITOS GERAIS
Artigo 4.º
Certificação prévia
1 - O fornecimento e a utilização de sistemas de informação escolares dependem da prévia emissão de certificado de conformidade pela AGSE, I. P., que atua como Entidade Certificadora.
2 - A certificação prévia depende do cumprimento:
a) Dos requisitos técnicos a definir nos termos do artigo 8.º;
b) Dos princípios de acesso a dados «uma só vez», minimização da informação, limitação das finalidades, frequência mínima por tipo de operação, limitação dos prazos de conservação, qualidade da informação, proteção desde a conceção e por defeito, licitude do tratamento e adequação do tratamento de categorias especiais de dados;
c) Do fornecimento dos registos de integração (logs) sempre que pedido pela AGSE, I. P., com retenção e rastreabilidade;
d) Do compromisso de cedência dos dados em formato canónico e exportável, o mais brevemente possível e sem custos adicionais, às escolas e agrupamentos de escolas sempre que mudem de fornecedor de sistemas de informação escolares, a qual deve ser reportada à AGSE, I. P.;
e) Da legislação e regulamentação aplicáveis ao tratamento de dados pessoais, nomeadamente do disposto no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), e na Lei n.º 58/2019, de 8 de agosto.
3 - Os certificados de conformidade emitidos pela AGSE, I. P., têm a validade de três anos.
4 - A AGSE, I. P., publica e mantém atualizada no seu sítio eletrónico na Internet a lista de sistemas de informação escolares certificados.
Artigo 5.º
Deveres de colaboração e reporte
1 - Sem prejuízo da legislação aplicável e dos deveres que sobre si recaiam, os fornecedores de sistemas de informação escolares certificados ou que se encontrem em procedimento de certificação estão sujeitos ao reporte obrigatório de incidentes de segurança com os sistemas de informação escolares que possam comprometer ou colocar em causa a sua certificação.
2 - Os fornecedores de sistemas de informação escolares devem colaborar e reportar os incidentes de segurança à AGSE, I. P., ao Centro Nacional de Cibersegurança, nos termos do Decreto-Lei n.º 125/2025, de 4 de dezembro, e à Comissão Nacional de Proteção de Dados (CNPD), nos termos da Lei n.º 43/2004, de 18 de agosto.
3 - Os fornecedores de sistemas de informação escolares certificados devem, em especial, assumir os deveres de:
a) Correção de vulnerabilidades críticas no prazo definido pela AGSE, I. P., em articulação com a CNPD;
b) Notificação imediata em caso de verificação de incidente com impacto na integridade ou confidencialidade dos dados;
c) Compatibilidade com os requisitos técnicos a definir nos termos do artigo 8.º;
d) Publicação de notas de versão e documentação técnica;
e) Cumprimento das diretivas e obrigações determinadas pelas entidades referidas no número anterior.
CAPÍTULO III
FISCALIZAÇÃO E REGIME SANCIONATÓRIO
Artigo 6.º
Fiscalização, instrução e decisão dos processos de contraordenação
1 - Compete à AGSE, I. P., a fiscalização do cumprimento do dever de certificação prévia, bem como a instauração e instrução dos processos de contraordenação.
2 - A AGSE, I. P., realiza auditorias periódicas para fiscalização do cumprimento do dever de certificação e dos deveres referidos no artigo 5.º, podendo revogar a certificação dos sistemas de informação escolares em caso de incumprimento.
3 - As decisões relativas aos processos de contraordenação, incluindo a aplicação de coimas e de sanções acessórias, são da competência do presidente do conselho diretivo da AGSE, I. P., a qual pode ser delegada em qualquer dos demais membros deste órgão.
Artigo 7.º
Contraordenações
1 - O incumprimento do dever de certificação prévia constitui contraordenação económica grave.
2 - A tentativa e a negligência são puníveis.
3 - Ao disposto no presente artigo é aplicável o Regime Jurídico das Contraordenações Económicas, aprovado em anexo ao Decreto-Lei n.º 9/2021, de 29 de janeiro.
CAPÍTULO IV
DISPOSIÇÕES COMPLEMENTARES, TRANSITÓRIAS E FINAIS
Artigo 8.º
Regulamentação técnica
1 - O certificado de conformidade a emitir pela AGSE, I. P., e os requisitos técnicos dos sistemas de informação escolares são definidos por portaria dos membros do Governo responsáveis pelas áreas dos negócios estrangeiros, da reforma do Estado e da educação.
2 - Nos termos do número anterior, os sistemas de informação escolares devem respeitar um modelo canónico, taxonomias e os códigos de referência nacionais a publicar pela AGSE, I. P.
Artigo 9.º
Regime transitório
Os sistemas de informação escolares em funcionamento nas escolas à data da entrada em vigor do presente decreto-lei dispõem até ao dia 1 de janeiro de 2027 para a conclusão do respetivo procedimento de certificação.
Artigo 10.º
Entrada em vigor
O presente decreto-lei entra em vigor no primeiro dia do mês seguinte ao da sua publicação.
Visto e aprovado em Conselho de Ministros de 14 de maio de 2026. - Luís Montenegro - Ana Isabel Marques Xavier - Gonçalo Nuno da Cruz Saraiva Matias - Fernando Alexandre.
Promulgado em 30 de junho de 2026.
Publique-se.
O Presidente da República, António José Martins Seguro.
Referendado em 3 de julho de 2026.
O Primeiro-Ministro, Luís Montenegro.
119948995