Responsabilidades do encarregado de um órgão de segurança no controlo das pessoas que têm acesso a informação classificada na sua organização

A nível EU podemos encontrar disposições sobre o controlo das pessoas que têm acesso à informação classificada na Decisão n.º 2013/488/UE, do Conselho, de 23 de setembro, relativa às regras de segurança aplicáveis à Proteção das Informações Classificadas da EU e na Decisão (UE/EURATOM) n.º 2015/444, da Comissão, de 13 de março de 2015, relativa às regras de segurança aplicáveis à Proteção das Informações Classificadas da EU que altera a anterior.

Também se encontra disposto no n.º 2 do Art.º 5 da Resolução da Assembleia da República n.º 125/2012 que Aprova o Acordo entre os Estados membros da União Europeia, reunidos no Conselho, sobre a Proteção das Informações Classificadas Trocadas no Interesse da União Europeia, assinado em Bruxelas em 25 de maio de 2011, o seguinte “As Partes devem assegurar que o acesso a informações classificadas que ostentem uma marca de classificação «CONFIDENTIEL UE/EU CONFIDENTIAL» ou superior ou uma marca de classificação equivalente, tal como estabelecido no anexo, só seja concedido a pessoas detentoras de uma credenciação de segurança adequada ou de outro modo devidamente autorizadas por força das suas funções, nos termos das disposições legislativas e regulamentares nacionais.” O que se pode considerar que já aborda o problema da necessidade de conhecer e do controlo das pessoas que têm acesso às informações classificadas.

Passando agora a referir à Decisão n.º 2013/488/UE, do Conselho, de 23 de setembro, relativa às regras de segurança aplicáveis à Proteção das Informações Classificadas da EU, podemos verificar que no Art.º 7º se intitula “Requisitos de segurança do pessoal” e aqui se especifica que a segurança do pessoal consiste na aplicação de medidas que se destinam a garantir que o acesso às informações confidenciais de marca EU (ICUE) só seja concedido a quem tenha necessidade de tomar conhecimento, possua a credenciação de segurança para o nível adequado, consoante as necessidades, e tenha sido informado das responsabilidades que lhe cabem.

No Anexo I da decisão define dos procedimentos de credenciação de segurança do pessoal que permitam verificar se determinada pessoa pode ter acesso a ICUE, tendo em conta a sua lealdade, idoneidade e fiabilidade.

No n.º 3 do referido artigo refere que todo o pessoal do SGC que, no exercício das suas funções, tenha de manusear ou aceder a ICUE com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior deve receber a credenciação de segurança para o nível adequado antes de lhe ser facultado o acesso às referidas ICUE. Esse pessoal deve ser autorizado pela entidade competente para proceder a nomeações no SGC a aceder a ICUE até determinado nível e até determinada data.

No n.º 4 refere que o pessoal dos Estados-Membros, especificados no n.º 3 do art.º 15º, no exercício das suas funções, possa ter de aceder a ICUE com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior deve possuir a credenciação de segurança para o nível adequado ou outra autorização devidamente emitida em virtude das funções que exerce, nos termos das disposições legislativas e regulamentares nacionais antes de lhe ser facultado o acesso às referidas ICUE.

A esse pessoal, antes de lhes ser facultado o acesso a ICUE e, posteriormente, a intervalos regulares, todas as pessoas são informadas das suas responsabilidades no que respeita à proteção das ICUE nos termos da presente decisão e reconhecem essas mesmas responsabilidades, como disposto no n.º 5.

Mas as regras concretas de aplicação estão descritas no Anexo I á decisão. Este anexo tem como objetivo estabelecer as regras de execução do art.º 7º e define os critérios a ter em conta para determinar se, com base na sua lealdade, idoneidade e fiabilidade, uma dada pessoa pode ser autorizada a ter acesso a ICUE, mas também os procedimentos administrativos e de investigação a seguir para esse efeito.

No II do Anexo I descreve-se processo de concessão de acesso a matérias ICEU, tendo-se de comprovar a sua necessidade de tomar conhecimento de tais informações, das pessoas terem sido informadas das regras e procedimentos de segurança aplicáveis à proteção das ICUE e terem reconhecido as suas responsabilidades no que respeita à proteção dessas informações; e no caso de informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior: lhes ter sido concedida a CSP para o nível adequado ou outra autorização devidamente emitida em virtude das funções que exercem nos termos das disposições legislativas e regulamentares nacionais, ou no caso de funcionários e outros agentes do SGC, ou peritos nacionais destacados, lhes tenha sido dada autorização de acesso a ICUE pela entidade competente para proceder a nomeações no SGC, até determinado nível e até determinada data. Os Estados-Membros e o SGC identificarão os cargos que, nas respetivas estruturas, precisam de ter acesso a informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior e para os quais é, por esse motivo, exigida uma credenciação de segurança para o nível adequado.

Depois na parte III do Anexo I especifica os requisitos da credenciação de segurança do pessoal, sendo ANS ou outras autoridades nacionais competentes serão responsáveis por assegurar que sejam realizadas investigações de segurança a respeito dos respetivos cidadãos que precisem de ter acesso a informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior. As normas de investigação respeitarão as disposições legislativas e regulamentares nacionais com vista à emissão de uma CSP ou à concessão de uma garantia da pessoa a quem será dada autorização de acesso a ICUE, conforme adequado.

Se a pessoa residir no território de outro Estado-Membro ou de um Estado terceiro, as autoridades nacionais competentes solicitarão assistência à autoridade competente do Estado de residência, nos termos das disposições legislativas e regulamentares nacionais. Os Estados-Membros prestar-se-ão mutuamente assistência na condução das investigações de segurança, nos termos das disposições legislativas e regulamentares nacionais. Quando as disposições legislativas e regulamentares nacionais o permitirem, as ANS ou outras autoridades nacionais competentes podem realizar investigações a respeito de cidadãos que não sejam nacionais e que precisem de ter acesso a informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior. As normas de investigação respeitarão as disposições legislativas e regulamentares nacionais.

Do paragrafo 7 ao 9 do Anexo I são descritos os Critérios da investigação de segurança, sendo de salientar que a investigação não se restringe somente ao individuo como incluí o cônjuge, amigos e familiares mais próximos. A lealdade, a idoneidade e a fiabilidade de uma dada pessoa para efeitos de atribuição de uma credenciação de segurança para acesso a informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior serão determinadas por meio de uma investigação de segurança. Os principais critérios a usar para esse efeito devem consistir nomeadamente em ponderar, na medida em que tal seja possível à luz das disposições legislativas e regulamentares nacionais. Descritos nas alíneas a) a k) do parágrafo 7.

Do paragrafo 10 ao 27 do Anexo I são especificados os Requisitos de investigação para acesso a ICUE. Começa por abordar, do paragrafo 10 ao 12 os passos para a primeira atribuição de uma credenciação de segurança.

A credenciação de segurança inicial para acesso a informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET baseia-se numa investigação de segurança que abranja pelo menos os últimos cinco anos, ou o período compreendido entre os 18 anos de idade e o momento presente, consoante o período mais curto.

A credenciação de segurança inicial para acesso a informações com classificação TRÈS SECRET UE/EU TOP SECRET basear-se-á numa investigação de segurança que abranja pelo menos os últimos dez anos, ou o período compreendido entre os 18 anos de idade e o momento presente, consoante o período mais curto.

Além dos critérios indicados no paragrafo 7, serão investigados, na medida em que tal seja possível à luz das disposições legislativas e regulamentares nacionais, os elementos que adiante se enumeram antes de ser concedida a CSP TRÈS SECRET UE/EU TOP SECRET; esses elementos poderão ser também investigados antes de ser concedida uma CSP CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET, quando as disposições legislativas e regulamentares nacionais o exijam, a situação financeira, a educação, o emprego, o serviço militar e quando previstas e admissíveis nos termos da legislação nacional, serão efetuadas uma ou mais entrevistas.

Do paragrafo 13 ao 15 descreve o processo de renovação de uma credenciação de segurança, depois da primeira atribuição de uma credenciação de segurança, e desde que a pessoa em causa tenha prestado ininterruptamente serviço numa administração nacional ou no SGC e continue a precisar de ter acesso a ICUE, a credenciação de segurança será revista, para efeitos de renovação, a intervalos não superiores a cinco anos para uma credenciação TRÈS SECRET UE/EU TOP SECRET e a dez anos para credenciações SECRET UE/EU SECRET e CONFIDENTIEL UE/EU CONFIDENTIAL, com efeitos a partir da data da notificação dos resultados da última investigação de segurança que lhes tenha servido de base. Todas as investigações com vista à renovação de uma credenciação de segurança abrangerão o período decorrido desde a última investigação.

Sequentemente, nos parágrafos 16 ao 25 são descritos os procedimentos de autorização no SGC. No que respeita aos funcionários e outros agentes do SGC, a Autoridade de Segurança do SGC enviará o questionário de segurança do pessoal, preenchido, à ANS do Estado-Membro de nacionalidade da pessoa, solicitando que seja levada a cabo uma investigação de segurança para o nível de ICUE às quais a pessoa deverá ter acesso. Concluída a investigação de segurança, a ANS competente comunicará à Autoridade de Segurança do SGC os resultados dessa investigação, utilizando para o efeito a minuta estipulada pelo Comité de Segurança.

Os Estados-Membros e o SGC manterão, respetivamente, registos das CSP e das autorizações concedidas para o acesso a informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior. Esses registos especificarão, pelo menos, o nível das ICUE a que a pessoa pode ter acesso, a data em que a credenciação de segurança foi atribuída e o seu período de validade. A autoridade de segurança competente poderá emitir um CCSP, indicando o nível de ICUE a que a pessoa pode ter acesso (CONFIDENTIEL UE/EU CONFIDENTIAL ou superior), o período de validade da CSP para efeitos de acesso a ICUE ou da autorização de acesso a ICUE e o prazo de validade do próprio certificado.

Na parte IV do Anexo I é referente à formação e sensibilização para a segurança. Todas as pessoas a quem tenha sido conferida uma credenciação de segurança confirmarão por escrito que compreenderam as obrigações a que estão sujeitas no que respeita à Proteção das ICUE e as consequências do comprometimento de ICUE.

Todas as pessoas autorizadas a aceder a ICUE ou que precisem de manusear ICUE serão inicialmente sensibilizadas e periodicamente informadas das ameaças existentes para a segurança e deverão comunicar imediatamente às autoridades de segurança competentes qualquer atitude ou atividade que considerem suspeita ou pouco habitual.

Quem deixar de exercer funções que exijam acesso a ICUE será informado de que deverá continuar a salvaguardar as ICUE e, se necessário, confirmará por escrito essa sua obrigação.

A parte V do Anexo I descreve circunstancias excecionais de credenciação.

Quando as disposições legislativas e regulamentares nacionais o permitirem, a credenciação de segurança atribuída por uma autoridade nacional competente de um Estado-Membro para acesso a informações classificadas nacionais pode, temporariamente, até à concessão de uma CSP para acesso a ICUE, permitir que funcionários nacionais tenham acesso a ICUE, se esse acesso temporário for do interesse da União.

Por motivos de urgência devidamente justificados pelo interesse do serviço e enquanto se aguarda a conclusão de uma investigação de segurança exaustiva, a entidade competente para proceder a nomeações no SGC, após consulta à ANS do Estado-Membro de nacionalidade do interessado e sob reserva dos resultados da verificação inicial de que não há conhecimento de informações desfavoráveis, pode conceder aos funcionários e outros agentes do SGC uma autorização temporária de acesso a ICUE para uma função concreta. Essas autorizações temporárias terão uma validade não superior a seis meses e não permitirão o acesso a informações com classificação TRÈS SECRET UE/EU TOP SECRET.

Quando devam ser confiadas a alguém funções que exijam uma credenciação de segurança de nível superior ao que a pessoa possui, a atribuição pode ser feita a título temporário, desde que haja necessidade urgente de acesso a ICUE de nível superior seja justificada, por escrito, pelo superior hierárquico da pessoa em causa; o acesso seja limitado a ICUE específicas de apoio às funções exercidas; a pessoa possua uma CSP válida ou uma autorização de acesso a ICUE; tenham sido iniciados os trâmites necessários para obter autorização para o nível de acesso exigido para essas funções; a autoridade competente tenha feito verificações satisfatórias das quais se tenha concluído que a pessoa em causa não infringiu as regras de segurança de forma grave nem reiterada; a atribuição de funções à pessoa em causa seja aprovada pela autoridade competente; e a exceção, incluindo uma descrição das informações para as quais tenha sido aprovado o acesso, seja averbada no registo responsável ou num registo que dele dependa.

Em circunstâncias muito excecionais, como sejam as missões em ambiente hostil ou os períodos de crescente tensão internacional, quando as medidas de emergência o exijam, nomeadamente para salvar vidas humanas, os Estados-Membros e o Secretário-Geral poderão conceder, por escrito, acesso a informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET a pessoas que não possuam a necessária credenciação de segurança, desde que tal autorização seja absolutamente necessária e não haja dúvidas razoáveis quanto à lealdade, à idoneidade e à fiabilidade da pessoa em causa.

No caso de informações com classificação TRÈS SECRET UE/EU TOP SECRET, este acesso de emergência será limitado aos nacionais da União que tenham sido autorizados a aceder ao equivalente nacional do nível TRÈS SECRET UE/EU TOP SECRET ou às informações com classificação SECRET UE/EU SECRET.

Na parte VI aborda o caso específico da credenciação para a participação em reuniões do conselho e a parte VII é sobre acesso potencial a ICEU como os estafetas, guardas e escoltas que devem possuir a credenciação de segurança para o nível adequado ou ser de outro modo sujeitos a uma investigação adequada nos termos das disposições legislativas e regulamentares nacionais, ser informados dos procedimentos de segurança aplicáveis à proteção das ICUE e alertados para o seu dever de proteção das informações que lhes forem confiadas.

Na Decisão (UE/EURATOM) n.º 2015/444, da Comissão, de 13 de março de 2015, relativa às regras de segurança aplicáveis à Proteção das Informações Classificadas da EU que altera a anteriormente referida, todo o capítulo 2 aborda a Segurança do Pessoal para aceder a ICEU, que do art.º 9º ao art.º 15º aborda de forma mais resumida e com poucas alterações o disposto no Anexo I da Decisão 2013/488/EU mas com a mesma estrutura em geral.

No art.º 9º são dadas as definições básicas para se puder interpretar o restante capítulo. Claramente, explana que «Autorização de acesso a ICUE» é uma decisão da Autoridade de Segurança da Comissão tomada com base na garantia dada por uma autoridade competente de um Estado-Membro de que pode ser facultado acesso a ICUE a um funcionário ou outro agente da Comissão, ou perito nacional destacado, até determinado nível (CONFIDENTIEL UE/EU CONFIDENTIAL ou superior), e até determinada data, depois de comprovada a necessidade de essa pessoa tomar conhecimento de tais informações e tendo a mesma sido devidamente informada das responsabilidades que lhe incumbem; diz-se da pessoa nestas condições que «possui autorização de segurança».

Também define que se entende por «Autorização de segurança do pessoal» a aplicação de medidas destinadas a garantir que o acesso às ICUE só seja concedido a quem tenha necessidade de tomar conhecimento das informações, possua a autorização de segurança para o nível adequado, se for caso disso; e tenha sido informado das responsabilidades que lhe incumbem.

A «Credenciação de Segurança do Pessoal» (CSP) é uma declaração de uma autoridade competente de um Estado-Membro, feita depois de concluída uma investigação de segurança conduzida pelas autoridades competentes de um Estado-Membro, pela qual se atesta que uma dada pessoa pode aceder a ICUE até determinado nível (CONFIDENTIEL UE/EU CONFIDENTIAL ou superior), e até determinada data, depois de comprovada a necessidade de essa pessoa tomar conhecimento de tais informações e tendo a mesma sido devidamente informada das responsabilidades que lhe incumbem.

Enquanto que o «Certificado de Credenciação de Segurança do Pessoal» (CCSP) é um certificado emitido por uma autoridade competente pelo qual se atesta que uma dada pessoa possui uma credenciação de segurança válida ou uma autorização de segurança emitida pela Autoridade de Segurança da Comissão que indica o nível de ICUE a que a pessoa pode aceder (CONFIDENTIEL UE/EU CONFIDENTIAL ou superior), a data de validade da credenciação ou autorização de segurança pertinente e a data de caducidade do próprio certificado.

Também é explanado que a «Investigação de Segurança» é um procedimento de investigação conduzido pela autoridade competente de um Estado-Membro, em conformidade com as disposições legislativas e regulamentares nacionais, a fim de obter a garantia de que não há conhecimento de circunstâncias desfavoráveis que impeçam uma dada pessoa de obter uma credenciação de segurança até um determinado nível (CONFIDENTIEL UE/EU CONFIDENTIAL ou superior).

No art.º 10º são explicados os princípios básicos de acesso a ICUE, afirmando que só poderá ser concedido esse acesso depois de ter ficado comprovada a sua necessidade de tomar conhecimento de tais informações, terem sido informadas das regras de segurança aplicáveis à proteção das ICUE e das normas e diretrizes de segurança pertinentes e terem reconhecido as suas responsabilidades no que respeita à proteção dessas informações e no caso de informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior, possuírem a autorização de segurança para o nível adequado ou outra autorização devidamente emitida, em virtude das funções que exercem, em conformidade com as disposições legislativas e regulamentares nacionais.

As pessoas que, no exercício das suas funções, possam ou devam ter acesso a ICUE com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior devem receber a autorização de segurança para o nível adequado antes de lhes ser facultado o acesso às referidas ICUE e a pessoa em causa deve consentir por escrito ser submetida ao procedimento de credenciação de segurança do pessoal. Se não o fizer, a pessoa não pode ser afetada a um cargo, função ou tarefa que implique o acesso a informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior.

Devem ser definidos procedimentos de credenciação de segurança do pessoal que permitam verificar se determinada pessoa pode ter acesso a ICUE, tendo em conta a sua lealdade, idoneidade e fiabilidade. Essas características são determinadas mediante uma investigação de segurança conduzida pelas autoridades competentes de um Estado-Membro em conformidade com as respetivas disposições legislativas e regulamentares nacionais. A Autoridade de Segurança da Comissão é a única autoridade responsável pela ligação com as Autoridades Nacionais de Segurança (ANS) ou outras autoridades nacionais competentes relativamente a todas as questões de credenciação de segurança. Todos os contactos entre os serviços da Comissão e o seu pessoal e as ANS e outras autoridades competentes devem ser realizados através da Autoridade de Segurança da Comissão.

No art.º 11º é descrito o procedimento de autorização de segurança, que quando é determinado que uma pessoa vai ocupar um cargo que necessite de aceder a matérias ICEU dever-se-á iniciar o processo de certificação do individuo.

A pessoa em cause deverá preencher o questionário de credenciação de segurança emitido pela ANS do Estado-Membro de que seja nacional a pessoa nomeada como membro do pessoal das instituições europeias dando o seu consentimento por escrito antes de ser submetida ao procedimento de credenciação de segurança e devolver o questionário preenchido o mais rapidamente possível à Autoridade de Segurança da Comissão. A Autoridade de Segurança da Comissão envia o questionário de segurança do pessoal preenchido à ANS do Estado-Membro de que é nacional a pessoa nomeada, solicitando a realização de uma investigação de segurança para o nível de ICUE às quais a pessoa deverá ter acesso.

Após a conclusão da investigação de segurança, e o mais rapidamente possível após ter sido notificada pela ANS competente da sua avaliação global dos resultados dessa investigação, a Autoridade de Segurança da Comissão.

Se da investigação de segurança resultar a garantia de que não há conhecimento de fatores desfavoráveis poder-se-á conceder à pessoa em causa uma autorização de acesso a ICUE até ao nível adequado e até uma data por ela especificada, por um período máximo de cinco anos; caso contrário, notifica-se do facto a pessoa em causa, que pode pedir para ser ouvida pela referida Autoridade. Se os resultados da investigação de segurança se confirmarem, não é emitida uma autorização de acesso a ICUE.

As decisões tomadas pela Autoridade de Segurança da Comissão são suscetíveis de recurso em conformidade com o Estatuto do Pessoal. A autorização abrange quaisquer funções que a pessoa em causa venha a desempenhar na Comissão.

Se o período de serviço da pessoa não tiver começado no prazo de 12 meses a contar da notificação dos resultados da investigação de segurança à Autoridade de Segurança da Comissão, ou se houver uma interrupção de 12 meses no serviço durante a qual a pessoa não exerceu funções na Comissão ou em qualquer outra instituição, organismo ou agência da União ou na administração de um Estado-Membro, a Autoridade de Segurança da Comissão remete a questão para a ANS competente, para confirmação de que a credenciação de segurança continua a ser válida e pertinente.

Se a Autoridade de Segurança da Comissão tomar conhecimento de informações a respeito da existência de qualquer risco para a segurança colocado por uma pessoa que disponha de uma autorização de segurança válida, informa desse facto a ANS competente, em conformidade com as regras e regulamentações pertinentes e se a ANS comunicar à Autoridade de Segurança da Comissão que retirou a uma pessoa que possua uma autorização válida para acesso a ICUE, a autorização de segurança deve ser retirada e a pessoa em causa excluída do acesso às ICUE e afastada de funções em que esse acesso seja possível ou a pessoa possa prejudicar a segurança. A pessoa em cause é sempre notificada e poderá recorrer.

Existe o caso de pessoas devidamente autorizadas a aceder a ICUE em virtude das funções que exercem como os membros da Comissão, são informados acerca das suas obrigações de segurança no que respeita à proteção das ICUE.

Os registos das credenciações e autorizações de segurança concedidas com vista ao acesso a ICUE devem ser mantidos pela Autoridade de Segurança da Comissão, em conformidade com a presente decisão. Esses registos devem especificar, pelo menos, o nível das ICUE a que a pessoa pode ter acesso, a data de emissão da credenciação de segurança e o seu período de validade. A Autoridade de Segurança da Comissão pode emitir um CCSP indicando o nível de ICUE a que a pessoa pode ter acesso (CONFIDENTIEL UE/EU CONFIDENTIAL ou superior), o período de validade da autorização pertinente para efeitos de acesso a ICUE ou a data de expiração do próprio certificado.

Depois da primeira atribuição de uma autorização de segurança, e desde que a pessoa em causa tenha prestado ininterruptamente serviço na Comissão Europeia ou noutra instituição, organismo ou agência da União e continue a precisar de ter acesso a ICUE, a autorização de segurança para aceder a ICUE deve ser revista, para efeitos de renovação, regra geral, de cinco em cinco anos a contar da data da notificação dos resultados da última investigação de segurança que lhe tenha servido de base.

Poder-se-á prorrogar o prazo de validade da autorização de segurança existente por um período de, no máximo, 12 meses, se não tiver sido recebida qualquer informação desfavorável da ANS ou de outra autoridade nacional competente no prazo de dois meses a contar da data de transmissão do pedido de renovação e do correspondente questionário de credenciação de segurança. Se, decorrido este período de 12 meses, a ANS em causa ou outra autoridade nacional competente não tiver notificado o seu parecer à Autoridade de Segurança da Comissão, a pessoa em causa é afetada a funções que não exijam uma autorização de segurança.

No art.º 12º é sobre as sessões de informação sobre as autorizações de segurança, as pessoas a quem tenha sido atribuída uma autorização de segurança devem confirmar por escrito que compreenderam as obrigações a que estão sujeitas no que respeita à proteção das ICUE e as consequências do comprometimento de ICUE. A Autoridade de Segurança da Comissão deve conservar um registo dessas declarações escritas, e devem ser inicialmente sensibilizadas e periodicamente informadas das ameaças existentes para a segurança e comunicar imediatamente à Autoridade de Segurança da Comissão qualquer atitude ou atividade que considerem suspeita ou pouco habitual.

As pessoas que deixarem de exercer funções que exijam acesso a ICUE são informadas de que devem continuar a proteger as ICUE e, se necessário, confirmar por escrito essa sua obrigação.

O que concerne a autorizações temporárias é abordado no art.º 13 que diz que em circunstâncias excecionais devidamente justificadas pelo interesse do serviço e na pendência da conclusão de uma investigação de segurança exaustiva, a Autoridade de Segurança da Comissão, após consulta da ANS do Estado-Membro de nacionalidade do interessado e sob reserva dos resultados da verificação inicial de que não há conhecimento de informações pertinentes desfavoráveis, pode conceder à pessoa em causa uma autorização temporária de acesso a ICUE para uma função específica, sem prejuízo das disposições relativas à renovação das credenciações de segurança. Essas autorizações temporárias de acesso a ICUE são válidas por um período único não superior a seis meses e não permitem o acesso a informações com classificação TRÈS SECRET UE/EU TOP SECRET.

O Art.º 14º aborda a questão da participação em reuniões classificadas organizadas pela Comissão. Os serviços da Comissão responsáveis pela organização de reuniões nas quais sejam discutidas informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior informam, através do seu LSO ou do organizador da reunião, a Autoridade de Segurança da Comissão com bastante antecedência das datas, horários, locais e participantes nessas reuniões. As pessoas designadas para participar em reuniões organizadas pela Comissão nas quais sejam discutidas informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior só o poderão fazer depois de confirmado o seu estatuto de credenciação de segurança ou de autorização de segurança. O acesso a estas reuniões deve ser recusado às pessoas que não tenham apresentado à Autoridade de Segurança da Comissão um CCSP ou outra prova de credenciação de segurança, bem como aos participantes da Comissão que não possuam uma autorização de segurança.

E finalmente, o art.º 15 fala do acesso potencial a ICUE por estafetas, guardas e escoltas que devem possuir a autorização de segurança para o nível adequado ou ser sujeitos a uma investigação adequada em conformidade com as disposições legislativas e regulamentares nacionais, ser informados dos procedimentos de segurança aplicáveis à proteção das ICUE e alertados para o seu dever de proteção das informações que lhes forem confiadas.

Podemos ver que ambos os diplomas são semelhantes na sua abordagem da segurança do pessoal ao acesso às ICUE, sendo o primeiro diploma mais detalhado do que o segundo.

No âmbito da NATO, este tema é abordado no AC/35-D/2000-REV7, onde é detalhado os procedimentos para conceder credenciação ao pessoal para a marca NATO.

A abordagem é em todo semelhante aos diplomas da EU começando por definir quem poderá ter acesso à informação sendo-lhes atribuído o Personnel Security Clearance (PSC), detalhado no parágrafo 2 da publicação.

No paragrafo 3 descreve as responsabilidades as agencias nacionais de segurança (NSA), como a condução das investigações do indivíduo, a autorização escrita para efetuar a investigação, a renovação das acreditações.

No paragrafo 4 especifica que os HQ NATO e as nações deverão identificar os cargos que necessitam ter acesso á informação classificada e o grau necessário, assegurando o respetivo PSC e assegurando a continuidade dos pressupostos que concedera a credenciação.

Nos parágrafos 5 e 6 falam especificamente na identificação das posições que requerem PSC e o seu grau.

Seguida dos parágrafos 7 ao 9 são especificados os critérios para avaliar se um determinado individuo é elegível para ser credenciado, especificando os critérios para a para determinar se o universo familiar e amigos é compatível com a credenciação. Podemos dizer que os critérios são muito similares aos utilizado pela EU.

A problemática dos indivíduos de dupla nacionalidade é abordada no parágrafo 10, o problema agrava-se se uma das nacionalidades for não NATO, este fator deverá ter especial atenção. Se o a NSA da nação NATO cujo o indivíduo é cidadão não encontrar incompatibilidade nem problemas de lealdade, a certificação deverá ser concedida.

Do parágrafo 11 ao 13 são descritos os requisitos da investigação ao individuo para conceder a credenciação no grau NATO CONFIDENTIAL (NC), NATO SECRET(NS) e COSMIC TOP SECRET (CTS). A investigação para NC e NS deverá versar sobre os últimos 5 anos e deverão ser verificados, pelo menos, o questionário, verificação de identidade, cidadania e os registos nacionais.

Para NCT o inquérito deverá versar os últimos 10 anos e dever-se-á investigar (além dos acima mencionados) a situação financeira, educação, o emprego e o registo militar (estes fatores também poderão ser relevantes para a atribuição de NC e NS).

Se foi encontrada alguma informação menos favorável dever-se-á proceder a uma entrevista presencial.

O paragrafo 14 que é da responsabilidade da NSA a conceção ou não da credenciação.

A credenciação de civis e militares dos organismos NATO deverá ser tratada pela nação do individuo e entregue copia ao organismo. Como na EU, se houver o cargo não começar nos primeiros 12 meses da credenciação ou haver um interregno das funções superiores a 12 meses, a credenciação terá de ser confirmada pelo NSA. Em conformidade com os parágrafos 15 e 16.

A credenciação de empresas contratadas por organismos NATO é referida especificamente na Diretiva de Segurança Industrial que é informação classificada, logo não poderá ser abordada neste trabalho. (Paragrafo17).

Do paragrafo 18 ao 22 é abordada a revalidação da credenciação. Após terminus da validade da credenciação, 10 anos NC e NS e 5 anos CTS, deverá ser efetuado o processo de revalidação da credenciação com os procedimentos muito similares à credenciação em si. O paragrafo 19 especifica os passos mínimos para NS e NC, a grande diferença é que quem faz a verificação poderá ser o NSA da nação onde o individuo está a prestar serviço à NATO com suporte da NSA nacional do individuo.

Para CTS a verificação poderá requerer uma entrevista, como o procedimento de credenciação inicial. O paragrafo 21 descreve passo a passo os procedimentos necessário para a renovação da credenciação CTS que poderão também ser usados para complementar a verificação para NC e NS.

O paragrafo 23 aborda a questão do que se fazer se for encontrada informação adversa ao individuo. Deverá ser analisada essa nova informação pela NSA e verificar se os critérios de conceção da credenciação de mantém ou se a credenciação terá de ser revogada.

Os registos das PSC deverão ser mantidos pelas NSA e pelos organismos NATO onde os indivíduos prestam serviço, de acordo com o paragrafo 24.

A importância de briefings individualizados e uma constante awereness da situação de segurança, que deverão ser efetuados de forma periódica aos indivíduos credenciados, é abordada dos parágrafos 25 ao 27.

A autorização de acesso a informação classificada da marca NATO é especificada nos parágrafos 28 a 39. O facto base, é que só pode ter acesso quem é credenciado, mas poderão haver circunstancias excecionais.

O acesso temporário a informação para a qual o individuo não tem credenciação, poderá ser concedido se o individuo tem uma credenciação de grau inferior, já se tendo iniciado o processo de credenciação ao nível adequado, a designação para o cargo foi aprovada pela NSA e foi verificado que o individuo não infringe as regras de segurança. Esta autorização temporária pode ser concedida por 6 meses renovável pela NSA (parágrafos 29 e 30).

O paragrafo 31 e 32 é sobre os critérios que se deverá cumprir para um individuo poder aceder a informação classificada para qual não está credenciado numa vez única. Este acesso poderá ser para uma missão específica e terá sempre de ser justificada, a autorização terá de ser feita por um OF6 ou superior.

O acesso em circunstancias excecionais está descrita nos parágrafos 33 e 35, elencando os requisitos mínimos que o individuo deverá obedecer, como pertencerem a uma nação NATO, ser autorizado por um chefe de divisão de um organismo NATO, limitada a itens específicos, não pode exceder os 6 meses, só pode aceder a zonas classe 2, seja autorizado pela NSA nacional e deverá ser feito um registo destes eventos.

O paragrafo 35 é específico sobre a contratação de interpretes de nações não NATO, caso seja necessário um interprete nativo de uma nação não NATO, toda a informação classificada a ser traduzida deve estar autorizada para ser libertada para a nação da nacionalidade do interprete.

Em caso de emergência as nações da NATO e dirigentes dos organismos NATO poderão dar autorização escrita para acesso de pessoas não credenciadas a informação classificada, com as limitações descritas nos parágrafos 36 e 37 do documento. Tem de ser registados e a informação CTS deve ser limitada a indivíduos que têm PSC para nacional SECRETO ou NS.

A certificação de governantes de nações NATO deverá estar sujeita à legislação nacional, conforme descrito no parágrafo 38.

O acesso de conjugues e dependentes de indivíduos que trabalham para a NATO a informação classificada dever-se-á restringir à necessidade de conhecer e os elementos em questão deverão ser brifados sobre os procedimentos de segurança.

A problemática da necessidade de credenciação para reuniões e conferências é abordada de maneira semelhante à EU, no paragrafo 40 explica o procedimento para autorizar a participação dos individuos, passando pela verificação da identidade, verificação do PSC, entre outras.

A problemática dos estafetas, guardas e escoltas é abordada no paragrafo 41, que requer que estes indivíduos para transportar informação NC deverão ser credenciados em NS.

Os procedimentos a adotar para o acesso à informação classificada de marca NATO por pessoal de nações não NATO são descritos nos parágrafos 42 ao 44. Refere que os elementos que pertencem a forças armadas de nações NATO, embora sejam de nacionalidade de outra nação, podem aceder a informação classificada CTS. Neste caso, o NSA da nação a cujas FA o elemento presta serviço deverá proceder ao processo de PSC.

Se os elementos pertencerem a organizações internacionais, o acesso à informação será autorizado casa a caso, com passos descritos no paragrafo 43. O acesso é necessário para o desenvolvimento de um programa NATO, terá de passar por todos o processo para obter o PSC, deverá ter autorização escrita de uma nação ou organismo NATO e deverá estra ciente das suas responsabilidades e consequências em caso de quebra de sigilo.

O paragrafo 44 descreve exceções à necessidade da autorização escrita de uma nação ou organismo NATO.

Na sua base, os requisitos para acesso a informação classificada EU e NATO são muito semelhantes e poder-se-á traduzir numa tabela compilada com as ressalvas necessárias.

Passando agora a analisar a legislação nacional que se encontra vertida no SECNAC1 e na NT-E-04, podemos verificar que de uma forma geral aborda os mesmos pontos que a legislação para a atribuição das marcas UE e NATO.

O SECNAC 01 começa no capitulo 1 a referir-se a definições (remetendo para o Anexo A) no âmbito da segurança da informação classifica e no ponto 1.2.2.4 refere-se especificamente à necessidade de conhecer, sendo a sua definição muito semelhante à das outras marcas, que o acesso às informações classificadas deve restringir-se exclusivamente, às pessoas que tenham necessidade de as conhecer para cumprimento das suas funções ou tarefas.

No ponto 1.2.2.5 salienta a importância do fator humano para garantir a segurança da informação classificada. O que obriga uma avaliação contínua da idoneidade do pessoal autorizado a manusear a informação classificada, e ainda conjugar com medidas de proteção como rondas, revistas, vigilância e inspeções, executadas por pessoal credenciado e preparado para o efeito.

No âmbito da segurança de pessoal, em especifico, é abordado no capítulo 4 do SECNAV 1. Volta-se a abordar, no ponto 4.1 e subpontos, o tema da necessidade de conhecer salientando o facto que o acesso a informação classificada não resulta somente do cargo ou credenciação que tem, mas sim na necessidade efetiva de aceder a essa informação. Portanto, deferência a credenciação do acesso à informação classificada.

No ponto 4.2 e subponto versa sobre as disposições relativas ao pessoal. No subponto 4.2.1 diz quais são os graus que efetivamente necessitam de credenciação, retirando o grau de RESERVADO das informações classificadas que necessitam de uma credenciação para serem acedidas.

No subponto 4.2.2 e seus subpontos descreve quem é que efetivamente tem competência para conceder a credenciação e a sua delegação consoante o grau e entidade.

No 4.2.3 refere a necessidade de dar instrução prévia aos indivíduos que vão aceder a informação classificada. Sendo salientado que é indispensável que tais pessoas sejam advertidas quanto aos perigos para a segurança indiscrições cometidas como conversas sobre assuntos de âmbito classificados fora do serviço.

O subponto 4.2.4 e seus subpontos abordam o tema da credenciação e o processo que terá de ser executado. Este processo tem como objetivo determinar a lealdade e a honestidade do indivíduo. Para tal deverão ser efetuados inquéritos de segurança cuja amplitude terá relacionada com o grau de credenciação pretendido.

Sendo referido o caso dos porteiros, guardas, estafetas (não referido diretamente, mas subentende-se em linha com o descrito na credenciação das outras marcas) que poderão ter acesso involuntário a informações classificadas. Estes indivíduos terão de ser certificados.

Menciona também a necessidade de cada processo de credenciação ser constantemente monitorizada a sua necessidade de acesso a informações classificadas ou se á alteração no individuo que ponha em causa o acesso a essa informação classificada.

O 4.2.4.2 fala do processo em si, com a descrição do Inquérito de Segurança que são efetuados segundo modelos do GNS disponíveis em anexo ao SECNAC, mas são feitos pelos gabinetes requerentes e enviados ao GNS que procede à análise e investigação.

As conclusões são remetidas à entidade requerente e se for desfavorável deverá ser informado o organismo de destino antes da sua apresentação.

Nos pontos seguintes é descrito o processo burocrático do processo de credenciação, com a respetiva emissão do certificado de credenciação pelo GNS, se for favorável, que deverá ser enviada à entidade requerente. Se o indivíduo transitar entre organismos, deverá ser portador do seu certificado de credenciação.

O subponto 4.2.4.2.6 menciona a duração que diz ser no máximo de 3 anos, podendo ser inferior no caso de temporárias, mas a NT- G 01 refere que os prazos de validade das credenciações na Marca NACIONAL são os seguintes:

1) Pessoas singulares – 3 anos Graus SECRETO e MUITO SECRETO;

2) Pessoas singulares – 5 anos Graus CONFIDENCIAL;

3) Pessoas coletivas – 3 anos;

4) Autoridades certificadoras – 3 anos;

5) Auditores de segurança – 3 anos.

As renovações dos graus deverão começar 45 dias antes do término da atual credenciação para os graus se CONFIDENCIAL e SECRETO e 90 dias para o grau SECRETO. Sendo o processo de renovação semelhante ao processo inicial, mas os modelos são diferentes e só cobrem as alterações ocorridas desde o último processo de credenciação.

Para elevar o grau de um individuo dever-se-á proceder como uma nova credenciação se tratasse e para um abaixamento ou cancelamento basta uma proposta de alteração.

O subponto 4.2.4.2.7 aborda a credenciação temporária, sempre que haja necessidade de credenciar um indivíduo para períodos inferiores a 3 anos ou para missões específicas, esta limitação temporal da necessidade deverá ser expressa nos modelos para a conceção da credenciação.

No subponto 4.2.4.2.8 menciona que a descredenciação de um individuo poderá ocorrer sempre que o individuo cometa comprometimentos, violações de segurança ou tenha comportamentos que não sejam compatíveis com o acesso a informações classificadas de que dispõem. Poderá ser também que o cargo que ocupa já não justifique o acesso a informações classificadas.

O acesso a informações classificadas é abordado no subponto 4.2.4.2.9, onde é referido em todos os serviços onde são manuseadas informações classificadas deverão ter listas de acesso para cada grau de classificação e essas listas deverão ser enviadas ao gabinete de segurança do Ministério respetivo. Sempre que houver alterações a lista deve ser corrigida.

Antes de colocar o nome de um indivíduo na lista, deverá ser verificada a sua credenciação e, no caso de MUITO SECRETO, deverá ler e assinar um certificado-ficha que confirma que tem perfeito conhecimento das suas responsabilidades quando acede a informação classificada de grau MUITO SECRETO, este procedimento deverá ser anual.

No capítulo 8 aborda as questões de segurança nas reuniões e conferências. No ponto 8.1.1 começa por esclarecer que as medidas de segurança descritas neste capítulo só se aplicam a reuniões de nível elevado, nas restantes poder-se-á utilizar este capítulo com guia, mas dever-se-á assegurar que foram tomadas as medidas suficientes.

Ninguém poderá assistir a uma reunião ou conferência para a qual não esteja credenciado, como está mencionado no subponto 8.2, incluindo o pessoal técnico, apoio e limpeza. Poder-se-á efetuar uma credenciação temporária de acordo com os procedimentos.

Terá de ser nomeado um responsável pela segurança, como descrito no subponto 8.3.

Neste capítulo menciona outras medidas do carácter de segurança física do evento e da informação classificada que será utilizada nele.

No entanto o GNS elaborou uma norma técnica específica sobre este assunto que regula o que fazer numa reunião ou conferência classificada em território nacional para as três marcas, é a NT-F02.

A Norma Técnica só deverá ser integralmente aplicada nas conferências e reuniões de nível elevado. Noutras reuniões de menor importância, a entidade organizadora assegurar-se-á de que foram tomadas as medidas suficientes, podendo, todavia, utilizar a presente Norma Técnica como guia geral. Esta flexibilização não dispensa nunca o respeito pelos normativos de segurança específicos correspondentes à marca das informações classificadas tratadas na conferência ou reunião.

A segurança efetiva de uma conferência ou reunião classificada depende da adoção de medidas que garantam que nenhuma pessoa possa entrar no local onde a mesma decorre, sem que para tal esteja devidamente autorizada e credenciada na marca e no grau adequado, que nenhuma pessoa possa ter acesso às informações classificadas ali tratadas, sem que para isso esteja devidamente autorizada e que nenhuma informação classificada possa sair do local por meios ilícitos.

Dever-se-á proceder à credenciação do pessoal que presta serviço nas instalações onde se realiza a conferência ou reunião, bem como do pessoal técnico que apoiará a conferência ou reunião, providenciar, com a antecedência necessária relativamente à data prevista para a sua realização, que seja dado conhecimento ao Gabinete Nacional de Segurança, da classificação de segurança das matérias a tratar, data da realização do evento e identificação das instalações onde se prevê a sua concretização.

Tem de se obter a identificação e o grau de credenciação de segurança dos participantes / visitantes, bem como do pessoal de apoio. Para os participantes e pessoal de apoio portugueses, obtém-se junto dos SubRegistos que apoiam os organismos onde prestam serviço e para os participantes estrangeiros, junto dos departamentos/organismos dos quais dependam.

Têm de se identificar dos delegados estrangeiros que transportam informação classificada, bem como dos respetivos planos de viagens.

Providenciar para que seja solicitado aos organismos e serviços próprios, a preparação das salas necessárias, assegurar a interligação com os sistemas de comunicações e informáticos das organizações envolvidas na conferência ou reunião, de modo a garantir a transferência segura da informação classificada e os contactos seguros conforme as exigências definidas, realizar Inspeção Técnica de segurança às dependências envolvidas, montagem da guarda de segurança ao edifício e/ou área onde se realiza a conferência ou reunião, quando o seu grau de classificação de segurança e/ou a natureza dos participantes, nomeadamente estrangeiros e garantir, através dos serviços próprios, a segurança pessoal dos delegados participantes.

Assegurar a emissão de cartões de acesso, para as pessoas envolvidas de modo a poderem ser facilmente identificadas e referenciadas, designadamente para participantes e pessoal de apoio, assegurar a guarda de toda a documentação classificada transportada por estrangeiros, desde a sua chegada a Portugal, até à sua partida do País e tomar providências no sentido de ser entregue e recebida, no início e no fim de cada sessão da conferência ou reunião, a documentação pertencente a cada um dos delegados estrangeiros.

Como esta legislação é muito antiga houve necessidade de elaborar uma norma técnica NT-E-04 que a complementa, corrige em algumas situações, embora não seja legislação.

No n.º 5 alínea a) refere-se aos conceitos gerais, que são muito semelhantes ao descrito no próprio SECNAC 1 e às publicações da marca UE e NATO.

Menciona que o acesso à informação classificada só deverá ser autorizado às pessoas que dela necessitem tomar conhecimento para o desempenho das suas funções ou tarefas e que a responsabilidade por determinar a «necessidade de conhecer» incumbirá ao serviço no qual a pessoa em questão desempenha funções, em conformidade com as restantes publicações.

O acesso à informação classificada de qualquer marca e grau CONFIDENCIAL, equivalente ou superior, só será autorizado a pessoas que tenham a credenciação correspondente e os dirigentes dos organismos devem exercer um controlo criterioso com os pedidos de habilitação de segurança tendo em conta a necessidade de conhecer e as marcas e graus de segurança das informações classificadas a que é necessário ter acesso.

Que os indivíduos que no cumprimento das suas funções implique o acesso a Áreas de Segurança de Classe 1 ou atuem em condições que lhes proporcione oportunidade de acesso, mesmo involuntário, a informações classificadas e não tenham necessidade de conhecer, devem ser detentores de uma habilitação de segurança, saber as suas responsabilidades e saber como proceder. Este ponto abrange estafetas, guardas, escoltas e mesmo pessoal de apoio e limpeza.

Os responsáveis pelos organismos estão incumbidos de solicitar a habilitação de segurança do pessoal sob a sua orientação à Autoridade Nacional de Segurança, através do Sub-Registo que os apoia e a habilitação em matéria de segurança dará lugar à emissão de um «certificado de segurança» na respetiva marca e indicará o nível (grau) de informação classificada ao qual a pessoa habilitada poderá ter acesso e a data da expiração do mesmo.

As pessoas que não sejam funcionários, nem outros agentes do Estado, devem possuir habilitação de segurança para acesso a essa documentação e ser informados das suas responsabilidades nesse domínio.

O pessoal com acesso a informação classificada ou dados sensíveis que não necessita de qualquer habilitação de segurança deve ser instruído, por elementos devidamente habilitados, sobre os procedimentos de segurança estabelecidos e sobre as consequências previstas pela quebra de sigilo. Os responsáveis pela segurança podem utilizar para este pessoal o Certificado de Reconhecimento de Responsabilidades (Anexo A à NT), que ficará sob o seu controlo.

Na alínea b) refere-se às regras específicas de acesso, começando no ponto 1) com as listas de acesso à informação classificada, que em cada organismo onde sejam manuseadas informações classificadas com o grau de SECRETO, equivalente e superior, o responsável pela segurança elaborará Listas de Acesso a Informação Classificada conforme o Anexo B à NT individualizadas por Serviço, Marca e Grau de Classificação. Essas Listas de Acesso serão submetidas à aprovação do respetivo dirigente.

Sempre que se verifiquem alterações no desempenho de funções, ou quando, por qualquer motivo, o dirigente entender que um dos elementos sob a sua dependência não necessite mais de ter acesso a informação classificada da Marca e Grau para o qual está autorizado, a Lista de Acesso a Informação Classificada.

A subalínea j) realça que o acesso é, assim, uma responsabilidade do dirigente do organismo. Daqui se infere que, não pode ser incluída numa Lista de Acesso a Informação Classificada uma pessoa que não haja a plena certeza de estar credenciado.

Esta norma técnica também refere o caso das exposições de educação aos indivíduos que manuseiam informação classificada no ponto 2 da alínea b), referindo que os indivíduos a quem deve ser autorizado o acesso a informação classificada do grau MUITO SECRETO e equivalente, deverão ser alvo de “educação” em matéria de segurança, feita através de uma exposição por Marca (“Briefing”). Poderá ser feito de forma expedita pela leitura de um memorando em Anexo C à NT.

Na subalínea b) refere que todos os indivíduos que devam ser autorizadas a ter acesso a informação do grau MUITO SECRETO e equivalente, assinarão um Certificado de Briefing “inicial” por Marca, em Anexo C à NT, reconhecendo que foram instruídos quanto aos procedimentos de segurança, que compreenderam perfeitamente a sua responsabilidade especial. No final das suas funções será, de novo, chamada à atenção dessas pessoas para a sua responsabilidade especial e permanente no que toca à salvaguarda da informação MUITO SECRETO e equivalente. Esta responsabilidade não termina com a cessação das suas funções e como tal assinarão um Certificado de Briefing “final”, por Marca, em que reconhecem estar plenamente conscientes dessa responsabilidade;

A subalínea d) refere que a exposição e assinatura do Certificado de Briefing “inicial” para o grau MUITO SECRETO e equivalente devem ser efetuadas quando seja feito o pedido de credenciação ou aquando da sua renovação e a exposição e assinatura do Certificado de Briefing “final” para o grau MUITO SECRETO e equivalente efetuam-se quando o indivíduo deixar de desempenhar funções, quando o Certificado de Segurança existente chega ao término da sua validade, ou aquando do abaixamento para um grau de segurança inferior;

Esta norma técnica complementa o SECNAC 1 e estende procedimentos a outras marcas com graus equivalentes.

Podemos afirmar que os procedimentos para segurança do pessoal são muito equivalentes entre as marcas e as exigências de segurança são muito similares. Poder-se-á efetuar uma tabela de comparação para cada assunto de segurança de pessoal comparativo entre as marcas.

Os assuntos que os documentos analisados referem em comum é a identificação dos cargos que necessitam do acesso à informação classificada, qual o grau necessário para desempenhar as suas funções, palestras e formação sobre as responsabilidades inerentes ao manuseamento da informação classificada, preenchimento de um inquérito e investigação à idoneidade e honestidade do individuo, à esfera familiar e amigos, situação financeira e possíveis vulnerabilidades de ser exploradas. No caso de acesso a informação classificada do grau MUITO SECRETO ou equivalente, assinar um documento em que assume conhecer as suas responsabilidades. Deverão ser ministradas palestras periódicas de refrescamento sobre as responsabilidades e sobre a situação de segurança envolvente. Deverá ser mantida uma vigilância constante dos indivíduos a fim de notar mudanças de comportamento que poderão indicas possíveis vulnerabilidades ou comportamentos de risco.