Alerta Jurídico nº 82 – Abril de 2025. 

Proteção de dados e simplificação de normas: o que podemos esperar?

A questão da simplificação de normas, um tema recorrente de discussão na Europa, ganhou particular importância desde a mudança de liderança na Casa Branca.

Na cúpula de Paris sobre inteligência artificial (IA), em fevereiro passado, a competitividade tornou-se, portanto, uma prioridade declarada em resposta à desregulamentação nos Estados Unidos.

O programa de trabalho da Comissão Europeia para 2025 visa explicitamente promover o crescimento económico através do apoio à inovação.

Qual será o impacto desta política nas normas europeias de proteção de dados?

Na área da IA, em primeiro lugar, a Europa comprometeu-se a atingir os principais objetivos da regulamentação, analisando simultaneamente o encargo administrativo para as empresas.

A Comissão buscará a opinião da indústria quando a incerteza regulatória estiver dificultando o desenvolvimento da IA e a incorporará em um esforço mais amplo para revisar e possivelmente remover um conjunto de regras digitais até o final do ano.

A Diretiva de Responsabilidade por IA, que visava atualizar as normas de segurança de produtos da UE para abranger IA e automação, já foi revogada.

A CCIA, principal grupo de lobby dos EUA para grandes empresas de tecnologia em Bruxelas, saudou essa abordagem, ao mesmo tempo que pediu um "ataque frontal" à regulamentação.

A Comissão Europeia também informou os Estados-Membros, no final de abril, sobre a sua proposta de orientações relativas à relação entre o regulamento da IA e outros regulamentos, incluindo o RGPD.

Ela está trabalhando no desenvolvimento de um modelo para as Avaliações de Impacto sobre os Direitos Fundamentais (AIDF) exigidas pela regulamentação da IA, a fim de evitar duplicação com a avaliação de impacto sobre a proteção de dados do RGPD.

Por sua vez, os Estados-Membros salientam a necessidade de uma cooperação reforçada com outras autoridades para evitar que as duas leis emblemáticas conduzam a decisões contraditórias ou a investigações sobrepostas.

O Comité Europeu para a Proteção de Dados (EDPB) está também a preparar orientações sobre a interação entre o RGPD e o regulamento da IA, e está a analisar com a Comissão as possibilidades de sinergias, a fim de garantir a coerência de interpretação, a segurança jurídica e a clareza para os operadores.

E quanto ao RGPD? Em julho passado, a Comissão publicou um relatório de avaliação sobre o assunto, que revelou, nomeadamente, uma frustração significativa entre as PME em vários aspetos:

• Requisitos excessivos de documentação,
• Custo de contratação ou nomeação de um DPO (Encarregado da Proteção de Dados),
• Dificuldades na escolha da base jurídica (interesse legítimo / consentimento),
• Restrições para tecnologias emergentes e startups.

Essa crítica ecoa a opinião do ex-primeiro-ministro italiano Mario Draghi, cujo relatório econômico de setembro passado aponta para as complexas leis europeias que impedem sua economia de alcançar os Estados Unidos e a China, e menciona especificamente a regulamentação da IA e o GDPR.

A Comissão planeia apresentar uma proposta de "pacote de simplificação" para as pequenas e médias empresas no final de maio, embora a data seja apresentada como indicativa: a proposta de simplificação das regras de privacidade seria, em qualquer caso, apresentada até junho.

Os ajustes podem incluir a limitação dos requisitos para a manutenção de registros das atividades de processamento de dados ou a reforma das avaliações de impacto sobre a proteção de dados – duas regras consideradas particularmente onerosas para as PMEs.

Vale também lembrar que o deputado Axel Voss e o presidente da ONG Noyb, Max Schrems – duas figuras cujas opiniões sobre o assunto têm sido historicamente opostas – uniram forças em março passado para propor uma grande revisão do RGPD, com o objetivo de

• Simplificando a conformidade para PMEs e organizações sem fins lucrativos.
• Estabelecer regras mais claras e fáceis de gerenciar para grandes organizações.
• Reforçar as capacidades de controlo para garantir uma proteção de dados mais eficaz.

Embora esta proposta reflita uma mudança em direção a soluções pragmáticas que conciliam a proteção da privacidade com as realidades empresariais, outros apontam os riscos de reabrir o texto, que poderia ruir sob pressão de grupos de pressão, como destacado pelo grupo de defesa dos direitos digitais EDRi.

Vale lembrar que as negociações relativas ao desenvolvimento do RGPD desencadearam um dos maiores esforços de lobby que Bruxelas já viu.

As empresas de tecnologia gastaram milhões tentando influenciar as regras durante o processo de elaboração, e a proposta foi alvo de mais de 3.000 emendas no Parlamento Europeu, um recorde.

O trabalho atual sobre o regulamento processual do RGPD, que visa fortalecer a cooperação entre as autoridades de proteção de dados (APD) e acelerar a tomada de decisões em casos transfronteiriços, pode muito bem confirmar que o caminho para o inferno está pavimentado de boas intenções.

Enquanto as discussões (trílogo) entre a Comissão, o Parlamento Europeu e o Conselho prosseguem, alguns alertam para o risco de se chegar a um compromisso que não só não consiga implementar as reformas necessárias, como também possa introduzir novas vulnerabilidades.

Em 17 de abril, a ONG Noyb afirmou que o Trílogo levou a um caos legislativo que provavelmente tornará os procedimentos mais complexos, lentos e sujeitos a contestações judiciais.

 

    

A CNIL publicou seu relatório anual de 2024 em 29 de abril.

Entre os temas principais, destacam-se a cibersegurança, que está se tornando uma prioridade estratégica para os próximos anos, com um aumento notável nas violações de dados (+20 %), e o fortalecimento das ações repressivas.

O relatório também enfatiza a importância de respeitar os direitos dos menores, controlar as práticas de prospecção comercial e regulamentar a vigilância por vídeo.

Em paralelo, a CNIL está a reforçar a sua cooperação europeia para melhor regular as grandes plataformas digitais e continua o seu trabalho na área da IA.

A Comissão também publicou suas diretrizes em 30 de abril para reforçar a segurança de grandes bancos de dados.

Essas medidas ampliam e reforçam as precauções básicas de segurança.

Tal como as medidas cibernéticas prioritárias da ANSSI ou as destinadas a prevenir fugas de dados, estas não têm como objetivo enumerar todas as medidas suficientes, mas sim chamar a atenção dos responsáveis pelo tratamento de dados para as medidas de segurança que a CNIL considera necessárias quando se trata de grandes bases de dados, particularmente no que diz respeito aos riscos de exfiltração massiva de dados.

Duzentos veículos de comunicação franceses estão apresentando uma queixa contra a Meta por "práticas ilegais": segundo o Le Monde, "diversos grupos de imprensa (Prisma, Les Echos-Le Parisien, CMI), jornais nacionais e regionais, bem como emissoras privadas e públicas (TF1, RMC-BFM, France Télévisions e Radio France) acusam a Meta de ter se aproveitado do período em que eles próprios estavam implementando o consentimento do usuário para a coleta de suas informações pessoais para realizar publicidade direcionada".

 

Instituições e órgãos europeus

Em 23 de abril, a Comissão Europeia aplicou as suas duas primeiras multas ao abrigo do Regulamento dos Mercados Digitais (DMA).

Mais especificamente, a Apple e a Meta foram multadas em 500 milhões de euros e 200 milhões de euros, respectivamente.

A Comissão entende que a Apple não cumpriu suas obrigações em relação à disponibilidade de aplicativos na App Store.

Já a Meta foi multada em 200 milhões de euros devido ao seu sistema de "consentimento ou pagamento".

A Comissão considerou que este modelo não dava aos utilizadores a opção específica de escolher um serviço equivalente que utilizasse menos dados pessoais.

Note-se que, desde esta investigação, a Meta introduziu uma terceira opção, a de "anúncios menos personalizados", que ainda não foi avaliada pela Comissão.

A Comissão Europeia publicou quatro novos concursos no valor de 140 milhões de euros no âmbito do programa Europa Digital (DIGITAL) para promover a implementação da inteligência artificial, fomentar competências digitais avançadas, expandir a rede de Polos Europeus de Inovação Digital (EDIH) e combater a desinformação.

Nesse contexto, foi publicado um edital de consulta pública em 9 de abril, referente à futura legislação sobre computação em nuvem e inteligência artificial (Lei de Desenvolvimento de Nuvem e IA – CAIDA).

O objetivo seria suprir a falta de uma oferta competitiva de serviços em nuvem na Europa, em escala suficiente para usos altamente críticos com requisitos de segurança particularmente elevados.

O CEPD e o CEPD apresentaram os seus relatórios anuais de 2024 no final de abril.

O CEPD destacou a evolução do seu papel à luz do regulamento europeu sobre IA, que o designa como autoridade de supervisão e notificação para as instituições da UE.

O relatório do CEPD apresenta uma visão geral do trabalho realizado em 2024, incluindo a adoção da estratégia 2024-2027, o aumento de pareceres ao abrigo do mecanismo de coerência previsto no artigo 64.º, n.º 2, e os esforços em curso para prestar orientação e aconselhamento jurídico, em particular às PME.

Em sua sessão plenária de abril de 2025, o CEPD adotou diretrizes sobre o processamento de dados pessoais por meio de tecnologias blockchain.

O documento enfatiza a importância de implementar medidas técnicas e organizacionais desde os estágios iniciais do projeto do processo e de definir, simultaneamente, os papéis e responsabilidades dos diversos atores envolvidos.

O documento reitera a importância das avaliações de impacto sobre a proteção de dados e fornece exemplos de técnicas de minimização de dados, bem como do processamento e armazenamento de dados pessoais. As diretrizes estão abertas para consulta pública até 9 de junho.

No que diz respeito ao acesso a documentos administrativos, o Tribunal de Justiça da União Europeia (TJUE) adotou uma sentença relativa ao equilíbrio a encontrar entre este direito e a proteção dos dados das pessoas mencionadas nesses documentos.

Considerou que o artigo 6.º, n.º 1, alíneas c) e e), do RGPD não exclui obrigações adicionais de informação e de consulta ao titular dos dados antes de qualquer divulgação de dados pessoais que lhe digam respeito.

No entanto, essas obrigações adicionais não devem ter o efeito de restringir desproporcionalmente o acesso público a esses documentos.

O Tribunal de Justiça da União Europeia (TJUE) publica uma atualização da sua ficha temática sobre as suas decisões mais importantes na área da proteção de dados.

O documento abrange a jurisprudência relativa ao regulamento geral de proteção de dados e às normas setoriais específicas (comunicações eletrónicas e direito penal). Apresenta também uma seleção de acórdãos relativos a normas transversais, destacando o papel da Carta no desenvolvimento da jurisprudência.

Em abril, os usuários europeus das plataformas Meta receberam uma notificação informando-os sobre o uso de seus dados pelo Facebook e Instagram para fins de treinamento de IA, juntamente com um link para um formulário de objeção.

A Autoridade Norueguesa de Proteção de Dados (APD) publicou um artigo em seu blog explicando as consequências dessa decisão e os recursos legais disponíveis para os indivíduos. A APD também afirmou ter questionado a Meta, juntamente com outras autoridades de proteção de dados, sobre se a empresa havia analisado a compatibilidade do treinamento de IA com o objetivo original de coletar mensagens e imagens dos usuários.

A Associação Internacional de Profissionais de Privacidade (IAPP) publica uma tabela que oferece uma visão geral dos requisitos para notificação de incidentes de segurança digital e compartilhamento de informações em diversas legislações europeias.

Leva em consideração o RGPD, a diretiva "policial", a diretiva ePrivacy, o regulamento de governança de dados, o regulamento de dados, a diretiva NIS2, o regulamento de resiliência operacional digital, a Diretiva de Serviços de Pagamento 2, o regulamento de ciber-resiliência e o regulamento de IA.

A Microsoft implementou oficialmente seu princípio europeu de delimitação de dados para serviços em nuvem, comprometendo-se a armazenar e processar os dados pessoais de seus clientes exclusivamente dentro da UE e da EFTA.

No entanto, os dados de determinados serviços do Azure podem ser transferidos para fora da UE se a Microsoft considerar necessário para investigações de segurança cibernética.

Além disso, é importante notar que a Lei da Nuvem (Cloud Act) permite que as autoridades americanas acessem os dados de empresas americanas, independentemente de onde estejam armazenados.

 

Notícias dos países membros da União Europeia.

O Tribunal Federal de Justiça da Alemanha Considera-se que entidades qualificadas (como organizações de consumidores) têm o direito de intentar ações judiciais por violação das obrigações de informação do RGPD ao abrigo da legislação de proteção do consumidor, independentemente da violação específica e sem mandato dos titulares dos dados.

O caso dizia respeito à falha da Meta Platforms Ireland Ltd (Meta) em cumprir os requisitos legais relacionados à obtenção do consentimento do usuário.

Na BélgicaUma decisão judicial relembra que o âmbito de aplicação do RGPD abrange também os dados profissionais: a Autoridade de Proteção de Dados (APD) aplicou uma multa de 20.000 euros a um intermediário de dados B2B por ter recolhido e divulgado o endereço de email do sócio-gerente de uma empresa.

A APD também lembrou que um controlador de dados não pode obrigar um indivíduo a criar uma conta online se isso não for necessário, neste caso, para apresentar uma queixa.

A empresa violou aqui os princípios de minimização e proteção de dados, tanto por padrão quanto por concepção.

Na Espanha, Uma empresa (Marina Salud) que gere dados hospitalares em nome do governo autónomo da Comunidade Valenciana foi multada em 500.000 euros depois de ter nomeado subcontratados secundários sem a autorização do responsável pelo tratamento dos dados, em violação do artigo 28.º, n.º 2, do RGPD.

Também na Espanha, um banco foi multado em 120.000 euros pelo processamento ilegal de dados pessoais de um cliente, em violação ao Artigo 6(1) do RGPD, após a falsificação da assinatura do cliente por um funcionário em um acordo de proteção de dados.

O TikTok foi condenado em 2 de maio por Agência de Proteção de Dados Irlandesa a uma multa de 530 milhões de euros por enviar ilegalmente dados pessoais de europeus para a China e ocultá-los dos seus utilizadores.

O TikTok tem seis meses para adequar suas práticas ao GDPR.

Um tribunal irlandês confirmou a decisão da Autoridade de Proteção de Dados (DPA), que havia determinado que um empregador não era o controlador de dados em relação a dados não profissionais contidos no telefone de trabalho de um de seus funcionários.

A APD maltesa Publica uma série de perguntas frequentes sobre como gerenciar contas de e-mail de funcionários quando eles deixam a organização.

O guia incentiva os empregadores a adotarem uma abordagem proativa e estruturada para a gestão de contas, tanto durante a relação de trabalho quanto após a saída do funcionário, e a abordarem questões-chave relativas a práticas comuns, como o encaminhamento automático de e-mails e mensagens de resposta automática.

No contexto das eleições presidenciais realizadas na Romênia em 4 e 18 de maio, o TikTok anunciou novas medidas destinadas a prevenir uma campanha de desinformação semelhante àquela que supostamente ajudou a impulsionar o candidato Călin Georgescu ao topo do primeiro turno em novembro passado.

O aplicativo também lançou um "Centro Eleitoral", que apresenta informações como datas importantes e links para o site da Autoridade Eleitoral Permanente, além de disponibilizar ferramentas de conscientização sobre desinformação.

Estas medidas estão sendo tomadas porque a Comissão Europeia iniciou uma investigação ao abrigo da Lei dos Serviços Digitais (DSA) para esclarecer os acontecimentos de novembro.

 

Na China, a Administração do Ciberespaço acaba de anunciar o lançamento de uma campanha de três meses para combater o uso indevido de tecnologias de IA. Os departamentos responsáveis pela regulamentação da internet deverão orientar as plataformas online para que atendam aos requisitos da campanha, fortalecendo os mecanismos de revisão de conteúdo gerado por IA, aprimorando as capacidades de detecção e garantindo a correta implementação de medidas corretivas.

Nos Estados Unidos, membros do Comitê de Energia e Comércio da Câmara dos Representantes iniciaram uma investigação sobre os laços da Deepseek com o Partido Comunista Chinês. Alega-se que o chatbot não apenas envia dados para a China, mas também compartilha informações pessoais dos usuários com outras entidades ligadas ao partido, incluindo a ByteDance Ltd. O aplicativo de IA também é suspeito de coletar dados de frequência cardíaca de seus usuários.

O Future of Privacy Forum (FPF) está sob fogo cruzado do governo Trump. O senador Ted Cruz (republicano do Texas), presidente do Comitê de Comércio do Senado, exige explicações do FPF, que supostamente usou verbas federais para pressionar estados a adotarem leis de IA de "esquerda". O senador Cruz está preocupado com o fato de o grupo estar defendendo abertamente regulamentações de IA alinhadas à agenda política do governo Biden. Ele também está investigando as verbas federais concedidas à organização.

Segundo a Euractiv, que cita informações do Financial Times, a Comissão Europeia está fornecendo telefones descartáveis aos seus funcionários enviados aos Estados Unidos devido a preocupações com vigilância. "As novas diretrizes emitidas pelo executivo da UE, que também recomendam o uso de laptops básicos em viagens aos EUA, são semelhantes às diretrizes para viagens à Ucrânia ou à China. Todos os funcionários são aconselhados a desligar seus dispositivos e colocá-los em um estojo anti-espionagem específico ao entrar no país."

A CNN reporta que o governo Trump, com a ajuda da Palantir, está estabelecendo um "banco de dados geral para agilizar a aplicação das leis de imigração e deportação, combinando dados sensíveis de todo o governo federal", criando "listas de alvos" e prendendo indivíduos visados. A Wired já havia relatado que "o DOGE está agregando bancos de dados de imigração de todo o Departamento de Segurança Interna (DHS) e baixando dados de agências externas, incluindo a Administração da Previdência Social (SSA), bem como registros eleitorais", que estariam sendo hospedados em um software desenvolvido pela Palantir.