Observatório Jurídico nº 90 – Dezembro de 2025. 

 

Dados, IA, cibersegurança: quem é quem nas diretrizes e regulamentações a seguir em 2026.

Muitas regulamentações adotadas nos últimos anos entrarão agora em vigor integralmente ou atingirão estágios decisivos de sua implementação.

Ao mesmo tempo, novas iniciativas da Comissão Europeia, em particular o Decreto-Lei Digital Omnibus e o Projeto de Lei sobre a Equidade Digital, anunciam novos ajustes regulamentares destinados a complementar ou alterar as regulamentações existentes.

O RGPD, em vigor desde 2018, continua a ser a pedra angular do quadro de proteção de dados, juntamente com a Diretiva ePrivacy, cuja revisão se encontra atualmente abandonada.

A Comissão pretende simplificar através da sua proposta. Ônibus Diversos aspectos do RGPD estão relacionados ao desenvolvimento da inteligência artificial (IA): o regulamento prevê o reconhecimento do desenvolvimento e da operação de sistemas de IA como um "interesse legítimo" nos termos do RGPD e a introdução de uma nova base jurídica para o tratamento de dados sensíveis destinados ao treinamento de modelos de IA.

De forma mais ampla, o Ônibus Digital reduziria a carga de conformidade para as empresas, por exemplo, flexibilizando o limite a partir do qual uma violação de dados deve ser relatada e ampliando as situações em que os dados podem ser considerados "anônimos".

Os regulamentos do pacote digital, e mais especificamente o Regulamento dos Mercados Digitais (DMA) e o Regulamento dos Serviços Digitais (DSA), esclarecem as regras aplicáveis à economia digital e a responsabilidade das plataformas.

Elas estão em vigor desde 2024 e a Comissão começou a impor sanções em 2025.

A DSA Aplica-se a plataformas online muito grandes (VLOP) e motores de busca online muito grandes (VLOSE), bem como a todos os intermediários que oferecem seus serviços a usuários residentes na UE.

Diversas obrigações da DSA coincidem com as do GDPR.

Por exemplo, existem obrigações semelhantes ou complementares relativas a "padrões obscuros", publicidade direcionada com base em dados sensíveis ou envolvendo menores, transparência, criação de perfis, análise de risco e remoção de conteúdo ilegal.

Em 2025, o Conselho Europeu de Proteção de Dados (EDPB) publicou diretrizes sobre essas questões sobrepostas.

O objetivo principal do DMA Tem como objetivo impedir que gigantes da tecnologia ou "guardiões" se aproveitem de sua posição dominante.

Algumas dessas obrigações reforçam as previstas pela DSA em termos de proteção do usuário, particularmente no que diz respeito à criação de perfis.

A estratégia de dados da UE visa criar um mercado único de dados, incentivar a inovação e garantir o compartilhamento de dados seguro e eficiente em toda a União Europeia.

Os seguintes textos têm impacto sobre os dados pessoais: o Regulamento de Governança de Dados (DGA), o Regulamento de Dados (DA), o Regulamento sobre Transações Eletrônicas (eIDAS) e o Regulamento sobre o Espaço Europeu de Dados de Saúde (EHDS). 

A proposta abrangente da Comissão visa simplificar o quadro legislativo nesta área.

O texto prevê, notavelmente, a revogação de DGA e a diretiva de 2019 sobre dados abertos.

O DA continuaria sendo a referência central e incluiria os elementos essenciais mantidos dos outros textos.

Além da harmonização das definições, as pequenas e médias empresas (com até 750 funcionários) ficariam isentas de certas obrigações.

A Diretiva de Dados (DA), aplicável desde 12 de setembro de 2025, terá uma parte significativa de suas obrigações implementadas a partir de 12 de setembro de 2026: o regulamento prevê a obrigação de projetar produtos conectados e serviços associados de forma que os dados relativos a esses produtos e serviços sejam acessíveis aos usuários por padrão e, a partir de setembro, os fabricantes deverão garantir que o acesso aos dados seja tecnicamente assegurado desde as fases de desenvolvimento e projeto do produto.

Em relação aos regulamentos eIDASA partir de 2026, os Estados-Membros serão obrigados a fornecer aos seus cidadãos e empresas pelo menos uma carteira de identidade digital compatível com a UE, permitindo aos utilizadores armazenar de forma segura os seus dados de identidade, identificadores e atributos (cartão de identidade, carta de condução, informações de pagamento, etc.) e comunicá-los seletivamente às autoridades públicas e aos prestadores de serviços privados.

Empresas, plataformas online e serviços administrativos também terão que se adaptar a essas novas formas de identificação e autenticação digital.

L'EHDS Entrou em vigor em 26 de março de 2025, mas suas principais disposições serão totalmente aplicáveis a partir de março de 2029.

O Regulamento de IA, em vigor desde agosto de 2024, torna-se decisiva para as empresas a partir de 2 de agosto de 2026.

Algumas obrigações já se aplicam, como a transparência na interação com chatbots ou a rotulagem de conteúdo gerado por IA, e a garantia de competência suficiente em IA entre os funcionários que trabalham com sistemas de IA.

Mas, a partir de agosto, requisitos mais abrangentes deverão ser aplicados a sistemas de IA de alto risco utilizados em áreas sensíveis, como gestão de recursos humanos, avaliação de desempenho ou acesso a serviços essenciais.

No entanto, a Comissão planeia, na sua proposta abrangente, adiar a aplicação destas regras até dezembro de 2027.

Algumas obrigações também seriam simplificadas, inclusive para pequenas e médias empresas com até 750 funcionários.

Em termos de segurança, mencionaremos o Diretiva sobre a segurança das redes e sistemas de informação (NIS2) em vigor desde outubro de 2024, o regulamentação sobre resiliência operacional digital (DORA) em vigor desde janeiro de 2025, bem como o Regulamento sobre Ciber-Resiliência (CRA)).

Com relação a este último ponto, as principais obrigações dos fabricantes de produtos que contenham elementos digitais entrarão em vigor em 11 de setembro de 2026, incluindo a obrigação de notificar vulnerabilidades ativamente exploradas e incidentes graves de segurança.

Os fabricantes terão, portanto, de comunicar às autoridades de fiscalização de mercado competentes, em prazos muito curtos, quaisquer vulnerabilidades e incidentes de segurança identificados que comprometam significativamente a segurança do produto.

Para finalizar esta lista de regulamentações, vamos mencionar finalmente o proposta relativa a um regulamento sobre equidade digital (DFA) O que deverá aumentar ainda mais a complexidade do quadro jurídico para os prestadores de serviços online.

Em julho de 2025, a Comissão lançou uma consulta pública sobre este projeto, que visa combater "práticas comerciais desleais", como padrões obscuros, funcionalidades viciantes e personalização abusiva, incluindo as relacionadas a agentes de IA.

Qual o futuro destas propostas? Os próximos meses deverão ser decisivos: a presidência cipriota pretende assegurar um mandato até ao final de março ou início de abril para negociar o Acordo Omnibus com o Parlamento Europeu, refletindo o desejo de o adotar antes da entrada em vigor, em agosto, dos requisitos de elevado risco do regulamento sobre a IA.

 

Observamos diversas sanções significativas da CNIL, adotadas pouco antes e depois da transição para 2026, todas relacionadas à segurança de dados.

Em 13 de janeiro de 2026, a CNIL (Autoridade Francesa de Proteção de Dados) multou as empresas Free Mobile e Free em € 27 milhões e € 15 milhões, respectivamente. dada a inadequação das medidas tomadas para garantir a segurança dos dados de seus assinantes.

Em outubro de 2024, um invasor conseguiu infiltrar-se nos sistemas de informação das empresas e aceder a dados pessoais relativos a 24 milhões de contratos de subscritores, incluindo IBANs.

Em 22 de dezembro de 2025, a empresa Nexpublica France foi multada em 1.700.000 euros.por não implementar medidas de segurança suficientes para seu software PCRM, uma ferramenta para gerenciar o relacionamento com usuários na área de ação social.

Em 11 de dezembro de 2025, sancionou a Mobius Solutions Ltd, uma subcontratada responsável por uma violação de dados que afetou os usuários do Deezer.Foi-lhe imposta uma multa de um milhão de euros por incumprimento das normas aplicáveis à subcontratação: retenção de dados após o término do contrato, tratamento não autorizado e falta de registo do tratamento.

Três funcionários da empresa mantiveram uma cópia dos dados de mais de 46 milhões de usuários do Deezer após o término do contrato, expondo-os a falhas de segurança que levaram à publicação dos dados na dark web.

Em 11 de dezembro, o Tribunal Administrativo de Apelação de Versalhes decidiu que um paciente não pode pedir a um hospital que corrija uma avaliação médica, por se tratar de uma opinião subjetiva.

Este princípio continua a ser aplicável mesmo quando o diagnóstico da pessoa responsável pelo tratamento difere dos diagnósticos subsequentes.

As alucinações da IA nas conclusões dos advogados são por vezes encaradas com indulgência pelos juízes, pelo menos é o ponto de vista do tribunal judicial de Périgueux na sua decisão de 18 de dezembro.

Este último observa "(...) que as referências de jurisprudência citadas pelo requerente, mas não apresentadas nos seus documentos, não parecem corresponder a decisões publicadas. (...).

O tribunal, portanto, convidará o requerente e seu advogado a verificarem, no futuro, se as referências encontradas em mecanismos de busca ou com o auxílio de inteligência artificial não são "alucinações".

Essa posição contrasta com uma decisão belga recente, mencionada abaixo.

O Ministério do Interior sofreu um ciberataque de grande escala em meados de dezembro.

O Ministro do Interior confirmou na quarta-feira, 17 de dezembro, que "os serviços do Ministério do Interior foram alvo de um ciberataque massivo, descrevendo-o como um ato muito grave que resultou na divulgação de arquivos, incluindo antecedentes criminais" e de pessoas procuradas. A intrusão cibernética ocorreu através das contas de e-mail dos funcionários do ministério.

Na área de ciberataques, cabe destacar que a CNIL, em sua formação restrita de 18 de dezembro de 2025, solicitou uma sanção de 5 milhões de euros contra a France Travail por falta de segurança que resultou em uma violação de dados que afetou 36,8 milhões de pessoas.

 

Instituições e órgãos europeus

O regulamento da UE que estabelece regras processuais adicionais relativas à aplicação do RGPD foi publicado em 12 de dezembro e será aplicável a partir de 2 de abril de 2027.

O objetivo deste texto é simplificar o tratamento processual de casos transfronteiriços ao abrigo do RGPD pelas autoridades nacionais de proteção de dados (APD), melhorar a cooperação entre as APD através de procedimentos estruturados, funções mais claras e prazos definidos, e reforçar as salvaguardas processuais e a segurança jurídica para os queixosos e as partes sob investigação, incluindo o direito de serem ouvidos, o acesso aos processos e a eficácia dos recursos judiciais.

A Comissão Europeia publicou, em 17 de dezembro, a sua primeira versão preliminar de um código de boas práticas sobre a marcação e rotulagem de conteúdos gerados por inteligência artificial.

O projeto compreende duas seções.

A primeira seção aborda as regras relativas à marcação e detecção de conteúdo gerado por IA, aplicáveis aos fornecedores de sistemas de IA generativa.

• A segunda abrange a rotulagem de deepfakes e de certos textos gerados ou manipulados por IA em assuntos de interesse público e aplica-se a quem implementa sistemas de IA generativa.

A Comissão irá receber comentários até 23 de janeiro, com o objetivo de finalizar o código até junho.

Em 19 de dezembro de 2025, a Comissão Europeia anunciou a renovação das duas decisões de adequação relativas ao Reino Unido. Adotada inicialmente em 2021, reafirma que os dados pessoais podem continuar a fluir livremente entre o Espaço Econômico Europeu e o Reino Unido.

Na sentença Storstockholms Lokaltrafik (C-422/24) de 18 de dezembro, o Tribunal de Justiça da União Europeia esclareceu o conceito de coleta direta de dados pessoais.

Esta lei "não exige que a pessoa em questão forneça dados conscientemente ou tome qualquer medida específica de sua parte. Portanto, os dados obtidos por meio da observação da pessoa que é a sua fonte são considerados como tendo sido coletados diretamente dessa pessoa."

Esses esclarecimentos têm impacto no momento e no âmbito da obrigação de fornecer informações, que devem ser imediatas e mais abrangentes.

O caso específico envolvia a verificação de uma passagem de transporte por um agente equipado com uma câmera corporal.

O Tribunal sugere que as informações mais importantes sejam indicadas em uma placa de advertência e que as demais informações sejam fornecidas em um local de fácil acesso.

Em 23 de dezembro, o governo Trump impôs sanções a 5 cidadãos europeus. Em resposta à recente multa imposta pela Comissão Europeia à empresa X ao abrigo da Lei de Serviços Digitais (DSA), Thierry Breton, antigo Comissário Europeu para a Economia Digital, bem como vários membros da sociedade civil que trabalham para as ONGs HateAid, Center for Countering Digital Hate e The Global Disinformation Index, estão proibidos de entrar nos Estados Unidos.

Washington denuncia as obrigações de moderação, denúncia e responsabilização das plataformas previstas pela DSA, que são consideradas aqui como medidas de censura extraterritorial.

Em 5 de dezembro, a Comissão Europeia multou a X em 120 milhões de euros por não cumprir as suas obrigações de transparência ao abrigo do DSA.

Entre as deficiências, incluem-se o design enganoso da sua "validação azul" para contas verificadas, a falta de transparência no seu diretório de anunciantes e a incapacidade de fornecer aos investigadores acesso a dados públicos.

 

Notícias dos países membros da União Europeia.

Em uma decisão datada de 10 de novembro, o tribunal regional de Darmstadt, na Alemanha, reduziu a zero os honorários de um perito que havia utilizado amplamente inteligência artificial para elaborar um laudo judicial sem divulgar o fato.

O tribunal citou os seguintes fatores para reduzir as taxas:

1. A omissão na declaração do uso de IA e a ausência de um autor legítimo constituíram uma violação das obrigações processuais.
2. O relatório foi considerado inutilizável: falta de revisão pessoal, erros factuais e sinais óbvios de texto gerado por IA.
3. Transparência e responsabilidade são essenciais em pareceres de especialistas.

O tribunal alemão de Lübeck concedeu ao demandante uma indenização de € 5.000 por danos morais contra a Meta pelo processamento de dados pessoais sem o consentimento prévio, através da utilização das Meta Business Tools.

A transferência de dados de sites de terceiros para a Meta ocorre independentemente da ativação dos aplicativos da Meta pelo usuário e da obtenção do seu consentimento.

O tribunal considerou que a Meta violou o artigo 6.º, n.º 1, do RGPD, resultando numa ameaça suficientemente concreta para o titular dos dados, que sofreu um receio bem fundamentado de utilização indevida dos seus dados pessoais sob a forma de perda de controlo.

Na Áustria, o Supremo Tribunal decidiu em 26 de novembro que a Meta deve fornecer aos seus utilizadores acesso total a todos os seus dados pessoais, incluindo as suas fontes, destinatários e finalidades.

Uma simples lista indicativa não é suficiente.

O Tribunal também decidiu que a publicidade personalizada e o processamento de dados pessoais (sensíveis) provenientes de sites de terceiros exigem o consentimento da pessoa em causa.

Uma decisão recente na Bélgica multou os requerentes em mais de 25.000 euros por utilizarem ferramentas de IA generativa para redigir os seus recursos, por abuso manifesto de processo, recurso frívolo e recurso abusivo.

O Tribunal de Apelação de Antuérpia observa uma produção de argumentos "incoerentes e completamente sem sentido", apoiados em jurisprudência inexistente e fontes jurídicas inventadas.

Na Bélgica, a APD também advertiu uma empresa por transmitir ilegalmente informações sobre um ex-funcionário durante uma conversa telefônica com outra empresa, como parte de um processo de recrutamento.

A APD também repreendeu as duas empresas por não responderem aos pedidos de acesso do indivíduo.

Na Croácia, o banco AZOP foi multado em € 1.500.000 por múltiplas violações do RGPD (Regulamento Geral sobre a Proteção de Dados).

O banco processou os dados pessoais de 433.922 usuários sem fundamento legal, sem fornecer as informações necessárias aos usuários e sem implementar as medidas técnicas e organizacionais adequadas.

 

A Autoridade de Proteção de Dados do Reino Unido (DPA) multou a LastPass UK Ltd, fornecedora de gerenciadores de senhas, em £ 1,2 milhão após uma violação de dados em 2022 que comprometeu as informações pessoais de quase 1,6 milhão de seus usuários no Reino Unido.

O ICO constatou que a LastPass não havia implementado medidas técnicas e de segurança suficientemente robustas, o que acabou permitindo que um hacker obtivesse acesso não autorizado ao seu banco de dados de backup.

Os Estados Unidos renovaram sua exigência de acesso aos bancos de dados biométricos nacionais dos países da UE participantes do Programa de Isenção de Vistos (VWP) e pretendem concluir um acordo sobre o assunto antes do final de 2026.

Washington vem solicitando esse acesso desde 2022, como parte das "Parcerias de Segurança de Fronteiras Aprimoradas" (EBSP, na sigla em inglês) dos Estados Unidos, e ameaça revogar a isenção de visto caso seja negada.

O alcance do acesso permanece incerto.

A posição europeia nesta fase parece querer limitar a entrada a pessoas que viajam para os Estados Unidos.

O acesso incluiria dados biométricos, como impressões digitais e reconhecimento facial, mas também outros dados sensíveis que revelem origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, filiação sindical ou dados relativos à saúde ou à vida sexual, quando necessário e proporcional "para prevenir ou combater crimes e atos terroristas".

Em dezembro, as capitais europeias concordaram em conceder à Comissão Europeia um mandato para negociar o quadro deste acordo, cujos detalhes serão decididos pelos Estados-Membros.

Nos Estados Unidos, o uso de inteligência artificial para transcrever relatórios de câmeras corporais da polícia em Heber City, Utah, teve consequências incongruentes.

O software Draft One, baseado no LLM da OpenAI, relatou que um agente havia se transformado em um sapo.

O software havia detectado o filme que estava sendo exibido ao fundo, que por acaso era "A Princesa e o Sapo".

Além da ironia da situação, este caso específico levanta questões destacadas pelo Cybernews. "Embora o objetivo seja reduzir a quantidade de burocracia, com erros como o cometido em Heber City, os agentes correm o risco de gastar ainda mais tempo revisando relatórios." Uma investigação conduzida no ano passado pela Electronic Frontier Foundation (EFF) revelou que a versão preliminar "parece ter sido deliberadamente projetada para evitar auditorias que poderiam garantir a prestação de contas ao público."

"Muitas vezes é impossível saber quais partes de um boletim de ocorrência foram geradas por IA e quais foram escritas por um policial."

Por fim, um relatório da Privacy Laws & Business indica que a regulamentação da privacidade está, apesar de tudo, se fortalecendo nos Estados Unidos, onde 19 estados já seguiram o exemplo da Califórnia na adoção de leis de privacidade, muitas vezes focadas em questões relacionadas a crianças.

Poucos estados estão interessados na coleta e no uso de dados biométricos.

Illinois ocupa há muito tempo uma posição de liderança, agora seguida pelo Texas e pelo estado de Washington.

Ainda não há consenso sobre novas regulamentações federais de privacidade, "mas a FTC tomou medidas coercitivas que envolveram centenas de milhões de dólares em indenizações e multas em acordos com grandes empresas online como Epic Games, Amazon e Microsoft", ou, mais recentemente, com a Disney Worldwide Services, com um acordo de US$ 10 milhões por violação da Lei de Proteção da Privacidade Online das Crianças (COPPA).