Observatório Jurídico nº 87 – Setembro de 2025. 

 

Cinco anos após o Brexit: uma análise da situação no Reino Unido.

Desde que o Reino Unido deixou a União Europeia, a legislação britânica de proteção de dados tem se afastado, lenta mas seguramente, do quadro regulatório europeu.

Embora haja uma tendência de simplificação das normas em ambos os lados do Canal da Mancha, o Reino Unido está à frente da União Europeia.

Após o Brexit, a Lei de Proteção de Dados de 2018 (DPA) foi alterada para se manter complementar ao "RGPD do Reino Unido", a versão britânica do RGPD que entrou em vigor em 1 de janeiro de 2021.

O Reino Unido também adotou o Regulamento de Privacidade e Comunicações Eletrônicas (PECR), que implementa a Diretiva Europeia de Privacidade Eletrônica.

A Lei de Uso e Acesso a Dados (DUAA, na sigla em inglês), adotada em 19 de junho de 2025, é uma grande reforma do regime de dados pessoais do Reino Unido.

Modifica e complementa tanto o GDPR do Reino Unido, quanto a DPA e o PECR, e representa um ponto de virada estratégico pelo qual o Reino Unido se afasta de uma visão fundamentalista centrada em direitos para adotar uma abordagem mais pragmática e pró-inovação.

Seus principais objetivos são:

• Propor uma base jurídica mais ampla de "interesses legítimos reconhecidos" para determinadas atividades de processamento, incluindo o arquivamento em prol do interesse público, da segurança pública ou da tributação;
• Oferecer às empresas a opção de suspender o tempo de resposta para solicitações de acesso,
• Simplifique as regras sobre cookies;
• Facilitar a transferência internacional de dados;
• Incentivar a inovação em serviços digitais e IA, flexibilizando o quadro para decisões automatizadas;
• Impor "privacidade desde a concepção" em serviços digitais direcionados a crianças.
• Para viabilizar a implementação de uma identidade digital,
• Simplificar as regras relativas à polícia e aos serviços de inteligência.

No entanto, alguns apontam os riscos dessas reformas, em particular o enfraquecimento dos direitos individuais.

Na área da tomada de decisões automatizada, apontam, por exemplo, para o fiasco dos resultados dos exames "A level" de 2020, em que notas irrelevantes foram atribuídas por um algoritmo, e para os erros nas ferramentas de deteção de fraude do Departamento de Trabalho e Pensões (DWP), que resultaram em inúmeros prejuízos para os envolvidos.

O projeto de identidade digital, anunciado pelo governo no início de outubro, provocou uma onda de protestos, com milhões de cidadãos britânicos assinando uma petição exigindo a sua retirada.

Há alguns anos, o governo britânico também vem pressionando para implementar mecanismos que permitam o acesso ao conteúdo criptografado das comunicações: o debate público se concentra em abordagens técnicas controversas, como a "varredura do lado do cliente".

Cabe destacar que a União Europeia está atualmente debatendo um tema relacionado: a proposta CSAR, destinada a prevenir e combater o abuso sexual contra crianças, volta à agenda do Conselho Europeu em 14 de outubro.

Essa proposta, que prevê a possibilidade de escanear as comunicações no terminal do usuário antes de serem enviadas, é considerada por muitos cientistas e pela sociedade civil como ineficaz e particularmente perigosa para os direitos fundamentais e para a própria criptografia.

Atualmente, a União Europeia também está a simplificar o quadro regulamentar relativo aos dados através do seu "pacote digital abrangente".

A Comissão lançou um apelo à apresentação de contributos, que termina a 14 de outubro, abrangendo áreas da legislação sobre dados, incluindo regras sobre cookies e outras tecnologias de rastreamento, a comunicação de incidentes de cibersegurança e certos aspetos da lei sobre inteligência artificial.

Com relação ao RGPD mais especificamente, as questões em jogo incluem, por exemplo, a limitação da obrigação de manter um registo a organizações com mais de 500 funcionários, em comparação com o limite atual de 250. A União Europeia não está atualmente a contestar os princípios fundamentais do regulamento.

Em ambos os lados do Canal da Mancha, os benefícios anunciados para a indústria estão relacionados à redução dos custos de conformidade.

No entanto, os custos da implementação da própria reforma, os custos de erros ou litígios e os custos para a confiança do consumidor são menos compreendidos. Este argumento também foi levantado durante o "diálogo de implementação" organizado pela Comissão Europeia em meados de julho. O setor privado indicou que havia "investido em conformidade e que uma reabertura geral poderia gerar incerteza, particularmente no contexto das transferências internacionais de dados".

Atualmente, a relação entre benefícios e riscos das reformas britânicas e seu impacto nas parcerias internacionais, e mais decisivamente na manutenção da adequação do Reino Unido perante a UE, permanecem incertos.

A proposta de decisão de adequação da Comissão Europeia, no entanto, é favorável ao reconhecimento do nível de proteção do Reino Unido.

No entanto, deve ser submetido ao Comité Europeu para a Proteção de Dados para parecer e discutido no Conselho.

Esperemos que a decisão final seja particularmente transparente quanto aos critérios levados em consideração, tendo em conta as consequentes alterações à legislação britânica.

Isso parece essencial para garantir segurança jurídica suficiente no futuro, tanto para empresas europeias quanto para aquelas estabelecidas fora da UE.

 

      

Em 18 de setembro de 2025, a CNIL multou a empresa Samaritaine SAS em 100.000 euros por esconder câmeras na área de armazenamento da loja.

Essas câmeras estavam disfarçadas de detectores de fumaça e eram capazes de gravar som.

A CNIL lembrou que um empregador pode instalar câmeras escondidas em circunstâncias excepcionais e desde que seja encontrado um equilíbrio justo entre o objetivo pretendido (a proteção da propriedade e das pessoas) e a proteção da privacidade dos funcionários.

Tal sistema poderia, por exemplo, ser autorizado desde que seja temporário e implementado após análise documentada de sua compatibilidade com o RGPD e considerando circunstâncias excepcionais.

Neste caso, a empresa relatou a existência de furtos cometidos nas reservas e explicou que o sistema era temporário, mas não realizou nenhuma análise prévia de conformidade com o RGPD, nem documentou a natureza temporária da instalação.

A CNIL também publicou diversos conteúdos relacionados à gestão de contas inativas de profissionais do audiovisual e de jogos eletrônicos, a dispositivos de vídeo em escolas e à geolocalização de crianças.

A Assembleia Nacional aprovou o projeto de lei de resiliência em cibersegurança em uma comissão especial no dia 9 de setembro. 

Philippe Latombe, presidente da comissão, propôs uma emenda que visa consagrar a criptografia de ponta a ponta no artigo 16 bis: "Não pode ser imposto aos provedores de serviços de criptografia, incluindo provedores de serviços de confiança qualificados, a integração de dispositivos técnicos destinados a enfraquecer intencionalmente a segurança dos sistemas de informação e das comunicações eletrônicas, tais como chaves mestras de descriptografia ou qualquer outro mecanismo que permita o acesso não consensual a dados protegidos."

Este texto, que transpõe para a legislação francesa as diretivas europeias NIS2, DORA e REC, deverá levar a um aumento significativo do nível geral de cibersegurança.

 

Instituições e órgãos europeus

Em 10 de setembro, Ursula von der Leyen proferiu um discurso sobre o Estado da União, no qual reafirmou que a Europa manteria sua soberania na definição de suas próprias regras e padrões, rejeitando assim as críticas transatlânticas.

No mesmo dia, 39 líderes e associações industriais europeias assinaram a Declaração Europeia sobre IA e Tecnologia, comprometendo-se a investir na soberania tecnológica da Europa.

A Sra. von der Leyen reiterou as principais prioridades da estratégia de IA da UE, incluindo a futura regulamentação sobre computação em nuvem e desenvolvimento de IA, a iniciativa "Quantum Sandbox" e investimentos significativos em "gigafábricas" de IA europeias.

A futura regulamentação sobre o desenvolvimento em nuvem e IA poderá incluir medidas de soberania e localização de dados alinhadas com a futura estratégia de dados da União.

A Presidente da Comissão também destacou os objetivos de simplificação da regulamentação europeia, enfatizando propostas de reforma recentes que podem impactar a proteção de dados, como a redução das obrigações de registo de dados e a simplificação dos requisitos de comunicação de incidentes na legislação digital.

Por fim, ela abordou a questão da segurança online das crianças, anunciando que a Comissão buscaria aconselhamento especializado até o final do ano, possivelmente inspirando-se na abordagem australiana às restrições nas redes sociais.

O Regulamento Geral sobre a Proteção de Dados (Lei de Proteção de Dados) entrou em vigor em 12 de setembro de 2025.

Este texto oferece aos usuários de produtos conectados (empresas ou indivíduos que possuem, alugam ou arrendam tais produtos) maior controle sobre os dados que geram, mantendo, ao mesmo tempo, os incentivos para aqueles que investem em tecnologias de dados.

Define também as condições gerais aplicáveis às situações em que uma empresa tem a obrigação legal de compartilhar dados com outra empresa.

O Conselho Europeu de Proteção de Dados publicou diretrizes sobre a interação entre o Regulamento de Serviços Digitais e o RGPD, que estão abertas à consulta pública até o final de outubro.

O Tribunal de Justiça da UE ordenou que a Comissão Europeia pague 50.000 euros em indemnização a uma pessoa envolvida num comunicado de imprensa do Gabinete Europeu de Luta Antifraude (OLAF).

Embora nenhum nome tenha sido mencionado no comunicado de imprensa, pistas contextuais permitiram identificar o pesquisador. O caso em questão, OC v Comissão [C-479/22 P], foi citado no recente caso EDPS v. SRB, que agora está gerando fortes reações em relação ao alcance da natureza identificável dos dados pessoais.

 

Notícias dos países membros da União Europeia.

Na Alemanha, o Tribunal Federal do Trabalho decidiu que uma empresa transferiu ilegalmente os dados pessoais de um funcionário para a sua empresa matriz com o objetivo de testar um software de gestão de recursos humanos.

Essa transferência não pôde ser justificada por um interesse legítimo, pois dados fictícios teriam sido suficientes. O tribunal concedeu ao funcionário uma indenização de € 200 por danos morais.

Na Áustria, um tribunal decidiu que o direito de acesso do titular dos dados cessa com a sua morte e não é transferido a um sucessor legal. O tribunal anulou, assim, uma decisão da autoridade de proteção de dados relativa a uma violação do direito de acesso após a morte do titular dos dados, durante o processo de recurso.

A organização austríaca de defesa do consumidor VSV entrou com uma ação coletiva contra a Meta na Áustria e na Alemanha, buscando indenizações de até € 5.000 para indivíduos maiores de 18 anos. A ação judicial diz respeito às ferramentas profissionais da Meta, que a VSV alega serem usadas para "vigilância ilegal" da vida privada dos usuários.

A autoridade belga de proteção de dados multou o proprietário de uma residência estudantil em € 9.700 por operar ilegalmente um sistema de videovigilância que não era necessário para a proteção da propriedade ou para monitorar o cumprimento das regras da casa e que não poderia ser baseado em um interesse legítimo ou na execução do contrato de aluguel.

A Agência Espanhola de Proteção de Dados (APD) aplicou uma multa de 1.800.000 euros a uma empresa que processou dados pessoais de trabalhadores autônomos coletados por uma autoridade pública sem fundamento legal.

Ela considerou que, embora a Agência Tributária Espanhola (AEAT) tivesse o direito legal de comunicar certos dados à Câmara de Comércio, a subsequente transferência para a empresa Camerdata e a utilização desses dados para fins comerciais e de marketing não tinham fundamento jurídico válido.

O interesse legítimo invocado pela empresa não se sobrepunha aos riscos para os direitos e liberdades dos trabalhadores cujos dados haviam sido divulgados.

Na Estônia, a empresa farmacêutica Allium UPI foi multada em € 3.000.000 por não implementar medidas técnicas e organizacionais adequadas, como a autenticação multifatorial, o que resultou em uma violação de dados que afetou 750.000 pessoas, incluindo crianças e grupos vulneráveis.

Na Finlândia, a Autoridade de Proteção de Dados (APD) multou um banco (S-Pankki Oyj) em € 1.800.000 por não implementar medidas técnicas e organizacionais suficientes em relação a um novo recurso de login em seu aplicativo, o que levou ao acesso não autorizado de seus clientes às contas de outros clientes.

A Autoridade Italiana de Proteção de Dados (APD) decidiu que o cliente de uma empresa tem o direito de revogar seu consentimento para o uso de sua imagem na publicidade da empresa. Esclareceu que o consentimento pode ser revogado independentemente de quaisquer consequências econômicas negativas para o controlador de dados.

Com a votação no Senado em 17 de setembro, a Itália se torna o primeiro país europeu a adotar uma lei sobre inteligência artificial.

Após definir o quadro de princípios gerais, a lei dedica especial atenção a setores cruciais como o trabalho, a saúde e a justiça.

Também regulamenta o uso de IA por menores e inclui disposições penais.

A Autoridade Holandesa de Proteção de Dados (DPA) está atualmente conduzindo uma investigação, em colaboração com as DPAs da Itália, Luxemburgo e Hungria, sobre como as TVs conectadas processam dados pessoais.

O relatório observa, em particular, que as TVs conectadas enviam uma quantidade significativa de dados durante a instalação, o uso diário, quando estão em modo de espera e até mesmo quando estão desligadas, e que operam em um ecossistema opaco da Internet que envolve diferentes partes: fabricantes, fornecedores de sistemas operacionais, desenvolvedores de aplicativos, etc.

Ele destaca que os usuários muitas vezes não têm escolha a não ser aceitar as políticas de privacidade e têm dificuldade em identificar os responsáveis pelo processamento de dados.

Os aplicativos pré-instalados (às vezes impossíveis de remover) levantam questões sobre a minimização de dados e os direitos do usuário.

Após o lançamento do Apertus AI, o chat suíço de código aberto, surgiu outro importante modelo de aprendizado de máquina de código aberto apoiado por uma instituição pública na Europa: o TildeOpen LLM.

Este é um modelo linguístico fundamental concebido para compensar as fragilidades dos modelos linguísticos existentes no que diz respeito às línguas nórdicas e da Europa Oriental, que atualmente estão sub-representadas.

Este modelo com 30 bilhões de parâmetros foi desenvolvido com financiamento da Comissão Europeia e treinado no supercomputador LUMI.

Esses dois modelos anunciaram que estão em conformidade com a regulamentação europeia sobre IA.

 

 

A 47ª Assembleia Geral sobre Proteção da Privacidade, realizada em setembro passado em Seul, reafirmou que a privacidade e a segurança de dados são questões cruciais que o mundo enfrenta atualmente.

O evento anual reúne reguladores, empresas e organizações de todo o mundo.

Vinte autoridades de proteção de dados adotaram uma declaração conjunta nesta ocasião, a fim de construir uma estrutura de governança confiável para uma IA confiável.

Eles defendem a integração dos princípios de proteção de dados desde a fase de concepção, o estabelecimento de uma governança de dados robusta e a antecipação da gestão de riscos.

A declaração também destaca a crescente complexidade do processamento de dados neste contexto e sublinha a diversidade de intervenientes envolvidos, bem como a necessidade de um quadro regulamentar adaptado ao progresso tecnológico.

Nos Estados Unidos, o "Shutdown" teve consequências significativas em termos de proteção de dados.

Algumas agências federais estão praticamente paralisadas, incluindo a Comissão Federal de Comércio (FTC, na sigla em inglês), o principal órgão responsável pela aplicação da lei de privacidade de dados.

Dentro da FTC (Comissão Federal de Comércio), o Departamento de Proteção ao Consumidor é o mais afetado pelas demissões forçadas.

Exceto nos casos em que o dano for considerado extremamente grave, as medidas de proteção ao consumidor serão suspensas, sejam elas investigações preliminares, processos administrativos ou ações judiciais em tribunais federais.

Usuários nos EUA do ChatGPT Plus, Pro e Free agora podem comprar diretamente na plataforma de vendas do Etsy, e muitos outros vendedores também estarão acessíveis em breve.

Isso implica, tanto para o ChatGPT quanto para outros sistemas de IA com agentes, que o usuário concede a terceiros acesso às suas informações pessoais, em especial informações bancárias, com todos os problemas de vulnerabilidade de dados que isso acarreta.