Alerta Jurídico nº 85 – Julho de 2025. 

 

Conformidade com o RGPD: quais são os benefícios económicos?

Estudos conduzidos pela Associação para a Formação Profissional de Adultos (AFPA) e pela CNIL confirmam agora os benefícios económicos associados à presença de um encarregado da proteção de dados (DPO) nas empresas.

O levantamento estatístico realizado pela AFPE em janeiro de 2024, com base em mais de 3.600 respostas de DPOs, foi complementado por entrevistas aprofundadas conduzidas pela CNIL com dez DPOs indicados pela Associação Francesa de Correspondentes em Proteção de Dados (AFCDP).

Os resultados dessas análises, apresentados pela CNIL no final de julho, identificam quatro benefícios principais para as empresas que possuem um DPO: competitividade, prevenção de sanções, prevenção de vazamentos de dados e racionalização da gestão de dados.

Esses benefícios são percebidos por empresas de todos os portes, especialmente nos setores de "Pesquisa, TI e Consultoria" e "Bancos, Seguros e Mutualidades".

• Em termos de competitividade, a conformidade com o RGPD surge, portanto, como uma alavanca para ganhar concursos, especialmente quando estes estão relacionados com dados.

Nesse contexto, o DPO surge como um contato fundamental para os compradores.

• Embora o DPO ajude a limitar os riscos de sanções, esses benefícios se estendem não apenas ao valor das multas, mas também aos aspectos de reputação.

Além do impacto nas receitas das empresas, as sanções também podem afetar a classificação financeira das empresas e, consequentemente, sua capacidade de financiamento.

• Em termos de segurança, o DPO, juntamente com o Diretor de Segurança da Informação (CISO), desempenha um papel central na conscientização dos funcionários e na implementação de políticas internas de proteção de dados e gerenciamento de incidentes.

A este respeito, a CNIL destaca que o custo médio de uma violação de dados é de 5 milhões de dólares, de acordo com um estudo da IBM de 2024.

• Por fim, a otimização da gestão de dados permite economizar em servidores, potencialmente em centenas de milhares de euros, e melhorar a eficiência na tomada de decisões.

A este respeito, um estudo da Annual Reviews de 2023 sobre os aspetos económicos da privacidade digital também observou que "uma quantidade excessiva de dados pode reduzir o poder de mercado de uma empresa".

O relatório da CNIL leva em consideração como o controlador de dados percebe os regulamentos. 

Quanto mais o DPO e a empresa estiverem convencidos dos benefícios da conformidade com o RGPD e integrarem os seus princípios nos processos internos, mais os efeitos positivos serão sentidos, ao contrário das empresas que encaram a conformidade como uma restrição.

Um círculo virtuoso de motivação e benefícios seria, portanto, estabelecido quando os princípios da regulamentação fossem levados em consideração.

O estudo realizado na França não é o único a identificar os benefícios econômicos da regulamentação de dados. 

Outros aspectos também são destacados, por exemplo, pelo Conselho Europeu de Proteção de Dados (EDPB), que enfatiza a confiança que a implementação de uma política de proteção de dados visível gera nos indivíduos, para além do contexto dos concursos públicos.

No início deste ano, a OCDE também publicou uma análise dos fluxos internacionais de dados, na qual afirmou que "os regimes que preveem salvaguardas encontram um equilíbrio entre os custos comerciais associados à regulamentação de dados e os benefícios em termos de confiança proporcionados pelas salvaguardas de dados".

Num contexto em que o roubo de dados se intensifica e o desenvolvimento da inteligência artificial levanta um número crescente de questões éticas, conquistar – e manter – a confiança dos indivíduos representa uma vantagem significativa perante o público.

 

        

Em decisão datada de 8 de agosto de 2025, o Conselho Constitucional declarou inconstitucional a prática, pela formação restrita da CNIL, de não notificar o direito ao silêncio das pessoas que deseja ouvir durante audiências ou pedidos de observação.

Esta decisão baseia-se no direito de não se autoincriminar, decorrente do Artigo 9 da Declaração dos Direitos do Homem e do Cidadão.

A fim de pôr fim a essa inconstitucionalidade a partir da data de publicação de sua decisão, o Conselho Constitucional decidiu que, até a entrada em vigor de uma nova lei ou até a data da revogação das disposições incriminadas, a pessoa em questão, antes da formação restrita, deveria ser notificada de seu direito de permanecer em silêncio.

Na sequência da decisão do Tribunal de Justiça da União Europeia (TJUE), o Conselho de Estado (CE) publicou, a 31 de julho, a sua decisão no caso Mousse, que recebeu o nome da associação que apresentou a queixa contra a SNCF.

Ele acredita que a SNCF Connect "não pode obrigar seus clientes a demonstrarem civilidade".

Este tratamento de dados não está em conformidade com o RGPD, que exige que sejam recolhidos apenas os dados pessoais estritamente necessários.

A Comissão Europeia considera que a exigência de cortesia não é essencial para a venda de bilhetes ou para a verificação de identidade durante as viagens e deve ser opcional, exceto em determinados serviços, como compartimentos de vagões-leito reservados para mulheres viajando sozinhas.

Portanto, anula a decisão da CNIL de 23 de março de 2021, que terá de reexaminar a queixa da associação Mousse.

Em 6 de agosto de 2025, a Bouygues Telecom confirmou ter sofrido uma intrusão informática que permitiu aos cibercriminosos aceder aos dados pessoais de mais de seis milhões de clientes.

Senhas e números de cartões bancários não foram afetados, mas os hackers obtiveram acesso a muitas informações, incluindo nomes, endereços postais e de e-mail, data de nascimento, número do contrato e IBAN. 

A France Travail também sofreu outra violação de dados pessoais em meados de julho, afetando 340 mil cadastros de candidatos a emprego, incluindo dados de identidade, endereço, data de nascimento e número de telefone. Diante do crescente número de violações de dados, a CNIL (Comissão Nacional de Informática e Liberdades da França) atualizou suas recomendações aos cidadãos.

 

Instituições e órgãos europeus

A Comissão Europeia publicou, em 7 de agosto, seu código de boas práticas para empresas que operam sistemas de IA de uso geral (GPAI).

Este documento foi elaborado em colaboração com a indústria e a sociedade civil e tem como objetivo facilitar o cumprimento da regulamentação da IA.

A lista completa de signatários inclui 26 empresas, entre elas Amazon, Anthropic, Google, Microsoft, Mistral e OpenAI.

A empresa de Elon Musk, xAI, assinou apenas a parte do código dedicada a questões de segurança. Portanto, a xAI terá que demonstrar sua conformidade com as obrigações de transparência e direitos autorais da regulamentação por meio de alternativas adequadas.

Tendo assumido recentemente a presidência do Conselho da União Europeia, a Dinamarca encontra-se numa posição privilegiada para moldar a política da UE nos próximos seis meses.

Em 4 de julho, um documento informal do governo dinamarquês mencionou sua intenção de propor uma revisão específica do GDPR e da Diretiva ePrivacy, a fim de reduzir o ônus da conformidade para as empresas e garantir sua competitividade.

A Comissão Europeia também deverá publicar nos próximos meses uma avaliação da qualidade da legislação digital da UE, bem como um pacote abrangente sobre o tema.

A revisão do RGPD não parece ser garantida, se acreditarmos no resumo do "diálogo de implementação" organizado pela Comissão em meados de julho e cujas conclusões foram publicadas no início de agosto.

O setor privado indicou que havia "investido em conformidade e que uma reabertura geral poderia gerar incerteza, particularmente no contexto das transferências internacionais de dados".

Num caso relativo aos transportes públicos suecos, o Advogado-Geral do Tribunal de Justiça da União Europeia esclareceu, em 1 de agosto, o âmbito de aplicação dos artigos 13.º e 14.º do RGPD no que respeita à informação dos titulares dos dados.

O caso específico dizia respeito à coleta de imagens pelas câmeras de bordo dos controladores.

O Advogado-Geral considera que o Artigo 13 se aplica sempre que o titular dos dados for a fonte dos dados (“coletados do titular dos dados”), independentemente do envolvimento deste na coleta dos dados e a partir do momento em que não houver intermediário entre o titular dos dados e o controlador.

O artigo 14 aplica-se sempre que os dados forem recolhidos de uma fonte que não seja o titular dos dados.

Portanto, no caso de coleta de imagens por câmeras de bordo, a obrigação de informar as pessoas envolvidas deve ser imediata e não se beneficia das isenções do art. 14.

Em 28 de julho, o Supervisor Europeu da Proteção de Dados (SEPD) concluiu de forma positiva a sua investigação sobre a utilização do Microsoft 365 pela Comissão Europeia.

Em comunicado, a Comissão destaca a significativa melhoria na conformidade com a proteção de dados no uso do Microsoft 365 e também reconhece e aprecia "os esforços da Microsoft para cumprir os requisitos da Comissão decorrentes da decisão do CEPD de março de 2024".

O relatório da Agência da União Europeia para a Cibersegurança (ENISA), publicado em 26 de junho, fornece orientações técnicas para apoiar a implementação da Diretiva NIS2 para diversos tipos de entidades nos setores de infraestrutura digital, gestão de serviços de TIC e provedores digitais.

Ela reúne um inventário de normas e estruturas europeias e internacionais relevantes (ISO 27001, NIST, ETSI ou CEN).

 

Notícias dos países membros da União Europeia.

Na Alemanha, o tribunal de Düsseldorf concedeu uma indenização de 200 euros por danos morais a um indivíduo após uma violação de dados causada pela falha do controlador de dados em garantir a exclusão de dados pessoais processados por seu subcontratado dentro dos prazos legalmente exigidos.

Fazendo eco ao caso Mousse mencionado acima, o tribunal de Frankfurt decidiu que a companhia ferroviária nacional alemã exigiu ilegalmente que seus clientes fornecessem seus endereços de e-mail ou números de telefone celular para comprar passagens.

Ele considerou que isso não era necessário para a execução do contrato e que o consentimento dado não era sincero e livre.

A Autoridade Croata de Proteção de Dados (APD) multou uma empresa de serviços públicos em € 320.000 por não implementar as medidas de segurança necessárias ao emitir novas senhas para seus usuários e por não cooperar com a autoridade.

A Agência Espanhola de Proteção de Dados (APD) multou uma empresa que opera centros esportivos em € 96.000 por implementar sistemas obrigatórios de reconhecimento facial para entrada e saída das instalações sem informar previamente seus membros ou obter seu consentimento.

Ainda em Espanha, a APD multou um fornecedor de energia em 1.380.000 euros por ter atribuído por engano um contrato de fornecimento de gás a um cliente errado e por ter cobrado taxas a esse cliente, violando os princípios da exatidão dos dados e da segurança do tratamento dos mesmos.

O Supremo Tribunal da Irlanda decidiu que os pedidos de indemnização por danos morais relacionados com angústia, perturbação ou ansiedade podem enquadrar-se diretamente no RGPD (Regulamento Geral sobre a Proteção de Dados) e que as disposições nacionais que exigem autorização de um organismo independente antes de apresentar um pedido de indemnização por danos pessoais não são aplicáveis.

A autoridade italiana da concorrência iniciou uma investigação em 22 de julho contra a Meta Platforms devido à adição de serviços de IA ao WhatsApp sem o consentimento do usuário.

Lembrando que, em 23 de maio de 2025, o Tribunal Regional Superior de Colônia rejeitou uma liminar contra a Meta referente ao treinamento da IA da empresa.

O Tribunal considerou que a combinação de dados anonimizados do Facebook e do Instagram num conjunto de dados de treino não constituía uma "fusão" ilícita de dados na aceção do artigo 5.º, n.º 2, do Regulamento dos Mercados Digitais (RMD).

A Autoridade Lituana de Proteção de Dados (DPA) considerou, em um caso envolvendo dois vizinhos, que a coleta ocasional de dados pessoais por meio de um drone aéreo, com o objetivo de reunir provas para um processo judicial, se enquadrava na exceção nacional prevista pelo RGPD.

O APD indica que se referiu às diretrizes do CEPD de 2020 sobre este ponto.

Na Polônia, o Tribunal Administrativo Federal deu razão ao ouvidor e decidiu que a legislação polonesa que exige que juízes e promotores divulguem sua filiação a organizações religiosas, sindicais e políticas é incompatível com seus direitos previstos na Carta da UE e na Convenção Europeia dos Direitos Humanos.

Na Polônia, a McDonald's Polska Sp. z oo também foi multada em € 3.955.000 por não cumprir os princípios gerais relativos ao processamento de dados, em particular por adotar medidas inadequadas para proteger os dados pessoais.

 

No Reino Unido, o governo pode, sob pressão dos EUA, abandonar sua ordem que visava o recurso avançado de proteção de dados da Apple.

O pedido do Ministério do Interior foi feito ao abrigo da Lei de Poderes Investigativos (IPA, na sigla em inglês), que autoriza o governo do Reino Unido a "emitir ordens secretas exigindo que os fornecedores contornem a criptografia inserindo portas traseiras em seus produtos de software".

Segundo o Ars Technica, autoridades americanas, incluindo o vice-presidente JD Vance, estão pressionando o Reino Unido para que reverta sua decisão. "Isso incomoda muito o vice-presidente e precisa ser resolvido", teria dito um funcionário do departamento britânico.

O WeTransfer, usado por muitos profissionais e indivíduos para compartilhar documentos, alterou seus termos e condições em meados de julho: a empresa havia indicado que, a partir de agosto, usaria o conteúdo dos dados de seus usuários para treinar seu sistema de IA.

Em consequência das reações provocadas por essa informação e das questões levantadas em relação à confidencialidade dos dados, a empresa teria voltado atrás nos dias seguintes.

O uso do ChatGPT pode levar à divulgação de dados sem o conhecimento dos usuários: é o que revela uma publicação do Digital Digging de 31 de julho.

A investigação relata que 512 conversas do ChatGPT foram tornadas públicas por meio de buscas direcionadas por palavras-chave, revelando informações comprometedoras e dados confidenciais.

Graças à função "compartilhar", os usuários, sem saber, tornaram suas interações com o ChatGPT públicas e indexáveis pelos mecanismos de busca.

As conversas compartilhadas abordariam casos de uso de informações privilegiadas, informações financeiras detalhadas sobre empresas, confissões de fraude e evidências de violações regulatórias, tudo mantido em arquivos públicos permanentemente acessíveis.

Na Índia, O impacto da geopolítica na tecnologia digital A IAPP relata que, no final de julho, a Nayara Energy, terceira maior refinaria da Índia, com 6.000 postos de serviço, teve o acesso aos seus dados negado pela Microsoft sem aviso prévio, apesar de ter pago integralmente pelas licenças.

A Rosneft, uma entidade russa, detém uma participação de 49,13 % na Nayara Energy. Acredita-se que essa movimentação seja uma consequência das sanções impostas à Rússia no contexto da guerra na Ucrânia.

Outro incidente diz respeito à revogação da autorização de serviço concedida pelo Centro Nacional Indiano de Promoção e Autorização Espacial a dois satélites da Asia Satellite Telecommunications Company após 31 de março de 2026.

O principal acionista da AsiaSat é uma entidade pertencente ao governo chinês.

Essa decisão terá repercussões em algumas das maiores emissoras de entretenimento da Índia, como a Zee e a Jiostar, que agora terão que buscar alternativas.

Esses eventos ecoam o bloqueio, pela Microsoft, na primavera passada, da conta de e-mail do Procurador-Geral do Tribunal Penal Internacional (TPI).

Esse bloqueio foi uma consequência direta das medidas tomadas pelo presidente dos EUA, Donald Trump, contra o Tribunal de Haia em fevereiro, depois que um painel de juízes do TPI emitiu mandados de prisão contra o primeiro-ministro israelense, Benjamin Netanyahu, e seu ex-ministro da Defesa, Yoav Gallant, por crimes de guerra na Faixa de Gaza.

A edição de agosto do PL&B International Report apresenta um artigo de Maria Tzanou, professora de direito na Universidade de Sheffield, no Reino Unido, e diretora do projeto de vigilância FemTech.

Ela questiona a vigilância das mulheres por meio de produtos e serviços como aplicativos de fertilidade e monitoramento do ciclo menstrual, afirmando que existem "práticas problemáticas e muitas vezes ilegais de coleta de dados".