Alerta Jurídico nº 89 – Novembro de 2025. 

 

Simplificação das regras digitais europeias: o que podemos esperar?

Até que ponto irá a Comissão Europeia em seu desejo de simplificar o quadro legislativo europeu?

Desde a publicação do relatório Draghi, em setembro de 2024, e num contexto económico internacional turbulento, o executivo europeu tem vindo a multiplicar medidas a favor da indústria.

A recente publicação do pacote "Digital Omnibus" visa tranquilizar o setor privado quanto às restrições legais no setor digital, para grande consternação da sociedade civil, que teme uma erosão sem precedentes dos direitos fundamentais.

A Comissão publicou oficialmente duas propostas em 19 de novembro, o “Omnibus Digital” e o “Omnibus Digital sobre IA”, e lançou uma avaliação de competências digitais.

A proposta relativa à tecnologia digital introduz alterações tanto ao RGPD (Regulamento Geral sobre a Proteção de Dados) como ao regulamento da IA (Inteligência Artificial), bem como à Diretiva ePrivacy. O texto é denso; aqui estão alguns pontos-chave.

• • Com relação à Diretiva ePrivacy,

A Comissão está propondo, em particular, alterações à política de cookies. O objetivo é reduzir o número de vezes que os banners aparecem e permitir que os usuários deem seu consentimento com um único clique e salvem suas preferências por meio das configurações centrais de seus navegadores e sistemas operacionais. Essa disposição está entre as menos contestadas.

O texto prevê ainda uma interface de reporte unificada que permite às empresas cumprir todas as suas obrigações de notificação de incidentes através de um único portal seguro, com o objetivo de simplificar as obrigações concorrentes da diretiva NIS2, do RGPD e do regulamento sobre resiliência operacional digital.

Está previsto um relaxamento das obrigações legais para PMEs e pequenas e médias empresas no que diz respeito à documentação, sanções e regras de migração para a nuvem.

• • Com relação ao RGPD,

A proposta restringe a definição de dados pessoais ao introduzir uma abordagem subjetiva à identificabilidade dos dados, o que poderia excluir certos dados pseudonimizados ou números de identificação do âmbito do regulamento.

A definição de dados sensíveis seria modificada para abranger apenas aqueles que revelam "diretamente" informações sobre saúde, origem racial, etc., correndo o risco de excluir aqueles que poderiam ser deduzidos por um algoritmo, por exemplo.

A proposta também busca restringir o direito dos indivíduos de solicitar acesso aos seus dados apenas para "fins de proteção de dados".

Uma nova definição de "investigação científica" também poderia levar a amplas isenções do RGPD, beneficiando o setor privado: "qualquer investigação suscetível de apoiar a inovação, como o desenvolvimento e a demonstração tecnológica" poderia, assim, ser isenta das obrigações de informação e de limitação da finalidade.

A proposta inclui alterações que facilitam a tomada de decisões automatizada e permitem o uso de dados pessoais para treinar e operar sistemas de IA com base em interesse legítimo.

O texto prevê ainda um período transitório de seis meses para o artigo 50.º, n.º 2, do regulamento da IA (obrigações de transparência).

O pacote digital abrangente permanece aberto para comentários por um período de oito semanas, prorrogado diariamente até que a proposta esteja disponível em todos os idiomas da UE, atualmente até 29 de janeiro de 2026.

A proposta seguirá então os procedimentos legislativos ordinários da UE no Parlamento Europeu e no Conselho, onde certamente será objeto de um debate acirrado.

Com relação ao RGPD mais especificamente, alguns países estão abertos a uma revisão das propostas da Comissão, enquanto outros, incluindo a Eslovênia, a Estônia e a Áustria, já indicaram que, em sua opinião, o RGPD "não requer quaisquer alterações adicionais neste momento".

O processo também incluirá as opiniões do Conselho Europeu de Proteção de Dados e do Supervisor Europeu de Proteção de Dados, duas posições que, embora não vinculativas, deverão influenciar as discussões futuras.

 

Após um relatório inicial que avaliava se os franceses estavam dispostos a pagar por serviços online sem publicidade direcionada, a CNIL publicou, em 17 de novembro, uma segunda parte referente à atitude dos franceses em relação à monetização de seus dados.

65% dos respondentes (%) indicaram que estariam dispostos a vender seus dados. A valoração mais frequente foi entre 10 e 30 euros por mês, preferida por 28% desses respondentes (%).

Por outro lado, 35% dos indivíduos não desejam vender seus dados, seja qual for o preço, expressando uma rejeição de princípio à monetização de dados pessoais.

A este respeito, a CNIL salienta que, embora seja possível transferir o direito de utilização dos próprios dados, "a prática de 'monetizar' os dados pessoais, no sentido de transferir os direitos de propriedade sobre os mesmos, não é possível no atual quadro jurídico, uma vez que não se pode renunciar aos direitos sobre os próprios dados".

Em 20 de novembro de 2025, a CNIL multou a empresa francesa Condé Nast em 750.000 euros por descumprimento das normas aplicáveis relativas aos cookies instalados nos dispositivos dos usuários que visitam o site "vanityfair.fr".

A empresa já havia recebido uma notificação formal após uma reclamação da associação Noyb em 2019, mas não a cumpriu.

A multa leva em consideração a falta de resposta da empresa, o número de pessoas envolvidas e as diversas deficiências: falha em obter o consentimento, falha em informar os usuários e falha nos mecanismos de recusa e revogação do consentimento.

Em 27 de novembro de 2025, a CNIL também impôs uma multa de 1,5 milhão de euros à empresa American Express Carte France por descumprimento das normas aplicáveis relativas a cookies.

Em 26 de novembro, a ANSSI publicou um relatório sobre o estado das ameaças aos telefones celulares.

O relatório destaca a exploração, por parte de atacantes, de vulnerabilidades que podem ter como alvo redes, o sistema operativo ou aplicações, e identifica uma ameaça específica: operações de espionagem e vigilância realizadas por agentes estatais.

Os telefones celulares também são um alvo principal para os cibercriminosos, que, ao comprometê-los, conseguem roubar dinheiro de suas vítimas.

Os telefones celulares também estão sendo usados indevidamente para vigilância privada ou operações de desestabilização.

O relatório também fornece recomendações de segurança para os usuários.

Essas medidas incluem desligar e ligar o telefone regularmente sem usar a função de reinicialização, não clicar em links ou abrir arquivos em mensagens não solicitadas, ter cautela ao abrir links transmitidos por códigos QR, aplicar atualizações do sistema operacional, desativar as interfaces Wi-Fi e Bluetooth quando não estiverem em uso e evitar conectar-se a redes Wi-Fi públicas.

 

Instituições e órgãos europeus

Em 26 de novembro, representantes dos Estados-Membros da UE concordaram com a posição do Conselho relativamente ao regulamento destinado a prevenir e combater o abuso sexual de crianças.

O texto visa impor às empresas do setor digital a obrigação de impedir a disseminação de pornografia infantil e o aliciamento de crianças.

As autoridades nacionais competentes terão o poder de obrigar as empresas a remover e bloquear o acesso a determinados conteúdos ou, no caso dos motores de busca, a remover determinados resultados de pesquisa.

O regulamento prevê ainda a criação de uma nova agência europeia, o Centro Europeu de Combate à Pornografia Infantil, com a missão de auxiliar os Estados-Membros e os prestadores de serviços online na implementação da lei.

O Conselho também deseja tornar permanente uma medida atualmente temporária que permite às empresas verificar voluntariamente a existência de abuso sexual infantil em seus serviços.

Embora menos intrusivo que a versão anterior, o texto ainda é considerado por seus detratores como um ataque à criptografia de ponta a ponta e à confidencialidade das comunicações.

O projeto ainda precisa ser discutido em trílogos com a Comissão e o Parlamento Europeu.

Em 5 de dezembro, a Comissão Europeia multou a X em 120 milhões de euros por não cumprir as suas obrigações de transparência ao abrigo da Lei dos Serviços Digitais (DSA).

Entre as deficiências, incluem-se o design enganoso da sua "validação azul" para contas verificadas, a falta de transparência no seu diretório de anunciantes e a incapacidade de fornecer aos investigadores acesso a dados públicos.

Em sua decisão sobre a mídia russa, de 2 de dezembro, o Tribunal de Justiça da União Europeia (TJUE) decidiu que um editor de marketplace é responsável pelo processamento dos anúncios publicados em sua plataforma e deve verificar, antes da publicação, se eles contêm dados sensíveis e se o seu processamento está em conformidade com o RGPD (Regulamento Geral sobre a Proteção de Dados).

1/ O operador de um mercado online é responsável pelo processamento dos anúncios publicados: diversos elementos justificam essa classificação pelo Tribunal de Justiça da União Europeia (TJUE):

• O anúncio só pode ser acessado online devido ao serviço oferecido pela plataforma.
• A editora persegue seus próprios objetivos, principalmente comerciais e publicitários, e não se limita a um serviço técnico.
• Determina os meios essenciais: apresentação, duração da publicação online, seções, classificação e métodos de distribuição.
• Assim, o operador e o anunciante são conjuntamente responsáveis pelo processamento realizado nos anúncios.

2/ Como responsável pelo tratamento de dados, o operador deve identificar os riscos potenciais do tratamento de dados e implementar medidas e salvaguardas adequadas ao risco identificado: o Tribunal de Justiça da União Europeia indica que o operador deve, a montante:

• Detectar se um anúncio contém dados sensíveis.
• Verifique se esses dados se referem ao anunciante ou se o anunciante possui alguma isenção, em particular o consentimento explícito da pessoa em questão.
• Recusar a publicação caso essas condições não sejam atendidas.

Como parte de suas obrigações de segurança, o operador também deve implementar medidas para limitar a cópia e reprodução ilegais de anúncios que contenham dados sensíveis.

Em 20 de novembro, o Tribunal de Justiça da União Europeia (TJUE) decidiu no caso Policejní prezidium sobre as práticas da polícia checa de recolha e armazenamento indefinido de dados biométricos e genéticos de todas as pessoas suspeitas de terem cometido crimes dolosos.

O objetivo era determinar se a diretiva europeia "Police" exige uma avaliação caso a caso da necessidade de retenção, se períodos de retenção indefinidos são permitidos e quais salvaguardas legais devem reger o processamento desses dados sensíveis.

O Tribunal não considera haver uma proibição em princípio, mas impõe uma série de condições: o responsável pelo tratamento dos dados deve cumprir todos os princípios e requisitos específicos aplicáveis ao tratamento de dados sensíveis, e a legislação nacional deve estabelecer prazos adequados para uma revisão periódica da estrita necessidade de conservação desses dados.

A Agência da União Europeia para os Direitos Fundamentais publicou um relatório em 4 de dezembro abordando a proteção dos direitos fundamentais no uso da IA em áreas de alto risco. O relatório destaca a falta de conhecimento sobre esses direitos.

 

Notícias dos países membros da União Europeia.

O Tribunal Regional de Viena para Assuntos Cíveis decidiu que a ação judicial contra um controlador de dados não estabelecido na UE deve ser notificada ao próprio controlador e não ao seu representante na UE.

A notificação ao representante nos termos do Artigo 27 do RGPD é insuficiente, a menos que a legislação processual nacional preveja essa possibilidade.

Em 14 de novembro, a Autoridade Croata de Proteção de Dados (APD) aplicou uma multa administrativa no valor total de 4.500.000,00 euros a uma operadora de telecomunicações, na qualidade de responsável pelo tratamento de dados, por transferir dados pessoais para um país terceiro em violação do RGPD (Regulamento Geral sobre a Proteção de Dados).

A transferência para um subcontratado sérvio foi realizada sem uma base legal válida e sem informações transparentes às pessoas envolvidas, o processamento de cópias de carteiras de identidade e certidões de antecedentes criminais dos funcionários foi feito sem base legal e na ausência de verificações prévias adequadas do subcontratado.

A Universidade Internacional de Valência, na Espanha, foi multada em € 750.000 por usar reconhecimento facial e inteligência artificial para identificar participantes de exames sem uma base legal adequada.

Na Espanha, a APD também multou uma clínica médica em € 30.000 por violar o Artigo 5(1)(f) do RGPD, ao divulgar os números de telefone e dados de saúde de cerca de 90 clientes em um grupo do Whatsapp sem consentimento prévio e sem medidas adequadas de confidencialidade.

Um tribunal concedeu mais de 480 milhões de euros em indenizações a 87 veículos de comunicação espanhóis, após concluir que a Meta utilizou ilegalmente dados pessoais coletados em suas redes sociais para criar perfis de usuários detalhados e oferecer publicidade personalizada mais eficaz do que seus concorrentes, obtendo assim uma vantagem competitiva desleal.

O tribunal considerou que o tratamento de dados pessoais é um fator competitivo fundamental na economia digital e que as violações do RGPD podem constituir concorrência desleal quando conferem uma vantagem significativa.

A Autoridade Italiana de Proteção de Dados (APD) multou a província de Bolzano em € 32.000 por operar ilegalmente uma rede de câmeras de monitoramento de tráfego. A província não possuía uma base legal válida para processar dados pessoais, em particular números de placas de veículos.

 

No Reino Unido, 73 acadêmicos, advogados, especialistas em proteção de dados e organizações não governamentais enviaram uma carta à Câmara dos Comuns solicitando uma investigação sobre a autoridade britânica de proteção de dados (ICO), após o que descreveram como um "colapso das medidas de fiscalização", em particular na sequência do escândalo de violação de dados no Afeganistão.

Eles alertam para "falhas estruturais mais profundas" que vão além dessa violação de dados.

Isso constituiu um vazamento de informações particularmente grave sobre afegãos que colaboraram com as forças britânicas antes de o Talibã assumir o controle do país em agosto de 2021, colocando em risco a vida de 100.000 pessoas cujos nomes haviam sido divulgados pelo Ministério da Defesa.

O ICO é criticado por não ter iniciado processos legais formais contra o ministério, apesar das repetidas falhas. 

Na Argentina, alguns tribunais se pronunciaram nos últimos meses sobre o uso de inteligência artificial em petições e memoriais de advogados.

Os casos envolviam advogados que incluíram citações de jurisprudência que se revelaram falsas ou imprecisas devido a alucinações causadas por inteligência artificial.

Assim como nos Estados Unidos, em particular, os tribunais argentinos estão começando a avaliar a extensão da responsabilidade profissional dos advogados: mesmo quando agem de boa-fé, apresentar memoriais que citam jurisprudência inexistente mina os princípios fundamentais da profissão, incluindo honestidade, lealdade e sinceridade, conforme estabelecido nos códigos de ética das diversas jurisdições argentinas.

Nos casos específicos analisados, os tribunais decidiram não impor sanções diretas aos advogados.

No entanto, consideraram apropriado informar as associações de advogados locais para aumentar a conscientização sobre os riscos e responsabilidades associados ao uso da IA e para promover um debate mais amplo sobre o uso responsável da IA na prática jurídica.

O governo australiano é o mais recente a divulgar um roteiro para a IA.

Após considerar uma estratégia focada na segurança, o governo acabou optando por enfatizar o investimento e a economia.

Em vez de estabelecer salvaguardas obrigatórias em ambientes de alto risco, a Austrália irá aproveitar "as estruturas legais e regulamentares robustas já existentes".

O Plano Nacional anunciado em 2 de dezembro visa aprimorar a reputação da Austrália como um local de investimento em IA e promove metas para o uso generalizado de IA em todo o país, especialmente nos serviços públicos.

O documento também descreve o papel do Instituto de Segurança de IA em testar e compartilhar informações sobre as capacidades, os riscos e os perigos da IA.

Na Austrália, crianças e adolescentes menores de 16 anos também não poderão mais usar as redes sociais a partir de 10 de dezembro.

As plataformas são obrigadas a implementar medidas de verificação de idade.

O não cumprimento desta norma poderá resultar em multas de até 28 milhões de euros.

Essa proibição pode ser seguida por outras: em 26 de novembro, o Parlamento Europeu pediu que a idade mínima para o uso de redes sociais, plataformas de compartilhamento de vídeos e assistentes de IA fosse fixada em 16 anos em toda a União Europeia, permitindo o acesso a jovens de 13 a 16 anos com consentimento dos pais.

Ao expressarem seu apoio à Comissão em relação a um aplicativo europeu de verificação de idade e a uma carteira de identidade digital europeia (eID), os eurodeputados insistem que os sistemas de verificação de idade devem proteger a privacidade dos menores.

Nos Estados Unidos, apenas dois dos cinco comissários permanecem na Comissão Federal de Comércio (FTC).

Uma terceira renúncia, a de Melissa Holyoak, foi de fato anunciada pela FTC em 17 de novembro de 2025.

Essa renúncia ocorre após o presidente Trump ter destituído dois comissários democratas, deixando apenas dois comissários republicanos em seus cargos.

O Supremo Tribunal Federal está analisando o caso, e sua decisão poderá ter implicações mais amplas para o poder do presidente sobre agências independentes.           

Viajantes de países como Grã-Bretanha, França ou Coreia do Sul, elegíveis para o Programa de Isenção de Vistos dos EUA, podem em breve ter que se submeter a uma revisão de suas atividades nas redes sociais dos últimos cinco anos, de acordo com uma proposta apresentada em 9 de dezembro pela Alfândega e Proteção de Fronteiras dos EUA (CBP).

A CBP também planeja solicitar aos candidatos uma longa lista de dados pessoais, incluindo seus endereços de e-mail dos últimos dez anos, bem como os nomes, datas de nascimento, locais de residência e locais de nascimento de seus pais, cônjuges, irmãos, irmãs e filhos.

Em 13 de novembro de 2025, o Ministério da Eletrônica e Tecnologia da Informação da Índia promulgou as normas de implementação da Lei de Proteção de Dados Pessoais Digitais de 2023.

Segundo a empresa Nishith Desai Associates, eles especificam os requisitos de transparência, consentimento e registro, as obrigações de notificação em caso de violação de dados, os direitos das pessoas envolvidas e detalhes referentes ao Conselho Indiano de Proteção de Dados.