Alerta Jurídico nº 83 – Maio de 2025. 

Soberania europeia de dados: mera ilusão?

O bloqueio, por parte da Microsoft, da conta de e-mail do Procurador-Geral do Tribunal Penal Internacional (TPI), Karim Khan, levanta a questão crucial da soberania digital da França e da Europa em geral face às grandes empresas de tecnologia.

Segundo a AP, a conta de e-mail do Sr. Khan foi bloqueada sem aviso prévio, obrigando-o a usar os serviços do provedor de internet suíço Proton.

Como o tribunal depende muito de fornecedores de serviços como a Microsoft, seu trabalho foi significativamente prejudicado.

Essa decisão da Microsoft é uma consequência direta das medidas tomadas pelo presidente dos EUA, Donald Trump, contra o Tribunal de Haia em fevereiro, após um painel de juízes do TPI ter emitido mandados de prisão contra o primeiro-ministro israelense, Benjamin Netanyahu, e seu ex-ministro da Defesa, Yoav Gallant, por crimes de guerra na Faixa de Gaza.

O decreto presidencial proíbe especificamente o fornecimento de fundos, bens ou serviços ao Procurador-Geral do TPI e qualquer transação que vise contornar essas proibições, sob o argumento de que as ações do TPI constituem uma ameaça incomum e extraordinária à segurança nacional e à política externa dos Estados Unidos.

Uma publicação holandesa de 31 de maio observa, neste contexto, que, dado o número de servidores americanos usados pelo setor público, "o governo dos EUA poderia bloquear ou manipular mais de 650 sites governamentais holandeses e sites críticos de empresas com o toque de um botão, incluindo os do Banco Central dos Países Baixos e da polícia, mas também o site (...) do Ministério das Relações Exteriores. Assim como o site Crisis.nl, um site de referência para os holandeses em caso de desastre."

Outro exemplo das potenciais consequências da nossa dependência tecnológica pode ser encontrado num caso recente entre a OpenAI e o sistema judicial dos EUA: a empresa está atualmente a contestar uma decisão que a obriga a conservar todos os registos de utilizadores do ChatGPT – incluindo conversas eliminadas e sensíveis – registados através da sua API comercial.

A decisão teve origem em reivindicações de direitos autorais feitas por organizações de imprensa, que acusaram a OpenAI de destruir provas.

Em sua resposta, a empresa argumenta que o tribunal está se baseando unicamente em uma alegação do New York Times e de outros autores da ação judicial, e que "não há nenhum motivo válido que impeça a OpenAI de respeitar as decisões de privacidade de seus usuários".

Sem tomar posição sobre a questão legítima do respeito aos direitos autorais, o caso nos leva a questionar o controle que potências estrangeiras, neste caso os Estados Unidos, podem exercer sobre nossas ferramentas de trabalho diárias, a partir do momento em que decidem, por si só, sobre as motivações de interesse nacional que justificam tal controle.

Isso parece particularmente preocupante em um mundo onde o Estado de Direito está cada vez mais sob ataque e onde as alianças políticas flutuam diariamente.

Neste contexto sombrio em que a Europa é frequentemente acusada de estar atrasada, há notícias animadoras: o Secure Data Access Centre (CASD) tornou-se, em meados de maio, o primeiro serviço de hospedagem de dados na Europa a obter a certificação oficial do RGPD, emitida ao abrigo do artigo 42.º do RGPD e da norma Europrivacy.

Esta certificação é oficialmente reconhecida pelas autoridades de proteção de dados de 30 países – todos os Estados-Membros da UE e do EEE.

A CASD já possui diversas certificações (ISO 27001, ISO 2770) e é também, notavelmente, uma Instituição Hospedadora de Dados de Saúde (HDS).

Sabemos também que a Europa está atualmente investindo em IA, tanto financeiramente quanto com o objetivo de simplificar as regulamentações (veja as notícias abaixo). O Manifesto da IMA (Innovation Makers Alliance), apoiado por empresas como OVHcloud, Hexatrust e Mistral AI, apresentou em março 33 propostas voltadas para IA, computação em nuvem, cibersegurança e compras públicas, com vistas a um reequilíbrio urgente… Enquanto isso, a Microsoft ofereceu aos governos europeus um programa gratuito de cibersegurança.

As iniciativas europeias só atingirão todo o seu potencial se os nossos reflexos evoluírem, seja em termos de escolhas estratégicas relativas a ferramentas de IA, serviços de hospedagem, mas também em termos de higiene digital: antes de transmitir ou armazenar dados, é essencial processar inicialmente apenas os dados estritamente essenciais e implementar, tanto no setor público como no privado, práticas e políticas que limitem os riscos de perda de controlo sobre esses dados.

 

Em 15 de maio de 2025, a CNIL multou a empresa Solocal Marketing Services em 900.000 euros por aliciar potenciais clientes sem o seu consentimento e transmitir os seus dados a parceiros sem uma base legal válida.

No mesmo dia, a empresa Caloga foi multada em 80.000 euros por aliciar potenciais clientes sem o seu consentimento e por transmitir os seus dados a parceiros sem uma base legal válida.

No final de maio, o deputado e membro da CNIL, Philippe Latombe, questionou o Ministro da Economia, Finanças e Soberania Industrial e Digital, por meio de uma pergunta parlamentar, sobre a escolha da seguradora mútua ALAN por diversos órgãos públicos para fornecer seguro saúde complementar aos seus funcionários.

Ele destaca que "este unicórnio francês (...) hospeda seus dados com a Amazon Web Services (AWS) e, portanto, está sujeito à extraterritorialidade da lei americana".

O deputado pergunta ao governo se este está considerando, "a fim de proteger os dados sensíveis de seus agentes e para ser coerente com as diretrizes que emite, solicitar à ALAN que migre para uma nuvem soberana".

Em decisão datada de 5 de maio, o Conselho de Estado submeteu ao Tribunal de Justiça da União Europeia (TJUE) uma questão prejudicial relativa ao âmbito do consentimento: o caso diz respeito à empresa Canal+, sancionada pela CNIL em outubro de 2023 por utilizar dados recolhidos pelos seus parceiros fornecedores de serviços de internet para fins de marketing eletrónico, embora os parceiros não tenham sido explicitamente identificados aquando da prestação do consentimento.

O Conselho de Estado questiona essencialmente o Tribunal de Justiça da União Europeia (TJUE) sobre se o consentimento dado a um controlador de dados principal (como um provedor de serviços de internet) para o processamento por "seus parceiros" pode ser considerado suficiente para autorizar cada um desses parceiros a realizar campanhas de marketing, mesmo que não sejam identificados no momento da coleta.

Em 25 de abril, o Conselho de Estado (CE) recusou-se a suspender uma decisão da CNIL que autorizava a Agência Europeia de Medicamentos (EMA) a implementar o processamento de dados para um estudo sobre a incidência e prevalência de doenças no âmbito do projeto “DARWIN EU”.

O requerente argumentou que a medida era urgente porque o processamento proposto dizia respeito aos dados de saúde de 10 milhões de franceses, que seriam hospedados pela Microsoft, exigindo transferências para os Estados Unidos, onde as salvaguardas seriam insuficientes.

A CE considera que, "embora não se possa excluir totalmente que os dados do processamento (...) possam estar sujeitos a pedidos de acesso por parte das autoridades dos Estados Unidos, através da empresa-mãe do provedor de hospedagem, e que esta última possa não ser capaz de se opor a isso, esse risco permanece hipotético na fase atual da investigação.

Em segundo lugar, além de a Microsoft Irlanda possuir a certificação "Health Data Hosting" (HDS) (...), a implementação do projeto é cercada por garantias e medidas de segurança, principalmente pelo fato de os dados serem pseudonimizados diversas vezes e não serem diretamente identificáveis, de modo que a CNIL considerou que esse risco foi reduzido a um nível que não justificava a recusa da autorização solicitada, cuja duração também foi limitada a três anos.

Em 13 de maio, o Tribunal de Apelação de Bordéus anulou um contrato relativo ao desenvolvimento de um website devido a violações das normas de proteção de dados pessoais, nomeadamente no que diz respeito às obrigações de informação e consentimento relacionadas com cookies.

O setor de criptomoedas está em crise após diversas tentativas de sequestro.

Um diretor da plataforma Paymium, alvo de uma tentativa recente de ataque, aponta para desenvolvimentos regulatórios que pretendem aplicar ao setor de criptomoedas diversas regras destinadas a quebrar o anonimato, regras essas já aplicáveis ao setor bancário em questões de lavagem de dinheiro ou no combate ao narcotráfico.

Eles estão visando particularmente os mecanismos nacionais e europeus concebidos para tornar os fundos impossíveis de rastrear.

Essas preocupações são compartilhadas por alguns especialistas em segurança cibernética, que argumentam que o anonimato pode ser usado em um contexto legítimo, mas também são relativizadas por outros, que apontam todas as garantias de proteção de dados já aplicáveis ao setor financeiro.

 

Instituições e órgãos europeus

Em 21 de maio, a Comissão Europeia publicou uma proposta de alteração do RGPD (Regulamento Geral sobre a Proteção de Dados) com o objetivo de facilitar as obrigações das PME (Pequenas e Médias Empresas) e estendê-las às empresas de médio porte com menos de 750 funcionários.

As alterações mais importantes dizem respeito aos requisitos relacionados ao registro de atividades de processamento (RPA).

A exceção atual na seção 30(5) seria estendida a todos esses empreendimentos.

Essa nova exceção se aplicaria a menos que o processamento fosse suscetível de resultar em um "alto risco" para os direitos e liberdades das pessoas em questão (em oposição ao "risco" atual).

O texto acrescentaria também um considerando especificando que o tratamento de determinadas categorias de dados necessários para a aplicação do direito do trabalho e da segurança social, nos termos do artigo 9.º, n.º 2, alínea b), não desencadeia, por si só, a obrigação de manter um RAT.

As propostas também alterariam as disposições relativas aos códigos de conduta (artigo 40) e aos sistemas de certificação (artigo 42) para os estender às empresas com menos de 750 funcionários.

Atualmente, estes artigos exigem que os Estados-Membros, as Autoridades de Proteção de Dados (APD), a Comissão e o CEPD "incentivem" o desenvolvimento de códigos e certificações que tenham em conta as "necessidades específicas" das PME.

Para orientar a futura estratégia de dados da UE, a Comissão Europeia está a abrir uma consulta pública sobre a utilização de dados em IA, a simplificação das regras relativas a dados e os fluxos internacionais de dados.

O objetivo é possibilitar a criação de conjuntos de dados interoperáveis, diversificados e de alta qualidade, necessários para a IA, garantindo, ao mesmo tempo, a consistência entre as políticas, infraestruturas e instrumentos legais relacionados a dados.

A consulta pública estará aberta até 18 de julho.

A Comissão também publica uma consulta pública sobre um projeto de diretrizes relativas à Lei de Serviços Digitais (DSA), que estará aberta até 10 de junho.

O texto inclui diretrizes sobre a proteção de menores online. A Comissão planeja publicar as diretrizes finais neste verão. Ela também está trabalhando em um aplicativo de verificação de idade.

Em 27 de maio, a Comissão Europeia anunciou a abertura de investigações para proteger menores de conteúdo pornográfico, ao abrigo da Lei de Serviços Digitais (DSA).

As investigações sobre o Pornhub, Stripchat, XNXX e XVideos concentram-se nos riscos associados à falta de medidas eficazes de verificação de idade.

Em paralelo, os Estados-Membros, reunidos no âmbito do Conselho Europeu de Serviços Digitais, estão a tomar medidas coordenadas contra as pequenas plataformas pornográficas.

O Supervisor Europeu da Proteção de Dados publicou um parecer em 28 de maio sobre a proposta de regulamento que estabelece um sistema comum para o retorno de nacionais de países terceiros que residem irregularmente na UE.

Embora reconheça a necessidade de uma aplicação mais eficaz da legislação existente em matéria de migração e asilo, ele salienta que "a proteção de dados – enquanto direito fundamental consagrado na Carta – é uma das últimas linhas de defesa para pessoas vulneráveis, como migrantes e requerentes de asilo, que se aproximam das fronteiras externas da UE".

A ONG noyb enviou à Meta uma carta de "cessar e desistir" em 14 de maio, na qualidade de entidade qualificada ao abrigo da nova diretiva europeia sobre ações coletivas, relativamente ao treino de IA da Meta sem o consentimento do utilizador.

Um pedido de liminar também havia sido apresentado na Alemanha pela Verbraucherzentrale NRW, mas foi rejeitado pelo tribunal no final de maio (veja abaixo).

 

Notícias dos países membros da União Europeia.

A Autoridade Federal Alemã de Proteção de Dados (BfDI) publicou um questionário de conformidade com a IA, concebido para ajudar as organizações a validar as suas iniciativas de IA e a garantir que cumprem o RGPD (Regulamento Geral sobre a Proteção de Dados).

Em 23 de maio, o Tribunal Superior Regional de Colônia decidiu que a Meta não violou o RGPD (Regulamento Geral sobre a Proteção de Dados) nem o Regulamento Europeu dos Mercados Digitais ao utilizar dados de perfil de usuários para aprimorar seu sistema de IA (Inteligência Artificial), observando que essa avaliação é consistente com a avaliação feita pela Comissão Irlandesa de Proteção de Dados (DPC), que é competente na Europa em relação à Meta.

O TikTok está enfrentando uma ação coletiva na Alemanha. A ONG holandesa Stichting Onderzoek Marktinformatie (Somi), que entrou com uma ação por danos em um tribunal de Berlim, alega que "o TikTok coleta e analisa dados altamente pessoais e íntimos de seus usuários em uma extensão que vai muito além do necessário".

A organização alega que o algoritmo da plataforma cria "um sistema de manipulação e dependência", especialmente para crianças. A ONG busca indenização de até € 2.000 por pessoa.

A Autoridade Belga de Proteção de Dados (APD) realizou uma avaliação do acordo FATCA celebrado entre o Estado belga e os Estados Unidos e determinou que este não é compatível com o RGPD (Regulamento Geral sobre a Proteção de Dados).

As queixas diziam respeito à transferência de dados pessoais relativos aos reclamantes, incluindo "americanos acidentais" belgas, para as autoridades fiscais americanas.

A APD repreendeu o Serviço Público Federal de Finanças por violações do RGPD e constatou uma violação dos princípios da limitação da finalidade, da minimização de dados e das regras de transferência de dados. 

Esta decisão tem implicações que vão além da Bélgica, uma vez que acordos semelhantes foram celebrados pelos Estados Unidos noutros países da União Europeia.

A Agência Espanhola de Proteção de Dados (APD) multou uma empresa andaluza em 1.200 euros por solicitar que seus funcionários em regime de teletrabalho fornecessem seus números de telefone pessoais para serem adicionados ao grupo de WhatsApp da empresa.

Teoricamente, os funcionários poderiam concordar ou optar pela alternativa do e-mail, mas a empresa os incentivou a usar o WhatsApp para facilitar a comunicação.

A APD reiterou que o consentimento não é uma base legal válida em uma relação empregado-empregador.

Ainda em Espanha, a empresa Carrefour foi multada em 3,2 milhões de euros pela APD por não ter protegido o acesso às contas dos seus clientes.

A empresa foi condenada mesmo que as credenciais usadas no ataque cibernético não tenham sido roubadas diretamente dela, mas sim porque falhou em seu dever de cuidado e seus sistemas de segurança não permitiram detectar ataques massivos provenientes de um número muito grande de endereços IP.

A Autoridade Italiana de Proteção de Dados (APD) multou a empresa americana Luka Inc., fornecedora da "companheira virtual" "Replika AI", em 5 milhões de euros por processamento ilegal de dados pessoais, violação das regras de transparência e por não implementar mecanismos eficazes para verificar a idade dos usuários.

A Autoridade Polonesa de Proteção de Dados (APD) multou o Ministro da Digitalização da Polônia em 100.000 PLN (€ 23.448,50) e os Correios da Polônia em 27.124.816 PLN (€ 6.444.174) pelo processamento ilegal de dados pessoais de aproximadamente 30 milhões de cidadãos para facilitar o voto por correspondência em uma eleição geral.

 

O governo australiano publicou cláusulas padrão relacionadas à IA (Inteligência Artificial).

Estas cláusulas aplicam-se aos termos de aquisição de sistemas de IA, garantindo que sejam adquiridos e implementados de forma responsável, ética e segura. Visam mitigar riscos e promover a transparência e a responsabilização na implementação da IA.

Um relatório publicado em 5 de junho pela Privacy Laws and Business indica que muitos países africanos estão adotando leis de proteção de dados pessoais, em um ambiente socioeconômico completamente diferente do da Europa ou da América do Norte.

“A África é o continente líder no uso de dinheiro móvel, com mais de 1,1 bilhão de contas registradas, representando mais da metade do total global. Consequentemente, as prioridades em matéria de política de privacidade nos países africanos são necessariamente diferentes das dos países europeus.”

Para o autor, esse contexto socioeconômico diferente significa que as avaliações da UE sobre a "adequação" do Quênia e de outros países da África, Ásia e América Latina devem, em certa medida, levar em consideração as circunstâncias nacionais.

O presidente dos Estados Unidos sancionou a "Lei Take It Down" em 19 de maio, um projeto de lei cujo objetivo é bloquear imagens íntimas não consensuais e que também abrange os "deepfakes" criados por inteligência artificial.

“Take It Down” é a sigla para “Tools to Address Known Exploitation by Immobilizing Technological Deepfakes On Websites and Networks Act” (Lei de Ferramentas para Combater a Exploração Conhecida por meio da Imobilização de Deepfakes Tecnológicos em Sites e Redes).

O Google concordou em pagar US$ 1,375 bilhão ao estado do Texas para encerrar dois processos judiciais que acusavam a empresa de rastrear a localização dos usuários, buscas "anônimas" e dados de voz e faciais sem a permissão deles.

A empresa teria declarado que estava resolvendo o processo judicial sem admitir culpa ou responsabilidade, e sem ter que modificar seus produtos, e que suas práticas evoluíram desde os acontecimentos.

Entretanto, resultados de pesquisas publicados em 3 de junho mostram que a Meta e a empresa russa Yandex estão rastreando a navegação na web de usuários do Android, mesmo no modo anônimo ou com uma VPN, explorando uma porta local para vincular a atividade de navegação à identidade conectada.

O Google afirma estar investigando esse abuso, que permite que a Meta e a Yandex convertam identificadores web efêmeros em identidades persistentes de usuários de aplicativos móveis.