O CEPD e a AEPD publicam o seu Parecer Conjunto sobre a proposta de Regulamento Digital Omnibus

A 10 de fevereiro de 2026, o Comité Europeu de Proteção de Dados (“CEPD”) e a Autoridade Europeia para a Proteção de Dados (“AEPD”) adotaram o seu Parecer Conjunto 2/2026 sobre a proposta de Regulamento Digital Omnibus, apresentada pela Comissão Europeia em 19 de novembro de 2025. Esta proposta visa alterar um vasto corpus da legislação digital da União Europeia (“UE”), incluindo o Regulamento Geral sobre a Proteção de Dados (“RGPD”), o Regulamento (UE) 2018/1725 (“EUDPR”), a Diretiva ePrivacy, a Lei de Dados, o Regulamento da Governação de Dados, a Diretiva NIS 2 e o Regulamento (UE) 2018/1724. Já resumimos as principais novidades propostas por esta iniciativa legislativa nesta publicação do nosso blog.

Aspetos avaliados positivamente

O CEPD e a AEPD apoiam os objetivos da proposta de otimizar a aplicação da regulamentação digital, facilitar o cumprimento das obrigações, reforçar a capacidade dos indivíduos de exercerem os seus direitos e estimular a competitividade. Em particular, acolhem favoravelmente as partes da proposta que podem promover uma maior harmonização, coerência e segurança jurídica ou reduzir encargos administrativos desnecessários.

Entre as alterações que recebem uma avaliação positiva destacam-se:

No domínio da investigação científica, o CEPD e a AEPD congratulam-se com a introdução de uma definição harmonizada do conceito de “investigação científica” no contexto do RGPD, uma vez que pode aumentar a segurança jurídica e apoiar a atividade de investigação. Também avaliam positivamente o esclarecimento de que o artigo 6.º, n.º 4, do RGPD não precisa de ser aplicado nestes casos, bem como a nova isenção limitada ao dever de informar.

No que diz respeito ao tratamento de dados biométricos, é bem-vinda a nova exceção que permite o tratamento de categorias especiais de dados para autenticação biométrica, desde que os meios de verificação estejam sob o controlo exclusivo do indivíduo.

No que diz respeito às notificações de violações de segurança, o CEPD e a AEPD apoiam o aumento do limiar para a notificação obrigatória às autoridades de controlo, de modo que apenas devam ser notificadas as violações que possam representar um risco elevado para os direitos e liberdades dos titulares dos dados. Da mesma forma, apoiam o alargamento do prazo de notificação de 72 para 96 horas. Também avaliam positivamente a criação de modelos comuns e listas de circunstâncias para as notificações de violações.

No que diz respeito às avaliações de impacto em matéria de proteção de dados (“AIPD”), o CEPD e a AEPD apoiam a harmonização a nível da UE das listas de tratamentos que requerem ou não uma AIPD, bem como a criação de um modelo e metodologia comuns.

Em relação à Diretiva ePrivacy, ambos os organismos apoiam firmemente o objetivo de proporcionar uma solução regulatória para combater a fadiga do consentimento e a proliferação de banners de cookies, bem como simplificar as regras aplicáveis à proteção do equipamento terminal dos utilizadores finais. Também acolhem favoravelmente os requisitos relativos à utilização de indicações automatizadas e legíveis por máquina das preferências dos titulares dos dados.

No que diz respeito ao Data Acquis, o CEPD e a AEPD acolhem favoravelmente a integração, no Data Act, das normas do Data Governance Act e da Diretiva relativa aos Dados Abertos e à reutilização de informações do setor público, o que simplificará o cumprimento da regulamentação. Ainda assim, formulam algumas recomendações sobre temas específicos para garantir a segurança dos dados pessoais. Em particular, no que diz respeito aos serviços de intermediação e às organizações de altruísmo de dados, o CEPD e a AEPD detalham recomendações para assegurar que o acesso aos dados seja feito de acordo com os princípios e requisitos aplicáveis.

Aspetos que suscitam preocupação

O Parecer Conjunto também expressa preocupações relativamente a determinadas alterações propostas que, na sua opinião, afetarão negativamente o nível de proteção dos indivíduos, gerarão incertezas jurídicas ou dificultarão a aplicação prática da regulamentação.

A principal objeção diz respeito às alterações propostas na definição de dados pessoais. O CEPD e a AEPD sublinham que a definição de dados pessoais constitui o cerne do direito da UE em matéria de proteção de dados, incluindo o artigo 8.º da Carta dos Direitos Fundamentais da União Europeia (“CDFUE”) e o artigo 16.º do Tratado sobre o Funcionamento da União Europeia (“TFUE”). Consideram que as alterações propostas restringiriam significativamente o conceito de dados pessoais, afetando negativamente o direito fundamental à proteção de dados. Por isso, instam veementemente os colegisladores a não adotarem as alterações propostas à definição de dados pessoais.

No que diz respeito aos atos de execução relativos à pseudonimização, o CEPD e a AEPD manifestam a sua preocupação pelo facto de a proposta permitir especificar, através de atos de execução, os meios e critérios para determinar quando os dados resultantes da pseudonimização deixam de constituir dados pessoais. Consideram que definir o que deixa de ser um dado pessoal afeta diretamente o âmbito de aplicação do direito da UE em matéria de proteção de dados e não deve ser abordado através de um ato de execução. Por conseguinte, sugerem a eliminação da alínea a) do artigo 41.º do RGPD.

No que diz respeito à separação das regras relativas à proteção dos equipamentos terminais, o CEPD e a AEPD alertam que a separação proposta das regras relativas ao acesso e armazenamento de informações em equipamentos terminais entre diferentes instrumentos jurídicos pode gerar incerteza jurídica.

No que diz respeito à limitação do direito de acesso, embora avaliem positivamente o objetivo de clarificar o que constitui um abuso de direito, consideram problemático associar esta noção ao exercício do direito de acesso para fins diferentes da proteção de dados, uma vez que o RGPD também protege outros direitos e liberdades fundamentais.

No que diz respeito às decisões individuais automatizadas, o CEPD e a AEPD consideram que deve ser mantida a proibição de princípio clarificada pelo TJUE, utilizando uma linguagem adequada que reflita que o artigo 22.º, n.º 1, do RGPD estabelece uma proibição com exceções em condições específicas.

No que diz respeito aos serviços de intermediação de dados, o CEPD e a AEPD recomendam manter o requisito de registo prévio obrigatório, ou pelo menos quando os serviços de intermediação previstos impliquem um tratamento de dados pessoais que possa representar um risco elevado para os direitos e liberdades das pessoas singulares.

Avaliação final

O CEPD e a AEPD lamentam que a proposta não tenha sido acompanhada de uma avaliação de impacto completa e consideram que não foi dada atenção suficiente aos efeitos adversos de certas alterações propostas sobre a proteção dos direitos e liberdades fundamentais dos indivíduos. Salientam a importância de que as simplificações propostas clarifiquem as obrigações e proporcionem segurança jurídica, mantendo simultaneamente a confiança e um elevado nível de proteção dos direitos e liberdades fundamentais.