Impacto do Digital Omnibus no RGPD

Como mencionado no artigo anterior ("Pontos-chave do "Pacote Digital" da Comissão Europeia"), a proposta de Regulamento Digital Omnibus introduz ajustes substanciais ao Regulamento Geral sobre a Proteção de Dados ("RGPD").

Estas alterações têm como principal objetivo simplificar a aplicação prática, harmonizar os critérios à escala da UE e clarificar a interação do RGPD com tecnologias e quadros digitais fundamentais.

Abaixo, destacamos algumas das alterações mais relevantes que se pretendem introduzir no RGPD.

1.   Modificação da definição de dados pessoais

É introduzida uma alteração muito relevante na definição de dados pessoais (art. 4.º n.º1) do RGPD, que está em linha com a jurisprudência do Tribunal de Justiça da União Europeia (TJUE) (ver, por exemplo, a decisão do TJUE de 9.11.2023 no caso C-319/22, Gesamtverband Autoteile-Handel)

De acordo com a alteração proposta, uma informação não será considerada dado pessoal para uma entidade se esta não puder identificar o interessado, tendo em conta os meios que essa entidade possa razoavelmente utilizar. E a informação não se torna pessoal para essa entidade pelo simples facto de um potencial destinatário posterior dispor de meios razoavelmente prováveis para identificar a pessoa em causa.

Na prática, esta alteração impõe aos responsáveis a tarefa de analisar os meios “razoavelmente prováveis” das entidades destinatárias da informação e exigirá metodologias de avaliação do risco de re-identificação.

Tais avaliações devem basear-se nos critérios da Comissão, que poderá adotar atos de execução especificando meios e critérios para determinar quando os dados resultantes da pseudonimização deixam de constituir dados pessoais para determinados destinatários, após avaliação do estado da arte e do risco de reidentificação.

Além disso, foi proposta a incorporação de novas definições como "investigação científica", "equipamento terminal" ou "interface digital".

2.   Compatibilidade de finalidades no tratamento posterior para investigação, estatísticas e arquivamento

Propõe-se reformular a regra da "limitação de finalidade" do Artigo 5.º n.º 1 al. b) do RGPD, para deixar claro que o tratamento posterior para fins de arquivo de interesse público, investigação científica ou histórica, ou fins estatísticos, será considerado compatível com a finalidade inicial, desde que sejam aplicadas as salvaguardas do Artigo 89.º, n.º 1 do RGPD. A principal novidade é que esta compatibilidade opera independentemente do artigo 6.º n.º 4 do RGPD, pelo que não será necessário realizar o teste de compatibilidade nestes casos.

Em qualquer caso, é importante salientar que não se cria uma base jurídica própria: a base de licitude do Artigo 6.º n.º1 do RGPD e, quando aplicável, o cumprimento dos Artigos 9.º e 10.º ambos do RGPD continuará a ser exigido.

Na prática, o regime passa de uma mera "não incompatibilidade" para uma presunção positiva de compatibilidade, proporcionando clareza e segurança jurídica. O foco passa para as salvaguardas do Artigo 89.º n.º1 do RGPD (minimização, pseudonimização e medidas técnicas e organizacionais apropriadas) como condição habilitante. As obrigações de transparência, a reflexão no Registo das Atividades de tratamento e, se aplicável, a avaliação de impacto, mantêm-se. Setores como a saúde, estatísticas oficiais e arquivos públicos beneficiarão de menos atritos operacionais, sempre sob critérios de proporcionalidade e necessidade e com verificação eficaz das garantias para evitar usos oportunistas.

3.   Base legal para IA e tratamento de categorias especiais

Uma das propostas de alteração mais relevantes é a relativa à incorporação de um novo artigo (Artigo 88.º -C) do RGPD, que reconhece o interesse legítimo do responsável pelo tratamento como base legal para o tratamento de dados necessários no contexto do desenvolvimento e operação de sistemas ou modelos de IA (conforme definidos no Regulamento da Inteligência Artificial). Nesta perspetiva, a proposta não cria um "cheque em branco", mas prevê expressamente que o desenvolvimento e a exploração de modelos de IA podem, em certos casos, estar abrangidos pela cláusula do Artigo 6.º n. º1 al. f) do RGPD, desde que o interesse invocado seja real, legal e concreto; que o tratamento é necessário para o alcançar; e que, após ponderação rigorosa, os direitos e liberdades dos indivíduos não prevalecem sobre o interesse prosseguido. O considerando (30) do RGPD destaca que o acesso a dados (incluindo dados pessoais) durante as fases de treino, teste e validação é inerente ao ciclo de vida da IA. Por isso, admite-se que o interesse legítimo pode ser uma base adequada, mas sublinha que esta possibilidade não isenta do cumprimento dos restantes princípios e obrigações do RGPD nem de respeitar proibições setoriais, por exemplo, as restrições do Regulamento da IA a determinadas utilizações de alto risco ou proibidas.

O equilíbrio de interesses deve incorporar uma abordagem baseada no risco. O considerando (31) do RGPD estabelece que, ao avaliar se prevalece o interesse do responsável pelo tratamento ou de um terceiro, deve ser avaliado se esse interesse traz benefícios sociais para os próprios titulares dos dados, como a deteção de viés ou melhoria da acessibilidade, e ter em conta as expectativas razoáveis dos afetados, o volume e a sensibilidade dos dados, transparência e outras salvaguardas técnicas, como o uso de técnicas de preservação da privacidade ou limitação de retenção. A proposta da Digital Omnibus, em linha com as recentes orientações do Conselho Europeu de Proteção de Dados ("CEPD"), insiste que o teste de necessidade exige justificar por que razão o tratamento de dados pessoais é essencial para desenvolver o modelo (por exemplo, porque não é possível treinar com dados sintéticos de qualidade suficiente) e documentar por escrito a avaliação de alternativas menos intrusivas. De acordo com o CEPD, o interesse pode ser, por exemplo, criar um agente conversacional que auxilie os utilizadores ou melhorar a cibersegurança, mas não legitima usos contrários a outras normas, como sistemas destinados a práticas publicitárias proibidas ou decisões automatizadas proibidas.

Recorrer ao interesse legítimo nesta área exige, portanto, salvaguardas reforçadas. Para além de minimizar a seleção de fontes e a pré-limpeza dos conjuntos de dados, é imprescindível implementar medidas durante o treino e os testes que limitem a incorporação desnecessária de dados, reduzam a possibilidade de re-identificação e previnam a "memorização" ou reutilização de dados pessoais.

A transparência é também reforçada: os responsáveis pelo tratamento devem informar de forma acessível sobre o uso da base de licitude, as finalidades concretas e os direitos de oposição ou oposição sem necessidade de apresentar justificações ou razões; e devem respeitar os sinais técnicos que indicam que certas informações não devem ser utilizadas para formação. A isso acresce o dever de abordar eficazmente um direito incondicional de oposição – sem necessidade de demonstrar as razões – quando o tratamento para o treino da IA se baseia num interesse legítimo, fornecendo mecanismos automáticos para o exercer. A doutrina do CEPD e de autoridades como a CNIL também sublinha a importância de realizar avaliações de impacto de risco específicas para a IA, ponderando os benefícios face aos riscos (incluindo os decorrentes de web scraping massivo ou retenção de dados em modelos) e estabelecendo controlos técnicos para mitigar a extração ou reversão dos modelos.

Do ponto de vista de categorias especiais de dados, a proposta introduz um regime excecional para aqueles casos em que estes dados aparecem numa forma residual nos conjuntos de treino ou são mantidos no modelo sem serem necessários para a finalidade pretendida. O considerando (33) do RGPD permite, de forma limitada, uma exceção ou derrogação à proibição geral do Artigo 9.º do RGPD, desde que o responsável pelo tratamento tenha implementado medidas técnicas e organizacionais eficazes para impedir a recolha de categorias especiais, monitorize o ciclo de vida do sistema e elimine os dados sensíveis detetados. Se a eliminação exigir um esforço desproporcional – por exemplo, porque implicaria re-treinar o modelo – o responsável pelo tratamento deve garantir que estes dados não são usados para gerar resultados nem divulgados a terceiros, através de técnicas de bloqueio ou filtragem nos resultados. Este regime excecional limita-se a situações em que a presença de dados sensíveis é incidental; quando o seu tratamento for necessário para efeitos do modelo, deve recorrer-se a uma das bases legais existentes do Artigo 9.º, n.º 2 do RGPD, como o consentimento explícito ou o interesse público na área da saúde.

O texto também prevê uma exceção específica para o uso de dados biométricos na verificação de identidade. O Considerando (34) do RGPD recorda que a biometria abrange tanto a identificação (pesquisa um-para-muitos) quanto a verificação (comparação um-para-um) e permite que a proibição do Artigo 9.º, n.º 1 do RGPD, seja levantada quando a verificação de identidade é necessária e o processo é realizado sob o controlo exclusivo do titular dos dados. Isto significa que os dados biométricos ou credenciais necessárias para autenticação devem ser armazenados localmente ou encriptados para que apenas o titular tenha a chave; desta forma, o responsável pelo tratamento não acede ao modelo biométrico ou só o faz durante um período mínimo, reduzindo o risco de fugas ou uso indevido. Esta exceção destina-se a facilitar a adoção de tecnologias de autenticação segura, mas não permite a reutilização de modelos biométricos para outros fins ou para integrar sistemas de reconhecimento em grande escala.

Por fim, convém destacar que o reconhecimento do interesse legítimo como base jurídica para a IA suscitou debates doutrinários. Parte da doutrina teme que uma formulação demasiado aberta possa corroer a necessidade do consentimento e levar a uma reutilização massiva de dados sem controlo suficiente. Por esta razão, as orientações do CEPD e das autoridades nacionais insistem que não existe "exceção para IA" na proteção de dados e que mesmo o tratamento incidental desencadeia a aplicação total do RGPD. Recordam também que a prática comum não constitui, por si só, uma expectativa razoável dos sujeitos dos dados e que é necessário fornecer informação clara quando a recolha de dados obtidos de fontes públicas é reutilizada. Para efeitos práticos, os responsáveis terão de implementar mecanismos para filtrar proativamente categorias especiais, documentar a ponderação de interesses, adaptar as suas avaliações de impacto ao contexto dos modelos generativos e manter uma coordenação estreita com as equipas de engenharia para garantir que as salvaguardas legais sejam traduzidas em controlos técnicos, de modo a que o RGPD, a Regulamentação da IA e a proposta Digital Omnibus traduzem-se num desenvolvimento de modelos mais responsável.

4.   Transparência, informação sobre o assunto dos dados e decisões automáticas

As obrigações de informação do Artigo 13.º do RGPD estão alinhadas em dois aspetos. Em primeiro lugar, é introduzida uma isenção quando os dados foram recolhidos no contexto de uma relação clara e circunscrita com um responsável que não realize atividades intensivas em dados e existem razões para assumir que o interessado já possui certas informações básicas; esta isenção é excluída se houver cessão a terceiros, transferências internacionais, decisões automáticas ou tratamento de alto risco. Em segundo lugar, para o tratamento para fins de investigação científica, quando a comunicação é impossível ou desproporcionada, é condicionada às salvaguardas do Artigo 89.º n.º 1 do RGPD, exigindo medidas alternativas como a publicação de informações gerais.

Além disso, o artigo 22.º do RGPD também é clarificado: mantém-se a possibilidade de decisões baseadas exclusivamente em tratamentos automatizados quando são necessárias para a execução de um contrato, autorizadas pela legislação da União ou dos Estados-Membros, ou têm o consentimento explícito do titular; esclarece-se, ainda, que a exceção contratual se aplica "independentemente" de a decisão poder ser tomada por meios que não sejam exclusivamente automatizados, sem alterar a necessidade de salvaguardas adequadas.

A isenção das obrigações de informação dos interessados aplica-se exclusivamente nos casos em que o tratamento de dados possa ser considerado de baixo risco. No entanto, os responsáveis pelo tratamento são obrigados a documentar as circunstâncias que justificam tal isenção e a estabelecer mecanismos de monitorização que permitam identificar alterações nas condições do tratamento. Se estas condições deixarem de ser cumpridas, de modo que o tratamento já não possa ser considerado de baixo risco, a isenção perderá o seu efeito e os responsáveis pelo tratamento terão de cumprir as respetivas obrigações gerais de informação correspondentes. Na investigação, o quadro da proporcionalidade é reforçado com obrigações de transparência alternativa. Nas decisões automatizadas, a precisão contratual reduz as controvérsias interpretativas, mas não diminui as exigências de informação, o direito à intervenção humana e à avaliação de riscos.

5.   Avaliações de Impacto (DPIAs) e Modelos/Metodologias Comuns

O mosaico nacional é substituído por um sistema harmonizado: o CEPD irá propor à Comissão (i) a lista de tipos de tratamento sujeitos ao DPIA e (ii) a lista de tratamentos isentos, bem como (iii) um modelo e metodologia comuns do DPIA. A Comissão poderá adotar estas propostas através de atos de execução num prazo específico e revê-las regularmente. As listas nacionais permanecerão em vigor até à adoção da lista comum. Consequentemente, espera-se uma maior coerência e previsibilidade transfronteiriça, com redução dos custos de conformidade para grupos multinacionais.

No entanto, a transição exigirá mapeamentos entre categorias nacionais e a lista comum, a adaptação de metodologias internas ao modelo harmonizado e a revisão dos registos e limiares de risco, em particular para tratamentos inovadores (por exemplo, IA generativa, monitorização em larga escala).

6.   Notificações de violação: janela de 96 horas e solução única

O artigo 33.º do RGPD é alterado para: (i) transferir o canal de notificação para o balcão único estabelecido pela Diretiva NIS2, permitindo que uma única submissão cumpra múltiplos quadros; (ii) prolongar o prazo para 96 horas quando a violação for suscetível de ser de elevado risco para os indivíduos; e (iii) instruir o CEPD a propor um modelo comum e uma lista indicativa de circunstâncias de alto risco, com revisões periódicas. Até que o balcão único esteja operacional, mantém-se a notificação direta à autoridade competente.

As organizações deverão alinhar os seus planos de resposta a incidentes com o novo limiar de "alto risco", o prazo de 96 horas e os requisitos de interface unificada. O modelo comum facilitará a padronização dos fluxos internos de recolha de informação e a coordenação com outros quadros (NIS2, DORA), mas exigirá a atualização dos procedimentos, matrizes de decisão e ferramentas de ticketing.

7.   Efeitos do roteiro de reforma e conformidade

No seu conjunto, as alterações propõem uma disciplina do RGPD mais operacional e homogénea, com efeitos imediatos em quatro frentes de conformidade.

(i)          Primeiro, gestão do consentimento e design da interface: será necessário rever banners de cookies, CMPs e fluxos de consentimento para acomodar rejeições num só clique, períodos de "arrefecimento" após a negação e respeito pelos sinais padronizados.

(ii)         Em segundo lugar, partilha de dados e anonimização: será necessário reforçar a análise do risco de reidentificação e a documentação dos casos na transferência de dados pseudónimos, estabelecendo os critérios da Comissão.

(iii)        Terceiro, IA e dados especiais: será necessário institucionalizar avaliações de interesse legítimo específicas para IA, filtros de categorias especiais em conjuntos de dados e modelos, controlos de transparência e mecanismos de oposição incondicional, com rastreabilidade técnica de remediação e bloqueio nos resultados.

(iv)        Quarto, segurança e lacunas: será necessário ajustar as matrizes de risco, o limiar de notificação e os prazos, e integrar o funcionamento do balcão único, aproveitando o modelo comum do CEPD.

Estas exigências serão acompanhadas por atos de fiscalização, modelos e padrões técnicos que facilitarão a transição, mas exigirão planeamento avançado, atualização de políticas e contratos e coordenação entre as equipas jurídicas, de privacidade, segurança e de produto.

8.   Cookies, tratamento em equipamentos de terminal, consentimento e sinais automáticos

A proposta transfere para o RGPD o regime de armazenamento/acesso a dados em equipamentos terminais de pessoas físicas, atualmente contido na Diretiva ePrivacy para casos com dados pessoais. É apresentado um artigo específico que exige consentimento para armazenar ou aceder a dados no equipamento terminal, com exceções para transmissão de comunicações, prestação de um serviço solicitado pelo utilizador, medição de audiência pelo próprio editor em forma agregada e para uso próprio, e a segurança do serviço/terminal.

Quando o tratamento se basear no consentimento, a recusa será possível "com um único clique ou meios equivalentes"; o responsável pelo tratamento não poderá repetir pedidos para o mesmo fim se o consentimento tiver sido concedido enquanto este continuar válido e, se for rejeitado, não poderá reiterar o pedido para o mesmo fim durante pelo menos seis meses. Paralelamente, prevê-se um regime de indicações automatizadas e legíveis por máquina das escolhas da parte interessada (consentimento, rejeição e exercício do direito de objeção no marketing), que os responsáveis devem permitir e respeitar. A Comissão instruirá as organizações europeias de normalização a elaborarem normas para a interpretação desses sinais; interfaces em conformidade com normas harmonizadas devem beneficiar de presunção de conformidade. Prevê-se ainda uma obrigação técnica específica para os fornecedores de navegadores que não são PME para apoiar estas indicações.

As organizações terão de redesenhar as suas interfaces (incluindo a gestão do consentimento) para: incorporar mecanismos claros de "recusa com um clique"; evitar padrões obscuros ou repetições indevidas; permitir a receção e aplicação de sinais automáticos de escolha; e documentar os períodos de validade do consentimento. A medição do próprio público sem consentimento e com dados agregados surge como uma exceção, mas sujeita a uma interpretação restritiva.

O encargo técnico será estendido aos fornecedores de navegadores (exceto PME), o que se espera que favoreça a adoção generalizada de sinais padronizados. O calendário de candidaturas é escalonado: o regime terminal aplica-se após seis meses; o respeito dos sinais pelos responsáveis pelo tratamento aos vinte e quatro meses; a obrigação para os navegadores quarenta e oito meses após a entrada em vigor.