Pontos-chave do "Digital Package" da Comissão Europeia

A Comissão Europeia apresentou, no passado dia 19 de novembro, o chamado Digital Package, um conjunto de iniciativas legislativas destinadas a simplificar a regulamentação do ecossistema digital europeu, reforçar a competitividade tecnológica e facilitar às empresas e administrações a operação num mercado digital mais coerente e menos fragmentado.

O núcleo do pacote é constituído pela proposta para o Regulamento Digital Omnibus, uma proposta legislativa transversal que introduz alterações em matéria de proteção de dados pessoais e não pessoais, cibersegurança e inteligência artificial, e a proposta do Regulamento Digital Omnibus em matéria de IA, que visa simplificar o Regulamento (UE) 2024/1689 do Parlamento Europeu e do Conselho, de 13 de junho de 2024 ("Regulamento da IA"). Juntamente com estas, o pacote é completado com: a Estratégia de Dados da União; a publicação para efeitos de conformidade com o Regulamento (UE) 2023/2854 do Parlamento Europeu e do Conselho, de 13 de dezembro de 2023 ("Data Act") de cláusulas contratuais-tipo não vinculativas para acesso e utilização de dados e cláusulas contratuais-tipo não vinculativas para contratos de computação em nuvem; bem como uma proposta para um Regulamento sobre as Carteiras Empresariais Europeias.

Segundo a Comissão, estas medidas refletem as recomendações do Relatório Draghi e visam transformar a inovação digital num motor direto de produtividade, removendo barreiras regulatórias, clarificando obrigações e garantindo o acesso a dados de alta qualidade em toda a União. A Comissão estima que estas propostas de simplificação regulatória possam implicar uma redução dos custos administrativos de €5 biliões até 2029.

O Digital Package está estruturado em torno dos seguintes blocos de materiais.

1.    Regras sobre dados pessoais e não pessoais (Data Act e RGPD)

A proposta de Regulamento Digital Omnibus consolida o quadro europeu de dados em torno de dois pilares: o Regulamento (UE) 2023/2854 do Parlamento Europeu e do Conselho, de 13 de dezembro de 2023 ("Data Act"), e o Regulamento (UE) do Parlamento Europeu e do Conselho, de 27 de abril de 2016 ("RGPD").

Em relação ao Data Act, propõe-se reforçar a proteção dos segredos comerciais, de modo a que o acesso aos dados possa ser negado caso haja elevado risco de fuga para países terceiros com salvaguardas insuficientes, e exige medidas técnicas e contratuais e avaliações de risco. Da mesma forma, o Digital Omnibus consolida o Data Act e revoga o Regulamento (UE) 2018/1807 do Parlamento Europeu e do Conselho, de 14 de novembro de 2018 ("Regulamento sobre o Livre Fluxo de Dados Não Pessoais")), o Regulamento (UE) 2022/868 do Parlamento Europeu e do Conselho de 30 de maio de 2022 ("Data Governance Act") e a Diretiva (UE) 2019/1024 do Parlamento Europeu e do Conselho de 20 de junho de 2019 ("Diretiva sobre Dados Abertos"), estabelecendo um quadro único para a reutilização de dados do setor público e categorias protegidas. Limita os pedidos de dados do setor público (B2G) com critérios de proporcionalidade, temporalidade e minimização O regime B2G concentra-se num único artigo 15a e restringe-se a "emergências públicas"; as microempresas e pequenas empresas terão direito a compensação quando lhes for solicitado que forneçam dados nessas situações. Elimina os requisitos essenciais para os smart contracts, bem como a sua avaliação obrigatória, confiando em standards voluntários e práticas de autocertificação. Melhora o “switching” (mudanças de fornecedor ou transferência de dados) em serviços de tratamento de dados, como os serviços de computação em nuvem (cloud), estabelecendo regras mais simples para serviços personalizados e para PMEs e Small Mid-Caps (SMCs).

No que diz respeito ao RGPD, destacam-se as seguintes propostas de alterações:

• O regime dos "cookies" e tecnologias semelhantes é transferido para o RGPD, enquanto a Diretiva 2002/58/CE ("Diretiva ePrivacy") se mantém para casos sem dados pessoais ou quando o utilizador não é uma pessoa singular. Neste sentido, o RGPD exige o consentimento, incorpora a recusa com um único clique e obriga a respeitar as preferências centralizadas por meio de sinais automatizados e legíveis por máquina. Além disso, isenta da exigência de consentimento uma série de finalidades (transmissão de comunicações, prestação de um serviço solicitado, medição de audiência pelo próprio editor e segurança do serviço/terminal).
• Notavelmente, estabelece-se que os dados pseudonimizados não constituiriam dados pessoais para aqueles que não dispõe de capacidade para a reidentificação. Assim, pretende-se facilitar a partilha de dados com terceiros.
• O interesse legítimo é reconhecido como base jurídica para o treino e a implementação de sistemas e modelos de IA, desde que sejam respeitadas garantias reforçadas (minimização, transparência, respeito pelas indicações técnicas e direito de oposição incondicional). E quando, apesar destas medidas, forem detetadas categorias especiais de dados nos conjuntos de treino ou no modelo, o responsável pelo tratamento deve eliminá-las e, se a supressão exigir um esforço desproporcionado, deve bloquear a sua utilização nos outputs do sistema e evitar a sua divulgação a terceiros.
• Ao nível do RGPD, as listas de tratamentos que requerem ou não uma avaliação de impacto serão harmonizadas na UE, com uma proposta do Comité Europeu para a Proteção de Dados ("EDPB") e um modelo de metodologia comuns a adotar pela Comissão; além disso, as notificações de violações serão canalizadas através do novo ponto único de notificação.

2.    Normas de cibersegurança

O Digital Omnibus propõe a introdução de um mecanismo de entrada única (single-entry point) para notificar incidentes de cibersegurança, com o objetivo de evitar a multiplicidade de notificações decorrentes da Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho de 14 de dezembro de 2022 ("Diretiva NIS2"), do RGPD, do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho de 14 de dezembro de 2022 ("Regulamento DORA"), da Diretiva (UE) 2022/2557 do Parlamento Europeu e do Conselho de 14 de dezembro de 2022 ("Diretiva sobre Resiliência das Entidades Críticas") e do Regulamento (UE) 2024/1183 do Parlamento Europeu e do Conselho de 11 de abril de 2024 ("Regulamento Identidade Digital Europeia"). A Agência da União Europeia para a Cibersegurança (ENISA) seria responsável por estabelecer e manter esta interface unificada, que permitiria que uma única notificação cumprisse múltiplas obrigações legais sem necessidade de alterar, para um mesmo incidente, nem o conteúdo das notificações, nem as autoridades destinatárias. A sua utilização passará a ser obrigatória após a sua implementação dentro do período de transição previsto.

3.    Normas sobre inteligência artificial (Regulamento da IA).

A proposta introduziria alterações ao Regulamento da IA destinadas a garantir uma aplicação clara, progressiva e favorável à inovação, a destacar:

• Elimina a obrigação geral de literacia em IA para os fornecedores e responsáveis pela implementação de sistemas de IA, substituindo-a por um mandato para que as autoridades promovam essa formação; embora não altere os requisitos já previstos no Regulamento da IA sobre a competência do pessoal que opera sistemas de alto risco.
• Em matéria de transparência, mantém a marcação (watermarking) de conteúdos gerados ou manipulados por IA e prevê a incorporação de sinais legíveis por máquina para a sua deteção. Para os sistemas de IA generativa já introduzidos no mercado antes de 2 de agosto de 2026, é concedida uma moratória de 6 meses para adaptar a marcação e os sinais de deteção legíveis por máquina (devem cumprir, o mais tardar, em 2 de fevereiro de 2027).
• Propõe também uma moratória para as obrigações aplicáveis aos sistemas de alto risco: 16 meses adicionais para os sistemas do Anexo III e 12 meses para os do Anexo I, vinculando, assim, a aplicação dessas obrigações à disponibilidade de normas técnicas e outras orientações de apoio. Além disso, esclarece que não será necessário registar na base de dados da UE os sistemas que forem descartados como não de alto risco, de acordo com o artigo 6.º, n.º 3.
• Estende às SMCs certas simplificações já previstas para as PMEs, como documentação técnica reduzida ou modalidades proporcionais de sistemas de gestão da qualidade.
• Do ponto de vista institucional, reforça-se o papel do Gabinete de IA, que assumirá a supervisão dos sistemas de IA baseados em modelos de propósito geral (GPAI) desenvolvidos pelo mesmo fornecedor e dos sistemas de IA integrados em grandes plataformas em linha (online) e motores de busca sujeitos ao Regulamento (UE) 2022/2065 do Parlamento Europeu e do Conselho de 19 de outubro de 2022 ("Regulamento dos Serviços Digitais").
• A proposta também amplia o uso de sandboxes regulatórios e de testagem em condições reais, incluindo a criação de uma sandbox europeia a partir de 2028, e clarifica a interação do Regulamento da IA com a restante legislação setorial e com a legislação de harmonização da União.

4.    Estratégia de Dados da União (Data Union Strategy)

Esta Comunicação da Comissão complementa o Digital Omnibus com medidas orientadas a garantir o acesso efetivo a dados de elevada qualidade na União, condição imprescindível para o desenvolvimento competitivo da IA. A estratégia estrutura-se em três eixos: (i) escalonamento do acesso a dados, através de data labs integrados em AI factories, do impulso aos Espaços Europeus Comuns de Dados, incluindo um futuro espaço europeu de dados de defesa e do desenvolvimento de dados sintéticos em setores com escassez de dados reais; (ii) simplificação normativa adicional, acompanhada de modelos e orientações interpretativas, bem como de um Data Act Helpdesk para reduzir os encargos de cumprimento; e (iii) reforço da posição internacional da UE, mediante uma política de fluxos transfronteiriços de dados que preserve a proteção de dados não pessoais sensíveis e potencie a participação europeia em instâncias globais de governação de dados.

5.    Carteiras Empresariais Europeias (European Business Wallets)

A Comissão propõe um Regulamento que estabelece as European Business Wallets: carteiras digitais interoperáveis para que empresas e administrações se identifiquem e autentiquem, assinem ou selem eletronicamente, enviem e recebam documentos e notificações através de um serviço qualificado de entrega eletrónica registada, e partilhem credenciais verificáveis (licenças, certificados, procurações) com pleno efeito jurídico em toda a EU, graças ao Princípio da equivalência. Para as empresas, a sua utilização seria voluntária, enquanto, para as administrações públicas e entidades da UE, a aceitação seria obrigatória. Os Estados-Membros e as instituições europeias disporiam de um prazo de dois anos para implementar estas carteiras digitais para efeitos de identificação/autenticação, assinatura/selo e apresentação de documentos e notificações, com base em normas desenvolvidas no âmbito do Regulamento (UE) 2024/1183 sobre Identidade Digital Europeia e em projetos-piloto. Em conjunto, este quadro visa reduzir os encargos administrativos e assegurar o reconhecimento transfronteiriço dos procedimentos digitais.

6.    Plataformas

O Digital Omnibus propõe revogar o Regulamento (UE) 2019/1150 do Parlamento Europeu e do Conselho de 20 de junho de 2019 ("Regulamento P2B") devido à sobreposição com o Regulamento dos Serviços Digitais e o Regulamento (UE) 2022/1925 do Parlamento Europeu e do Conselho de 14 de setembro de 2022 ("Regulamento dos Mercados Digitais"), mantendo temporariamente certas referências para evitar incerteza jurídica.

* * *

As propostas de Regulamentos incluídas no Digital Package seguirão agora o procedimento legislativo ordinário no Parlamento Europeu e no Conselho, o que acarretará, sem dúvida, um período de intenso debate nas instituições europeias sobre as eventuais alterações e o alcance definitivo destas normas. Além disso, no seu empenho em simplificar a aplicação prática da normativa digital, a Comissão anunciou que elaborará guias, modelos e atos de execução destinados a facilitar a transição e a assegurar um ambiente regulatório digital europeu coerente e dotado de maior segurança jurídica.