A União Europeia prepara-se para apresentar hoje um conjunto de medidas legislativas amplas, apelidado de “lei digital abrangente” (Digital Omnibus), destinado a simplificar e atualizar normas de proteção de dados e de inteligência artificial (IA). O objetivo declarado é reforçar a competitividade das empresas tecnológicas europeias, segundo informações divulgadas a partir de versões preliminares do documento, cuja divulgação oficial está prevista para hoje.
O pacote legislativo prevê alterações significativas ao Regulamento Geral de Proteção de Dados (GDPR), incluindo a definição de dados pessoais, que será ajustada para refletir a jurisprudência recente do Tribunal de Justiça da UE. O critério central passa a ser se uma entidade específica consegue identificar um indivíduo, tendo em conta os meios de que dispõe. Os dados de categorias especiais, considerados sensíveis, só serão abrangidos se revelarem diretamente características sensíveis do titular, excluindo dados a partir dos quais tais características possam ser inferidas.
As propostas estabelecem ainda novas condições para o tratamento de dados sensíveis, permitindo o processamento desses dados para o desenvolvimento e operação de sistemas de IA, desde que aplicadas salvaguardas adequadas, e para a utilização de dados biométricos para autenticação sob controlo exclusivo do utilizador. Quanto aos pedidos de acesso a dados, os controladores poderão recusar solicitações ou cobrar uma taxa quando estas forem utilizadas para fins diferentes da proteção dos dados do titular. Além disso, em situações limitadas, quando os dados são recolhidos diretamente do titular, não será necessário fornecer aviso de privacidade se houver razões para acreditar que o titular conhece a identidade do controlador e o propósito do tratamento.
A legislação proposta também clarifica regras sobre decisões automatizadas, permitindo que decisões totalmente automatizadas com efeitos jurídicos ou semelhantes possam ser tomadas quando necessárias para celebrar ou executar contratos, mesmo que tais decisões pudessem ser tomadas de outra forma. A notificação de incidentes será exigida apenas para casos de alto risco para os titulares, com um prazo ampliado de 72 para 96 horas, utilizando uma nova plataforma integrada. O pacote contempla ainda alterações sobre cookies, possibilitando o uso de tecnologias de medição agregada de audiência e segurança sem necessidade de consentimento, e clarifica normas sobre anonimização, pseudonimização e treino de modelos de IA com base no interesse legítimo.
No domínio da segurança cibernética e da gestão de dados, as propostas incluem a criação de uma plataforma única para reporte de incidentes no âmbito do NIS2, do GDPR, do DORA e da Critical Entities Resilience Directive. O Data Act será ajustado para proteger segredos comerciais e flexibilizar regras sobre taxas de mudança de cloud para determinados serviços, enquanto partes da Data Governance Act serão integradas no Data Act.
Quanto à legislação sobre inteligência artificial, a Comissão Europeia pondera adiar a entrada em vigor ou aplicação de algumas normas do EU AI Act, transferindo para o EU AI Office algumas responsabilidades de fiscalização atualmente atribuídas às autoridades nacionais. Será concedido um período de carência para sistemas de IA já colocados no mercado antes da entrada em vigor das regras de “watermarking”. A obrigação de alfabetização em IA, que passou a ser aplicável em fevereiro de 2025, será agora da responsabilidade da UE e das autoridades nacionais, enquanto pequenas e médias empresas beneficiarão de exceções ampliadas em diversas obrigações do regulamento.
As propostas têm gerado fortes reações de organizações de defesa da privacidade. O noyb, o Conselho Irlandês para as Liberdades Civis e a European Digital Rights publicaram cartas abertas à Comissão Europeia, alertando para potenciais impactos significativos na privacidade dos cidadãos. Uma coalizão de 127 organizações de sociedade civil, sindicatos e defensores do interesse público reiterou estas preocupações em carta enviada a 13 de novembro. Por outro lado, os desenvolvedores de IA e fornecedores de SaaS veem as alterações como positivas, por tornarem a conformidade com o GDPR menos onerosa, especialmente para o treino e operação de modelos de IA, e por flexibilizarem regras sobre taxas de mudança de cloud e obrigações do Data Act.
