Digital Omnibus: rumo a um quadro regulamentar digital simplificado na UE
1. Contexto
A proposta Omnibus Digital, que tem por objetivo promover a simplificação regulamentar e a coesão do ecossistema digital europeu, faz parte da estratégia da Comissão para impulsionar a competitividade e a inovação digitais na UE através da reestruturação do quadro regulamentar e da criação de mecanismos comuns para facilitar o cumprimento das obrigações regulamentares.
2. Pontos principais das propostas
(i) RGPD
A proposta de Regulamento Digital Omnibus propõe alterações relevantes ao Regulamento (UE) 2016/679 (RGPD), com o objetivo de adaptar o regulamento a uma abordagem mais prática e coerente com a evolução tecnológica. Em primeiro lugar, é redefinido o conceito de dados pessoais, incorporando que a informação relativa a uma pessoa singular não será necessariamente considerada como dados pessoais para uma determinada entidade quando esta não disponha de meios razoavelmente prováveis de identificar o titular dos dados. Esta alteração implica passar de uma abordagem puramente teórica para um método baseado no risco, que permitirá uma avaliação proporcional e contextual da identificabilidade.
Esclarece-se que a categoria de dados relativos à saúde deve ser entendida de forma estrita, incluindo apenas os dados que revelam diretamente o estado físico ou mental de uma pessoa. Isto exclui inferências, correlações ou deduções obtidas por análise estatística ou algoritmos, exceto se o resultado revelar explicitamente o estado de saúde.
O princípio da limitação das finalidades é também reforçado, confirmando que o tratamento posterior para fins de investigação científica ou histórica, de interesse público ou estatísticos não será considerado incompatível com a finalidade inicial, desde que sejam respeitadas as garantias do RGPD.
São acrescentadas duas novas isenções para o tratamento de categorias especiais de dados: (1) o tratamento de dados para o desenvolvimento e funcionamento de sistemas de inteligência artificial ao abrigo de medidas técnicas e organizativas que minimizem os riscos, e (2) o tratamento de dados biométricos quando necessário para confirmar a identidade da pessoa em causa (verificação), desde que esses dados ou os meios necessários para a verificação estejam sob o controlo exclusivo da pessoa em causa.
Entre outros ajustamentos, são introduzidas medidas para reforçar a proteção contra o abuso de direitos, permitindo a rejeição de pedidos repetitivos ou claramente infundados, incluindo a aplicação de taxas razoáveis. As obrigações de informação são também flexibilizadas no tratamento de baixo risco ou quando a pessoa em causa já dispõe dos dados, e é clarificado que a necessidade de executar um contrato não implica que as decisões devam ser exclusivamente automatizadas.
Além disso, é reforçada a harmonização das avaliações de impacto através de critérios e modelos comuns desenvolvidos pelo CEPD (designados por "whitelist"), com o objetivo de conferir maior coerência e reduzir os encargos administrativos.
No domínio da segurança, o prazo para a notificação de violações em casos de alto risco é alargado de 72 para 96 horas.
(ii) REGULAMENTO IA
A proposta de Regulamento Omnibus Digital sobre Inteligência Artificial inclui a alteração do Regulamento (UE) 2024/1689 ("Regulamento IA"), introduzindo ajustamentos fundamentais para facilitar a sua aplicação e reforçar a governação.
Em primeiro lugar, introduz um mecanismo que liga a entrada em vigor das obrigações para os sistemas de IA de alto risco à disponibilidade de normas, especificações e orientações de apoio, com períodos transitórios de 6 e 12 meses, dependendo do tipo de sistema, e prazos em dezembro de 2027 e agosto de 2028. Além disso, são incorporadas medidas para reduzir os encargos regulamentares e oferecer apoio específico às PME e às empresas de média dimensão, evitando que os requisitos regulamentares abrandem a inovação.
No domínio da IA generativa, é concedido um período de carência adicional de seis meses para a implementação da marca de água, prolongando o prazo até fevereiro de 2027, e é reforçado o papel do Código de Boas Práticas como guia para a sua aplicação.
Adicionalmente, são alargadas as competências do Gabinete de AI da Comissão Europeia, que passa a assumir a supervisão dos modelos de uso geral e dos sistemas integrados em grandes plataformas regulados pela Lei dos Serviços Digitais, centralizando a governação e garantindo a coerência regulatória.
No domínio da proteção de dados, é permitido o tratamento residual de categorias especiais de dados quando a sua eliminação for desproporcionada, sob rigorosas garantias técnicas e organizativas, em conformidade com o RGPD.
Por último, é suprimida a obrigação explícita de garantir a literacia em matéria de IA, embora se mantenha a necessidade prática de pessoal qualificado para cumprir os requisitos de governação e gestão de riscos, tornando a formação interna um elemento estratégico para evitar incumprimentos e sanções.
(iii) DIRECTIVA "EPRIVACY
A proposta de alteração da Diretiva 2002/58/CE (Privacidade e Comunicações Electrónicas) visa melhorar a experiência do utilizador e reduzir os encargos administrativos, reforçando simultaneamente a coerência com o RGPD. Entre as alterações mais proeminentes está a revisão das regras sobre cookies e consentimento, com o objetivo de combater a fadiga do consentimento decorrente de banners repetitivos, através de mecanismos mais eficientes e menos intrusivos de gestão das preferências.
Além disso, são clarificadas as interações entre a ePrivacy e o RGPD, eliminando duplicações e alinhando definições e bases jurídicas para garantir um quadro complementar e coerente, nomeadamente no tratamento de dados para marketing e gestão de cookies. A proposta introduz também procedimentos simplificados para a obtenção do consentimento e das informações dos utilizadores, equilibrando a proteção da privacidade com a redução dos encargos para as empresas.
Por último, incorpora o princípio da "simplicidade na conceção" no seu núcleo, com o objetivo de fornecer soluções claras e práticas sem baixar os padrões de proteção. Prevê-se a criação de modelos e guias para facilitar o cumprimento, especialmente na gestão do consentimento e na redação de políticas de privacidade, a fim de se conseguir um quadro regulamentar mais eficiente que proteja os direitos e promova a inovação no mercado digital europeu.
(iv) NIS2, GDPR, DORA, EIDAS e CER
A Proposta Omnibus Digital procura harmonizar e centralizar processos essenciais, estabelecendo mecanismos comuns que reduzam duplicações e facilitem o cumprimento das obrigações de cibersegurança e proteção de dados.
Neste sentido, prevê-se a criação de um "ponto de entrada único" para a comunicação de incidentes, que centralizará as comunicações exigidas por vários diplomas legais da UE, nomeadamente a Diretiva (UE) 2022/2555 (NIS2), o Regulamento (UE) 2016/679 (RGPD), o Regulamento (UE) 2022/2554 (DORA), o Regulamento (UE) 910/2014 (eIDAS) e a Diretiva (UE) 2022/2557 (CER). Este mecanismo tem como objetivo assegurar a interoperabilidade e a coerência regulamentar, reduzir os encargos administrativos e evitar a duplicação de notificações através da harmonização de formulários e requisitos de informação, promovendo sinergias entre os diferentes quadros regulamentares.
A "Carteira Europeia das Empresas" é também incorporada como um meio de identificação e autenticação interoperável das empresas, desenvolvida no âmbito do Regulamento (UE) 910/2014 (eIDAS). Esta ferramenta não só permitirá que as entidades obrigadas acedam de forma segura ao ponto de entrada único, como também facilitará a integração com outros serviços digitais europeus, reforçando a confiança nas transacções electrónicas.
Por último, a Agência da União Europeia para a Cibersegurança (ENISA) assumirá a responsabilidade de assegurar a interoperabilidade técnica entre o ponto de entrada único e a carteira comercial europeia, garantindo que os processos de autenticação cumprem as normas de segurança e os requisitos regulamentares aplicáveis.
(v) REGULAMENTO SOBRE O ACTO RELATIVO AOS DADOS (ACTO RELATIVO AOS DADOS)
A Proposta Omnibus Digital prevê a integração de três instrumentos legislativos num único quadro regulamentar, consolidando-os no Regulamento (UE) 2023/2854 (Regulamento Dados). Esta integração implicará a revogação do Regulamento (UE) 2018/1807 (Regulamento relativo ao fluxo de dados não pessoais), do Regulamento (UE) 2022/868 (Regulamento relativo à Governação de Dados) e da Diretiva (UE) 2019/1024 (Diretiva Dados Abertos), eliminando duplicações, e reduzindo os encargos regulamentares para as empresas.
Entre as principais alterações, é reforçada a proteção das empresas contra pedidos de acesso por parte de organismos públicos. Em primeiro lugar, é redefinido o conceito de "necessidade excecional" como requisito para ativar o mecanismo de pedido de dados, restringindo-o exclusivamente a casos de "emergência pública".
Nesta linha de garantia, são incorporadas salvaguardas adicionais que limitam o âmbito dos pedidos, exigem uma avaliação caso a caso e prevêem uma indemnização, com o objetivo de proteger informações sensíveis - incluindo segredos comerciais - e evitar uma utilização desproporcionada de dados empresariais, reforçando assim a autonomia das empresas.
Em relação à possibilidade de mudar gratuitamente de prestador de serviços de tratamento de dados no âmbito da portabilidade, é introduzida uma exceção para os contratos celebrados antes de 12 de setembro de 2025, permitindo que as partes acordem uma indemnização por rescisão antecipada, uma vez que estes contratos foram celebrados antes da data de aplicação do regulamento.
No âmbito do regulamento relativo à governação de dados, é suprimida a autorização prévia que este impõe como requisito para operar como prestador de serviços de intermediação de dados. Em seu lugar, é introduzida a "marca de confiança", uma marca de acreditação voluntária que permite demonstrar boas práticas sem ser um requisito para iniciar a atividade.
Além disso, no âmbito da Diretiva "Dados Abertos", o regime de altruísmo de informação é simplificado e as disposições sobre a utilização secundária de dados do sector público são alteradas, permitindo taxas mais elevadas para os "grandes reutilizadores".
Próximas etapas
Após a publicação, as propostas de Regulamento Omnibus Digital sobre Inteligência Artificial e de Regulamento Omnibus Digital iniciarão o processo legislativo ordinário no Parlamento Europeu e no Conselho, onde serão discutidas as medidas de simplificação e harmonização previstas. Espera-se que os prazos de implementação e as disposições transitórias para a adaptação das entidades obrigadas sejam definidos durante o processo.
Além disso, a Comissão Europeia anunciou a abertura de uma consulta pública sobre o balanço de qualidade digital, que estará aberta até 11 de março de 2026. Este exercício avaliará a coerência do quadro regulamentar digital, o seu impacto cumulativo nas empresas e o seu contributo para os objectivos de competitividade e inovação, podendo conduzir a novas propostas de ajustamento regulamentar.
Nota informativa elaborada pela área de Proteção de Dados da ECIJA Madrid.
