Marc Sureda
Desde que, em 1995, a Diretiva de Proteção de Dados foi estabelecida como o primeiro grande instrumento jurídico comunitário nesta matéria, a Europa percorreu um longo caminho legislativo para salvaguardar as informações pessoais dos seus cidadãos. Esse quadro inicial, concebido para melhorar o mercado interno, deu lugar, em 2012, a uma profunda reforma impulsionada pela Comissão Europeia, que já então vislumbrava um novo cenário digital e que culminou com a plena aplicação do Regulamento Geral sobre a Proteção de Dados (RGPD) em maio de 2018.
No entanto, o cenário tecnológico atual apresenta desafios de uma magnitude sem precedentes. Estima-se que o volume de dados produzidos a nível mundial atingirá 527,5 zettabytes em 2029, um crescimento exponencial em relação aos 33 zettabytes registados em 2018. Este fenómeno, somado a escândalos de alto perfil sobre o uso de perfis psicográficos para manipular comportamentos, consolidou a privacidade como uma prioridade social e política. De facto, pesquisas recentes indicam que quase metade dos cidadãos considera o uso indevido de seus dados pessoais como o problema tecnológico que mais os afeta.
No contexto económico atual, a Europa está sob pressão para impulsionar a sua competitividade face a outras potências globais. Relatórios estratégicos, como o elaborado por Mario Draghi, têm apontado que a redução da carga de conformidade normativa para as pequenas e médias empresas é fundamental para promover o desenvolvimento económico e a inovação em inteligência artificial. Existe um debate aberto sobre a rigidez das normas atuais, em que alguns setores argumentam que o excesso de regulamentação poderia sufocar a inovação, enquanto a subregulamentação exporia os cidadãos a riscos injustificados.
Em resposta a esta necessidade de agilidade, a Comissão propôs um regulamento «omnibus digital» destinado a simplificar certos requisitos de proteção de dados. Entre as medidas propostas está a redefinição do conceito de dados pessoais para limitar o âmbito material do RGPD e a introdução de novas bases legais para o desenvolvimento de sistemas de IA. Da mesma forma, foi apresentado um pacote legislativo específico para flexibilizar as obrigações burocráticas das PME, alargando as derrogações existentes sobre o registo das atividades de tratamento.
Embora o RGPD se tenha tornado uma norma global, a sua implementação não tem estado isenta de críticas devido a deficiências na sua execução e à falta de recursos nas autoridades de controlo nacionais. Para colmatar estas deficiências em casos que afetam vários países, os legisladores da UE adotaram novas regras processuais para casos transfronteiriços que serão plenamente aplicáveis a partir de 2 de abril de 2027. As autoridades de proteção de dados mantêm a sua capacidade de sancionar, com multas que podem atingir 4% do volume de negócios anual global de uma empresa.
No domínio das transferências internacionais, a segurança jurídica continua a ser uma prioridade para os responsáveis pela tecnologia com operações globais. Após a saída do Reino Unido da UE e após reformas no quadro britânico em junho de 2025, a Comissão renovou a decisão de adequação com esse país até 27 de dezembro de 2031, evitando assim implicações dispendiosas para as empresas de ambas as jurisdições. Por outro lado, as transferências de dados para os Estados Unidos são regidas por uma nova decisão de adequação adotada após as reformas legais nesse país, embora o Parlamento Europeu tenha assinalado que persistem certas deficiências. É de salientar a aprovação em 2025 do novo acordo de registo de nomes de passageiros (PNR) com o Canadá, após anos de negociações.
Segurança, vigilância e privacidade nas comunicações
O equilíbrio entre privacidade e segurança pública continua a gerar tensões legislativas. As autoridades policiais argumentam que a criminalidade explora cada vez mais as tecnologias digitais, o que justificaria um acesso mais amplo aos dados dos utilizadores. Neste sentido, a Comissão Europeia apresentou um roteiro para garantir o acesso legal e efetivo aos dados por parte das forças da ordem, anunciando planos para rever as regras de retenção de dados. A jurisprudência do Tribunal de Justiça da UE tem sido rigorosa a este respeito, permitindo a retenção generalizada de endereços IP apenas para combater crimes graves e, mais recentemente, para violações de propriedade intelectual, sempre sob salvaguardas específicas.
Outro ponto de atrito reside na luta contra o abuso sexual infantil online. A proposta de um regulamento permanente para combater este crime dividiu as partes interessadas, uma vez que impõe obrigações de mitigação de riscos e deteção que, segundo especialistas em segurança e grupos da sociedade civil, poderiam comprometer a privacidade das comunicações. Entretanto, mantém-se em vigor uma derrogação temporária da Diretiva sobre privacidade e comunicações eletrónicas para permitir que as empresas detetem este tipo de conteúdos.
