Dia da Proteção de Dados – 2025

Hoje, dia 28 de janeiro de 2025, assinala-se a comemoração do dia da Proteção de Dados Pessoais, sendo esta data uma oportunidade para se reforçar a importância e o compromisso com o cumprimento do Regulamento Geral sobre a Proteção de Dados (“RGPD” – Regulamento (UE) 2016/679, de 27 de abril) – que completa sete anos em maio –, e promover boas práticas no tratamento e segurança da informação.

Servimo-nos, assim, desta data, para relembrar a necessidade de se proteger as informações pessoais dos indivíduos e de as organizações e/ou empresas adotarem ou continuarem a adotar práticas responsáveis e transparentes no tratamento de dados.

De notar também que em 2025 continuaremos a assistir a muitos desenvolvimentos no panorama da privacidade em toda a União Europeia. A este respeito, sublinhamos que regras constantes de diplomas relativos à inteligência artificial, à segurança informática das entidades financeiras, à cibersegurança e sobre regras harmonizadas para um acesso e utilização equitativa dos dados, irão tornar-se aplicáveis para regulamentar tecnologias novas e exigentes, muitas das quais afetarão dados pessoais. Os diplomas a considerar para este efeito, são os seguintes:

• Regulamento da Inteligência Artificial – Regulamento (UE) 2024/1689 de 13 de junho: entrou em vigor a 1 de agosto de 2024 será plenamente aplicável em 2 de agosto de 2026, com algumas exceções: as proibições sobre alguns sistemas de Inteligência Artificial e a obrigação de adoção de medidas para a literacia sobre Inteligência Artificial produzirão efeitos a 2 de fevereiro de 2025; obrigações para modelos de Inteligência Artificial de finalidade geral passarão a aplicar-se a 2 de agosto de 2025 e as regras para classificação de sistemas de Inteligência Artificial de risco elevado e respetivas obrigações passaram a aplicar-se a 2 de agosto de 2027;
• Regulamento relativo à resiliência operacional digital do setor financeiro (“DORA”) – Regulamento (UE) 2022/2554 de 14 de dezembro: entrou em vigor a 16 de janeiro de 2023 e passou a ser aplicável a 17 de janeiro de 2025;
• Regulamento relativo a regras harmonizadas sobre o acesso equitativo dos dados e a sua utilização (“Data Act”) – Regulamento (UE) 2023/2854 de 13 de dezembro de 2023: entrou em vigor a 11 de janeiro de 2024 e passará a ser aplicável a 12 de setembro de 2025;
• Regulamento relativo aos requisitos horizontais de cibersegurança dos produtos com elementos digitais (“Cyber Resilience Act”) – Regulamento (UE) 2024/2847 de 23 de outubro: entrou em vigor a 10 de dezembro de 2024, sendo que as principais obrigações introduzidas por este diploma passarão a ser aplicáveis a partir de 11 de dezembro de 2027; e
• Diretiva relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União (“NIS2”) – Diretiva (UE) 2022/2555 de 14 de dezembro de (“NIS2”) – entrou em vigor a 3 de janeiro de 2023, sendo que os Estados-Membros tinham até dia 17 de outubro 2024 para fazer a transposição. No caso de Portugal, o Governo apresentou uma proposta de transposição da NIS2 que esteve em consulta pública até ao passado dia 31 de dezembro de 2024, na plataforma Consulta Lex. Resta agora aguardar pela aprovação e publicação do diploma.

Não obstante a necessidade presente e futura de se cumprir com as regras estipuladas nos diplomas acima mencionados, importa não esquecer que o diploma central em matéria de proteção de dados pessoais continuará a ser o RGDP, razão pela qual será crucial para as organizações e/ou empresas cumprirem ou continuarem a cumprir com as respetivas regras, pois só assim, em última análise, poderão promover a confiança e a transparência, beneficiando o seu negócio.