27.02.2026
Áreas de Prática: Propriedade Intelectual e Tecnologias de Informação
Parecer conjunto EDPB-EDPS sobre a proposta “Digital Omnibus”
- Objeto e âmbito de aplicação
O Comité Europeu para a Proteção de Dados (“EDPB”) e a Autoridade Europeia para a Proteção de Dados (“EDPS”) adotaram, no passado dia 10 de fevereiro de 2026, um Parecer Conjunto sobre a proposta de regulamento da Comissão Europeia relativa à simplificação do quadro legislativo digital europeu (“Proposta Digital Omnibus” ou “Proposta”).
Embora o EDPB e o EDPS apoiem os objetivos de simplificação e competitividade subjacentes à Proposta, lamentam que esta não tenha sido acompanhada de uma avaliação de impacto completa e consideram que não foi devidamente ponderado o potencial impacto negativo de determinadas alterações na proteção dos direitos e liberdades fundamentais.
- Reservas do EDPB e EDPS
- 1. Definição de dados pessoais
O EDPB e o EDPS manifestaram reservas significativas relativamente às alterações propostas à definição de dados pessoais prevista no artigo 4.º, n.º 1, do RGPD. A Proposta pretende codificar a jurisprudência do TJUE, em particular o acórdão de 4 de setembro de 2025 no processo C-413/23 P (EDPS v SRB). Contudo, segundo as autoridades, as alterações propostas vão claramente além dessa jurisprudência.[1]
A Proposta pretende a introdução de um novo parágrafo, nos termos do qual (i) “a informação relativa a uma pessoa singular não constitui necessariamente dados pessoais para qualquer outra pessoa ou entidade” e (ii) “a informação não se torna pessoal para essa entidade apenas porque um potencial destinatário subsequente dispõe de meios razoavelmente suscetíveis de serem utilizados para identificar a pessoa singular”.
Segundo as autoridades, estas alterações:
- Ultrapassam uma modificação meramente técnica ou uma simples codificação da jurisprudência do TJUE;
- Conduziriam a um estreitamento significativo do conceito de dados pessoais, com impacto negativo no direito fundamental à proteção de dados pessoais;
- Podem gerar confusão e não asseguram a pretendida segurança jurídica, na medida em que uma definição “negativa” tende a aumentar a incerteza;
- Podem incentivar os responsáveis pelo tratamento a identificar lacunas no regime de proteção de dados.
Por estas razões, o EDPB e o EDPS instam os colegisladores a não adotar as alterações propostas à definição de dados pessoais.
2.2. Pseudonimização e atos de execução
A Proposta prevê a introdução de um novo artigo 41.º-A no RGPD, habilitando a Comissão a adotar atos de execução para definir meios e critérios destinados a determinar se os dados pseudonimizados deixam de constituir dados pessoais para determinadas entidades.
Esta alteração insere-se no contexto da recente jurisprudência do TJUE no acórdão EDPS v SRB,[2] no qual o Tribunal estabeleceu que:
- A aplicação do RGPD pressupõe, em princípio, um exame sobre o carácter identificado ou identificável do titular dos dados pela informação em causa;
- Os dados pseudonimizados não constituem necessariamente dados pessoais para todas as entidades — a pseudonimização pode, consoante as circunstâncias do caso concreto, impedir efetivamente que outras pessoas, que não o responsável pelo tratamento, identifiquem o titular dos dados.
Contudo, o EDPB e o EDPS entendem que a regulação desta matéria por via de ato de execução não é adequada:
- Compete às autoridades de supervisão, sob controlo jurisdicional, aplicar de forma independente as definições do RGPD;
- O impacto prático da implementação dos “meios e critérios” propostos permanece pouco claro, podendo traduzir-se em maior complexidade e incerteza.
Por conseguinte, o EDPB e o EDPS recomendam a eliminação do artigo 41.º-A proposto.
Note-se que o EDPB está atualmente a preparar orientações atualizadas sobre pseudonimização e anonimização, na sequência de consulta pública, que terão em conta o acórdão EDPS v SRB. Esta consulta demonstrou que o acórdão suscita diversas questões práticas e jurídicas que carecem de clarificação.
3. Aspetos positivos da Proposta
O EDPB e o EDPS acolhem favoravelmente diversos aspetos da Proposta, sugerindo, contudo, certas melhorias:
3.1. Investigação científica
A Proposta introduz uma definição harmonizada de “investigação científica”, no termos da qual a investigação científica “deve contribuir para o conhecimento científico existente ou aplicar conhecimentos existentes de formas inovadoras, ser conduzida com o objetivo de contribuir para o crescimento do conhecimento geral e bem-estar da sociedade, e respeitar padrões éticos na área de investigação relevante”. O EDPB e o EDPS acolhem esta harmonização, que poderá reduzir a atual fragmentação entre Estados-Membros. Contudo, recomendam que os critérios essenciais constem das normas (e não apenas dos considerandos), nomeadamente:
- a investigação deve ser conduzida de forma metodológica, sistemática, autónoma e independente; e
- deve conduzir a resultados verificáveis e transparentes, podendo a transparência incluir a publicação dos resultados.
3.2. Notificação de violação de dados: ponto de entrada único (SEP)
O EDPB e o EDPS apoiam firmemente a criação de um ponto de entrada único (single-entry point – SEP) para a notificação de violações de dados pessoais, por entenderem que esta medida permitirá reduzir a carga administrativa das organizações sem comprometer o nível de proteção dos titulares.
As autoridades manifestam igualmente apoio às seguintes alterações:
- A elevação do limiar de notificação às autoridades de supervisão, passando de “risco” para “risco elevado”, permitindo uma afetação mais eficiente de recursos aos incidentes mais graves;
- A extensão do prazo de notificação de 72 para 96 horas;
- A adoção de modelos comuns de notificação e de listas harmonizadas de circunstâncias suscetíveis de resultar em risco elevado para os direitos e liberdades dos titulares.
Não obstante, recomendam que a preparação e aprovação desses instrumentos sejam atribuídas exclusivamente ao EDPB, em vez de ficarem sujeitas a modificação unilateral pela Comissão.
3.3. Avaliações de Impacto sobre a proteção de dados (AIPD)
O EDPB e o EDPS apoiam a harmonização, a nível da UE, das listas de AIPD e a criação de um modelo e de uma metodologia comuns, o que pode simplificar a realização deste importante processo.
3.4. Direitos dos titulares de dados
3.4.1. Limitação ao direito de acesso
A Proposta visa alterar o artigo 12.º, n.º 5, do RGPD, clarificando as situações de “abuso de direito” em pedidos de acesso.
Embora o EDPB e o EDPS apoiem a intenção de reforçar a segurança jurídica, consideram problemática a associação da noção de abuso ao exercício do direito de acesso para fins distintos da proteção de dados. Recordam que o TJUE já confirmou que os titulares podem exercer legitimamente o direito de acesso para finalidades diversas, sem necessidade de apresentar qualquer motivação específica.
Nesse sentido, recomendam que a qualificação de “pedido abusivo” dependa da existência de uma intenção abusiva, por exemplo, uma intenção manifesta de causar dano ao responsável pelo tratamento, e não da finalidade prosseguida pelo titular.
3.4.2. Derrogações de transparência
A Proposta introduz uma derrogação ao dever de prestar informações previsto no artigo 13.º, n.º 4, do RGPD, dispensando a prestação de informações quando o titular dos dados já as tenha prontamente disponíveis. A medida visa simplificar os requisitos de informação, em particular para as Pequenas e Médias Empresas (“PME”).
O EDPB e o EDPS acolhem este objetivo, mas alertam que a redação proposta pode gerar incerteza jurídica. Em especial, criticam a ambiguidade dos conceitos e recomendam a clarificação da “atividade não intensiva em dados” e “relação clara e circunscrita”, uma vez que consideram estes atualmente ambíguos o que pode colocar em causa a sua aplicação uniforme.
Defendem igualmente que deve ficar expressamente assegurado que o responsável pelo tratamento permanece obrigado a fornecer todas as informações previstas no artigo 13.º, sempre que o titular o solicite.
3.4.3. Decisões individuais automatizadas
A Proposta altera de forma relevante o regime atual das decisões exclusivamente automatizadas. Em vez de consagrar um “direito a não ficar sujeito” a este tipo de decisões (entendido pelo TJUE como uma proibição de princípio com exceções restritas) a nova redação passa a apresentar uma lista exaustiva das situações em que tais decisões são permitidas.
O EDPB e o EDPS alertam que esta mudança de formulação não deve conduzir a uma inversão da lógica da norma. Defendem que deve manter-se clara a ideia de que a regra continua a ser a proibição, admitindo-se exceções apenas em condições estritas.
No que respeita às decisões automatizadas em contexto contratual, a Proposta clarifica que a “necessidade” da decisão deve ser apreciada independentemente da possibilidade de intervenção humana – ou seja, o facto de a decisão poder também ser tomada por um humano não impede o responsável de a tomar de forma exclusivamente automatizada. As autoridades acolhem a intenção de clarificação, mas alertam para o risco de esta formulação ser interpretada como permitindo decisões automatizadas sempre que exista um contrato. Recomendam que fique claro que a decisão automatizada só é “necessária” se não existirem meios alternativos igualmente eficazes e menos intrusivos.
4. Inteligência Artificial, ePrivacy e Governação de Dados: As Restantes Alterações Propostas
4.1.Inteligência Artificial e Dados Sensíveis
A Proposta visa clarificar que o interesse legítimo pode ser utilizado como base jurídica para o desenvolvimento e operação de sistemas de IA. O EDPB e o EDPS concordam com esta orientação, já confirmada no Parecer 28/2024 do EDPB, mas alertam que tal não dispensa uma avaliação caso a caso, exigindo a ponderação efetiva entre os interesses do responsável pelo tratamento e os direitos e liberdades dos titulares.
As autoridades recomendam ainda que o direito de oposição seja reforçado na prática, devendo os titulares ser informados com antecedência suficiente para poderem exercer esse direito antes do início do tratamento.
Destacamos que a Proposta introduz uma derrogação que permite o tratamento incidental e residual de categorias especiais de dados (como dados de saúde, origem étnica ou convicções políticas) no contexto do desenvolvimento de sistemas de IA. O EDPB e o EDPS acolhem esta possibilidade, mas insistem na necessidade de salvaguardas robustas ao longo de todo o ciclo de vida dos sistemas.
Em particular, alertam que esta derrogação não deve abranger dados sensíveis fornecidos através de prompts durante a utilização de sistemas de IA generativa, um ponto com implicações práticas relevantes para organizações que disponibilizam chatbots ou assistentes virtuais a clientes ou colaboradores.
4.2. Diretiva ePrivacy: Cookies e consentimento
O EDPB e o EDPS apoiam fortemente o objetivo de pôr fim à proliferação de banners de cookies e à “fadiga do consentimento”. Apoiam igualmente a atribuição da supervisão desta matéria às autoridades de proteção de dados.
No entanto, o EDPB e o EDPS expressam preocupação quanto à fragmentação normativa resultante da Proposta. Atualmente, a Diretiva ePrivacy regula de forma unitária o acesso e armazenamento de informações em equipamentos terminais (como cookies e tecnologias similares). A Proposta pretende transferir parte destas regras para o RGPD, criando uma divisão artificial: as regras relativas a dados pessoais passariam a constar do RGPD e do EUDPR, enquanto as relativas a dados não pessoais permaneceriam na Diretiva ePrivacy.
Segundo as autoridades, esta separação poderá semear uma maior incerteza jurídica sobre qual regime deve ser aplicado, em função de cada caso concreto.
Adicionalmente, as autoridades sugerem a introdução de uma exceção para a publicidade contextual,[3] como alternativa menos intrusiva à publicidade comportamental.[4]
4.3. Dados, Governação e Altruísmo
A Proposta prevê a integração no Data Act (“DA”) das regras atualmente previstas no Regulamento de Governação de Dados (“DGA”), com a consequente revogação deste último. Neste contexto, são introduzidas alterações significativas ao regime aplicável aos serviços de intermediação de dados, às organizações de altruísmo de dados e à disponibilização de dados em caso de emergência pública.
No que respeita aos serviços de intermediação de dados, o EDPB e o EDPS defendem a manutenção da obrigação de registo prévio, pelo menos quando as atividades previstas envolvam tratamento de dados pessoais suscetível de resultar em risco elevado para os direitos e liberdades das pessoas singulares. Esta obrigação constitui uma proteção essencial para assegurar que as autoridades competentes possam supervisionar adequadamente entidades que desempenham um papel central na economia de dados.
Quanto às organizações de altruísmo de dados, embora as regras passem a constar do DA, a Proposta elimina as obrigações de manutenção de registos e de comunicação anual atualmente previstas no Regulamento de Governação de Dados. O EDPB e o EDPS discordam desta abordagem e recomendam a manutenção destas obrigações, uma vez que são fundamentais para garantir que as autoridades competentes possam exercer a sua supervisão de forma eficaz e para fomentar a confiança pública no rótulo “organização de altruísmo de dados reconhecida na União”. Em particular, deve ser mantida a obrigação de comunicação anual relativa às categorias de pessoas autorizadas a tratar os dados e às fontes de receitas da organização.
Relativamente à disponibilização de dados em caso de emergência pública, o EDPB e o EDPS recomendam manter a exigência de que os pedidos devem respeitar, em primeiro lugar, a dados não pessoais, e apenas a dados pessoais em formato pseudonimizado quando os dados não pessoais sejam insuficientes para responder à emergência. Esta hierarquia de acesso visa garantir que o recurso a dados pessoais seja sempre subsidiário e proporcional à necessidade concreta.
4.4. European Data Innovation Board (EDIB)
O EDPB e o EDPS acolhem favoravelmente a confirmação do papel do European Data Innovation Board (EDIB) no apoio à aplicação consistente do Data Act. Recomendam, contudo, que seja clarificado que o EDIB continuará a assistir a Comissão no desenvolvimento de orientações e normas no âmbito da governação de dados.
5. Próximos passos:
Apesar de a Proposta estar ainda em discussão, recomenda-se às organizações:
- Mapear áreas mais expostas (pseudonimização, IA e dados sensíveis, decisões automatizadas e violação de dados);
- Antecipar cenários de adaptação de políticas e procedimentos;
- Acompanhar a evolução junto das instituições da UE e e as orientações do EDPB.
