No Dia Europeu da Proteção de Dados, a equipa de Privacidade, Digital e Tecnologia analisa a proposta “Digital Omnibus” da Comissão Europeia e os seus potenciais impactos no RGPD. Documento disponível para download e vídeo completo no nosso canal de YouTube.
28 de janeiro assinala o Dia da Proteção de Dados, data escolhida e marcada pela abertura à assinatura da Convenção n.º 108 do Conselho da Europa, em 1981. Foi este o primeiro instrumento jurídico internacional juridicamente vinculativo em matéria de proteção de dados pessoais e um marco histórico na construção do quadro europeu da proteção de dados.
Mais do que uma efeméride simbólica, a data convida a uma reflexão sobre o caminho percorrido e, sobretudo, sobre os desenvolvimentos mais recentes do direito europeu da privacidade, que apontam para o início de um novo ciclo regulatório.
Em Portugal, a proteção de dados pessoais encontra consagração constitucional desde 1982, através do artigo 35.º da Constituição da República Portuguesa. No plano Europeu, a harmonização iniciou-se com a Diretiva 95/46/CE, transposta para o ordenamento jurídico nacional pela Lei n.º 67/98.
Com o aprofundamento da integração europeia, a proteção de dados ganhou autonomia enquanto direito fundamental, hoje expressamente consagrado no artigo 8.º da Carta dos Direitos Fundamentais da União Europeia, distinto do direito à vida privada e familiar. A entrada em vigor do Tratado de Lisboa, em 2009, conferiu força jurídica plena a esta Carta, reforçando o papel central da proteção de dados no direito da União.
A aprovação do Regulamento (UE) 2016/679, o Regulamento Geral sobre a Proteção de Dados (RGPD), em 2016, marcou uma mudança estrutural no paradigma europeu. Pela primeira vez, foi instituído um regime uniforme e diretamente aplicável em todos os Estados-Membros, reforçando direitos dos titulares, deveres dos responsáveis pelo tratamento e mecanismos sancionatórios.
Em Portugal, a execução do RGPD concretizou-se com a Lei n.º 58/2019, que regula aspetos complementares do regime europeu.
Durante vários anos, o RGPD foi tratado como um bloco normativo estável e praticamente intocável. Contudo, a aceleração da economia dos dados, o desenvolvimento da inteligência artificial e a complexidade dos ecossistemas digitais vieram expor tensões entre o regime concebido em 2016 e a realidade tecnológica atual.
É neste contexto que, a 19 de novembro de 2025, a Comissão Europeia apresentou o chamado pacote “Digital Omnibus”, uma proposta legislativa destinada a simplificar, harmonizar e ajustar transversalmente o quadro regulatório digital da União Europeia.
Esta iniciativa propõe alterações a vários diplomas estruturantes, incluindo o RGPD, a Diretiva ePrivacy, o Data Act, a NIS 2 e outros instrumentos-chave, prevendo ainda a revogação de alguns regimes autónomos.
Importa sublinhar que se trata ainda de uma proposta sujeita ao processo legislativo ordinário, podendo sofrer alterações. Ainda assim, o seu significado político e jurídico é claro: pela primeira vez, a Comissão admite explicitamente revisitar os próprios pilares do direito digital europeu.
Entre os aspetos mais relevantes da proposta, destacam-se:
A Comissão propõe esclarecer a noção de “identificabilidade”, alinhando o RGPD com a jurisprudência do Tribunal de Justiça da União Europeia. Uma informação deixará de ser considerada dado pessoal para uma entidade que não disponha de meios razoáveis para identificar o titular, ainda que possa sê-lo para terceiros.
Esta clarificação tem impacto direto na gestão de dados pseudonimizados e em modelos de partilha interorganizacional de dados.
É introduzida uma derrogação limitada à proibição de tratamento de dados sensíveis em contextos de treino, teste ou validação de sistemas de IA, desde que sejam aplicadas medidas técnicas e organizativas adequadas e assegurada a supressão eficaz desses dados.
A proposta cria ainda uma exceção específica para dados biométricos utilizados para confirmação de identidade, desde que sob controlo exclusivo do titular.
O tratamento posterior de dados para investigação científica, histórica, estatística ou arquivo de interesse público passará a ser considerado automaticamente compatível com a finalidade inicial. A investigação científica é também reconhecida como interesse legítimo, incluindo investigação orientada para inovação e interesses comerciais, desde que respeitados padrões éticos.
A proposta clarifica situações de exercício abusivo ou excessivo do direito de acesso, permitindo a recusa ou a cobrança de uma taxa razoável. Quanto ao dever de informação, prevê-se a sua dispensa quando o titular já disponha razoavelmente da informação, salvo em situações de risco elevado.
É clarificado que o requisito de “necessidade” se aplica mesmo quando a decisão possa, em abstrato, ser tomada por meios não automatizados.
Propõe-se alinhar a notificação à autoridade de controlo com o critério de elevado risco, alargar o prazo para 96 horas e criar um modelo europeu único de notificação.
No mesmo sentido de harmonização, a proposta prevê a criação, a nível da União, de listas únicas das operações de tratamento que exigem e que não exigem avaliação de impacto sobre a proteção de dados (DPIA), bem como a definição de um modelo e de uma metodologia comuns para a realização dessas avaliações.
8. Integração do regime da Diretiva ePrivacy no RGPD
Um dos pontos mais relevantes é a integração do regime da Diretiva ePrivacy no RGPD, visando reduzir a fadiga do consentimento, custos de conformidade e insegurança jurídica, mantendo o consentimento como regra, mas com exceções para situações de baixo risco.
O pacote Digital Omnibus representa mais do que um conjunto de alterações técnicas: marca uma mudança estrutural na forma como a União Europeia encara a governação digital, em vez de apenas criar novos regulamentos setoriais, passa a admitir a reconfiguração controlada dos regimes existentes.
Ainda que o alcance final dependa da versão que vier a ser aprovada, a iniciativa já cumpre um papel decisivo: assinalar o início de um novo ciclo do direito digital europeu, onde proteção de dados, inovação tecnológica e mercado interno deixam de ser tratados como realidades estanques e passam a ser articulados de forma mais dinâmica.