Hoje é o Dia da Proteção de Dados, data que assinala a assinatura da Convenção 108 do Conselho da Europa, a 28 de janeiro de 1981, um marco importante por ser o primeiro instrumento jurídico internacional em matéria de proteção de dados. Em 2026 assinala-se também os 10 anos da implementação do Regulamento Geral de Proteção de Dados (RGPD ou GDPR na sigla em inglês), e apesar do balanço positivo que é feito, de forma geral, em relação à evolução do tema, há ainda muitas falhas, uma complexidade que tem custos para as empresas e que deixa buracos na proteção dos utilizadores, que muitas vezes desconhecem os seus direitos e os riscos de discriminação, manipulação e reutilização de dados pessoais.

Não perca nenhuma notícia importante da atualidade de tecnologia e acompanhe tudo em tek.sapo.pt

A somar-se ao RGPD, outras diretivas e regulamentos europeus, como a ePrivacy Directive, NIS2, DORA e o AI Act, trazem também novas obrigações às organizações, aumentando uma complexidade que se torna mais pesada para as pequenas e médias empresas e que a Comissão Europeia quer agora simplificar com o Digital Omnibus, que está a receber críticas de vários sectores.

Mas afinal, qual está a ser o impacto de todo este pacote regulatório? As empresas estão mais preparadas e conscientes da proteção de dados? E os cidadãos têm a sua informação mais protegida? Questionámos quatro especialistas, da defesa do consumidor às empresas e ao mundo académico para perceber as suas visões e experiência.

Em comum todos têm a opinião de que o RGPD, e a legislação de privacidade e cibersegurança que também abrange a proteção de dados, teve um impacto estruturante nas empresas e muito positivo.

“Em Portugal, tal como no restante espaço europeu, o RGPD foi determinante para colocar a proteção de dados pessoais no centro da governação das organizações”, afirma Hugo Leite, Encarregado da Proteção de Dados do Grupo Fidelidade, adiantando que “as empresas estão hoje mais conscientes, mais estruturadas e mais maduras na forma como tratam dados pessoais, sobretudo nos setores regulados, como o financeiro e o segurador”.

Para Paulo Fonseca, assessor estratégico e de relações institucionais da DECO, com o RGPD “ficou claro, pela primeira vez, que os dados não são apenas um produto da economia digital, mas um ativo com valor económico, social e de dignidade, e que exige uma proteção reforçada”. Nas empresas o efeito foi estrutural e “o regime sancionatório, aliado a maiores exigências em termos de transparência e responsabilidade, obrigou a grande maioria das empresas a rever profundamente a forma como recolhe, trata e utiliza os dados pessoais”.

Mas o tema não é ainda consensual e entendido de forma homogénea, mesmo que globalmente exista maior preparação, como alerta Carla Zibreira, fundadora da Lynx Sentry. “Nas organizações a maturidade é heterogénea verificando-se uma maior preocupação pelo compliance e pela integração de preocupações com os dados pessoais nos processos de negócio em organizações maiores e mais estruturadas”, explica.

O fosso entre as organizações grandes e ou estruturas e as PME, ou entidades públicas com recursos limitados, é ainda muito significativo. “Nas pequenas e médias empresas, o que se verifica é uma preocupação mais tímida e muitas vezes até inexistente e ou reativa perante um incidente, intimamente relacionado com a falta de recursos”, sublinha.

A complexidade que os diferentes instrumentos regulatórios implica é notada por Carla Zibreira, que admite que “o ecossistema está longe de ser perfeito, mas o quadro regulatório europeu tem evoluído bastante na última década”.

“As exigências desta evolução são complexas, implicando respostas de diversas naturezas que resultam em quadros legais e normativos que às vezes se sobrepõem e outras vezes se complementam. O esforço de convergência é notório, mas insuficiente. Contudo, acredito que estamos a caminhar para a construção de uma framework única de conformidade”, sublinha a especialista em cibersegurança.

Do lado dos cidadãos, os últimos 10 anos trouxeram também maior consciência mas Paulo Fonseca defende que, a par da sensibilização e informação dos seus direitos enquanto titulares de dados, assiste-se a uma crescente banalização do tratamento de dados.

“A multiplicação de pedidos de consentimento de forma não neutra, a utilização extensiva do princípio do “interesse legítimo” por parte das empresas e o recurso a padrões obscuros têm levado muitos consumidores a perder o controlo efetivo sobre os seus dados, sobretudo em contextos de personalização, segmentação e tecnologias manipuladoras de tratamento”, avisa Paulo Fonseca.

Para o jurista, “10 anos depois, o RGPD continua a ser um pilar essencial, mas a sua eficácia depende hoje de maior fiscalização, da clarificação de conceitos-chave, de uma aplicação mais firme face a novos modelos digitais e que esta proteção seja efetivamente centrada nos consumidores”.

Uma batalha apenas Europeia?

O foco assumido pela Europa na proteção da privacidade e dos dados pessoais continua a ser muitas vezes apontado como uma vantagem para os cidadãos e empresas, que ganham uma visão mais abrangente dos seus processos que se torna também um sistema de proteção dos clientes e da sua reputação. Mas é também criticado por colocar as empresas europeias numa posição desfavorável face a concorrentes de outras geografias onde as regras não são tão apertadas.

Para Hugo Leite, esta perceção deve ser analisada com cautela, lembrando que a regulação europeia deve ser vista no contexto dos direitos fundamentais consagrados na Carta dos Direitos Fundamentais da União Europeia. “Reconheço que o quadro regulatório europeu é exigente e excessivo, mas resulta sempre de processos de negociação política e de consultas públicas, que envolvem cidadãos, empresas e instituições de múltiplos setores”, explica, defendendo que o RGPD antecipa e previne riscos que o uso intensivo da tecnologia pode colocar aos cidadãos.

O Encarregado de Proteção de Dados do Grupo Fidelidade afirma que “é igualmente muito redutor afirmar que outras geografias inovam e a Europa apenas regula”, lembrando que também nos Estados Unidos existem diretrizes de compliance que são efetivamente seguidas. “Na Europa, estamos a transitar de um modelo centrado na heterorregulação para um modelo de autorregulação, ainda que tardia e com dores de crescimento, face à rapidez das transformações tecnológicas, digitais e culturais”.

Kevin Gallagher, investigador da NOVA FCT e especialista internacional em proteção de dados, não tem uma visão tão positiva e diz mesmo que apesar de, no início, ter parecido que o Regulamento Geral sobre a Proteção de Dados (RGPD) iria criar uma evolução significativa na proteção de dados tanto na Europa como a nível mundial, os pormenores da sua aplicação prática demonstram que esta foi uma batalha que a Europa estava a travar sozinha”.

O exemplo das multas à Clearview AI, que foram aplicadas por vários países europeus à empresa norte-americana Clearview AI, por violar flagrantemente o RGPD ao recolher dados ilegalmente para software de reconhecimento facial, sendo que a empresa “não pagou um único cêntimo da multa, estando protegida pelo facto de não ter ativos na União Europeia”, é apontado por Kevin Gallagher.

“A introdução das alterações ao RGPD através do Pacote Omnibus Digital demonstra que a UE não está apenas sozinha nesta luta, mas está a perdê-la e disposta a desistir da luta pelos direitos dos cidadãos da EU”, defende o investigador.

Onde falha a implementação do RGPD?

Kevin Gallagher é muito claro a apontar o que falha na implementação do RGPD. “Na minha opinião, há dois princípios do RGPD que falharam rotineiramente na sua aplicação: a licitude, lealdade e transparência, bem como a minimização de dados”, explica. “Embora o RGPD tenha procurado tornar possível um consentimento informado para a partilha de dados, a realidade atual é que o consentimento não está mais informado agora do que estava antes da aprovação do RGPD”.

“As Políticas de Privacidade continuam a ser maioritariamente impossíveis de compreender para o cidadão comum, e o consentimento é muito mais fácil de conceder na maioria dos contextos do que de revogar”, afirma o investigador.

À medida que as cadeias de processamento tecnológico se tornam mais complicadas e incluem mais terceiros, a capacidade de resumir de forma transparente e sucinta a forma como os dados são partilhados com não especialistas desaparece rapidamente, justifica.

Quanto à minimização de dados, “os interesses económicos das empresas estão em contraste direto com a ideia de recolher os dados mínimos necessários”. Para exemplo usa o caso de uma encomenda de pizza, presencialmente numa loja, onde o pedido colocado num quiosque digital exigia a associação do número de telefone. “É óbvio que a recolha de um número de telefone não é, de forma alguma, necessária ou mínima para alguém comprar uma pizza numa loja, no entanto, a recolha ocorre na mesma”.

Segundo o investigador, “para que o panorama da proteção de dados melhore, as empresas precisam de considerar seriamente a minimização de dados e ponderar outras formas de rentabilizar os seus produtos”.

A preocupação é partilhada pela DECO. “Na prática, o consumidor raramente consegue perceber como, porquê ou com que consequências os seus dados são utilizados”, admite Paulo Fonseca.

“Em vez de os dados servirem para garantir escolhas mais informadas e ajustadas ao perfil do consumidor, a perceção é que estes são usados, ao invés, para permitir a certas empresas escolherem pelos utilizadores, decidindo o que estes devem ver, comprar ou as condições em que devem aceder”, destaca o jurista.

Este desequilíbrio reforça a necessidade de mais transparência, de limites claros ao tratamento automatizado e a uma fiscalização mais robusta. “A proteção de dados deve servir as pessoas e não os modelos de negócio digitais”, realça.

Um risco adicional colocado pela Inteligência Artificial

A utilização da Inteligência Artificial em muitos serviços tende a aumentar a dificuldade do exercício dos direitos dos consumidores, e a ação das autoridades de controlo. Paulo Fonseca sublinha que “tornam ainda mais opacas as práticas comerciais das empresas baseadas em dados” e que por isso os próximos 10 anos devem servir para consolidar, reforçar e tornar mais eficaz o RGPD.

Também Kevin Gallagher sublinhou a sua preocupação com os riscos da IA generativo, admitindo porém que existem oportunidades.

“ A IA generativa requer grandes quantidades de dados para ser treinada e, sempre que os dados existem numa escala tão grande, é quase inevitável que informações pessoais acabem incluídas nos conjuntos de dados de treino”, explica, lembrando que esta recolha é, por si só, uma violação da privacidade e do RGPD, mas que há riscos maiores, dos dados pessoais incluídos nos conjuntos de treino dos modelos poderem levar à fuga acidental de informações privadas.

Ainda assim acredita que ao permitir que pessoas com pouca ou nenhuma literacia tecnológica ou jurídica compreendam os seus direitos ao abrigo do RGPD e elaborarem comunicações parta exercerem os seus direitos, são uma oportunidade a ter em conta.

Um omnibus digital polémico

A proposta da Comissão Europeia para simplificar os processos, conhecida como o “omnibus digital” foi acolhida com reservas e críticas, também pelas áreas relacionadas com a proteção de dados e privacidade, sobretudo pelo impacto no RGPD.

“A DECO vê com preocupação a proposta da Comissão Europeia, pois, se é certo que a simplificação pode, de facto, reduzir a burocracia para as empresas e clarificar algumas obrigações, tal parece também exigir que esta simplificação seja feita à custa dos consumidores e de normas fundamentais que os protegem, o que não pode acontecer”, explica Paulo Fonseca.

A ligação entre a proteção de dados e a introdução de sistemas de IA, que pode levar a uma perda de autonomia e controlo dos dados pelo consumidor, e a retirada da obrigação de consentimento de uso de dados, que favorece, sobretudo, as grandes plataformas com acesso a vastos volumes de dados, são apontadas pelo jurista como uma das preocupações, já que desequilibra a concorrência e a proteção do cidadão.

A mesma abordagem é sugerida por Kevin Gallagher. “A inclusão explícita do interesse legítimo para treinar modelos de IA permite que as empresas diluam ou ignorem completamente o consentimento para o uso de dados dos cidadãos para fins de uma tecnologia já muito controversa”, justifica o investigador.

Assine a newsletter do TEK Notícias e receba todos os dias as principais notícias de tecnologia na sua caixa de correio.