Por Leonor Freitas de Carvalho (*)

Dia 28 de janeiro, celebramos o Dia Europeu da Proteção de Dados, uma oportunidade para refletir sobre a importância da privacidade num mundo cada vez mais digital. Este ano, também nos aproximamos de uma marca significativa: sete anos desde que o Regulamento Geral de Proteção de Dados (RGPD) entrou em vigor na União Europeia e no Espaço Económico Europeu, moldando profundamente a forma como os dados pessoais são geridos e protegidos.

Desde a sua implementação, o RGPD impactou na proteção e a segurança de dados, na estrutura de governance a que as empresas estão sujeitas, ao exigir práticas robustas de gestão de dados, e na inovação através de novas soluções de software e conformidade rigorosa, sob pena de coimas significativas. Fazendo uma retrospetiva dos principais desenvolvimentos em 2024, analisamos avanços legislativos, a adoção de novos padrões globais, e antecipamos as tendências para 2025.

O Regulamento Inteligência Artificial (EU AI Act) é o primeiro ato legislativo do mundo em matéria de inteligência artificial (IA), que visa harmonizar as regras sobre o desenvolvimento e a utilização de sistemas de IA. O regulamento adota uma abordagem baseada no risco para a classificação dos sistemas de IA, equilibrando a inovação com a regulamentação para evitar danos à saúde, à segurança e aos direitos humanos fundamentais.

A conformidade com o RGPD é, muitas vezes, um pré-requisito para cumprir as exigências do EU AI Act, uma vez que os sistemas de IA frequentemente dependem de grandes volumes de dados para o treino do algoritmo. Além disso, ambos os regulamentos partilham princípios como a minimização de dados, a necessidade de consentimento explícito e a avaliação de impacto, incentivando a uma abordagem integrada para a privacidade e a gestão responsável de tecnologias emergentes.

A Diretiva NIS 2 e o RGPD, embora com focos distintos, partilham o objetivo de reforçar a resiliência e a segurança no espaço digital. Enquanto o RGPD se centra na proteção de dados pessoais e na privacidade, estabelecendo regras claras para o seu tratamento e transferência, a NIS 2 visa fortalecer a segurança das redes e sistemas de informação em setores essenciais e serviços digitais, promovendo a gestão de riscos e a resposta a incidentes.

A conformidade com o RGPD complementa os requisitos da NIS 2, dado que a proteção de dados pessoais é um pilar da segurança da informação. Ambos os regulamentos incentivam avaliações de impacto e a implementação de medidas eficazes, criando uma abordagem integrada que mitiga riscos e protege direitos fundamentais num ambiente digital cada vez mais complexo.

O Regulamento da Resiliência Operacional Digital (DORA) está a transformar o setor financeiro, com impacto além das equipas de TIC (tecnologias da informação e comunicação) e gestão de risco. Para os Encarregados de Proteção de Dados (EPDs), o DORA é mais do que um requisito de conformidade, sendo uma estrutura relacionada com as responsabilidades de proteção de dados, exigindo o seu envolvimento ativo. O DORA reforça a gestão de riscos de TIC, incluindo os relacionados com dados pessoais, e alinha os requisitos de reporte de incidentes com as obrigações do RGPD, particularmente no que reporta às violações de dados pessoais.

Outro ponto de interligação entre DORA e RGPD é a supervisão de terceiros, que exige cláusulas contratuais adequadas para garantir conformidade. Os EPDs podem, ainda, aproveitar as formações obrigatórias em cibersegurança do DORA e integrar os exigidos testes de resiliência ao princípio privacy by design. Embora os EPDs não supervisionem diretamente a aplicação do DORA, o papel que desempenham é crucial para aliar a resiliência operacional à proteção de dados pessoais.

Com o aumento das violações de dados pessoais, é imperativo que as organizações fortaleçam a sua conformidade com o RGPD e adotem uma abordagem estruturada. O incumprimento do RGPD não só aumenta o risco de gerar interrupções nos negócios, como também expõe as organizações a coimas elevadas e compromete a confiança e a retenção de clientes.

Para garantir a proteção dos dados pessoais, as organizações devem analisar os seus sistemas internos e externos, identificando e protegendo todos os dados. Um plano eficaz deve incluir quatro etapas fundamentais: (1) identificar, mapear e classificar os dados pessoais, (2) desenvolver um plano para mitigar os riscos associados a esses dados, (3) implementar controlos de segurança robustos, e (4) aperfeiçoar os controlos através da monitorização, deteção, resposta e reporte de violações e ameaças.

Sem dúvida que a transparência é a base da confiança e um catalisador para a inovação ética. À medida que a IA avança e os regulamentos se tornam mais rigorosos, as organizações de destaque serão aquelas que comunicam de forma clara o tratamento de dados e investem em tecnologias de melhoria contínua da privacidade. Assim, as organizações não só protegem dados de forma responsável, como também criam novas oportunidades. A transparência não é apenas um requisito de conformidade, mas o pilar de práticas éticas, de inovação e de diferenciação.

(*) Senior Information Security Consultant da Devoteam Cyber Trust