No último dia 19 de novembro, a Comissão Europeia apresentou o “Digital Omnibus”, documento que sugere alterações ao Regulamento Geral de Proteção de Dados (GDPR). A motivação central da proposta reside na busca por simplificação das obrigações legais, redução de custos administrativos e fortalecimento da segurança jurídica, mantendo, por óbvio, o elevado padrão de proteção dos dados pessoais vigente na União Europeia. Entre os principais aspectos do projeto, sob a ótica da proteção de dados pessoais, destacam-se:
Definição de dado pessoal e pseudonimização
O Digital Omnibus propõe que uma informação só será considerada dado pessoal para uma entidade se esta tiver meios razoavelmente utilizáveis para identificar o titular. Ou seja, dados pseudonimizados somente serão considerados pessoais se a entidade de tratamento efetivamente reidentificar o titular. Isso reduz incertezas e facilita o uso de dados anonimizados e pseudonimizados especialmente para inovação e pesquisa.
Especificamente em relação à pseudonimização, a Comissão Europeia, com o apoio do Comitê Europeu de Proteção de Dados (EDPB), poderá adotar regulamentação especifica sobre critérios e técnicas para avaliar se dados pseudonimizados são considerados pessoais.
Pesquisa científica e inovação
O conceito de pesquisa científica é ampliado para incluir pesquisa acadêmica, industrial e outras formas que contribuam para o conhecimento e bem-estar social, inclusive com fins comerciais.
Nesse contexto, o tratamento posterior de dados para fins de pesquisa científica, histórica ou estatística será considerado automaticamente compatível com a finalidade original da coleta, dispensando nova análise de compatibilidade. Vale ressaltar ainda que, quando for impossível ou exigir esforço desproporcional informar individualmente os titulares sobre o uso de seus dados para pesquisa, será permitido informar de forma indireta, como pela publicação de um texto no site.
Inteligência artificial e dados sensíveis
O Digital Omnibus permite que o Legítimo Interesse seja adotado como base legal para o tratamento de dados pessoais para desenvolvimento e operação de sistemas de IA, desde que respeitados os direitos e liberdades dos titulares e adotadas salvaguardas técnicas e organizacionais. Permite, ainda, em caráter residual e excepcional, o tratamento de categorias especiais de dados (ex: biométricos e de saúde) para a operação e o desenvolvimento de IA, desde que haja medidas para evitar a coleta e, caso identificados, tais dados sejam removidos ou protegidos contra uso indevido.
Há, também, a autorização do uso de dados biométricos para confirmação de identidade, desde que sob controle exclusivo do titular.
Direitos dos titulares e obrigações dos controladores
Outra novidade é a possibilidade do controlador recusar ou cobrar taxa razoável por pedidos de acesso aos dados manifestamente infundados, excessivos ou abusivos.
O texto intensifica a aplicação do princípio da razoabilidade em relação a controladores de pequeno porte e com atividades não intensivas em dados. Esses poderão ser dispensados de fornecer informações detalhadas, salvo em casos de alto risco, transferência internacional ou decisões automatizadas.
Notificação de incidentes e avaliação de impacto
A proposta determina que a obrigação de notificar às autoridades só se aplica a incidentes que possam causar alto risco aos titulares, alinhando-se ao critério já existente para notificação aos próprios titulares. E, o prazo é ampliado para 96 horas. Sendo que a notificação de incidentes deverá ser feita por meio de um ponto único europeu, simplificando obrigações para empresas sujeitas a múltiplos regimes (GDPR, Dora, entre outros).
Em relação às avaliações de impacto, o EDPB deverá propor listas harmonizadas, a serem adotadas pela Comissão, de operações que exigem (ou não) avaliação de impacto, bem como modelos e metodologias comuns para todo o bloco europeu.
Cookies
O tratamento de dados pessoais em equipamentos terminais (cookies, dispositivos conectados) passa a ser regido pelo GDPR (em detrimento da ePrivacy Directive) tendo o consentimento como regra, mas com exceções para finalidades técnicas, estatísticas, segurança ou serviço solicitado pelo usuário. No entanto, quando necessário, o consentimento deverá ser centralizado, ou seja, o usuário definirá preferências de consentimento de forma centralizada em seu navegador, sem a necessidade da oferta de banners de cookies pelos controladores de dados.
Por fim, as alterações propostas pelo Digital Omnibus no GDPR representam um avanço na busca por equilíbrio entre proteção de dados, inovação e redução de burocracia. Mesmo que essas mudanças ainda dependam da aprovação final pelo Parlamento Europeu e pelo Conselho, sinalizam uma tendência de modernização regulatória, com a manutenção do alto padrão europeu de proteção de dados.
Seja o primeiro a comentar.
Você precisa estar logado para enviar um comentário.
Fazer login