A Comissão Europeia (CE) está focada na sua Estratégia Europeia em matéria de Dados e na promulgação acelerada de um conjunto de novas leis e regulamentos necessários para a implementação da mesma. Com o seu mandato a expirar na primavera de 2024, a CE tem apenas dois anos para garantir a transformação da sua política digital em Lei.

Numa altura em que a maioria das organizações tenta ainda adaptar-se às novidades trazidas pelo RGPD, advinha-se uma nova vaga de legislação europeia, que terá impactos significativos ainda no decurso deste ano.

O RGPD é apenas a ponta do iceberg no contexto mais lato do ambiente digital da UE:

A Lei dos Serviços Digitais (DAS), a Lei dos Mercados Digitais (DMA), o Regulamento de Governação de Dados (DGA), o Ato legislativo sobre os dados, o Regulamento e-Privacy, a Diretiva da Cibersegurança (NIS2) – e outra regulamentação da tecnologia aplicável a plataformas digitais, serviços digitais, marketing online, intermediários de dados e outros – combinadas com o Regulamento da Inteligência Artificial (AI Act), terão necessariamente impacto nos processos de tomada de decisão das organizações, atendendo às exigências que as mesmas representam.

Ora vejamos:

O Regulamento de Governação de Dados (Data Governance Act – DGA) é o primeiro diploma do pacote de medidas que compõem a Estratégia Europeia em matéria de Dados, e irá estabelecer um quadro para facilitar a partilha de dados no geral e em setores específicos (incluindo dados das entidades públicas, empresas e cidadãos). Entre outros aspetos, a DGA pretende permitir a partilha segura de dados sensíveis detidos pelas entidades públicas, bem como regulamentar a partilha de dados por entidades privadas.

O Ato legislativo sobre os dados (Data Act) irá regular os direitos fundamentais de acesso e utilização de dados (em particular a utilização de bases de dados), procurando atingir um equilíbrio harmonioso entre esses direitos e os incentivos às organizações para investirem nos dados.

A Lei dos Serviços Digitais (Digital Services Act – DSA), que será aplicável a todo o ecossistema digital, procura modernizar o disposto na Diretiva sobre o Comércio Eletrónico no que diz respeito a conteúdos ilegais, publicidade transparente e desinformação, introduzindo regras sobre transparência e responsabilidade que deverão ser respeitadas pelas organizações.

A Lei dos Mercados Digitais (Digital Markets Act - DMA) tem como objetivo fazer face à atual falta de concorrência nos mercados digitais, impondo obrigações ex-ante às empresas de tecnologia mais proeminentes no mercado e que desempenham o papel de “guardiãs dos dados” na economia da internet.

Além disso, espera-se que, assim que entrar em vigor, o Regulamento e-Privacy (relativo à privacidade e às comunicações eletrónicas)tenha um impacto adicional na forma como as organizações recorrem ao marketing eletrónico e à utilização de cookies e demais tecnologias de rastreio.

A versão revista da Diretiva relativa a medidas destinadas a assegurar um elevado nível comum de cibersegurança em toda a União (Cybersecurity Directive – NIS2) irá reforçar os requisitos de segurança, reforçar a segurança nas cadeias de fornecimento, simplificar as obrigações de comunicação entre as organizações e introduzir mecanismos de execução mais rigorosos, incluindo a previsão de sanções harmonizadas em toda a UE. O principal objetivo é dar resposta às crescentes ameaças colocadas pela digitalização e ao grande aumento dos ciberataques. A proposta de alargamento do âmbito da NIS2 irá, também, sujeitar mais entidades e sectores ao cumprimento dos requisitos de segurança.

Antecipamos ainda um maior recurso a legislação sectorial específica, como é o caso da proposta de Regulamento de Resiliência Operacional Digital do Setor Financeiro (DORA), que reforça os requisitos de comunicação de violações de dados ou os processos de gestão de risco e controlo de segurança no sector dos serviços financeiros (complementando a legislação existente, como a Diretiva NIS e o RGPD).

A proposta de Regulamento da Inteligência Artificial (AI Act), a primeira iniciativa de regulação abrangente no campo da inteligência artificial, visa promover o desenvolvimento e adoção de mecanismos seguros em toda a UE e o respeito dos direitos fundamentais dos cidadãos. À medida que as discussões sobre a proposta avançam, espera-se que 2022 seja o ano da regulamentação da inteligência artificial (IA). Neste sentido, as organizações de diferentes setores que desenvolvem, utilizam ou planeiam utilizar IA deverão preparar-se para garantir uma gestão de IA robusta e à prova dos desafios futuros.

Este complexo regime digital está interligado e evoluirá em paralelo com o RGPD, afetando a privacidade e a proteção de dados de uma forma sem precedentes.

 

Desafios:

  • Para garantir a proteção e segurança de dados pessoais (e não pessoais) no ambiente digital que evolui diariamente, as organizações terão que lidar com uma extensa e complexa teia de legislação que vai muito para além do cumprimento do RGPD.

Ações:

  • Garantia de um determinado nível de maturidade na implementação e cumprimento do RGPD, como ponto de partida para o cumprimento de outras obrigações legais e regulamentares.