Leis de Privacidade de Dados da UE: GDPR, Lei de IA e as Reformas Digitais de 2025-2026

O Regulamento (UE) 2016/679, o GDPR, estabelece um padrão único de proteção de dados em todos os 27 Estados-membros da UE e vincula qualquer organização no mundo que trate dados pessoais de indivíduos localizados na UE. As violações estão sujeitas a multas de até 20 milhões de euros ou 4% do faturamento anual global, nos termos do Artigo 83.
A União Europeia construiu o marco de proteção de dados mais abrangente do mundo. Em seu núcleo está o Regulamento Geral sobre a Proteção de Dados (GDPR), um conjunto único de regras aplicável em todos os países da UE. Ao seu redor, estão dispostas leis setoriais que abrangem comunicações eletrônicas, inteligência artificial, mercados de dados, plataformas on-line e guardiões algorítmicos (gatekeepers).
Esta página é o hub sobre o direito de privacidade de dados da UE. Ela explica como o marco regulatório se encaixa, aborda os principais instrumentos jurídicos e sua situação atual, e traz links para guias detalhados sobre cada Estado-membro da UE e cada subtema do GDPR.
Este artigo tem finalidade meramente informativa e não constitui consultoria jurídica. Consulte um advogado ou profissional de proteção de dados qualificado para orientação específica à sua situação.
Resposta Rápida
O GDPR é a legislação da UE que protege os dados pessoais. Aplica-se a qualquer organização, em qualquer lugar do mundo, que trate dados pessoais de indivíduos localizados na UE. As penalidades podem chegar a 20 milhões de euros ou 4% do faturamento anual global. Cada Estado-membro da UE o aplica por meio de sua própria autoridade de proteção de dados (APD), coordenada pelo Comitê Europeu para a Proteção de Dados (EDPB).
O GDPR não é a única lei de dados da UE. A Diretiva ePrivacy rege cookies e comunicações eletrônicas. A Lei de IA da UE rege os sistemas de inteligência artificial. O Data Act, o Regulamento de Governança de Dados, o Regulamento de Serviços Digitais e o Regulamento de Mercados Digitais formam, em conjunto, um marco regulatório digital mais amplo. O Regulamento Processual do GDPR de 2025 agiliza a fiscalização transfronteiriça, e a proposta de Digital Omnibus de 2025 está atualmente simplificando diversos desses instrumentos ao mesmo tempo.
O GDPR (RGPD): a Lei de Proteção de Dados Central da UE
O Regulamento Geral sobre a Proteção de Dados, o Regulamento (UE) 2016/679, foi adotado em 14 de abril de 2016 e entrou em vigor em 25 de maio de 2018. Ele substituiu a Diretiva de Proteção de Dados de 1995 (Diretiva 95/46/CE), que havia gerado um mosaico de leis nacionais inconsistentes.
Por se tratar de um regulamento, e não de uma diretiva, o GDPR é diretamente aplicável em todos os Estados-membros, sem exigir transposição nacional de suas disposições centrais. Nos pontos em que o GDPR reserva discricionariedade aos Estados-membros, como a idade de consentimento para dados de crianças, condições adicionais para dados de emprego, ou isenções específicas, as leis nacionais de implementação preenchem essas lacunas.

Âmbito de Aplicação Territorial (Artigo 3)
O GDPR se aplica em três situações. Primeiro, a qualquer organização com um estabelecimento na UE que trate dados pessoais no contexto desse estabelecimento, independentemente de onde o tratamento ocorra fisicamente. Segundo, a qualquer organização fora da UE que ofereça bens ou serviços a indivíduos na UE. Terceiro, a qualquer organização fora da UE que monitore o comportamento de indivíduos na UE.
Esse amplo alcance extraterritorial significa que uma empresa nos Estados Unidos, na Índia ou na Austrália deve cumprir o GDPR se tiver como alvo clientes da UE ou rastrear seu comportamento on-line. As Diretrizes 3/2018 do EDPB sobre o âmbito territorial interpretam o Artigo 3 em detalhe.
Os Sete Princípios (Artigo 5)
Toda atividade de tratamento deve cumprir sete princípios: licitude, lealdade e transparência; limitação de finalidade; minimização de dados; exatidão; limitação da conservação; integridade e confidencialidade; e responsabilização. O princípio da responsabilização exige que as organizações demonstrem a conformidade, não apenas a afirmem.
Seis Bases Legais para o Tratamento (Artigo 6)
O tratamento só é lícito se estiver apoiado em uma de seis bases legais: consentimento, execução de contrato, obrigação legal, interesses vitais, interesse público ou exercício de autoridade oficial, ou legítimo interesse. As organizações devem identificar e documentar sua base legal antes de iniciar o tratamento, e não podem alterá-la retroativamente.
O consentimento deve ser livre, específico, informado e inequívoco. Deve ser tão fácil de retirar quanto de conceder. Caixas pré-marcadas e consentimento agrupado não satisfazem o padrão de consentimento do GDPR.
Direitos dos Titulares de Dados (Artigos 15 a 22)
O GDPR concede aos indivíduos oito direitos exequíveis: acesso, retificação, eliminação (o "direito ao esquecimento"), restrição do tratamento, portabilidade de dados, oposição, e direitos relacionados a decisões automatizadas, incluindo perfilamento. As organizações devem responder em até um mês, prorrogável por mais dois meses em casos complexos.
Obrigações de Controladores e Operadores
Os controladores de dados determinam as finalidades e os meios do tratamento. Os operadores de dados atuam sob instruções dos controladores. Contratos escritos devem reger toda relação entre controlador e operador. Os controladores devem nomear um Encarregado de Proteção de Dados (DPO) nas circunstâncias previstas, realizar Avaliações de Impacto sobre a Proteção de Dados (DPIAs) antes de tratamentos de alto risco, e manter registros das atividades de tratamento.
Notificação de Incidentes de Segurança (Artigos 33 e 34)
Os controladores devem notificar sua autoridade de supervisão em até 72 horas após tomarem conhecimento de um incidente de segurança envolvendo dados pessoais. Se o incidente representar alto risco para os indivíduos, o controlador também deve notificar os indivíduos afetados sem demora indevida.
Penalidades (Artigo 83)
A estrutura sancionatória de dois níveis do GDPR prevê multas de até 10 milhões de euros ou 2% do faturamento anual global (nível inferior) e de até 20 milhões de euros ou 4% do faturamento anual global (nível superior), o que for maior em cada caso. Desde maio de 2018, as APDs da UE já aplicaram mais de 6,8 bilhões de euros em multas, em mais de 2.700 ações de fiscalização.
Para uma cobertura detalhada de cada tema, consulte as subpáginas do GDPR listadas abaixo.
O GDPR nos 27 Estados-Membros
O GDPR é a mesma lei em todos os países da UE, mas a legislação nacional de implementação, as APDs nacionais e as decisões judiciais nacionais moldam seu funcionamento na prática.

Leis nacionais de implementação tratam dos temas em que o GDPR reserva discricionariedade aos Estados-membros. A Lei Federal de Proteção de Dados da Alemanha (BDSG) estabelece regras rígidas sobre o monitoramento de empregados e conselhos de trabalhadores. A loi Informatique et Libertés da França está em vigor desde 1978 e foi atualizada para harmonizá-la com o GDPR. A Lei de Proteção de Dados de 2018 da Irlanda fixa a idade mínima de consentimento de crianças em 16 anos. Cada Estado-membro tem suas próprias regras suplementares.
As APDs nacionais investigam reclamações, realizam auditorias e aplicam multas. A Comissão de Proteção de Dados (DPC) da Irlanda é a APD responsável pela maioria das grandes empresas de tecnologia americanas, porque essas empresas têm sua sede europeia na Irlanda. A DPC irlandesa já aplicou aproximadamente 4 bilhões de euros em multas totais sob o GDPR por meio do mecanismo de balcão único, a maior participação nacional em valor.
O mecanismo de balcão único permite que organizações com estabelecimentos em múltiplos Estados-membros tratem com uma única APD líder para o tratamento transfronteiriço. APDs interessadas em outros Estados-membros podem levantar objeções, e as disputas são encaminhadas ao EDPB para uma decisão vinculante. O Regulamento Processual do GDPR (discutido abaixo) reforça esse mecanismo com prazos vinculantes a partir de abril de 2027.
A seção de guias por Estado-membro abaixo traz links para a lei de implementação e a página da APD de cada país da UE neste site.
A Diretiva ePrivacy e o Regulamento ePrivacy Retirado
A Diretiva ePrivacy (Diretiva 2002/58/CE) rege a privacidade nas comunicações eletrônicas. É a origem das regras de consentimento de cookies da UE. O Artigo 5(3) da Diretiva exige consentimento antes de armazenar ou acessar informações no dispositivo de um usuário, a regra por trás dos banners de cookies em praticamente todos os sites europeus.
A Diretiva ePrivacy é uma diretiva, não um regulamento, de modo que cada Estado-membro a transpôs para o direito nacional de maneira diferente. Alemanha, França, Espanha e outros chegaram a conclusões distintas sobre o que constitui consentimento válido de cookies segundo suas transposições nacionais.
A proposta de Regulamento ePrivacy foi apresentada em janeiro de 2017. Pretendia substituir a Diretiva ePrivacy por um regulamento diretamente aplicável e aproximar as regras de cookies e privacidade das comunicações do GDPR. A proposta ficou paralisada no Conselho por anos, sem conseguir chegar a um acordo sobre retenção de dados e tratamento com base em legítimo interesse.
Em 11 de fevereiro de 2025, a Comissão Europeia retirou formalmente a proposta de Regulamento ePrivacy em seu Programa de Trabalho de 2025. A Comissão citou a falta de acordo esperado por parte dos colegisladores e a obsolescência à luz de legislação posterior. A atual Diretiva ePrivacy e suas transposições nacionais, portanto, permanecem em vigor indefinidamente.
A proposta de Digital Omnibus de novembro de 2025 retoma parte dessa agenda inacabada, propondo mover as regras de consentimento de cookies da Diretiva ePrivacy para o GDPR e ampliar a lista de atividades de tratamento que podem prosseguir sem consentimento. Para uma cobertura detalhada das regras atuais, consulte nosso texto explicativo sobre a Diretiva ePrivacy.
Lei de IA da UE (Regulamento (UE) 2024/1689)
A Lei de IA da UE é o primeiro marco regulatório abrangente do mundo para a inteligência artificial. Foi publicada no Jornal Oficial da UE em 12 de julho de 2024 e entrou em vigor em 1º de agosto de 2024.
A Lei de IA adota uma abordagem baseada em risco, dividindo os sistemas de IA em quatro níveis: risco inaceitável (proibido integralmente), alto risco (obrigações rígidas de conformidade), risco limitado (requisitos de transparência) e risco mínimo (sem obrigações obrigatórias). Sistemas de IA que tratam dados pessoais frequentemente estão sujeitos tanto à Lei de IA quanto ao GDPR simultaneamente.

Cronograma de Implementação Faseada
A Lei de IA se aplica em fases:
- 2 de fevereiro de 2025: tornaram-se aplicáveis as práticas de IA proibidas e as obrigações de literacia em IA. Sistemas que usam manipulação subliminar, pontuação social por autoridades públicas e a maioria das identificações biométricas em tempo real em espaços públicos são proibidos a partir dessa data.
- 2 de agosto de 2025: tornaram-se aplicáveis as obrigações para fornecedores de modelos de IA de finalidade geral (GPAI). Os Estados-membros devem designar autoridades nacionais competentes e adotar leis nacionais de sanções. A governança em nível da UE (o Conselho de IA, o Painel Científico e o Fórum Consultivo) está operacional.
- 2 de dezembro de 2026: aplicam-se as obrigações de transparência e rotulagem de conteúdo gerado por IA (data prorrogada de 2 de agosto de 2026 pelo acordo político de maio de 2026 do Digital Omnibus). Também se aplica a partir dessa data uma nova proibição de sistemas de IA que geram imagens íntimas não consensuais.
- 2 de dezembro de 2027: prazo de conformidade para sistemas de IA autônomos de alto risco listados no Anexo III (prorrogado pelo acordo político do Digital Omnibus a partir de 2 de agosto de 2026).
- 2 de agosto de 2028: prazo de conformidade para IA de alto risco incorporada em produtos regulados listados no Anexo I.
Simplificação da Lei de IA pelo Digital Omnibus (Maio de 2026)
Em 7 de maio de 2026, o Parlamento Europeu e o Conselho chegaram a um acordo político provisório, no âmbito do Digital Omnibus, para alterar a Lei de IA. Além das mudanças de cronograma acima, o acordo estende as isenções regulatórias disponíveis para PMEs a pequenas empresas de média capitalização, restringe certas categorizações de alto risco, e reforça os poderes de supervisão do Gabinete para a IA. A adoção formal é esperada antes de 2 de agosto de 2026.
Regulamento Processual do GDPR (Regulamento (UE) 2025/2518)
Por anos, o mecanismo de balcão único do GDPR sofreu com inconsistências processuais: as APDs aplicavam padrões de admissibilidade diferentes, as investigações se estendiam por anos sem prazos vinculantes, e os reclamantes em Estados-membros menores tinham visibilidade limitada sobre seus casos transfronteiriços.
O Regulamento Processual do GDPR, Regulamento (UE) 2025/2518, foi adotado em 2025 para corrigir esses problemas. Entrou em vigor em 1º de janeiro de 2026 e será aplicável a partir de 2 de abril de 2027.
As principais disposições incluem:
- Padrões unificados de admissibilidade: os mesmos critérios se aplicam ao decidir se uma reclamação é admissível, independentemente do Estado-membro em que for apresentada.
- Prazo vinculante de 15 meses para investigação: a APD líder deve concluir sua investigação em até 15 meses, com possível prorrogação de 12 meses em casos particularmente complexos.
- Mecanismo de resolução antecipada: as APDs líderes podem resolver reclamações antes do início dos procedimentos formais de cooperação, reduzindo a carga administrativa e acelerando os resultados.
- Direitos processuais reforçados: tanto as partes investigadas quanto os reclamantes têm o direito de acessar e comentar as conclusões preliminares antes da emissão de uma decisão final.
A Proposta de Digital Omnibus de Novembro de 2025
Em 19 de novembro de 2025, a Comissão Europeia publicou o Digital Omnibus como parte de um Pacote Digital, ao lado da Estratégia de União de Dados e das Carteiras Empresariais Europeias. O Digital Omnibus é uma única proposta legislativa que busca simplificar e alterar diversas leis digitais existentes: o GDPR, a Lei de IA, a Diretiva ePrivacy, o Data Act, a Lei de Cibersegurança, entre outras.
As principais propostas relacionadas ao GDPR incluem:
- Simplificação do consentimento de cookies: as regras de consentimento de cookies passariam da Diretiva ePrivacy para o GDPR, com uma lista ampliada de atividades isentas de consentimento, e permitindo preferências de consentimento com um clique válidas por seis meses, ou consentimento salvo em nível de navegador/dispositivo.
- Listas harmonizadas de DPIA: o EDPB compilaria listas em nível da UE de atividades de tratamento que exigem, ou não, uma DPIA. Listas aprovadas pela Comissão substituiriam listas nacionais conflitantes.
- Ponto único de notificação de incidentes: um mecanismo unificado para notificar incidentes de cibersegurança e violações de dados pessoais sob o GDPR, a Diretiva NIS2 e outros instrumentos.
O Digital Omnibus encontra-se em negociações de trílogo entre a Comissão, o Parlamento e o Conselho em meados de 2026. Se adotado, as alterações ao GDPR atualizariam formalmente o Regulamento (UE) 2016/679.
O EDPB e o Mecanismo de Coerência
O Comitê Europeu para a Proteção de Dados (EDPB) é o órgão independente da UE responsável pela aplicação coerente do GDPR em todos os Estados-membros. É composto pelos dirigentes de cada APD nacional e pela Autoridade Europeia para a Proteção de Dados (EDPS).
Suas principais funções incluem a emissão de diretrizes, recomendações e boas práticas; a emissão de decisões vinculantes em disputas no âmbito do mecanismo de balcão único; e a condução de ações coordenadas de fiscalização no âmbito do Marco de Fiscalização Coordenada (CEF).
A EDPS supervisiona as próprias instituições da UE quanto ao tratamento de dados pessoais e assessora sobre legislação da UE com dimensão de proteção de dados.
Mecanismo de coerência: quando uma APD nacional adota uma medida que pode afetar titulares de dados em outros Estados-membros, deve submeter uma minuta de decisão ao EDPB. Se uma APD interessada levantar uma objeção pertinente e fundamentada que a APD líder recuse acatar, o EDPB emite uma decisão vinculante. Esse mecanismo produziu a multa de 1,2 bilhão de euros contra a Meta em 2023, a maior multa do GDPR até hoje, quando o EDPB anulou a proposta de multa mais branda da DPC irlandesa.
Fiscalização coordenada de 2026: a ação do CEF de 2026 do EDPB concentra-se nas obrigações de transparência e informação do GDPR. Todas as APDs nacionais estão conduzindo investigações paralelas sobre o mesmo tema. Em 2025, o CEF concentrou-se no direito ao esquecimento.
O Marco Regulatório Digital Mais Amplo da UE
O GDPR é a base, mas o direito de dados da UE vai muito além dele. Diversos instrumentos complementares abordam setores específicos ou tipos de atividade de dados.
Regulamento de Governança de Dados (DGA): Regulamento (UE) 2022/868, aplicável desde setembro de 2023. O DGA estabelece marcos de confiança para o compartilhamento voluntário de dados entre empresas e entre os setores público e privado. Cria intermediários de dados reconhecidos e autoriza organizações de altruísmo de dados. Quando envolve dados pessoais, o GDPR aplica-se em conjunto.
Data Act: Regulamento (UE) 2023/2854, aplicável desde 12 de setembro de 2025. O Data Act confere aos usuários de produtos conectados (dispositivos inteligentes, maquinário industrial, veículos) o direito de acessar e compartilhar os dados gerados pelo uso desses produtos. Rege o compartilhamento de dados entre empresas e entre empresas e governos. Quando envolve dados pessoais, o GDPR aplica-se concorrentemente.
Regulamento de Serviços Digitais (DSA): Regulamento (UE) 2022/2065. O DSA rege intermediários e plataformas on-line, com obrigações de moderação de conteúdo, transparência e acesso a dados por pesquisadores. Plataformas On-line de Grande Porte (VLOPs) e Motores de Busca On-line de Grande Porte (VLOSEs) enfrentam obrigações adicionais. Em 2 de julho de 2025, a Comissão publicou um ato delegado permitindo que pesquisadores qualificados acessem dados internos das VLOPs para estudar riscos sistêmicos.
Regulamento de Mercados Digitais (DMA): Regulamento (UE) 2022/1925. O DMA visa plataformas "guardiãs" (gatekeepers) (Google, Meta, Apple, Amazon, Microsoft, ByteDance), com obrigações de interoperabilidade, portabilidade de dados e consentimento. Em abril de 2025, a Comissão emitiu suas primeiras decisões de não conformidade: a Apple recebeu uma multa de 500 milhões de euros por restrições de direcionamento na App Store, e a Meta recebeu uma multa de 200 milhões de euros por não oferecer aos usuários um serviço com uso menos intensivo de dados.
Diretiva NIS2: Diretiva (UE) 2022/2555. A NIS2 impõe obrigações de cibersegurança e notificação de incidentes a operadores de serviços essenciais e prestadores digitais. Violações de dados que também sejam incidentes de cibersegurança podem acionar obrigações de notificação sob o GDPR e a NIS2 simultaneamente, uma complexidade que a proposta de ponto único de notificação do Digital Omnibus busca resolver.
Decisões de Adequação e Transferências Internacionais
As transferências de dados pessoais da UE para países terceiros são regidas pelo Capítulo V do GDPR. Uma decisão de adequação da Comissão Europeia permite fluxos de dados livres para um destino sem salvaguardas adicionais.
Em maio de 2026, as decisões de adequação abrangiam: Andorra, Argentina, Brasil (2026), Canadá (organizações comerciais), Ilhas Faroé, Guernsey, Israel, Ilha de Man, Japão, Jersey, Nova Zelândia, República da Coreia, Suíça, Reino Unido, Estados Unidos (apenas organizações certificadas pelo Data Privacy Framework entre UE e EUA), Uruguai e Organização Europeia de Patentes (2025).
Data Privacy Framework (DPF) entre a UE e os EUA: a Comissão adotou a decisão de adequação do DPF em 10 de julho de 2023, substituindo o Privacy Shield invalidado. O marco se apoia em compromissos executivos dos EUA que limitam o acesso das agências de inteligência, e no Tribunal de Revisão de Proteção de Dados (DPRC) como mecanismo de reparação. Mais de 2.800 organizações mantinham certificações ativas do DPF no início de 2026. O Tribunal Geral da UE rejeitou um desafio judicial em 3 de setembro de 2025 (processo T-553/23), mas um novo recurso perante o TJUE (processo C-703/25 P, apresentado em 31 de outubro de 2025) permanece pendente.
Quando não existe decisão de adequação, as transferências podem utilizar Cláusulas Contratuais-Padrão (CCP, atualizadas em junho de 2021), Normas Corporativas Vinculantes (BCR), ou derrogações específicas. As organizações que utilizam CCP também devem realizar uma avaliação de impacto de transferência (TIA).
Subpáginas do GDPR neste Site
Estas páginas abordam cada grande tema do GDPR em profundidade:
- O Que É o GDPR? Guia Completo sobre a Proteção de Dados na UE
- Requisitos de Consentimento do GDPR: O Que Conta como Consentimento Válido
- Direitos dos Titulares de Dados no GDPR: Acesso, Eliminação e Portabilidade
- Notificação de Violação de Dados no GDPR: A Regra das 72 Horas Explicada
- Multas e Penalidades do GDPR: Lista Completa e Guia
- Checklist de Conformidade com o GDPR para Empresas
- GDPR para Pequenas Empresas: Guia Simplificado de Conformidade
- Lei de Cookies da UE (Diretiva ePrivacy) Explicada
Guias por Estado-Membro da UE
Cada Estado-membro da UE tem sua própria lei nacional de implementação e uma APD independente. Estas páginas explicam como o GDPR se aplica em cada país, o que a lei nacional acrescenta, e como a APD local o fiscaliza:
- Leis de Privacidade de Dados da Áustria (DSG)
- Leis de Privacidade de Dados da Bélgica
- Leis de Privacidade de Dados da Bulgária
- Leis de Privacidade de Dados da Croácia
- Leis de Privacidade de Dados de Chipre
- Leis de Privacidade de Dados da República Tcheca
- Leis de Privacidade de Dados da Dinamarca
- Leis de Privacidade de Dados da Estônia
- Leis de Privacidade de Dados da Finlândia
- Leis de Privacidade de Dados da França (CNIL)
- Leis de Privacidade de Dados da Alemanha (BDSG)
- Leis de Privacidade de Dados da Grécia (HDPA)
- Leis de Privacidade de Dados da Hungria (NAIH)
- Leis de Privacidade de Dados da Irlanda (DPC)
- Leis de Privacidade de Dados da Itália (Garante)
- Leis de Privacidade de Dados da Letônia
- Leis de Privacidade de Dados da Lituânia (VDAI)
- Leis de Privacidade de Dados de Luxemburgo (CNPD)
- Leis de Privacidade de Dados de Malta
- Leis de Privacidade de Dados dos Países Baixos (AP)
- Leis de Privacidade de Dados da Polônia (UODO)
- Leis de Privacidade de Dados de Portugal (CNPD)
- Leis de Privacidade de Dados da Romênia (ANSPDCP)
- Leis de Privacidade de Dados da Eslováquia
- Leis de Privacidade de Dados da Eslovênia
- Leis de Privacidade de Dados da Espanha (AEPD / LOPDGDD)
- Leis de Privacidade de Dados da Suécia (IMY)
Membros do EEE fora da UE que aplicam o GDPR por meio do Acordo do EEE:
Guias Detalhados
Frequently Asked Questions
O GDPR se aplica a empresas fora da União Europeia?
Sim. O GDPR se aplica a qualquer organização no mundo que ofereça bens ou serviços a indivíduos na UE, ou que monitore o comportamento de pessoas localizadas na UE. Uma empresa não precisa ter presença física na Europa para estar sujeita ao GDPR. O Artigo 3 estabelece esse amplo âmbito territorial, e as Diretrizes 3/2018 do EDPB sobre o Âmbito Territorial esclarecem como ele se aplica a organizações fora da UE.
Qual é a multa máxima prevista no GDPR?
A multa máxima é de 20 milhões de euros ou 4% do faturamento anual mundial total da organização no exercício financeiro anterior, o que for maior. Essa penalidade de nível superior aplica-se a violações dos princípios centrais de tratamento, dos direitos dos titulares de dados e das regras de transferência internacional. A maior multa individual até hoje é de 1,2 bilhão de euros, aplicada à Meta em 2023 pela Comissão de Proteção de Dados da Irlanda, por transferências ilícitas de dados de usuários da UE para os Estados Unidos.
O Regulamento ePrivacy ainda está por vir?
Não. A Comissão Europeia retirou formalmente a proposta de Regulamento ePrivacy em fevereiro de 2025, como parte de seu Programa de Trabalho de 2025. A proposta estava paralisada desde 2017. A atual Diretiva ePrivacy (2002/58/CE) e suas transposições nacionais permanecem em vigor. Algumas questões de ePrivacy estão sendo tratadas por meio da proposta de Digital Omnibus de novembro de 2025, que propõe mover as regras de consentimento de cookies para o marco do GDPR.
O que é o Regulamento Processual do GDPR?
O Regulamento (UE) 2025/2518 é um novo regulamento da UE que agiliza a fiscalização transfronteiriça do GDPR no âmbito do mecanismo de balcão único. Entrou em vigor em 1º de janeiro de 2026 e será aplicável a partir de 2 de abril de 2027. Introduz prazos vinculantes de 15 meses para investigação, padrões unificados de admissibilidade de reclamações em todos os Estados-membros, um mecanismo de resolução antecipada, e direitos processuais reforçados para as partes e os reclamantes.
O que é o Digital Omnibus da UE e como ele afeta o GDPR?
O Digital Omnibus é uma proposta da Comissão Europeia publicada em 19 de novembro de 2025, como parte de um Pacote Digital. Para o GDPR, as principais propostas incluem mover as regras de consentimento de cookies da Diretiva ePrivacy para o GDPR, harmonizar as listas de exigência de DPIA em nível da UE, e criar um ponto único de notificação para violações de dados e incidentes de cibersegurança. O Omnibus também propõe prorrogações de prazo da Lei de IA e simplificações para PMEs e pequenas empresas de média capitalização. Encontra-se em negociações de trílogo em meados de 2026.
Quais países podem receber dados pessoais da UE sem salvaguardas adicionais?
Em maio de 2026, a Comissão Europeia havia concedido decisões de adequação aos seguintes destinos: Andorra, Argentina, Brasil, Canadá (organizações comerciais), Ilhas Faroé, Guernsey, Israel, Ilha de Man, Japão, Jersey, Nova Zelândia, República da Coreia, Suíça, Reino Unido, Estados Unidos (apenas organizações certificadas pelo Data Privacy Framework entre UE e EUA), Uruguai e Organização Europeia de Patentes. Os dados pessoais podem fluir para esses destinos sem Cláusulas Contratuais-Padrão ou outros mecanismos adicionais.
Como a Lei de IA da UE interage com o GDPR?
A Lei de IA da UE e o GDPR aplicam-se simultaneamente a sistemas de IA que tratam dados pessoais. A Lei de IA impõe obrigações de classificação de risco, transparência, registro de eventos e avaliação de conformidade a fornecedores e implementadores de IA. Quando um sistema de IA trata dados pessoais, também se aplicam os requisitos do GDPR, incluindo base legal, minimização de dados, limitação de finalidade e DPIAs para tratamentos de alto risco. O EDPB e a Comissão estão desenvolvendo diretrizes conjuntas sobre a interação entre os dois instrumentos, com adoção prevista para 2026.
Sources and References
- Texto Integral do GDPR: Regulamento (UE) 2016/679(eur-lex.europa.eu).gov
- Comissão Europeia: Proteção de Dados na UE(commission.europa.eu).gov
- Diretrizes 3/2018 do EDPB sobre o Âmbito Territorial (Artigo 3)(edpb.europa.eu).gov
- Diretrizes 1/2024 do EDPB sobre Legítimo Interesse(edpb.europa.eu).gov
- Comissão Europeia: Decisões de Adequação para Transferências Internacionais de Dados(commission.europa.eu).gov
- Decisão de Adequação do Data Privacy Framework entre UE e EUA (Julho de 2023)(ec.europa.eu).gov
- Comitê Europeu para a Proteção de Dados (EDPB)(edpb.europa.eu).gov
- EDPB: Multa de 1,2 Bilhão de Euros ao Facebook (Decisão Vinculante)(edpb.europa.eu).gov
- CEF 2026 do EDPB: Fiscalização Coordenada sobre Transparência(edpb.europa.eu).gov
- GDPR Enforcement Tracker: Base de Dados de Multas e Penalidades(enforcementtracker.com)
- Diretiva ePrivacy 2002/58/CE: Texto Integral(eur-lex.europa.eu).gov
- Lei de IA da UE: Texto Integral do Regulamento (UE) 2024/1689(eur-lex.europa.eu).gov
- Lei de IA da UE: Estratégia Digital da Comissão Europeia(digital-strategy.ec.europa.eu).gov
- Conselho da UE: Acordo Político de Simplificação da Lei de IA (Maio de 2026)(consilium.europa.eu).gov
- Pacote Digital da UE: Visão Geral da Comissão(digital-strategy.ec.europa.eu).gov
- Data Act da UE: Regulamento (UE) 2023/2854(digital-strategy.ec.europa.eu).gov
- Regulamento de Governança de Dados: Regulamento (UE) 2022/868(digital-strategy.ec.europa.eu).gov
- Regulamento de Serviços Digitais: Comissão Europeia(commission.europa.eu).gov
- Regulamento de Mercados Digitais: Comissão Europeia(commission.europa.eu).gov