Notícias Regulatórias da UE

Se gere marketing por email, emails transacionais ou newsletters dirigidas a destinatários italianos: Reveja todos os pixels, rastreadores de abertura e rastreadores de cliques na sua pilha de ESP ou CRM, mapeie cada um para uma base jurídica específica e alinhe os fluxos de consentimento e os avisos de privacidade com as Diretrizes. Reveja os controlos de minimização de dados (IDs pseudonímicos, retenção curta) e documente a exceção em que se baseia quando não é recolhido consentimento. Faça uma verificação de lacunas com a Verificação Rápida RGPD da Verdaio.

Se opera uma app móvel que lê o estado do dispositivo (apps instaladas, processos em execução, impressão digital do dispositivo): A decisão do Garante estabelece um precedente claro: autorizações obrigatórias e tudo-ou-nada para aceder a dados do dispositivo são desproporcionadas — mesmo para prevenção de fraude. Reveja a minimização de dados, os fluxos de informação ao utilizador, a cobertura de AIPD e os controlos de segurança/retenção das suas apps móveis. Faça um diagnóstico com o GDPR Quick Check da Verdaio.

Se trata dados pessoais para investigação: Comece por mapear as suas atividades face aos seis fatores indicativos e reveja como documenta o consentimento, as salvaguardas e os limites aos direitos dos titulares. Se transfere dados pessoais para fora da UE/EEE: A certificação é agora uma alternativa prática às Cláusulas Contratuais Padrão e às Regras Vinculativas — útil quando os fornecedores relutam em assinar SCCs ou a jurisdição de destino cria incerteza. Reveja a sua postura RGPD e verifique se transferências baseadas em certificação se adequam ao seu conjunto de fornecedores.

Se implementa sistemas biométricos (reconhecimento facial, impressão digital) para acesso, autenticação ou experiência do cliente: O tratamento biométrico em espaços públicos ou semi-públicos tem de cumprir requisitos estritos de necessidade, cifragem e retenção — mesmo com consentimento. Reveja a base jurídica do Artigo 9.º do RGPD, as salvaguardas técnicas e se oferece uma alternativa não-biométrica real. Sistemas biométricos podem também desencadear obrigações da Lei IA da UE. Verifique a sua postura com o GDPR Quick Check e a Avaliação da Lei IA da UE da Verdaio.

Se realiza AIPDs: Pela primeira vez a UE oferece um formato único e consistente de AIPD que será reconhecido em todos os Estados-Membros. Os responsáveis pelo tratamento multinacionais beneficiam mais — um template, uma estrutura, aceite por todas as CPDs. Ação: Reveja a sua metodologia atual de AIPD face ao template preliminar, submeta feedback antes de 9 de junho se relevante, e planeie migrar as AIPDs existentes assim que as CPDs nacionais o adotem formalmente. Faça um diagnóstico com o GDPR Quick Check da Verdaio.

Se opera em qualquer dos 18 setores NIS2: O prazo de conformidade está agora a menos de 6 meses. Comece com uma avaliação de lacunas para compreender a sua postura atual — particularmente no que diz respeito ao reporte de incidentes (requisito de notificação em 72 horas), gestão de riscos da cadeia de valor e responsabilização ao nível do conselho de administração. Não tem a certeza se o NIS2 se aplica à sua empresa? Execute a Avaliação de Prontidão NIS2 gratuita.

Se tiver menos de 1.000 trabalhadores: Provavelmente está fora do âmbito obrigatório com o novo limiar. No entanto, grandes clientes e instituições financeiras poderão ainda exigir divulgações alinhadas com o CSRD através dos seus próprios relatórios de cadeia de valor. Se tiver 1.000+ trabalhadores: O reporte obrigatório continua — as normas ESRS principais permanecem inalteradas.

Se implementar IA de alto risco: A extensão tem grande probabilidade de ser aprovada, mas ainda não é lei. A abordagem responsável é preparar-se para o prazo de agosto de 2026, esperando o alívio. Se adotada conforme esperado, terá até dezembro de 2027 para sistemas do Anexo III. Use o tempo para construir processos conformes em vez de esperar. Atualizaremos esta notícia quando o texto final for publicado.

Se reporta ao abrigo das ESRS: Embora o Omnibus reduza o âmbito obrigatório, o setor financeiro — os seus bancos, investidores e seguradoras — continua a esperar dados de sustentabilidade abrangentes. Empresas que cumpram apenas os requisitos mínimos simplificados poderão enfrentar dificuldades no acesso a financiamento verde ou em satisfazer pedidos de due diligence de clientes de maior dimensão.

Se já está a reportar: Reveja quais as atividades que ficam abaixo do limiar de 10% — poderá excluir uma parte significativa do âmbito da sua avaliação atual. Se ainda não começou: Esta simplificação torna o primeiro reporte da Taxonomia consideravelmente mais acessível. O limiar aplica-se a períodos de reporte a partir de 2025.

Ação imediata necessária: Se a sua organização usa ou implementa sistemas de IA, reveja-os agora face à lista de práticas proibidas do Artigo 5.º. As violações podem resultar em coimas até €35M ou 7% do volume de negócios anual global. A maioria das ferramentas de IA empresariais (produtividade, análise, serviço ao cliente) não são proibidas — mas a IA usada em recrutamento, pontuação de crédito ou que afeta indivíduos em contextos sensíveis requer revisão cuidadosa.

Se utiliza plataformas guardiãs: Estas decisões sinalizam que as lojas de aplicações, classificações de pesquisa e sistemas publicitários nas principais plataformas poderão mudar para cumprir os requisitos do DMA — potencialmente afetando as suas estratégias de distribuição e marketing. Se é uma plataforma guardiã: O DMA está agora ativamente aplicado.

Para qualquer empresa que transfira dados pessoais para fora da UE/EEE: Esta coima reforça que os mecanismos de transferência devem ser sólidos. As Cláusulas Contratuais Padrão (SCCs) não são suficientes se as leis do país de destino impedirem o importador de dados de cumpri-las na prática. Reveja as suas avaliações de impacto de transferência de dados (DTIAs), particularmente para transferências para os EUA, Índia e China.