Notícias Regulatórias da UE

Se atua como responsável pelo tratamento em um ou mais Estados-Membros da UE ou do EEE: O modelo comum de notificação de violações do CEPD substituirá, após a sua finalização e adoção pelas autoridades de controlo nacionais, o formulário de notificação atual de cada APD por um formato único harmonizado. Reveja agora o seu manual de resposta a incidentes: os seus procedimentos internos de notificação, os seus runbooks de SIEM e os seus acordos de resposta a incidentes subcontratados devem ser estruturados em torno dos elementos de informação obrigatórios do Artigo 33.º, n.º 3, para que se adaptem facilmente aos novos campos quando o modelo entrar em vigor. Se opera de forma transfronteiriça e mantém atualmente procedimentos de notificação distintos para os formulários das diferentes APD nacionais: o modelo comum simplificará materialmente a resposta transfronteiriça a violações logo que entre em vigor. Participe na consulta pública (aberta até 5 de agosto de 2026) se a sua organização tem experiência prática com os formulários de notificação de violações atuais. Mapeie os seus controlos RGPD e a prontidão de resposta a violações com a Verificação Rápida RGPD da Verdaio.

Se opera serviços de alojamento, viagens ou aluguer de veículos que recolhem dados de hóspedes ou viajantes em nome da polícia ou de mandatos regulatórios em qualquer Estado-Membro da UE: Este processo de infração sinaliza que a Comissão considera as obrigações genéricas de dados de viajantes desproporcionadas ao abrigo da DAL, independentemente das justificações de segurança nacional. Audite as categorias e os prazos de conservação dos dados de viajantes que é obrigado por lei nacional a recolher e transmitir, e documente a base jurídica DAL e a análise de necessidade no seu ROPA. Se opera em Espanha ao abrigo do Real Decreto 933/2021: Acompanhe os desenvolvimentos de perto; se a Comissão escalar para um parecer fundamentado ou remessa ao Tribunal, a Espanha poderá ser obrigada a alterar ou revogar o decreto, o que alteraria as suas obrigações de conformidade. Reveja o seu mapeamento de dados e os procedimentos de direitos dos titulares com o GDPR Quick Check da Verdaio.

Se vende serviços cloud, SaaS ou ferramentas de IA a organismos públicos da UE (administração central, saúde, banca, energia ou justiça): A CADA introduz avaliações formais de risco de soberania na contratação pública. Prepare-se para responder a questões sobre a jurisdição da empresa-mãe, direitos de acesso de países terceiros a dados, transparência da cadeia de fornecimento de software e disposições de depósito de dados. Os fornecedores não controlados pela UE enfrentam barreiras estruturais aos níveis de contratação 3 e 4. Se constrói ou implementa sistemas de IA alojados em infraestrutura cloud: O quadro de soberania CADA pode condicionar as opções de fornecedor de cloud para cargas de trabalho reguladas do setor público quando a lei entrar em vigor. Mapeie a sua infraestrutura face aos quatro níveis CADA e avalie se os acordos atuais com fornecedores cloud exigirão renegociação. Ambas as propostas estão em fase inicial e têm de percorrer o processo legislativo completo da UE. Mapeie as suas obrigações ao abrigo da Lei IA com a Avaliação Lei IA da UE da Verdaio e a sua exposição ao CRA com o CRA Product Compliance Checker.

Se fornece, implementa ou integra modelos de IA de propósito geral (incluindo modelos de linguagem de grande dimensão, modelos de fundação multimodais ou modelos de IA disponibilizados via API) nos seus produtos ou serviços: O Painel Científico confere agora ao Escritório de IA da UE uma especialização independente dedicada para identificar riscos sistémicos nos modelos GPAI, aconselhar sobre classificação e coordenar a fiscalização transfronteiriça a partir de 2 de agosto de 2026. Reveja as suas obrigações como fornecedor de modelos GPAI ao abrigo dos Artigos 53.º a 55.º da Lei IA da UE: documentação técnica, medidas de transparência incluindo resumos de direitos de autor, cooperação com o Escritório de IA e avaliações de riscos sistémicos para modelos com capacidades de elevado impacto. Se o seu modelo GPAI estava no mercado antes de 2 de agosto de 2025, tem até 2 de agosto de 2027 para alcançar a conformidade total. Se constrói ou implementa sistemas de IA que utilizam modelos GPAI como componentes: as suas obrigações como implementador dependem de o uso a jusante criar ou não um sistema de IA de risco elevado. Classifique o seu sistema de IA e mapeie as suas obrigações com a Avaliação Lei IA da UE da Verdaio.

Se constrói, implementa ou contrata ferramentas de IA que classificam o sentimento, o humor, o stress ou o bem-estar dos trabalhadores a partir de dados de comunicação: Reveja a base legal de qualquer produto deste tipo face ao Artigo 9.º do RGPD (categorias especiais de dados) e à proibição do Artigo 5.º, n.º 1, alínea f) da Lei IA da UE sobre IA de inferência de emoções no local de trabalho. Rótulos de agregação, anonimização ou de "bem-estar" não vão salvar um produto que infere estados psicológicos a partir de dados de conversação ou de voz. Se a sua empresa utiliza suites de colaboração como o Slack ou o Microsoft Teams em toda a equipa: Audite quaisquer plug-ins ou integrações de terceiros que realizem análise de sentimento, emoções ou stress, documente a base legal e a AIPD, e reforce as cláusulas de contratação antes da compra. Mapeie a sua exposição à Lei IA com a Avaliação Lei IA da UE da Verdaio e os seus controlos de RGPD com o GDPR Quick Check.

Se opera um armazém de dados, uma plataforma de investigação ou outro tratamento em larga escala que tenha caracterizado como anónimo: A decisão da CNIL confirma que o limiar de anonimização ao abrigo do RGPD é elevado e que o teste consiste em saber se a reidentificação continua razoavelmente possível. Reavalie a sua metodologia de anonimização à luz dos critérios de singularização, ligabilidade e inferência do parecer do Grupo de Trabalho do Artigo 29.º (WP216), e evite confiar apenas em rótulos. Se recolhe dados pessoais através de farmácias, médicos, intermediários ou outros parceiros: Os deveres de transparência do Artigo 14.º do RGPD continuam a recair sobre o responsável pelo tratamento. Não pode confiar num terceiro para entregar um aviso; tem de verificar se a informação chega efetivamente aos titulares dos dados e se existe um direito de oposição eficaz. Reforce os seus avisos de informação, registos e controlos de acesso com o GDPR Quick Check da Verdaio.

Se a sua organização está registada como entidade essencial ou importante ao abrigo do NIS2: O NIS360 de 2026 é a referência pública mais autoritativa sobre o posicionamento de cada setor de criticidade elevada em matéria de maturidade cibernética, e um sinal de onde a atenção de supervisão é mais provável de incidir primeiro. Compare a sua governação, gestão de riscos, resposta a incidentes e controlos da cadeia de fornecimento face aos quatro pilares da ENISA (legislação, preparação das empresas, capacidade das autoridades e ecossistema) e priorize as lacunas que puxam o perfil do seu setor para baixo. Se opera num setor sinalizado como estando dentro da zona de risco: espere maior escrutínio da sua autoridade nacional competente durante o próximo ciclo de supervisão e preveja orçamento para remediação acelerada. Mapeie as suas obrigações NIS2 e identifique lacunas com a Avaliação de Prontidão NIS2 da Verdaio.

Se é uma entidade essencial ou importante ao abrigo do NIS2 com operações em mais do que um Estado-Membro: Os modelos comuns irão reduzir materialmente o custo de cumprir o relógio de reporte do Artigo 23.º, ao substituírem formulários nacionais paralelos por um formato único à escala da UE. Acompanhe o ato de execução previsto pela Comissão e, em seguida, atualize os seus manuais de resposta a incidentes, os seus runbooks de SIEM e os seus contratos de subcontratação para que os relatórios de 24 horas, 72 horas e um mês se mapeiem de forma limpa nos novos campos. Se é prestador de serviços geridos ou fornecedor de entidades NIS2: Espere que os clientes empurrem os requisitos dos modelos harmonizados através de cláusulas contratuais sobre notificação de incidentes e cooperação. Mapeie as suas obrigações NIS2 e reforce o seu processo de resposta a incidentes com a Avaliação de Prontidão NIS2 da Verdaio.

Se opera qualquer serviço de consumo que trate dados pessoais e receba pedidos de acesso ao abrigo do Artigo 15.º do RGPD: A decisão do Tribunal Superior reforça que as autoridades podem investigar falhas sistémicas no direito de acesso e propor coimas elevadas, mesmo quando uma investigação começa numa reclamação individual. Audite o seu fluxo de tratamento de pedidos de acesso de ponta a ponta, garanta que todas as categorias de dados pessoais (incluindo dados conservados em armazéns analíticos internos, registos e ferramentas de back-end) são devolvidas de forma completa e inteligível dentro do prazo de um mês do Artigo 12.º, e documente qualquer restrição em que se baseie ao abrigo do Artigo 15.º, n.º 4. Se está a considerar contestar uma decisão preliminar da DPC ou de outra autoridade de controlo do EEE: Argumentos processuais sobre o âmbito de uma investigação dificilmente afastarão conclusões de mérito quando a autoridade identificou problemas sistémicos que afetam muitos utilizadores. Mapeie o seu processo de direitos dos titulares com a Verificação Rápida RGPD da Verdaio.

Se trata dados pessoais de utilizadores em França ou vende para o mercado francês: Os números da CNIL de 2025 mostram que a intensidade da fiscalização está a aumentar em cookies, monitorização de trabalhadores e segurança de dados, as três áreas que a autoridade identifica como responsáveis pela maioria das coimas do ano passado. Reveja os seus banners de cookies, monitorize os seus tempos de resposta a violações de dados face ao prazo de 72 horas do Artigo 33.º, e audite os seus controlos de segurança face aos princípios de limitação da conservação e de segurança dos Artigos 5.º e 32.º do RGPD. Se constrói, implementa ou distribui sistemas de IA utilizados em França: A CNIL está a posicionar-se como uma das reguladoras da Lei IA da UE mais ativas e está em vias de supervisionar várias categorias de risco elevado do Anexo III (biometria, migração, aplicação da lei, emprego, educação) assim que for formalmente designada. Mapeie os seus sistemas de IA face às práticas proibidas do Artigo 5.º e às categorias de risco elevado do Anexo III. Faça uma revisão de privacidade com a Verificação Rápida RGPD da Verdaio e uma classificação Lei IA com a Avaliação Lei IA UE da Verdaio.

Se armazena credenciais de utilizadores ou opera qualquer serviço que detém palavras-passe de contas: O armazenamento de palavras-passe em texto simples e a cifragem fraca continuam a ser das falhas de segurança mais evidentes que um regulador pode encontrar. Cifre as palavras-passe com um algoritmo moderno e com sal, nunca as guarde de forma legível, e elimine as credenciais de sistemas e contas que já não utiliza, em conformidade com o princípio da limitação da conservação. Se trata violações de dados pessoais: Notificar a autoridade de controlo no prazo de 72 horas ao abrigo do Artigo 33.º é apenas metade da obrigação. Quando uma violação representa um risco elevado para as pessoas, o Artigo 34.º exige que informe essas pessoas sem demora injustificada, e os receios comerciais ou reputacionais não suspendem esse prazo. Mapeie o seu plano de resposta a violações e os seus controlos de segurança com a Verificação Rápida RGPD da Verdaio.

Se constrói, implementa ou distribui sistemas de IA e tem dúvidas se estes são considerados de risco elevado: Este projeto de orientações é a indicação oficial mais detalhada até à data sobre onde se traça a linha do risco elevado. Mapeie os seus sistemas de IA face à via de segurança dos produtos do Anexo I e às oito áreas do Anexo III, e use os exemplos práticos para testar casos-limite como ferramentas de RH, avaliação de crédito e biometria. Se um caso de utilização específico não for claro, submeta o seu contributo à consulta antes de 23 de junho de 2026. A classificação é o primeiro passo de qualquer programa de conformidade com a Lei IA: um sistema classificado como de risco elevado desencadeia obrigações de gestão de risco, governação de dados, registo, transparência e supervisão humana. Faça uma verificação de classificação com a Avaliação Lei IA UE da Verdaio.

Se constrói, implementa ou distribui sistemas de IA de risco elevado ou IA de propósito geral: Os novos prazos (2 de dezembro de 2027 para o Anexo III, 2 de agosto de 2028 para o Anexo I) estão agora fixados pelo Coreper, mas ainda não são lei até o Parlamento aprovar em primeira leitura. Até essa adoção, mantém-se o prazo original de 2 de agosto de 2026. Se constrói produtos de IA generativa para consumidores: O período de transição reduzido para três meses significa que as soluções de marcação de água e de proveniência de conteúdo têm de estar implementadas até 2 de dezembro de 2026, três meses antes do prazo de seis meses originalmente proposto. Audite as suas ferramentas face às novas proibições de "nudification" e CSAM antes da adoção. Faça uma verificação de classificação com a Avaliação Lei IA da UE da Verdaio.

Se fornece sistemas de IA a escolas, universidades ou centros de formação profissional, ou se implementa IA num contexto educativo ou formativo: Os ministros da educação estão agora formalmente alinhados num modelo de implementação humano-centrado. Espere que os Estados-Membros pressionem requisitos de aquisição que incluam formação dos professores em literacia em IA, critérios de avaliação transparentes e salvaguardas contra enviesamento e desinformação. As conclusões reforçam também que a obrigação de literacia em IA do Artigo 4.º se aplica a todos os implementadores de IA, não apenas aos de setores de risco elevado. Se vende ferramentas de IA para RH, recrutamento, avaliação ou pontuação num contexto educativo ou formativo: A classificação como risco elevado no Anexo III está agora combinada com estas conclusões políticas, elevando o nível exigido em transparência, supervisão humana e avaliação. Faça uma verificação de classificação com a Avaliação Lei IA da UE da Verdaio e reveja o seu programa de formação com o guia Literacia em IA da Verdaio.

Se constrói ou implementa IA generativa, chatbots, ferramentas de deepfake, reconhecimento de emoções ou sistemas de categorização biométrica: O prazo de transparência de 2 de agosto de 2026 mantém-se. Planeie já a divulgação obrigatória em chatbots, a marcação legível por máquina das saídas sintéticas e a rotulagem clara de deepfakes, e envie comentários antes de 3 de junho de 2026 se o seu caso de uso necessitar de clarificação. Faça uma classificação com a Avaliação Lei IA da UE da Verdaio.

Se opera um centro de contactos ou qualquer canal de atendimento por voz que trate dados pessoais ou financeiros: A engenharia social por canal de voz continua a ser uma das principais preocupações dos reguladores. Mapeie os seus procedimentos de autenticação de chamadas em função dos Artigos 5.º, n.º 1, alínea f), e 32.º, n.º 1; forme o pessoal sobre as fragilidades da autenticação baseada em conhecimento e os indicadores de personificação; e garanta que o seu processo de resposta a incidentes deteta e notifica a autoridade de controlo dentro da janela de 72 horas do Artigo 33.º. Faça um diagnóstico estruturado com o GDPR Quick Check da Verdaio.

Se constrói, implementa ou distribui sistemas de IA de risco elevado (RH, educação, crédito, biometria, IA em produtos regulados) ou IA de propósito geral: Planeie para o prazo de 2 de dezembro de 2027 (Anexo III) ou de 2 de agosto de 2028 (Anexo I), mas não interrompa o trabalho de conformidade. A adoção formal ainda está pendente e o prazo original de 2 de agosto de 2026 aplica-se até ambos os colegisladores assinarem. O tempo adicional é mais útil para amadurecer a gestão de risco, a governação de dados e os controlos de supervisão humana, e não para os atrasar. Se constrói produtos de IA generativa para consumidores: Audite as suas ferramentas face às novas proibições de "nudification" e CSAM antes da adoção do acordo. Faça uma verificação de classificação com a Avaliação Lei IA UE da Verdaio.

Se é uma empresa no âmbito da CSRD (mais de 1.000 trabalhadores, mais de €450M de volume de negócios): Reveja já o projeto revisto das ESRS, sobretudo as alterações à avaliação de materialidade e o conjunto reduzido de pontos de dados, e decida se aplica as normas revistas antecipadamente ao exercício de 2026 ou se aguarda pelo exercício de 2027. Envie comentários antes de 3 de junho de 2026 se tiver preocupações específicas. Se é uma empresa mais pequena numa cadeia de valor abrangida pela CSRD: A norma voluntária e o limite de cadeia de valor restringem o que os seus grandes clientes podem exigir-lhe em dados de sustentabilidade. Faça um diagnóstico com a Análise de Lacunas ESRS da Verdaio.

Se opera ou distribui serviços numa plataforma guardiã designada (App Store, Google Play, Amazon Marketplace, Facebook, Instagram, TikTok, Search, Booking.com): Espere que a Comissão acelere os processos de incumprimento em curso e se foque nos efeitos práticos (escolha real, interoperabilidade real) em vez do cumprimento formal. Planeie coimas mais elevadas para incumprimento repetido ou continuado, e maior escrutínio das ferramentas de pesquisa e assistentes alimentados por IA integrados em serviços de gatekeepers. Acompanhe as evoluções do DMA e alinhe os seus fluxos de distribuição, publicidade e consentimento em conformidade.

Se opera transferências internacionais de dados (sobretudo para jurisdições sem decisão de adequação) ou se baseia em Cláusulas Contratuais-Tipo com medidas suplementares: a decisão da DPC mantém-se como referência da UE sobre o que o artigo 46.º, n.º 1, do RGPD exige em matéria de "proteção essencialmente equivalente". A suspensão apenas congela a execução enquanto os tribunais irlandeses analisam a decisão de fundo; não enfraquece a obrigação substantiva de conformidade. Audite as suas avaliações de impacto de transferência, medidas suplementares e controlos de acesso a jusante. Faça uma verificação estruturada com o GDPR Quick Check da Verdaio.

Se opera um hotel, B&B ou alojamento local em Itália (ou trata dados de hóspedes italianos a partir do estrangeiro): Audite agora o seu fluxo de check-in. Deixe de fotografar ou armazenar documentos de identidade após a comunicação no Alloggiati Web; conserve apenas o recibo de transmissão. Reveja a sua política de retenção, forme o pessoal de receção sobre as novas orientações e garanta que os seus sistemas de reservas e PMS não preservam por defeito imagens dos documentos. Faça um diagnóstico com o GDPR Quick Check da Verdaio.

Se constrói, implementa ou distribui sistemas de IA de alto risco (em particular em RH, educação, pontuação de crédito, biometria, ou IA integrada em produtos regulados): Planeie como se o prazo de 2 de agosto de 2026 se mantivesse. A incerteza do trílogo não justifica adiar o trabalho de conformidade. Mesmo que venha a ser acordado um adiamento, um arranque antecipado protege-o de um calendário comprimido. Faça uma classificação com a Avaliação da Lei IA da UE da Verdaio.

Se opera uma plataforma digital, um produto de ad-tech ou qualquer serviço cujos termos condicionem o acesso ao uso de dados: Espere que as autoridades europeias de concorrência avaliem as suas práticas de tratamento de dados sob a ótica do RGPD, e que o EDPB integre resultados de concorrência nas suas orientações. Reveja o alinhamento dos seus avisos de privacidade, fluxos de consentimento e mecanismos de portabilidade de dados face a ambos os enquadramentos. Faça um diagnóstico com o GDPR Quick Check da Verdaio.

Se gere marketing por email, emails transacionais ou newsletters dirigidas a destinatários italianos: Reveja todos os pixels, rastreadores de abertura e rastreadores de cliques na sua pilha de ESP ou CRM, mapeie cada um para uma base jurídica específica e alinhe os fluxos de consentimento e os avisos de privacidade com as Diretrizes. Reveja os controlos de minimização de dados (IDs pseudonímicos, retenção curta) e documente a exceção em que se baseia quando não é recolhido consentimento. Faça uma verificação de lacunas com a Verificação Rápida RGPD da Verdaio.

Se opera uma app móvel que lê o estado do dispositivo (apps instaladas, processos em execução, impressão digital do dispositivo): A decisão do Garante estabelece um precedente claro: autorizações obrigatórias e tudo-ou-nada para aceder a dados do dispositivo são desproporcionadas, mesmo para prevenção de fraude. Reveja a minimização de dados, os fluxos de informação ao utilizador, a cobertura de AIPD e os controlos de segurança/retenção das suas apps móveis. Faça um diagnóstico com o GDPR Quick Check da Verdaio.

Se trata dados pessoais para investigação: Comece por mapear as suas atividades face aos seis fatores indicativos e reveja como documenta o consentimento, as salvaguardas e os limites aos direitos dos titulares. Se transfere dados pessoais para fora da UE/EEE: A certificação é agora uma alternativa prática às Cláusulas Contratuais Padrão e às Regras Vinculativas, útil quando os fornecedores relutam em assinar SCCs ou a jurisdição de destino cria incerteza. Reveja a sua postura RGPD e verifique se transferências baseadas em certificação se adequam ao seu conjunto de fornecedores.

Se implementa sistemas biométricos (reconhecimento facial, impressão digital) para acesso, autenticação ou experiência do cliente: O tratamento biométrico em espaços públicos ou semi-públicos tem de cumprir requisitos estritos de necessidade, cifragem e retenção, mesmo com consentimento. Reveja a base jurídica do Artigo 9.º do RGPD, as salvaguardas técnicas e se oferece uma alternativa não-biométrica real. Sistemas biométricos podem também desencadear obrigações da Lei IA da UE. Verifique a sua postura com o GDPR Quick Check e a Avaliação da Lei IA da UE da Verdaio.

Se realiza AIPDs: Pela primeira vez a UE oferece um formato único e consistente de AIPD que será reconhecido em todos os Estados-Membros. Os responsáveis pelo tratamento multinacionais beneficiam mais, um template, uma estrutura, aceite por todas as CPDs. Ação: Reveja a sua metodologia atual de AIPD face ao template preliminar, submeta feedback antes de 9 de junho se relevante, e planeie migrar as AIPDs existentes assim que as CPDs nacionais o adotem formalmente. Faça um diagnóstico com o GDPR Quick Check da Verdaio.

Se opera em qualquer dos 18 setores NIS2: O prazo de conformidade está agora a menos de 6 meses. Comece com uma avaliação de lacunas para compreender a sua postura atual, particularmente no que diz respeito ao reporte de incidentes (requisito de notificação em 72 horas), gestão de riscos da cadeia de valor e responsabilização ao nível do conselho de administração. Não tem a certeza se o NIS2 se aplica à sua empresa? Execute a Avaliação de Prontidão NIS2 gratuita.

Se tiver menos de 1.000 trabalhadores: Provavelmente está fora do âmbito obrigatório com o novo limiar. No entanto, grandes clientes e instituições financeiras poderão ainda exigir divulgações alinhadas com o CSRD através dos seus próprios relatórios de cadeia de valor. Se tiver 1.000+ trabalhadores: O reporte obrigatório continua, as normas ESRS principais permanecem inalteradas.

Se implementar IA de alto risco: A extensão tem grande probabilidade de ser aprovada, mas ainda não é lei. A abordagem responsável é preparar-se para o prazo de agosto de 2026, esperando o alívio. Se adotada conforme esperado, terá até dezembro de 2027 para sistemas do Anexo III. Use o tempo para construir processos conformes em vez de esperar. Atualizaremos esta notícia quando o texto final for publicado.

Se reporta ao abrigo das ESRS: Embora o Omnibus reduza o âmbito obrigatório, o setor financeiro, os seus bancos, investidores e seguradoras, continua a esperar dados de sustentabilidade abrangentes. Empresas que cumpram apenas os requisitos mínimos simplificados poderão enfrentar dificuldades no acesso a financiamento verde ou em satisfazer pedidos de due diligence de clientes de maior dimensão.

Se já está a reportar: Reveja quais as atividades que ficam abaixo do limiar de 10%, poderá excluir uma parte significativa do âmbito da sua avaliação atual. Se ainda não começou: Esta simplificação torna o primeiro reporte da Taxonomia consideravelmente mais acessível. O limiar aplica-se a períodos de reporte a partir de 2025.

Ação imediata necessária: Se a sua organização usa ou implementa sistemas de IA, reveja-os agora face à lista de práticas proibidas do Artigo 5.º. As violações podem resultar em coimas até €35M ou 7% do volume de negócios anual global. A maioria das ferramentas de IA empresariais (produtividade, análise, serviço ao cliente) não são proibidas, mas a IA usada em recrutamento, pontuação de crédito ou que afeta indivíduos em contextos sensíveis requer revisão cuidadosa.

Se utiliza plataformas guardiãs: Estas decisões sinalizam que as lojas de aplicações, classificações de pesquisa e sistemas publicitários nas principais plataformas poderão mudar para cumprir os requisitos do DMA, potencialmente afetando as suas estratégias de distribuição e marketing. Se é uma plataforma guardiã: O DMA está agora ativamente aplicado.

Para qualquer empresa que transfira dados pessoais para fora da UE/EEE: Esta coima reforça que os mecanismos de transferência devem ser sólidos. As Cláusulas Contratuais Padrão (SCCs) não são suficientes se as leis do país de destino impedirem o importador de dados de cumpri-las na prática. Reveja as suas avaliações de impacto de transferência de dados (DTIAs), particularmente para transferências para os EUA, Índia e China.