Interação entre o GDPR e outros regulamentos da União Europeia
Desde 2018, o General Data Protection Regulation (GDPR), Regulamento (EU) 2016/679, tem sido uma referência global na proteção de dados. Inspirou legislações ao redor do mundo e trouxe mudanças significativas. Entre elas, destacam-se a ampliação dos direitos dos indivíduos e a responsabilização das organizações no tratamento de dados pessoais e dados pessoais sensíveis. Com o avanço da tecnologia, a União Europeia (UE) criou novos regulamentos para complementar e, em alguns casos, sobrepor o GDPR. Esse cenário tornou o ambiente regulatório mais complexo, exigindo maior esforço das empresas para garantir conformidade.
A relação entre o GDPR e o Data Act
O Data Act tem um foco diferente do GDPR. Seu objetivo é promover o acesso e o compartilhamento de dados na economia digital. Enquanto o GDPR regula exclusivamente dados pessoais, o Data Act cobre uma variedade maior de informações, incluindo dados pessoais, mas não se restringindo a ele.
Quando há conflito entre os dois regulamentos, o GDPR prevalece. Isso ocorre, principalmente, quando dados pessoais e não pessoais estão misturados em um mesmo conjunto de informações. Assim, qualquer tratamento de dados pessoais no Data Act precisa seguir as regras do GDPR.
Os dois regulamentos compartilham princípios semelhantes. O GDPR garante que indivíduos tenham acesso aos seus dados pessoais e possam exercer maior controle sobre eles. O Data Act exige que os detentores de dados concedam acesso aos usuários para informações geradas por produtos ou serviços conectados.
A transparência também é um fator essencial nas duas normas. O GDPR exige que empresas informem claramente quais dados coletam, para qual finalidade e por quanto tempo armazenam essas informações. Já o Data Act determina que as empresas expliquem a retenção de dados e como os usuários podem recuperá-los ou apagá-los.
Outro ponto de interseção está na portabilidade de dados. O GDPR já garantia aos titulares o direito de obter seus dados pessoais e transferi-los para outro controlador. O Data Act amplia esse conceito, permitindo que usuários solicitem a portabilidade de dados não pessoais e façam a transferência dessas informações para terceiros.
Além disso, a transferência internacional de dados, um tema sensível no GDPR, também aparece no Data Act. Empresas que oferecem serviços de processamento de dados precisam impedir o acesso indevido de governos estrangeiros. Caso a transferência de dados não pessoais viole normas da União Europeia, a ação deve ser bloqueada. Decisões judiciais estrangeiras só serão aceitas se houver um acordo internacional válido.
O impacto do NIS 2 e do Cyber Resilience Act no GDPR
A proteção de dados e a segurança cibernética estão cada vez mais conectadas. Além do GDPR, a União Europeia implementou a Diretiva NIS 2 e o Cyber Resilience Act para aumentar a resiliência digital das empresas.
A Diretiva NIS 2 tem como objetivo principal melhorar a segurança dos sistemas de informação na União Europeia. Empresas que precisam seguir essa norma devem adotar padrões mais rigorosos de proteção, o que também ajuda a cumprir as exigências do GDPR. No entanto, a NIS 2 se aplica apenas a setores considerados críticos, como energia, marketplaces digitais e redes sociais.
Um dos pontos mais relevantes dessa interseção está na notificação de incidentes cibernéticos. O GDPR exige que empresas comuniquem violações de dados pessoais à autoridade supervisora dentro de 72 horas, caso a violação represente risco aos titulares. Dependendo da gravidade, os indivíduos afetados também devem ser notificados. A NIS 2, por outro lado, impõe regras mais rígidas. A empresa precisa informar o incidente dentro de 24 horas, fornecer uma notificação completa em 72 horas e entregar um relatório final em até um mês.
Outro ponto de atenção está na gestão de riscos na cadeia de suprimentos. O GDPR exige que controladores garantam que seus fornecedores cumpram as regras de proteção de dados. A NIS 2 segue a mesma lógica, exigindo que as empresas analisem e gerenciem os riscos de segurança dos seus fornecedores.
O GDPR e a Inteligência Artificial (AI Act)
O crescimento da inteligência artificial trouxe novos desafios regulatórios. Para enfrentá-los, a União Europeia criou o AI Act, que estabelece regras para o desenvolvimento e o uso dessas tecnologias.
O AI Act segue as diretrizes do GDPR sempre que há tratamento de dados pessoais. Assim, desenvolvedores e operadores de sistemas de inteligência artificial precisam cumprir tanto as exigências do AI Act quanto as do GDPR. Isso garante que as aplicações respeitem os direitos dos titulares e evitem o uso indevido de dados sensíveis.
Além disso, o AI Act impõe novas obrigações de segurança. Provedores de inteligência artificial de alto risco devem relatar incidentes graves às autoridades competentes. Essa exigência reforça a necessidade de monitoramento contínuo e a adoção de medidas preventivas para evitar violações.
Conclusão
A União Europeia está constantemente aprimorando suas regras para lidar com os desafios da proteção de dados e da segurança digital. No entanto, a multiplicação de normas trouxe dificuldades para as empresas. Agora, elas precisam garantir conformidade com diversas regulamentações ao mesmo tempo.
Para lidar com esse cenário, as organizações devem estruturar processos internos para identificar suas obrigações e documentar seus esforços. Além disso, é essencial harmonizar as exigências regulatórias e alinhar as políticas de transparência para evitar sobrecarga e contradições.
Diante dessa complexidade, o setor privado tem solicitado diretrizes mais claras e uma maior coordenação entre as autoridades. Empresas que conseguirem integrar a conformidade com o GDPR, Data Act, NIS 2 e AI Act estarão mais preparadas para operar em um ambiente regulatório exigente. Isso reduzirá riscos e garantirá uma abordagem mais segura para a proteção de dados e a segurança cibernética.