GDPR em 2026: o que mudou desde 2018.

Onde a legislação europeia de proteção de dados realmente se encontra em 2026. O Schrems II e o EU-US DPF, a interação com o AI Act, a recente aplicação da CNIL e do EDPB, o que atualizar no seu programa de privacidade.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyPrivacy & data protectionAll pillars

A perspetiva da Cyber Academy

Em 2026, o GDPR continua a ser o regulamento da UE que rege os dados pessoais (Regulation (EU) 2016/679, em vigor desde maio de 2018). O que mudou desde 2018: o enquadramento das transferências internacionais (Schrems II, novas SCC, EU-US Data Privacy Framework), a intensidade da aplicação (CNIL, DPC, AEPD como as autoridades ativas), a interação com o AI Act sobre o tratamento automatizado e os esclarecimentos do CJEU sobre consentimento, interesse legítimo e direito ao esquecimento.

TL;DR

  • 1O próprio GDPR não foi alterado. O que evoluiu foi a jurisprudência, as orientações do EDPB, as SCC e o enquadramento das transferências internacionais.
  • 2O Schrems II anulou o Privacy Shield em 2020. O EU-US Data Privacy Framework (DPF) substituiu-o em julho de 2023; as transferências para importadores norte-americanos certificados ao abrigo do DPF deixaram de necessitar de medidas suplementares.
  • 3As SCC de 2021 substituíram as versões de 2010. Toda a transferência para fora do EEE sem uma decisão de adequação necessita de uma Transfer Impact Assessment documentada.
  • 4A aplicação pelo EDPB e pelas autoridades nacionais atinge uma intensidade recorde. Casos de relevo entre 2023 e 2025: Meta (1,2 mil milhões de euros, transferências), LinkedIn (310 milhões de euros, publicidade comportamental), Clearview AI (várias autoridades).
  • 5Interação com o AI Act: os sistemas de AI de risco elevado que tratam dados pessoais devem cumprir ambos. DPIA + avaliação de conformidade do AI Act em conjunto.

Porque é que o texto ficou imóvel e a prática avançou

O GDPR não foi reescrito. Os números dos artigos que aprendeu em 2018 são os números dos artigos que aplica em 2026. O que mudou situa-se uma camada abaixo: a jurisprudência que interpreta o texto, as orientações do EDPB que o operacionalizam, as cláusulas contratuais-tipo que dão suporte às suas transferências e o mecanismo de adequação que rege onde os dados podem legalmente chegar. Um programa de privacidade construído em 2018 e nunca mais tocado não está errado no papel. Está desatualizado na prática, e desatualizado é o que a aplicação agora encontra.

Esta página destina-se a quem já compreende o regulamento e precisa de saber o que atualizar. Pressupõe que sabe definir dados pessoais, um responsável pelo tratamento e uma base de licitude. Centra-se nas quatro peças móveis que efetivamente geram constatações em 2026: as transferências internacionais, a Transfer Impact Assessment, a sobreposição com o AI Act e a questão de saber se é obrigado a nomear um Data Protection Officer.

Transferências internacionais: a árvore de decisão, não o título

A maioria das equipas conhece os títulos. O Schrems II anulou o Privacy Shield em 2020. O EU-US Data Privacy Framework substituiu-o em 2023. As SCC de 2021 substituíram as versões de 2010. Os títulos são verdadeiros e quase inúteis por si só, porque o verdadeiro trabalho está em fazer corresponder uma transferência específica a um instrumento específico e depois decidir se é necessária uma Transfer Impact Assessment para além disso. Isso é uma árvore de decisão, e percorre-a por fluxo de dados, não uma vez para toda a empresa.

Comece pelo destino. Se o importador estiver num país com uma decisão de adequação da UE em vigor, transfere com base na decisão de adequação e não necessita de SCC nem de uma TIA para esse fluxo. Se o destino forem os Estados Unidos e o importador estiver autocertificado ao abrigo do Data Privacy Framework para as categorias de dados em causa, esse fluxo apoia-se no DPF como a sua própria base de adequação: sem SCC, sem medidas suplementares. No momento em que sai de ambos os casos, passa a depender das salvaguardas do Article 46, o que na prática significa as SCC de 2021, e as SCC trazem uma obrigação de TIA que o Schrems II tornou não opcional.

Cenário de transferência, instrumento exigido e se é aplicável uma TIA
Cenário de transferênciaInstrumento necessárioTIA exigida?
Do EEE para um país com uma decisão de adequação em vigorDecisão de adequação (sem contrato adicional)Não
Do EEE para um importador norte-americano autocertificado ao abrigo do DPF, para dados abrangidosCertificação DPF (funciona como adequação)Não
Do EEE para um importador norte-americano NÃO abrangido pelo DPFSCC de 2021Sim
Do EEE para um país terceiro não adequado (caso geral)SCC de 2021Sim
Transferências intragrupo entre várias entidades e paísesBinding Corporate Rules (ou SCC)Sim (avaliada por destino)
Transferência ulterior pelo seu subcontratante para o seu próprio subcontratante no estrangeiroSCC em cascata na cadeia de subcontratantesSim (a cadeia herda a obrigação)

A Transfer Impact Assessment nas operações

Uma TIA é o documento que responde a uma pergunta: a lei e a prática do país de destino comprometem a proteção que as suas SCC prometem no papel? Não é uma caixa para assinalar. É uma pequena peça de análise jurídico-técnica que produz por transferência (ou por grupo de transferências materialmente idênticas) e mantém em arquivo para o dia em que um regulador a pedir.

Na prática, uma TIA defensável faz quatro coisas. Descreve a transferência de forma concreta: quem exporta, quem importa, que dados, que volume, que finalidade. Avalia o regime jurídico de destino, com particular atenção aos poderes de acesso governamental e a saber se um titular dos dados dispõe de algum recurso efetivo. Identifica medidas suplementares onde o regime jurídico é fraco, e a medida que realmente faz a diferença é a cifragem que controla, em que o importador nunca detém as chaves. E regista uma conclusão fundamentada: prosseguir, prosseguir com medidas ou não transferir.

  1. Mapeie o fluxo com precisão, incluindo quaisquer transferências ulteriores que o seu subcontratante faça para subcontratantes seguintes. Os fluxos que esquece são os que vêm à superfície numa violação.
  2. Avalie a lei de destino face aos critérios do EDPB, não pela sua intuição sobre o país.
  3. Aplique medidas suplementares quando necessário e trate a cifragem forte, com gestão própria de chaves, como a medida técnica por defeito em vez de promessas contratuais isoladas.
  4. Documente a conclusão e date-a, depois defina um gatilho de revisão para que não expire silenciosamente.

Onde o GDPR encontra o AI Act

O AI Act não substitui o GDPR e não o flexibiliza. Quando um sistema de AI trata dados pessoais, aplicam-se ambos integralmente e cumpre os dois. A forma mais clara de ver a sobreposição é pelo artefacto que cada regime espera. O GDPR exige uma Data Protection Impact Assessment quando o tratamento é suscetível de representar um risco elevado para as pessoas. O AI Act exige uma avaliação de conformidade, documentação técnica e (para alguns sistemas) uma avaliação de impacto sobre os direitos fundamentais para a AI de risco elevado. São documentos diferentes que respondem a perguntas diferentes, e um sistema de AI de risco elevado que toque em dados pessoais necessita de ambos, coerentes entre si.

Os pontos de atrito são problemas conhecidos do GDPR com roupagem nova. As decisões automatizadas com efeitos jurídicos ou significativos de modo similar já desencadeavam obrigações do Article 22; o AI Act acrescenta deveres de transparência e de supervisão humana por cima. Os dados de treino levantam questões de base de licitude e de limitação da finalidade que não desaparecem por o resultado ser um modelo. A definição de perfis e as inferências sempre estiveram no âmbito. A regra prática para 2026: não conduza uma frente de trabalho de governação de AI que ignore o seu DPO, e não conduza um programa de privacidade que finja que o treino de modelos é um problema de outra pessoa. As duas avaliações devem remeter uma para a outra.

Os engenheiros de privacidade que têm de fazer a ponte entre estes regimes nas decisões de construção são exatamente o público da certificação CDPSE, que se estrutura em torno da governação, da arquitetura e do ciclo de vida dos dados, e não apenas do texto jurídico. Para operacionalizar a privacidade como um sistema de gestão que assenta de forma limpa ao lado de um ISMS, o curso ISO 27701 Foundation cobre o modelo PIMS, e o curso ISO 27701 Lead Implementer conduz-o através da sua construção e operação.

A aplicação é um sinal, não apenas um risco

Leia a aplicação recente como um mapa de onde as autoridades estão a olhar, porque lhe diz onde a sua própria exposição provavelmente está. O padrão entre 2023 e 2025 é consistente. As transferências internacionais produziram as maiores penalizações individuais, com a decisão Meta (1,2 mil milhões de euros) a girar em torno dos fluxos de dados entre a UE e os EUA. A publicidade comportamental e a base de licitude para a segmentação de anúncios motivaram a decisão LinkedIn (310 milhões de euros). Os dados biométricos recolhidos por scraping levaram a ação repetida contra a Clearview AI em várias autoridades. As autoridades ativas são as que seria de esperar: a CNIL em França, a DPC na Irlanda para as grandes plataformas, a AEPD em Espanha.

A conclusão operacional é deixar de tratar a aplicação como o título de outra pessoa. Se as transferências, o consentimento em ad-tech e o tratamento biométrico ou adjacente a AI são onde as coimas caem, esses são os três ficheiros que um regulador é estatisticamente mais provável que lhe peça. Um programa capaz de produzir uma TIA em vigor, um registo de consentimento defensável e uma DPIA para o seu tratamento de maior risco é um programa que sobrevive às perguntas.

Precisa mesmo de um DPO?

A questão do DPO é a que é mais frequentemente respondida por reflexo do que pelo texto. O Article 37 torna um DPO obrigatório em três situações: é uma autoridade ou organismo público; as suas atividades principais consistem num controlo regular e sistemático dos titulares dos dados em grande escala; ou as suas atividades principais consistem no tratamento em grande escala de categorias especiais de dados ou de dados sobre condenações penais. Se nenhuma destas se aplicar, o GDPR não obriga à nomeação, embora algumas leis nacionais acrescentem os seus próprios gatilhos e um DPO voluntário seja muitas vezes a escolha acertada.

A expressão que decide a maioria dos casos reais é "atividades principais". Um hospital monitoriza dados de saúde como a sua atividade principal, pelo que necessita de um DPO. Um fabricante que gere folhas de pagamento trata dados pessoais, mas isso é uma função de suporte, não uma atividade principal, pelo que a folha de pagamento por si só não desencadeia a obrigação. Os erros agrupam-se nas margens: nomear alguém que carece da independência e da linha hierárquica que o Article 38 exige, designar um DPO com conflito de interesses porque também é dono do tratamento que é suposto supervisionar, ou nomear no papel sem dar autoridade ao cargo. Um DPO que não consegue chegar à administração e não consegue dizer não é uma constatação à espera de ser escrita.

Se o cargo é seu para preencher ou supervisionar, a profundidade importa. O curso GDPR Foundation é o ponto de partida certo para a equipa em torno do cargo, e o curso GDPR Certified Data Protection Officer foi concebido para quem assume o título, cobrindo a independência, as tarefas e a responsabilização que o regulamento efetivamente exige.

O que atualizar antes da sua próxima auditoria

Coloque as peças móveis em dia e o resto do programa cuida-se, em grande medida, sozinho. Confirme que todas as transferências assentam nas SCC de 2021, e não no conjunto retirado de 2010, porque as cláusulas antigas são uma constatação imediata. Verifique que cada transferência não adequada tem uma TIA datada ligada a partir do seu RoPA. Verifique que qualquer fornecedor norte-americano de que depende está atualmente certificado ao abrigo do DPF para os dados que envia, e que dispõe de um recurso às SCC caso não esteja. Assegure-se de que o seu tratamento de maior risco tem uma DPIA, e que tudo o que é movido por AI tem os artefactos do AI Act a acompanhá-lo. Por fim, volte a testar a questão do DPO face às suas reais atividades principais, em vez da resposta que deu em 2018.

Frequently asked questions

01Ainda preciso de SCC desde que o EU-US DPF foi adotado?

Para transferências para importadores norte-americanos autocertificados ao abrigo do EU-US Data Privacy Framework, não, a decisão de adequação de julho de 2023 cobre essas transferências. Verifique a certificação do importador na lista DPF do Department of Commerce.

Para transferências para importadores nos Estados Unidos não abrangidos pelo DPF, ou transferências para qualquer outro país terceiro sem uma decisão de adequação, são exigidas as SCC de 2021 (ou outro instrumento de transferência) acrescidas de uma Transfer Impact Assessment.

02O que é uma Transfer Impact Assessment e quando é que preciso de uma?

Uma TIA é a análise documentada exigida desde o Schrems II para qualquer transferência de dados pessoais para fora do EEE sem uma decisão de adequação. Avalia se as leis do país de destino oferecem um nível de proteção essencialmente equivalente ao garantido na UE e identifica medidas suplementares caso não seja o caso.

Necessita de uma TIA para cada uma dessas transferências, fluxo a fluxo. As EDPB Recommendations 01/2020 fornecem a metodologia. A maioria das organizações que utilizam fornecedores SaaS fora da UE subestima o trabalho da TIA e baseia-se no modelo do fornecedor, o que não é juridicamente suficiente por si só.

03Como é que o AI Act interage com o GDPR?

O AI Act é uma camada adicional sobre o GDPR, não uma substituição. Quando sistemas de AI de risco elevado tratam dados pessoais, aplicam-se ambos os regulamentos: o GDPR para a base de licitude, os direitos dos titulares dos dados, a DPIA, o enquadramento das transferências internacionais; o AI Act para a avaliação de conformidade, a gestão de risco, a documentação técnica, a supervisão humana.

Na prática, as organizações integram a DPIA e a avaliação de conformidade do AI Act num único documento sempre que possível, para evitar trabalho duplicado e tratamentos de risco incoerentes.

04Que tendências de aplicação devo acompanhar?

Três tendências desde 2022: (1) as autoridades de controlo cooperam mais (decisões de balcão único, investigações conjuntas), com a DPC na Irlanda ainda a liderar os casos transfronteiriços contra as tecnológicas norte-americanas, mas com as decisões vinculativas do EDPB a apertar-lhes a margem; (2) coimas avultadas sobre publicidade comportamental e dark patterns (Meta, LinkedIn, Amazon, Google); (3) aplicação sobre cookies e tecnologias de rastreio ao abrigo da ePrivacy Directive (CNIL particularmente ativa).

Espere que a tendência se mantenha: mais decisões vinculativas transfronteiriças, um escrutínio mais apertado sobre o interesse legítimo como base para o tratamento comportamental e uma atenção crescente ao tratamento relacionado com AI ao abrigo do Article 22 do GDPR (decisões automatizadas).

05A minha organização precisa de um DPO?

Os Articles 37 a 39 do GDPR exigem um DPO quando: (a) o responsável pelo tratamento ou o subcontratante é uma autoridade ou organismo público; (b) as atividades principais exigem um controlo regular e sistemático dos titulares dos dados em grande escala; (c) as atividades principais consistem no tratamento em grande escala de categorias especiais de dados ou de dados pessoais relativos a condenações penais.

Para além da exigência legal, muitas organizações do setor privado nomeiam um DPO voluntariamente por razões de gestão de risco. Os DPO ao nível do grupo são permitidos e comuns nas multinacionais; devem permanecer acessíveis aos titulares dos dados e à autoridade de controlo.

Grupos que transformam a leitura numa credencial.

Pilar lido. E agora?

Cada pilar liga ao grupo que o transforma numa credencial. Consulte o catálogo ou fale connosco para um percurso personalizado.