Artigos e Publicações

*Equipe de Direito Digital

Quase sete anos após sua entrada em vigor, o Regulamento Geral de Proteção de Dados da União Europeia (GDPR) enfrenta sua mais significativa revisão. A proposta da Comissão Europeia visa alterar pontos específicos da norma, buscando reduzir encargos burocráticos para pequenas e médias empresas (PMEs) e fomentar a competitividade europeia.

Esse movimento integra um esforço mais amplo da União Europeia para impulsionar a competitividade, em resposta às críticas de que normas excessivamente complexas estariam travando a inovação. O relatório do ex-primeiro-ministro italiano Mario Draghi reforçou essa percepção, apontando o GDPR como um dos principais obstáculos à competitividade europeia frente aos Estados Unidos e à China.

A reforma do GDPR compõe o quarto pacote Omnibus de Simplificação, uma iniciativa que visa, até 2029, reduzir os encargos administrativos em 25% para empresas em geral e em 35% para PMEs, promovendo um ambiente regulatório mais favorável à inovação e ao investimento.

O que está em jogo?

O cerne da proposta está na ampliação das isenções previstas no artigo 30 do GDPR, que exige que empresas mantenham registros detalhados sobre suas atividades de tratamento de dados. Atualmente, empresas com menos de 250 empregados são isentas, salvo quando realizam tratamentos de alto risco ou lidam com dados sensíveis. A nova proposta eleva esse limiar para empresas com até 750 empregados, limitando a obrigatoriedade apenas aos casos de tratamento de alto risco ou envolvendo categorias especiais de dados.

Segundo a Comissão Europeia, cerca de 38 mil empresas adicionais se beneficiariam dessas isenções, além de outras simplificações, como regras menos rígidas para emissão de prospectos financeiros, facilitando a entrada de PMEs nos mercados de capitais.

No entanto, a proposta gerou reações divergentes. Representantes da indústria veem a medida como necessária, mas limitada, enquanto organizações da sociedade civil alertam para o risco de que a flexibilização comprometa a lógica central do GDPR. A crítica mais consistente é que a elevação dos limiares transforma direitos em privilégios e corrói a essência da regulamentação. O GDPR foi concebido como um regulamento baseado em direitos, e não apenas em riscos.

Outra frente importante da reforma busca acelerar e harmonizar os procedimentos de aplicação do GDPR. Atualmente, investigações transfronteiriças, muitas vezes envolvendo grandes empresas de tecnologia, podem arrastar-se por anos devido à complexidade do mecanismo de cooperação entre autoridades nacionais de proteção de dados.

Para enfrentar esse desafio, a Comissão propôs, ainda em 2023, um novo regulamento procedimental para clarificar papéis, estabelecer prazos concretos e reforçar a cooperação entre as autoridades nacionais. A ideia é tornar os processos mais céleres e transparentes, reduzindo a morosidade que compromete a eficácia do regime europeu.

Entretanto, esta proposta também recebeu críticas. Para Max Schrems, fundador da ONG austríaca “noyb”, especializada em litígios sobre privacidade, as mudanças podem tornar a aplicação do GDPR ainda mais lenta e complexa. Segundo ele, “o objetivo era simplificar e acelerar, mas o que conseguimos foi um procedimento totalmente confuso e provavelmente ilegal”.

O equilíbrio delicado entre direitos e competitividade

O debate sobre a reforma ilustra o equilíbrio que a União Europeia busca entre proteção de direitos fundamentais e promoção da competitividade econômica. De um lado, reconhece-se que o excesso de burocracia pode sufocar a inovação e dificultar o desenvolvimento de empresas europeias. De outro, teme-se que a flexibilização comprometa a robustez de um dos marcos regulatórios mais admirados do mundo.

Não por acaso, uma ampla coalizão de organizações da sociedade civil enviou carta aberta à Comissão Europeia expressando preocupação com o que consideram uma desmontagem silenciosa do GDPR. Segundo essas organizações, o GDPR é mais que um regulamento: é a espinha dorsal do regime digital europeu, estabelecendo padrões elevados e salvaguardando a dignidade das pessoas em um mundo orientado por dados.

Além disso, cresce a pressão para que a Comissão Europeia esclareça como o GDPR interagirá com novas legislações, como o recém-aprovado Ato de Inteligência Artificial (AI Act), bem como a possibilidade de futuras revisões ou uma eventual consolidação normativa no contexto da Estratégia para a União de Dados.

O que esperar?

Embora as propostas atuais de reforma se limitem principalmente à simplificação de obrigações para PMEs e ao aperfeiçoamento dos procedimentos de aplicação, há sinais de que novos ajustes poderão ser considerados no futuro. A Comissão indicou a possibilidade de uma reflexão mais ampla sobre a aplicação do GDPR, mencionando sua eventual consolidação em consultas públicas recentes.

O desafio será garantir que mudanças preservem a essência do GDPR como instrumento de proteção de direitos fundamentais, evitando que a busca legítima por competitividade resulte no enfraquecimento do modelo europeu de governança de dados, que até hoje inspira legislações em diversas partes do mundo.

Neste cenário, o debate sobre a reforma transcende questões técnicas, envolvendo escolhas políticas e éticas sobre os rumos da proteção de dados e da economia digital na União Europeia.

*A Equipe de Direito Digital da Andersen Ballão Advocacia é formada pelos advogados Camila Camargo, Gabriela Araújo e Marco Zorzi