Newsletter Economia de Dados, Privacidade e Cibersegurança - Novembro de 2025

Os dados pessoais pseudonimizados são dados pessoais? Pontos-chave após o acórdão do Tribunal de Justiça da UE no caso EDPS contra SRB

Ignacio Suárez

O acórdão do Tribunal de Justiça da União Europeia (TJUE) do passado dia 4 de setembro de 2025 no caso EDPS v SRB (processo C 413/23 P) constitui um marco importante na área da proteção de dados pessoais, por tratar um tema tão essencial para a prática como o próprio conceito de “dados pessoais”.

CONTINUAR LENDO

Comparação da transposição da NIS II por parte de Portugal com a prevista em Espanha

Manuel Liberal e Luisa Cyrne

Em julho de 2025, o Governo Português retomou o processo de transposição da Diretiva (UE) 2022/2555 (NIS 2) mediante a apresentação da Proposta de Lei n.º 7/XVII/1. Nesta análise, comparamos esta transposição com o projeto de lei espanhol, analisando as áreas de aplicação, sujeitas e isentas em cada caso, assim como o regime sancionatório previsto.

CONTINUAR LENDO

Resoluções das autoridades de proteção de dados

• Autarquia Local sancionada por enviar comprovativo de pagamento de uma coima para uma morada desatualizada
• O recurso de uma empresa de telecomunicações contra uma coima por duplicação fraudulenta de cartão SIM foi rejeitado
• Uma rede de centros comerciais foi sancionada por várias violações de dados pessoais e medidas de segurança
• Empresa de eletricidade e gás sancionada por contratação de serviços fraudulenta
• Coima de 200.000 euros para fornecedor de energia por inscrever um cliente num registo de devedores antes de a notificação de cobrança ser devolvida
• Uma empresa de telecomunicações na Alemanha é sancionada por falhas de controlo e segurança
• A Agência Espanhola de Proteção de Dados (AEPD) concluiu que o direito à portabilidade dos dados não se aplica ao setor público da educação, mas aceitou uma queixa referente ao atraso na resposta
• Um trabalhador foi multado em 300 euros por tratar dados pessoais sem qualquer fundamento legal
• A Agência Espanhola de Proteção de Dados (AEPD) decidiu arquivar uma reclamação pela instalação de um visor digital por não existir infração em matéria de proteção de dados
• Uma empresa farmacêutica finlandesa foi multada em 1,1 milhões de euros por deficiências na proteção de dados na sua loja online
• Uma pessoa singular foi multada por instalar câmaras apontadas para a casa de um vizinho
• Empresa de logística multada em 100 mil euros por exigir verificação excessiva de antecedentes criminais e dados pessoais em processos de seleção
• Entidade multada em 32.000 euros por divulgar dados médicos de um trabalhador a um terceiro
• Uma organização foi multada em 180.000 euros por incumprimento da decisão final da AEPD
• A Agência Espanhola de Proteção de Dados (AEPD) defende a conservação de dados pessoais por um subcontratante do tratamento após o termo da subcontratação
• A Agência Espanhola de Proteção de Dados (AEPD) considera que, para cumprir o Artigo 28.º do RGPD, não basta declarar no DPA que os dados serão apagados ou devolvidos após a conclusão do tratamento
• A autoridade de controlo francesa multa a Google e a Shein por instalarem cookies e tecnologias semelhantes sem consentimento
• A Agência Espanhola de Proteção de Dados (AEPD) não aprova a utilização de fotografias de trabalhadores para controlo de assiduidade
• Um clube de futebol foi sancionado por uma violação de segurança causada por um ataque de ‘ransomware’
• A Agência Espanhola de Proteção de Dados (AEPD) sancionou uma empresa tecnológica por transferir dados pessoais para terceiros sem fundamento jurídico suficiente
• Uma empresa de viagens foi multada por violar o princípio da minimização de dados
• A Autoridade polaca de proteção de dados aplica coimas tanto ao responsável pelo tratamento como ao subcontratante por negligência na análise de riscos e na implementação de medidas de segurança 

CONTINUAR LENDO

Acórdãos

• A Audiência Nacional avalia uma sanção da AEPD por tratamento sem base legal ao publicar listas com nomes e apelidos de candidatos
• O TSJ da Galiza analisa a utilização de algoritmos em processos de seleção e confirma a discriminação sindical numa autoridade portuária
• A Corte Suprema do Chile ordena que empresa de telecomunicações indemnize cliente por violação de dados pessoais
• Caso Latombe: O TGUE mantém o regime de transferência internacional UE-EUA
• A Audiência Nacional entende que os pedidos de acesso a dados pessoais devem ser submetidos através dos canais estabelecidos para o efeito e não para endereços de correio eletrónico genéricos
• O TJUE analisa a possibilidade de transferência de dados de trabalhadores de uma empresa para a sua empresa-mãe para testar “software” e declara ilegal a utilização de dados reais sem base legal
• Os tribunais admitem o uso de imagens de videovigilância como meio de prova em processos penais
• Um acórdão esclarece que o consentimento do titular de dados não substitui a autorização judicial quando está em causa apresentar provas no âmbito de um processo judicial
• Parecer da CNPD sobre a transmissão pela internet de reuniões de órgãos locais

CONTINUAR LENDO

Atualidade

• O Regulamento de Dados da União Europeia (‘Data Act’) é aplicável a partir de 12 de setembro de 2025
• A Comissão Europeia publica uma resolução em que refere que a Apple e a Meta infringiram o Regulamento dos Mercados Digitais e aplica-lhes coimas de 500 milhões de euros e 200 milhões de euros, respetivamente
• O CEPD publica a Declaração de Helsínquia e anuncia novas medidas para simplificar e reforçar a implementação do RGPD
• Chile: A Comissão de Implementação da nova Lei de Proteção de Dados publica três relatórios
• O CEPD adota as diretrizes 3/2025 sobre a interação entre o DSA e o RGPD
• Relatório Anual da AEPD de 2024: principais resultados e tendências
• A Comissão Europeia publicou um relatório sobre a implementação da Estratégia Global de Saúde da UE
• Publicado um relatório conjunto da Agência Espanhola de Proteção de Dados (AEPD) e da Autoridade Europeia para a Proteção de Dados (EDPS) sobre as implicações para a privacidade da utilização da aprendizagem federada em inteligência artificial
• O Comité Europeu de Proteção de Dados (CEPD) publica a versão final das Diretrizes 2/2024 sobre o Artigo 48.º do RGPD
• O Conselho e o Parlamento Europeu chegam a acordo para melhorar o cumprimento transfronteiriço do RGPD em benefício dos cidadãos
• A AEPD analisa se é obrigatório um sistema de inteligência artificial utilizado em comunicações comerciais automatizadas compreender e implementar políticas de privacidade
• A AEPD responde à consulta prévia sobre a utilização de biometria para o controlo de acessos em instalações da Guardia Civil
• Comissão Europeia publica um guia sobre as obrigações dos modelos de IA de finalidade geral
• O CEPD emite uma declaração sobre as cláusulas contratuais-tipo não vinculativas da Lei de Proteção de Dados
• O CEPD está a contribuir para a consulta pública da Autoridade Bancária Europeia (EBA) sobre o projeto de normas técnicas de regulação (RTS) para a prevenção do branqueamento de capitais e do financiamento do terrorismo (AML/CFT)
• A AEPD e a Autoridade de Proteção de Dados do Brasil alargam a sua colaboração institucional
• Investigadores do ‘Joint Research Centre’ da Comissão Europeia publicam um artigo sobre ‘AI Benchmarks’
• O ‘Information Commissioner’s Office’ (ICO) do Reino Unido publica um artigo sobre como garantir a anonimização eficaz dos dados pessoais 

CONTINUAR LENDO