O que a Comissão propôs de facto

Em 19 de novembro de 2025, a Comissão Europeia publicou o Digital Omnibus, um pacote que alteraria o RGPD a par das regras ePrivacy, do Data Act e de outra legislação digital. É a primeira tentativa substancial de rever o RGPD desde a entrada em vigor do regulamento em maio de 2018. O objetivo declarado é a simplificação: menos obrigações administrativas para tratamentos de menor risco, definições mais claras e um ponto único para a comunicação de incidentes ao abrigo de vários instrumentos da UE.

Várias mudanças importam a uma empresa gerida pelo proprietário. O dever de designar um encarregado da proteção de dados seria restringido, de modo que menos empresas ficariam obrigadas a fazer essa designação. A definição de dados pessoais seria clarificada, com especial atenção aos dados pseudonimizados, de modo que a informação possa não ser considerada pessoal para uma empresa que não disponha de meios razoáveis para identificar a pessoa que está por trás dela. A isenção de manter um registo das atividades de tratamento subiria para efetivos maiores, e a notificação de violações passaria de um prazo de 72 horas para um de 96 horas, aplicando-se apenas quando o risco para as pessoas for elevado.

Por que isto é uma proposta e não a lei

Nada disto está em vigor. O Digital Omnibus é um projeto de regulamento que entrou no processo legislativo ordinário da UE, o que significa que tem de ser negociado e acordado pelo Parlamento Europeu e pelo Conselho da União Europeia antes de poder ser adotado. Os textos que entram neste processo são habitualmente alterados, e partes deste já estão a ser reformuladas. Segundo os calendários atuais, a adoção final não é esperada antes do final de 2026 ou de 2027, e quaisquer novas obrigações teriam então os seus próprios prazos de transição.

A reforma é também contestada pelas instituições que supervisionam a proteção de dados. Num parecer conjunto de 11 de fevereiro de 2026, o Comité Europeu para a Proteção de Dados e a Autoridade Europeia para a Proteção de Dados acolheram parte da simplificação, incluindo o regime mais leve de notificação de violações, ao mesmo tempo que se opuseram firmemente à definição mais restrita de dados pessoais e ao poder que esta conferiria à Comissão para decidir, por ato de execução, o que conta como dados pessoais após a pseudonimização. Esse desacordo é um sinal claro de que a redação final ainda não está definida.

O que um proprietário deve fazer agora

O erro é fácil de cometer nas duas direções. Um é ignorar a reforma por completo e ser apanhado desprevenido quando as obrigações finalmente mudarem. O outro, mais dispendioso, é começar agora a desmantelar a sua estrutura de proteção de dados com base numa proposta: dispensar um encarregado da proteção de dados, eliminar registos ou afrouxar os procedimentos de violação, enquanto o RGPD atual continua plenamente em vigor e plenamente aplicável. Até à adoção, as regras de hoje aplicam-se na íntegra, e as autoridades de controlo ainda podem atuar com base nelas.

A resposta ponderada é acompanhar o processo e planear em função dele, não agir com base nele. Tome nota de quais das suas obrigações atuais seriam aliviadas caso a proposta seja aprovada mais ou menos na sua forma presente, e onde a mudança reduziria de facto custo ou risco real para o seu negócio. Mantenha intacta a sua conformidade atual, observe as fases no Parlamento e no Conselho e os pareceres da supervisão, e esteja pronto para agir rapidamente assim que um texto final e os seus prazos de transição forem conhecidos. A prontidão disciplinada custa pouco. O desmantelamento prematuro expõe-no por um benefício que ainda não existe.