{"id":69468,"date":"2025-08-27T10:58:32","date_gmt":"2025-08-27T10:58:32","guid":{"rendered":"https:\/\/wp-staging.sproof.com\/a-lei-de-protecao-de-dados-em-transicao-conversa-com-a-especialista-katharina-raabe-stuppnig\/"},"modified":"2026-03-23T21:55:41","modified_gmt":"2026-03-23T21:55:41","slug":"a-lei-de-protecao-de-dados-em-transicao-conversa-com-a-especialista-katharina-raabe-stuppnig","status":"publish","type":"post","link":"https:\/\/wp-staging.sproof.com\/pt-pt\/a-lei-de-protecao-de-dados-em-transicao-conversa-com-a-especialista-katharina-raabe-stuppnig\/","title":{"rendered":"A lei de prote\u00e7\u00e3o de dados em transi\u00e7\u00e3o: uma entrevista com a especialista Katharina Raabe-Stuppnig"},"content":{"rendered":"\n
\"Katharina<\/figure>
\n

Com mais de 15 anos de experi\u00eancia como advogada, o seu papel como co-fundadora de um conselho consultivo para a prote\u00e7\u00e3o de dados e a sua participa\u00e7\u00e3o ativa em processos no Tribunal de Justi\u00e7a Europeu – juntamente com Max Schrems e Thomas Lohninger – Katharina Raabe-Stuppnig \u00e9 uma das vozes mais influentes na legisla\u00e7\u00e3o europeia sobre prote\u00e7\u00e3o de dados. No seu escrit\u00f3rio de advogados na Wickenburggasse, em Viena, fala sobre o seu percurso profissional, os desafios do RGPD e a crescente complexidade das novas leis digitais da UE. <\/p>\n<\/div><\/div>\n\n

Do direito dos media \u00e0 prote\u00e7\u00e3o de dados: especialista na \u00c1ustria<\/h2>\n\n

Katharina Raabe-Stuppnig iniciou a sua carreira no direito dos media. Aconselhava editoras e empresas de telecomunica\u00e7\u00f5es em quest\u00f5es relacionadas com o direito da concorr\u00eancia, a publicidade e a responsabilidade dos meios de comunica\u00e7\u00e3o social. A ponte para a prote\u00e7\u00e3o de dados surgiu quase automaticamente: “Muitos clientes abordaram-me e disseram-me: Conheces os nossos processos e o nosso equil\u00edbrio de interesses – podes tamb\u00e9m apoiar-nos na prote\u00e7\u00e3o de dados?” <\/p>\n\n

Quando o RGPD entrou em vigor, a prote\u00e7\u00e3o de dados passou a estar mais no centro da realidade empresarial. As coimas na ordem dos milh\u00f5es aumentaram a press\u00e3o. As empresas precisavam de conceitos claros – e contavam com as parcerias existentes. Como resultado, a lei de prote\u00e7\u00e3o de dados evoluiu de uma quest\u00e3o perif\u00e9rica para o foco central das suas actividades. <\/p>\n\n

\n

“O meu desejo seria refor\u00e7ar a economia europeia – atrav\u00e9s de alternativas europeias. A estrat\u00e9gia digital e a Lei de Dados est\u00e3o na dire\u00e7\u00e3o certa. A \u00fanica quest\u00e3o \u00e9: ser\u00e1 que vais chegar a tempo?”<\/p>\n\n\n\n

Mag. Kathrina Raabe-Stuppnig<\/p>\n<\/blockquote>\n\n

A prote\u00e7\u00e3o de dados como facilitador<\/h2>\n\n

Desde a introdu\u00e7\u00e3o do RGPD em 2018, a necessidade de apoio jur\u00eddico aumentou enormemente – e continua a ser elevada. Isto deve-se sobretudo ao facto de o regulamento n\u00e3o fazer distin\u00e7\u00e3o entre grandes e pequenas empresas. Todas t\u00eam de cumprir as mesmas normas. <\/p>\n\n

“Um sistema de gest\u00e3o de prote\u00e7\u00e3o de dados funcional \u00e9 hoje um verdadeiro facilitador”, explica Raabe-Stuppnig. “Fornece \u00e0s empresas uma vis\u00e3o geral dos sistemas, processos e riscos – e constitui a base para a otimiza\u00e7\u00e3o e o aumento da efici\u00eancia.” <\/p>\n\n

Ao mesmo tempo, o ambiente est\u00e1 a tornar-se cada vez mais complexo: nova legisla\u00e7\u00e3o como a NIS-2, a Lei da Ciber-resili\u00eancia, a Lei da IA e a Lei dos Dados est\u00e3o a colocar exig\u00eancias adicionais \u00e0s empresas – em todos os sectores. Aqueles que j\u00e1 criaram uma base est\u00e1vel de prote\u00e7\u00e3o de dados t\u00eam agora uma clara vantagem. <\/p>\n\n

Estrat\u00e9gias para a transforma\u00e7\u00e3o digital<\/h3>\n\n

Os problemas com que as empresas recorrem atualmente \u00e0 empresa s\u00e3o muitos e variados:<\/p>\n\n

    \n
  • Como \u00e9 que a NIS-2 me afecta se eu for um fornecedor de infra-estruturas cr\u00edticas?<\/li>\n\n\n\n
  • De que pol\u00edticas necessito para a Lei da IA?<\/li>\n\n\n\n
  • Como \u00e9 que lido com os novos direitos de acesso aos dados ao abrigo da Lei dos Dados – sem p\u00f4r em causa o n\u00edvel de prote\u00e7\u00e3o de dados que constru\u00ed at\u00e9 agora?<\/li>\n<\/ul>\n\n

    Para al\u00e9m das avalia\u00e7\u00f5es jur\u00eddicas, as quest\u00f5es estrat\u00e9gicas est\u00e3o a desempenhar um papel cada vez mais importante: onde devem ser atribu\u00eddas as responsabilidades dentro da empresa? Como \u00e9 que a conformidade, a seguran\u00e7a cibern\u00e9tica e a capacidade de inova\u00e7\u00e3o podem ser harmonizadas? Raabe-Stuppnig e a sua equipa apoiam as empresas n\u00e3o s\u00f3 na implementa\u00e7\u00e3o, mas tamb\u00e9m no seu posicionamento no novo quadro jur\u00eddico. <\/p>\n\n

    UE vs. EUA: atitudes b\u00e1sicas diferentes<\/h2>\n\n

    A utiliza\u00e7\u00e3o de software de pa\u00edses terceiros – por exemplo, por hiperescaladores americanos – \u00e9 uma quest\u00e3o particularmente sens\u00edvel. Embora tamb\u00e9m existam leis de prote\u00e7\u00e3o de dados nos EUA, explica Raabe-Stuppnig, a prote\u00e7\u00e3o aplica-se principalmente aos cidad\u00e3os americanos. Para os cidad\u00e3os da UE, a regulamenta\u00e7\u00e3o \u00e9 bastante mais fraca. <\/p>\n\n

    “O problema est\u00e1 na pondera\u00e7\u00e3o: os interesses de seguran\u00e7a da NSA t\u00eam frequentemente preced\u00eancia sobre a prote\u00e7\u00e3o de dados de n\u00e3o-americanos. O TJCE j\u00e1 estabeleceu esta desproporcionalidade duas vezes – e, por conseguinte, anulou princ\u00edpios centrais como o Safe Harbour e o Privacy Shield.”<\/p>\n\n

    Altera\u00e7\u00e3o da sensibiliza\u00e7\u00e3o na Europa desde 2018<\/h3>\n\n

    Desde que o RGPD entrou em vigor, a consciencializa\u00e7\u00e3o na Europa mudou visivelmente. As empresas s\u00e3o agora muito mais sens\u00edveis no que respeita ao tratamento de dados pessoais. A aten\u00e7\u00e3o dos meios de comunica\u00e7\u00e3o social em torno dos ac\u00f3rd\u00e3os sobre prote\u00e7\u00e3o de dados e dos casos proeminentes desempenhou um papel fundamental neste contexto. <\/p>\n\n

    “Cri\u00e1mos uma norma de ouro para a prote\u00e7\u00e3o de dados na Europa”, resume Raabe-Stuppnig. “E \u00e9 agrad\u00e1vel ver quantas empresas est\u00e3o a esfor\u00e7ar-se ativamente n\u00e3o s\u00f3 para cumprir esta norma, mas tamb\u00e9m para a utilizar como uma vantagem competitiva.” <\/p>\n\n

    O que torna a transfer\u00eancia de dados para os EUA t\u00e3o sens\u00edvel – e qual \u00e9 a situa\u00e7\u00e3o jur\u00eddica atual na UE?<\/h3>\n\n

    O debate sobre a prote\u00e7\u00e3o de dados entre a UE e os EUA \u00e9 complexo – e, acima de tudo, muito din\u00e2mico do ponto de vista jur\u00eddico. Ao contr\u00e1rio de pa\u00edses como a Su\u00ed\u00e7a, para os quais a Comiss\u00e3o Europeia emitiu a chamada decis\u00e3o de adequa\u00e7\u00e3o, a situa\u00e7\u00e3o nos EUA era e \u00e9 muito mais complicada. Esta decis\u00e3o estabelece que os dados pessoais podem ser transferidos para um pa\u00eds terceiro porque o n\u00edvel de prote\u00e7\u00e3o de dados nesse pa\u00eds \u00e9 compar\u00e1vel ao da UE. Em pa\u00edses como a China ou a R\u00fassia – e durante muito tempo tamb\u00e9m nos EUA – n\u00e3o existia tal decis\u00e3o. <\/p>\n\n

    Tratamento de dados nos EUA – um equil\u00edbrio jur\u00eddico<\/h4>\n\n

    Assim que as empresas trabalham com prestadores de servi\u00e7os para o tratamento de dados nos EUA, por exemplo, t\u00eam de tomar medidas de prote\u00e7\u00e3o adicionais para manter o n\u00edvel de prote\u00e7\u00e3o de dados exigido pelo RGPD. Isto significa mais esfor\u00e7o, mais controlos obrigat\u00f3rios – e mais risco. <\/p>\n\n

    Um exemplo pr\u00e1tico: mesmo que escolha uma localiza\u00e7\u00e3o de servidor na UE para os fornecedores de servi\u00e7os de computa\u00e7\u00e3o em nuvem dos EUA, o problema continua a existir – por exemplo, se a filial europeia estiver sob o controlo de uma empresa-m\u00e3e americana. Em caso de emerg\u00eancia, as autoridades americanas, como a NSA, podem exigir o acesso aos dados, mesmo atrav\u00e9s de uma cadeia de comando interna. A localiza\u00e7\u00e3o de um servidor na UE reduz o risco, mas n\u00e3o o elimina completamente. <\/p>\n\n

    Do porto seguro ao quadro de prote\u00e7\u00e3o da privacidade dos dados: uma retrospetiva<\/h4>\n\n

    A hist\u00f3ria dos acordos de prote\u00e7\u00e3o de dados entre a UE e os EUA assemelha-se a uma s\u00e9rie de retrocessos jur\u00eddicos:<\/p>\n\n

      \n
    • O Acordo de Porto Seguro foi o primeiro acordo a impor voluntariamente determinadas normas de prote\u00e7\u00e3o de dados \u00e0s empresas americanas. Foi revogado em 2015 pelo ac\u00f3rd\u00e3o Schrems I. <\/li>\n\n\n\n
    • O Privacy Shield foi o sucessor – uma vers\u00e3o revista do Safe Harbour. No entanto, este acordo tamb\u00e9m foi declarado inv\u00e1lido pelo Tribunal de Justi\u00e7a Europeu no ac\u00f3rd\u00e3o Schrems II em 2020. <\/li>\n\n\n\n
    • Em resposta, entrou em vigor o Quadro de Privacidade de Dados, com base no qual a Comiss\u00e3o Europeia adoptou novamente uma decis\u00e3o de adequa\u00e7\u00e3o para os EUA.<\/li>\n<\/ul>\n\n

      No entanto, a nova decis\u00e3o assenta, uma vez mais, em bases pouco s\u00f3lidas<\/h4>\n\n

      Isto deve-se ao facto de o Quadro de Privacidade de Dados se basear numa ordem executiva<\/strong> do Presidente dos EUA – por outras palavras, uma ordem que pode<\/strong>, teoricamente, ser revogada em qualquer altura<\/strong>. Por conseguinte, os cr\u00edticos duvidam da estabilidade a longo prazo deste quadro. J\u00e1 foi intentada uma a\u00e7\u00e3o judicial contra a decis\u00e3o de adequa\u00e7\u00e3o junto do Tribunal de Justi\u00e7a Europeu – o resultado \u00e9 incerto. <\/p>\n\n

      Al\u00e9m disso, a autoridade de controlo respons\u00e1vel dos EUA, o PCLOB<\/strong>, n\u00e3o pode atualmente atuar porque tr\u00eas dos seus cinco diretores foram demitidos pelo anterior Presidente Trump. O resultado: uma grande incerteza<\/strong> quanto \u00e0 estabilidade do mecanismo de prote\u00e7\u00e3o de dados nos EUA. <\/p>\n\n

      Qual a import\u00e2ncia do Quadro de Privacidade de Dados para as empresas da UE?<\/h2>\n\n

      Se est\u00e1s a planear a longo prazo e queres concentrar-te na seguran\u00e7a dos dados, n\u00e3o deves confiar cegamente no Quadro de Privacidade de Dados. Tal como no passado, a situa\u00e7\u00e3o jur\u00eddica pode mudar rapidamente. O custo das Avalia\u00e7\u00f5es do Impacto da Transfer\u00eancia de Dados (AIT)<\/strong> \u00e9 elevado e as viola\u00e7\u00f5es podem resultar em san\u00e7\u00f5es graves que podem atingir 4% do volume de neg\u00f3cios global anual<\/strong>. <\/p>\n\n

      Os servi\u00e7os de nuvem dos EUA (ainda) s\u00e3o utiliz\u00e1veis – mas n\u00e3o sem riscos<\/h2>\n\n

      Os servi\u00e7os em nuvem de fornecedores dos EUA podem atualmente ser utilizados em conformidade com a **regulamenta\u00e7\u00e3o relativa \u00e0 prote\u00e7\u00e3o de dados, desde que sejam aplicadas **medidas de prote\u00e7\u00e3o adequadas, tais como cl\u00e1usulas contratuais-tipo<\/strong> e medidas de seguran\u00e7a t\u00e9cnica<\/strong>. Mas continua a existir um risco residual. \u00c9 particularmente problem\u00e1tico o facto de ainda n\u00e3o existir uma encripta\u00e7\u00e3o de ponta a ponta adequada \u00e0<\/strong> utiliza\u00e7\u00e3o quotidiana<\/strong> para todos os tipos de utiliza\u00e7\u00e3o – por exemplo, para o tratamento cont\u00ednuo de dados (“dados em utiliza\u00e7\u00e3o”). <\/p>\n\n

      Por conseguinte, a utiliza\u00e7\u00e3o dos servi\u00e7os dos EUA deve ser sempre avaliada individualmente<\/strong>: Qu\u00e3o sens\u00edveis s\u00e3o os dados processados? Que medidas de seguran\u00e7a s\u00e3o tomadas? E em que medida \u00e9 que a empresa consegue efetivamente atenuar os riscos? <\/p>\n\n

      Entre o preto no branco e o realismo: como as empresas devem lidar com a prote\u00e7\u00e3o de dados e os fornecedores de servi\u00e7os em nuvem<\/h2>\n\n

      A quest\u00e3o de saber se as empresas devem utilizar apenas software e servi\u00e7os em nuvem de origem europeia – um “completamente ou n\u00e3o” – parece uma posi\u00e7\u00e3o clara \u00e0 primeira vista. Mas \u00e9 precisamente contra isso que alerta a especialista em prote\u00e7\u00e3o de dados Katharina Raabe-Stuppnig. Este princ\u00edpio n\u00e3o \u00e9 apenas impratic\u00e1vel, mas tamb\u00e9m dif\u00edcil de justificar perante as autoridades. Em vez disso, cada decis\u00e3o sobre a utiliza\u00e7\u00e3o de software ou servi\u00e7os em nuvem deve ser tomada caso a caso – dependendo do grau de sensibilidade dos dados processados e das medidas de prote\u00e7\u00e3o espec\u00edficas que podem ser tomadas. <\/p>\n\n

      N\u00e3o te deixes levar por uma falsa sensa\u00e7\u00e3o de seguran\u00e7a – mesmo com o Quadro de Privacidade<\/h3>\n\n

      Outro tema que preocupa atualmente muitas empresas: O que acontece se o Tribunal de Justi\u00e7a Europeu (TJE) anular o novo quadro de privacidade de dados<\/strong> entre a UE e os EUA – tal como aconteceu anteriormente com o “Safe Harbour” e o “Privacy Shield”? A resposta \u00e9 clara: voltar\u00e1 a existir uma enorme inseguran\u00e7a jur\u00eddica<\/strong>. \u00c9 precisamente por isso que Kargl j\u00e1 est\u00e1 a aconselhar as empresas a n\u00e3o confiarem apenas no quadro<\/strong>, mas a acordarem cl\u00e1usulas contratuais-tipo adicionais (SCC)<\/strong>. Estas devem incluir sempre uma avalia\u00e7\u00e3o do impacto da transfer\u00eancia (TIA)<\/strong> – ou seja, uma an\u00e1lise de risco da transfer\u00eancia de dados para pa\u00edses terceiros. <\/p>\n\n

      No entanto, o advogado tamb\u00e9m deixa claro que, se o Quadro de Privacidade de Dados cair efetivamente e a proporcionalidade da transfer\u00eancia de dados para os EUA for fundamentalmente posta em causa, os AIT tamb\u00e9m atingir\u00e3o os seus limites. A esperan\u00e7a reside ent\u00e3o em medidas t\u00e9cnicas e organizacionais suplementares<\/strong> – sobretudo a encripta\u00e7\u00e3o<\/strong>. <\/p>\n\n

      Encripta\u00e7\u00e3o: a pretens\u00e3o e a realidade divergem<\/h2>\n\n

      As autoridades de prote\u00e7\u00e3o de dados e o TJCE exigem uma solu\u00e7\u00e3o clara aos fornecedores de servi\u00e7os de computa\u00e7\u00e3o em nuvem dos EUA: os dados s\u00f3 devem ser armazenados de forma encriptada<\/strong> e a chave deve ser gerida fora do fornecedor<\/strong> – idealmente na Europa e sob o controlo da empresa respons\u00e1vel pelos dados ou de um administrador europeu. O objetivo desta solu\u00e7\u00e3o<\/strong>, denominada “gest\u00e3o externa de chaves”<\/strong>, \u00e9 garantir que, mesmo em caso de acesso por parte das autoridades norte-americanas, como a NSA, apenas os dados encriptados, ou seja, inutiliz\u00e1veis, possam ser transmitidos. <\/p>\n\n

      Na pr\u00e1tica, por\u00e9m, segundo Katharina Raabe-Stuppnig, este tipo de encripta\u00e7\u00e3o s\u00f3 pode ser realmente implementado para dados de seguran\u00e7a<\/strong>. A partir do momento em que os dados s\u00e3o processados ativamente na vida quotidiana<\/strong>, \u00e9 necess\u00e1rio aceder a material n\u00e3o encriptado. \u00c9 precisamente aqui que reside o problema: a tecnologia que permite o processamento completo de dados num estado encriptado<\/strong> s\u00f3 existe atualmente de forma muito limitada<\/strong> – para c\u00e1lculos simples ou estimativas em cen\u00e1rios espec\u00edficos, por exemplo. O estado da arte ainda n\u00e3o<\/strong> \u00e9 suficiente para uma utiliza\u00e7\u00e3o generalizada, como \u00e9 necess\u00e1rio na economia. <\/p>\n\n

      O papel da Europa: oportunidades atrav\u00e9s do Data Act<\/h2>\n\n

      Apesar destes desafios, o advogado est\u00e1 otimista em rela\u00e7\u00e3o ao futuro: a Lei de Dados da UE<\/strong> vai definir um rumo importante. Os fornecedores de servi\u00e7os de computa\u00e7\u00e3o em nuvem ser\u00e3o obrigados a permitir estrat\u00e9gias de multicloud<\/strong>, ou seja, a apoiar uma mudan\u00e7a f\u00e1cil entre fornecedores – sem custos de mudan\u00e7a elevados. Isto contribuir\u00e1 ativamente para o refor\u00e7o da soberania europeia no espa\u00e7o digital<\/strong> e para a cria\u00e7\u00e3o de mais alternativas aos hiperescaladores americanos<\/strong> a longo prazo. <\/p>\n\n

      Resta saber se, a prazo<\/strong>, a Europa ser\u00e1 capaz de atuar de forma mais independente e segura no espa\u00e7o digital. No entanto, Raabe-Stuppnig est\u00e1 confiante: “A vontade pol\u00edtica existe – e com apoio e regulamenta\u00e7\u00e3o espec\u00edficos, poder\u00e3o surgir em breve alternativas europeias vi\u00e1veis. <\/p>\n\n

      Uma ren\u00fancia geral a solu\u00e7\u00f5es de pa\u00edses terceiros n\u00e3o \u00e9 pratic\u00e1vel nem legalmente exigida. As empresas devem ponderar cuidadosamente a sensibilidade dos seus dados, os parceiros adequados e as medidas de prote\u00e7\u00e3o espec\u00edficas que podem aplicar. Quem j\u00e1 recorre a SCC, TIA e cifragem<\/strong> n\u00e3o s\u00f3 est\u00e1 seguro do ponto de vista jur\u00eddico, como tamb\u00e9m refor\u00e7a a posi\u00e7\u00e3o da Europa na concorr\u00eancia digital. <\/p>\n\n

      <\/p>\n","protected":false},"excerpt":{"rendered":"

      Prote\u00e7\u00e3o de dados na Europa – sproof<\/p>\n","protected":false},"author":6,"featured_media":69469,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1404],"tags":[],"class_list":["post-69468","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-direito-negocios-e-impostos"],"acf":[],"_links":{"self":[{"href":"https:\/\/wp-staging.sproof.com\/pt-pt\/wp-json\/wp\/v2\/posts\/69468","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/wp-staging.sproof.com\/pt-pt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wp-staging.sproof.com\/pt-pt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wp-staging.sproof.com\/pt-pt\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/wp-staging.sproof.com\/pt-pt\/wp-json\/wp\/v2\/comments?post=69468"}],"version-history":[{"count":3,"href":"https:\/\/wp-staging.sproof.com\/pt-pt\/wp-json\/wp\/v2\/posts\/69468\/revisions"}],"predecessor-version":[{"id":157824,"href":"https:\/\/wp-staging.sproof.com\/pt-pt\/wp-json\/wp\/v2\/posts\/69468\/revisions\/157824"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/wp-staging.sproof.com\/pt-pt\/wp-json\/wp\/v2\/media\/69469"}],"wp:attachment":[{"href":"https:\/\/wp-staging.sproof.com\/pt-pt\/wp-json\/wp\/v2\/media?parent=69468"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wp-staging.sproof.com\/pt-pt\/wp-json\/wp\/v2\/categories?post=69468"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wp-staging.sproof.com\/pt-pt\/wp-json\/wp\/v2\/tags?post=69468"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}