Europa avança para flexibilizar o GDPR e as regras de IA

 (theverge.com)
1 pontos por GN⁺ 2025-11-20 | 1 comentários | Compartilhar no WhatsApp
  • A União Europeia propôs uma revisão para flexibilizar dispositivos centrais do GDPR e da lei de IA, avançando na desregulamentação sob pressão da indústria e do governo dos EUA
  • A proposta facilita o compartilhamento de dados anonimizados e pseudonimizados e permite que empresas de IA usem dados pessoais para treinamento, desde que cumpram os requisitos do GDPR
  • A aplicação das regras para sistemas de alto risco do AI Act será adiada e só entrará em vigor depois que padrões e ferramentas de suporte estiverem prontos
  • Inclui simplificação administrativa, como redução de banners de cookies, simplificação das exigências de documentação de IA para PMEs, integração de relatórios de cibersegurança e centralização da supervisão no AI Office
  • A proposta busca estimular a inovação na Europa e a recuperação econômica, mas organizações civis e políticos reagem dizendo que isso enfraquece direitos fundamentais e cede à pressão das big techs

Proposta da União Europeia para flexibilizar regras de privacidade e IA

  • A Comissão Europeia anunciou uma revisão para flexibilizar pontos principais do GDPR (Regulamento Geral sobre a Proteção de Dados) e do AI Act (Lei de IA)

    • O afrouxamento regulatório avança em meio à forte pressão da indústria e do governo dos EUA
    • O objetivo é simplificar procedimentos administrativos e estimular o crescimento econômico

  • As mudanças no GDPR incluem a flexibilização dos procedimentos de compartilhamento de dados pessoais anonimizados e pseudonimizados

    • Empresas poderão trocar esses dados com mais facilidade
    • Empresas de IA poderão usar legalmente dados pessoais no treinamento de IA, desde que cumpram os demais requisitos do GDPR

Principais mudanças no AI Act

  • Adiamento da aplicação das regras para sistemas de IA de alto risco

    • As regras, que originalmente entrariam em vigor no verão do ano seguinte, foram adiadas para “depois que os padrões necessários e as ferramentas de suporte estiverem prontos”
    • Isso se aplica a disposições voltadas a sistemas que podem representar riscos graves à saúde, à segurança e aos direitos fundamentais

  • Inclusão de medidas de flexibilização para pequenas e médias empresas

    • Simplificação das exigências de documentação relacionadas à IA
    • Integração da interface de reporte de incidentes de cibersegurança
    • Centralização da supervisão por meio do AI Office

Flexibilização das regras de cookies

  • Foi apresentada uma revisão que inclui a redução de banners e pop-ups de cookies
    • Alguns cookies de baixo risco serão permitidos sem pop-up
    • Usuários poderão gerenciar as configurações de cookies de uma vez por meio de um recurso centralizado do navegador

Posição e objetivos da União Europeia

  • A União Europeia explica que essa revisão está sendo conduzida no “jeito europeu (European way)
    • A vice-presidente executiva responsável pela soberania tecnológica, Henna Virkkunen, disse que o objetivo é evitar que startups e PMEs fiquem travadas por regulações complexas
    • Destacou a ampliação do acesso a dados, a introdução de uma carteira empresarial comum e a manutenção da proteção de direitos fundamentais

Reações políticas e controvérsia

  • A proposta precisa passar pela aprovação do Parlamento Europeu e dos 27 Estados-membros, exigindo maioria qualificada (qualified majority)

    • O processo de aprovação pode levar vários meses, e há possibilidade de mudanças no texto

  • Houve reação de organizações civis e do meio político

    • Um rascunho vazado foi criticado por enfraquecer salvaguardas básicas e ceder à pressão das big techs
    • O GDPR é visto como peça central da política tecnológica europeia, uma política “quase sagrada”

  • A decisão veio após pedidos de flexibilização por parte de big techs, do ex-presidente dos EUA Donald Trump e do ex-presidente do Banco Central Europeu Mario Draghi

    • A União Europeia afirma que se trata não de desregulamentação, mas de simplificação, e reforça que a medida busca recuperar a competitividade global
    • Segundo a matéria, a Europa tem pouquíssimos concorrentes confiáveis na disputa por IA, hoje liderada por empresas dos EUA e da China, como DeepSeek, Google e OpenAI

Sem informações adicionais no texto original

Leituras relacionadas

1 comentários

 
GN⁺ 2025-11-20
Comentários do Hacker News

  • Entendo que regulamentação demais pode ser um problema, mas proteção de dados pessoais não deveria ter exceção
    Quando vejo banners de cookies, sempre procuro “rejeitar todos”. Nenhum dado deveria ser coletado a menos que o usuário concorde explicitamente
    Empresas não respeitam nada além do lucro. Por isso, é amargo ver esse movimento para flexibilizar essas leis usando a IA como desculpa. E é ainda mais grave empurrarem políticas de vigilância como o Chat Control

    • Não acho que isso possa ser visto simplesmente como uma questão de ter mais ou menos regulamentação
      Algumas áreas precisam de mais regras, outras de menos. O importante é o que regular e como regular
    • Ter muita regulamentação não é necessariamente bom. Se houver demais, elas entram em conflito entre si ou criam brechas, e o custo de conformidade aumenta, favorecendo apenas as grandes empresas
      Mas regulamentações essenciais, como a obrigação de divulgar ingredientes de alimentos, são um bom exemplo
    • É absurdo ver que até em itens “sempre ativos” há centenas de “parceiros” envolvidos
      Como caso relacionado, dá para ver este comentário
    • A função de rejeitar cookies deveria ser oferecida como configuração padrão do navegador
    • O verdadeiro problema da Europa não são os cookies, e sim as regulamentações que sufocam startups
      Banners de cookies são só mais um problema criado na tentativa de resolver outro, e impõem um peso desnecessário a equipes pequenas

  • É surpreendente como a postura da UE e da comunidade do HN mudou 180 graus
    Antes eu apoiava a UE quando ela atacava big techs como a Meta, mas agora o clima mudou
    Eu gostaria que a Meta caísse naturalmente. O ideal seria as pessoas pararem de usar por vontade própria e, como resultado, ela desaparecer
    Regulamentação forçada acaba prejudicando o espírito de fundador e hacker

    • Nos últimos 10 anos, o espírito hacker da comunidade do HN enfraqueceu, e aumentou o número de pessoas interessadas apenas em ganhar dinheiro
      A era do ZIRP e a influência do filme The Social Network pesaram bastante
    • Mas a Meta tem dinheiro demais e simplesmente compra concorrentes
      Instagram e WhatsApp são exemplos disso
    • Os efeitos de rede são fortes demais para a Meta ruir sozinha
      O WhatsApp não pode desaparecer sem intervenção do governo
    • Isso ainda está apenas na fase de proposta da CE, então não se sabe se a UE de fato vai aprovar
    • O HN não é um grupo de opinião único
      Sempre há divisão entre favoráveis e contrários quando a UE regula alguma empresa

  • Eu entendo a dificuldade das startups, mas a solução não é enfraquecer a regulamentação, e sim criar regulamentação inteligente
    São necessários portos seguros claros para pequenas empresas, um sistema de consentimento no nível do navegador e uma fiscalização forte contra CMPs com dark patterns

    • “Regulamentação inteligente” não significa simplesmente aumentar a quantidade de regras
      Excesso de regulamentação acaba salvando apenas as grandes empresas, e as pequenas e médias não conseguem suportar
    • O problema não é a quantidade de regras, e sim a incerteza
      Não saber se estou cumprindo a lei corretamente aumenta os custos. Isso vale para impostos, trabalho, meio ambiente, construção e todas as outras áreas
    • As leis deveriam ser aprimoradas de forma iterativa em ciclos curtos, como software
      Por exemplo, um grupo de trabalho poderia publicar atualizações a cada 4 meses, receber feedback público e revisar, criando um sistema legal versão 1.0
    • Colocar condicionais na lei acaba favorecendo as grandes empresas
      Ela fica complexa, como o GDPR ou a OSA, e surge a conformidade maliciosa
      Acho melhor uma lei simples e forte, incluindo punição criminal em caso de vazamento de dados

  • A nova proposta para reduzir banners de cookies é bem-vinda
    Cookies de “baixo risco” deixariam de gerar pop-ups, e o restante poderia ser gerenciado por um controle central do navegador

    • Na verdade, cookies de baixo risco já eram exceção para banners
      O problema é que os atuais banners que forçam consentimento já violam a lei. Escolher flexibilização em vez de fiscalização terá efeito contrário no ecossistema tecnológico da UE
    • No fim, banners de cookies geram o resultado que a indústria do abuso de dados queria
      Cidadãos e pequenas empresas perdem, e só o grande ecossistema de publicidade sai ganhando
    • Muitos banners já nem são necessários
      Por causa da propaganda da adtech, as pessoas entendem errado a defesa contra rastreamento. Sites que usam apenas cookies puramente técnicos nunca precisaram de banner
    • O cabeçalho Do Not Track era muito mais sensato
      Hoje, o Global Privacy Control surgiu como alternativa
    • No fim, a própria UE parece estar admitindo que sua política de cookies foi um fracasso
      Até sites do governo exibiam banners gigantes

  • É natural que o controle de cookies passe a ser possível no navegador
    O mesmo vale para verificação de idade, que deveria ser tratada no nível do SO
    Se sites começarem a coletar documentos de identidade, isso inevitavelmente vai levar a invasões e vazamentos
    Se os pais configurarem o dispositivo do filho em “Kid Mode”, bastaria a lei respeitar esse modo

    • Mas eu também sou cético quanto à verificação que preserva privacidade
      Se as fontes de dados forem unificadas, há risco de identificar o usuário. Pode ser por eu não entender bem a implementação criptográfica, mas ainda assim me incomoda
    • Recursos do SO também são arriscados. Basta lembrar da época em que a Coreia do Sul forçava ActiveX
      Em vez disso, seria melhor o governo fornecer um serviço público de identidade digital e autenticar com 2FA
    • Essa abordagem também pode virar uma proibição indireta de soluções open source
      No fim, isso pode levar à lógica de “só SOs comerciais com secure boot são permitidos”
    • Um “bom Kid Mode” deveria ser simples e claro, como este telefone de Lego
    • No passado, o padrão P3P tentou automatizar isso, mas o Google estragou tudo

  • É difícil entender a conclusão de que “regulamentação é ruim” ao ver o inferno dos cookies
    O verdadeiro problema é a falta de fiscalização. Se tivessem aplicado multas reais por dark patterns, isso não teria acontecido
    A UE deveria, na verdade, fazer uma fiscalização mais forte

    • Mas eu não quero uma internet projetada por políticos e advogados
      Um nível desses de regulamentação pode sufocar a criatividade
    • O motivo para seguir a regulamentação não são as multas, e sim o fato de ser a lei
      Discutir os prós e contras da regulamentação é uma questão separada do tema das multas
    • Até os sites governamentais da UE estão cheios de banners de cookies. Eles também querem os dados

  • Para a Europa, essa mudança é muito importante
    Já prestei consultoria a mais de 100 startups, e empresas da UE reclamam que a regulamentação as deixa sem ar

    • Fico curioso sobre para que essas startups usaram os dados dos usuários
    • Mas eu considero a proteção de dados pessoais muito mais importante do que startups
      Se não conseguem tratar isso direito, então nem deveriam lidar com esses dados. A confiança das pessoas é o essencial
    • Sinceramente, cumprir o GDPR não é difícil
      O problema é a incompetência, não a regulamentação. Empresas que tratam dados de forma irresponsável não merecem ter sucesso

  • A Europa está enfraquecendo por causa dos lobistas
    Nem políticos como Ursula são exceção

    • Na verdade, os lobistas enfraquecem o mundo inteiro
      É preciso uma regulamentação financeira mais forte do que a dos políticos
    • A pesquisa em IA precisa de grandes volumes de dados, e o GDPR vai na direção oposta
      Por isso, países com regulamentação de dados mais frouxa ficam em vantagem.
      Parece uma tentativa da UE de reconhecer e aliviar esse próprio handicap

  • Essa proposta agora segue para o processo de aprovação do Parlamento Europeu e dos 27 Estados-membros
    Nada ainda está definido

  • O GDPR não é algo em que se deva ceder
    O problema dos banners de cookies existe porque os operadores dos sites escolheram usar dark patterns
    A UE deveria, na verdade, ter reprimido isso com força
    Um controle central no navegador pode ser uma versão melhorada do Do Not Track, mas a força legal continua sendo indispensável

    • Na prática, a maioria das pessoas não quer cookies
      Acho melhor tornar ilegais os cookies não essenciais
    • O controle deveria acontecer no nível do SO, não do navegador
      Aplicativos também rastreiam dados, então o ideal seria perguntar uma vez nas configurações do dispositivo e encerrar o assunto