A 11 de setembro de 2025, o CEPD publicou as Orientações 3/2025 sobre a interação DSA–RGPD, confirmando que, sempre que o cumprimento do DSA envolver dados pessoais, ambos os regimes se aplicam em conjunto. Exige-se base jurídica para medidas voluntárias de detetar/remover ilícitos; nos mecanismos de notificação/ação, pedir só dados necessários, garantir transparência quando a identidade do notificador é partilhada e assegurar revisão humana; dark patterns violam lealdade/transparência; na publicidade, transparência na recolha (RGPD) e na exibição (DSA), proibido targeting com categorias especiais e profiling a menores; nos sistemas de recomendação, aplicar salvaguardas do art. 22.º, oferecer opção equivalente sem profiling e, escolhida, cessar toda a perfilagem; na proteção de menores, medidas apenas necessárias/proporcionais, vedadas verificações intrusivas e retenção de ID. Reforça-se a cooperação entre Coordenadores, Comissão e Autoridades de Controlo (ne bis in idem) e recomenda-se rever programas de compliance: mapear tratamentos ligados ao DSA, documentar bases jurídicas/DPIA, eliminar dark patterns e preparar-se para fiscalização.
Contexto
A 11 de setembro de 2025, o Comité Europeu para a Proteção de Dados (CEPD) publicou as Orientações 3/2025 sobre a interação entre o Regulamento dos Serviços Digitais (DSA) e o Regulamento Geral sobre a Proteção de Dados (RGPD).
As Orientações esclarecem como os prestadores de serviços intermediários devem interpretar e aplicar o RGPD ao cumprir as obrigações decorrentes do DSA, garantindo que ambos os Regulamentos sejam aplicados de forma coerente e sem diminuir o nível de proteção assegurado aos indivíduos.
Principais Disposições clarificadas pelas Orientações
As Orientações explicam como o RGPD se aplica às organizações na implementação e cumprimento das obrigações previstas no DSA. Na prática, tal significa que, sempre que as obrigações do DSA envolverem o tratamento de dados pessoais, os prestadores de serviços devem considerar ambos os regimes em conjunto.
- O CEPD confirma que, sempre que adotem medidas voluntárias para detetar e remover conteúdos ilícitos, as plataformas devem dispor de uma base jurídica adequada ao abrigo do RGPD, como o interesse legítimo ou o cumprimento de uma obrigação legal.
- Os mecanismos de notificação e ação constituem igualmente uma área central das Orientações. As plataformas não devem exigir aos notificadores dados pessoais desnecessários, e sempre que a identidade de um notificador seja transmitida a outro utilizador, são aplicáveis as regras de transparência previstas no RGPD. Além disso, as reclamações não podem ser tratadas exclusivamente por meios automatizados impondo-se a existência de uma supervisão humana efetiva.
- As Orientações assumem também uma posição firme relativamente aos dark patterns, esclarecendo que os modelos de interface que induzam em erro ou influenciem os utilizadores a divulgar dados pessoais são incompatíveis com os princípios de lealdade e transparência consagrados no RGPD.
- As obrigações em matéria de publicidade são igualmente reforçadas. Os requisitos de transparência aplicam-se tanto no momento de recolha dos dados (ao abrigo do RGPD) como no momento de apresentação de um anúncio (ao abrigo do DSA). A utilização de categorias especiais de dados para fins de direcionamento é estritamente proibida e a publicidade baseada em perfis dirigida a menores encontra-se expressamente vedada.
- Os sistemas de recomendação ficam sujeitos a um escrutínio acrescido. Sempre que a personalização configure uma decisão automatizada, são aplicáveis as salvaguardas previstas no artigo 22.º do RGPD. Os prestadores devem disponibilizar uma opção acessível sem recurso ao profiling, devendo evitar qualquer forma de apresentação que a faça parecer uma escolha inferior. Uma vez selecionada, a opção de não criação de perfis exige que toda a perfilagem seja interrompida.
- No que respeita à proteção de menores, as Orientações reconhecem que determinadas medidas protetivas podem constituir uma base jurídica ao abrigo do RGPD, mas apenas quando sejam necessárias e proporcionais. Métodos intrusivos, como a verificação permanente da idade ou a conservação de documentos de identificação, são incompatíveis com o princípio da minimização dos dados.
Por último, as Orientações sublinham a importância da cooperação entre os Coordenadores dos Serviços Digitais, a Comissão Europeia e as Autoridades de Controlo em matéria de proteção de dados. A aplicação coordenada revela-se essencial para assegurar a coerência entre os regimes e para garantir o respeito pelo princípio ne bis in idem (proibição de dupla sanção pelo mesmo comportamento).
Ações Recomendadas e Próximos Passos
A mensagem do CEPD é clara: a conformidade com o DSA deve, em todas as circunstâncias, respeitar as normas do RGPD. Para se prepararem, as empresas e, em especial, as plataformas em linha e motores de busca, devem rever desde já os seus programas de compliance, de modo a assegurar o seguinte:
- Verificar em que medida os deveres decorrentes do DSA envolvem operações de tratamento de dados pessoais, por exemplo em matéria de moderação de conteúdos, publicidade, sistemas de recomendação e proteção de menores, identificando eventuais sobreposições;
- Documentar a base jurídica para cada operação de tratamento de dados pessoais e respetivas finalidades, bem como realizar Avaliações de Impacto sobre a Proteção de Dados (DPIA) sempre que estejam em causa práticas de profiling, publicidade ou riscos sistémicos;
- Rever o design e os sistemas de forma a remover quaisquer dark patterns, garantindo que os sistemas de recomendação ofereçam uma opção clara e equivalente sem recurso ao profiling;
- Aplicar salvaguardas proporcionais na proteção de menores, evitando a verificação de idade de forma intrusiva ou permanente;
- Preparar-se para os poderes de fiscalização exercidos quer pelos Coordenadores dos Serviços Digitais como pelas Autoridades de Controlo em matéria de proteção de dados.
