UE recua em regras de IA e privacidade: o que está em jogo com o pacote “Digital Omnibus”

Sob pressão das Big Tech e dos EUA, a Comissão Europeia prepara mudanças no GDPR e no AI Act para reduzir burocracia e impulsionar a inteligência artificial, enquanto críticos alertam para um esvaziamento histórico da proteção de dados na União Europeia.

A União Europeia, há anos vista como referência mundial em proteção de dados e regulação digital, está prestes a dar um passo atrás nesse modelo. A Comissão Europeia prepara um pacote de reformas conhecido como “Digital Omnibus”, que deve ser apresentado em 19 de novembro e que, na prática, afrouxa partes importantes do Regulamento Geral de Proteção de Dados (GDPR) e do recém-aprovado AI Act, a lei europeia de inteligência artificial.

Oficialmente, o objetivo é “cortar burocracia”, “simplificar regras” e “impulsionar a competitividade europeia em IA” frente a Estados Unidos e China. Na prática, porém, o pacote abre exceções que facilitam o uso de dados pessoais – inclusive dados sensíveis – para treinar modelos de inteligência artificial, o que provoca forte reação de defensores da privacidade e especialistas em direitos digitais, que falam em um “golpe histórico” nas garantias do GDPR, um verdadeiro “death by a thousand cuts” à legislação.

O que é o “Digital Omnibus”

O Digital Omnibus é uma iniciativa da Comissão Europeia para rever e “harmonizar” diferentes leis digitais adotadas nos últimos anos, entre elas:

• o GDPR (Regulamento Geral de Proteção de Dados);
• o AI Act (lei de inteligência artificial, aprovada em 2024);
• a e-Privacy Directive (regras sobre comunicações eletrônicas e cookies);
• o Data Act e outras normas conexas.

A ideia oficial é eliminar “sobreposições, incoerências e excesso de obrigações” para empresas que precisam cumprir, ao mesmo tempo, múltiplos regulamentos. A Comissão apresenta o pacote como um movimento de “ajuste técnico” para tornar o ambiente regulatório europeu mais previsível e amigável à inovação em IA.

Mas os documentos em discussão mostram que não se trata apenas de ajustes de linguagem. Há mudanças de fundo, principalmente em como dados pessoais podem ser usados para treinar sistemas de IA.

Principais mudanças propostas: onde a UE está recuando

Uso de dados pessoais para treinar IA com base em “interesse legítimo”

Uma das mudanças mais polêmicas permitiria que empresas como Google, Meta, OpenAI e outras gigantes de tecnologia usem dados pessoais de europeus para treinar modelos de IA com base no critério de “interesse legítimo”, sem depender tanto de consentimento explícito.

Isso inclui:

• Dados coletados em sites, apps e plataformas;
• Dados que, hoje, exigem consentimento claro do usuário para certos tipos de uso;
• Possibilidade de argumentar que o treinamento de IA “beneficia a sociedade” ou “melhora a segurança” para justificar esse tratamento.

Críticos afirmam que isso contraria a lógica original do GDPR, que coloca o consentimento e a minimização de dados no centro da proteção do usuário.

Exceções para dados sensíveis e categorias especiais

Outra frente sensível do pacote é a flexibilização do uso de dados considerados “sensíveis”, como:

• origem étnica;
• opiniões políticas;
• religião;
• dados de saúde;
• orientação sexual.

Hoje, o GDPR praticamente proíbe o uso desses dados, salvo em casos estritamente delimitados. As propostas em discussão abririam exceções para fins de desenvolvimento e operação de IA, por exemplo para:

• “detectar vieses” em sistemas de IA;
• aprimorar performance algorítmica;
• realizar auditorias de não discriminação.

Na teoria, a justificativa é legítima: sem conhecer certos atributos sensíveis, é mais difícil provar e corrigir discriminação algorítmica. Mas organizações de privacidade alertam que, na prática, isso pode normalizar o uso massivo de dados sensíveis, ampliando riscos de abuso e vigilância.

Mudança na definição de “dados pessoais” e no escopo do GDPR

Outro ponto-chave é a tentativa de estreitar a definição de “dados pessoais” protegidos pelo GDPR. Isso pode excluir do escopo da lei determinados tipos de dados pseudonimizados ou agregados, facilitando sua utilização para IA e publicidade direcionada.

Além disso, há discussões sobre:

• fundir parcialmente a e-Privacy Directive com o GDPR, o que poderia afrouxar regras atuais sobre cookies e rastreamento online;
• limitar o direito de acesso que cidadãos, jornalistas e pesquisadores têm aos próprios dados, o que tornaria mais difícil fiscalizar empresas e governos.

Para defensores da privacidade, isso é justamente o “death by a thousand cuts”: cada ajuste parece técnico, mas somados eles reduzem o alcance e a força da proteção de dados na Europa.

Por que a UE está fazendo isso agora?

Há três grandes motores por trás desse recuo regulatório:

Pressão econômica e corrida global em IA

A narrativa dominante em Bruxelas é clara:

• A UE está ficando para trás em relação a Estados Unidos e China em termos de capacidade tecnológica, investimento e escala em IA;
• Regulamentação pesada, como o GDPR e o AI Act, é frequentemente apontada como parte do problema, sobretudo por empresas e alguns governos.

Ao aliviar regras, a Comissão espera:

• reduzir custos de conformidade para empresas europeias;
• tornar o bloco mais atraente para centros de pesquisa, startups e grandes investimentos em IA;
• mostrar que a UE é capaz de “ajustar” sua própria regulação sem abrir mão, em tese, dos seus princípios.

Lobby das Big Tech e pressão dos EUA

Reportagens recentes detalham meses de lobby intenso de grandes empresas de tecnologia e pressão direta do governo dos Estados Unidos contra medidas vistas como restritivas demais.

Grandes plataformas argumentam que:

a Europa corre o risco de “matar a inovação” com excesso de regras;

modelos de IA de grande escala precisam de vastos volumes de dados, inclusive sensíveis, para serem “seguros” e “não enviesados”;

a fragmentação regulatória torna o mercado europeu menos atraente.

A resposta da Comissão, ao propor o Digital Omnibus, sinaliza que parte dessas reivindicações foi atendida.

Críticas internas sobre “overregulation”

Dentro da própria UE, economistas e ex-dirigentes, como Mario Draghi, vêm defendendo a necessidade de rever a abordagem regulatória para não sufocar competitividade e inovação.

Aqui, o argumento é mais amplo:

• a Europa já enfrenta desvantagens estruturais (energia cara, pouco capital de risco, mercado fragmentado);

• se somar a isso um quadro hiper-regulado, a consequência é perder ainda mais terreno em setores de alta tecnologia.

As críticas: “desmonte” do GDPR e risco de colônia digital

A reação de organizações de direitos digitais, especialistas em privacidade e parte dos juristas é dura.

“Death by a thousand cuts” ao GDPR

Grupos como noyb (liderado por Max Schrems) e European Digital Rights (EDRi) afirmam que o pacote representa um ataque aos pilares do GDPR, inclusive:

• diluir o conceito de “dados pessoais”;
• criar grandes brechas para tratamento de dados sensíveis;
• enfraquecer o direito de acesso e a transparência.

Segundo essa visão, o que está em jogo não é apenas um ajuste técnico, mas um redesenho do equilíbrio entre direitos fundamentais e interesses econômicos.

“Entrega de soberania” às Big Tech

Artigos de opinião publicados em veículos europeus argumentam que a Comissão está cedendo às gigantes americanas e “entregando” a soberania digital europeia.

Principais pontos dessas críticas:

• Em vez de fazer cumprir o GDPR com rigor – inclusive contra empresas sediadas na Irlanda –, a UE estaria afrouxando a lei para legitimar práticas passadas de exploração de dados;
• Isso fortaleceria ainda mais o poder de empresas como Meta, Google, Microsoft, Apple e OpenAI, em detrimento de competidores europeus menores;
• A Europa correria o risco de se tornar uma “colônia digital” do Vale do Silício, dependente de tecnologia e infraestrutura estrangeiras, sem capacidade real de impor seus valores no mundo digital.

Impacto sobre grupos vulneráveis

Há também preocupação com o impacto sobre:

• crianças e adolescentes;
• minorias étnicas e religiosas;
• trabalhadores e grupos politicamente sensíveis.

Ao permitir maior uso de dados sensíveis, críticos alertam para riscos de perfilamento abusivo, discriminação automatizada, vigilância no trabalho e perseguição política, especialmente em contextos de uso combinado de IA com publicidade política, policiamento preditivo ou sistemas de crédito.

O AI Act também entra na mira

O recuo não se limita ao GDPR. Segundo reportagens recentes, a Comissão também considera “pausar” ou aliviar partes do AI Act, sobretudo as regras mais rígidas sobre:

• sistemas de alto risco, como em saúde, crédito, emprego e segurança;
• obrigações pesadas sobre modelos de base (fundation models) de grande escala.

A justificativa, mais uma vez, é evitar que o bloco crie um ambiente tão duro que empurraria a pesquisa e o desenvolvimento para fora da Europa. Mas, para críticos, isso ameaça o discurso de que a UE seria “líder global em IA confiável e centrada em direitos”.

O que acontece agora: negociação política e cenário incerto

O pacote ainda não é lei. Depois que a Comissão apresentar formalmente o Digital Omnibus, as propostas terão de passar por:

• negociações com os Estados-membros no Conselho da UE;
• debates e emendas no Parlamento Europeu.

O equilíbrio de forças é complexo:

• Países como França, Áustria e República Tcheca são apontados como críticos de um afrouxamento excessivo;
• Já Alemanha e Finlândia aparecem mais abertas a flexibilizar regras para “salvar” competitividade em IA.

O Parlamento Europeu, historicamente, tende a ser mais protetor em temas de direitos fundamentais. Deputados ligados à agenda de privacidade e Estado de Direito prometem resistir a mudanças que esvaziem o GDPR. Mas o cenário eleitoral e o clima econômico podem influenciar o desfecho.

Análise: entre competitividade e direitos fundamentais

No fundo, o debate sobre o Digital Omnibus expõe uma tensão central na política digital europeia:

• De um lado, a visão de que a Europa precisa ser dura com Big Tech e proteger direitos fundamentais como privacidade, não discriminação e liberdade de expressão;
• De outro, o medo de que um quadro regulatório muito rígido condene o continente à irrelevância tecnológica, em especial na corrida pela IA generativa e de alto desempenho.

Até agora, o “modelo europeu” era apresentado como prova de que era possível conciliar inovação e direitos. Ao propor recuos no GDPR e no AI Act, a própria UE admite que talvez tenha ido longe demais em algumas exigências, ou que, pelo menos, a implementação não acompanhou a velocidade do setor.

A questão é onde traçar a nova linha:

• Se o pêndulo for longe demais em direção à flexibilização, a UE arrisca perder credibilidade como referência global em proteção de dados;
• Se recuar pouco, continuará sob fogo cruzado de empresas e governos que exigem “mais espaço para inovar”.

Conclusão: um momento decisivo para o futuro digital da Europa

A decisão da União Europeia de preparar um recuo parcial em regras de IA e privacidade marca um momento decisivo para o projeto de “soberania digital” do bloco.

Ao abrir exceções no GDPR e aliviar partes do AI Act, a UE tenta recalibrar seu modelo: menos burocracia e mais competitividade em IA, sem, em tese, abandonar princípios de proteção de dados. Mas o risco é claro: essas mudanças podem reconfigurar o equilíbrio entre empresas e cidadãos, enfraquecendo direitos conquistados em um dos marcos mais importantes da regulação digital global.

Nos próximos meses, o debate em Bruxelas e nas capitais europeias vai mostrar se a Europa escolhe:

• um caminho de ajuste fino, com correções pontuais e reforço de mecanismos de fiscalização;
• ou um retrocesso estrutural, que consolide o poder das Big Tech e deixe os cidadãos com menos controle sobre seus dados e sua vida digital.

Em qualquer dos cenários, o desfecho do Digital Omnibus tende a influenciar não só a política interna da UE, mas também as discussões sobre IA e privacidade em todo o mundo – de governos que se inspiraram no GDPR a países que observam a disputa entre regulação forte e agendas pró-inovação a qualquer custo.