Conhecimento
Notícia
24.11.2025

Digital Omnibus: o que irá mudar no RGPD, AI Act, NIS2 e DORA - e porque é importante começar a antecipar mudanças

by Sofia Leite Borges, Henrique Delgado Lourenço
Digital Omnibus: o que irá mudar no RGPD, AI Act, NIS2 e DORA - e porque é importante começar a antecipar mudanças

A 19 de novembro de 2025, a Comissão Europeia apresentou a proposta “Digital Omnibus”, um pacote legislativo que pretende simplificar e harmonizar o quadro regulatório digital da União Europeia. O objetivo declarado é reduzir encargos administrativos sem comprometer o nível de proteção atualmente existente.

A proposta introduz alterações em diplomas estruturantes como o RGPD, o AI Act, a NIS2 e o DORA, com impacto direto na forma como as organizações tratam dados, gerem riscos tecnológicos e reportam incidentes.

Principais alterações em destaque

RGPD – redefinição de “dados pessoais” e articulação com a IA

  • A proposta clarifica que os dados só são considerados pessoais quando o responsável pelo tratamento conseguir identificar o titular recorrendo a meios razoáveis e proporcionais, mesmo que, em abstrato, terceiros pudessem fazê-lo. Esta leitura tende a estreitar o âmbito de aplicação do RGPD, mas abre espaço a debate sobre riscos de reidentificação por outros atores.
  • Prevê-se ainda um alinhamento mais explícito entre o RGPD e o AI Act, nomeadamente no uso de dados pessoais — e, em certos casos, dados pseudonimizados — para treino de modelos de IA, sujeito a salvaguardas reforçadas.

AI Act – prazos, PME e dados sensíveis para mitigação de enviesamentos

  • Os prazos de plena aplicação do regime de alto risco são significativamente adiados (em alguns casos até 2027), permitindo uma transição mais faseada.
  • Introduzem-se obrigações mais proporcionais para PME e e pequenas empresas de média capitalização, com simplificação documental e ajustamento de certos requisitos de conformidade.
  • A promoção da literacia em IA passa a ser uma responsabilidade mais clara da Comissão Europeia e dos Estados-Membros.
  • Cria-se um quadro específico que permite, em condições estritas, o tratamento de categorias especiais de dados pessoais para detetar e mitigar enviesamentos em sistemas de IA, reconhecendo que, sem esses dados, a verificação de não discriminação é muitas vezes inviável.

NIS2 – ponto único de contacto europeu para reporte de incidentes

  • A Agência da União Europeia para a Cibersegurança (ENISA) passa a assumir um papel central na gestão de um ponto único de entrada para notificações de incidentes de cibersegurança, seguindo o princípio “report once, share many”. A entidade reporta uma vez; a informação é distribuída às autoridades competentes.
  • Este mecanismo visa harmonizar obrigações de reporte atualmente dispersas por vários diplomas (NIS2, DORA, RGPD, eIDAS e, potencialmente, CER), reduzindo duplicações e eliminando prazos e formulários incompatíveis.

DORA – integração no novo “hub” de reporte de incidentes TIC

  • As entidades abrangidas pelo DORA passarão a reportar incidentes graves de TIC através do mesmo ponto único de entrada, alinhando o regime financeiro com o modelo centralizado previsto para a NIS2.
  • Espera-se uma redução significativa de redundâncias, maior consistência dos dados reportados e melhor coordenação entre autoridades setoriais e de cibersegurança.

O que isto significa na prática para as empresas
Embora ainda em fase de proposta - e sujeita a negociação com o Parlamento Europeu e o Conselho - é prudente que as organizações com exposição relevante a estes regimes iniciem desde já a sua reflexão sobre a melhor forma de antecipar mudanças prováveis nestes setores.

Recomenda-se, em particular:

1. Revisão de mapas de dados e bases de legitimidade
À luz da nova interpretação de “dados pessoais” e do potencial uso de dados, incluindo sensíveis, para treino de IA.

2. Atualização de programas de compliance em IA
Incluindo governance, capacitação de equipas, documentação técnica, processos de avaliação de risco e adaptação aos novos prazos do AI Act.

3. Reorganização dos processos de reporte de incidentes
Antecipando a migração para um modelo de ponto único, com alinhamento entre equipas de cibersegurança, risco operacional, jurídico e compliance.

4. Gestão integrada de riscos TIC
Evoluindo para um quadro comum NIS2/DORA, evitando duplicações e garantindo uma visão única sobre riscos críticos.

5. Clarificação de responsabilidades internas
Estabelecendo quem decide, quem reporta e quem valida, com equipas e circuitos preparados para os novos fluxos de comunicação.

6. Criação de templates e procedimentos
De modo a facilitar o preenchimento de formulários harmonizados quando o single entry point estiver operacional.

Uma oportunidade — e um alerta

A proposta Digital Omnibus representa simultaneamente:

  • uma oportunidade de racionalizar esforços de compliance, através da harmonização dos fluxos de reporte e da clarificação de conceitos-chave; e
  • um ponto de atenção quanto à eventual redução de salvaguardas em matérias sensíveis como dados pessoais e IA.

Como podemos apoiar
A nossa equipa acompanha de forma contínua a evolução regulatória europeia e está preparada para apoiar empresas na implementação prática do RGPD, AI Act, NIS2, DORA e agora da proposta Digital Omnibus.

Para mais informações sobre a nossa área de apoio jurídico ao compliance, visite o nosso site e contacte a nossa equipa.

Mais Conhecimento

Notícia
19.11.2025

REGULATORY WATCH de 13.11.2025 a 19.11.2025 🔔
Eventos
06.11.2025

A Leite Borges esteve presente no 13.º Aniversário da FundsPeople
Eventos
30.10.2025

A Leite Borges esteve presente na XIV Feira de Emprego da Faculdade de Direito da Universidade de Lisboa, à procura de talento!

REGULATORY WATCH de 13.11.2025 a 19.11.2025 🔔
A Leite Borges esteve presente no 13.º Aniversário da FundsPeople
A Leite Borges esteve presente na XIV Feira de Emprego da Faculdade de Direito da Universidade de Lisboa, à procura de talento!
Todas as notícias