Escrito por Anna Luiza Dourado[*]
O Regulamento Geral de Proteção de Dados (RGPD) juntamente com a Diretiva de Aplicação da Lei (LED) e o Regulamento de Proteção de Dados para instituições, órgãos, serviços e agências da UE (EUDPR) formam a legislação de proteção de dados da União Europeia. Além disso, ocorreu a criação do grupo de peritos da Comissão sobre o RGPD e a Diretiva de Proteção de Dados (DED), a fim de atuar como um fórum para a troca de opiniões e informações entre a Comissão e os Estados-Membros sobre a aplicação do RGPD e da DED. Assim, por meio dessas autoridades e organismos nacionais e europeus de proteção de dados, garantem-se as respectivas instituições que a legislação seja aplicada com eficiência.
Diante disso, é necessário entender esse fenômeno da intensa coleta de dados pessoais, seja direta ou indiretamente, através de diversos aparelhos coletores, principalmente o smartphone. O aparelho é responsável por reter informações, devido à rede de conexão com a internet. Dessa forma, alimenta-se essa base de dados com o armazenamento sobre a rotina do usuário e a transferência de informações também. Com isso, esse processo ocorre a partir do momento em que um usuário oferece seu consentimento, consequentemente a concordância com os termos de uso de algumas redes sociais, ou a política de cookies de um determinado site por exemplo. Desse modo, o mercado europeu de proteção de dados como serviço foi estimado em US$ 5,98 bilhões em 2024, e deverá atingir US$ 11,83 bilhões até 2029, crescendo a uma taxa de 14,60% durante o período de previsão (2024-2029). Portanto, é válido analisar como esse processo ocorre no continente europeu com a RGPD e o mercado de dados, devido sua importância global, bem como sua influência jurídica em diversos países, como o Brasil, o qual teve a LGPD (Lei Geral de Proteção de Dados Pessoais) inspirada na RGPD.
Inicialmente, o Regulamento Geral para a Proteção de Dados, consoante seus artigos 6° parágrafo 1 e 9° parágrafo 2 (categoria especial), é a norma europeia responsável por tratar do consentimento para a coleta e tratamento de dados pessoais. Para isso ocorrer, deve haver o consentimento de livre vontade, a fim de permitir a recolha e o tratamento desses dados pessoais, tendo em vista que o Regulamento se posiciona firmemente ao tutelar que os responsáveis pelo tratamento estão limitados à colheita de dados apenas do que seja necessário para a execução do contrato do serviço. Porém, ainda há preocupação com a exploração sem limites da informação pessoal, uma vez que as entidades devem limitar a busca de dados “desnecessários”. Nesse viés, o mercado passou a utilizar esses dados pessoais, a fim de competir em dimensões não-tradicionais, consequentemente sem respeitar as questões de privacidade.
Nessa perspectiva, é válido salientar que é certo considerar que não podem ser armazenados dados pessoais para finalidades futuras que ainda não estão previstas no momento de recolha[i]. Mais do que isso: não basta que o responsável pelo tratamento demonstre a não incompatibilidade na nova finalidade. A prossecução de novas finalidades encontra-se igualmente dependente do respeito escrupuloso de todos os princípios[ii]. Com isso, as empresas devem limitar a coleta de dados suficientemente até o alcance de seus objetivos, consequentemente excluir o que não estiver em conformidade com os mesmos.
Contudo, essa lógica de limitação de recolha e exclusão de dados não corresponde com o atual modelo de mercado relacionado ao Big Data. Além disso, o art. 9° do Regulamento da RGPD prevê o tratamento de categorias especiais de dados pessoais, contudo sem fornecer uma definição a respeito desses dados sensíveis ou especiais, os quais podem revelar a origem étnica, as opiniões políticas, as convicções religiosas ou a filiação sindical. Isso demonstra que o legislador opta pelo termo “tratamento” devido à grande volubilidade jurídico-social do tema, o qual passa por evoluções e alterações constantes, mas também a real dificuldade de determinação entre a categoria ‘regular’ de dados pessoais, e os dados sensíveis.
Vale ressaltar que a etapa de análise de dados é importantíssima na criação de valor do dado pessoal, ou seja, é a partir da análise que a monetização da informação pessoal se torna mais consistente. A partir dessa extração de informações para a análise, é buscado o conhecimento comercialmente relevante dos dados disponíveis, a fim de que haja novas informações inferidas. Logo, esses dados inferidos podem ser considerados como dados pessoais, uma vez que podem causar impacto na vida de uma pessoa. Assim, é necessário considerá-los como objeto de proteção jurídica do direito à proteção de dados.
Diante dessas considerações, na sequência da proposta da Comissão, do Conselho e do Parlamento Europeu, em maio de 2025, foi acordado o estabelecimento de novas regras processuais relativas à aplicação do RGPD. Desse modo, a nova lei visa proporcionar uma aplicação mais rápida e eficaz do RGPD em casos transfronteiriços de grande dimensão. Ademais, é importante ressaltar que o Regulamento não afetará quaisquer elementos substanciais do RGPD, tais como os direitos dos titulares dos dados, as obrigações dos responsáveis pelo tratamento e subcontratantes de dados, ou os fundamentos legais para o tratamento de dados pessoais, conforme estabelecido pelo RGPD. Todavia, o texto ainda está sendo provisoriamente acordado e passando pela adoção formal pelos colegisladores no Conselho e no Parlamento Europeu.
Portanto, conclui-se que ao corpo legislativo comunitário não cabe apenas garantir o direito fundamental à proteção de dados, mas também zelar pela integridade e equidade do mercado digital que se estrutura em torno desses dados. O Regulamento Geral sobre a Proteção de Dados (RGPD) não apenas estabelece parâmetros legais para o tratamento de informações pessoais, mas também influencia diretamente a dinâmica do mercado de dados na União Europeia. Por fim, a atuação regulatória deve equilibrar a proteção dos direitos individuais com a promoção de um ambiente de negócios justo e transparente. Tais diretrizes podem servir para aprimorar a base regulatória doméstica no Brasil.
Referências Bibliográficas
EUROPEAN COMMISSION. The European Data Market Study 2024‑2026. Publicação em 04 ago. 2024. Disponível em: https://digital-strategy.ec.europa.eu/en/library/european-data-market-study-2024-2026. Acesso em: 20 jul. 2025.
CORDEIRO, António Barreto Menezes – Direito da proteção de dados: à luz do RGPD e da Lei n. 58/2019. Coimbra: Almedina, 2020. ISBN 978-972-40-8304-9.
EUROPEAN COMMISSION. Legal framework of EU data protection. 2025. Disponível em: https://commission.europa.eu/law/law-topic/data-protection/legal-framework-eu-data-protection_en. Acesso em: 20 jul. 2025.
EUROPEAN UNION. Manual da legislação europeia sobre proteção de dados. [Em linha]. Luxembourg: Publications Office, 2014.
MORDOR INTELLIGENCE. Europe Data Protection-as-a-Service Market Size & Share Analysis – Growth Trends & Forecasts (2025‑2030). Publicado em 5 jan. 2025. Disponível em: https://www.mordorintelligence.com/industry-reports/europe-data-protection-as-a-service-market. Acesso em: 21 jul. 2025
PINHEIRO, Alexandre Sousa; COELHO, Cristina Pimenta; DUARTE, Tatiana; GONÇALVES, Carlos Jorge; GONÇALVES, Catarina Pina. Comentário ao regulamento geral de proteção de dados. [S.l.] : Ed. Almedina, 2018. ISBN 972-40-7782-9.
[i] Pinheiro et al., 2018.
[ii] Cordeiro, 2020.
[*] Graduanda do 3º semestre na Faculdade de Direito da Universidade de Brasília. Membro do Veredicto – Simulações, Pesquisa e Extensão. E-mail de contato: annalumarino5@gmail.com.
