Hiper-compliance ou novo normal? O impacto da regulação europeia nas empresas

Nos últimos anos, a União Europeia (UE) tem vindo a intensificar de forma significativa a sua intervenção regulatória, procurando acompanhar a rápida evolução tecnológica, as exigências de sustentabilidade e a crescente complexidade dos mercados globais. Iniciativas como o AI Act e o reforço dos deveres em matéria de ESG refletem uma agenda regulatória mais ambiciosa, que procura não apenas mitigar riscos, mas também orientar o desenvolvimento económico segundo princípios de responsabilidade, transparência e proteção dos direitos fundamentais.

A associada principal da Morais Leitão, Inês Ferrari Careto, considera que esta intervenção não é uma mudança estrutural mas antes uma “necessidade”. “A questão que se coloca – e o próprio relatório Draghi apontou nesse sentido – é se o volume e a complexidade desta regulação não acabam por travar a inovação e deixar a Europa para trás face a outras geografias. Para as empresas, o desafio é real: têm de se adaptar a um quadro regulatório cada vez mais denso, e isso tem custos”, alerta a advogada.

Já Pedro Lomba aponta que existem dúvidas legítimas sobre o “caráter verdadeiramente estrutural” de muitas dessas inovações legislativas, uma vez que algumas podem revelar-se conjuntural, “impulsionada por ciclos políticos específicos ou por reações a crises pontuais”. “A própria proposta de Digital Omnibus, apresentada pela Comissão Europeia em 2025, que adia e flexibiliza obrigações relevantes do AI Act e de outros regulamentos, demonstra que o legislador europeu está disposto a recuar quando a pressão competitiva o exige”, revela.

Mas a questão que se coloca é: estamos ou não a entrar numa era de hiper-compliance ou este é apenas o “novo normal” da economia global? As opiniões dividem-se. Por exemplo, Pedro Lomba e Inês Ferrari Careto consideram que ambas as leituras coexistem.

“A expressão hiper-compliance capta bem a perceção de muitas empresas, sobretudo PME, que enfrentam uma avalanche regulatória simultânea. A pressão de conformidade é real e os custos de adaptação são significativos. Porém, a UE está consciente deste risco: o Digital Omnibus foi apresentado em novembro de 2025 precisamente para simplificar a implementação, reduzir encargos administrativos e alargar regimes favoráveis a empresas de menor dimensão. O relatório Draghi e a Declaração de Budapeste de novembro de 2024 pediram expressamente uma “revolução de simplificação”, reconhecendo que a carga regulatória excessiva ameaça a competitividade europeia”, explica o sócio da PLMJ.

Por outro lado, o sócio da Garrigues Manuel Liberal Jerónimo considera que estamos perante um “novo normal”. “O que hoje designamos por “avalanche regulatória” reflete, na verdade, a adaptação do Direito a uma economia digital e globalizada. Porventura, a intensidade regulatória atual é também consequência de anos de relativa abstenção em setores críticos como as plataformas digitais, a inteligência artificial e a cibersegurança”, assegura.

Uma coisa é certa, as empresas portuguesas ainda não estão preparadas para lidar com este novo contexto regulatório, pelo menos na opinião de Luís Pinto Monteiro, counsel da Garrigues. “Não propriamente porque muitas destas regras são “distantes”, mas sobretudo porque é preciso ter em consideração que muitas destas normas são pensadas para economias dominadas por empresas de média e grande dimensão; ao contrário do que sucede em Portugal, em que o tecido empresarial está repleto de empresas de pequena e média dimensão”, alerta, sublinhando que muitas empresas acabam por adotar uma postura “demasiado reativa” e “pouco proativa” em matéria de compliance.

Numa outra perspetiva, Pedro Lomba considera que, se pensarmos nas médias e grandes empresas, estas estão preparadas ou a preparar-se, pois há uma perceção dos riscos, seja o jurídico, reputacional e financeiro.

Entre os setores da economia portuguesa mais expostos à “nova” pressão regulatória, os advogados apontaram o financeiro, tecnológico e dos serviços digitais, saúde, banca, seguros, retalho online ou até das telecomunicações.

Face a esta “avalanche” regulatória, as áreas de compliance e regulatório das sociedades de advogados passam a assumir um maior peso. “A complexidade da regulação europeia recente faz com que as empresas precisem cada vez mais de acompanhamento jurídico especializado e permanente”, aponta a associada principal da Morais Leitão.

Inês Ferrari Careto sublinha que as áreas de compliance e regulatório deixaram de ser “secundárias” para se tornarem “centrais”. “Para além do public enforcement, que como vimos está em crescimento, é expectável que o private enforcement ganhe também relevância significativa neste contexto. No caso do DSA, por exemplo, as obrigações impostas às plataformas abrem portas a ações de responsabilidade por parte de utilizadores e consumidores, e o recurso a ações populares tende a intensificar-se”, acrescenta.

Do AI Act ao Digital Services Act

Entre as iniciativas regulatórias europeias está o AI Act, o primeiro grande regulamento abrangente da UE dedicado especificamente à inteligência artificial, aprovado em março de 2024. Por muitos, é apontado como a primeira grande regulação global de IA.

“A aplicação será faseada, e a própria Comissão já reconheceu que há desafios de implementação, tendo proposto simplificações para as PME. Mas o sinal é claro: as empresas que utilizam IA vão ter de se preparar”, alerta Inês Ferrari Careto.

À Advocatus, Pedro Lomba explicou que as empresas terão de garantir transparência em sistemas de IA generativa, cumprir requisitos de qualidade de dados e auditorias regulares em sistemas de alto risco, e implementar mecanismos de governança e compliance tecnológico. As multas podem chegar aos 35 milhões de euros ou 7% da faturação global anual.

“Em Portugal, um problema concreto adicional é que o país ainda não designou formalmente as autoridades nacionais responsáveis pela fiscalização do mercado e o cumprimento do AI Act, o que gera incerteza para as empresas que já investiram ou investem em compliance”, refere o sócio da PLMJ.

Uma coisa é certa, o sucesso depende da forma como for implementado este regulamento. Luís Pinto Monteiro sublinha que a regulação com vista a proteger os cidadãos europeus é “fundamental”, mas é importante que a Comissão Europeia e os Estados-membros apliquem esta legislação de uma “forma ponderada, justa e equilibrada”. “O aplicador da lei tem de ser sábio para evitar criar entorses ao desenvolvimento de soluções que podem ser muito úteis às empresas e aos cidadãos. Neste ponto, mais importante do que a produção legislativa, será a forma como a legislação será aplicada pelos reguladores, autoridades competentes e respetivos tribunais”, refere.

“Há um risco de que a complexidade regulatória penalize sobretudo as empresas europeias mais pequenas. É por isso que iniciativas como o AI Omnibus, que propõe simplificações para PME e mais tempo para a aplicação de certas regras, me parece ir no sentido certo”, aponta Inês Ferrari Careto.

Já outra das iniciativas é o Digital Services Act (DSA), um regulamento da UE que estabelece regras para plataformas digitais e serviços online, com o objetivo de tornar a internet mais segura, transparente e responsável.

Segundo o sócio da Garrigues Manuel Liberal Jerónimo, os clientes sentem já impactos tangíveis deste regulamento, especialmente aqueles que operam plataformas digitais e marketplaces. “Os clientes deparam-se já com a necessidade de adequar as suas práticas diárias – desde a alteração de contratos e design de plataformas, até à criação de novas funções e mecanismos de Compliance digital – para garantir alinhamento com as novas responsabilidades impostas pelo DSA”, refere.

Inês Ferrari Careto aponta ainda que as grandes plataformas estão “mais atentas” mas ainda existe um “caminho a percorrer”. “As grandes plataformas já estão mais atentas – os casos recentes contra o X, o TikTok, a Temu, o AliExpress e a Shein demonstram que o escrutínio da Comissão é real e crescente. Noto, contudo, que o DSA se aplica a todos os prestadores de serviços intermediários, e muitas empresas ainda não interiorizaram o verdadeiro alcance das suas obrigações”, alerta.

A associada principal da Morais Leitão salienta também que a Comissão já admitiu a existência de bottlenecks no enforcement e referiu cinco Estados-Membros ao TJUE por não terem dotado de poderes suficientes os seus Coordenadores de Serviços Digitais. “Portugal é um desses casos: embora a ANACOM tenha sido designada como Coordenador de Serviços Digitais, a Comissão considerou que não lhe foram atribuídos os poderes necessários ao abrigo do DSA, nem foram estabelecidas as regras sobre sanções aplicáveis, o que não deixa de ser preocupante”, acrescenta.

Sanções recorde e enforcement robusto: a nova realidade das empresas

Muitas destas normas europeias são acompanhadas por regimes sancionatórios particularmente pesados, pelo que os advogados consideram que estamos a entrar numa nova era de enforcement regulatório.

“O regime sancionatório europeu atingiu patamares sem precedentes no plano normativo. No âmbito do RGPD, por exemplo, a multa recorde foi de 1,2 mil milhões de euros aplicada à Meta pela autoridade irlandesa de proteção de dados, por transferências ilícitas de dados pessoais para os EUA. A Uber foi multada em 290 milhões de euros pela autoridade holandesa”, exemplifica Pedro Lomba.

O sócio da PLMJ recorda ainda que, no âmbito do DSA, a primeira coima de 120 milhões de euros contra a rede social X demonstra que o enforcement centralizado, exercido diretamente pela Comissão Europeia contra as plataformas de muito grande dimensão, é “real” e “efetivo”.

“Contudo, a experiência já demonstrada revela que a eficácia deste modelo regulatório não é automática. A capacidade sancionatória está, na grande maioria dos instrumentos legislativos europeus, dependente da atuação das autoridades nacionais competentes: são estas que investigam, instruem processos e aplicam coimas, na esmagadora maioria dos casos. Quando os Estados-Membros não dotam essas autoridades dos recursos humanos, técnicos e financeiros necessários, ou quando o quadro legislativo nacional de implementação tarda em ser aprovado, cria-se um desfasamento entre a ambição normativa europeia e a realidade da fiscalização no terreno”, sublinha o advogado.

O sócio da Garrigues acrescentou ainda que as coimas que podem atingir percentagens significativas do volume de negócios global transformaram um incumprimento num risco muito significativo para as empresas. “Esta tendência parece refletir uma certa convicção do legislador europeu de que apenas sanções verdadeiramente dissuasoras garantem a efetividade das normas”, nota Manuel Liberal Jerónimo.

Esta ameaça de coimas elevadas está a mudar o comportamento das empresas e existem exemplos disso. Segundo explica Inês Ferrari Careto, o TikTok retirou permanentemente o seu programa Lite Rewards da UE, no âmbito de compromissos vinculativos aceites pela Comissão, e o AliExpress assumiu compromissos para combater a venda de produtos ilegais através de links ocultos e listagens falsas.

“Além disso, as muito grandes plataformas são agora obrigadas a nomear compliance officers independentes, a submeter-se a auditorias externas anuais e a publicar relatórios de transparência semestrais, o que funciona como um incentivo relevante à conformidade. Acrescente-se que o próprio Parlamento Europeu tem pressionado para um enforcement mais robusto, chegando a recomendar, nos casos mais graves, a responsabilização pessoal dos gestores de topo por incumprimento persistente das obrigações de proteção de menores”, revela a advogada da Morais Leitão.

Risco regulatório na estratégia empresarial

O risco regulatório passou a integrar de forma mais evidente as decisões estratégicas das empresas e a influenciar o seu posicionamento competitivo e, para Inês Ferrari Careto, é uma das transformações mais “relevantes” dos últimos anos.

“O quadro regulatório europeu deixou de ser uma questão que se analisa pontualmente. Passou a ser um fator permanente na estratégia empresarial. O DSA exige que as muito grandes plataformas realizem avaliações de riscos sistémicos pelo menos uma vez por ano – cobrindo desde conteúdos ilegais até efeitos sobre direitos fundamentais e manipulação dos seus serviços – e implementem medidas de mitigação eficazes”, assume a associada principal da Morais Leitão.

Também o sócio da Garrigues Manuel Liberal Jerónimo considera que o risco regulatório está mais presente nas decisões das empresas, dando como exemplo as operações de M&A que incluem atualmente due diligence regulatória detalhada, decisões de investimento em novas tecnologias ponderam cenários de compliance, estratégias de entrada em mercados avaliam o panorama regulatório. “Esta integração é particularmente visível em setores como fintech, healthtech e plataformas digitais, onde a viabilidade do modelo de negócio depende, em grande medida, do quadro regulatório aplicável”, refere,

Com o aumento da regulação é inevitável que a litigância aumente nos próximos anos. “Desde logo, porque a complexidade e, em alguns casos, a ambiguidade de alguns conceitos legais, convida à litigância interpretativa. Segundo, porque o volume de decisões sancionatórias dos reguladores competentes tenderá a crescer, gerando impugnações. Surgirão igualmente, em nosso entender, ações de responsabilidade civil fundadas em violações regulatórias, incluindo ações coletivas”, aponta Manuel Liberal Jerónimo.

O sócio da Garrigues acrescenta ainda que a interação entre diferentes ordenamentos jurídicos nacionais na aplicação dos regulamentos europeus criará espaço para divergências que só a jurisprudência resolverá. “Os tribunais europeus terão assim um papel fundamental na densificação deste novo quadro normativo”, conclui.