A coima de 310 milhões de euros ao LinkedIn: como uma investigação de seis anos do RGPD culminou numa das maiores decisões publicitárias da DPC irlandesa

Em resumo

A 22 de outubro de 2024, a Comissão Irlandesa de Proteção de Dados (Data Protection Commission, DPC) notificou o LinkedIn Ireland Unlimited Company de uma decisão final que aplica três coimas administrativas no valor total de 310 milhões de euros, uma admoestação e uma ordem para o LinkedIn pôr o seu tratamento em conformidade com o RGPD. A decisão diz respeito ao tratamento, pelo LinkedIn, dos dados pessoais dos seus membros para fins de análise comportamental e publicidade dirigida. A DPC apurou infrações aos artigos 5.º, n.º 1, alínea a), 6.º, n.º 1, 13.º, n.º 1, alínea c) e 14.º, n.º 1, alínea c) do Regulamento Geral sobre a Proteção de Dados. O LinkedIn invocou três fundamentos do artigo 6.º: consentimento, necessidade contratual e interesse legítimo. A DPC rejeitou cada um deles. O caso teve origem em 28 de maio de 2018 numa queixa da associação francesa sem fins lucrativos La Quadrature du Net apresentada à CNIL; no inquérito da DPC ficaram, no final, representados 8.540 utilizadores do LinkedIn. Seis anos depois, deu lugar a uma das maiores sanções do RGPD em matéria publicitária aplicadas pelo regulador irlandês. O LinkedIn interpôs simultaneamente recurso estatutário e revisão judicial; as conclusões materiais permanecem em vigor enquanto o litígio prossegue. A lição de conformidade vai muito além das Big Tech — afeta qualquer organização que recorra a publicidade comportamental ou a sistemas de conteúdo personalizado.

Os números-chave

310 M€ | Rede social B2B | Big Tech (filial da Microsoft) | Comissão Irlandesa de Proteção de Dados | Decisão notificada a 22 de outubro de 2024.

O que aconteceu: uma investigação de seis anos termina numa coima de grande dimensão

A 28 de maio de 2018, a organização francesa de direitos digitais La Quadrature du Net apresentou uma queixa coletiva à autoridade francesa de proteção de dados, a Commission Nationale de l'Informatique et des Libertés (CNIL). No procedimento subsequente perante a DPC irlandesa ficaram representados 8.540 utilizadores do LinkedIn. A queixa visava aquilo a que a organização chamou o "modelo de negócio GAFAM" — o emparelhamento do acesso à plataforma com a aceitação obrigatória de análise comportamental e publicidade dirigida. A queixa atacava em particular as casas de consentimento pré-marcadas, as cláusulas dos termos de utilização que faziam equivaler o uso continuado do serviço a aceitação, e a ausência de uma verdadeira escolha para os utilizadores que pretendiam usar o serviço sem ser definidos por perfis para fins publicitários.

Como a sede europeia do LinkedIn está em Dublin, a CNIL encaminhou a queixa para a DPC irlandesa ao abrigo do mecanismo de balcão único previsto no artigo 56.º do RGPD. A DPC passou a ser a autoridade de controlo principal da investigação. A instrução durou mais de seis anos. A 22 de outubro de 2024, os comissários para a proteção de dados — Dr. Des Hogan e Dale Sunderland — notificaram o LinkedIn Ireland da decisão final. A DPC anunciou-a publicamente a 24 de outubro de 2024. A decisão inclui uma admoestação ao abrigo do artigo 58.º, n.º 2, alínea b), do RGPD, três coimas administrativas num total de 310 milhões de euros ao abrigo dos artigos 58.º, n.º 2, alínea i), e 83.º, e uma ordem nos termos do artigo 58.º, n.º 2, alínea d), que obriga o LinkedIn a pôr o tratamento em conformidade.

Antes da adoção final, o projeto de decisão foi submetido em julho de 2024 ao mecanismo de cooperação do artigo 60.º do RGPD. Esse procedimento permite às restantes autoridades em causa — aquelas cujos titulares dos dados também são afetados — apresentar objeções fundamentadas ao projeto da autoridade principal. Não foram apresentadas objeções. A ausência de objeções significa que nenhuma autoridade em causa acionou o mecanismo de resolução de litígios do artigo 65.º; não deve ser sobrevalorizada como aprovação formal do montante pelo CEPD.

Como uma queixa de 2018 remodelou o direito europeu da publicidade em linha

A queixa da La Quadrature du Net não foi apresentada isoladamente. A 28 de maio de 2018, três dias após o início da aplicação do RGPD a 25 de maio de 2018, a La Quadrature du Net apresentou cinco queixas coletivas coordenadas perante a CNIL — contra Facebook (hoje Meta), Google, Apple, Amazon e LinkedIn — subscritas por cerca de 12.000 signatários. Cada queixa visava o mesmo problema estrutural: o emparelhamento do acesso à plataforma com a aceitação obrigatória do tratamento comportamental, o uso de mecanismos de consentimento pré-marcados ou presumidos, e a ausência de qualquer via real de recusa. A estratégia foi deliberada. Ao lançar as cinco queixas logo no início da era RGPD, a La Quadrature du Net criou um caso-teste coordenado para a arquitetura do consentimento e do fundamento jurídico do regulamento, aplicada ao modelo de negócio dominante da Internet comercial.

Os primeiros desfechos dessas queixas paralelas desenharam o panorama jurídico que viria a alcançar o LinkedIn. Em janeiro de 2019, a CNIL aplicou à Google uma coima de 50 milhões de euros — a primeira grande coima do RGPD contra uma plataforma Big Tech — por falhas de licitude e transparência na publicidade personalizada. Em janeiro de 2023, a DPC irlandesa sancionou a Meta em 390 milhões de euros (210 M€ ao Facebook e 180 M€ ao Instagram) sobre o mesmo fundamento de necessidade contratual do artigo 6.º que o LinkedIn viria, sem sucesso, a tentar defender. Em maio de 2023, a Meta recebeu uma coima adicional de 1.200 milhões de euros por transferências internacionais de dados. Cada decisão apertou a interpretação. Quando a DPC irlandesa emitiu a decisão LinkedIn em outubro de 2024, a jurisprudência do TJUE e a prática das autoridades de controlo já tinham estreitado o âmbito do artigo 6.º: a necessidade contratual não cobre publicidade comportamental numa rede social, e o consentimento tem de ser verdadeiramente granular e livre. O caso LinkedIn é uma nova aplicação dessa linha, e não uma decisão isolada e inédita.

Para as organizações fora do setor das plataformas, a conclusão prática é que as questões jurídicas já não estão em aberto. O Tribunal de Justiça da União Europeia, no acórdão de 4 de julho de 2023 no processo Meta Platforms contra Bundeskartellamt (C-252/21), já confirmou que a condição "necessário para a execução de um contrato" do artigo 6.º, n.º 1, alínea b), deve ser interpretada de forma estrita, que o responsável pelo tratamento suporta o ónus de demonstrar a necessidade, e que a personalização para fins de receitas publicitárias não constitui necessidade contratual. O TJUE fechou assim a porta que o LinkedIn e outros tentavam manter aberta. A decisão LinkedIn aplica esse encerramento.

A decisão: quatro artigos, três fundamentos jurídicos rejeitados

A investigação da DPC analisou um único fluxo de trabalho — o tratamento de dados pessoais dos membros para fins de análise comportamental e publicidade dirigida — perante todo o aparato do RGPD relativo a princípios, fundamento jurídico e transparência. A investigação apurou infrações a quatro artigos: artigos 5.º, n.º 1, alínea a), 6.º, n.º 1, 13.º, n.º 1, alínea c) e 14.º, n.º 1, alínea c) do RGPD. Num acórdão preliminar proferido a 20 de abril de 2026 no âmbito da impugnação do LinkedIn, o High Court irlandês decidiu que a secção 142 da lei de proteção de dados de 2018 limita essa via de recurso estatutário à decisão de aplicar a própria coima; as conclusões subjacentes de infração não são recorríveis pela secção 142 e permanecem em vigor enquanto o litígio mais amplo prossegue.

Artigo 5.º, n.º 1, alínea a) — o princípio da licitude, lealdade e transparência

O artigo 5.º enuncia os princípios fundamentais do RGPD. O artigo 5.º, n.º 1, alínea a), exige que os dados pessoais sejam "objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados". A DPC concluiu que o pipeline de publicidade comportamental do LinkedIn violava cada um destes três subprincípios. A licitude falhou porque nenhum dos fundamentos invocados ao abrigo do artigo 6.º sustentava o tratamento. A transparência falhou porque a política de privacidade não divulgava adequadamente os fundamentos jurídicos invocados. A lealdade falhou porque os utilizadores não dispunham de uma verdadeira possibilidade de compreender ou recusar o tratamento. A citação da DPC resume diretamente o princípio: "A licitude do tratamento é um aspeto fundamental do direito da proteção de dados, e o tratamento de dados pessoais sem um fundamento jurídico adequado constitui uma violação clara e grave do direito fundamental do titular dos dados à proteção de dados."

Artigo 6.º, n.º 1 — nenhum dos três fundamentos jurídicos resistiu

O artigo 6.º, n.º 1, obriga o responsável pelo tratamento a identificar um fundamento jurídico antes do tratamento. O LinkedIn invocou três: consentimento (artigo 6.º, n.º 1, alínea a)), necessidade contratual (artigo 6.º, n.º 1, alínea b)) e interesses legítimos (artigo 6.º, n.º 1, alínea f)). A DPC analisou cada um e rejeitou cada um.

Sobre o consentimento (artigo 6.º, n.º 1, alínea a)): a DPC aplicou o padrão do artigo 4.º, n.º 11, do RGPD — o consentimento deve ser "livre, específico, informado e inequívoco" — e concluiu que o mecanismo do LinkedIn falhava nos quatro critérios. Os utilizadores não dispunham de uma escolha clara e granular entre usar a plataforma com publicidade comportamental e usá-la sem. O fluxo de consentimento agregava várias finalidades. A informação não dizia aos utilizadores qual fundamento jurídico era invocado para cada tratamento. Faltava um opt-in ativo para a análise comportamental. Conclusão: o consentimento não podia, juridicamente, validar o tratamento.

Sobre a necessidade contratual (artigo 6.º, n.º 1, alínea b)): a DPC seguiu as orientações do CEPD de 2019 sobre o artigo 6.º, n.º 1, alínea b), no contexto dos serviços em linha. A publicidade comportamental não é "necessária" para a execução de um contrato de rede social; é, no máximo, uma escolha comercial do prestador para financiar o serviço. Um utilizador pode usar o LinkedIn para a sua finalidade principal — networking, procura de emprego, conteúdos — sem ser definido por perfis para fins publicitários. A necessidade falha.

Sobre os interesses legítimos (artigo 6.º, n.º 1, alínea f)): a DPC aplicou o teste de ponderação em três passos — identificação do interesse, avaliação da necessidade, ponderação face aos direitos e liberdades do titular dos dados. O interesse comercial do LinkedIn nas receitas de publicidade comportamental é legítimo no primeiro passo. A DPC concluiu, contudo, que o tratamento não era estritamente necessário para esse interesse (existem meios menos intrusivos, designadamente a publicidade contextual) e que, na ponderação, o impacto nos direitos do titular — incluindo o direito à proteção de dados consagrado no artigo 8.º da Carta dos Direitos Fundamentais da UE — superava o interesse do responsável pelo tratamento. Os interesses legítimos falham a ponderação.

Artigos 13.º, n.º 1, alínea c) e 14.º, n.º 1, alínea c) — o dever de transparência não foi cumprido

Os artigos 13.º e 14.º obrigam o responsável pelo tratamento a prestar ao titular dos dados informação específica no momento da recolha. A alínea c) do n.º 1 de cada artigo exige a comunicação das "finalidades do tratamento a que os dados pessoais se destinam, bem como o fundamento jurídico para o tratamento". A DPC concluiu que a política de privacidade do LinkedIn não divulgava adequadamente, no que diz respeito à análise comportamental e à publicidade dirigida, qual fundamento jurídico do artigo 6.º era invocado para qual finalidade concreta. Uma política de privacidade que se limita a dizer "podemos tratar os seus dados com base no consentimento, contrato ou interesse legítimo" sem dizer ao utilizador qual fundamento corresponde a qual finalidade infringe o artigo 13.º/14.º, n.º 1, alínea c). O dever de transparência é granular: por finalidade, por fundamento jurídico, em linguagem clara.

A resposta do LinkedIn, o recurso e a situação atual

O LinkedIn emitiu uma breve declaração oficial em 24 de outubro de 2024: "Hoje, a Comissão Irlandesa de Proteção de Dados (IDPC) tomou uma decisão final sobre reclamações de 2018 relativas a algumas das nossas atividades de publicidade digital na UE. Embora consideremos que cumpríamos o Regulamento Geral sobre a Proteção de Dados (RGPD), estamos a trabalhar para adequar as nossas práticas publicitárias a esta decisão dentro do prazo fixado pela IDPC." A declaração não reconhecia qualquer infração nem anunciava medidas concretas.

O LinkedIn abriu, então, duas vias jurídicas paralelas. A 18 de novembro de 2024, interpôs recurso estatutário ao abrigo das secções 142 e 150 da lei irlandesa de proteção de dados de 2018. A 16 de dezembro de 2024, a juíza Mary Rose Gearty, do High Court irlandês, concedeu ao LinkedIn autorização para instaurar revisão judicial. Os fundamentos invocados pelo LinkedIn incluem impugnações constitucionais da lei de 2018, o argumento de que a coima de 310 milhões de euros é "de natureza criminal ou punitiva" devido à sua dimensão e aciona, por isso, as garantias de um processo justo previstas na Carta dos Direitos Fundamentais e na Convenção Europeia dos Direitos Humanos, e impugnações processuais do processo decisório da DPC. O LinkedIn sustenta ainda que "a DPC não é um tribunal independente e imparcial na aceção da Carta".

A DPC apresentou a sua contestação a 25 de fevereiro de 2025. O Estado irlandês fez o mesmo a 18 de março de 2025. A 20 de abril de 2026, o High Court decidiu questões preliminares — em particular, declarou que a secção 142 da lei de 2018 só permite o recurso da decisão de aplicar uma coima, e não das conclusões subjacentes de infração nem do exercício de outras medidas corretivas, como a ordem de conformidade. As conclusões materiais do RGPD permanecem, por isso, em vigor durante o procedimento de recurso. Para as organizações que seguem este caso para efeitos de conformidade, o recurso é um litígio sobre montante e procedimento — não sobre a análise material do consentimento, do fundamento jurídico e da transparência.

O que o LinkedIn podia ter feito diferente — o coração do caso

A decisão da DPC não é uma curiosidade técnica entre um regulador e um réu Big Tech. É uma demonstração metódica de como um pipeline de publicidade comportamental pode falhar simultaneamente em cada fundamento jurídico do artigo 6.º — e de como seria uma alternativa em conformidade. Qualquer organização que opere publicidade comportamental — incluindo empresas SaaS B2B que utilizam scoring de account-based marketing, comércio eletrónico que personaliza recomendações de produto e editores que monetizam por display dirigido — está exposta à mesma análise. Quatro camadas de prevenção teriam alterado o desfecho.

Camada 1 — o defeito específico da arquitetura do consentimento

O fluxo de consentimento do LinkedIn apresentava ao utilizador, segundo a análise da DPC, uma lógica "pegar ou largar". A informação sobre os fundamentos jurídicos era genérica — "consentimento, contrato ou interesse legítimo" — em vez de granular por finalidade. Faltava o opt-in ativo para a análise comportamental; a plataforma apoiava-se numa lógica de uso continuado como consentimento implícito. Não havia uma via "Rejeitar tudo" com o mesmo destaque visual de "Aceitar tudo" na interface de recolha. Nenhuma destas escolhas de design é exclusiva do LinkedIn. Constituíam o padrão da indústria em 2018 e mantinham-se comuns à data da investigação. O ponto da DPC é que o RGPD, desde 25 de maio de 2018, exige outra coisa, e um padrão da indústria não se torna lícito por estar generalizado.

Camada 2 — o controlo técnico que o teria evitado

A alternativa em conformidade está bem definida. Uma Consent Management Platform (CMP) granular com interruptores de opt-in separados e com igual destaque para cada finalidade — exibição de dados de perfil, inferência comportamental, publicidade dirigida, combinação com dados de terceiros — satisfaz o critério de especificidade do artigo 4.º, n.º 11. Uma via "Rejeitar tudo" operacional e com o mesmo destaque visual de "Aceitar tudo" cumpre o critério "livre". O posicionamento por defeito em OFF de cada interruptor de análise comportamental, com opt-in ativo exigido, cumpre o critério "inequívoco". Um registo de consentimento por finalidade, recuperável a pedido do titular, com carimbo temporal e versão da informação apresentada no momento, cumpre o critério "informado". Nada disto é engenharia exótica. Frameworks de CMP de código aberto suportam tudo isto; os principais fornecedores comerciais de CMP anunciam todas estas funcionalidades. O custo de implementação de uma CMP em conformidade para uma organização do porte do LinkedIn situa-se entre 500.000 € e 2 M€, mais custos operacionais anuais. Para uma PME, a mesma arquitetura custa entre 5.000 € e 50.000 €.

Camada 3 — o controlo organizativo que o teria detetado

Uma Avaliação de Impacto sobre a Proteção de Dados (AIPD) ao abrigo do artigo 35.º do RGPD é obrigatória antes da implementação de um tratamento de alto risco — e a publicidade comportamental em larga escala constitui, em qualquer leitura razoável, um tratamento de alto risco com monitorização sistemática na aceção do artigo 35.º, n.º 3, alínea b). Uma AIPD realizada antes do lançamento, assinada pelo encarregado da proteção de dados e confrontada com a análise do fundamento jurídico por finalidade, teria revelado o defeito de arquitetura do consentimento. Uma revisão trimestral documentada da qualidade do consentimento — taxa de opt-in por finalidade, taxa de recusa, taxa de retirada, volume de queixas — teria elevado o tema ao nível executivo muito antes de uma investigação ser aberta. Um visto claro do EPD à política de privacidade, com uma lista de verificação dos requisitos do artigo 13.º/14.º, n.º 1, alínea c), teria intercetado a fórmula genérica "consentimento, contrato ou interesse legítimo". Cada um destes controlos é higiene básica de governance num programa de RGPD maduro.

Camada 4 — custo versus coima: a aritmética resolve o caso

A DPC aplicou 310 milhões de euros em coimas administrativas, ainda sujeitas ao recurso do LinkedIn, e o LinkedIn enfrenta também o custo de adequar o tratamento conforme ordenado pela DPC. O custo de prevenção — uma CMP em conformidade, um processo de AIPD, auditorias periódicas de qualidade do consentimento, tempo do EPD para a política de privacidade — teria pesado entre 500.000 € e 2 M€ para uma organização do porte do LinkedIn. A proporção é de cerca de 150 a 600 vezes o custo de prevenção. Para uma PME as ordens de grandeza são diferentes, mas a lógica é idêntica: a prevenção situa-se normalmente entre 5.000 € e 50.000 €; coimas comparáveis no escalão PME (onde as autoridades modulam a sanção em função da dimensão) ficam habitualmente entre 100.000 € e 2 M€. A aritmética é esmagadora em qualquer escala. A pergunta para qualquer responsável de conformidade não é se a prevenção compensa o investimento, mas se a organização agirá antes ou depois de o regulador o fazer.

Quer saber se a sua organização tem a mesma exposição que o LinkedIn? Faça a avaliação gratuita de 10 minutos da Viktoria Compliance → Compara a sua posição atual em publicidade comportamental e fundamentos jurídicos com os artigos do RGPD efetivamente aplicados pela DPC irlandesa nesta decisão e identifica as lacunas específicas que um regulador encontraria primeiro.

Lição setorial: quem está exposto hoje

A decisão LinkedIn é uma das mais elevadas coimas do RGPD em matéria publicitária aplicadas pela DPC irlandesa, mas não é um facto isolado. Insere-se num padrão claro de aplicação que acelerou desde 2022, no qual a DPC irlandesa e outras autoridades principais desmontaram sistematicamente as pretensões de fundamento jurídico das plataformas com publicidade comportamental. As coimas à Meta de janeiro de 2023 (210 M€ ao Facebook e 180 M€ ao Instagram por falhas similares de fundamento jurídico na publicidade personalizada), a coima de 345 M€ ao TikTok em setembro de 2023 (dados de crianças e transparência) e a coima de 290 M€ à Uber em agosto de 2024 da autoridade neerlandesa de proteção de dados (transferências ilícitas de dados de motoristas para os Estados Unidos ao abrigo do capítulo V do RGPD) inscrevem-se todas na mesma linha. A decisão LinkedIn é o ponto mais recente, não o primeiro.

A exposição não se limita às plataformas de redes sociais nem às Big Tech. Três categorias de organizações estão particularmente expostas ao risco de reproduzir a posição jurídica do LinkedIn. Em primeiro lugar, as empresas SaaS B2B que utilizam plataformas de account-based marketing, sistemas de scoring comportamental ou modelos de priorização de leads. A análise do fundamento jurídico é idêntica: quem cria perfis de pessoas singulares da UE (decisores em contas-alvo) precisa de um fundamento limpo do artigo 6.º para a criação de perfis, não apenas para o registo CRM subjacente. Em segundo, o comércio eletrónico que personaliza recomendações, preços dinâmicos ou retargeting a partir do comportamento no site combinado com dados de terceiros. Em terceiro, os editores e organizações de meios de comunicação que monetizam através de publicidade programática — a decisão da autoridade belga contra a IAB Europe (2 de fevereiro de 2022) e o acórdão subsequente do TJUE em IAB Europe contra Gegevensbeschermingsautoriteit (C-604/22, 7 de março de 2024) estabeleceram já que o sinal TCF constitui dado pessoal, que a IAB Europe é coresponsável e que o consentimento recolhido apenas através de um banner TCF pode não cumprir o RGPD. Qualquer editor que utilize TCF deve ler a decisão LinkedIn como aviso: a paciência do regulador esgotou-se.

A ligação aos banners de cookies: TCF, IAB Europe e a aplicação contra os dark patterns

A arquitetura do consentimento do LinkedIn faz parte de um problema mais vasto que a UE está a desmontar sistematicamente. A decisão da Autoridade belga de proteção de dados, de fevereiro de 2022, contra a IAB Europe — a associação setorial que está por trás da Transparency and Consent Framework (TCF), a infraestrutura técnica utilizada pela maioria dos editores europeus e fornecedores de adtech — declarou que o sinal TCF constitui, por si só, dado pessoal, que a IAB Europe é coresponsável pela cadeia de consentimento gerada pelos banners TCF, e que o consentimento recolhido pelos mecanismos TCF na sua forma então vigente não cumpria o RGPD. O TJUE confirmou e refinou esta posição em IAB Europe contra Gegevensbeschermingsautoriteit (C-604/22, 7 de março de 2024).

As Diretrizes 3/2022 do CEPD sobre "padrões de desenho enganadores nas interfaces das plataformas de redes sociais" (adotadas em março de 2022, versão final publicada em fevereiro de 2023) expõem, com exemplos detalhados, as escolhas de desenho qualificadas como dark patterns proibidos pelo RGPD. Os fluxos de consentimento que minimizam visualmente a opção de recusa, exigem cliques adicionais para recusar, enquadram a recusa em termos negativos ou pré-marcam casas são todos assinalados. O Parecer 08/2024 do CEPD sobre os modelos "consentimento ou pagamento" acrescentou outro ponto, sublinhando que aos utilizadores deve ser oferecida uma escolha real, em vez de serem efetivamente conduzidos ao rastreio comportamental como opção predefinida. A tendência é coerente: os reguladores deixaram de aceitar fluxos de consentimento cujo principal propósito é extrair opt-in. O padrão é: consentimento autêntico, granular, livre — ou nenhum tratamento.

Para organizações que operam banners de cookies ou fluxos de consentimento em produto, a decisão LinkedIn deve ser lida em conjunto com o relatório do grupo de trabalho do CEPD sobre banners de cookies (janeiro de 2023, sobre a prática de consentimento específico de cookies) e as Diretrizes 3/2022 do CEPD sobre padrões de desenho enganadores (adotadas em março de 2022). A mensagem combinada é operacional: uma organização que não tenha redesenhado a sua arquitetura de consentimento à luz deste corpo de orientações está exposta à aplicação, e os reguladores demonstraram que as coimas atingem as centenas de milhões para os maiores infratores e as centenas de milhares para organizações de média dimensão.

O olhar para a frente: o segundo regime de conformidade — o Regulamento de IA — aplica-se a partir de 2 de agosto de 2026

A publicidade comportamental é, do ponto de vista técnico, perfilagem automatizada. A partir de 2 de agosto de 2026, o regulamento europeu sobre inteligência artificial (Regulamento de IA) aplica-se a uma categoria definida de sistemas de IA e sobrepõe obrigações adicionais ao RGPD. Quando um sistema utilizado em publicidade cai sob o anexo III do Regulamento de IA — em particular nas categorias relativas a sistemas usados em decisões de emprego ou no acesso a serviços essenciais — o artigo 14.º do Regulamento de IA impõe ao fornecedor um dever de desenho orientado à supervisão humana, o artigo 26.º, n.º 7, impõe ao utilizador profissional um dever de informação às pessoas singulares, e o artigo 86.º cria um direito a uma explicação clara do papel desempenhado pelo sistema de IA na decisão. As organizações que não tenham corrigido a camada do RGPD relativa ao consentimento e ao fundamento jurídico até 2 de agosto de 2026 entrarão num segundo regime com outras obrigações, outros atores e um teto paralelo de 15 M€ ou 3 % do volume de negócios mundial para incumprimento de alto risco. A implicação prática é clara: corrigir a camada do RGPD agora é simultaneamente preparação para o Regulamento de IA. Os dois regimes sobrepõem-se exatamente nos fluxos analisados pela decisão LinkedIn.

Porque é que este caso é precedente para qualquer responsável pelo tratamento

A tentação, ao ler uma decisão contra uma filial mundial da Microsoft, é arquivá-la como "problema de Big Tech" e supor que a análise não alcança uma organização com 200 colaboradores em Berlim ou 50 em Liubliana. A suposição é errada, e a estrutura do raciocínio da DPC torna-a deliberadamente errada. A DPC não fundou a decisão na dimensão do LinkedIn, no seu alcance global, na empresa-mãe nem no volume de utilizadores afetados. Fundou-a na arquitetura jurídica do consentimento e do fundamento jurídico do RGPD — uma arquitetura que se aplica uniformemente a um responsável que trata dados de um único titular da UE ou de cem milhões. Cada passo da análise da DPC — o teste de quatro critérios do consentimento do artigo 4.º, n.º 11; a leitura estrita da necessidade contratual; a ponderação em três passos do interesse legítimo; a exigência de informação granular do artigo 13.º/14.º, n.º 1, alínea c) — aplica-se a um CRM de uma SaaS B2B regional exatamente como ao pipeline publicitário global do LinkedIn.

O que a diferença de dimensão muda é o montante da coima, não a existência da infração. O artigo 83.º, n.º 2, do RGPD enumera os fatores que a autoridade deve considerar ao fixar a sanção — entre eles, a natureza, gravidade e duração da infração, as categorias de dados afetados, o grau de cooperação do responsável e "qualquer outra circunstância agravante ou atenuante aplicável ao caso". Para uma PME, a mesma infração que gerou os 310 milhões de euros ao LinkedIn produziria normalmente uma coima entre 50.000 € e 500.000 € — ainda assim significativa, frequentemente existencial, sempre evitável. Para uma organização intermédia com volume de negócios anual entre 50 M€ e 500 M€, a coima análoga situa-se habitualmente entre 1 M€ e 10 M€. Os escalões da coima escalam; a análise jurídica não. Ler a decisão LinkedIn como manual do que não fazer é a resposta correta, qualquer que seja a dimensão da organização.

Plano de remediação em 90 dias

Para uma organização que tenha lido até aqui e reconheça a sua exposição, eis um plano de 90 dias calibrado para um responsável de dimensão intermédia com um programa de RGPD existente, mas com investimento limitado em arquitetura granular de consentimento ou em AIPD sobre tratamentos comportamentais. Cada fase é delimitada por um entregável claro e um responsável de aprovação.

Dias 1 a 30 — mapeamento e análise de lacunas. Extrair do registo de atividades (artigo 30.º) todas as atividades que envolvam perfilagem, inferência comportamental, marketing personalizado, lead scoring, conteúdos dinâmicos ou analítica que ultrapasse a fronteira do agregado para o individual. Documentar por cada atividade: a finalidade concreta, as categorias de dados tratados, o fundamento jurídico invocado ao abrigo do artigo 6.º, a existência de AIPD, se a política de privacidade divulga o fundamento jurídico por finalidade e se o mecanismo de consentimento (se invocado) é verdadeiramente granular. O entregável é um registo com uma linha por atividade e uma coluna específica para cada lacuna. Aprova: o EPD.

Dias 31 a 60 — remediação arquitetónica. Substituir ou reconfigurar a CMP para que cada finalidade tenha um opt-in separado, posicionado por defeito em OFF, e produza um registo de consentimento por finalidade, recuperável a pedido do titular. Adicionar uma via "Rejeitar tudo" com o mesmo destaque em todas as interfaces de recolha. Reescrever a política de privacidade para divulgar, por finalidade, o fundamento jurídico do artigo 6.º invocado — em linguagem clara, não em jargão jurídico. Realizar AIPD ao abrigo do artigo 35.º para cada atividade marcada na fase 1 como perfilagem sistemática ou análise comportamental em larga escala. Aprovam: o CTO (para a CMP) e o EPD (para AIPD e política).

Dias 61 a 90 — operacionalização e auditoria. Formar as equipas de contacto com o cliente nos novos fluxos e na resposta aos pedidos dos titulares resultantes da nova informação. Implementar uma auditoria trimestral à qualidade do consentimento com taxa de opt-in por finalidade, taxa de recusa, taxa de retirada, volume de queixas e tempo de resposta a direitos. Documentar o ritmo da auditoria e a via de escalonamento para desvios materiais. Informar o órgão de governo sobre a nova posição, os riscos residuais identificados nas AIPD e o calendário de auditoria. Aprova: o órgão de governo, com o EPD como secretário. O entregável desta fase é uma base de governance sustentável, que sobrevive à rotatividade de pessoal e às alterações de produto.

Autoavaliação: cinco perguntas antes de o regulador as fazer

Aplique este pequeno teste aos seus próprios tratamentos. Se alguma resposta for incerta, a lacuna é real.

• Consegue indicar, por finalidade de tratamento, o fundamento jurídico concreto do artigo 6.º, n.º 1 (alíneas a) a f)) em que se apoia — e produzir a avaliação documentada que o sustenta?
• Se se apoia no consentimento: a sua recolha é verdadeiramente granular (um interruptor por finalidade), com opt-in ativo (por defeito OFF, não uso continuado), uma via "Rejeitar tudo" com o mesmo destaque visual de "Aceitar tudo" e um registo por finalidade recuperável a pedido do titular?
• Se se apoia no interesse legítimo: realizou e documentou um teste de ponderação em três passos (identificação do interesse, avaliação da necessidade, ponderação face aos direitos do titular) — e resiste a um questionamento por "meios menos intrusivos"?
• A sua política de privacidade indica a cada titular, por finalidade, o fundamento jurídico exato do artigo 6.º que invoca para essa finalidade — em vez de uma fórmula genérica?
• Realizou e documentou uma AIPD ao abrigo do artigo 35.º do RGPD para qualquer tratamento que envolva perfilagem sistemática ou análise comportamental em larga escala de pessoas singulares da UE?

Se alguma destas perguntas levantou incerteza, a avaliação gratuita de 10 minutos da Viktoria Compliance → mapeia a sua exposição concreta em todos os módulos do RGPD — incluindo os módulos fundamento jurídico, transparência, AIPD e subcontratantes/transferências, os mais diretamente envolvidos na decisão LinkedIn — e produz uma lista priorizada de remediação antes que um regulador o faça.

Perguntas frequentes

Como foi calculado o valor de 310 M€?

O total de 310 M€ foi estruturado como três coimas administrativas, cada uma ao abrigo dos artigos 58.º, n.º 2, alínea i), e 83.º do RGPD. No comunicado público, a DPC não publicou a repartição por artigo; o texto integral da decisão contém o detalhe. O que está publicamente verificado é que o total de 310 M€ corresponde às conclusões de infração aos artigos 5.º, n.º 1, alínea a), 6.º, n.º 1, 13.º, n.º 1, alínea c) e 14.º, n.º 1, alínea c). A coima enquadra-se no escalão superior do artigo 83.º, n.º 5 — teto de 20 M€ ou 4 % do volume de negócios anual mundial, consoante o que for maior. O volume de negócios do grupo LinkedIn coloca os 310 M€ muito abaixo do teto legal de 4 %.

O CEPD emitiu uma decisão vinculativa ao abrigo do artigo 65.º?

Não. O procedimento de cooperação do artigo 60.º decorreu sem objeções das autoridades em causa. O projeto de decisão foi submetido em julho de 2024; dentro do prazo legal, nenhuma outra autoridade apresentou objeções fundamentadas. Em consequência, não foi acionado qualquer procedimento de resolução de litígios ao abrigo do artigo 65.º junto do Comité Europeu para a Proteção de Dados. A ausência de objeções significa apenas que nenhuma autoridade em causa acionou o artigo 65.º; não pode ser descrita como uma aprovação formal do montante ou da gravidade por parte do CEPD.

A coima é definitiva ou o recurso pode reduzi-la?

As conclusões materiais de infração aos artigos 5.º, n.º 1, alínea a), 6.º, n.º 1, 13.º, n.º 1, alínea c) e 14.º, n.º 1, alínea c) não são recorríveis pela via estatutária da secção 142 — o High Court confirmou-o no seu acórdão preliminar de 20 de abril de 2026. O litígio mais amplo inclui ainda argumentos constitucionais e a revisão judicial, pelo que a formulação mais prudente é a de que as conclusões permanecem em vigor enquanto esses procedimentos prosseguem. O recurso incide, por isso, no montante e nos argumentos constitucionais e da Carta. Uma redução é juridicamente possível; uma anulação total da análise material é altamente improvável. A ordem de conformidade ao abrigo do artigo 58.º, n.º 2, alínea d), permanece operativa em todas as hipóteses.

O que significa para empresas B2B que não são plataformas publicitárias?

Qualquer organização que crie perfis de pessoas singulares da UE para marketing, priorização de leads, scoring de contas ou conteúdo personalizado está exposta à mesma análise que a DPC aplicou ao LinkedIn. As perguntas jurídicas são idênticas: que fundamento do artigo 6.º sustenta a perfilagem? O consentimento (se invocado) é livre e granular? O interesse legítimo (se invocado) resiste à ponderação? A política de privacidade indica o fundamento jurídico por finalidade? Uma SaaS B2B que opere uma plataforma de account-based marketing deve tratar esta decisão como precedente direto.

O RGPD continua a aplicar-se a organizações britânicas após o Brexit?

Sim — por duas vias. O UK GDPR (versão britânica do regulamento) impõe obrigações materialmente idênticas, aplicadas pelo Information Commissioner's Office. O RGPD da UE continua a aplicar-se extraterritorialmente às organizações britânicas que ofereçam bens ou serviços a titulares na UE ou que monitorizem o seu comportamento na UE (artigo 3.º, n.º 2, do RGPD). Uma empresa britânica com publicidade comportamental dirigida à UE está exposta a ambos os regimes em simultâneo.

Qual é um cronograma realista de conformidade para uma organização de média dimensão?

Para uma organização de média dimensão (50 a 500 colaboradores) com um programa de RGPD existente, um plano de 90 dias é realista: 30 dias para mapear todas as atividades que envolvam perfilagem ou análise comportamental e auditar o fundamento jurídico invocado para cada uma; 30 dias para implementar uma CMP granular e reescrever as políticas de privacidade afetadas para cumprir os artigos 13.º/14.º, n.º 1, alínea c); 30 dias para realizar uma AIPD aos tratamentos de maior risco e instalar o ciclo de auditoria à qualidade do consentimento. Para uma organização que parta de uma base baixa de RGPD, o prazo duplica. A avaliação Viktoria Compliance produz uma versão priorizada deste plano, adaptada às lacunas identificadas.

Conclusão: a aplicação já não é hipótese

A decisão LinkedIn encerra um arco de seis anos, aberto pela queixa de uma pequena organização francesa de direitos digitais e concluído com uma das maiores coimas publicitárias aplicadas pela DPC irlandesa. A análise jurídica aplicada pela DPC está hoje firmemente ancorada na jurisprudência do TJUE e na prática das autoridades de controlo. Os controlos técnicos e organizativos que teriam evitado a infração estão bem documentados, amplamente disponíveis e modestos no custo face à sanção. As autoridades que outrora passavam por lenientes demonstraram, com esta e outras decisões recentes, que a era leniente acabou. A pergunta para qualquer responsável que opere perfilagem comportamental, marketing personalizado, lead scoring ou qualquer outro tratamento sistemático de dados da UE deixou de ser se o regulador acabará por olhar. A pergunta é se a remediação estará completa antes — ou depois — de ele olhar.

Fontes (documentos primários)

• Comissão Irlandesa de Proteção de Dados, comunicado de imprensa de 24 de outubro de 2024 — "Irish Data Protection Commission fines LinkedIn Ireland €310 million" — https://www.dataprotection.ie/en/news-media/press-releases/irish-data-protection-commission-fines-linkedin-ireland-eu310-million
• Comissão Irlandesa de Proteção de Dados, página da decisão — "Inquiry into LinkedIn Ireland Unlimited Company - October 2024" — https://www.dataprotection.ie/en/dpc-guidance/law/decisions-made-under-data-protection-act-2018/linkedin-ireland-unlimited-company-october-2024
• Comissão Irlandesa de Proteção de Dados, decisão final (PDF), 22 de outubro de 2024 — https://www.dataprotection.ie/sites/default/files/uploads/2024-12/LinkedIn-Final-Decision-IN-18-08-3-Redacted.pdf
• Comissão Irlandesa de Proteção de Dados, registo de coimas com estado de recurso — https://www.dataprotection.ie/en/dpc-guidance/decisions/fines
• LinkedIn News, resposta oficial de 24 de outubro de 2024 — "Our Response to the Irish Data Protection Commission's Decision" — https://news.linkedin.com/2024/October/Our-Response-to-the-Irish-Data-Protection-Commissions-Decision
• The Irish Times, "Microsoft-owned LinkedIn fined €310m by Irish Data Protection Commission", 24 de outubro de 2024 — https://www.irishtimes.com/business/2024/10/24/microsoft-owned-linkedin-fined-310m-by-irish-data-protection-commission/
• The Irish Times, "LinkedIn claims data watchdog's €310m fine is 'penal' sanction", 16 de dezembro de 2024 — https://www.irishtimes.com/business/2024/12/16/linkedin-claims-data-watchdogs-310m-fine-is-penal-sanction/
• Irish Legal News, "High Court: Court determines preliminary issues in LinkedIn appeal of 2024 DPC decision" — https://www.irishlegal.com/articles/high-court-court-determines-preliminary-issues-in-linkedin-appeal-of-2024-dpc-decision
• High Court irlandês, LinkedIn Ireland Unlimited Company contra Data Protection Commission [2026] IEHC 235 — https://www.bailii.org/ie/cases/IEHC/2026/2026IEHC235.html
• Regulamento (UE) 2016/679 (RGPD) — artigos 5.º, 6.º, 13.º, 14.º, 35.º, 58.º, 60.º, 83.º — https://eur-lex.europa.eu/eli/reg/2016/679/oj
• TJUE, processo C-604/22, IAB Europe contra Gegevensbeschermingsautoriteit, acórdão de 7 de março de 2024 — https://curia.europa.eu/juris/document/document.jsf?docid=283529
• TJUE, processo C-252/21, Meta Platforms Inc. e outros contra Bundeskartellamt, acórdão de 4 de julho de 2023 — https://curia.europa.eu/juris/document/document.jsf?docid=275125
• La Quadrature du Net — página de campanha "Personnal Data" — https://www.laquadrature.net/en/personnal-data/
• La Quadrature du Net — anúncio do depósito inicial das queixas GAFAM (28 de maio de 2018) — https://www.laquadrature.net/2018/05/28/depot_plainte_gafam/
• Comité Europeu para a Proteção de Dados, Parecer 08/2024 sobre consentimento válido no contexto dos modelos "consentimento ou pagamento" (adotado a 17 de abril de 2024) — https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-082024-valid-consent-context-consent-or-pay_en

Continuar a ler

A decisão LinkedIn é um nó num conjunto fortemente interligado de desenvolvimentos regulatórios europeus. Os artigos seguintes cobrem os temas conexos — comece pelo que se aproxima mais da sua preocupação atual.

• Dark patterns e consentimento de cookies em 2026 — a falha UX do consentimento do LinkedIn é a mesma arquitetura que produz a fiscalização aos banners de cookies. A análise aprofundada dos fluxos de consentimento em conformidade. (/blog/dark-patterns-cookies-2026)
• Artigo 22.º do RGPD encontra o Regulamento de IA: decisões automatizadas em 2026 — a publicidade comportamental é perfilagem automatizada, e a partir de 2 de agosto de 2026 o Regulamento de IA sobrepõe um segundo regime de conformidade. É aqui que se forma a próxima grande vaga de aplicação. (/blog/gdpr-art22-ai-act-automated-decisions-2026)
• O prazo do inventário de IA de 2 de agosto de 2026 — quem opera segmentação, scoring ou personalização precisa de um inventário de IA antes da aplicação do Regulamento. Aqui está como construí-lo. (/blog/ai-inventory-deadline-august-2026)
• Estado da transposição da NIS2 em toda a UE em 2026 — a aplicação às Big Tech domina os títulos; a NIS2 é a próxima vaga que alcança organizações intermédias e PME nos 27 Estados-Membros. (/blog/nis2-transposition-status-eu-2026)
• RGPD + NIS2 + Regulamento de IA: a pilha de conformidade integrada — operar três programas em silos custa mais do que operar um integrado. A arquitetura estratégica está aqui. (/blog/gdpr-nis2-ai-act-integrated-compliance-2026)