Does ePrivacy apply to AI-generated messages?

Yes. ePrivacy is technology-neutral — an AI sending a marketing email, SMS, or WhatsApp message is treated identically to a human sending one.

Does GDPR consent satisfy ePrivacy?

No. ePrivacy is lex specialis and requires separate compliance. GDPR consent does not automatically satisfy ePrivacy's prior opt-in requirement.

What about B2B outbound?

B2C always requires opt-in. B2B rules vary by Member State — some allow opt-out for corporate addresses, others (e.g. Germany) apply stricter rules.

Is the ePrivacy Regulation coming?

The standalone Regulation was withdrawn in February 2025. Targeted ePrivacy amendments are now part of the Digital Omnibus Package under negotiation.

Conformidade ePrivacy de IA — Consentimento para Mensagens de IA de Saída

Última atualização: 8 de abril de 2026 · 8 min de leitura · Revisto pela equipa de conformidade Audact · Diretiva 2002/58/CE

A Diretiva ePrivacy rege o ato de enviar comunicações eletrónicas. Aplica-se a cada mensagem de saída gerada por IA — e-mail, SMS, WhatsApp ou chamada de voz — independentemente de ser um humano ou IA que a compôs.

O que é a Diretiva ePrivacy?

A Diretiva ePrivacy (2002/58/CE) é a principal lei da UE que rege a privacidade das comunicações eletrónicas. É lex specialis em relação ao GDPR — onde o ePrivacy tem uma regra específica, tem precedência sobre o GDPR.

Na prática: o ePrivacy rege o envio da comunicação e o acesso ao dispositivo. O GDPR rege o posterior processamento dos dados pessoais recolhidos. Requerem conformidade separada — o consentimento GDPR não satisfaz automaticamente os requisitos do ePrivacy, e vice-versa.

Diretiva ePrivacy vs Regulamento ePrivacy: o que muda para a IA

A Diretiva de 2002 (alterada em 2009) é um instrumento jurídico transposto de forma diferente em cada Estado-Membro, razão pela qual o TDDDG alemão, o Telecommunicatiewet holandês e o PECR do Reino Unido parecem superficialmente semelhantes mas divergem nos detalhes. O proposto Regulamento ePrivacy teria substituído o mosaico por um texto único diretamente aplicável, apertando as regras sobre cookies, tráfego máquina-a-máquina e processamento de metadados. Após oito anos de impasse, a Comissão retirou formalmente o processo em 11 de fevereiro de 2025.

Para os implementadores de IA a consequência prática é que nada muda imediatamente: a Diretiva permanece em vigor, e o mesmo regime orientado para opt-in continua a aplicar-se às mensagens de IA de saída. Mas o Pacote Digital Omnibus proposto em novembro de 2025 contém emendas direcionadas ao ePrivacy — nomeadamente sobre a fadiga de consentimento de cookies e motivos de interesse legítimo para análises — que deverão ser aprovadas em 2027. Os fornecedores de IA devem conceber hoje a sua captura de consentimento para que a base legal possa ser remapeada sem re-recolher o consentimento.

Artigos-chave para implementadores de IA

Artigo 13 — Comunicações não solicitadas

Exige consentimento prévio de opt-in antes de enviar marketing direto através de sistemas de chamada automatizados, e-mail, SMS, fax ou qualquer mensagem eletrónica. É tecnologicamente neutro: uma IA a enviar um e-mail de marketing é tratada de forma idêntica a um humano a enviar um.

Chatbot de IA a iniciar uma mensagem WhatsApp → consentimento necessário
IA a enviar e-mails de marketing → consentimento necessário
Campanhas de SMS geradas por IA → consentimento necessário
Chamadas de voz de IA de saída → consentimento necessário

Artigo 13(2) — Exceção de soft opt-in

Uma exceção que permite marketing sem novo consentimento se: (a) o endereço de e-mail foi obtido no contexto de uma venda ou serviço, (b) o marketing é para produtos/serviços semelhantes, e (c) um opt-out fácil é fornecido na recolha e em cada mensagem.

Artigo 5(3) — Cookies e acesso ao dispositivo

Exige consentimento antes de armazenar ou aceder a informações no equipamento terminal de um utilizador. Para chatbots de IA, aplica-se quando o chatbot coloca cookies de rastreamento — não à conversa em si.

Consentimento de cookies e rastreamento de IA ao abrigo do ePrivacy

O Artigo 5(3) é tecnologicamente neutro: aplica-se a qualquer armazenamento de, ou acesso a, informações no equipamento terminal de um utilizador. Isso cobre cookies HTTP clássicos, mas também armazenamento local do navegador, bibliotecas de fingerprinting e os SDKs que os motores de personalização de IA incorporam em sites e aplicações móveis. Se os dados forem depois alimentados num modelo de recomendação ou numa IA de targeting comportamental, a base legal para a leitura ou escrita inicial deve ainda ser consentimento GDPR válido — capturado antes de o script disparar. A CNIL, a Garante e a AP holandesa confirmaram todas que "rejeitar tudo" deve ser tão fácil quanto "aceitar tudo".

Para agentes de voz ou chat de IA, a questão dos cookies está geralmente limitada à propriedade web circundante — mas push web alimentado por IA, mensagens in-app e modelos de fala no dispositivo acionam o 5(3) no momento em que armazenam estado. O Audact trata cada decisão de consentimento como um evento auditável, o que permite aos clientes provar a validade dos cookies mesmo quando a pilha de front-end muda.

Isenções B2B ao abrigo do ePrivacy para comunicações de IA

O tratamento B2B é a parte mais fragmentada do ePrivacy. A Diretiva permite que os Estados-Membros permitam o marketing direto a pessoas jurídicas numa base de opt-out, mas não o exige. O PECR do Reino Unido isenta os assinantes corporativos do opt-in estrito para chamadas ao vivo e fax (mas não para SMS ou e-mail para funcionários individuais). A França permite igualmente o marketing de opt-out para endereços profissionais desde que a mensagem esteja relacionada com o trabalho do destinatário. A Alemanha toma a posição oposta: o §7 UWG exige consentimento expresso prévio mesmo para e-mail B2B, com exceções muito estreitas.

Para sistemas de IA de saída, a regra operacional é simples: um único flag global de 'isenção B2B' é não conforme por design. O motor de política deve resolver o país do destinatário, o canal e a natureza da mensagem antes de cada envio, e registar essa decisão para o regulador. O Audact fornece estas regras por jurisdição de raiz.

B2B vs B2C

B2C requer sempre opt-in. O tratamento B2B varia por Estado-Membro: alguns (por exemplo, Reino Unido, França) permitem contactar endereços de e-mail corporativos numa base de opt-out para produtos relacionados com negócios. Outros (por exemplo, Alemanha) aplicam regras mais rigorosas. O Motor de Política do Audact lida com estas diferenças por país automaticamente.

Aplicação e penalidades

Aplicado por autoridades nacionais (normalmente Autoridades de Proteção de Dados). Como o ePrivacy é uma Diretiva — não um Regulamento — as multas variam por Estado-Membro:

Alemanha (TDDDG): Até €300.000
Reino Unido (PECR): Multas ao abrigo do PECR, com penalidades mais elevadas possíveis onde as infrações se sobrepõem com o GDPR
Países Baixos: A AP holandesa alertou 50 organizações em abril de 2025 por violações de cookies
França (CNIL): Aplicação rigorosa, bloqueia cookies antes do consentimento, proíbe padrões obscuros

O EDPB confirmou que as violações do ePrivacy podem ser incluídas nas multas GDPR onde a mesma autoridade aplica ambos.

Regulamento ePrivacy — o que aconteceu?

O Regulamento ePrivacy autónomo foi formalmente retirado pela Comissão Europeia em 11 de fevereiro de 2025 após anos de negociações falhadas. Em vez disso, emendas direcionadas ao ePrivacy fazem agora parte do Pacote Digital Omnibus (proposto em novembro de 2025), atualmente em negociação com acordo político esperado no final de 2026.

Como o Audact ajuda

Verificação de consentimento: O Motor de Política valida o estado de opt-in antes de qualquer comunicação de IA de saída ser enviada
Regras por país: Requisitos de consentimento e opt-out específicos da jurisdição aplicados automaticamente
Registo de evidências: Cada verificação de consentimento é registada com evidências criptográficas para auditorias de reguladores
Validação de soft opt-in: Verificação automática de que as condições do Artigo 13(2) são cumpridas antes de permitir comunicações

Perguntas frequentes

O ePrivacy aplica-se a mensagens geradas por IA?

Sim. O ePrivacy é tecnologicamente neutro — uma IA a enviar um e-mail de marketing, SMS ou mensagem WhatsApp é tratada de forma idêntica a um humano a enviar um.

O consentimento GDPR satisfaz o ePrivacy?

Não. O ePrivacy é lex specialis e exige conformidade separada. O consentimento GDPR não satisfaz automaticamente o requisito de opt-in prévio do ePrivacy.

E quanto ao outbound B2B?

B2C requer sempre opt-in. As regras B2B variam por Estado-Membro — alguns permitem opt-out para endereços corporativos, outros (por exemplo, Alemanha) aplicam regras mais rigorosas.

O Regulamento ePrivacy está a chegar?

O Regulamento autónomo foi retirado em fevereiro de 2025. As emendas direcionadas ao ePrivacy fazem agora parte do Pacote Digital Omnibus em negociação.

Comparar leis de conformidade de IA da UE

Lei	Prazo	Quem	Penalidade
EU AI Act Art. 50	2 ago 2026	Todos os implementadores de IA na UE	€7,5M / 1,5% de volume de negócios
NL Telecomwet	1 jul 2026	Marketing de saída para consumidores NL	€900k / 10% de volume de negócios
GDPR	Em vigor	Qualquer processador de dados pessoais da UE	€20M / 4% de volume de negócios
DSA	Em vigor (fev 2024)	Intermediários e VLOPs	6% do volume de negócios global
ePrivacy	Em vigor	Remetentes de comunicações eletrónicas	Varia por Estado-Membro

Recursos de conformidade relacionados

Aviso legal: Esta página é apenas para fins informativos e não constitui aconselhamento jurídico. Consulte advogado qualificado para as suas obrigações específicas de conformidade.

← Voltar ao início

Conformidade ePrivacy de IA para comunicações eletrónicas