Uma panorâmica abrangente do Regulamento Dados, incluindo os seus objetivos e a forma como funciona na prática.
Porquê o Regulamento Dados?
O Regulamento Dados é um ato legislativo concebido para reforçar a economia dos dados da UE e promover um mercado de dados competitivo, tornando os dados (em especial os dados industriais) mais acessíveis e utilizáveis, incentivando a inovação baseada em dados e aumentando a disponibilidade de dados. Para o efeito, o Regulamento Dados assegura a equidade na repartição do valor dos dados entre os intervenientes na economia dos dados. Esclarece quem pode utilizar que dados e em que condições. Para mais informações, consulte as perguntas frequentes sobre o Regulamento Dados.»
Nos últimos anos, registou-se um rápido crescimento da disponibilidade de produtos ligados à Internet («produtos conectados») no mercado europeu. Estes produtos, que, em conjunto, constituem uma rede conhecida como Internet das Coisas (IdC), aumentam significativamente o volume de dados disponíveis para reutilização na UE. o que representa um enorme potencial para a inovação e a competitividade na UE.
O Regulamento Dados confere aos utilizadores de produtos conectados (empresas ou particulares que detêm, alugam ou alugam esse produto) um maior controlo sobre os dados que geram, mantendo simultaneamente incentivos para aqueles que investem em tecnologias de dados. Além disso, estabelece condições gerais para as situações em que uma empresa tem a obrigação legal de partilhar dados com outra empresa.
O Regulamento Dados inclui igualmente medidas para aumentar a equidade e a concorrência no mercado europeu da computação em nuvem, bem como para proteger as empresas de cláusulas contratuais abusivas relacionadas com a partilha de dados impostas por intervenientes mais fortes. Estabelece igualmente um mecanismo através do qual os organismos do setor público podem solicitar dados a uma empresa em caso de necessidade excecional, por exemplo em situações de emergência pública, e prevê regras claras sobre a forma como esses pedidos devem ser apresentados. Além disso, introduz salvaguardas para evitar que os organismos governamentais de países terceiros possam aceder a dados não pessoais sempre que tal seja contrário ao direito da UE ou ao direito nacional. Por último, o Regulamento Dados define requisitos essenciais em matéria de interoperabilidade para assegurar que os dados possam circular sem descontinuidades entre os setores e os Estados-Membros, facilitados pelos espaços comuns europeus de dados, bem como entre os prestadores de serviços de tratamento de dados.
O Regulamento Dados foi publicado no Jornal Oficial da UE em 22 de dezembro de 2023 e será aplicável em 12 de setembro de 2025.
O Regulamento Dados complementa o Regulamento Governação de Dados, o primeiro resultado da estratégia europeia para os dados. O Regulamento Governação de Dados entrou em vigor em setembro de 2023. Embora o Regulamento Governação de Dados aumente a confiança nos mecanismos voluntários de partilha de dados, o Regulamento Dados proporciona clareza jurídica no que diz respeito ao acesso aos dados e à sua utilização.
Juntamente com outras medidas políticas e oportunidades de financiamento, estes dois regulamentos contribuirão para a criação de um mercado único de dados da UE, tornando a Europa líder na economia dos dados, tirando partido do potencial das quantidades cada vez maiores de dados, em especial os dados industriais, em benefício da economia e da sociedade europeias.
Questões abordadas
Na sequência das disposições gerais (capítulo I), que estabelecem o âmbito de aplicação do regulamento e definem os termos-chave, o Regulamento Dados está estruturado em seis capítulos principais:
Capítulo II sobre a partilha de dados entre empresas e entre empresas e consumidores no contexto da IdC: Os utilizadores de objetos da IdC podem aceder, utilizar e portar dados que cogeram através da utilização de um produto conectado.
Capítulo III relativo à partilha de dados entre empresas: clarifica as condições de partilha de dados sempre que uma empresa seja obrigada por lei, nomeadamente através do Regulamento Dados, a partilhar dados com outra empresa.
Capítulo IV relativo às cláusulas contratuais abusivas: estas disposições protegem todas as empresas, em especial as PME, contra cláusulas contratuais abusivas que lhes sejam impostas.
Capítulo V relativo à partilha de dados entre empresas e administrações públicas: os organismos do setor público poderão tomar decisões mais baseadas em dados concretos em determinadas situações de necessidade excecional através de medidas de acesso a determinados dados detidos pelo setor privado.
Capítulo VI sobre a mudança entre serviços de tratamento de dados: Os prestadores de serviços de computação em nuvem e periférica devem cumprir requisitos mínimos para facilitar a interoperabilidade e permitir a mudança de fornecedor.
Capítulo VII relativo ao acesso ilegal das administrações públicas de países terceiros aos dados: os dados não pessoais armazenados na UE estão protegidos contra pedidos ilegais de acesso de governos estrangeiros.
Capítulo VIII relativo à interoperabilidade: Os participantes em espaços de dados devem cumprir critérios que permitam o fluxo de dados dentro e entre espaços de dados. Um repositório da UE estabelecerá as normas e especificações pertinentes para a interoperabilidade da computação em nuvem.
Capítulo IX relativo à execução: Os Estados-Membros devem designar uma ou mais autoridades competentes para acompanhar e fazer cumprir o Regulamento Dados. Se for designada mais do que uma autoridade, deve ser nomeado um «coordenador de dados» para atuar como ponto de contacto único a nível nacional.
Capítulo II: Partilha de dados entre empresas e entre empresas e consumidores no contexto do mercado da IdC
Porquê?
Um dos principais objetivos do Regulamento Dados é criar equidade na economia dos dados e capacitar os utilizadores para colherem valor dos dados que geram utilizando os produtos conectados de que são proprietários, arrendatários ou locatários.
O Regulamento Dados permite que os utilizadores de produtos conectados (por exemplo, automóveis conectados, dispositivos médicos e de fitness, máquinas industriais ou agrícolas) e serviços conexos (ou seja, tudo o que possa fazer com que um produto conectado se comporte de uma forma específica, como uma aplicação para ajustar o brilho das luzes ou regular a temperatura de um frigorífico) acedam aos dados que cocriam utilizando os produtos conectados/serviços conexos.
A disponibilidade desses dados terá um impacto significativo na economia. Por exemplo, os dados gerados por produtos conectados e serviços conexos podem ser utilizados para impulsionar os serviços pós-venda e auxiliares, bem como para criar serviços inteiramente novos, beneficiando tanto as empresas como os consumidores.
Exemplos de produtos conectados: produtos de consumo (por exemplo, automóveis conectados, dispositivos de monitorização da saúde, dispositivos para casas inteligentes), outros produtos (por exemplo, aviões, robôs, máquinas industriais).
Exemplo de um serviço conexo: um utilizador compra uma máquina de lavar roupa e instala uma aplicação que lhe permite medir o impacto ambiental do ciclo de lavagem com base nos dados dos diferentes sensores no interior da máquina e ajusta o ciclo em conformidade. Esta aplicação seria considerada um serviço conexo.
Exemplos de serviços pós-venda e auxiliares: serviços de reparação e manutenção, seguros baseados em dados.
Tipos de dados abrangidos
O capítulo II do Regulamento Dados relativo à partilha de dados entre empresas e entre empresas e consumidores aplica-se a todos os dados brutos e pré-tratados gerados a partir da utilização de um produto conectado ou de um serviço conexo que estejam facilmente disponíveis para o detentor dos dados (por exemplo, fabricante de um produto conectado/prestador de um serviço conexo), ou seja, dados que possam ser facilmente acedidos sem esforço desproporcionado, indo além de uma simples operação. Isto aplica-se tanto a dados pessoais como não pessoais, incluindo metadados relevantes.
Esses dados incluem dados recolhidos a partir de um único sensor ou de um grupo conectado de sensores, como a temperatura, a pressão, o caudal, o áudio, o valor do pH, o nível de líquido, a posição, a aceleração ou a velocidade.
Os dados e conteúdos inferidos ou derivados (por exemplo, dados altamente enriquecidos, material audiovisual) estão fora do âmbito de aplicação. Além disso, o Regulamento Dados não prejudica a legislação em matéria de proteção dos direitos de propriedade intelectual.
Por exemplo, se um utilizador vê um filme na sua TV conectada, o filme em si não está dentro do âmbito, mas os dados sobre o brilho do ecrã estão dentro do âmbito.
Na prática
O capítulo II do Regulamento Dados permite aos utilizadores (ou seja, qualquer pessoa singular ou coletiva que possua, alugue ou alugue um produto conectado) aceder aos dados que geram através da sua utilização do produto conectado ou serviço conexo. Se o utilizador pretender partilhar estes dados com outra entidade ou pessoa («terceiro»),pode fazê-lo diretamente ou solicitar ao detentor dos dados que os partilhe com um terceiro da sua escolha (excluindo os controladores de acesso ao abrigo do Regulamento Mercados Digitais). O detentor dos dados é normalmente a empresa que fabrica o produto conectado ou que presta um serviço conexo. O detentor dos dados deve ter um contrato com o utilizador (por exemplo, contrato de venda, contrato de arrendamento, contrato de serviços conexos, etc.) que defina os direitos relativos ao acesso, à utilização e à partilha dos dados gerados pelo produto conectado ou serviço conexo. É importante notar que o detentor dos dados não pode utilizar quaisquer dados não pessoais gerados pelo produto sem o acordo do utilizador.
A título de exemplo, e tendo em conta que o contrato em causa determina as funções exatas:
-
Uma empresa opera uma escavadora: o detentor dos dados seria normalmente o fabricante da escavadora e o utilizador seria a empresa que opera a escavadora.
-
Se alguém comprar um frigorífico conectado e descarregar uma aplicação que os ajude a regular a temperatura ótima para o conteúdo do frigorífico, haverá potencialmente dois detentores de dados, a saber, a entidade que colocou o frigorífico no mercado e a entidade que oferece o serviço conexo (a aplicação), e apenas um utilizador (o proprietário do frigorífico).
O Regulamento Dados inclui vários mecanismos para facilitar aos utilizadores a utilização destas disposições: Os detentores dos dados devem fornecer ao utilizador informações sobre o tipo de dados que irão gerar quando utilizarem o produto conectado ou serviço conexo (incluindo o volume, a frequência de recolha, etc.); os utilizadores devem poder solicitar o acesso aos dados através de um processo simples, e Os detentores dos dados devem disponibilizá-los gratuitamente aos utilizadores.
Limitações à utilização dos dados
A fim de não dissuadir as empresas de investirem em produtos geradores de dados, os dados obtidos não podem ser utilizados para desenvolver um produto conectado concorrente. O Regulamento Dados não proíbe a concorrência nos serviços conexos ou no mercado pós-venda. Além disso, o Regulamento Dados não obriga um detentor de dados a partilhar dados com terceiros estabelecidos fora da UE.
O Regulamento Dados está em plena conformidade com as regras em matéria de proteção de dados, nomeadamente o RGPD. Se o utilizador não for o titular dos dados cujos dados são solicitados, os dados pessoais só podem ser disponibilizados se existir uma base jurídica válida (por exemplo, consentimento). Esta é uma consideração importante, uma vez que os dados cogerados contêm frequentemente dados pessoais e não pessoais, que podem ser difíceis de separar.
Incentiva o desenvolvimento de produtos e serviços conectados com base em novos fluxos de dados, o que se reveste de especial valor para as empresas de menor dimensão. Além disso, as micro e pequenas empresas, enquanto fabricantes ou prestadores de serviços conexos, não estão sujeitas às mesmas obrigações que as empresas de maior dimensão.
Para proteger os segredos comerciais sem comprometer o objetivo do Regulamento Dados de disponibilizar mais dados, o detentor dos dados e o utilizador/terceiro podem acordar determinadas medidas para preservar a confidencialidade dos segredos comerciais. Se estas medidas não forem respeitadas, o detentor dos dados pode suspender ou suspender a partilha de dados. O detentor dos dados só pode recusar a partilha de dados se puder demonstrar que é altamente provável que venha a sofrer prejuízos económicos graves com a divulgação de segredos comerciais.
O detentor e o utilizador dos dados podem acordar em limitar a partilha de dados se existir o risco de os requisitos de segurança do produto conectado poderem ser comprometidos, resultando em efeitos adversos graves para a saúde, a segurança ou a proteção das pessoas. Tais requisitos devem ser estabelecidos no direito da UE ou no direito nacional.
Se o detentor dos dados suspender, reter ou recusar a partilha de dados por motivos de proteção dos segredos comerciais ou de requisitos de segurança, deve notificar a autoridade nacional competente. Os utilizadores podem contestar essa decisão, quer perante o órgão jurisdicional competente de um Estado-Membro, através de uma reclamação junto da autoridade competente, quer mediante acordo com o detentor dos dados perante um organismo de resolução de litígios.
Capítulo III: Regras relativas à partilha obrigatória de dados entre empresas
Porquê?
O Regulamento Dados introduz regras para as situações em que uma empresa («detentor dos dados») tem a obrigação legal, ao abrigo do direito da UE ou nacional, de disponibilizar dados a outra empresa («destinatário dos dados»), nomeadamente no contexto dos dados da IdC. Nomeadamente, os termos e condições da partilha de dados devem ser justos, razoáveis e não discriminatórios.
Como incentivo à partilha de dados, os detentores de dados que são obrigados a partilhar dados podem solicitar uma «compensação razoável» ao destinatário dos dados.
Tipos de dados abrangidos
O capítulo III do Regulamento Dados aplica-se a todos os dados (pessoais e não pessoais) detidos por uma empresa, incluindo as situações abrangidas pelo capítulo II do Regulamento Dados.
Na prática
Os detentores dos dados podem solicitar uma compensação razoável pela disponibilização dos dados a um destinatário de dados. Tal poderá incluir os custos incorridos com a disponibilização dos dados, bem como os custos técnicos relacionados com a divulgação e o armazenamento. No entanto, as microempresas, as PME e as organizações de investigação sem fins lucrativos não podem cobrar mais do que os custos incorridos com a disponibilização dos dados.
A fim de proteger os detentores dos dados, o Regulamento Dados inclui uma lista não exaustiva de medidas para corrigir situações em que um terceiro ou utilizador acedeu ou utilizou ilegalmente dados. Por exemplo, um detentor de dados pode exigir que uma parte infratora deixe de produzir o produto em questão ou destrua os dados que obteve ilicitamente, ou pode solicitar uma indemnização.
Quaisquer obrigações de partilha de dados que precedam o Regulamento Dados não são afetadas. As obrigações da futura legislação (setorial) devem ser alinhadas com as disposições do capítulo III do Regulamento Dados.
Capítulo IV: Cláusulas contratuais abusivas
Porquê?
A liberdade contratual é fundamental para as relações entre empresas. No entanto, o Regulamento Dados visa proteger todas as empresas europeias que procuram adquirir dados, em especial as PME, contra cláusulas contratuais abusivas através das suas medidas de intervenção em situações em que, por exemplo, uma das empresas se encontra numa posição de negociação mais forte (por exemplo, devido à sua dimensão de mercado) e impõe uma cláusula não negociável («take-it-or-leave-it») relacionada com o acesso e a utilização de dados à outra.
Tipos de dados abrangidos
Estas regras abrangem todos os dados, tanto pessoais como não pessoais, detidos por uma entidade privada que são acedidos e utilizados com base num contrato entre empresas.
Na prática
As cláusulas «take-it-or-leave» impostas unilateralmente podem, quando digam respeito à disponibilização de dados, ser sujeitas a um teste do caráter abusivo.
O Regulamento Dados estabelece uma lista não exaustiva de cláusulas que são sempre consideradas abusivas (por exemplo, que excluiriam ou limitariam a responsabilidade da parte que impôs unilateralmente a cláusula por atos dolosos ou negligência grave) e de cláusulas que se presumem abusivas (por exemplo, que limitariam indevidamente as vias de recurso em caso de incumprimento das obrigações contratuais ou a responsabilidade em caso de incumprimento dessas obrigações, ou alargariam a responsabilidade da empresa à qual a cláusula foi imposta unilateralmente). Se uma cláusula for considerada abusiva, deixa de ser válida – sempre que possível, é simplesmente separada do contacto. Se se presumir que é abusiva, a entidade que impôs a cláusula pode tentar demonstrar que a cláusula não é abusiva.
Capítulo V: Partilha de dados entre empresas e administrações públicas
Porquê?
Os dados na posse de entidades privadas podem ser essenciais para que um organismo do setor público desempenhe uma missão de interesse público. O capítulo V do Regulamento Dados permite que os organismos do setor público acedam a esses dados, em determinadas condições, em caso de necessidade excecional. Este último refere-se a uma situação imprevisível e limitada no tempo, em que os dados detidos por uma entidade privada são necessários para o desempenho da missão de interesse público, nomeadamente para melhorar a tomada de decisões com base em dados concretos. As situações de necessidade excecional incluem tanto emergências públicas (como grandes catástrofes naturais ou de origem humana, pandemias e incidentes de cibersegurança) como situações não urgentes (por exemplo, os dados agregados e anonimizados dos sistemas GPS dos condutores podem ser utilizados para ajudar a otimizar os fluxos de tráfego).
O Regulamento Dados assegurará que as autoridades públicas tenham acesso a esses dados de forma atempada e fiável, sem impor encargos administrativos indevidos às empresas.
Tipos de dados abrangidos
No capítulo V, todos os dados são abrangidos pelo âmbito de aplicação, com destaque para os dados não pessoais.
O capítulo V do Regulamento Dados relativo à partilha de dados entre empresas e administrações públicas estabelece uma distinção entre dois cenários:
-
A fim de dar resposta a uma emergência pública, um organismo do setor público deve solicitar dados não pessoais. No entanto, se tal for insuficiente para dar resposta à situação, podem ser solicitados dados pessoais. Sempre que possível, estes dados devem ser anonimizados pelo detentor dos dados.
-
Em situações não urgentes, os organismos do setor público só podem solicitar dados não pessoais.
Principais partes interessadas
As entidades habilitadas a solicitar dados incluem organismos do setor público dos Estados-Membros, bem como determinadas instituições, organismos e agências da UE. Estas entidades podem também partilhar os dados com organizações que realizam e financiam investigação em determinadas condições.
No contexto dos pedidos entre empresas e administrações públicas, os detentores dos dados são normalmente entidades privadas, mas podem também incluir empresas públicas.
Na prática
Um organismo do setor público pode, em determinadas condições, obrigar um detentor de dados a disponibilizar determinados dados sem demora injustificada para dar resposta a uma emergência pública. O Regulamento Dados define uma emergência pública; mas a sua existência é determinada de acordo com os procedimentos ou a legislação nacionais ou da UE.
Para necessidades excecionais que não estejam relacionadas com uma emergência pública, um organismo do setor público pode solicitar dados não pessoais para desempenhar uma função específica de interesse público e que tenha sido prevista por lei, se o organismo do setor público puder provar que não conseguiu aceder aos dados por outros meios.
Em ambos os casos (emergência e não emergência), os pedidos devem respeitar uma série de princípios e condições rigorosos. Por exemplo, os pedidos devem ser específicos, transparentes e proporcionados, os segredos comerciais devem ser protegidos e os dados devem ser apagados assim que deixem de ser necessários.
O quadro seguinte resume o que as empresas podem solicitar para fornecer dados a um organismo do setor público neste contexto.
Compensação pela disponibilização de dados nos termos do capítulo V do Regulamento Dados
| As empresas que não sejam micro e pequenas empresas podem solicitar: | As micro e pequenas empresas podem pedir: | |
| Emergência pública | As empresas podem solicitar que a sua contribuição de dados seja reconhecida e publicamente reconhecida pelo organismo do setor público destinatário. | Remuneração razoável que não exceda os custos técnicos e organizativos incorridos + reconhecimento público, mediante pedido |
| Situação de não emergência | Remuneração razoável que não exceda os custos técnicos e de organização incorridos (exceto para a produção de estatísticas oficiais) | N/A (isenção da obrigação de fornecer dados) |
Para minimizar os encargos para as empresas, os mesmos dados não podem ser solicitados mais do que uma vez («princípio da declaração única») por mais do que um organismo do setor público. Por este motivo, todos os pedidos devem ser tornados públicos pelo coordenador de dados (a menos que exista um problema de segurança).
Capítulo VI: Mudança entre serviços de tratamento de dados
Porquê?
A fim de assegurar um mercado competitivo na UE, os clientes de serviços de tratamento de dados (incluindo serviços de computação em nuvem e periféricos) devem poder mudar sem descontinuidades de um prestador para outro. No entanto, os clientes enfrentam atualmente uma série de obstáculos, incluindo encargos elevados associados, por exemplo, à saída de dados, procedimentos morosos e falta de interoperabilidade entre fornecedores, que podem resultar numa perda de dados e aplicações.
O Regulamento Dados tornará a mudança gratuita, rápida e fluida. Tal beneficiará os clientes, que podem escolher livremente os serviços que melhor satisfazem as suas necessidades, bem como os prestadores, que beneficiarão de um maior número de clientes.
Âmbito de aplicação
O capítulo VI do Regulamento Dados aplica-se aos prestadores de serviços de tratamento de dados (ou seja, serviços digitais que permitem um acesso ubíquo e a pedido à rede, como redes, servidores ou outras infraestruturas virtuais ou físicas e software). Os dados essenciais para a mudança incluem os dados de entrada e de saída, incluindo metadados, gerados pela utilização do serviço pelo cliente, excluindo os dados protegidos por direitos de propriedade intelectual ou que constituam um segredo comercial do prestador de serviços.
Na prática
A fim de superar o desequilíbrio de poder entre prestadores e clientes no mercado da computação em nuvem, o Regulamento Dados estabelece requisitos mínimos para o conteúdo dos contratos de computação em nuvem. Em especial, os clientes dos setores público e privado beneficiarão de uma transparência contratual muito maior.
O Regulamento Dados inclui medidas para assegurar que os clientes podem mudar de um prestador de serviços de tratamento de dados («prestador de origem») para outro prestador («de destino») de forma rápida e harmoniosa, e sem perder quaisquer dados ou a funcionalidade das aplicações. Por exemplo, os fornecedores de Plataforma e Software as a Service devem disponibilizar interfaces abertas e, no mínimo, exportar dados num formato de uso corrente e legível por máquina. Os prestadores de Infraestrutura como Serviço devem tomar medidas para facilitar que, quando um cliente muda para um serviço do mesmo tipo, o cliente obtenha resultados materialmente comparáveis em resposta ao mesmo contributo para características que ambos os serviços partilham («equivalência funcional»). Como exemplo de tal medida, o provedor de origem pode ter que usar ferramentas para transferir cargas de trabalho de computação de uma tecnologia de virtualização para outra.
Todos os prestadores são obrigados a eliminar os obstáculos que os seus clientes possam enfrentar quando pretendem mudar para outro prestador ou utilizar vários serviços ao mesmo tempo.
O Regulamento Dados eliminará também totalmente os encargos de mudança, incluindo os encargos relativos à saída de dados (ou seja, os encargos relativos ao trânsito de dados), a partir de 12 de janeiro de 2027. Tal significa que os fornecedores não poderão cobrar aos seus clientes as operações necessárias para facilitar a mudança ou a saída de dados. No entanto, como medida transitória durante os primeiros três anos após a entrada em vigor do Regulamento Dados (de 11 de janeiro de 2024 a 12 de janeiro de 2027), os fornecedores podem ainda cobrar aos seus clientes os custos incorridos com a mudança e a saída de dados.
Capítulo VII: Acesso ilegal do governo de um país terceiro
Porquê?
Por vezes, uma decisão ou sentença proferida por um país fora da UE («país terceiro») procura permitir o acesso governamental e a transferência de dados não pessoais tratados e armazenados na UE. No entanto, em certos casos, a concessão de acesso ou a transferência desses dados pode efetivamente ser ilegal, em especial se o pedido for contrário à legislação e às garantias da UE em matéria de proteção dos direitos fundamentais das pessoas singulares, dos interesses de segurança nacional ou dos dados comercialmente sensíveis.
O Regulamento Dados segue o Regulamento Governação de Dados no que diz respeito às disposições destinadas a prevenir o acesso governamental ilícito de países terceiros e a transferência de dados não pessoais detidos na UE. Tais disposições não têm impacto na partilha regular de dados entre empresas. Aumentam a transparência e a segurança jurídica no que diz respeito ao processo e às condições em que os dados não pessoais podem ser acedidos ou transferidos para organismos governamentais de países terceiros.
Tipos de dados abrangidos
Quaisquer dados não pessoais detidos na UE por um prestador de um serviço de tratamento de dados.
Na prática
O Regulamento Dados não proíbe os fluxos transfronteiriços de dados, mas garante que a proteção concedida aos dados na UE é assegurada com quaisquer dados transferidos para fora da UE.
Neste contexto, o Regulamento Dados estabelece regras e garantias para os pedidos de acesso de um organismo do setor público estrangeiro a dados não pessoais detidos na União. A cooperação internacional legítima em matéria de aplicação da lei não é afetada por estas disposições.
Se não existir um acordo internacional que regule o acesso de um governo de um país terceiro a dados não pessoais localizados na UE, os dados só podem ser transferidos ou acedidos em condições específicas. Estas condições referem-se a determinadas garantias de salvaguarda dos direitos europeus que têm de ser cumpridas pelo sistema jurídico do país terceiro, incluindo a obrigação de expor as razões e de avaliar a proporcionalidade na decisão. O prestador de serviços de tratamento de dados visado por essa decisão pode contactar o organismo nacional competente para ajudar a avaliar se as condições estabelecidas no Regulamento Dados estão preenchidas. Para ajudar a avaliar se estas condições foram cumpridas, a Comissão Europeia elaborará orientações em conjunto com o Comité Europeu da Inovação de Dados (um grupo de peritos criado ao abrigo do Regulamento Governação de Dados para facilitar a partilha de boas práticas e dar prioridade às normas de interoperabilidade intersetorial).
Os prestadores de serviços de tratamento de dados devem tomar todas as medidas razoáveis (por exemplo, cifragem, auditorias, adesão a sistemas de certificação) para impedir o acesso aos sistemas em que armazenam dados não pessoais. Estas medidas devem ser publicadas nos respetivos sítios Web. Além disso, sempre que possível, devem informar os seus clientes antes de darem acesso aos seus dados.
Capítulo VIII: Interoperabilidade
Porquê?
As normas e a interoperabilidade são fundamentais para garantir que os dados provenientes de diferentes fontes possam ser utilizados nos Espaços Comuns Europeus de Dados e entre estes, a fim de promover a investigação e desenvolver novos produtos ou serviços. Para o efeito, o Regulamento Dados estabelece alguns requisitos essenciais que os participantes em espaços de dados devem cumprir e que podem ser especificados mais pormenorizadamente pela Comissão Europeia por meio de atos delegados.
Visa igualmente assegurar a interoperabilidade entre os serviços de tratamento de dados; tal é essencial para que os clientes possam beneficiar de uma mudança mais fácil.
Principais partes interessadas
O presente capítulo visa os participantes em espaços de dados que oferecem dados ou serviços baseados em dados a outros participantes e que facilitam ou participam na partilha de dados dentro dos espaços de dados.
Aborda igualmente os fornecedores de contratos inteligentes, bem como os prestadores de serviços de tratamento de dados.
Na prática
Os participantes no espaço de dados devem cumprir vários requisitos essenciais para permitir que os dados circulem dentro e entre espaços de dados. Por exemplo, uma descrição das estruturas de dados, dos formatos de dados e dos vocabulários, quando disponíveis, deve ser acessível ao público. Além disso, devem ser assegurados meios para assegurar a interoperabilidade dos acordos de partilha de dados, como os contratos inteligentes.
O Regulamento Dados também prepara o terreno para aumentar a interoperabilidade dos serviços de tratamento de dados através de normas harmonizadas e especificações de interoperabilidade abertas.
Além disso, estabelece requisitos para os fornecedores de contratos inteligentes para a execução automatizada de acordos de partilha de dados, por exemplo, para garantir que cumprem corretamente as disposições do acordo de partilha de dados e resistem à manipulação por terceiros.
A Comissão avaliará os obstáculos à interoperabilidade e dará prioridade às necessidades de normalização, com base nas quais poderá solicitar às organizações europeias de normalização que elaborem normas harmonizadas que cumpram os requisitos acima referidos.
Se o pedido não conduzir a uma norma harmonizada ou se a norma for insuficiente para assegurar a conformidade com o Regulamento Dados, a Comissão pode adotar especificações comuns como solução de recurso. Estas devem ser desenvolvidas de forma aberta e inclusiva, tendo em conta as reações do Conselho Europeu da Inovação de Dados.
Capítulo IX: Aplicação e disposições gerais
Os Estados-Membros designarão uma ou mais autoridades competentes (novas ou existentes) para assegurar a aplicação eficiente do Regulamento Dados. Sempre que existam várias autoridades competentes, os Estados-Membros devem designar uma delas como «coordenador de dados». O coordenador de dados funcionará como um «balcão único» para todas as questões relacionadas com a aplicação do Regulamento Dados a nível nacional, facilitando a sua aplicação tanto pelas empresas como pelas autoridades públicas. Por exemplo, se uma empresa procurar obter reparação pela violação dos seus direitos ao abrigo do Regulamento Dados, o coordenador de dados deve (mediante pedido) fornecer todas as informações necessárias para o ajudar a apresentar a sua reclamação à autoridade competente adequada. O coordenador de dados facilitará igualmente a colaboração em situações transfronteiriças, por exemplo quando uma autoridade competente de um determinado Estado-Membro não sabe a que autoridade deve dirigir-se no Estado-Membro do coordenador de dados.
A Comissão manterá um registo público das autoridades competentes e dos coordenadores de dados.
O Conselho Europeu da Inovação de Dados facilitará os debates entre as autoridades competentes, por exemplo, para coordenar e adotar recomendações sobre o estabelecimento de sanções em caso de violação do Regulamento Dados. As sanções são estabelecidas pelas autoridades competentes e, de acordo com o Regulamento Dados, devem ser aplicadas sanções efetivas, proporcionadas e dissuasivas.
Os Estados-Membros podem, se assim o desejarem, criar organismos certificados de resolução de litígios para ajudar as partes que não consigam chegar a acordo sobre condições justas, razoáveis e não discriminatórias para a disponibilização dos dados. As partes podem dirigir-se a qualquer organismo de resolução de litígios, quer no Estado-Membro em que estão estabelecidas, quer noutro.
Os mecanismos certificados de resolução de litígios e as autoridades competentes especializadas facilitarão às empresas, em especial às pequenas empresas, o exercício dos seus direitos ao abrigo do Regulamento Dados, uma vez que oferecem uma solução simples, rápida e de baixo custo às partes envolvidas.
O que se segue?
A estratégia europeia para os dados define o caminho para a UE se tornar líder na economia dos dados. Este objetivo será alcançado através da criação de um mercado único europeu de dados em que os dados possam circular entre setores e Estados-Membros de forma segura e fiável, em benefício da economia e da sociedade. Ao assegurar a equidade na repartição do valor dos dados entre as partes interessadas, o Regulamento Dados é um elemento fundamental para alcançar esta visão.
O Regulamento Dados será aplicável em 12 de setembro de 2025.
Para ajudar as empresas a navegar nestas novas regras, a Comissão recomendará um conjunto de cláusulas contratuais-tipo para as ajudar a celebrar contratos de partilha de dados que sejam justos, razoáveis e não discriminatórios (capítulos II e III do Regulamento Dados). Estes termos também fornecerão orientações sobre a compensação razoável e a proteção de segredos comerciais. A Comissão recomendará igualmente um conjunto de cláusulas contratuais-tipo não vinculativas para os contratos de computação em nuvem entre utilizadores e prestadores de serviços de computação em nuvem. Foi criado um grupo de peritos para ajudar a Comissão a elaborar esses termos e cláusulas e tenciona recomendá-los até ao outono de 2025.
No prazo de três anos a contar da sua entrada em vigor, a Comissão procederá a uma avaliação do impacto do Regulamento Dados. Nesta base, se necessário, a Comissão pode propor uma alteração à lei.
Advertência jurídica
O presente documento não deve ser considerado representativo da posição oficial da Comissão Europeia.