Uma visão global do Regulamento Dados, incluindo os seus objetivos e o seu funcionamento na prática.
Por que a Lei de Dados?
O Regulamento Dados é uma lei concebida para melhorar a economia dos dados da UE e promover um mercado de dados competitivo, tornando os dados (em especial os dados industriais) mais acessíveis e utilizáveis, incentivando a inovação baseada nos dados e aumentando a disponibilidade de dados. Para o efeito, o Regulamento Dados garante a equidade na repartição do valor dos dados entre os intervenientes na economia dos dados. Esclarece quem pode utilizar os dados e em que condições.
Nos últimos anos, registou-se um rápido crescimento da disponibilidade de produtos ligados à Internet («produtos interligados») no mercado europeu. Estes produtos, que em conjunto compõem uma rede conhecida como Internet das Coisas (IdC), aumentam significativamente o volume de dados disponíveis para reutilização na UE. Tal representa um enorme potencial de inovação e competitividade na UE.
A Lei relativa aos dados confere aos utilizadores de produtos conectados (empresas ou pessoas singulares que possuem, arrendam ou alugam esse produto) um maior controlo sobre os dados que geram, mantendo simultaneamente incentivos para aqueles que investem em tecnologias de dados. Além disso, estabelece condições gerais para as situações em que uma empresa tem a obrigação legal de partilhar dados com outra empresa.
O Regulamento Dados inclui igualmente medidas destinadas a aumentar a equidade e a concorrência no mercado europeu da computação em nuvem, bem como a proteger as empresas de cláusulas contratuais abusivas relacionadas com a partilha de dados impostas por intervenientes mais fortes. Estabelece igualmente um mecanismo através do qual os organismos do setor público podem solicitar dados a uma empresa em que exista uma necessidade excecional, por exemplo em situações de emergência pública, e estabelece regras claras sobre a forma como esses pedidos devem ser apresentados. Além disso, introduz salvaguardas para evitar que os organismos governamentais de países terceiros possam aceder a dados não pessoais sempre que tal seja contrário à legislação da UE ou nacional. Por último, o Regulamento Dados define requisitos essenciais em matéria de interoperabilidade, a fim de assegurar que os dados possam circular sem descontinuidades entre setores e Estados-Membros, facilitados por Espaços Europeus Comuns de Dados, bem como entre prestadores de serviços de tratamento de dados.
A Lei relativa aos dados foi publicada no Jornal Oficial da UE em 22 de dezembro de 2023 e entrará em vigor em 12 de setembro de 2025.
O Regulamento Dados complementa o Regulamento Governação de Dados, o primeiro a apresentar no âmbito da Estratégia Europeia para os Dados. O Regulamento Governação de Dados tornou-se aplicável em setembro de 2023. Embora o Regulamento Governação de Dados aumente a confiança nos mecanismos voluntários de partilha de dados, o Regulamento Dados proporciona clareza jurídica no que diz respeito ao acesso aos dados e à sua utilização.
Juntamente com outras medidas políticas e oportunidades de financiamento, estes dois regulamentos contribuirão para a criação de um mercado único dos dados da UE, tornando a Europa líder na economia dos dados, aproveitando o potencial das quantidades cada vez maiores de dados, em especial dados industriais, em benefício da economia e da sociedade europeias.
Questões abordadas
Na sequência das disposições gerais (Capítulo I) que definem o âmbito de aplicação do regulamento e definem os termos essenciais, o Regulamento Dados está estruturado em seis capítulos principais:
Capítulo II sobre a partilha de dados entre empresas e entre empresas e consumidores no contexto da IdC: os utilizadores de objetos IoT podem aceder, utilizar e portar dados que cogeram através da utilização de um produto ligado.
Capítulo III relativo à partilha de dados entre empresas: tal clarifica as condições de partilha de dados sempre que uma empresa seja obrigada por lei, nomeadamente através da Lei relativa aos dados, a partilhar dados com outra empresa.
Capítulo IV relativo às cláusulas contratuais abusivas: estas disposições protegem todas as empresas, em especial as PME, contra cláusulas contratuais abusivas que lhes são impostas.
Capítulo V relativo à partilha de dados entre empresas e administrações públicas: os organismos do setor público poderão tomar decisões mais fundamentadas em determinadas situações de necessidade excecional através de medidas de acesso a determinados dados detidos pelo setor privado.
Capítulo VI sobre a mudança de prestador de serviços de tratamento de dados: os prestadores de serviços de computação em nuvem e de computação em linha devem cumprir requisitos mínimos para facilitar a interoperabilidade e permitir a mudança de fornecedor.
Capítulo VII sobre o acesso ilegal dos governos de países terceiros aos dados: os dados não pessoais armazenados na UE estão protegidos contra pedidos de acesso ilegais por parte de governos estrangeiros.
Capítulo VIII relativo à interoperabilidade: os participantes em espaços de dados devem cumprir os critérios para permitir que os dados fluam dentro e entre espaços de dados. Um repositório da UE estabelecerá normas e especificações pertinentes para a interoperabilidade em nuvem.
Capítulo IX sobre a execução: Os Estados-Membros devem designar uma ou mais autoridades competentes para monitorizar e aplicar o Regulamento Dados. Se for designada mais do que uma autoridade, deve ser nomeado um «coordenador de dados» para atuar como ponto de contacto único a nível nacional.
Capítulo II: Partilha de dados entre empresas e empresas-consumidores no contexto do mercado da IdC
Porquê?
Um dos principais objetivos do Regulamento Dados é criar equidade na economia dos dados e capacitar os utilizadores a colher valor dos dados que geram utilizando os produtos conectados que possuem, arrendam ou arrendam.
A Lei relativa aos dados permite que os utilizadores de produtos conectados (por exemplo, automóveis conectados, dispositivos médicos e de aptidão física, máquinas industriais ou agrícolas) e serviços conexos (ou seja, qualquer coisa que faça com que um produto conectado se comporte de uma forma específica, como uma aplicação para ajustar o brilho das luzes, ou para regular a temperatura de um frigorífico) possam aceder aos dados que cocriam utilizando os produtos ligados/serviços relacionados.
A disponibilidade desses dados terá um impacto significativo na economia. Por exemplo, os dados gerados por produtos conectados e serviços conexos podem ser utilizados para impulsionar o mercado pós-venda e os serviços auxiliares, bem como para criar serviços inteiramente novos, beneficiando tanto as empresas como os consumidores.
Exemplos de produtos interligados: produtos de consumo (por exemplo, veículos conectados, dispositivos de monitorização da saúde, dispositivos domésticos inteligentes), outros produtos (por exemplo, aviões, robôs, máquinas industriais).
Exemplo de um serviço relacionado: um utilizador compra uma máquina de lavar roupa e instala uma aplicação que lhe permite medir o impacto ambiental do ciclo de lavagem com base nos dados dos diferentes sensores no interior da máquina e ajustar o ciclo em conformidade. Esta aplicação seria considerada um serviço conexo.
Exemplos de serviços pós-venda e auxiliares: serviços de reparação e manutenção, seguros baseados em dados.
Tipos de dados no âmbito de aplicação
O capítulo II da Lei dos Dados sobre a partilha de dados entre empresas e entre empresas e consumidores aplica-se a todos os dados em bruto e pré-processados gerados pela utilização de um produto conectado ou de um serviço conexo que esteja facilmente à disposição do detentor dos dados (por exemplo, fabricante de um produto ligado/prestador de um serviço conexo), ou seja, dados que possam ser facilmente acedidos sem esforço desproporcionado, indo além de uma simples operação. Isto aplica-se tanto aos dados pessoais como aos não pessoais, incluindo metadados relevantes.
Esses dados incluem dados recolhidos a partir de um único sensor ou de um grupo de sensores ligados, tais como temperatura, pressão, caudal, áudio, valor de pH, nível de líquido, posição, aceleração ou velocidade.
Os dados e conteúdos inferidos ou derivados (por exemplo, dados altamente enriquecidos, material audiovisual) estão fora do âmbito de aplicação. Além disso, a Lei relativa aos dados não prejudica a legislação relativa à proteção dos direitos de propriedade intelectual.
Por exemplo, se um utilizador vê um filme na sua televisão ligada, o filme em si não está abrangido pelo âmbito, mas os dados sobre o brilho do ecrã estão dentro do âmbito.
Na prática
O capítulo II da Lei relativa aos dados permite que os utilizadores (ou seja, qualquer pessoa singular ou coletiva que detenha, alugue ou alugue um produto ligado) aceda aos dados que geram através da sua utilização do produto ligado ou serviço conexo. Se o utilizador pretender partilhar estes dados com outra entidade ou pessoa singular («terceiro»), pode fazê-lo diretamente ou pode solicitar ao detentor dos dados que os partilhe com um terceiro da sua escolha (excluindo controladores de acesso ao abrigo do Regulamento Mercados Digitais). O detentor dos dados é normalmente a empresa que fabrica o produto ligado ou que presta um serviço relacionado. O titular dos dados deve ter um contrato com o utilizador (por exemplo, contrato de venda, contrato de aluguer, contrato de serviços conexo, etc.) que defina os direitos relativos ao acesso, utilização e partilha dos dados gerados pelo produto ou serviço conexo. É importante notar que o titular dos dados não pode utilizar quaisquer dados não pessoais gerados pelo produto sem o consentimento do utilizador.
A título de exemplo, e tendo em conta que o contrato em causa determina as funções exatas:
-
Uma empresa opera uma bulldozer: o detentor dos dados seria normalmente o fabricante de escavadoras e o utilizador seria a empresa que opera a escavadora.
-
Se alguém comprar um frigorífico ligado e descarregar uma aplicação que o ajude a regular a temperatura ideal para o conteúdo do frigorífico, haverá potencialmente dois detentores de dados, nomeadamente a entidade que colocou o frigorífico no mercado e a entidade que oferece o serviço conexo (a aplicação), e apenas um utilizador (o proprietário do frigorífico).
A Lei relativa aos dados introduz vários mecanismos para facilitar aos utilizadores a possibilidade de utilizarem estas disposições: os detentores de dados devem fornecer ao utilizador informações sobre o tipo de dados que irão gerar ao utilizar o produto ligado ou o serviço conexo (incluindo o volume, a frequência de recolha, etc.); os utilizadores devem poder solicitar o acesso aos dados através de um processo simples, e os detentores de dados devem disponibilizar os dados aos utilizadores gratuitamente.
Limitações à utilização dos dados
A fim de não dissuadir as empresas de investirem em produtos geradores de dados, os dados obtidos não podem ser utilizados para desenvolver um produto conectado concorrente. A Lei relativa aos dados não proíbe a concorrência nos serviços conexos ou pós-venda. Além disso, a Lei relativa aos dados não obriga um detentor de dados a partilhar dados com terceiros estabelecidos fora da UE.
O Regulamento Dados está em plena conformidade com as regras de proteção de dados, nomeadamente o RGPD. Se o utilizador não for o titular dos dados cujos dados são solicitados, os dados pessoais só podem ser disponibilizados se existir uma base jurídica válida (por exemplo, consentimento). Trata-se de uma consideração importante, uma vez que os dados cogerados contêm frequentemente dados pessoais e não pessoais, que podem ser difíceis de separar.
Incentiva o desenvolvimento de produtos e serviços conectados com base em novos fluxos de dados, o que é particularmente valioso para as empresas de menor dimensão. Além disso, as micro e pequenas empresas, enquanto fabricantes ou prestadores de serviços conexos, não estão sujeitas às mesmas obrigações que as empresas de maior dimensão.
Para proteger os segredos comerciais sem comprometer o objetivo da Lei relativa aos dados de disponibilizar mais dados, o titular dos dados e o utilizador/terceiro podem chegar a acordo sobre determinadas medidas para preservar a confidencialidade dos segredos comerciais. Se estas medidas não forem respeitadas, o titular dos dados pode reter ou suspender a partilha de dados. O detentor dos dados só pode recusar-se a partilhar dados se puder demonstrar que é altamente provável que sofra prejuízos económicos graves devido à divulgação de segredos comerciais.
O detentor dos dados e o utilizador podem concordar em limitar a partilha de dados se houver o risco de os requisitos de segurança do produto ligado poderem ser comprometidos, resultando em graves efeitos adversos para a saúde, a segurança ou a proteção das pessoas. Estes requisitos devem ser estabelecidos no direito da UE ou no direito nacional.
Se o titular dos dados suspender, reter ou recusar a partilha de dados com base em requisitos de proteção dos segredos comerciais ou de segurança, deve notificar a autoridade nacional competente. Os utilizadores podem contestar essa decisão, quer perante o órgão jurisdicional competente de um Estado-Membro, através de uma reclamação junto da autoridade competente, quer mediante acordo com o titular dos dados perante um organismo de resolução de litígios.
Capítulo III: Regras relativas à partilha obrigatória de dados entre empresas
Porquê?
A Lei relativa aos dados introduz regras para as situações em que uma empresa («titular de dados») tem a obrigação legal, nos termos da legislação da UE ou nacional, de disponibilizar dados a outra empresa («destinatário de dados»), incluindo no contexto dos dados da IdC. Nomeadamente, os termos e condições de partilha de dados devem ser justos, razoáveis e não discriminatórios.
Como incentivo à partilha de dados, os detentores de dados que são obrigados a partilhar dados podem solicitar uma «compensação razoável» ao destinatário dos dados.
Tipos de dados no âmbito de aplicação
O capítulo III da Lei relativa aos dados aplica-se a todos os dados (pessoais e não pessoais) detidos por uma empresa, incluindo as situações abrangidas pelo capítulo II da Lei relativa aos dados.
Na prática
Os detentores dos dados podem solicitar uma compensação razoável pela disponibilização dos dados a um destinatário dos dados. Tal poderá incluir os custos incorridos com a disponibilização dos dados, bem como os custos técnicos relacionados com a divulgação e o armazenamento. No entanto, as microempresas, as PME e as organizações de investigação sem fins lucrativos não podem ser cobradas mais do que os custos incorridos com a disponibilização dos dados.
A fim de proteger os detentores de dados, a Lei relativa aos dados inclui uma lista não exaustiva de medidas destinadas a corrigir situações em que um terceiro ou utilizador tenha acedido ou utilizado ilegalmente dados. Por exemplo, um detentor de dados pode exigir que uma parte infratora pare de produzir o produto em questão ou destrua os dados que obteve ilegalmente, ou que possa solicitar uma indemnização.
Quaisquer obrigações de partilha de dados que precedem a Lei de Dados permanecem inalteradas. As obrigações decorrentes da futura legislação (setorial) devem ser alinhadas com as disposições do capítulo III da Lei relativa aos dados.
Capítulo IV: Cláusulas contratuais abusivas
Porquê?
A liberdade contratual é fundamental para as relações entre empresas. No entanto, o Regulamento Dados visa proteger todas as empresas europeias que pretendam adquirir dados, em especial as PME, contra cláusulas contratuais abusivas através das suas medidas para intervir em situações em que, por exemplo, uma das empresas se encontra numa posição de negociação mais forte (por exemplo, devido à sua dimensão do mercado) e impõe uma cláusula não negociável («take-it or-leave-it») relacionada com o acesso e a utilização de dados no outro.
Tipos de dados no âmbito de aplicação
Estas regras abrangem todos os dados, pessoais e não pessoais, detidos por uma entidade privada que é acedida e utilizada com base num contrato entre empresas.
Na prática
As cláusulas «take-it-or-leave» impostas unilateralmente podem ser sujeitas a um teste do caráter abusivo, sempre que digam respeito à disponibilização de dados.
A Lei relativa aos dados estabelece uma lista não exaustiva de cláusulas que são sempre consideradas abusivas (por exemplo, que excluiriam ou limitariam a responsabilidade da parte que impôs unilateralmente a cláusula por atos dolosos ou negligência grave) e de cláusulas que se presume serem abusivas (por exemplo, que limitariam inadequadamente as vias de recurso em caso de incumprimento de obrigações contratuais ou de responsabilidade em caso de violação dessas obrigações, ou alargariam a responsabilidade da empresa à qual a cláusula foi imposta unilateralmente). Se uma cláusula for considerada abusiva, deixa de ser válida — sempre que possível, é simplesmente separada do contacto. Se for presumida abusiva, a entidade que impôs a cláusula pode tentar demonstrar que a cláusula não é abusiva.
Capítulo V: Partilha de dados entre empresas e administrações públicas
Porquê?
Os dados detidos por entidades privadas podem ser essenciais para que um organismo do setor público desempenhe uma missão de interesse público. O capítulo V da Lei relativa aos dados permite que os organismos do setor público acedam a esses dados, em determinados termos e condições, sempre que exista uma necessidade excecional. Esta última refere-se a uma situação imprevisível e limitada no tempo, em que os dados detidos por uma entidade privada são necessários para o desempenho da missão de interesse público, nomeadamente para melhorar a tomada de decisões com base em dados concretos. As situações de necessidade excecional incluem situações de emergência pública (como catástrofes naturais ou de origem humana importantes, pandemias e incidentes de cibersegurança) e situações de não emergência (por exemplo, os dados agregados e anonimizados dos sistemas GPS dos condutores podem ser utilizados para ajudar a otimizar os fluxos de tráfego).
O Regulamento Dados assegurará que as autoridades públicas tenham acesso a esses dados de forma atempada e fiável, sem impor encargos administrativos indevidos às empresas.
Tipos de dados abrangidos pelo âmbito de aplicação
No capítulo V, todos os dados são abrangidos pelo âmbito de aplicação, com especial incidência nos dados não pessoais.
O capítulo V da Lei relativa aos dados sobre a partilha de dados entre empresas e administrações públicas estabelece uma distinção entre dois cenários:
-
A fim de responder a uma emergência pública, um organismo do setor público deve solicitar dados não pessoais. No entanto, se tal for insuficiente para responder à situação, poderão ser solicitados dados pessoais. Sempre que possível, estes dados devem ser anonimizados pelo detentor dos dados.
-
Em situações de não emergência, os organismos do setor público só podem solicitar dados não pessoais.
Principais partes interessadas
As entidades habilitadas a solicitar dados incluem organismos do setor público dos Estados-Membros, bem como determinadas instituições, organismos e agências da UE. Estas entidades podem também partilhar os dados com organizações que realizam investigação e financiam em determinadas condições.
No contexto dos pedidos entre empresas e governos, os detentores de dados são normalmente entidades privadas, mas podem também incluir empresas públicas.
Na prática
Um organismo do setor público pode, em determinadas condições, obrigar um detentor de dados a disponibilizar determinados dados sem demora injustificada para responder a uma emergência pública. O Regulamento Dados define uma emergência pública; mas a sua existência é determinada de acordo com os procedimentos ou leis nacionais ou da UE.
Para necessidades excecionais que não estejam relacionadas com uma emergência pública, um organismo do setor público pode solicitar dados não pessoais para desempenhar uma missão específica de interesse público e que tenha sido prevista por lei, se o organismo do setor público puder provar que não conseguiu aceder aos dados por outros meios.
Em ambos os casos (emergência e não emergência), os pedidos devem respeitar uma série de princípios e condições rigorosos. Por exemplo, os pedidos devem ser específicos, transparentes e proporcionados, os segredos comerciais devem ser protegidos e os dados devem ser apagados logo que deixem de ser necessários.
O quadro que se segue resume o que as empresas podem solicitar para fornecer dados a um organismo do setor público neste contexto.
Compensação pela disponibilização de dados ao abrigo do capítulo V da Lei relativa aos dados
| As empresas que não sejam micro e pequenas empresas podem solicitar: | Asmicro e pequenas empresas podem pedir: | |
| Emergência pública | As empresas podem solicitar que a sua contribuição para os dados seja reconhecida e publicamente reconhecida pelo organismo do setor público recetor | Remuneração razoável que não exceda os custos técnicos e de organização incorridos + reconhecimento público, mediante pedido |
| Situação de não emergência | Remuneração razoável que não exceda os custos técnicos e de organização incorridos (exceto para a produção de estatísticas oficiais) | N/A (isento da obrigação de fornecer dados) |
Para minimizar os encargos para as empresas, os mesmos dados não podem ser solicitados mais do que uma vez («princípio da declaração única») por mais do que um organismo do setor público. Por este motivo, todos os pedidos devem ser disponibilizados ao público pelo coordenador de dados (a menos que haja uma preocupação de segurança).
Capítulo VI: Mudança de serviço de processamento de dados
Porquê?
A fim de assegurar um mercado competitivo na UE, os clientes de serviços de tratamento de dados (incluindo serviços de computação em nuvem e periféricos) devem poder mudar sem descontinuidades de um prestador para outro. No entanto, os clientes enfrentam atualmente uma série de obstáculos, incluindo encargos elevados associados, por exemplo, à saída de dados, a procedimentos morosos e a uma falta de interoperabilidade entre os fornecedores, o que pode resultar numa perda de dados e aplicações.
O Data Act tornará a mudança livre, rápida e fluida. Isto beneficiará os clientes, que podem escolher livremente os serviços que melhor atendem às suas necessidades, bem como os prestadores, que beneficiarão de um conjunto maior de clientes.
Escopo
O capítulo VI do Regulamento Dados aplica-se aos prestadores de serviços de tratamento de dados (ou seja, serviços digitais que permitem o acesso omnipresente e a pedido à rede, como redes, servidores ou outras infraestruturas e programas informáticos virtuais ou físicos). Os dados essenciais para a mudança incluem dados de entrada e de saída, incluindo metadados, gerados pela utilização do serviço pelo cliente, excluindo os dados protegidos por direitos de propriedade intelectual ou que constituem um segredo comercial do prestador de serviços.
Na prática
Para superar o desequilíbrio de poder entre fornecedores e clientes no mercado de computação em nuvem, o Data Act estabelece requisitos mínimos para o conteúdo dos contratos em nuvem. Em especial, os clientes dos setores público e privado beneficiarão de uma maior transparência contratual.
A Lei relativa aos dados inclui medidas destinadas a garantir que os clientes possam mudar de um prestador de serviços de tratamento de dados («prestador de serviços de tratamento de dados») para outro prestador («de destino») rápida e sem problemas, sem perder quaisquer dados ou a funcionalidade das aplicações. Por exemplo, os fornecedores de Plataforma e Software como Serviço devem disponibilizar interfaces abertas e, no mínimo, exportar dados num formato comummente utilizado e legível por máquina. Os fornecedores de infraestruturas como serviço devem tomar medidas para facilitar que, quando um cliente muda para um serviço do mesmo tipo, o cliente obtenha resultados substancialmente comparáveis em resposta ao mesmo input para as características partilhadas por ambos os serviços («equivalência funcional»). Como exemplo de tal medida, o fornecedor de origem pode ter de utilizar ferramentas para transferir as cargas de trabalho computacionais de uma tecnologia de virtualização para outra.
Todos os fornecedores são obrigados a eliminar os obstáculos que os seus clientes podem enfrentar quando pretendem mudar para outro prestador ou utilizar vários serviços ao mesmo tempo.
A Lei relativa aos dados também eliminará totalmente as taxas de mudança de fornecedor, incluindo as taxas de saída de dados (ou seja, taxas de trânsito de dados), a partir de 12 de janeiro de 2027. Isto significa que os fornecedores não poderão cobrar aos seus clientes as operações necessárias para facilitar a mudança ou a saída de dados. No entanto, como medida transitória durante os primeiros três anos após a entrada em vigor da Lei relativa aos dados (de 11 de janeiro de 2024 a 12 de janeiro de 2027), os fornecedores podem ainda cobrar aos seus clientes os custos incorridos com a mudança de fornecedor e a saída de dados.
Capítulo VII: Acesso ilegal do governo de países terceiros
Porquê?
Por vezes, uma decisão ou decisão proferida por um país fora da UE («país terceiro») visa permitir o acesso governamental e a transferência de dados não pessoais tratados e armazenados na UE. No entanto, em certos casos, a concessão de acesso ou a transferência desses dados pode ser efetivamente ilegal, em especial quando o pedido colide com a legislação da UE e garante a proteção dos direitos fundamentais das pessoas, dos interesses de segurança nacional ou de dados comercialmente sensíveis.
O Regulamento Dados segue o Regulamento Governação de Dados no que diz respeito às disposições destinadas a impedir o acesso e a transferência ilegais por parte dos governos de países terceiros de dados não pessoais detidos na UE. Tais disposições não têm impacto na partilha regular de dados entre empresas. Aumentam a transparência e a segurança jurídica no que diz respeito ao processo e às condições em que os dados não pessoais podem ser acedidos ou transferidos para organismos governamentais de países terceiros.
Tipos de dados no âmbito de aplicação
Quaisquer dados não pessoais detidos na UE por um prestador de um serviço de tratamento de dados.
Na prática
O Regulamento Dados não proíbe os fluxos transfronteiriços de dados, mas garante que a proteção concedida aos dados na UE viaja com quaisquer dados transferidos para fora da UE.
Neste contexto, o Regulamento Dados estabelece regras e garantias para os pedidos de acesso de um organismo público estrangeiro a dados não pessoais detidos na União. A cooperação internacional legítima em matéria de aplicação da lei não é afetada por estas disposições.
Se não houver acordo internacional que regule o acesso por parte de um governo de um país terceiro a dados não pessoais localizados na UE, os dados só podem ser transferidos ou acedidos em condições específicas. Estas condições referem-se a determinadas garantias de salvaguarda dos direitos europeus que devem ser cumpridas pelo sistema jurídico do país terceiro, incluindo a obrigação de expor as razões e de avaliar a proporcionalidade na decisão. O prestador de serviços de tratamento de dados visado por essa decisão pode contactar o organismo nacional competente para ajudar a avaliar se as condições estabelecidas na Lei relativa aos dados estão preenchidas. Para ajudar a avaliar se estas condições foram cumpridas, a Comissão Europeia elaborará orientações em conjunto com o Conselho Europeu da Inovação de Dados (um grupo de peritos criado ao abrigo do Regulamento Governação de Dados para facilitar a partilha de boas práticas e dar prioridade às normas de interoperabilidade intersetorial).
Os prestadores de serviços de tratamento de dados devem tomar todas as medidas razoáveis (por exemplo, cifragem, auditorias, adesão a sistemas de certificação) para impedir o acesso aos sistemas em que armazenam dados não pessoais. Estas medidas devem ser publicadas nos respetivos sítios Web. Além disso, sempre que possível, devem informar os seus clientes antes de dar acesso aos seus dados.
Capítulo VIII: Interoperabilidade
Porquê?
As normas e a interoperabilidade são fundamentais para garantir que os dados provenientes de diferentes fontes possam ser utilizados dentro e entre os Espaços Europeus Comuns de Dados, a fim de promover a investigação e desenvolver novos produtos ou serviços. Para o efeito, o Regulamento Dados estabelece alguns requisitos essenciais que os participantes nos espaços de dados devem cumprir e que podem ser especificados mais pormenorizadamente pela Comissão Europeia através de atos delegados.
Visa igualmente assegurar a interoperabilidade entre os serviços de tratamento de dados; isto é essencial para que os clientes possam beneficiar de uma mudança mais fácil.
Principais partes interessadas
Este capítulo visa os participantes de espaços de dados que oferecem dados ou serviços baseados em dados a outros participantes e que facilitam ou participam na partilha de dados dentro dos espaços de dados.
Dirige-se também aos fornecedores de contratos inteligentes, bem como aos prestadores de serviços de tratamento de dados.
Na prática
Os participantes no espaço de dados devem cumprir vários requisitos essenciais para permitir que os dados fluam dentro e entre espaços de dados. Por exemplo, uma descrição das estruturas de dados, formatos de dados e vocabulários, quando disponíveis, deve ser acessível ao público. Além disso, devem ser assegurados meios para assegurar a interoperabilidade dos acordos de partilha de dados, como os contratos inteligentes.
O Regulamento Dados prepara igualmente o terreno para aumentar a interoperabilidade dos serviços de tratamento de dados através de normas harmonizadas e especificações de interoperabilidade abertas.
Além disso, estabelece requisitos aplicáveis aos fornecedores de contratos inteligentes para a execução automatizada de acordos de partilha de dados, por exemplo, para garantir que cumprem corretamente as disposições do acordo de partilha de dados e resistem à manipulação por terceiros.
A Comissão avaliará os obstáculos à interoperabilidade e dará prioridade às necessidades de normalização, com base nas quais poderá solicitar às organizações europeias de normalização que elaborem normas harmonizadas que cumpram os requisitos acima referidos.
Se o pedido não conduzir a uma norma harmonizada ou se a norma for insuficiente para garantir a conformidade com o Regulamento Dados, a Comissão pode adotar especificações comuns como solução de recurso. Estas devem ser desenvolvidas de forma aberta e inclusiva, tendo em conta as reações do Conselho Europeu da Inovação de Dados.
Capítulo IX: Aplicação e disposições gerais
Os Estados-Membros designarão uma ou mais autoridades competentes (novas ou existentes) para assegurar a aplicação eficiente do Regulamento Dados. Sempre que existam várias autoridades competentes, os Estados-Membros devem designar uma delas como «coordenador de dados». O coordenador de dados funcionará como um «balcão único» para todas as questões relacionadas com a aplicação do Regulamento Dados a nível nacional, facilitando a sua aplicação tanto para as empresas como para as autoridades públicas. Por exemplo, se uma empresa procurar obter reparação pela violação dos seus direitos ao abrigo da Lei relativa aos dados, o coordenador de dados deve (mediante pedido) fornecer todas as informações necessárias para ajudá-la a apresentar a sua reclamação à autoridade competente competente. O coordenador de dados facilitará igualmente a colaboração em situações transfronteiriças, como quando uma autoridade competente de um determinado Estado-Membro não sabe qual a autoridade que deve abordar no Estado-Membro do coordenador de dados.
A Comissão manterá um registo público das autoridades competentes e dos coordenadores de dados.
O Comité Europeu da Inovação de Dados facilitará os debates entre as autoridades competentes, por exemplo para coordenar e adotar recomendações sobre o estabelecimento de sanções em caso de infração ao Regulamento Dados. As sanções são fixadas pelas autoridades competentes e, de acordo com o Regulamento Dados, devem ser aplicadas sanções efetivas, proporcionadas e dissuasivas.
Os Estados-Membros podem, se assim o desejarem, criar organismos de resolução de litígios certificados para ajudar as partes que não consigam chegar a acordo sobre condições justas, razoáveis e não discriminatórias para a disponibilização dos dados. As partes são livres de se dirigir a qualquer organismo de resolução de litígios — quer no Estado-Membro em que estão estabelecidas quer noutro Estado-Membro.
Os mecanismos de resolução de litígios certificados e as autoridades competentes especializadas tornarão mais fácil para as empresas, em especial as pequenas empresas, fazer valer os seus direitos ao abrigo da Lei relativa aos dados, uma vez que oferecem uma solução simples, rápida e de baixo custo às partes envolvidas.
O que vem a seguir?
A estratégia europeia em matéria de dados define o caminho para a UE se tornar líder na economia dos dados. Tal será alcançado através da criação de um mercado único europeu de dados, no qual os dados possam circular entre setores e Estados-Membros de forma segura e fiável, em benefício da economia e da sociedade. Ao garantir a equidade na repartição do valor dos dados entre as partes interessadas, o Regulamento Dados é um elemento fundamental para alcançar esta visão.
A Lei relativa aos dados entrará em vigor em 12 de setembro de 2025.
Para ajudar as empresas a navegar nestas novas regras, a Comissão recomendará um conjunto de cláusulas contratuais modelo para ajudar as empresas a celebrar contratos de partilha de dados justos, razoáveis e não discriminatórios (capítulos II e III do Regulamento Dados). Estes termos também fornecerão orientações sobre a compensação razoável e a proteção de segredos comerciais. A Comissão recomendará igualmente um conjunto de cláusulas contratuais normalizadas não vinculativas para os contratos de computação em nuvem entre utilizadores e prestadores de serviços de computação em nuvem. Foi criado um grupo de peritos para ajudar a Comissão a elaborar esses termos e cláusulas e tenciona recomendá-los até ao outono de 2025.
No prazo de três anos a contar da sua entrada em vigor, a Comissão procederá a uma avaliação do impacto do Regulamento Dados. Nesta base, se necessário, a Comissão pode propor uma alteração à lei.
Aviso jurídico
O presente documento não deve ser considerado representativo da posição oficial da Comissão Europeia.