keyboard_tab Data Act 2023/2854 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Artigo 4.o Direitos e obrigações dos utilizadores e dos detentores dos dados no que respeita ao acesso, utilização e disponibilização dos dados relativos a um produto e dos dados relativos a um serviço conexo
- 1 Artigo 5.o Direito do utilizador de partilhar dados com terceiros
- 1 Artigo 15.o Necessidade excecional de utilizar dados
- 2 Artigo 20. Compensação em caso de necessidade excecional
- 1 Artigo 30. Aspetos técnicos da mudança
CAPÍTULO I
DISPOSIÇÕES GERAIS
CAPÍTULO II
PARTILHA DE DADOS ENTRE EMPRESAS E CONSUMIDORES E ENTRE EMPRESAS
CAPÍTULO III
OBRIGAÇÕES DOS DETENTORES DOS DADOS OBRIGADOS A DISPONIBILIZAR OS DADOS NOS TERMOS DO DIREITO DA UNIÃO
CAPÍTULO IV
CLÁUSULAS CONTRATUAIS ABUSIVAS RELATIVAS AO ACESSO AOS DADOS E À SUA UTILIZAÇÃO ENTRE EMPRESAS
CAPÍTULO V
DISPONIBILIZAÇÃO DE DADOS AOS ORGANISMOS DO SETOR PÚBLICO, À COMISSÃO, AO BANCO CENTRAL EUROPEU E AOS ÓRGÃOS DA UNIÃO COM BASE EM NECESSIDADES EXCECIONAIS
CAPÍTULO VI
MUDANÇA ENTRE SERVIÇOS DE TRATAMENTO DE DADOS
CAPÍTULO VII
ACESSO E TRANSFERÊNCIA GOVERNAMENTAIS INTERNACIONAIS ILÍCITOS DE DADOS NÃO PESSOAIS
CAPÍTULO VIII
INTEROPERABILIDADE
CAPÍTULO IX
EXECUÇÃO E FISCALIZAÇÃO DO CUMPRIMENTO
CAPÍTULO X
DIREITO SUI GENERIS NOS TERMOS DA DIRETIVA 96/9/CE
CAPÍTULO XI
DISPOSIÇÕES FINAIS
- dados 148
- não 57
- para 43
- utilizador 37
- no 35
- detentor 35
- artigo o 32
- termos 32
- caso 22
- comerciais 19
- serviços 19
- terceiro 18
- segredos 17
- presente 16
- tratamento 16
- detentores 16
- direito 16
- podem 15
- acesso 14
- pedido 14
- pode 14
- terceiros 13
- os 13
- medidas 13
- como 13
- artigo 12
- sobre 12
- união 11
- devem 11
- obter 11
- utilizar 11
- público 11
- organismo 11
- confidencialidade 11
- pessoais 10
- necessárias 10
- informações 10
- pelo 10
- produto 10
- titular 9
- qualquer 9
- utilização 9
- o 9
- forma 9
- competente 9
- partilha 9
- autoridade 9
- serviço 9
- base 8
- órgão 8
Artigo 4.o
Direitos e obrigações dos utilizadores e dos detentores dos dados no que respeita ao acesso, utilização e disponibilização dos dados relativos a um produto e dos dados relativos a um serviço conexo
1. Caso o utilizador não possa aceder diretamente aos dados a partir do produto conectado ou do serviço conexo, os detentores dos dados devem tornar acessíveis ao utilizador os dados prontamente disponíveis, bem como os metadados necessários para interpretar e utilizar esses dados, sem demora injustificada, com uma qualidade idêntica à que está disponível para o detentor dos dados, de forma fácil, segura e gratuita, num formato abrangente, estruturado, de uso corrente e de leitura automática, e, se pertinente e tecnicamente viável, de forma contínua e em tempo real. Esta disponibilização é feita com base num simples pedido por via eletrónica, caso tal seja tecnicamente viável.
2. Os utilizadores e os detentores dos dados podem limitar ou proibir contratualmente o acesso, a utilização ou a partilha posterior dos dados, sempre que tal tratamento seja suscetível de comprometer os requisitos de segurança do produto conectado, previstos no direito da União ou no direito nacional, causando efeitos negativos graves na saúde, proteção ou segurança das pessoas singulares. As autoridades setoriais podem facultar aos utilizadores e aos detentores dos dados conhecimentos técnicos especializados nesse contexto. Caso o detentor dos dados se recuse a partilhar dados nos termos do presente artigo, deve notificar a autoridade competente designada nos termos do artigo 37.o.
3. Sem prejuízo do direito do utilizador de, a qualquer momento, obter reparação perante um órgão jurisdicional de um Estado-Membro, o utilizador pode, relativamente a qualquer litígio com o detentor dos dados respeitante às limitações ou proibições contratuais referidas no n.o 2 do presente artigo:
| a) | Apresentar, nos termos do artigo 37.o, n.o 5, alínea b), uma reclamação junto da autoridade competente; ou |
| b) | Acordar com o detentor dos dados em submeter a questão à apreciação de um organismo de resolução de litígios nos termos do artigo 10.o, n.o 1. |
4. Os detentores dos dados não devem dificultar excessivamente o exercício das escolhas ou dos direitos previstos no presente artigo por parte do utilizador, nomeadamente oferecendo escolhas aos utilizadores de forma não neutra ou condicionando ou prejudicando a autonomia, a tomada de decisões ou as escolhas dos utilizadores através da estrutura, conceção, função ou modo de funcionamento de uma interface digital de utilizador ou de parte dela.
5. A fim de verificar se uma pessoa singular ou coletiva pode ser considerada um utilizador para efeitos do n.o 1, os detentores dos dados não podem exigir que essa pessoa faculte quaisquer informações para além das necessárias. Os detentores dos dados não podem conservar quaisquer informações, em especial dados de registo, sobre o acesso do utilizador aos dados solicitados para além das necessárias para a boa execução do pedido de acesso do utilizador e para a segurança e manutenção da infraestrutura de dados.
6. Os segredos comerciais devem ser preservados e só podem ser divulgados se o detentor dos dados e o utilizador tomarem, antes da divulgação, todas as medidas necessárias para preservar a sua confidencialidade, em especial no que diz respeito a terceiros. O detentor dos dados ou, caso não sejam a mesma pessoa, o titular dos segredos comerciais deve identificar os dados protegidos como segredos comerciais, incluindo nos metadados pertinentes, e acordar com o utilizador as medidas técnicas e organizativas proporcionadas necessárias para preservar a confidencialidade dos dados partilhados, em especial em relação a terceiros, tais como modelos de cláusulas contratuais, acordos de confidencialidade, protocolos de acesso rigorosos, normas técnicas e a aplicação de códigos de conduta.
7. Nos casos em que não haja acordo sobre as medidas necessárias referidas no n.o 6, ou em que o utilizador não aplique as medidas acordadas nos termos do n.o 6 ou comprometa a confidencialidade dos segredos comerciais, o detentor dos dados pode reter ou, consoante o caso, suspender a partilha dos dados identificados como segredos comerciais. A decisão do detentor dos dados deve ser devidamente fundamentada e comunicada por escrito ao utilizador, sem demora injustificada. Nesses casos, o detentor dos dados notifica a autoridade competente designada nos termos do artigo 37.o de que reteve ou suspendeu a partilha de dados e identifica as medidas que não foram acordadas ou aplicadas e, se for caso disso, os segredos comerciais cuja confidencialidade ficou comprometida.
8. Em circunstâncias excecionais, caso o detentor dos dados que seja titular de um segredo comercial possa demonstrar que é altamente provável que venha a sofrer prejuízos económicos graves devido à divulgação de segredos comerciais, não obstante as medidas técnicas e organizativas tomadas pelo utilizador nos termos do n.o 6 do presente artigo, esse detentor dos dados pode recusar, numa base casuística, um pedido de acesso aos dados específicos em causa. A referida demonstração deve ser devidamente fundamentada com base em elementos objetivos, nomeadamente a aplicabilidade da proteção de segredos comerciais em países terceiros, a natureza e o nível de confidencialidade dos dados solicitados e o caráter único e novo do produto conectado, e deve ser apresentada por escrito ao utilizador sem demora injustificada. Caso o detentor dos dados se recuse a partilhar dados nos termos do presente número, notifica a autoridade competente designada nos termos do artigo 37.o.
9. Sem prejuízo do direito do utilizador de, a qualquer momento, obter reparação perante um órgão jurisdicional de um Estado-Membro, um utilizador que pretenda contestar a decisão de um detentor dos dados de recusar, suster ou suspender a partilha de dados nos termos dos n.os 7 e 8 pode:
| a) | Apresentar, nos termos do artigo 37.o, n.o 5, alínea b), uma reclamação junto da autoridade competente, que decide, sem demora injustificada, se a partilha de dados deve iniciar-se ou ser retomada, e em que condições; ou |
| b) | Acordar com o detentor dos dados em submeter a questão à apreciação de um organismo de resolução de litígios nos termos do artigo 10.o, n.o 1. |
10. O utilizador não pode utilizar os dados obtidos na sequência do pedido a que se refere o n.o 1 para desenvolver um produto conectado que concorra com o produto conectado do qual provêm os dados, nem partilhar os dados com terceiros com essa intenção, e não pode utilizar esses dados para obter informações sobre a situação económica, os ativos e os métodos de produção do fabricante ou, se aplicável, do detentor dos dados.
11. O utilizador não pode recorrer a meios coercivos nem utilizar abusivamente lacunas na infraestrutura técnica dos detentores dos dados concebida para proteger os dados, a fim de obter acesso aos mesmos.
12. Caso o utilizador não seja o titular dos dados cujos dados pessoais são solicitados, quaisquer dados pessoais gerados pela utilização de um produto conectado ou serviço conexo só podem ser disponibilizados pelo titular dos dados ao utilizador se existir um fundamento jurídico válido para o tratamento nos termos do artigo 6.o do Regulamento (UE) 2016/679 e, se for caso disso, estiverem preenchidas as condições do artigo 9.o do referido regulamento e do artigo 5.o, n.o 3, da Diretiva 2002/58/CE.
13. Os detentores dos dados só podem utilizar dados prontamente disponíveis que sejam dados não pessoais com base num contrato com o utilizador. Os detentores dos dados não podem utilizar esses dados para obter informações sobre a situação económica, os ativos e os métodos de produção do utilizador, ou sobre a utilização desses dados de qualquer outra forma que possa prejudicar a posição comercial desse utilizador nos mercados nos quais exerce a sua atividade.
14. Os detentores dos dados não podem disponibilizar a terceiros os dados não pessoais relativos a um produto para fins comerciais ou não comerciais que vão para além do cumprimento do seu contrato com o utilizador. Se for caso disso, os detentores dos dados devem vincular contratualmente os terceiros a não partilharem os dados de si recebidos.
Artigo 5.o
Direito do utilizador de partilhar dados com terceiros
1. A pedido de um utilizador, ou de uma parte que atue em nome de um utilizador, o detentor dos dados deve disponibilizar a terceiros os dados prontamente disponíveis, bem como os metadados necessários para interpretar e utilizar esses dados, sem demora injustificada, com qualidade idêntica à que está disponível para o detentor dos dados, de forma fácil e segura, a título gratuito para o utilizador, num formato abrangente, estruturado, de uso corrente e de leitura automática, e, se pertinente e tecnicamente viável, de forma contínua e em tempo real. Os dados devem ser disponibilizados pelo detentor dos dados a terceiros nos termos dos artigos 8.o e 9.o.
2. O n.o 1 não se aplica aos dados prontamente disponíveis no contexto da testagem de novos produtos conectados, substâncias ou processos novos que ainda não tenham sido colocados no mercado, salvo se a sua utilização por terceiros estiver contratualmente autorizada.
3. Qualquer empresa designada como controlador de acesso nos termos do artigo 3.o do Regulamento (UE) 2022/1925, não é um terceiro elegível nos termos do presente artigo e, por conseguinte, não pode:
| a) | Solicitar ou incentivar comercialmente um utilizador, de forma alguma, nomeadamente através do fornecimento de compensações pecuniárias ou de qualquer outra natureza, a disponibilizar a um dos seus serviços os dados que o utilizador obteve na sequência de um pedido efetuado nos termos do artigo 4.o, n.o 1; |
| b) | Solicitar ou incentivar comercialmente um utilizador a pedir ao detentor dos dados que os disponibilize a um dos seus serviços, nos termos do n.o 1 do presente artigo; |
| c) | Receber de um utilizador dados que este obteve na sequência de um pedido efetuado nos termos do artigo 4.o, n.o 1. |
4. Para efeitos de verificar se uma pessoa singular ou coletiva se qualifica como utilizador ou como terceiro para efeitos do n.o 1, não se pode exigir ao utilizador ou ao terceiro que faculte quaisquer informações para além das necessárias. Os detentores dos dados não podem conservar quaisquer informações sobre o acesso do terceiro aos dados solicitados para além das necessárias para a boa execução do pedido de acesso do terceiro e para a segurança e manutenção da infraestrutura de dados.
5. O terceiro não pode usar meios coercivos nem utilizar abusivamente lacunas na infraestrutura técnica de um detentor dos dados concebida para proteger os dados, a fim de obter acesso aos mesmos.
6. Os detentores dos dados não podem utilizar dados prontamente disponíveis para obter informações sobre a situação económica, os ativos e os métodos de produção do terceiro, ou sobre a sua utilização desses dados, de qualquer outra forma que possa prejudicar a posição comercial do terceiro nos mercados nos quais exerce a sua atividade, a menos que o terceiro tenha autorizado essa utilização e tenha a possibilidade técnica de retirar facilmente essa autorização a qualquer momento.
7. Caso o utilizador não seja o titular dos dados cujos dados pessoais são solicitados, quaisquer dados pessoais gerados pela utilização de um produto conectado ou serviço conexo, só podem ser disponibilizados pelo titular dos dados a terceiros se existir um fundamento jurídico válido para o tratamento nos termos do artigo 6.o do Regulamento (UE) 2016/679 e, se for caso disso, estiverem preenchidas as condições do artigo 9.o do referido regulamento e do artigo 5.o, n.o 3, da Diretiva 2002/58/CE.
8. O facto de o detentor dos dados e o terceiro não chegarem a acordo sobre as modalidades de transmissão dos dados não pode prejudicar, impedir ou dificultar o exercício dos direitos do titular dos dados nos termos do Regulamento (UE) 2016/679 e, em especial, do direito à portabilidade dos dados previsto no artigo 20.o do referido regulamento.
9. Os segredos comerciais são preservados e só podem ser divulgados a terceiros na medida em que tal divulgação seja estritamente necessária para cumprir a finalidade acordada entre o utilizador e o terceiro. O detentor dos dados ou, caso não sejam a mesma pessoa, o titular dos segredos comerciais, identifica os dados protegidos como segredos comerciais, incluindo nos metadados pertinentes, e acorda com o terceiro todas as medidas técnicas e organizativas proporcionadas necessárias para preservar a confidencialidade dos dados partilhados, como os modelos de cláusulas contratuais, os acordos de confidencialidade, os protocolos de acesso rigorosos, as normas técnicas e a aplicação de códigos de conduta.
10. Nos casos em que não haja acordo sobre as medidas necessárias referidas no n.o 9 do presente artigo ou em que o terceiro não aplique as medidas acordadas nos termos do n.o 9 do presente artigo ou comprometa a confidencialidade dos segredos comerciais, o detentor dos dados pode reter ou, consoante o caso, suspender a partilha dos dados identificados como segredos comerciais. A decisão do detentor dos dados deve ser devidamente fundamentada e comunicada por escrito ao terceiro, sem demora injustificada. Nesses casos, o detentor dos dados notifica a autoridade competente designada nos termos do artigo 37.o de que reteve ou suspendeu a partilha de dados e identifica as medidas que não foram acordadas ou aplicadas e, se for caso disso, os segredos comerciais cuja confidencialidade ficou comprometida.
11. Em circunstâncias excecionais, caso o detentor dos dados que for titular de um segredo comercial possa demonstrar que é altamente provável que venha a sofrer prejuízos económicos graves devido à divulgação de segredos comerciais, não obstante as medidas técnicas e organizativas tomadas pelo terceiro nos termos do n.o 9 do presente artigo, o detentor dos dados pode recusar, numa base casuística, um pedido de acesso aos dados específicos em causa. A referida demonstração deve ser devidamente fundamentada com base em elementos objetivos, nomeadamente a aplicabilidade da proteção de segredos comerciais em países terceiros, a natureza e o nível de confidencialidade dos dados solicitados e o caráter único e novo do produto conectado, e deve ser apresentada por escrito ao terceiro sem demora injustificada. Caso o detentor dos dados se recuse a partilhar dados nos termos do presente número, notifica a autoridade nacional competente designada nos termos do artigo 37.o.
12. Sem prejuízo do direito do terceiro de, a qualquer momento, obter reparação perante um órgão jurisdicional de um Estado-Membro, um terceiro que pretenda contestar a decisão do detentor dos dados de recusar, suster ou suspender a partilha de dados em conformidade com os n.os 10 e 11 pode:
| a) | Apresentar, nos termos do artigo 37.o, n.o 5, alínea b), uma reclamação junto da autoridade competente, que decide, sem demora injustificada, se a partilha de dados deve iniciar-se ou ser retomada e em que condições; ou |
| b) | Acordar com o detentor dos dados em submeter a questão à apreciação de um organismo de resolução de litígios nos termos do artigo 10.o, n.o 1. |
13. O direito a que se refere o n.o 1 não pode prejudicar os direitos de outros titulares dos dados, em conformidade com o direito da União ou o direito nacional aplicáveis em matéria de proteção de dados pessoais.
Artigo 15.o
Necessidade excecional de utilizar dados
1. Uma necessidade excecional de utilizar determinados dados na aceção do presente capítulo deve ser limitada no tempo e no âmbito, e considera-se que existe apenas em qualquer das seguintes circunstâncias:
| a) | Caso os dados solicitados sejam necessários para dar resposta a uma emergência pública e o organismo do setor público, a Comissão, o Banco Central Europeu ou o órgão da União não possam obter esses dados por meios alternativos, de forma atempada e eficaz, em condições equivalentes; |
| b) | Em circunstâncias não abrangidas pela alínea a) e apenas no que diz respeito a dados não pessoais, caso:
|
2. O n.o 1, alínea b), não se aplica às microempresas nem às pequenas empresas.
3. A obrigação de demonstrar que o organismo do setor público não pôde obter os dados não pessoais por meio da sua aquisição no mercado não se aplica se a função específica de interesse público for a produção de estatísticas oficiais e se a aquisição desses dados não for permitida pelo direito nacional.
Artigo 20.
Compensação em caso de necessidade excecional
1. Os detentores dos dados que não sejam microempresas e pequenas empresas, devem facultar a título gratuito os dados necessários para dar resposta a uma emergência pública nos termos do artigo 15.o, n.o 1, alínea a). O organismo do setor público, a Comissão, o Banco Central Europeu ou o órgão da União que recebeu os dados deve proporcionar reconhecimento público ao detentor dos dados, caso este o solicite.
2. O detentor dos dados tem direito a uma compensação justa pela disponibilização dos mesmos em cumprimento de um pedido apresentado nos termos do artigo 15.o, n.o 1, alínea b). Tal compensação deve cobrir os custos técnicos e organizativos incorridos para dar cumprimento ao pedido, incluindo, se aplicável, os custos de anonimização, pseudonimização, agregação e adaptação técnica, e uma margem razoável. A pedido do organismo do setor público, da Comissão, do Banco Central Europeu ou do órgão da União, o detentor dos dados deve facultar informações sobre a base de cálculo dos custos e da margem razoável.
3. O n.o 2 é igualmente aplicável caso uma microempresa ou pequena empresa solicite uma compensação pela disponibilização de dados.
4. Os detentores dos dados não podem solicitar uma compensação pela disponibilização de dados em cumprimento de um pedido apresentado nos termos do artigo 15.o, n.o 1, alínea b), se a função específica de interesse público for a produção de estatísticas oficiais e se a aquisição dos dados não for permitida pelo direito nacional. Os Estados-Membros notificam a Comissão sempre que a aquisição de dados para a produção de estatísticas oficiais não seja permitida pelo direito nacional.
5. Caso o organismo do setor público, a Comissão, o Banco Central Europeu ou o órgão da União não concorde com o nível de compensação solicitado pelo detentor dos dados, pode apresentar uma reclamação à autoridade competente designada nos termos do artigo 37.o do Estado-Membro em que o detentor dos dados está estabelecido.
Artigo 30.
Aspetos técnicos da mudança
1. Os prestadores de serviços de tratamento de dados que digam respeito a recursos de computação moduláveis e adaptáveis limitados a elementos infraestruturais, como servidores, redes e recursos virtuais necessários para o funcionamento da infraestrutura, mas que não facultem acesso às aplicações, ao software e aos serviços operacionais armazenados, tratados ou implantados nesses elementos infraestruturais, devem, em conformidade com o artigo 27.o, tomar todas as medidas razoáveis ao seu alcance para permitir que o cliente, após ter mudado para um serviço que abranja o mesmo tipo de serviço, obtenha equivalência funcional na utilização do serviço de tratamento de dados de destino. O prestador de serviços de tratamento de dados de origem deve facilitar o processo de mudança através do fornecimento de capacidades, informações adequadas, documentação, apoio técnico e, se for caso disso, das ferramentas necessárias.
2. Os prestadores de serviços de tratamento de dados não referidos no n.o 1 devem disponibilizar interfaces abertas em igual medida a todos os seus clientes e aos prestadores de serviços de tratamento de dados de destino em causa, a título gratuito, a fim de facilitar o processo de mudança. Essas interfaces devem incluir informações suficientes sobre o serviço em causa para permitir o desenvolvimento de software para comunicar com os serviços, para efeitos de portabilidade e interoperabilidade dos dados.
3. No caso de serviços de tratamento de dados não referidos no n.o 1 do presente artigo, os prestadores de serviços de tratamento de dados devem assegurar a compatibilidade com especificações comuns baseadas em especificações de interoperabilidade aberta ou em normas de interoperabilidade harmonizadas pelo menos 12 meses após a publicação das referências a essas especificações comuns ou normas harmonizadas de interoperabilidade de serviços de tratamento de dados na sequência da publicação, no Jornal Oficial da União Europeia, dos atos de execução subjacentes, em conformidade com o artigo 35.o, n.o 8.
4. Os prestadores de serviços de tratamento de dados não referidos no n.o 1 do presente artigo devem atualizar o registo em linha a que se refere o artigo 26.o, alínea b), em conformidade com as obrigações que lhes incumbem por força do n.o 3 do presente artigo.
5. Em caso de mudança entre serviços do mesmo tipo de serviços, para os quais não tenham sido publicadas no repositório central da União de normas relativas aos serviços de tratamento de dados, em conformidade com o artigo 35.o, n.o 8, as especificações comuns ou as normas harmonizadas de interoperabilidade a que se refere o n.o 3 do presente artigo, o prestador dos serviços de tratamento de dados deve, a pedido do cliente, exportar todos os dados exportáveis num formato estruturado, de uso corrente e de leitura automática.
6. Os prestadores de serviços de tratamento de dados não podem ser obrigados a desenvolver novas tecnologias ou serviços, ou a divulgar ou transferir ativos digitais que estejam protegidos por direitos de propriedade intelectual ou que constituam segredos comerciais, para um cliente ou para um prestador de serviços de tratamento de dados diferente, nem a comprometer a segurança e integridade do serviço do cliente ou do prestador.
whereas