Data Act 2023/2854 PT

a)	A disponibilização de dados relativos a um produto e de dados relativos a um serviço conexo ao utilizador do produto conectado ou do serviço conexo;

b)	A disponibilização de dados pelos detentores dos dados aos destinatários dos dados;

c)	A disponibilização de dados pelos detentores dos dados a organismos do setor público, à Comissão, ao Banco Central Europeu e aos órgãos da União, quando haja uma necessidade excecional desses dados, para o desempenho de uma missão específica de interesse público;

d)	A facilitação da mudança entre serviços de tratamento de dados;

e)	A introdução de salvaguardas contra o acesso ilícito de terceiros a dados não pessoais; e

f)	O desenvolvimento de normas de interoperabilidade para os dados a que se pretenda aceder e que se pretenda transferir e utilizar.

2. O presente regulamento abrange os dados pessoais e não pessoais, incluindo os seguintes tipos de dados, nos seguintes contextos:

a)	O capítulo II é aplicável aos dados, com exceção dos conteúdos, relativos ao desempenho, à utilização e ao ambiente dos produtos conectados e serviços conexos;

b)	O capítulo III é aplicável aos dados do setor privado sujeitos a obrigações legais de partilha de dados;

c)	O capítulo IV é aplicável aos dados do setor privado acedidos e utilizados com base em contratos entre empresas;

d)	O capítulo V é aplicável aos dados do setor privado, com destaque para os dados não pessoais;

e)	O capítulo VI é aplicável a todos os dados e serviços tratados por prestadores de serviços de tratamento de dados;

f)	O capítulo VII é aplicável aos dados não pessoais detidos na União por prestadores de serviços de tratamento de dados.

3. O presente regulamento é aplicável:

a)	Aos fabricantes de produtos conectados colocados no mercado da União e aos prestadores de serviços conexos, independentemente do local de estabelecimento desses fabricantes e prestadores;

b)	Aos utilizadores na União de produtos conectados ou serviços conexos referidos na alínea a);

c)	Aos detentores dos dados, independentemente do seu local de estabelecimento, que disponibilizam os dados a destinatários dos dados na União;

d)	Aos destinatários dos dados na União a quem os dados são disponibilizados;

Aos organismos do setor público, à Comissão, ao Banco Central Europeu e aos órgãos da União que solicitam aos detentores dos dados que os disponibilizem quando exista uma necessidade excecional desses dados para o desempenho de uma missão específica de interesse público, e aos detentores dos dados que os facultam em resposta a esse pedido;

f)	Aos prestadores de serviços de tratamento de dados, independentemente do seu local de estabelecimento, que prestam esses serviços a clientes na União;

g)	Aos participantes em espaços de dados e aos vendedores de aplicações que utilizem contratos inteligentes e às pessoas cuja atividade comercial, empresarial ou profissional implique a implantação de contratos inteligentes para terceiros no contexto da execução de um acordo.

4. Sempre que o presente regulamento fizer referência a produtos conectados ou serviços conexos, entende-se que essas referências incluem igualmente os assistentes virtuais, na medida em que interajam com um produto conectado ou serviço conexo.

5. O presente regulamento não prejudica o direito da União e o direito nacional em matéria de proteção de dados pessoais, privacidade e confidencialidade das comunicações e integridade dos equipamentos terminais, os quais são aplicáveis aos dados pessoais tratados no âmbito dos direitos e obrigações estabelecidos no presente regulamento, nomeadamente os Regulamentos (UE) 2016/679 e (UE) 2018/1725 e a Diretiva 2002/58/CE, incluindo os poderes e as competências das autoridades de controlo ou os direitos dos titulares dos dados. Na medida em que os utilizadores sejam titulares dos dados, os direitos estabelecidos no capítulo II do presente regulamento complementam o direito de acesso por parte do titular dos dados e o direito de portabilidade dos dados previstos nos artigos 15.o e 20.o do Regulamento (UE) 2016/679. Em caso de conflito entre o presente regulamento e o direito da União em matéria de proteção de dados pessoais ou de privacidade, ou a legislação nacional adotada em conformidade com o referido direito da União, prevalece o direito da União ou o direito nacional aplicáveis em matéria de proteção de dados pessoais ou de privacidade.

6. O presente regulamento não é aplicável a acordos voluntários de intercâmbio de dados entre entidades privadas e públicas, nem prejudica esses acordos, em especial acordos voluntários de partilha de dados.

O presente regulamento não afeta os atos jurídicos nacionais ou da União que preveem a partilha, o acesso e a utilização de dados para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, ou para efeitos aduaneiros e fiscais, nomeadamente os Regulamentos (UE) 2021/784, (UE) 2022/2065 e (UE) 2023/1543, a Diretiva (UE) 2023/1544 ou a cooperação internacional nesse domínio. O presente regulamento não é aplicável à recolha, partilha ou utilização de dados, nem ao acesso aos mesmos, nos termos do Regulamento (UE) 2015/847 e da Diretiva (UE) 2015/849. O presente regulamento não é aplicável a domínios não abrangidos pelo âmbito de aplicação do direito da União, e não afeta, em caso algum, as competências dos Estados-Membros em matéria de segurança pública, defesa ou segurança nacional, independentemente do tipo de entidade incumbida pelos Estados-Membros de desempenhar funções relacionadas com essas competências, nem os seus poderes para salvaguardar outras funções essenciais do Estado, nomeadamente a garantia da integridade territorial do Estado e a manutenção da ordem pública. O presente regulamento não afeta as competências dos Estados-Membros em matéria de administração aduaneira e fiscal ou de saúde e segurança dos cidadãos.

7. O presente regulamento complementa a abordagem de autorregulação constante do Regulamento (UE) 2018/1807 ao introduzir obrigações de aplicação geral em matéria de mudança de prestador de serviços de computação em nuvem.

8. O presente regulamento não prejudica os atos jurídicos nacionais e da União que preveem a proteção de direitos de propriedade intelectual, em especial as Diretivas 2001/29/CE, 2004/48/CE e (UE) 2019/790.

9. O presente regulamento complementa e não prejudica o direito da União que visa promover os interesses dos consumidores e assegurar um elevado nível de defesa dos consumidores, bem como proteger a sua saúde, segurança e interesses económicos, em especial as Diretivas 93/13/CEE, 2005/29/CE e 2011/83/UE.

10. O presente regulamento não obsta à celebração de contratos de caráter voluntário e lícito de partilha de dados, nomeadamente contratos celebrados numa base recíproca, que cumpram os requisitos previstos no presente regulamento.

Artigo 2.o

Definições

Para efeitos do presente regulamento, entende-se por:

1)	«Dados», qualquer representação digital de atos, factos ou informações e qualquer compilação desses atos, factos ou informações, incluindo sob a forma de gravação sonora, visual ou audiovisual;

2)	«Metadados», uma descrição estruturada do conteúdo ou da utilização dos dados, que facilita a pesquisa ou a utilização desses dados;

3)	«Dados pessoais», dados pessoais na aceção do artigo 4.o, ponto 1, do Regulamento (UE) 2016/679;

4)	«Dados não pessoais», dados que não sejam dados pessoais;

«Produto conectado», um bem que obtém, gera ou recolhe dados relativos à sua utilização ou ao seu ambiente e que é capaz de comunicar dados relativos a um produto através de um serviço de comunicações eletrónicas, de uma conexão física ou do acesso no dispositivo, e cuja função principal não consiste na conservação, no tratamento ou na transmissão de dados em nome de quaisquer partes que não sejam o utilizador;

«Serviço conexo», um serviço digital, que não seja um serviço de comunicações eletrónicas, incluindo software, conectado ao produto no momento da aquisição ou locação de tal modo que a sua ausência impediria que o produto conectado desempenhasse uma ou mais das suas funções, ou conectado posteriormente ao produto pelo fabricante ou por terceiros, a fim de aumentar, atualizar ou adaptar as funções do produto conectado;

«Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados ou conjuntos de dados, através de procedimentos automatizados ou não automatizados, como por exemplo a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, a difusão ou quaisquer outros meios de disponibilização dos mesmos, o alinhamento ou a combinação, a limitação, o apagamento ou a destruição;

«Serviço de tratamento de dados», um serviço digital que é prestado a um cliente e que permite um acesso em rede, ubíquo e a pedido, a um conjunto partilhado de recursos de computação configuráveis, moduláveis e adaptáveis, de natureza centralizada, distribuída ou altamente distribuída, que é suscetível de ser rapidamente disponibilizado e libertado com um nível mínimo de esforço de gestão ou de interação com o prestador do serviço;

9)	«Mesmo tipo de serviço», um conjunto de serviços de tratamento de dados que partilham o mesmo objetivo principal, o mesmo modelo de serviço de tratamento de dados e as principais funcionalidades;

10)	«Serviço de intermediação de dados», um serviço de intermediação de dados na aceção do artigo 2.o, ponto 11, do Regulamento (UE) 2022/868;

11)	«Titular dos dados», o titular dos dados a que se refere o artigo 4.o, ponto 1, do Regulamento (UE) 2016/679;

12)	«Utilizador», uma pessoa singular ou coletiva que é proprietária de um produto conectado ou para quem foram transferidos, com base num contrato, direitos temporários à utilização desse produto conectado, ou que recebe serviços conexos;

13)

«Detentor dos dados», uma pessoa singular ou coletiva que tem o direito ou a obrigação, nos termos do presente regulamento, do direito aplicável da União ou da legislação nacional adotada em conformidade com o direito da União, de utilizar e de disponibilizar determinados dados, nomeadamente, caso tal tenha sido acordado contratualmente, dados relativos a um produto ou dados relativos a um serviço conexo que tenha recuperado ou gerado durante a prestação de um serviço conexo;

14)

«Destinatário dos dados», uma pessoa singular ou coletiva que age para fins relacionados com a sua atividade comercial, ofício ou profissão, que não seja o utilizador de um produto conectado ou serviço conexo, à qual o detentor dos dados disponibiliza os dados, incluindo um terceiro na sequência de um pedido do utilizador ao detentor dos dados ou em conformidade com uma obrigação jurídica ao abrigo do direito da União ou da legislação nacional adotada em conformidade com o direito da União;

15)

«Dados relativos a um produto», dados gerados pela utilização de um produto conectado concebido pelo fabricante para que os mesmos sejam recuperáveis através de um serviço de comunicações eletrónicas, de uma conexão física ou do acesso no dispositivo, por parte de um utilizador, de um detentor dos dados ou de terceiros, incluindo, se for caso disso, o fabricante;

16)

«Dados relativos a um serviço conexo», dados que representam a digitalização das ações do utilizador ou dos eventos relacionados com o produto conectado, registados intencionalmente pelo utilizador ou gerados como subproduto da ação do utilizador durante a prestação de um serviço conexo pelo prestador de serviços;

17)

«Dados prontamente disponíveis», dados relativos a um produto e dados relativos a um serviço conexo legalmente obtidos por um detentor dos dados ou suscetíveis de por ele serem legalmente obtidos a partir do produto conectado ou serviço conexo, sem um esforço desproporcionado que vá para além de uma operação simples;

18)	«Segredo comercial», um segredo comercial na aceção do artigo 2.o, ponto 1, da Diretiva (UE) 2016/943;

19)	«Titular do segredo comercial», um titular do segredo comercial na aceção do artigo 2.o, ponto 2, da Diretiva (UE) 2016/943;

20)	«Definição de perfis», a definição de perfis na aceção do artigo 4.o, n.o 4, do Regulamento (UE) 2016/679;

21)	«Disponibilização no mercado», o fornecimento de um produto conectado para distribuição, consumo ou utilização no mercado da União no âmbito de uma atividade comercial, a título oneroso ou gratuito;

22)	«Colocação no mercado», a primeira disponibilização de um produto conectado no mercado da União;

23)	«Consumidor», qualquer pessoa singular que atue com fins que não se incluam no âmbito da sua atividade comercial, ofício ou profissão;

24)	«Empresa», uma pessoa singular ou coletiva que, no que respeita às práticas e aos contratos abrangidos pelo presente regulamento, age para fins relacionados com a sua atividade comercial, ofício ou profissão;

25)	«Pequena empresa», uma pequena empresa na aceção do artigo 2.o, n.o 2, do anexo da Recomendação 2003/361/CE;

26)	«Microempresa», uma microempresa na aceção do artigo 2.o, n.o 3, do anexo da Recomendação 2003/361/CE;

27)	«Órgãos da União», os órgãos e organismos da União estabelecidos através de atos legislativos adotados com base no Tratado sobre a União Europeia, no TFUE ou no Tratado que institui a Comunidade Europeia da Energia Atómica ou ao abrigo daqueles atos legislativos;

28)	«Organismo do setor público», as autoridades nacionais, regionais ou locais dos Estados-Membros e os organismos de direito público dos Estados-Membros, ou as associações formadas por uma ou várias dessas autoridades ou por um ou vários desses organismos;

29)

«Emergência pública», uma situação excecional, limitada no tempo, como uma emergência de saúde pública, uma emergência resultante de catástrofes naturais ou uma catástrofe de grandes proporções de origem humana, incluindo incidentes importantes em matéria de cibersegurança, que afeta negativamente a população da União ou que afeta um Estado-Membro ou parte dele, com o risco de repercussões graves e duradouras nas condições de vida, na estabilidade económica ou na estabilidade financeira, ou com o risco de degradação significativa e imediata dos ativos económicos da União ou dos Estados-Membros em causa, e que é determinada ou oficialmente declarada de acordo com os procedimentos previstos no direito da União ou nacional;

30)	«Cliente», uma pessoa singular ou coletiva que tenha estabelecido uma relação contratual com um prestador de serviços de tratamento de dados com o objetivo de utilizar um ou mais serviços de tratamento de dados;

31)	«Assistentes virtuais», software com capacidade para tratar pedidos, funções ou perguntas, nomeadamente os que se baseiam em sons, textos, gestos ou movimentos, e que, com base nesses pedidos, funções ou perguntas, proporciona acesso a outros serviços ou controla as funções de produtos conectados;

32)	«Ativos digitais», elementos em formato digital, incluindo aplicações, para os quais o cliente tem o direito de utilização, independentemente da relação contratual estabelecida com o serviço de tratamento de dados do qual o cliente se pretende mudar;

33)	«Infraestrutura informática local», uma infraestrutura de tecnologias de informação e comunicação e recursos de computação de que o cliente é proprietário ou locatário localizados no centro de dados do próprio cliente e operados pelo cliente ou por um terceiro;

34)

«Mudança», o processo que envolve um prestador de serviços de tratamento de dados de origem, um cliente de um serviço de tratamento de dados e, se for o caso, um prestador de serviços de tratamento de dados de destino, pelo qual o cliente de um serviço de tratamento de dados passa da utilização de um serviço de tratamento de dados para a utilização de outro serviço de tratamento de dados do mesmo tipo de serviço, ou de outro serviço, disponibilizado por um prestador de serviços de tratamento de dados diferente, ou de uma infraestrutura informática local, nomeadamente através da extração, da transformação e do carregamento dos dados;

35)

«Encargos decorrentes da saída de dados», as comissões de transferência de dados cobradas aos clientes pela extração dos seus dados, através da rede, da infraestrutura informática de um prestador de serviços de tratamento de dados para os sistemas de um prestador diferente ou para infraestruturas informáticas locais;

36)

«Encargos decorrentes da mudança», encargos, que não as comissões habituais cobradas pelo serviço ou penalizações por rescisão antecipada de contrato, impostos por um prestador de serviços de tratamento de dados a um cliente pelas ações exigidas pelo presente regulamento para a mudança para os sistemas de um prestador diferente ou para infraestruturas informáticas locais, incluindo encargos decorrentes da saída de dados;

37)

«Equivalência funcional», o restabelecimento, com base nos dados exportáveis e nos ativos digitais do cliente, de um nível mínimo de funcionalidade no ambiente de um novo serviço de tratamento de dados do mesmo tipo de serviço após o processo de mudança, em que o serviço de tratamento de dados de destino produz um resultado materialmente comparável em resposta à mesma entrada de características partilhadas fornecida ao cliente ao abrigo do contrato;

38)

«Dados exportáveis», para efeitos dos artigos 23.o a 31.o e do artigo 35.o, os dados de entrada e saída, incluindo metadados, direta ou indiretamente gerados ou cogerados pela utilização, pelo cliente, do serviço de tratamento de dados, excluindo quaisquer ativos ou dados protegidos por direitos de propriedade intelectual, ou que constituam um segredo comercial, de prestadores do serviço de tratamento de dados ou de terceiros;

39)	«Contrato inteligente», um programa de computador utilizado para a execução automática de um acordo ou de parte dele, utilizando uma sequência de registos eletrónicos de dados e garantindo a sua integridade e a exatidão do seu ordenamento cronológico;

40)	«Interoperabilidade», a capacidade de dois ou mais espaços de dados ou redes de comunicações, sistemas, produtos conectados, aplicações, serviços de tratamento de dados ou componentes procederem ao intercâmbio de dados e os utilizarem, de modo a desempenharem as suas funções;

41)	«Especificações de interoperabilidade aberta», as especificações técnicas no domínio informático, que são orientadas para a concretização da interoperabilidade entre serviços de tratamento de dados;

42)	«Especificações comuns», um documento, que não uma norma, que contém soluções técnicas que proporcionam um meio para cumprir certos requisitos e obrigações estabelecidas no presente regulamento;

43)	«Norma harmonizada», uma norma harmonizada na aceção do artigo 2.o, ponto 1, alínea c), do Regulamento (UE) n.o 1025/2012.

CAPÍTULO II

PARTILHA DE DADOS ENTRE EMPRESAS E CONSUMIDORES E ENTRE EMPRESAS

Artigo 4.o

Direitos e obrigações dos utilizadores e dos detentores dos dados no que respeita ao acesso, utilização e disponibilização dos dados relativos a um produto e dos dados relativos a um serviço conexo

1. Caso o utilizador não possa aceder diretamente aos dados a partir do produto conectado ou do serviço conexo, os detentores dos dados devem tornar acessíveis ao utilizador os dados prontamente disponíveis, bem como os metadados necessários para interpretar e utilizar esses dados, sem demora injustificada, com uma qualidade idêntica à que está disponível para o detentor dos dados, de forma fácil, segura e gratuita, num formato abrangente, estruturado, de uso corrente e de leitura automática, e, se pertinente e tecnicamente viável, de forma contínua e em tempo real. Esta disponibilização é feita com base num simples pedido por via eletrónica, caso tal seja tecnicamente viável.

2. Os utilizadores e os detentores dos dados podem limitar ou proibir contratualmente o acesso, a utilização ou a partilha posterior dos dados, sempre que tal tratamento seja suscetível de comprometer os requisitos de segurança do produto conectado, previstos no direito da União ou no direito nacional, causando efeitos negativos graves na saúde, proteção ou segurança das pessoas singulares. As autoridades setoriais podem facultar aos utilizadores e aos detentores dos dados conhecimentos técnicos especializados nesse contexto. Caso o detentor dos dados se recuse a partilhar dados nos termos do presente artigo, deve notificar a autoridade competente designada nos termos do artigo 37.o.

3. Sem prejuízo do direito do utilizador de, a qualquer momento, obter reparação perante um órgão jurisdicional de um Estado-Membro, o utilizador pode, relativamente a qualquer litígio com o detentor dos dados respeitante às limitações ou proibições contratuais referidas no n.o 2 do presente artigo:

a)	Apresentar, nos termos do artigo 37.o, n.o 5, alínea b), uma reclamação junto da autoridade competente; ou

b)	Acordar com o detentor dos dados em submeter a questão à apreciação de um organismo de resolução de litígios nos termos do artigo 10.o, n.o 1.

4. Os detentores dos dados não devem dificultar excessivamente o exercício das escolhas ou dos direitos previstos no presente artigo por parte do utilizador, nomeadamente oferecendo escolhas aos utilizadores de forma não neutra ou condicionando ou prejudicando a autonomia, a tomada de decisões ou as escolhas dos utilizadores através da estrutura, conceção, função ou modo de funcionamento de uma interface digital de utilizador ou de parte dela.

5. A fim de verificar se uma pessoa singular ou coletiva pode ser considerada um utilizador para efeitos do n.o 1, os detentores dos dados não podem exigir que essa pessoa faculte quaisquer informações para além das necessárias. Os detentores dos dados não podem conservar quaisquer informações, em especial dados de registo, sobre o acesso do utilizador aos dados solicitados para além das necessárias para a boa execução do pedido de acesso do utilizador e para a segurança e manutenção da infraestrutura de dados.

6. Os segredos comerciais devem ser preservados e só podem ser divulgados se o detentor dos dados e o utilizador tomarem, antes da divulgação, todas as medidas necessárias para preservar a sua confidencialidade, em especial no que diz respeito a terceiros. O detentor dos dados ou, caso não sejam a mesma pessoa, o titular dos segredos comerciais deve identificar os dados protegidos como segredos comerciais, incluindo nos metadados pertinentes, e acordar com o utilizador as medidas técnicas e organizativas proporcionadas necessárias para preservar a confidencialidade dos dados partilhados, em especial em relação a terceiros, tais como modelos de cláusulas contratuais, acordos de confidencialidade, protocolos de acesso rigorosos, normas técnicas e a aplicação de códigos de conduta.

7. Nos casos em que não haja acordo sobre as medidas necessárias referidas no n.o 6, ou em que o utilizador não aplique as medidas acordadas nos termos do n.o 6 ou comprometa a confidencialidade dos segredos comerciais, o detentor dos dados pode reter ou, consoante o caso, suspender a partilha dos dados identificados como segredos comerciais. A decisão do detentor dos dados deve ser devidamente fundamentada e comunicada por escrito ao utilizador, sem demora injustificada. Nesses casos, o detentor dos dados notifica a autoridade competente designada nos termos do artigo 37.o de que reteve ou suspendeu a partilha de dados e identifica as medidas que não foram acordadas ou aplicadas e, se for caso disso, os segredos comerciais cuja confidencialidade ficou comprometida.

8. Em circunstâncias excecionais, caso o detentor dos dados que seja titular de um segredo comercial possa demonstrar que é altamente provável que venha a sofrer prejuízos económicos graves devido à divulgação de segredos comerciais, não obstante as medidas técnicas e organizativas tomadas pelo utilizador nos termos do n.o 6 do presente artigo, esse detentor dos dados pode recusar, numa base casuística, um pedido de acesso aos dados específicos em causa. A referida demonstração deve ser devidamente fundamentada com base em elementos objetivos, nomeadamente a aplicabilidade da proteção de segredos comerciais em países terceiros, a natureza e o nível de confidencialidade dos dados solicitados e o caráter único e novo do produto conectado, e deve ser apresentada por escrito ao utilizador sem demora injustificada. Caso o detentor dos dados se recuse a partilhar dados nos termos do presente número, notifica a autoridade competente designada nos termos do artigo 37.o.

9. Sem prejuízo do direito do utilizador de, a qualquer momento, obter reparação perante um órgão jurisdicional de um Estado-Membro, um utilizador que pretenda contestar a decisão de um detentor dos dados de recusar, suster ou suspender a partilha de dados nos termos dos n.os 7 e 8 pode:

a)	Apresentar, nos termos do artigo 37.o, n.o 5, alínea b), uma reclamação junto da autoridade competente, que decide, sem demora injustificada, se a partilha de dados deve iniciar-se ou ser retomada, e em que condições; ou

b)	Acordar com o detentor dos dados em submeter a questão à apreciação de um organismo de resolução de litígios nos termos do artigo 10.o, n.o 1.

10. O utilizador não pode utilizar os dados obtidos na sequência do pedido a que se refere o n.o 1 para desenvolver um produto conectado que concorra com o produto conectado do qual provêm os dados, nem partilhar os dados com terceiros com essa intenção, e não pode utilizar esses dados para obter informações sobre a situação económica, os ativos e os métodos de produção do fabricante ou, se aplicável, do detentor dos dados.

11. O utilizador não pode recorrer a meios coercivos nem utilizar abusivamente lacunas na infraestrutura técnica dos detentores dos dados concebida para proteger os dados, a fim de obter acesso aos mesmos.

12. Caso o utilizador não seja o titular dos dados cujos dados pessoais são solicitados, quaisquer dados pessoais gerados pela utilização de um produto conectado ou serviço conexo só podem ser disponibilizados pelo titular dos dados ao utilizador se existir um fundamento jurídico válido para o tratamento nos termos do artigo 6.o do Regulamento (UE) 2016/679 e, se for caso disso, estiverem preenchidas as condições do artigo 9.o do referido regulamento e do artigo 5.o, n.o 3, da Diretiva 2002/58/CE.

13. Os detentores dos dados só podem utilizar dados prontamente disponíveis que sejam dados não pessoais com base num contrato com o utilizador. Os detentores dos dados não podem utilizar esses dados para obter informações sobre a situação económica, os ativos e os métodos de produção do utilizador, ou sobre a utilização desses dados de qualquer outra forma que possa prejudicar a posição comercial desse utilizador nos mercados nos quais exerce a sua atividade.

14. Os detentores dos dados não podem disponibilizar a terceiros os dados não pessoais relativos a um produto para fins comerciais ou não comerciais que vão para além do cumprimento do seu contrato com o utilizador. Se for caso disso, os detentores dos dados devem vincular contratualmente os terceiros a não partilharem os dados de si recebidos.

Artigo 5.o

Direito do utilizador de partilhar dados com terceiros

1. A pedido de um utilizador, ou de uma parte que atue em nome de um utilizador, o detentor dos dados deve disponibilizar a terceiros os dados prontamente disponíveis, bem como os metadados necessários para interpretar e utilizar esses dados, sem demora injustificada, com qualidade idêntica à que está disponível para o detentor dos dados, de forma fácil e segura, a título gratuito para o utilizador, num formato abrangente, estruturado, de uso corrente e de leitura automática, e, se pertinente e tecnicamente viável, de forma contínua e em tempo real. Os dados devem ser disponibilizados pelo detentor dos dados a terceiros nos termos dos artigos 8.o e 9.o.

2. O n.o 1 não se aplica aos dados prontamente disponíveis no contexto da testagem de novos produtos conectados, substâncias ou processos novos que ainda não tenham sido colocados no mercado, salvo se a sua utilização por terceiros estiver contratualmente autorizada.

3. Qualquer empresa designada como controlador de acesso nos termos do artigo 3.o do Regulamento (UE) 2022/1925, não é um terceiro elegível nos termos do presente artigo e, por conseguinte, não pode:

Solicitar ou incentivar comercialmente um utilizador, de forma alguma, nomeadamente através do fornecimento de compensações pecuniárias ou de qualquer outra natureza, a disponibilizar a um dos seus serviços os dados que o utilizador obteve na sequência de um pedido efetuado nos termos do artigo 4.o, n.o 1;

b)	Solicitar ou incentivar comercialmente um utilizador a pedir ao detentor dos dados que os disponibilize a um dos seus serviços, nos termos do n.o 1 do presente artigo;

c)	Receber de um utilizador dados que este obteve na sequência de um pedido efetuado nos termos do artigo 4.o, n.o 1.

4. Para efeitos de verificar se uma pessoa singular ou coletiva se qualifica como utilizador ou como terceiro para efeitos do n.o 1, não se pode exigir ao utilizador ou ao terceiro que faculte quaisquer informações para além das necessárias. Os detentores dos dados não podem conservar quaisquer informações sobre o acesso do terceiro aos dados solicitados para além das necessárias para a boa execução do pedido de acesso do terceiro e para a segurança e manutenção da infraestrutura de dados.

5. O terceiro não pode usar meios coercivos nem utilizar abusivamente lacunas na infraestrutura técnica de um detentor dos dados concebida para proteger os dados, a fim de obter acesso aos mesmos.

6. Os detentores dos dados não podem utilizar dados prontamente disponíveis para obter informações sobre a situação económica, os ativos e os métodos de produção do terceiro, ou sobre a sua utilização desses dados, de qualquer outra forma que possa prejudicar a posição comercial do terceiro nos mercados nos quais exerce a sua atividade, a menos que o terceiro tenha autorizado essa utilização e tenha a possibilidade técnica de retirar facilmente essa autorização a qualquer momento.

7. Caso o utilizador não seja o titular dos dados cujos dados pessoais são solicitados, quaisquer dados pessoais gerados pela utilização de um produto conectado ou serviço conexo, só podem ser disponibilizados pelo titular dos dados a terceiros se existir um fundamento jurídico válido para o tratamento nos termos do artigo 6.o do Regulamento (UE) 2016/679 e, se for caso disso, estiverem preenchidas as condições do artigo 9.o do referido regulamento e do artigo 5.o, n.o 3, da Diretiva 2002/58/CE.

8. O facto de o detentor dos dados e o terceiro não chegarem a acordo sobre as modalidades de transmissão dos dados não pode prejudicar, impedir ou dificultar o exercício dos direitos do titular dos dados nos termos do Regulamento (UE) 2016/679 e, em especial, do direito à portabilidade dos dados previsto no artigo 20.o do referido regulamento.

9. Os segredos comerciais são preservados e só podem ser divulgados a terceiros na medida em que tal divulgação seja estritamente necessária para cumprir a finalidade acordada entre o utilizador e o terceiro. O detentor dos dados ou, caso não sejam a mesma pessoa, o titular dos segredos comerciais, identifica os dados protegidos como segredos comerciais, incluindo nos metadados pertinentes, e acorda com o terceiro todas as medidas técnicas e organizativas proporcionadas necessárias para preservar a confidencialidade dos dados partilhados, como os modelos de cláusulas contratuais, os acordos de confidencialidade, os protocolos de acesso rigorosos, as normas técnicas e a aplicação de códigos de conduta.

10. Nos casos em que não haja acordo sobre as medidas necessárias referidas no n.o 9 do presente artigo ou em que o terceiro não aplique as medidas acordadas nos termos do n.o 9 do presente artigo ou comprometa a confidencialidade dos segredos comerciais, o detentor dos dados pode reter ou, consoante o caso, suspender a partilha dos dados identificados como segredos comerciais. A decisão do detentor dos dados deve ser devidamente fundamentada e comunicada por escrito ao terceiro, sem demora injustificada. Nesses casos, o detentor dos dados notifica a autoridade competente designada nos termos do artigo 37.o de que reteve ou suspendeu a partilha de dados e identifica as medidas que não foram acordadas ou aplicadas e, se for caso disso, os segredos comerciais cuja confidencialidade ficou comprometida.

11. Em circunstâncias excecionais, caso o detentor dos dados que for titular de um segredo comercial possa demonstrar que é altamente provável que venha a sofrer prejuízos económicos graves devido à divulgação de segredos comerciais, não obstante as medidas técnicas e organizativas tomadas pelo terceiro nos termos do n.o 9 do presente artigo, o detentor dos dados pode recusar, numa base casuística, um pedido de acesso aos dados específicos em causa. A referida demonstração deve ser devidamente fundamentada com base em elementos objetivos, nomeadamente a aplicabilidade da proteção de segredos comerciais em países terceiros, a natureza e o nível de confidencialidade dos dados solicitados e o caráter único e novo do produto conectado, e deve ser apresentada por escrito ao terceiro sem demora injustificada. Caso o detentor dos dados se recuse a partilhar dados nos termos do presente número, notifica a autoridade nacional competente designada nos termos do artigo 37.o.

12. Sem prejuízo do direito do terceiro de, a qualquer momento, obter reparação perante um órgão jurisdicional de um Estado-Membro, um terceiro que pretenda contestar a decisão do detentor dos dados de recusar, suster ou suspender a partilha de dados em conformidade com os n.os 10 e 11 pode:

a)	Apresentar, nos termos do artigo 37.o, n.o 5, alínea b), uma reclamação junto da autoridade competente, que decide, sem demora injustificada, se a partilha de dados deve iniciar-se ou ser retomada e em que condições; ou

b)	Acordar com o detentor dos dados em submeter a questão à apreciação de um organismo de resolução de litígios nos termos do artigo 10.o, n.o 1.

13. O direito a que se refere o n.o 1 não pode prejudicar os direitos de outros titulares dos dados, em conformidade com o direito da União ou o direito nacional aplicáveis em matéria de proteção de dados pessoais.

Artigo 6.o

Obrigações dos terceiros que recebem dados a pedido do utilizador

1. Um terceiro deve tratar os dados que lhe foram disponibilizados nos termos do artigo 5.o unicamente para as finalidades e nas condições acordadas com o utilizador e sujeito ao direito da União e ao direito nacional sobre a proteção de dados pessoais, incluindo os direitos do titular dos dados no que se refere aos dados pessoais. O terceiro deve apagar os dados quando já não sejam necessários para a finalidade acordada, salvo acordo em contrário com o utilizador relativamente aos dados não pessoais.

2. O terceiro não pode:

Dificultar excessivamente o exercício das escolhas ou dos direitos do utilizador ao abrigo do artigo 5.o e do presente artigo, nomeadamente oferecendo escolhas ao utilizador de forma não neutra ou coagindo-o, enganando-o ou manipulando-o, ou condicionando ou prejudicando a autonomia, a tomada de decisões ou as escolhas do utilizador, nomeadamente através de uma interface digital de utilizador ou de parte dela;

b)	Não obstante o disposto no artigo 22.o, n.o 2, alíneas a) e c), do Regulamento (UE) 2016/679, utilizar os dados que recebe para a definição de perfis, a menos que tal seja necessário para prestar o serviço solicitado pelo utilizador;

Disponibilizar os dados que recebe a outro terceiro, salvo se os dados forem disponibilizados com base num contrato com o utilizador, e desde que esse terceiro tome todas as medidas necessárias acordadas entre o detentor dos dados e o terceiro para preservar a confidencialidade dos segredos comerciais;

d)	Disponibilizar os dados que recebe a uma empresa designada como controlador de acesso nos termos do artigo 3.o do Regulamento (UE) 2022/1925;

Utilizar os dados que recebe para desenvolver um produto que concorra com o produto conectado do qual os dados acedidos são provenientes ou partilhar os dados com outro terceiro para essa finalidade; os terceiros também não podem utilizar dados não pessoais relativos a um produto ou a um serviço conexo que lhes sejam disponibilizados para obter informações sobre a situação económica, os ativos e os métodos de produção do detentor dos dados, ou sobre a sua utilização desses dados;

f)	Utilizar os dados que recebe de uma forma que tenha um impacto negativo na segurança do produto conectado ou serviço conexo;

g)	Ignorar as medidas específicas que acordou com um detentor dos dados ou com o titular dos segredos comerciais nos termos do artigo 5.o, n.o 9, e comprometer a confidencialidade dos segredos comerciais;

h)	Impedir o utilizador que seja um consumidor, nomeadamente com base num contrato, de disponibilizar os dados que recebe a outras partes.

Artigo 9.o

Compensação pela disponibilização de dados

1. Qualquer compensação acordada entre o detentor e o destinatário dos dados pela disponibilização dos dados no âmbito de relações entre empresas deve ser não discriminatória e razoável, podendo incluir uma margem.

2. Ao acordarem na compensação, o detentor e o destinatário dos dados devem ter em conta, em especial:

a)	Os custos incorridos com a disponibilização dos dados, incluindo, em especial, os custos necessários para a formatação dos dados, a difusão por meios eletrónicos e a conservação;

b)	Os investimentos na recolha e produção dos dados, se aplicável, tendo em conta a eventualidade de outras partes terem contribuído para a obtenção, a geração ou a recolha dos dados em questão.

3. A compensação referida no n.o 1 pode também depender do volume, do formato e da natureza dos dados.

4. Se o destinatário dos dados for uma PME ou uma organização de investigação sem fins lucrativos e não tiver empresas parceiras ou empresas associadas que não sejam consideradas PME, a compensação acordada não pode exceder os custos referidos no n.o 2, alínea a), do presente artigo.

5. A Comissão adota orientações sobre o cálculo da compensação razoável, tendo em conta o aconselhamento prestado pelo Comité Europeu da Inovação de Dados a que se refere o artigo 42.o.

6. O presente artigo não obsta a que outras disposições de direito da União ou de legislação nacional adotada em conformidade com o direito da União excluam a compensação pela disponibilização de dados ou prevejam uma compensação inferior.

7. O detentor dos dados deve facultar ao destinatário dos dados informação sobre a base de cálculo da compensação de forma suficientemente pormenorizada para que o destinatário dos dados possa avaliar se os requisitos dos n.os 1 a 4 são cumpridos.

Artigo 11.

Medidas técnicas de proteção relativas à utilização ou à divulgação não autorizadas de dados

1. Os detentores dos dados podem aplicar medidas técnicas de proteção adequadas, incluindo contratos inteligentes e cifragem, a fim de impedir o acesso não autorizado aos dados, incluindo os metadados, e assegurar o cumprimento dos artigos 4.o, 5.o, 6.o, 8.o e 9.o, bem como das cláusulas contratuais acordadas para a disponibilização dos dados. Essas medidas técnicas de proteção não podem discriminar entre destinatários dos dados nem prejudicar o direito do utilizador de obter uma cópia dos dados, de recuperar, utilizar ou aceder aos dados ou de facultar dados a terceiros nos termos do artigo 5.o, ou qualquer direito de terceiros ao abrigo do direito da União ou da legislação nacional adotada em conformidade com o direito da União. Os utilizadores, os terceiros e os destinatários dos dados não podem alterar nem suprimir essas medidas técnicas de proteção, exceto com o acordo do detentor dos dados.

2. Nas circunstâncias referidas no n.o 3, o terceiro ou o destinatário dos dados deve, sem demora injustificada, aceder ao pedido do detentor dos dados e, se aplicável e caso não sejam a mesma pessoa, do detentor dos segredos comerciais ou do utilizador, para que:

a)	Sejam apagados os dados disponibilizados pelo detentor dos dados e quaisquer cópias dos mesmos;

Seja posto termo à produção, oferta ou colocação no mercado ou à utilização de bens, dados derivados ou serviços produzidos com base em conhecimentos obtidos através desses dados, ou à importação, exportação ou armazenamento de bens ilegais para esses efeitos, e sejam destruídos quaisquer bens ilegais, caso haja um risco sério de que a utilização ilícita desses dados venha a causar prejuízo significativo ao detentor dos dados, ao detentor dos segredos comerciais ou ao utilizador, ou caso essa medida não seja desproporcionada à luz dos interesses do detentor dos dados, do detentor dos segredos comerciais ou do utilizador;

c)	Informe o utilizador da utilização ou da divulgação não autorizadas dos dados e das medidas adotadas para pôr termo à utilização ou divulgação não autorizadas dos dados;

d)	Compense a parte lesada pelo uso indevido ou pela divulgação dos dados que tenham sido acedidos ou utilizados de forma ilícita.

3. O n.o 2 é aplicável se um terceiro ou um destinatário dos dados:

a)	Para efeitos de obtenção de dados, tiver facultado informações falsas a um detentor dos dados, tiver utilizado meios enganosos ou coercivos ou tiver aproveitado abusivamente lacunas na infraestrutura técnica do detentor dos dados concebida para proteger os dados;

b)	Tiver utilizado os dados disponibilizados para finalidades não autorizadas, nomeadamente o desenvolvimento de um produto conectado concorrente na aceção do artigo 6.o, n.o 2, alínea e);

c)	Tiver ilicitamente divulgado dados a outra parte;

d)	Não tiver mantido as medidas técnicas e organizativas acordadas nos termos do artigo 5.o, n.o 9; ou

e)	Tiver alterado ou suprimido, sem o acordo do detentor dos dados, medidas técnicas de proteção aplicadas por este nos termos do n.o 1 do presente artigo.

4. O n.o 2 é também aplicável se um utilizador alterar ou eliminar as medidas técnicas de proteção aplicadas pelo detentor dos dados ou não mantiver as medidas técnicas e organizativas tomadas pelo utilizador com o acordo do detentor dos dados ou, caso não sejam a mesma pessoa, do titular dos segredos comerciais, a fim de preservar os segredos comerciais, bem como relativamente a qualquer outra parte que tenha recebido dados por parte do utilizador através de uma violação do presente regulamento.

5. Se o destinatário dos dados violar o artigo 6.o, n.o 2, alíneas a) ou b), os utilizadores têm os mesmos direitos que os detentores dos dados ao abrigo do n.o 2 do presente artigo.

Artigo 13.o

Cláusulas contratuais abusivas impostas unilateralmente a outra empresa

1. Uma cláusula contratual relativa ao acesso aos dados e à sua utilização, ou à responsabilidade e às vias de recurso pela violação ou cessação de obrigações relacionadas com os dados, que tenha sido imposta unilateralmente por uma empresa a outra empresa não é vinculativa para esta última, caso seja abusiva.

2. Não é considerada abusiva uma cláusula contratual que reflita disposições imperativas do direito da União ou disposições do direito da União que seriam aplicáveis se as cláusulas contratuais não regulassem a matéria.

3. Uma cláusula contratual é abusiva se for de tal natureza que a sua utilização se desvie manifestamente das boas práticas comerciais em matéria de acesso e utilização de dados, ou se for contrária à boa-fé e às práticas comerciais leais.

4. Em especial, para efeitos do n.o 3, uma cláusula contratual é abusiva se tiver por objeto ou efeito:

a)	Excluir ou limitar a responsabilidade por atos intencionais ou negligência grosseira da parte que impôs unilateralmente a cláusula;

b)	Excluir as vias de recurso à disposição da parte à qual a cláusula foi imposta unilateralmente em caso de incumprimento de obrigações contratuais, ou a responsabilidade da parte que impôs unilateralmente a cláusula em caso de violação dessas obrigações;

c)	Conferir à parte que impôs unilateralmente a cláusula o direito exclusivo de determinar se os dados facultados estão em conformidade com o contrato ou de interpretar qualquer cláusula contratual.

5. Para efeitos do n.o 3, uma cláusula contratual presume-se abusiva se tiver por objeto ou efeito:

a)	Limitar de forma inadequada as vias de recurso em caso de incumprimento das obrigações contratuais ou a responsabilidade em caso de violação dessas obrigações, ou alargar a responsabilidade da empresa à qual a cláusula foi unilateralmente imposta;

Permitir que a parte que impôs unilateralmente a cláusula aceda aos dados da outra parte contratante e os utilize de uma forma que prejudique significativamente os interesses legítimos desta última, em particular quando tais dados contenham dados comercialmente sensíveis ou estejam protegidos por segredos comerciais ou por direitos de propriedade intelectual;

Impedir a parte à qual a cláusula foi imposta unilateralmente de utilizar os dados facultados ou gerados por essa parte durante a vigência do contrato, ou limitar a utilização desses dados na medida em que essa parte não tenha o direito de os utilizar, de os recolher, de lhes aceder ou de os controlar, ou de explorar o valor dos mesmos de forma adequada;

d)	Impedir a parte à qual a cláusula foi imposta unilateralmente de rescindir o contrato num prazo razoável;

e)	Impedir a parte à qual a cláusula foi imposta unilateralmente de obter uma cópia dos dados facultados ou gerados por essa parte durante a vigência do contrato ou num prazo razoável após a rescisão do mesmo;

Permitir que a parte que impôs unilateralmente a cláusula rescinda o contrato com um pré-aviso injustificadamente curto, tendo em conta a eventual possibilidade razoável da outra parte contratante de mudar para um serviço alternativo e comparável, bem como o prejuízo financeiro causado por essa rescisão, exceto quando existam motivos sérios para o fazer;

Permitir que a parte que impôs unilateralmente a cláusula altere substancialmente o preço estipulado no contrato ou qualquer outra condição material relacionada com a natureza, o formato, a qualidade ou a quantidade dos dados a partilhar caso não estejam estipulados no contrato uma razão válida para essa alteração nem o direito da outra parte de rescindir o contrato em caso de tal alteração.

A alínea g) do primeiro parágrafo não afeta as cláusulas nos termos das quais a parte que impôs unilateralmente a cláusula se reserva o direito de alterar unilateralmente as cláusulas de um contrato de duração indeterminada, desde que exista uma razão válida estipulada nesse contrato para essa alteração unilateral, que a parte que impôs unilateralmente a cláusula seja obrigada a informar a outra parte contratante com antecedência razoável relativamente a essa alteração pretendida e que a outra parte contratante seja livre de rescindir o contrato sem custos em caso de alteração.

6. Considera-se que uma cláusula contratual é imposta unilateralmente, na aceção do presente artigo, se tiver sido facultada por uma parte contratante e a outra parte contratante não tiver podido influenciar o seu teor, apesar de ter tentado negociá-la. Recai sobre a parte contratante que facultou a cláusula contratual o ónus da prova de que essa cláusula não foi imposta unilateralmente. A parte contratante que propôs a cláusula contratual contestada não pode alegar que esta é uma cláusula contratual abusiva.

7. Caso a cláusula contratual abusiva seja dissociável das restantes cláusulas, estas últimas são vinculativas.

8. O presente artigo não é aplicável às cláusulas contratuais que definem o objeto principal do contrato nem à adequação do preço aos dados fornecidos em troca.

9. As partes num contrato a que se aplique o n.o 1 não podem excluir a aplicação do presente artigo, derrogá-lo, nem alterar os seus efeitos.

CAPÍTULO V

DISPONIBILIZAÇÃO DE DADOS AOS ORGANISMOS DO SETOR PÚBLICO, À COMISSÃO, AO BANCO CENTRAL EUROPEU E AOS ÓRGÃOS DA UNIÃO COM base EM NECESSIDADES EXCECIONAIS

Artigo 14.o

Obrigação de disponibilização de dados com base em necessidades excecionais

Caso um organismo do setor público, a Comissão, o Banco Central Europeu ou um órgão da União demonstre uma necessidade excecional, tal como previsto no artigo 15.o, de utilizar determinados dados, incluindo os metadados pertinentes necessários para interpretar e utilizar esses dados, para desempenhar as suas atribuições legais de interesse público, os detentores dos dados que sejam pessoas coletivas, que não sejam organismos do setor público e que detenham esses dados devem disponibilizá-los mediante pedido devidamente fundamentado.

Artigo 15.o

Necessidade excecional de utilizar dados

1. Uma necessidade excecional de utilizar determinados dados na aceção do presente capítulo deve ser limitada no tempo e no âmbito, e considera-se que existe apenas em qualquer das seguintes circunstâncias:

a)	Caso os dados solicitados sejam necessários para dar resposta a uma emergência pública e o organismo do setor público, a Comissão, o Banco Central Europeu ou o órgão da União não possam obter esses dados por meios alternativos, de forma atempada e eficaz, em condições equivalentes;

Em circunstâncias não abrangidas pela alínea a) e apenas no que diz respeito a dados não pessoais, caso:

um organismo do setor público, a Comissão, o Banco Central Europeu ou um órgão da União atue com base no direito da União ou no direito nacional e tenha identificado dados específicos cuja falta o impossibilite de desempenhar uma função específica de interesse público expressamente prevista por lei, como produção de estatísticas oficiais ou a atenuação ou recuperação de uma emergência pública, e

ii)

o organismo do setor público, a Comissão, o Banco Central Europeu ou o organismo da União tenha esgotado todos os outros meios à sua disposição para obter esses dados, incluindo a aquisição de dados não pessoais no mercado às taxas de mercado ou com recurso às obrigações existentes de disponibilização de dados, ou a adoção de novas medidas legislativas que pudessem assegurar a disponibilidade atempada dos dados.

2. O n.o 1, alínea b), não se aplica às microempresas nem às pequenas empresas.

3. A obrigação de demonstrar que o organismo do setor público não pôde obter os dados não pessoais por meio da sua aquisição no mercado não se aplica se a função específica de interesse público for a produção de estatísticas oficiais e se a aquisição desses dados não for permitida pelo direito nacional.

Artigo 20.

Compensação em caso de necessidade excecional

1. Os detentores dos dados que não sejam microempresas e pequenas empresas, devem facultar a título gratuito os dados necessários para dar resposta a uma emergência pública nos termos do artigo 15.o, n.o 1, alínea a). O organismo do setor público, a Comissão, o Banco Central Europeu ou o órgão da União que recebeu os dados deve proporcionar reconhecimento público ao detentor dos dados, caso este o solicite.

2. O detentor dos dados tem direito a uma compensação justa pela disponibilização dos mesmos em cumprimento de um pedido apresentado nos termos do artigo 15.o, n.o 1, alínea b). Tal compensação deve cobrir os custos técnicos e organizativos incorridos para dar cumprimento ao pedido, incluindo, se aplicável, os custos de anonimização, pseudonimização, agregação e adaptação técnica, e uma margem razoável. A pedido do organismo do setor público, da Comissão, do Banco Central Europeu ou do órgão da União, o detentor dos dados deve facultar informações sobre a base de cálculo dos custos e da margem razoável.

3. O n.o 2 é igualmente aplicável caso uma microempresa ou pequena empresa solicite uma compensação pela disponibilização de dados.

4. Os detentores dos dados não podem solicitar uma compensação pela disponibilização de dados em cumprimento de um pedido apresentado nos termos do artigo 15.o, n.o 1, alínea b), se a função específica de interesse público for a produção de estatísticas oficiais e se a aquisição dos dados não for permitida pelo direito nacional. Os Estados-Membros notificam a Comissão sempre que a aquisição de dados para a produção de estatísticas oficiais não seja permitida pelo direito nacional.

5. Caso o organismo do setor público, a Comissão, o Banco Central Europeu ou o órgão da União não concorde com o nível de compensação solicitado pelo detentor dos dados, pode apresentar uma reclamação à autoridade competente designada nos termos do artigo 37.o do Estado-Membro em que o detentor dos dados está estabelecido.

Artigo 30.

Aspetos técnicos da mudança

1. Os prestadores de serviços de tratamento de dados que digam respeito a recursos de computação moduláveis e adaptáveis limitados a elementos infraestruturais, como servidores, redes e recursos virtuais necessários para o funcionamento da infraestrutura, mas que não facultem acesso às aplicações, ao software e aos serviços operacionais armazenados, tratados ou implantados nesses elementos infraestruturais, devem, em conformidade com o artigo 27.o, tomar todas as medidas razoáveis ao seu alcance para permitir que o cliente, após ter mudado para um serviço que abranja o mesmo tipo de serviço, obtenha equivalência funcional na utilização do serviço de tratamento de dados de destino. O prestador de serviços de tratamento de dados de origem deve facilitar o processo de mudança através do fornecimento de capacidades, informações adequadas, documentação, apoio técnico e, se for caso disso, das ferramentas necessárias.

2. Os prestadores de serviços de tratamento de dados não referidos no n.o 1 devem disponibilizar interfaces abertas em igual medida a todos os seus clientes e aos prestadores de serviços de tratamento de dados de destino em causa, a título gratuito, a fim de facilitar o processo de mudança. Essas interfaces devem incluir informações suficientes sobre o serviço em causa para permitir o desenvolvimento de software para comunicar com os serviços, para efeitos de portabilidade e interoperabilidade dos dados.

3. No caso de serviços de tratamento de dados não referidos no n.o 1 do presente artigo, os prestadores de serviços de tratamento de dados devem assegurar a compatibilidade com especificações comuns baseadas em especificações de interoperabilidade aberta ou em normas de interoperabilidade harmonizadas pelo menos 12 meses após a publicação das referências a essas especificações comuns ou normas harmonizadas de interoperabilidade de serviços de tratamento de dados na sequência da publicação, no Jornal Oficial da União Europeia, dos atos de execução subjacentes, em conformidade com o artigo 35.o, n.o 8.

4. Os prestadores de serviços de tratamento de dados não referidos no n.o 1 do presente artigo devem atualizar o registo em linha a que se refere o artigo 26.o, alínea b), em conformidade com as obrigações que lhes incumbem por força do n.o 3 do presente artigo.

5. Em caso de mudança entre serviços do mesmo tipo de serviços, para os quais não tenham sido publicadas no repositório central da União de normas relativas aos serviços de tratamento de dados, em conformidade com o artigo 35.o, n.o 8, as especificações comuns ou as normas harmonizadas de interoperabilidade a que se refere o n.o 3 do presente artigo, o prestador dos serviços de tratamento de dados deve, a pedido do cliente, exportar todos os dados exportáveis num formato estruturado, de uso corrente e de leitura automática.

6. Os prestadores de serviços de tratamento de dados não podem ser obrigados a desenvolver novas tecnologias ou serviços, ou a divulgar ou transferir ativos digitais que estejam protegidos por direitos de propriedade intelectual ou que constituam segredos comerciais, para um cliente ou para um prestador de serviços de tratamento de dados diferente, nem a comprometer a segurança e integridade do serviço do cliente ou do prestador.

Artigo 32.

Acesso e transferência governamentais internacionais

1. Sem prejuízo do disposto nos n.os 2 ou 3, os prestadores de serviços de tratamento de dados devem tomar todas as medidas técnicas, organizativas e legais adequadas, incluindo contratos, a fim de impedir que entidades governamentais internacionais ou de países terceiros acedam a dados não pessoais detidos na União ou os transfiram, caso esse acesso ou essa transferência seja suscetível de criar um conflito com o direito da União ou o direito nacional do Estado-Membro pertinente.

2. As decisões judiciais ou sentenças de um órgão jurisdicional de um país terceiro e as decisões de uma autoridade administrativa de um país terceiro que exijam que um prestador de serviços de tratamento de dados transfira ou dê acesso a dados não pessoais abrangidos pelo âmbito de aplicação do presente regulamento e detidos na União só podem ser reconhecidas ou executadas, seja de que forma for, se tiverem por base um acordo internacional, como um acordo de auxílio judiciário mútuo, em vigor entre o país terceiro requerente e a União ou entre o país terceiro requerente e um Estado-Membro.

3. Na ausência de um acordo internacional nos termos do n.o 2, caso um prestador de serviços de tratamento de dados seja o destinatário de uma decisão judicial ou sentença de um órgão jurisdicional de um país terceiro ou de uma decisão de uma autoridade administrativa de um país terceiro que exija a transferência ou o acesso a dados não pessoais abrangidos pelo âmbito de aplicação do presente regulamento e detidos na União, e o cumprimento dessa decisão seja suscetível de colocar o destinatário numa situação de conflito com o direito da União ou com o direito nacional do Estado-Membro em causa, a transferência dos dados em causa para essa autoridade de um país terceiro ou o acesso a esses dados pela mesma autoridade só pode ter lugar se:

a)	O sistema do país terceiro exigir que sejam expostos os motivos e a proporcionalidade dessa decisão judicial ou sentença e que essa decisão judicial ou sentença tenha um caráter específico, através, por exemplo, do estabelecimento de uma relação suficiente com determinados suspeitos ou infrações;

b)	A objeção fundamentada do destinatário estiver sujeita a reapreciação por um órgão jurisdicional competente de um país terceiro; e

O órgão jurisdicional competente do país terceiro que emite a decisão judicial ou sentença ou reaprecia a decisão de uma autoridade administrativa estiver habilitado, nos termos do direito desse país terceiro, a ter devidamente em conta os interesses jurídicos relevantes do fornecedor dos dados protegidos pelo direito da União ou pelo direito nacional do Estado-Membro em causa.

O destinatário da decisão ou sentença pode solicitar o parecer do organismo ou autoridade nacional competente em matéria de cooperação internacional em questões jurídicas, a fim de determinar se as condições previstas no primeiro parágrafo estão preenchidas, nomeadamente quando considerar que a decisão pode dizer respeito a segredos comerciais e outros dados comercialmente sensíveis, bem como a conteúdos protegidos por direitos de propriedade intelectual, ou que a transferência pode conduzir a uma reidentificação. O organismo ou autoridade nacional relevante pode consultar a Comissão. Se o destinatário considerar que a decisão ou sentença pode colidir com os interesses de segurança nacional ou com os interesses de defesa da União ou dos seus Estados-Membros, deve solicitar o parecer do organismo ou autoridade nacional relevante para determinar se os dados solicitados dizem respeito a interesses de segurança nacional ou a interesses de defesa da União ou dos seus Estados-Membros. Se o destinatário não tiver recebido desse organismo ou autoridade uma resposta no prazo de um mês, ou se o parecer desse organismo ou autoridades concluir que as condições previstas no primeiro parágrafo não estão preenchidas, o destinatário pode rejeitar o pedido de transferência ou de acesso a dados não pessoais por esses motivos.

O Comité Europeu da Inovação de Dados referido no artigo 42.o presta aconselhamento e assistência à Comissão na elaboração de diretrizes sobre a avaliação do cumprimento das condições previstas no primeiro parágrafo do presente número.

4. Se estiverem preenchidas as condições previstas nos n.os 2 ou 3, o prestador de serviços de tratamento de dados deve facultar a quantidade mínima de dados que seja admissível em resposta a um pedido, com base numa interpretação razoável desse pedido por parte do prestador ou do organismo ou autoridade nacional relevante a que se refere o n.o 3, segundo parágrafo.

5. O prestador de serviços de tratamento de dados deve informar o cliente da existência de um pedido de acesso aos seus dados apresentado por uma autoridade de um país terceiro antes de satisfazer esse pedido, exceto nos casos em que o pedido vise finalidades relativas à fiscalização e garantia do cumprimento da lei e enquanto tal for necessário para preservar a eficácia das atividades de fiscalização e garantia do cumprimento da lei.

CAPÍTULO VIII

INTEROPERABILIDADE

Artigo 35.

Interoperabilidade dos serviços de tratamento de dados

1. As especificações de interoperabilidade aberta e as normas harmonizadas de interoperabilidade dos serviços de tratamento de dados devem:

a)	Caso seja tecnicamente viável, alcançar a interoperabilidade entre os diferentes serviços de tratamento de dados que abranjam o mesmo tipo de serviço;

b)	Melhorar a portabilidade dos ativos digitais entre diferentes serviços de tratamento de dados que abranjam o mesmo tipo de serviço;

c)	Caso seja tecnicamente viável, facilitar a equivalência funcional entre os diferentes serviços de tratamento de dados a que se refere o artigo 30.o, n.o 1, que abranjam o mesmo tipo de serviço;

d)	Não afetar negativamente a segurança e a integridade dos serviços e tratamento de dados e dos dados;

e)	Ser concebidas de modo a permitir avanços técnicos e a inclusão de novas funções e inovação nos serviços de tratamento de dados.

2. As especificações de interoperabilidade aberta e as normas harmonizadas de interoperabilidade dos serviços de tratamento de dados devem abordar adequadamente:

a)	Os aspetos de interoperabilidade da computação em nuvem da interoperabilidade do transporte, da interoperabilidade sintática, da interoperabilidade semântica dos dados, da interoperabilidade comportamental e da interoperabilidade das políticas;

b)	Os aspetos de portabilidade dos dados em nuvem da portabilidade sintática dos dados, da portabilidade semântica dos dados e da portabilidade das políticas de dados;

c)	Os aspetos de aplicação em nuvem da portabilidade sintática das aplicações, da portabilidade das instruções das aplicações, da portabilidade dos metadados das aplicações, da portabilidade do comportamento das aplicações e da portabilidade das políticas de aplicação.

3. As especificações de interoperabilidade aberta devem cumprir o disposto no anexo II do Regulamento (UE) n.o 1025/2012.

4. Uma vez tidas em conta as normas e as iniciativas de autorregulação internacionais e europeias pertinentes, a Comissão pode, em conformidade com o artigo 10.o, n.o 1 do Regulamento (UE) n.o 1025/2012, solicitar a uma ou várias organizações europeias de normalização que elaborem normas harmonizadas que satisfaçam os requisitos essenciais previstos nos n.os 1 e 2 do presente artigo.

5. A Comissão pode, por meio de atos de execução, adotar especificações comuns com base em especificações de interoperabilidade aberta que abranjam todos os requisitos essenciais previstos nos n.os 1 e 2.

6. Ao elaborar o projeto de ato de execução a que se refere o n.o 5 do presente artigo, a Comissão tem em conta os pontos de vista das autoridades competentes relevantes a que se refere o artigo 37.o, n.o 5, alínea h), e de outros organismos ou grupos de peritos pertinentes, e consulta devidamente todas as partes interessadas pertinentes.

7. Caso um Estado-Membro considere que uma especificação comum não satisfaz totalmente os requisitos essenciais previstos nos n.os 1 e 2, informa a Comissão desse facto, apresentando uma explicação pormenorizada. A Comissão avalia essa explicação pormenorizada e pode, se for caso disso, alterar o ato de execução que estabelece a especificação comum em questão.

8. Para efeitos do artigo 30.o, n.o 3, a Comissão publica, por meio de atos de execução, as referências das normas harmonizadas e das especificações comuns de interoperabilidade dos serviços de tratamento de dados num repositório central da União de normas relativas à interoperabilidade dos serviços de tratamento de dados.

9. Os atos de execução referidos no presente artigo são adotados pelo procedimento de exame a que se refere o artigo 46.o, n.o 2.

Artigo 37.

Autoridades competentes e coordenadores de dados

1. Cada Estado-Membro designa uma ou mais autoridades competentes que serão responsáveis pela execução e pela fiscalização do cumprimento do presente regulamento (autoridades competentes). Os Estados-Membros podem criar uma ou várias novas autoridades ou recorrer às existentes.

2. Se um Estado-Membro designar mais do que uma autoridade competente, designa uma delas como coordenador de dados, a fim de facilitar a cooperação entre as autoridades competentes e de apoiar as entidades abrangidas pelo âmbito de aplicação do presente regulamento em todas as matérias relacionadas com a sua aplicação e com a fiscalização do seu cumprimento. As autoridades competentes devem cooperar entre si no exercício das funções e competências que lhes são conferidas nos termos do n.o 5.

3. As autoridades de controlo responsáveis pela fiscalização da aplicação do Regulamento (UE) 2016/679 são responsáveis pela fiscalização da aplicação do presente regulamento no que diz respeito à proteção dos dados pessoais. Os capítulos VI e VII do Regulamento (UE) 2016/679 são aplicáveis com as devidas adaptações.

A Autoridade Europeia para a Proteção de Dados é responsável pelo controlo da aplicação do presente regulamento na medida em que diga respeito à Comissão, ao Banco Central Europeu ou aos órgãos da União. Se pertinente, o artigo 62.o do Regulamento (UE) 2018/1725 é aplicável com as devidas adaptações.

As funções e as competências das autoridades de controlo referidas no presente parágrafo são exercidas no que diz respeito ao tratamento de dados pessoais.

4. Sem prejuízo do disposto no n.o 1 do presente artigo:

a)	No caso de questões específicas de acesso e utilização setoriais de dados relacionadas com a aplicação do presente regulamento, deve ser respeitada a competência das autoridades setoriais;

b)	A autoridade competente responsável pela execução e pela fiscalização e garantia do cumprimento do disposto nos artigos 23.o a 31.o e nos artigos 34.o e 35.odeve ter experiência no domínio dos dados e dos serviços de comunicações eletrónicas.

5. Os Estados-Membros devem assegurar que as funções e competências das autoridades competentes são claramente definidas e incluem:

a)	A promoção da literacia de dados e da sensibilização dos utilizadores e das entidades abrangidas pelo âmbito de aplicação do presente regulamento no que se refere aos direitos e às obrigações previstos no presente regulamento;

O tratamento das reclamações decorrentes de alegadas infrações ao presente regulamento, incluindo no que diz respeito a segredos comerciais, e a investigação, na medida do necessário, do conteúdo das reclamações, e prestação regular de informações aos seus autores, se pertinente nos termos da legislação nacional, sobre o andamento e o resultado das investigações num prazo razoável, em especial se for necessário realizar atividades de investigação ou de coordenação complementares com outras autoridades competentes;

c)	A realização de investigações em matérias relativas à execução do presente regulamento, nomeadamente com base em informações recebidas de outras autoridades competentes ou de outras autoridades públicas;

d)	A imposição de sanções financeiras efetivas, proporcionadas e dissuasivas, que podem incluir sanções periódicas e sanções com efeitos retroativos, ou a instauração de processos judiciais para a aplicação de coimas;

e)	O acompanhamento da evolução tecnológica e comercial pertinente para a disponibilização e a utilização dos dados;

A cooperação com as autoridades competentes de outros Estados-Membros, e, se for caso disso, com a Comissão ou o Comité Europeu da Inovação de Dados, a fim de assegurar a aplicação coerente e eficiente do presente regulamento, incluindo o intercâmbio de todas as informações pertinentes por via eletrónica, sem demora injustificada, incluindo no que diz respeito ao n.o 10 do presente artigo;

A cooperação com as autoridades competentes responsáveis pela execução de outros atos jurídicos nacionais ou da União, nomeadamente as autoridades competentes no domínio dos dados e dos serviços de comunicações eletrónicas, com a autoridade de controlo responsável pela fiscalização da aplicação do Regulamento (UE) 2016/679 ou com as autoridades setoriais, a fim de garantir que o presente regulamento é aplicado de uma forma coerente com outra legislação nacional e da União;

h)	A cooperação com todas as autoridades competentes, a fim de assegurar que as obrigações previstas nos artigos 23.o a 31.o e nos artigos 34.o e 35.o são aplicadas de forma coerente com outro direito da União e com a autorregulação aplicável aos prestadores de serviços de tratamento de dados;

i)	A garantia de que os encargos pela mudança de prestador de serviços de tratamento de dados são suprimidos, em conformidade com o artigo 29.o;

j)	A análise dos pedidos de dados feitos ao abrigo do capítulo V.

Caso seja designado, o coordenador de dados facilita a cooperação referida nas alíneas f), g) e h) do primeiro parágrafo e presta assistência às autoridades competentes, a pedido destas.

6. O coordenador de dados, nos casos em que uma autoridade competente tenha sido designada como tal, deve:

a)	Atuar como ponto de contacto único para todas as questões relacionadas com a aplicação do presente regulamento;

b)	Garantir a publicação em linha dos pedidos de disponibilização dos dados apresentados por organismos do setor público em caso de necessidade excecional ao abrigo do capítulo V, e promover a partilha voluntária de dados entre os organismos do setor público e os detentores dos dados;

c)	Informar anualmente a Comissão das recusas notificadas nos termos do artigo 4.o, n.os 2 e 8, e do artigo 5.o, n.o 11.

7. Os Estados-Membros devem notificar a Comissão dos nomes das autoridades competentes e das suas funções e competências e, se aplicável, do nome do coordenador de dados. A Comissão deve manter um registo público dessas autoridades.

8. No desempenho das suas funções e no exercício das suas competências em conformidade com o presente regulamento, as autoridades competentes devem ser imparciais e estar livres de qualquer influência externa, direta ou indireta, e não solicitar nem aceitar instruções relativas a casos individuais de qualquer outra autoridade pública ou de qualquer entidade privada.

9. Os Estados-Membros devem assegurar que as autoridades competentes dispõem dos recursos humanos e técnicos suficientes e dos conhecimentos especializados pertinentes para desempenhar adequadamente as suas funções em conformidade com o presente regulamento.

10. As entidades abrangidas pelo âmbito de aplicação do presente regulamento são da competência do Estado-Membro em que estão estabelecidas. Se a entidade estiver estabelecida em mais do que um Estado-Membro, considera-se que é da competência do Estado-Membro em que tem o seu estabelecimento principal, ou seja, aquele em que a entidade tem os serviços centrais ou sede social a partir dos quais são exercidas as principais funções financeiras e o controlo operacional.

11. As entidades abrangidas pelo âmbito de aplicação do presente regulamento que disponibilizem produtos conectados ou ofereçam serviços conexos na União e que não estejam estabelecidas na União designam um representante legal num dos Estados-Membros.

12. A fim de garantir o cumprimento do presente regulamento, toda e qualquer entidade abrangida pelo âmbito de aplicação do presente regulamento que disponibilize produtos conectados ou ofereça serviços conexos na União deve mandatar um representante legal para ser contactado pelas autoridades competentes, em complemento ou em substituição da referida entidade, no que diz respeito a todas as questões relacionadas com essa entidade. O referido representante legal deve cooperar com as autoridades competentes e demonstrar-lhes de forma exaustiva, mediante pedido, as medidas tomadas e as disposições adotadas pela entidade abrangida pelo âmbito de aplicação do presente regulamento que disponibiliza produtos conectados ou oferece serviços conexos na União para garantir o cumprimento do presente regulamento.

13. Considera-se que uma entidade abrangida pelo âmbito de aplicação do presente regulamento que disponibilize produtos conectados ou ofereça serviços na União está sob a competência do Estado-Membro em que está situado o seu representante legal. A designação de um representante legal por essa entidade é realizada sem prejuízo da sua responsabilidade e de eventuais ações judiciais que possam vir a ser intentadas contra a mesma. Até ao momento em que designe um representante legal nos termos do presente artigo, a entidade é da competência de todos os Estados-Membros, se aplicável, a fim de assegurar a aplicação e o cumprimento do presente regulamento. Toda e qualquer autoridade competente pode exercer a sua competência, nomeadamente através da imposição de sanções efetivas, proporcionadas e dissuasivas, desde que a entidade não esteja sujeita a procedimentos de execução nos termos do presente regulamento por outra autoridade competente a respeito dos mesmos factos.

14. As autoridades competentes têm competência para solicitar aos utilizadores, aos detentores dos dados ou aos destinatários dos dados, ou aos seus representantes legais, que sejam da competência do respetivo Estado-Membro, todas as informações necessárias para verificar o cumprimento do presente regulamento. Os pedidos de informações devem ser proporcionados em relação ao desempenho da função subjacente e devem ser fundamentados.

15. Caso uma autoridade competente de um Estado-Membro solicite assistência ou medidas de execução a uma autoridade competente de outro Estado-Membro, deve apresentar para o efeito um pedido fundamentado. Após receber o referido pedido, a autoridade competente deve fornecer uma resposta em que descreva pormenorizadamente as medidas tomadas ou previstas, sem demora injustificada.

16. As autoridades competentes devem respeitar o princípio da confidencialidade e do sigilo profissional e comercial e proteger os dados pessoais nos termos do direito da União ou do direito nacional. As informações trocadas no contexto de um pedido de assistência e facultadas nos termos do presente artigo só podem ser usadas relativamente ao assunto para o qual foram solicitadas.

Artigo 43.

bases de dados que contêm determinados dados

O direito sui generis previsto no artigo 7.o da Diretiva 96/9/CE não é aplicável se os dados forem obtidos ou gerados por um produto conectado ou serviço conexo abrangido pelo âmbito de aplicação do presente regulamento, nomeadamente no que respeita aos seus artigos 4.o e 5.o.

CAPÍTULO XI

DISPOSIÇÕES FINAIS

Artigo 44.

Outros atos jurídicos da União que regem os direitos e as obrigações em matéria de acesso e utilização de dados

1. Não são afetadas as obrigações específicas relativas à disponibilização de dados entre empresas, entre empresas e consumidores e, a título excecional, entre empresas e organismos públicos, constantes dos atos jurídicos da União que entraram em vigor em 11 de janeiro de 2024 ou antes dessa data, nem dos atos delegados ou de execução que se baseiam nos mesmos.

2. O presente regulamento não prejudica o direito da União que especifique requisitos adicionais, em função das necessidades de um setor, de um espaço europeu comum de dados ou de um domínio de interesse público, em especial no que diz respeito:

a)	Aos aspetos técnicos do acesso aos dados;

b)	Aos limites dos direitos dos detentores dos dados de acederem a determinados dados facultados pelos utilizadores ou de os utilizarem;

c)	Aos aspetos que vão além do acesso e da utilização dos dados.

3. O presente regulamento, com exceção do capítulo V, não prejudica o direito da União e o direito nacional que preveem o acesso aos dados e autorizam a utilização dos dados para fins de investigação científica.

Artigo 49.

Avaliação e revisão

1. Até 12 de setembro de 2028, a Comissão procede à avaliação do presente regulamento e apresenta um relatório com as suas principais conclusões ao Parlamento Europeu e ao Conselho, e ao Comité Económico e Social Europeu. Essa avaliação deve incidir, em especial, nos seguintes aspetos:

As situações a considerar como situações de necessidade excecional para efeitos do artigo 15.o do presente regulamento e da aplicação do capítulo V do presente regulamento na prática, em especial a experiência adquirida com a aplicação do Capítulo V do presente regulamento pelos organismos do setor público, pela Comissão, pelo Banco Central Europeu e por órgãos da União; o número e o resultado dos processos instaurados junto da autoridade competente nos termos do artigo 18.o, n.o 5, relativos à aplicação do capítulo V do presente regulamento, conforme comunicados pelas autoridades competentes; o impacto de outras obrigações previstas no direito da União ou no direito nacional para efeitos de cumprimento dos pedidos de acesso às informações; o impacto dos mecanismos de partilha voluntária de dados, como as postas em prática por organizações de altruísmo de dados reconhecidas ao abrigo do Regulamento (UE) 2022/868, no cumprimento dos objetivos do capítulo V do presente regulamento, e o papel dos dados pessoais no contexto do artigo 15.o do presente regulamento, incluindo a evolução das tecnologias de reforço da privacidade;

b)	O impacto do presente regulamento na utilização dos dados na economia, nomeadamente na inovação de dados, nas práticas de monetização dos dados e nos serviços de intermediação de dados, bem como na partilha de dados nos espaços comuns europeus de dados;

c)	A acessibilidade e a utilização de diferentes categorias e tipos de dados;

d)	A exclusão de determinadas categorias de empresas da qualidade de beneficiárias nos termos do artigo 5.o;

e)	A ausência de qualquer impacto nos direitos de propriedade intelectual;

O impacto nos segredos comerciais, nomeadamente na proteção contra a aquisição, utilização e divulgação ilícitas dos mesmos, bem como o impacto do mecanismo que permite ao detentor dos dados recusar o pedido do utilizador nos termos do artigo 4.o, n.o 8, e do artigo 5.o, n.o 11, tendo em conta, na medida do possível, qualquer revisão da Diretiva (UE) 2016/943;

g)	Se a lista de cláusulas contratuais abusivas a que se refere o artigo 13.o está atualizada à luz das novas práticas comerciais e do ritmo acelerado da inovação no mercado;

h)	Alterações das práticas contratuais dos prestadores de serviços de tratamento de dados e se tal resulta no cumprimento suficiente do artigo 25.o;

i)	A redução dos encargos impostos pelos prestadores de serviços de tratamento de dados devido ao processo de mudança, em consonância com a supressão gradual dos encargos decorrentes da mudança nos termos do artigo 29.o;

j)	A interação do presente regulamento com outros atos jurídicos da União pertinentes para a economia dos dados;

k)	A prevenção do acesso governamental ilícito a dados não pessoais;

l)	A eficácia do regime de fiscalização do cumprimento exigido nos termos do artigo 37.o;

m)	O impacto do presente regulamento nas PME no que respeita à sua capacidade de inovação e à disponibilidade de serviços de processamento de dados para utilizadores na União e ao encargo relacionado com o cumprimento de novas obrigações.

2. Até 12 de setembro de 2028, a Comissão procede à avaliação do presente regulamento e apresenta um relatório com as suas principais conclusões ao Parlamento Europeu e ao Conselho, bem como ao Comité Económico e Social Europeu. Essa avaliação deve analisar o impacto dos artigos 23.o a 31.o e dos artigos 34.o e 35.o, nomeadamente no que diz respeito à fixação de preços e à diversidade dos serviços de tratamento de dados oferecidos na União, com especial destaque para os prestadores de serviços que são PME.

3. Os Estados-Membros transmitem à Comissão as informações necessárias para a elaboração dos relatórios referidos nos n.os 1 e 2.

4. Com base nos relatórios referidos nos n.os 1 e 2, a Comissão pode, se for caso disso, apresentar uma proposta legislativa ao Parlamento Europeu e ao Conselho para alteração do presente regulamento.

Artigo 50.

Entrada em vigor e aplicação

O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

É aplicável a partir de 12 de setembro de 2025.

A obrigação decorrente do artigo 3.o, n.o 1, é aplicável aos produtos conectados e serviços com eles relacionados colocados no mercado após 12 de setembro de 2026.

O capítulo III é aplicável às obrigações de disponibilização de dados nos termos de disposições do direito da União ou da legislação nacional adotada em conformidade com o direito da União que entrem em vigor após 12 de setembro de 2025.

O capítulo IV é aplicável aos contratos celebrados após 12 de setembro de 2025.

O capítulo IV é aplicável a partir de 12 de setembro de 2027 aos contratos celebrados em 12 de setembro de 2025, ou antes dessa data, desde que:

a)	Sejam de duração indeterminada; ou

b)	Expirem pelo menos 10 anos a contar de 11 de janeiro de 2024.

O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.

Feito em Estrasburgo, em 13 de dezembro de 2023.

Pelo Parlamento Europeu

A Presidente

R. METSOLA

Pelo Conselho

O Presidente

P. NAVARRO RÍOS

(1) JO C 402 de 19.10.2022, p. 5.

(2) JO C 365 de 23.9.2022, p. 18.

(3) JO C 375 de 30.9.2022, p. 112.

(4) Posição do Parlamento Europeu de 9 de novembro de 2023 (ainda não publicada no Jornal Oficial) e decisão do Conselho de 27 de novembro de 2023.

(5) Recomendação 2003/361/CE da Comissão, de 6 de maio de 2003, relativa à definição de micro, pequenas e médias empresas (JO L 124 de 20.5.2003, p. 36).

(6) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).

(7) Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (JO L 295 de 21.11.2018, p. 39).

(8) Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO L 201 de 31.7.2002, p. 37).

(9) Diretiva 93/13/CEE do Conselho, de 5 de abril de 1993, relativa às cláusulas abusivas nos contratos celebrados com os consumidores (JO L 95 de 21.4.1993, p. 29).

(10) Diretiva 2005/29/CE do Parlamento Europeu e do Conselho, de 11 de maio de 2005, relativa às práticas comerciais desleais das empresas face aos consumidores no mercado interno e que altera a Diretiva 84/450/CEE do Conselho, as Diretivas 97/7/CE, 98/27/CE e 2002/65/CE do Parlamento Europeu e do Conselho e o Regulamento (CE) n.o 2006/2004 do Parlamento Europeu e do Conselho («diretiva relativa às práticas comerciais desleais») (JO L 149 de 11.6.2005, p. 22).

(11) Diretiva 2011/83/UE do Parlamento Europeu e do Conselho, de 25 de outubro de 2011, relativa aos direitos dos consumidores, que altera a Diretiva 93/13/CEE do Conselho e a Diretiva 1999/44/CE do Parlamento Europeu e do Conselho e que revoga a Diretiva 85/577/CEE do Conselho e a Diretiva 97/7/CE do Parlamento Europeu e do Conselho (JO L 304 de 22.11.2011, p. 64).

(12) Regulamento (UE) 2021/784 do Parlamento Europeu e do Conselho, de 29 de abril de 2021, relativo ao combate à difusão de conteúdos terroristas em linha (JO L 172 de 17.5.2021, p. 79).

(13) Regulamento (UE) 2022/2065 do Parlamento Europeu e do Conselho, de 19 de outubro de 2022, relativo a um mercado único para os serviços digitais e que altera a Diretiva 2000/31/CE (Regulamento dos Serviços Digitais) (JO L 277 de 27.10.2022, p. 1).

(14) Regulamento (UE) 2023/1543 do Parlamento Europeu e do Conselho, de 12 de julho de 2023, relativo às ordens europeias de produção e às ordens europeias de conservação para efeitos de prova eletrónica em processos penais e para efeitos de execução de penas privativas de liberdade na sequência de processos penais (JO L 191 de 28.7.2023, p. 118).

(15) Diretiva (UE) 2023/1544 do Parlamento Europeu e do Conselho, de 12 de julho de 2023, que estabelece normas harmonizadas aplicáveis à designação de estabelecimento designado e à nomeação de representantes legais para efeitos de recolha de provas eletrónicas em processos penais (JO L 191 de 28.7.2023, p. 181).

(16) Regulamento (UE) 2015/847 do Parlamento Europeu e do Conselho, de 20 de maio de 2015, relativo às informações que acompanham as transferências de fundos e que revoga o Regulamento (CE) n.o 1781/2006 (JO L 141 de 5.6.2015, p. 1).

(17) Diretiva (UE) 2015/849 do Parlamento Europeu e do Conselho, de 20 de maio de 2015, relativa à prevenção da utilização do sistema financeiro para efeitos de branqueamento de capitais ou de financiamento do terrorismo, que altera o Regulamento (UE) n.o 648/2012 do Parlamento Europeu e do Conselho, e que revoga a Diretiva 2005/60/CE do Parlamento Europeu e do Conselho e a Diretiva 2006/70/CE da Comissão (JO L 141 de 5.6.2015, p. 73).

(18) Diretiva (UE) 2019/882 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativa aos requisitos de acessibilidade dos produtos e serviços (JO L 151 de 7.6.2019, p. 70).

(19) Diretiva 2001/29/CE do Parlamento Europeu e do Conselho, de 22 de maio de 2001, relativa à harmonização de certos aspetos do direito de autor e dos direitos conexos na sociedade da informação (JO L 167 de 22.6.2001, p. 10).

(20) Diretiva 2004/48/CE do Parlamento Europeu e do Conselho, de 29 de abril de 2004, relativa ao respeito dos direitos de propriedade intelectual (JO L 157 de 30.4.2004, p. 45).

(21) Diretiva (UE) 2019/790 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativa aos direitos de autor e direitos conexos no mercado único digital e que altera as Diretivas 96/9/CE e 2001/29/CE (JO L 130 de 17.5.2019, p. 92).

(22) Regulamento (UE) 2022/868 do Parlamento Europeu e do Conselho, de 30 de maio de 2022, relativo à governação europeia de dados e que altera o Regulamento (UE) 2018/1724 (Regulamento Governação de Dados) (JO L 152 de 3.6.2022, p. 1).

(23) Diretiva (UE) 2016/943 do Parlamento Europeu e do Conselho, de 8 de junho de 2016, relativa à proteção de know-how e de informações comerciais confidenciais (segredos comerciais) contra a sua aquisição, utilização e divulgação ilegais (JO L 157 de 15.6.2016, p. 1).

(24) Diretiva 98/6/CE do Parlamento Europeu e do Conselho, de 16 de fevereiro de 1998, relativa à defesa dos consumidores em matéria de indicações dos preços dos produtos oferecidos aos consumidores (JO L 80 de 18.3.1998, p. 27).

(25) Diretiva 2000/31/CE do Parlamento Europeu e do Conselho, de 8 de junho de 2000, relativa a certos aspetos legais dos serviços da sociedade da informação, em especial do comércio eletrónico, no mercado interno (Diretiva sobre o comércio eletrónico) (JO L 178 de 17.7.2000, p. 1).

(26) Regulamento (UE) 2022/1925 do Parlamento Europeu e do Conselho, de 14 de setembro de 2022, relativo à disputabilidade e equidade dos mercados no setor digital e que altera as Diretivas (UE) 2019/1937 e (UE) 2020/1828 (Regulamento dos Mercados Digitais) (JO L 265 de 12.10.2022, p. 1).

(27) Regulamento (CE) n.o 223/2009 do Parlamento Europeu e do Conselho, de 11 de março de 2009, relativo às Estatísticas Europeias e que revoga o Regulamento (CE, Euratom) n.o 1101/2008 relativo à transmissão de informações abrangidas pelo segredo estatístico ao Serviço de Estatística das Comunidades Europeias, o Regulamento (CE) n.o 322/97 do Conselho relativo às estatísticas comunitárias e a Decisão 89/382/CEE, Euratom do Conselho que cria o Comité do Programa Estatístico das Comunidades Europeias (JO L 87 de 31.3.2009, p. 164).

(28) Diretiva (UE) 2019/1024 do Parlamento Europeu e do Conselho, de 20 de junho de 2019, relativa aos dados abertos e à reutilização de informações do setor público (JO L 172 de 26.6.2019, p. 56).

(29) Diretiva 96/9/CE do Parlamento Europeu e do Conselho, de 11 de março de 1996, relativa à proteção jurídica das bases de dados (JO L 77 de 27.3.1996, p. 20).

(30) Regulamento (UE) 2018/1807 do Parlamento Europeu e do Conselho, de 14 de novembro de 2018, relativo a um regime para o livre fluxo de dados não pessoais na União Europeia (JO L 303 de 28.11.2018, p. 59).

(31) Diretiva (UE) 2019/770 do Parlamento Europeu e do Conselho, de 20 de maio de 2019, sobre certos aspetos relativos aos contratos de fornecimento de conteúdos e serviços digitais (JO L 136 de 22.5.2019, p. 1).

(32) Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativo à resiliência operacional digital do setor financeiro e que altera os Regulamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 e (UE) 2016/1011 (JO L 333 de 27.12.2022, p. 1).

(33) Regulamento (UE) n.o 1025/2012 do Parlamento Europeu e do Conselho, de 25 de outubro de 2012, relativo à normalização europeia, que altera as Diretivas 89/686/CEE e 93/15/CEE do Conselho e as Diretivas 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE e 2009/105/CE do Parlamento Europeu e do Conselho e revoga a Decisão 87/95/CEE do Conselho e a Decisão n.o 1673/2006/CE do Parlamento Europeu e do Conselho (JO L 316 de 14.11.2012, p. 12).

(34) Regulamento (CE) n.o 765/2008 do Parlamento Europeu e do Conselho, de 9 de julho de 2008, que estabelece os requisitos de acreditação e fiscalização do mercado relativos à comercialização de produtos, e que revoga o Regulamento (CEE) n.o 339/93 (JO L 218 de 13.8.2008, p. 30).

(35) Decisão n.o 768/2008/CE do Parlamento Europeu e do Conselho, de 9 de julho de 2008, relativa a um quadro comum para a comercialização de produtos, e que revoga a Decisão 93/465/CEE (JO L 218 de 13.8.2008, p. 82).

(36) Regulamento (UE) 2017/2394 do Parlamento Europeu e do Conselho, de 12 de dezembro de 2017, relativo à cooperação entre as autoridades nacionais responsáveis pela aplicação da legislação de proteção dos consumidores e que revoga o Regulamento (CE) n.o 2006/2004 (JO L 345 de 27.12.2017, p. 1).

(37) Diretiva (UE) 2020/1828 do Parlamento Europeu e do Conselho, de 25 de novembro de 2020, relativa a ações coletivas para proteção dos interesses coletivos dos consumidores e que revoga a Diretiva 2009/22/CE (JO L 409 de 4.12.2020, p. 1).

(38) JO L 123 de 12.5.2016, p. 1.

(39) Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão (JO L 55 de 28.2.2011, p. 13).

ELI: http://data.europa.eu/eli/reg/2023/2854/oj

ISSN 1977-0774 (electronic edition)

whereas

keyboard_tab Data Act 2023/2854 PT

Data Act 2023/2854 PT