Data Act 2023/2854 PT

BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf

2023/2854 PT cercato: 'dessas' . Output generated live by software developed by IusOnDemand srl

expand index dessas:

1 Artigo 2.o Definições

2 Artigo 13.o Cláusulas contratuais abusivas impostas unilateralmente a outra empresa

1 Artigo 37. Autoridades competentes e coordenadores de dados

2 Artigo 40. Sanções

whereas dessas:

definitions:

cloud tag:

and the number of total unique words without stopwords is: 986

Artigo 2.o

Definições

Para efeitos do presente regulamento, entende-se por:

1)	«Dados», qualquer representação digital de atos, factos ou informações e qualquer compilação desses atos, factos ou informações, incluindo sob a forma de gravação sonora, visual ou audiovisual;

2)	«Metadados», uma descrição estruturada do conteúdo ou da utilização dos dados, que facilita a pesquisa ou a utilização desses dados;

3)	«Dados pessoais», dados pessoais na aceção do artigo 4.o, ponto 1, do Regulamento (UE) 2016/679;

4)	«Dados não pessoais», dados que não sejam dados pessoais;

«Produto conectado», um bem que obtém, gera ou recolhe dados relativos à sua utilização ou ao seu ambiente e que é capaz de comunicar dados relativos a um produto através de um serviço de comunicações eletrónicas, de uma conexão física ou do acesso no dispositivo, e cuja função principal não consiste na conservação, no tratamento ou na transmissão de dados em nome de quaisquer partes que não sejam o utilizador;

«Serviço conexo», um serviço digital, que não seja um serviço de comunicações eletrónicas, incluindo software, conectado ao produto no momento da aquisição ou locação de tal modo que a sua ausência impediria que o produto conectado desempenhasse uma ou mais das suas funções, ou conectado posteriormente ao produto pelo fabricante ou por terceiros, a fim de aumentar, atualizar ou adaptar as funções do produto conectado;

«Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados ou conjuntos de dados, através de procedimentos automatizados ou não automatizados, como por exemplo a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, a difusão ou quaisquer outros meios de disponibilização dos mesmos, o alinhamento ou a combinação, a limitação, o apagamento ou a destruição;

«Serviço de tratamento de dados», um serviço digital que é prestado a um cliente e que permite um acesso em rede, ubíquo e a pedido, a um conjunto partilhado de recursos de computação configuráveis, moduláveis e adaptáveis, de natureza centralizada, distribuída ou altamente distribuída, que é suscetível de ser rapidamente disponibilizado e libertado com um nível mínimo de esforço de gestão ou de interação com o prestador do serviço;

9)	«Mesmo tipo de serviço», um conjunto de serviços de tratamento de dados que partilham o mesmo objetivo principal, o mesmo modelo de serviço de tratamento de dados e as principais funcionalidades;

10)	«Serviço de intermediação de dados», um serviço de intermediação de dados na aceção do artigo 2.o, ponto 11, do Regulamento (UE) 2022/868;

11)	«Titular dos dados», o titular dos dados a que se refere o artigo 4.o, ponto 1, do Regulamento (UE) 2016/679;

12)	«Utilizador», uma pessoa singular ou coletiva que é proprietária de um produto conectado ou para quem foram transferidos, com base num contrato, direitos temporários à utilização desse produto conectado, ou que recebe serviços conexos;

13)

«Detentor dos dados», uma pessoa singular ou coletiva que tem o direito ou a obrigação, nos termos do presente regulamento, do direito aplicável da União ou da legislação nacional adotada em conformidade com o direito da União, de utilizar e de disponibilizar determinados dados, nomeadamente, caso tal tenha sido acordado contratualmente, dados relativos a um produto ou dados relativos a um serviço conexo que tenha recuperado ou gerado durante a prestação de um serviço conexo;

14)

«Destinatário dos dados», uma pessoa singular ou coletiva que age para fins relacionados com a sua atividade comercial, ofício ou profissão, que não seja o utilizador de um produto conectado ou serviço conexo, à qual o detentor dos dados disponibiliza os dados, incluindo um terceiro na sequência de um pedido do utilizador ao detentor dos dados ou em conformidade com uma obrigação jurídica ao abrigo do direito da União ou da legislação nacional adotada em conformidade com o direito da União;

15)

«Dados relativos a um produto», dados gerados pela utilização de um produto conectado concebido pelo fabricante para que os mesmos sejam recuperáveis através de um serviço de comunicações eletrónicas, de uma conexão física ou do acesso no dispositivo, por parte de um utilizador, de um detentor dos dados ou de terceiros, incluindo, se for caso disso, o fabricante;

16)

«Dados relativos a um serviço conexo», dados que representam a digitalização das ações do utilizador ou dos eventos relacionados com o produto conectado, registados intencionalmente pelo utilizador ou gerados como subproduto da ação do utilizador durante a prestação de um serviço conexo pelo prestador de serviços;

17)

«Dados prontamente disponíveis», dados relativos a um produto e dados relativos a um serviço conexo legalmente obtidos por um detentor dos dados ou suscetíveis de por ele serem legalmente obtidos a partir do produto conectado ou serviço conexo, sem um esforço desproporcionado que vá para além de uma operação simples;

18)	«Segredo comercial», um segredo comercial na aceção do artigo 2.o, ponto 1, da Diretiva (UE) 2016/943;

19)	«Titular do segredo comercial», um titular do segredo comercial na aceção do artigo 2.o, ponto 2, da Diretiva (UE) 2016/943;

20)	«Definição de perfis», a definição de perfis na aceção do artigo 4.o, n.o 4, do Regulamento (UE) 2016/679;

21)	«Disponibilização no mercado», o fornecimento de um produto conectado para distribuição, consumo ou utilização no mercado da União no âmbito de uma atividade comercial, a título oneroso ou gratuito;

22)	«Colocação no mercado», a primeira disponibilização de um produto conectado no mercado da União;

23)	«Consumidor», qualquer pessoa singular que atue com fins que não se incluam no âmbito da sua atividade comercial, ofício ou profissão;

24)	«Empresa», uma pessoa singular ou coletiva que, no que respeita às práticas e aos contratos abrangidos pelo presente regulamento, age para fins relacionados com a sua atividade comercial, ofício ou profissão;

25)	«Pequena empresa», uma pequena empresa na aceção do artigo 2.o, n.o 2, do anexo da Recomendação 2003/361/CE;

26)	«Microempresa», uma microempresa na aceção do artigo 2.o, n.o 3, do anexo da Recomendação 2003/361/CE;

27)	«Órgãos da União», os órgãos e organismos da União estabelecidos através de atos legislativos adotados com base no Tratado sobre a União Europeia, no TFUE ou no Tratado que institui a Comunidade Europeia da Energia Atómica ou ao abrigo daqueles atos legislativos;

28)	«Organismo do setor público», as autoridades nacionais, regionais ou locais dos Estados-Membros e os organismos de direito público dos Estados-Membros, ou as associações formadas por uma ou várias dessas autoridades ou por um ou vários desses organismos;

29)

«Emergência pública», uma situação excecional, limitada no tempo, como uma emergência de saúde pública, uma emergência resultante de catástrofes naturais ou uma catástrofe de grandes proporções de origem humana, incluindo incidentes importantes em matéria de cibersegurança, que afeta negativamente a população da União ou que afeta um Estado-Membro ou parte dele, com o risco de repercussões graves e duradouras nas condições de vida, na estabilidade económica ou na estabilidade financeira, ou com o risco de degradação significativa e imediata dos ativos económicos da União ou dos Estados-Membros em causa, e que é determinada ou oficialmente declarada de acordo com os procedimentos previstos no direito da União ou nacional;

30)	«Cliente», uma pessoa singular ou coletiva que tenha estabelecido uma relação contratual com um prestador de serviços de tratamento de dados com o objetivo de utilizar um ou mais serviços de tratamento de dados;

31)	«Assistentes virtuais», software com capacidade para tratar pedidos, funções ou perguntas, nomeadamente os que se baseiam em sons, textos, gestos ou movimentos, e que, com base nesses pedidos, funções ou perguntas, proporciona acesso a outros serviços ou controla as funções de produtos conectados;

32)	«Ativos digitais», elementos em formato digital, incluindo aplicações, para os quais o cliente tem o direito de utilização, independentemente da relação contratual estabelecida com o serviço de tratamento de dados do qual o cliente se pretende mudar;

33)	«Infraestrutura informática local», uma infraestrutura de tecnologias de informação e comunicação e recursos de computação de que o cliente é proprietário ou locatário localizados no centro de dados do próprio cliente e operados pelo cliente ou por um terceiro;

34)

«Mudança», o processo que envolve um prestador de serviços de tratamento de dados de origem, um cliente de um serviço de tratamento de dados e, se for o caso, um prestador de serviços de tratamento de dados de destino, pelo qual o cliente de um serviço de tratamento de dados passa da utilização de um serviço de tratamento de dados para a utilização de outro serviço de tratamento de dados do mesmo tipo de serviço, ou de outro serviço, disponibilizado por um prestador de serviços de tratamento de dados diferente, ou de uma infraestrutura informática local, nomeadamente através da extração, da transformação e do carregamento dos dados;

35)

«Encargos decorrentes da saída de dados», as comissões de transferência de dados cobradas aos clientes pela extração dos seus dados, através da rede, da infraestrutura informática de um prestador de serviços de tratamento de dados para os sistemas de um prestador diferente ou para infraestruturas informáticas locais;

36)

«Encargos decorrentes da mudança», encargos, que não as comissões habituais cobradas pelo serviço ou penalizações por rescisão antecipada de contrato, impostos por um prestador de serviços de tratamento de dados a um cliente pelas ações exigidas pelo presente regulamento para a mudança para os sistemas de um prestador diferente ou para infraestruturas informáticas locais, incluindo encargos decorrentes da saída de dados;

37)

«Equivalência funcional», o restabelecimento, com base nos dados exportáveis e nos ativos digitais do cliente, de um nível mínimo de funcionalidade no ambiente de um novo serviço de tratamento de dados do mesmo tipo de serviço após o processo de mudança, em que o serviço de tratamento de dados de destino produz um resultado materialmente comparável em resposta à mesma entrada de características partilhadas fornecida ao cliente ao abrigo do contrato;

38)

«Dados exportáveis», para efeitos dos artigos 23.o a 31.o e do artigo 35.o, os dados de entrada e saída, incluindo metadados, direta ou indiretamente gerados ou cogerados pela utilização, pelo cliente, do serviço de tratamento de dados, excluindo quaisquer ativos ou dados protegidos por direitos de propriedade intelectual, ou que constituam um segredo comercial, de prestadores do serviço de tratamento de dados ou de terceiros;

39)	«Contrato inteligente», um programa de computador utilizado para a execução automática de um acordo ou de parte dele, utilizando uma sequência de registos eletrónicos de dados e garantindo a sua integridade e a exatidão do seu ordenamento cronológico;

40)	«Interoperabilidade», a capacidade de dois ou mais espaços de dados ou redes de comunicações, sistemas, produtos conectados, aplicações, serviços de tratamento de dados ou componentes procederem ao intercâmbio de dados e os utilizarem, de modo a desempenharem as suas funções;

41)	«Especificações de interoperabilidade aberta», as especificações técnicas no domínio informático, que são orientadas para a concretização da interoperabilidade entre serviços de tratamento de dados;

42)	«Especificações comuns», um documento, que não uma norma, que contém soluções técnicas que proporcionam um meio para cumprir certos requisitos e obrigações estabelecidas no presente regulamento;

43)	«Norma harmonizada», uma norma harmonizada na aceção do artigo 2.o, ponto 1, alínea c), do Regulamento (UE) n.o 1025/2012.

CAPÍTULO II

PARTILHA DE DADOS ENTRE EMPRESAS E CONSUMIDORES E ENTRE EMPRESAS

Artigo 13.o

Cláusulas contratuais abusivas impostas unilateralmente a outra empresa

1. Uma cláusula contratual relativa ao acesso aos dados e à sua utilização, ou à responsabilidade e às vias de recurso pela violação ou cessação de obrigações relacionadas com os dados, que tenha sido imposta unilateralmente por uma empresa a outra empresa não é vinculativa para esta última, caso seja abusiva.

2. Não é considerada abusiva uma cláusula contratual que reflita disposições imperativas do direito da União ou disposições do direito da União que seriam aplicáveis se as cláusulas contratuais não regulassem a matéria.

3. Uma cláusula contratual é abusiva se for de tal natureza que a sua utilização se desvie manifestamente das boas práticas comerciais em matéria de acesso e utilização de dados, ou se for contrária à boa-fé e às práticas comerciais leais.

4. Em especial, para efeitos do n.o 3, uma cláusula contratual é abusiva se tiver por objeto ou efeito:

a)	Excluir ou limitar a responsabilidade por atos intencionais ou negligência grosseira da parte que impôs unilateralmente a cláusula;

b)	Excluir as vias de recurso à disposição da parte à qual a cláusula foi imposta unilateralmente em caso de incumprimento de obrigações contratuais, ou a responsabilidade da parte que impôs unilateralmente a cláusula em caso de violação dessas obrigações;

c)	Conferir à parte que impôs unilateralmente a cláusula o direito exclusivo de determinar se os dados facultados estão em conformidade com o contrato ou de interpretar qualquer cláusula contratual.

5. Para efeitos do n.o 3, uma cláusula contratual presume-se abusiva se tiver por objeto ou efeito:

a)	Limitar de forma inadequada as vias de recurso em caso de incumprimento das obrigações contratuais ou a responsabilidade em caso de violação dessas obrigações, ou alargar a responsabilidade da empresa à qual a cláusula foi unilateralmente imposta;

Permitir que a parte que impôs unilateralmente a cláusula aceda aos dados da outra parte contratante e os utilize de uma forma que prejudique significativamente os interesses legítimos desta última, em particular quando tais dados contenham dados comercialmente sensíveis ou estejam protegidos por segredos comerciais ou por direitos de propriedade intelectual;

Impedir a parte à qual a cláusula foi imposta unilateralmente de utilizar os dados facultados ou gerados por essa parte durante a vigência do contrato, ou limitar a utilização desses dados na medida em que essa parte não tenha o direito de os utilizar, de os recolher, de lhes aceder ou de os controlar, ou de explorar o valor dos mesmos de forma adequada;

d)	Impedir a parte à qual a cláusula foi imposta unilateralmente de rescindir o contrato num prazo razoável;

e)	Impedir a parte à qual a cláusula foi imposta unilateralmente de obter uma cópia dos dados facultados ou gerados por essa parte durante a vigência do contrato ou num prazo razoável após a rescisão do mesmo;

Permitir que a parte que impôs unilateralmente a cláusula rescinda o contrato com um pré-aviso injustificadamente curto, tendo em conta a eventual possibilidade razoável da outra parte contratante de mudar para um serviço alternativo e comparável, bem como o prejuízo financeiro causado por essa rescisão, exceto quando existam motivos sérios para o fazer;

Permitir que a parte que impôs unilateralmente a cláusula altere substancialmente o preço estipulado no contrato ou qualquer outra condição material relacionada com a natureza, o formato, a qualidade ou a quantidade dos dados a partilhar caso não estejam estipulados no contrato uma razão válida para essa alteração nem o direito da outra parte de rescindir o contrato em caso de tal alteração.

A alínea g) do primeiro parágrafo não afeta as cláusulas nos termos das quais a parte que impôs unilateralmente a cláusula se reserva o direito de alterar unilateralmente as cláusulas de um contrato de duração indeterminada, desde que exista uma razão válida estipulada nesse contrato para essa alteração unilateral, que a parte que impôs unilateralmente a cláusula seja obrigada a informar a outra parte contratante com antecedência razoável relativamente a essa alteração pretendida e que a outra parte contratante seja livre de rescindir o contrato sem custos em caso de alteração.

6. Considera-se que uma cláusula contratual é imposta unilateralmente, na aceção do presente artigo, se tiver sido facultada por uma parte contratante e a outra parte contratante não tiver podido influenciar o seu teor, apesar de ter tentado negociá-la. Recai sobre a parte contratante que facultou a cláusula contratual o ónus da prova de que essa cláusula não foi imposta unilateralmente. A parte contratante que propôs a cláusula contratual contestada não pode alegar que esta é uma cláusula contratual abusiva.

7. Caso a cláusula contratual abusiva seja dissociável das restantes cláusulas, estas últimas são vinculativas.

8. O presente artigo não é aplicável às cláusulas contratuais que definem o objeto principal do contrato nem à adequação do preço aos dados fornecidos em troca.

9. As partes num contrato a que se aplique o n.o 1 não podem excluir a aplicação do presente artigo, derrogá-lo, nem alterar os seus efeitos.

CAPÍTULO V

DISPONIBILIZAÇÃO DE DADOS AOS ORGANISMOS DO SETOR PÚBLICO, À COMISSÃO, AO BANCO CENTRAL EUROPEU E AOS ÓRGÃOS DA UNIÃO COM BASE EM NECESSIDADES EXCECIONAIS

Artigo 37.

Autoridades competentes e coordenadores de dados

1. Cada Estado-Membro designa uma ou mais autoridades competentes que serão responsáveis pela execução e pela fiscalização do cumprimento do presente regulamento (autoridades competentes). Os Estados-Membros podem criar uma ou várias novas autoridades ou recorrer às existentes.

2. Se um Estado-Membro designar mais do que uma autoridade competente, designa uma delas como coordenador de dados, a fim de facilitar a cooperação entre as autoridades competentes e de apoiar as entidades abrangidas pelo âmbito de aplicação do presente regulamento em todas as matérias relacionadas com a sua aplicação e com a fiscalização do seu cumprimento. As autoridades competentes devem cooperar entre si no exercício das funções e competências que lhes são conferidas nos termos do n.o 5.

3. As autoridades de controlo responsáveis pela fiscalização da aplicação do Regulamento (UE) 2016/679 são responsáveis pela fiscalização da aplicação do presente regulamento no que diz respeito à proteção dos dados pessoais. Os capítulos VI e VII do Regulamento (UE) 2016/679 são aplicáveis com as devidas adaptações.

A Autoridade Europeia para a Proteção de Dados é responsável pelo controlo da aplicação do presente regulamento na medida em que diga respeito à Comissão, ao Banco Central Europeu ou aos órgãos da União. Se pertinente, o artigo 62.o do Regulamento (UE) 2018/1725 é aplicável com as devidas adaptações.

As funções e as competências das autoridades de controlo referidas no presente parágrafo são exercidas no que diz respeito ao tratamento de dados pessoais.

4. Sem prejuízo do disposto no n.o 1 do presente artigo:

a)	No caso de questões específicas de acesso e utilização setoriais de dados relacionadas com a aplicação do presente regulamento, deve ser respeitada a competência das autoridades setoriais;

b)	A autoridade competente responsável pela execução e pela fiscalização e garantia do cumprimento do disposto nos artigos 23.o a 31.o e nos artigos 34.o e 35.odeve ter experiência no domínio dos dados e dos serviços de comunicações eletrónicas.

5. Os Estados-Membros devem assegurar que as funções e competências das autoridades competentes são claramente definidas e incluem:

a)	A promoção da literacia de dados e da sensibilização dos utilizadores e das entidades abrangidas pelo âmbito de aplicação do presente regulamento no que se refere aos direitos e às obrigações previstos no presente regulamento;

O tratamento das reclamações decorrentes de alegadas infrações ao presente regulamento, incluindo no que diz respeito a segredos comerciais, e a investigação, na medida do necessário, do conteúdo das reclamações, e prestação regular de informações aos seus autores, se pertinente nos termos da legislação nacional, sobre o andamento e o resultado das investigações num prazo razoável, em especial se for necessário realizar atividades de investigação ou de coordenação complementares com outras autoridades competentes;

c)	A realização de investigações em matérias relativas à execução do presente regulamento, nomeadamente com base em informações recebidas de outras autoridades competentes ou de outras autoridades públicas;

d)	A imposição de sanções financeiras efetivas, proporcionadas e dissuasivas, que podem incluir sanções periódicas e sanções com efeitos retroativos, ou a instauração de processos judiciais para a aplicação de coimas;

e)	O acompanhamento da evolução tecnológica e comercial pertinente para a disponibilização e a utilização dos dados;

A cooperação com as autoridades competentes de outros Estados-Membros, e, se for caso disso, com a Comissão ou o Comité Europeu da Inovação de Dados, a fim de assegurar a aplicação coerente e eficiente do presente regulamento, incluindo o intercâmbio de todas as informações pertinentes por via eletrónica, sem demora injustificada, incluindo no que diz respeito ao n.o 10 do presente artigo;

A cooperação com as autoridades competentes responsáveis pela execução de outros atos jurídicos nacionais ou da União, nomeadamente as autoridades competentes no domínio dos dados e dos serviços de comunicações eletrónicas, com a autoridade de controlo responsável pela fiscalização da aplicação do Regulamento (UE) 2016/679 ou com as autoridades setoriais, a fim de garantir que o presente regulamento é aplicado de uma forma coerente com outra legislação nacional e da União;

h)	A cooperação com todas as autoridades competentes, a fim de assegurar que as obrigações previstas nos artigos 23.o a 31.o e nos artigos 34.o e 35.o são aplicadas de forma coerente com outro direito da União e com a autorregulação aplicável aos prestadores de serviços de tratamento de dados;

i)	A garantia de que os encargos pela mudança de prestador de serviços de tratamento de dados são suprimidos, em conformidade com o artigo 29.o;

j)	A análise dos pedidos de dados feitos ao abrigo do capítulo V.

Caso seja designado, o coordenador de dados facilita a cooperação referida nas alíneas f), g) e h) do primeiro parágrafo e presta assistência às autoridades competentes, a pedido destas.

6. O coordenador de dados, nos casos em que uma autoridade competente tenha sido designada como tal, deve:

a)	Atuar como ponto de contacto único para todas as questões relacionadas com a aplicação do presente regulamento;

b)	Garantir a publicação em linha dos pedidos de disponibilização dos dados apresentados por organismos do setor público em caso de necessidade excecional ao abrigo do capítulo V, e promover a partilha voluntária de dados entre os organismos do setor público e os detentores dos dados;

c)	Informar anualmente a Comissão das recusas notificadas nos termos do artigo 4.o, n.os 2 e 8, e do artigo 5.o, n.o 11.

7. Os Estados-Membros devem notificar a Comissão dos nomes das autoridades competentes e das suas funções e competências e, se aplicável, do nome do coordenador de dados. A Comissão deve manter um registo público dessas autoridades.

8. No desempenho das suas funções e no exercício das suas competências em conformidade com o presente regulamento, as autoridades competentes devem ser imparciais e estar livres de qualquer influência externa, direta ou indireta, e não solicitar nem aceitar instruções relativas a casos individuais de qualquer outra autoridade pública ou de qualquer entidade privada.

9. Os Estados-Membros devem assegurar que as autoridades competentes dispõem dos recursos humanos e técnicos suficientes e dos conhecimentos especializados pertinentes para desempenhar adequadamente as suas funções em conformidade com o presente regulamento.

10. As entidades abrangidas pelo âmbito de aplicação do presente regulamento são da competência do Estado-Membro em que estão estabelecidas. Se a entidade estiver estabelecida em mais do que um Estado-Membro, considera-se que é da competência do Estado-Membro em que tem o seu estabelecimento principal, ou seja, aquele em que a entidade tem os serviços centrais ou sede social a partir dos quais são exercidas as principais funções financeiras e o controlo operacional.

11. As entidades abrangidas pelo âmbito de aplicação do presente regulamento que disponibilizem produtos conectados ou ofereçam serviços conexos na União e que não estejam estabelecidas na União designam um representante legal num dos Estados-Membros.

12. A fim de garantir o cumprimento do presente regulamento, toda e qualquer entidade abrangida pelo âmbito de aplicação do presente regulamento que disponibilize produtos conectados ou ofereça serviços conexos na União deve mandatar um representante legal para ser contactado pelas autoridades competentes, em complemento ou em substituição da referida entidade, no que diz respeito a todas as questões relacionadas com essa entidade. O referido representante legal deve cooperar com as autoridades competentes e demonstrar-lhes de forma exaustiva, mediante pedido, as medidas tomadas e as disposições adotadas pela entidade abrangida pelo âmbito de aplicação do presente regulamento que disponibiliza produtos conectados ou oferece serviços conexos na União para garantir o cumprimento do presente regulamento.

13. Considera-se que uma entidade abrangida pelo âmbito de aplicação do presente regulamento que disponibilize produtos conectados ou ofereça serviços na União está sob a competência do Estado-Membro em que está situado o seu representante legal. A designação de um representante legal por essa entidade é realizada sem prejuízo da sua responsabilidade e de eventuais ações judiciais que possam vir a ser intentadas contra a mesma. Até ao momento em que designe um representante legal nos termos do presente artigo, a entidade é da competência de todos os Estados-Membros, se aplicável, a fim de assegurar a aplicação e o cumprimento do presente regulamento. Toda e qualquer autoridade competente pode exercer a sua competência, nomeadamente através da imposição de sanções efetivas, proporcionadas e dissuasivas, desde que a entidade não esteja sujeita a procedimentos de execução nos termos do presente regulamento por outra autoridade competente a respeito dos mesmos factos.

14. As autoridades competentes têm competência para solicitar aos utilizadores, aos detentores dos dados ou aos destinatários dos dados, ou aos seus representantes legais, que sejam da competência do respetivo Estado-Membro, todas as informações necessárias para verificar o cumprimento do presente regulamento. Os pedidos de informações devem ser proporcionados em relação ao desempenho da função subjacente e devem ser fundamentados.

15. Caso uma autoridade competente de um Estado-Membro solicite assistência ou medidas de execução a uma autoridade competente de outro Estado-Membro, deve apresentar para o efeito um pedido fundamentado. Após receber o referido pedido, a autoridade competente deve fornecer uma resposta em que descreva pormenorizadamente as medidas tomadas ou previstas, sem demora injustificada.

16. As autoridades competentes devem respeitar o princípio da confidencialidade e do sigilo profissional e comercial e proteger os dados pessoais nos termos do direito da União ou do direito nacional. As informações trocadas no contexto de um pedido de assistência e facultadas nos termos do presente artigo só podem ser usadas relativamente ao assunto para o qual foram solicitadas.

Artigo 40.

Sanções

1. Os Estados-Membros estabelecem as regras relativas às sanções aplicáveis em caso de infração ao presente regulamento e tomam todas as medidas necessárias para garantir a sua aplicação. As sanções previstas devem ser efetivas, proporcionadas e dissuasivas.

2. Os Estados-Membros notificam a Comissão, até 12 de setembro de 2025, dessas regras e medidas e também, sem demora, de qualquer alteração ulterior. A Comissão mantém e atualiza regularmente um registo público facilmente acessível dessas medidas.

3. Os Estados-Membros devem ter em conta as recomendações do Comité Europeu da Inovação de Dados e os seguintes critérios não exaustivos para a imposição de sanções em caso de infração ao presente regulamento:

a)	A natureza, gravidade, dimensão e duração da infração;

b)	Qualquer medida tomada pela parte infratora para atenuar ou reparar os danos causados pela infração;

c)	Qualquer infração anterior cometida pela parte infratora;

d)	Os benefícios financeiros obtidos ou as perdas evitadas pela parte infratora devido à infração, na medida em que esses benefícios ou perdas possam ser estabelecidos de forma fiável;

e)	Quaisquer outros fatores agravantes ou atenuantes aplicáveis às circunstâncias do caso concreto;

f)	O volume de negócios anual da parte infratora no exercício anterior na União.

4. Em caso de incumprimento das obrigações estabelecidas nos capítulos II, III e V do presente regulamento, as autoridades responsáveis por controlar a aplicação do Regulamento (UE) 2016/679 podem, no âmbito das suas competências, aplicar coimas nos termos do artigo 83.o do Regulamento (UE) 2016/679, até ao montante referido no artigo 83.o, n.o 5, do mesmo regulamento.

5. Em caso de incumprimento das obrigações estabelecidas no capítulo V do presente regulamento, a Autoridade Europeia para a Proteção de Dados pode, no âmbito das suas competências, aplicar coimas em conformidade com o artigo 66.o do Regulamento (UE) 2018/1725, até ao montante referido no artigo 66.o, n.o 3, do mesmo regulamento.

whereas

keyboard_tab Data Act 2023/2854 PT

Data Act 2023/2854 PT