keyboard_tab Data Act 2023/2854 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Artigo 1.o Objeto e âmbito de aplicação
- 2 Artigo 3.o Obrigação de tornar acessíveis ao utilizador os dados relativos a um produto e os dados relativos a um serviço conexo
- 1 Artigo 18. Cumprimento dos pedidos de dados
- 1 Artigo 21. Partilha de dados obtidos no contexto de necessidades excecionais com organizações de investigação ou organismos de estatística
- 1 Artigo 32. Acesso e transferência governamentais internacionais
- 15 Artigo 37. Autoridades competentes e coordenadores de dados
CAPÍTULO I
DISPOSIÇÕES GERAIS
CAPÍTULO II
PARTILHA DE DADOS ENTRE EMPRESAS E CONSUMIDORES E ENTRE EMPRESAS
CAPÍTULO III
OBRIGAÇÕES DOS DETENTORES DOS DADOS OBRIGADOS A DISPONIBILIZAR OS DADOS NOS TERMOS DO DIREITO DA UNIÃO
CAPÍTULO IV
CLÁUSULAS CONTRATUAIS ABUSIVAS RELATIVAS AO ACESSO AOS DADOS E À SUA UTILIZAÇÃO ENTRE EMPRESAS
CAPÍTULO V
DISPONIBILIZAÇÃO DE DADOS AOS ORGANISMOS DO SETOR PÚBLICO, À COMISSÃO, AO BANCO CENTRAL EUROPEU E AOS ÓRGÃOS DA UNIÃO COM BASE EM NECESSIDADES EXCECIONAIS
CAPÍTULO VI
MUDANÇA ENTRE SERVIÇOS DE TRATAMENTO DE DADOS
CAPÍTULO VII
ACESSO E TRANSFERÊNCIA GOVERNAMENTAIS INTERNACIONAIS ILÍCITOS DE DADOS NÃO PESSOAIS
CAPÍTULO VIII
INTEROPERABILIDADE
CAPÍTULO IX
EXECUÇÃO E FISCALIZAÇÃO DO CUMPRIMENTO
CAPÍTULO X
DIREITO SUI GENERIS NOS TERMOS DA DIRETIVA 96/9/CE
CAPÍTULO XI
DISPOSIÇÕES FINAIS
- dados 159
- presente 57
- união 45
- regulamento 44
- para 34
- não 32
- autoridades 29
- serviços 26
- direito 25
- autoridade 25
- pedido 23
- detentor 22
- aplicação 22
- termos 21
- competentes 20
- pessoais 19
- nacional 18
- pelo 18
- comissão 17
- público 17
- setor 16
- estado-membro 15
- caso 15
- artigo o 15
- acesso 15
- aplicável 15
- tratamento 14
- no 14
- europeu 14
- competente 14
- organismo 13
- como 13
- terceiro 13
- cumprimento 13
- são 13
- país 12
- devem 12
- utilizador 12
- produto 12
- central 12
- banco 12
- pela 12
- entidade 12
- pode 12
- âmbito 12
- estados-membros 11
- incluindo 11
- o 11
- órgão 11
- forma 10
Artigo 1.o
Objeto e âmbito de aplicação
1. O presente regulamento estabelece regras harmonizadas sobre, nomeadamente:
| a) | A disponibilização de dados relativos a um produto e de dados relativos a um serviço conexo ao utilizador do produto conectado ou do serviço conexo; |
| b) | A disponibilização de dados pelos detentores dos dados aos destinatários dos dados; |
| c) | A disponibilização de dados pelos detentores dos dados a organismos do setor público, à Comissão, ao Banco Central Europeu e aos órgãos da União, quando haja uma necessidade excecional desses dados, para o desempenho de uma missão específica de interesse público; |
| d) | A facilitação da mudança entre serviços de tratamento de dados; |
| e) | A introdução de salvaguardas contra o acesso ilícito de terceiros a dados não pessoais; e |
| f) | O desenvolvimento de normas de interoperabilidade para os dados a que se pretenda aceder e que se pretenda transferir e utilizar. |
2. O presente regulamento abrange os dados pessoais e não pessoais, incluindo os seguintes tipos de dados, nos seguintes contextos:
| a) | O capítulo II é aplicável aos dados, com exceção dos conteúdos, relativos ao desempenho, à utilização e ao ambiente dos produtos conectados e serviços conexos; |
| b) | O capítulo III é aplicável aos dados do setor privado sujeitos a obrigações legais de partilha de dados; |
| c) | O capítulo IV é aplicável aos dados do setor privado acedidos e utilizados com base em contratos entre empresas; |
| d) | O capítulo V é aplicável aos dados do setor privado, com destaque para os dados não pessoais; |
| e) | O capítulo VI é aplicável a todos os dados e serviços tratados por prestadores de serviços de tratamento de dados; |
| f) | O capítulo VII é aplicável aos dados não pessoais detidos na União por prestadores de serviços de tratamento de dados. |
3. O presente regulamento é aplicável:
| a) | Aos fabricantes de produtos conectados colocados no mercado da União e aos prestadores de serviços conexos, independentemente do local de estabelecimento desses fabricantes e prestadores; |
| b) | Aos utilizadores na União de produtos conectados ou serviços conexos referidos na alínea a); |
| c) | Aos detentores dos dados, independentemente do seu local de estabelecimento, que disponibilizam os dados a destinatários dos dados na União; |
| d) | Aos destinatários dos dados na União a quem os dados são disponibilizados; |
| e) | Aos organismos do setor público, à Comissão, ao Banco Central Europeu e aos órgãos da União que solicitam aos detentores dos dados que os disponibilizem quando exista uma necessidade excecional desses dados para o desempenho de uma missão específica de interesse público, e aos detentores dos dados que os facultam em resposta a esse pedido; |
| f) | Aos prestadores de serviços de tratamento de dados, independentemente do seu local de estabelecimento, que prestam esses serviços a clientes na União; |
| g) | Aos participantes em espaços de dados e aos vendedores de aplicações que utilizem contratos inteligentes e às pessoas cuja atividade comercial, empresarial ou profissional implique a implantação de contratos inteligentes para terceiros no contexto da execução de um acordo. |
4. Sempre que o presente regulamento fizer referência a produtos conectados ou serviços conexos, entende-se que essas referências incluem igualmente os assistentes virtuais, na medida em que interajam com um produto conectado ou serviço conexo.
5. O presente regulamento não prejudica o direito da União e o direito nacional em matéria de proteção de dados pessoais, privacidade e confidencialidade das comunicações e integridade dos equipamentos terminais, os quais são aplicáveis aos dados pessoais tratados no âmbito dos direitos e obrigações estabelecidos no presente regulamento, nomeadamente os Regulamentos (UE) 2016/679 e (UE) 2018/1725 e a Diretiva 2002/58/CE, incluindo os poderes e as competências das autoridades de controlo ou os direitos dos titulares dos dados. Na medida em que os utilizadores sejam titulares dos dados, os direitos estabelecidos no capítulo II do presente regulamento complementam o direito de acesso por parte do titular dos dados e o direito de portabilidade dos dados previstos nos artigos 15.o e 20.o do Regulamento (UE) 2016/679. Em caso de conflito entre o presente regulamento e o direito da União em matéria de proteção de dados pessoais ou de privacidade, ou a legislação nacional adotada em conformidade com o referido direito da União, prevalece o direito da União ou o direito nacional aplicáveis em matéria de proteção de dados pessoais ou de privacidade.
6. O presente regulamento não é aplicável a acordos voluntários de intercâmbio de dados entre entidades privadas e públicas, nem prejudica esses acordos, em especial acordos voluntários de partilha de dados.
O presente regulamento não afeta os atos jurídicos nacionais ou da União que preveem a partilha, o acesso e a utilização de dados para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, ou para efeitos aduaneiros e fiscais, nomeadamente os Regulamentos (UE) 2021/784, (UE) 2022/2065 e (UE) 2023/1543, a Diretiva (UE) 2023/1544 ou a cooperação internacional nesse domínio. O presente regulamento não é aplicável à recolha, partilha ou utilização de dados, nem ao acesso aos mesmos, nos termos do Regulamento (UE) 2015/847 e da Diretiva (UE) 2015/849. O presente regulamento não é aplicável a domínios não abrangidos pelo âmbito de aplicação do direito da União, e não afeta, em caso algum, as competências dos Estados-Membros em matéria de segurança pública, defesa ou segurança nacional, independentemente do tipo de entidade incumbida pelos Estados-Membros de desempenhar funções relacionadas com essas competências, nem os seus poderes para salvaguardar outras funções essenciais do Estado, nomeadamente a garantia da integridade territorial do Estado e a manutenção da ordem pública. O presente regulamento não afeta as competências dos Estados-Membros em matéria de administração aduaneira e fiscal ou de saúde e segurança dos cidadãos.
7. O presente regulamento complementa a abordagem de autorregulação constante do Regulamento (UE) 2018/1807 ao introduzir obrigações de aplicação geral em matéria de mudança de prestador de serviços de computação em nuvem.
8. O presente regulamento não prejudica os atos jurídicos nacionais e da União que preveem a proteção de direitos de propriedade intelectual, em especial as Diretivas 2001/29/CE, 2004/48/CE e (UE) 2019/790.
9. O presente regulamento complementa e não prejudica o direito da União que visa promover os interesses dos consumidores e assegurar um elevado nível de defesa dos consumidores, bem como proteger a sua saúde, segurança e interesses económicos, em especial as Diretivas 93/13/CEE, 2005/29/CE e 2011/83/UE.
10. O presente regulamento não obsta à celebração de contratos de caráter voluntário e lícito de partilha de dados, nomeadamente contratos celebrados numa base recíproca, que cumpram os requisitos previstos no presente regulamento.
Artigo 3.o
Obrigação de tornar acessíveis ao utilizador os dados relativos a um produto e os dados relativos a um serviço conexo
1. Os produtos conectados devem ser concebidos e fabricados, e os serviços conexos concebidos e prestados, de modo a que os dados relativos a um produto e os dados relativos a um serviço conexo, incluindo os metadados pertinentes necessários para interpretar e utilizar os dados, sejam acessíveis ao utilizador por defeito de forma fácil, segura e gratuita e num formato abrangente, estruturado, de uso corrente e de leitura automática e, quando pertinente e tecnicamente viável, de forma direta.
2. Antes da celebração de um contrato destinado à aquisição ou locação de um produto conectado, o vendedor ou o locador, os quais podem ser o fabricante, deve facultar ao utilizador, de uma forma clara e compreensível, pelo menos as seguintes informações:
| a) | O tipo, o formato e o volume estimado dos dados relativos a um produto que o produto conectado é capaz de gerar; |
| b) | Se o produto conectado é capaz de gerar dados continuamente e em tempo real; |
| c) | Se o produto conectado é capaz de conservar dados no dispositivo ou num servidor remoto, incluindo, se for caso disso, a duração prevista da conservação; |
| d) | A forma como o utilizador pode aceder a esses dados, recuperá-los ou, se for caso disso, apagá-los, incluindo os meios técnicos para o fazer, bem como as respetivas condições de utilização e a qualidade do serviço. |
3. Antes da celebração de um contrato de prestação de um serviço conexo, o prestador do serviço conexo deve facultar ao utilizador, de uma forma clara e compreensível, pelo menos as seguintes informações:
| a) | A natureza, o volume estimado e a frequência de recolha dos dados relativos a um produto que o detentor prospetivo dos dados é suscetível de obter e, se pertinente, as disposições relativas ao acesso ou à recuperação desses dados por parte do utilizador, incluindo as disposições relativas à política de conservação dos dados do detentor prospetivo dos dados e a duração da conservação; |
| b) | A natureza e o volume estimado dos dados relativos a um serviço conexo que serão gerados, bem como as disposições relativas ao acesso ou à recuperação desses dados por parte do utilizador, incluindo as disposições relativas à conservação dos dados do detentor prospetivo dos dados e a duração da conservação; |
| c) | Se o detentor prospetivo dos dados prevê utilizar ele próprio os dados prontamente disponíveis e as finalidades para as quais esses dados serão utilizados, e se tenciona permitir que um ou mais terceiros utilizem os dados para fins acordados com o utilizador; |
| d) | A identidade do detentor prospetivo dos dados, como a sua designação social e o endereço geográfico em que está estabelecido e, se aplicável, outras partes envolvidas no tratamento de dados; |
| e) | Os meios de comunicação que permitem contactar rapidamente o detentor prospetivo dos dados e comunicar eficazmente com o mesmo; |
| f) | A forma como o utilizador pode solicitar que os dados sejam partilhados com um terceiro e, se aplicável, pôr termo à partilha de dados; |
| g) | O direito do utilizador de apresentar uma reclamação, invocando uma violação de qualquer das disposições do presente capítulo, à autoridade competente designada nos termos do artigo 37.o; |
| h) | Se um detentor prospetivo dos dados é titular de segredos comerciais contidos nos dados que são suscetíveis de serem acedidos a partir do produto conectado ou gerados durante a prestação do serviço conexo e, caso o detentor prospetivo dos dados não seja o titular dos segredos comerciais, a identidade do titular dos segredos comerciais; |
| i) | A duração do contrato entre o utilizador e o detentor prospetivo dos dados, bem como as disposições para por termo a esse contrato. |
Artigo 18.
Cumprimento dos pedidos de dados
1. Um detentor dos dados que receba um pedido de disponibilização de dados nos termos do presente capítulo deve disponibilizá-los ao organismo do setor público, à Comissão, ao Banco Central Europeu ou ao órgão da União requerente sem demora injustificada, tendo em conta as medidas técnicas, organizativas e jurídicas necessárias.
2. Sem prejuízo das necessidades específicas relativas à disponibilidade de dados definidas no direito da União ou nacional, um detentor dos dados pode recusar ou solicitar a alteração de um pedido de disponibilização de dados ao abrigo do presente capítulo sem demora injustificada e, em qualquer caso, o mais tardar no prazo de cinco dias úteis após a receção de um pedido de dados necessários para dar resposta a uma emergência pública, e sem demora injustificada e, em qualquer caso, o mais tardar, no prazo de 30 dias úteis após a receção de um tal pedido noutros casos de uma necessidade excecional, por um dos seguintes motivos:
| a) | O detentor dos dados não tem controlo sobre os dados solicitados; |
| b) | Um pedido similar para a mesma finalidade foi apresentado anteriormente por outro organismo do setor público ou pela Comissão, pelo Banco Central Europeu ou por um órgão da União, e o detentor dos dados não foi notificado do apagamento dos dados nos termos do artigo 19.o, n.o 1, alínea c); |
| c) | O pedido não cumpre as condições estabelecidas no artigo 17.o, n.os 1 e 2. |
3. Se o detentor dos dados decidir recusar o pedido ou solicitar a sua alteração em conformidade com o n.o 2, alínea b), deve indicar a identidade do organismo do setor público ou da Comissão, do Banco Central Europeu ou do órgão da União que apresentou anteriormente um pedido para a mesma finalidade.
4. Caso os dados solicitados incluam dados pessoais, o detentor dos dados deve anonimizar adequadamente os dados, a menos que o cumprimento do pedido de disponibilização de dados a um organismo do setor público, à Comissão, ao Banco Central Europeu ou a um órgão da União exija a divulgação de dados pessoais. Nesses casos, o detentor dos dados deve pseudonimizar os dados.
5. Caso o organismo do setor público, a Comissão, o Banco Central Europeu ou o órgão da União pretenda contestar a recusa de um detentor dos dados em facultar os dados solicitados, ou caso o detentor dos dados pretenda contestar o pedido, e a questão não possa ser resolvida através de uma alteração adequada do pedido, a matéria deve ser sujeita à apreciação da autoridade competente, designada nos termos do artigo 37.o, do Estado-Membro em que o detentor dos dados está estabelecido.
Artigo 21.
Partilha de dados obtidos no contexto de necessidades excecionais com organizações de investigação ou organismos de estatística
1. Um organismo do setor público, a Comissão, o Banco Central Europeu ou um órgão da União tem o direito de partilhar os dados recebidos nos termos do presente capítulo com:
| a) | Pessoas singulares ou organizações, com vista à realização de investigações ou análises científicas compatíveis com a finalidade para a qual os dados foram solicitados; ou |
| b) | Os institutos nacionais de estatística e o Eurostat, para a produção de estatísticas oficiais. |
2. As pessoas singulares ou as organizações que recebam os dados nos termos do n.o 1 devem perseguir fins não lucrativos ou agir no contexto de uma missão de interesse público reconhecida pelo direito da União ou pelo direito nacional. Não podem incluir organizações sobre as quais empresas comerciais tenham uma influência significativa que seja suscetível de dar origem a um acesso preferencial aos resultados da investigação.
3. As pessoas singulares ou as organizações que recebem os dados nos termos do n.o 1 do presente artigo devem cumprir as mesmas obrigações que são aplicáveis aos organismos do setor público, à Comissão, ao Banco Central Europeu ou aos órgãos da União nos termos do artigo 17.o, n.o 3, e do artigo 19.o.
4. Não obstante o disposto no artigo 19.o, n.o 1, alínea c), as pessoas singulares ou as organizações que recebem os dados nos termos do n.o 1 do presente artigo podem conservar os dados recebidos para a finalidade para a qual os mesmos foram solicitados durante um período máximo de seis meses após o apagamento dos dados por parte dos organismos do setor público, da Comissão, do Banco Central Europeu e dos órgãos da União.
5. Caso um organismo do setor público, a Comissão, o Banco Central Europeu ou um órgão da União tencione transmitir ou disponibilizar dados nos termos do n.o 1 do presente artigo, deve, sem demora injustificada, notificar o detentor dos dados do qual tenha recebido esses dados, indicando a identidade e os contactos da organização ou da pessoa singular que irá receber os dados, a finalidade da transmissão ou disponibilização dos dados, o período de utilização dos dados e as medidas de proteção adotadas, tanto técnicas como organizativas, nomeadamente quando estejam em causa dados pessoais ou segredos comerciais. Caso o detentor dos dados não concorde com a transmissão ou disponibilização dos dados, pode apresentar uma reclamação à autoridade competente, designada nos termos do artigo 37.o, do Estado-Membro em que o detentor dos dados está estabelecido.
Artigo 32.
Acesso e transferência governamentais internacionais
1. Sem prejuízo do disposto nos n.os 2 ou 3, os prestadores de serviços de tratamento de dados devem tomar todas as medidas técnicas, organizativas e legais adequadas, incluindo contratos, a fim de impedir que entidades governamentais internacionais ou de países terceiros acedam a dados não pessoais detidos na União ou os transfiram, caso esse acesso ou essa transferência seja suscetível de criar um conflito com o direito da União ou o direito nacional do Estado-Membro pertinente.
2. As decisões judiciais ou sentenças de um órgão jurisdicional de um país terceiro e as decisões de uma autoridade administrativa de um país terceiro que exijam que um prestador de serviços de tratamento de dados transfira ou dê acesso a dados não pessoais abrangidos pelo âmbito de aplicação do presente regulamento e detidos na União só podem ser reconhecidas ou executadas, seja de que forma for, se tiverem por base um acordo internacional, como um acordo de auxílio judiciário mútuo, em vigor entre o país terceiro requerente e a União ou entre o país terceiro requerente e um Estado-Membro.
3. Na ausência de um acordo internacional nos termos do n.o 2, caso um prestador de serviços de tratamento de dados seja o destinatário de uma decisão judicial ou sentença de um órgão jurisdicional de um país terceiro ou de uma decisão de uma autoridade administrativa de um país terceiro que exija a transferência ou o acesso a dados não pessoais abrangidos pelo âmbito de aplicação do presente regulamento e detidos na União, e o cumprimento dessa decisão seja suscetível de colocar o destinatário numa situação de conflito com o direito da União ou com o direito nacional do Estado-Membro em causa, a transferência dos dados em causa para essa autoridade de um país terceiro ou o acesso a esses dados pela mesma autoridade só pode ter lugar se:
| a) | O sistema do país terceiro exigir que sejam expostos os motivos e a proporcionalidade dessa decisão judicial ou sentença e que essa decisão judicial ou sentença tenha um caráter específico, através, por exemplo, do estabelecimento de uma relação suficiente com determinados suspeitos ou infrações; |
| b) | A objeção fundamentada do destinatário estiver sujeita a reapreciação por um órgão jurisdicional competente de um país terceiro; e |
| c) | O órgão jurisdicional competente do país terceiro que emite a decisão judicial ou sentença ou reaprecia a decisão de uma autoridade administrativa estiver habilitado, nos termos do direito desse país terceiro, a ter devidamente em conta os interesses jurídicos relevantes do fornecedor dos dados protegidos pelo direito da União ou pelo direito nacional do Estado-Membro em causa. |
O destinatário da decisão ou sentença pode solicitar o parecer do organismo ou autoridade nacional competente em matéria de cooperação internacional em questões jurídicas, a fim de determinar se as condições previstas no primeiro parágrafo estão preenchidas, nomeadamente quando considerar que a decisão pode dizer respeito a segredos comerciais e outros dados comercialmente sensíveis, bem como a conteúdos protegidos por direitos de propriedade intelectual, ou que a transferência pode conduzir a uma reidentificação. O organismo ou autoridade nacional relevante pode consultar a Comissão. Se o destinatário considerar que a decisão ou sentença pode colidir com os interesses de segurança nacional ou com os interesses de defesa da União ou dos seus Estados-Membros, deve solicitar o parecer do organismo ou autoridade nacional relevante para determinar se os dados solicitados dizem respeito a interesses de segurança nacional ou a interesses de defesa da União ou dos seus Estados-Membros. Se o destinatário não tiver recebido desse organismo ou autoridade uma resposta no prazo de um mês, ou se o parecer desse organismo ou autoridades concluir que as condições previstas no primeiro parágrafo não estão preenchidas, o destinatário pode rejeitar o pedido de transferência ou de acesso a dados não pessoais por esses motivos.
O Comité Europeu da Inovação de Dados referido no artigo 42.o presta aconselhamento e assistência à Comissão na elaboração de diretrizes sobre a avaliação do cumprimento das condições previstas no primeiro parágrafo do presente número.
4. Se estiverem preenchidas as condições previstas nos n.os 2 ou 3, o prestador de serviços de tratamento de dados deve facultar a quantidade mínima de dados que seja admissível em resposta a um pedido, com base numa interpretação razoável desse pedido por parte do prestador ou do organismo ou autoridade nacional relevante a que se refere o n.o 3, segundo parágrafo.
5. O prestador de serviços de tratamento de dados deve informar o cliente da existência de um pedido de acesso aos seus dados apresentado por uma autoridade de um país terceiro antes de satisfazer esse pedido, exceto nos casos em que o pedido vise finalidades relativas à fiscalização e garantia do cumprimento da lei e enquanto tal for necessário para preservar a eficácia das atividades de fiscalização e garantia do cumprimento da lei.
CAPÍTULO VIII
INTEROPERABILIDADE
Artigo 37.
Autoridades competentes e coordenadores de dados
1. Cada Estado-Membro designa uma ou mais autoridades competentes que serão responsáveis pela execução e pela fiscalização do cumprimento do presente regulamento (autoridades competentes). Os Estados-Membros podem criar uma ou várias novas autoridades ou recorrer às existentes.
2. Se um Estado-Membro designar mais do que uma autoridade competente, designa uma delas como coordenador de dados, a fim de facilitar a cooperação entre as autoridades competentes e de apoiar as entidades abrangidas pelo âmbito de aplicação do presente regulamento em todas as matérias relacionadas com a sua aplicação e com a fiscalização do seu cumprimento. As autoridades competentes devem cooperar entre si no exercício das funções e competências que lhes são conferidas nos termos do n.o 5.
3. As autoridades de controlo responsáveis pela fiscalização da aplicação do Regulamento (UE) 2016/679 são responsáveis pela fiscalização da aplicação do presente regulamento no que diz respeito à proteção dos dados pessoais. Os capítulos VI e VII do Regulamento (UE) 2016/679 são aplicáveis com as devidas adaptações.
A Autoridade Europeia para a Proteção de Dados é responsável pelo controlo da aplicação do presente regulamento na medida em que diga respeito à Comissão, ao Banco Central Europeu ou aos órgãos da União. Se pertinente, o artigo 62.o do Regulamento (UE) 2018/1725 é aplicável com as devidas adaptações.
As funções e as competências das autoridades de controlo referidas no presente parágrafo são exercidas no que diz respeito ao tratamento de dados pessoais.
4. Sem prejuízo do disposto no n.o 1 do presente artigo:
| a) | No caso de questões específicas de acesso e utilização setoriais de dados relacionadas com a aplicação do presente regulamento, deve ser respeitada a competência das autoridades setoriais; |
| b) | A autoridade competente responsável pela execução e pela fiscalização e garantia do cumprimento do disposto nos artigos 23.o a 31.o e nos artigos 34.o e 35.odeve ter experiência no domínio dos dados e dos serviços de comunicações eletrónicas. |
5. Os Estados-Membros devem assegurar que as funções e competências das autoridades competentes são claramente definidas e incluem:
| a) | A promoção da literacia de dados e da sensibilização dos utilizadores e das entidades abrangidas pelo âmbito de aplicação do presente regulamento no que se refere aos direitos e às obrigações previstos no presente regulamento; |
| b) | O tratamento das reclamações decorrentes de alegadas infrações ao presente regulamento, incluindo no que diz respeito a segredos comerciais, e a investigação, na medida do necessário, do conteúdo das reclamações, e prestação regular de informações aos seus autores, se pertinente nos termos da legislação nacional, sobre o andamento e o resultado das investigações num prazo razoável, em especial se for necessário realizar atividades de investigação ou de coordenação complementares com outras autoridades competentes; |
| c) | A realização de investigações em matérias relativas à execução do presente regulamento, nomeadamente com base em informações recebidas de outras autoridades competentes ou de outras autoridades públicas; |
| d) | A imposição de sanções financeiras efetivas, proporcionadas e dissuasivas, que podem incluir sanções periódicas e sanções com efeitos retroativos, ou a instauração de processos judiciais para a aplicação de coimas; |
| e) | O acompanhamento da evolução tecnológica e comercial pertinente para a disponibilização e a utilização dos dados; |
| f) | A cooperação com as autoridades competentes de outros Estados-Membros, e, se for caso disso, com a Comissão ou o Comité Europeu da Inovação de Dados, a fim de assegurar a aplicação coerente e eficiente do presente regulamento, incluindo o intercâmbio de todas as informações pertinentes por via eletrónica, sem demora injustificada, incluindo no que diz respeito ao n.o 10 do presente artigo; |
| g) | A cooperação com as autoridades competentes responsáveis pela execução de outros atos jurídicos nacionais ou da União, nomeadamente as autoridades competentes no domínio dos dados e dos serviços de comunicações eletrónicas, com a autoridade de controlo responsável pela fiscalização da aplicação do Regulamento (UE) 2016/679 ou com as autoridades setoriais, a fim de garantir que o presente regulamento é aplicado de uma forma coerente com outra legislação nacional e da União; |
| h) | A cooperação com todas as autoridades competentes, a fim de assegurar que as obrigações previstas nos artigos 23.o a 31.o e nos artigos 34.o e 35.o são aplicadas de forma coerente com outro direito da União e com a autorregulação aplicável aos prestadores de serviços de tratamento de dados; |
| i) | A garantia de que os encargos pela mudança de prestador de serviços de tratamento de dados são suprimidos, em conformidade com o artigo 29.o; |
| j) | A análise dos pedidos de dados feitos ao abrigo do capítulo V. |
Caso seja designado, o coordenador de dados facilita a cooperação referida nas alíneas f), g) e h) do primeiro parágrafo e presta assistência às autoridades competentes, a pedido destas.
6. O coordenador de dados, nos casos em que uma autoridade competente tenha sido designada como tal, deve:
| a) | Atuar como ponto de contacto único para todas as questões relacionadas com a aplicação do presente regulamento; |
| b) | Garantir a publicação em linha dos pedidos de disponibilização dos dados apresentados por organismos do setor público em caso de necessidade excecional ao abrigo do capítulo V, e promover a partilha voluntária de dados entre os organismos do setor público e os detentores dos dados; |
| c) | Informar anualmente a Comissão das recusas notificadas nos termos do artigo 4.o, n.os 2 e 8, e do artigo 5.o, n.o 11. |
7. Os Estados-Membros devem notificar a Comissão dos nomes das autoridades competentes e das suas funções e competências e, se aplicável, do nome do coordenador de dados. A Comissão deve manter um registo público dessas autoridades.
8. No desempenho das suas funções e no exercício das suas competências em conformidade com o presente regulamento, as autoridades competentes devem ser imparciais e estar livres de qualquer influência externa, direta ou indireta, e não solicitar nem aceitar instruções relativas a casos individuais de qualquer outra autoridade pública ou de qualquer entidade privada.
9. Os Estados-Membros devem assegurar que as autoridades competentes dispõem dos recursos humanos e técnicos suficientes e dos conhecimentos especializados pertinentes para desempenhar adequadamente as suas funções em conformidade com o presente regulamento.
10. As entidades abrangidas pelo âmbito de aplicação do presente regulamento são da competência do Estado-Membro em que estão estabelecidas. Se a entidade estiver estabelecida em mais do que um Estado-Membro, considera-se que é da competência do Estado-Membro em que tem o seu estabelecimento principal, ou seja, aquele em que a entidade tem os serviços centrais ou sede social a partir dos quais são exercidas as principais funções financeiras e o controlo operacional.
11. As entidades abrangidas pelo âmbito de aplicação do presente regulamento que disponibilizem produtos conectados ou ofereçam serviços conexos na União e que não estejam estabelecidas na União designam um representante legal num dos Estados-Membros.
12. A fim de garantir o cumprimento do presente regulamento, toda e qualquer entidade abrangida pelo âmbito de aplicação do presente regulamento que disponibilize produtos conectados ou ofereça serviços conexos na União deve mandatar um representante legal para ser contactado pelas autoridades competentes, em complemento ou em substituição da referida entidade, no que diz respeito a todas as questões relacionadas com essa entidade. O referido representante legal deve cooperar com as autoridades competentes e demonstrar-lhes de forma exaustiva, mediante pedido, as medidas tomadas e as disposições adotadas pela entidade abrangida pelo âmbito de aplicação do presente regulamento que disponibiliza produtos conectados ou oferece serviços conexos na União para garantir o cumprimento do presente regulamento.
13. Considera-se que uma entidade abrangida pelo âmbito de aplicação do presente regulamento que disponibilize produtos conectados ou ofereça serviços na União está sob a competência do Estado-Membro em que está situado o seu representante legal. A designação de um representante legal por essa entidade é realizada sem prejuízo da sua responsabilidade e de eventuais ações judiciais que possam vir a ser intentadas contra a mesma. Até ao momento em que designe um representante legal nos termos do presente artigo, a entidade é da competência de todos os Estados-Membros, se aplicável, a fim de assegurar a aplicação e o cumprimento do presente regulamento. Toda e qualquer autoridade competente pode exercer a sua competência, nomeadamente através da imposição de sanções efetivas, proporcionadas e dissuasivas, desde que a entidade não esteja sujeita a procedimentos de execução nos termos do presente regulamento por outra autoridade competente a respeito dos mesmos factos.
14. As autoridades competentes têm competência para solicitar aos utilizadores, aos detentores dos dados ou aos destinatários dos dados, ou aos seus representantes legais, que sejam da competência do respetivo Estado-Membro, todas as informações necessárias para verificar o cumprimento do presente regulamento. Os pedidos de informações devem ser proporcionados em relação ao desempenho da função subjacente e devem ser fundamentados.
15. Caso uma autoridade competente de um Estado-Membro solicite assistência ou medidas de execução a uma autoridade competente de outro Estado-Membro, deve apresentar para o efeito um pedido fundamentado. Após receber o referido pedido, a autoridade competente deve fornecer uma resposta em que descreva pormenorizadamente as medidas tomadas ou previstas, sem demora injustificada.
16. As autoridades competentes devem respeitar o princípio da confidencialidade e do sigilo profissional e comercial e proteger os dados pessoais nos termos do direito da União ou do direito nacional. As informações trocadas no contexto de um pedido de assistência e facultadas nos termos do presente artigo só podem ser usadas relativamente ao assunto para o qual foram solicitadas.
whereas