keyboard_tab Data Act 2023/2854 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 3 Artigo 2.o Definições
- 1 Artigo 3.o Obrigação de tornar acessíveis ao utilizador os dados relativos a um produto e os dados relativos a um serviço conexo
- 1 Artigo 4.o Direitos e obrigações dos utilizadores e dos detentores dos dados no que respeita ao acesso, utilização e disponibilização dos dados relativos a um produto e dos dados relativos a um serviço conexo
- 1 Artigo 9.o Compensação pela disponibilização de dados
- 1 Artigo 17. Pedidos de disponibilização de dados
- 1 Artigo 21. Partilha de dados obtidos no contexto de necessidades excecionais com organizações de investigação ou organismos de estatística
- 1 Artigo 25. Cláusulas contratuais relativas à mudança
- 2 Artigo 31. Regime específico para determinados serviços de tratamento de dados
- 1 Artigo 44. Outros atos jurídicos da União que regem os direitos e as obrigações em matéria de acesso e utilização de dados
CAPÍTULO I
DISPOSIÇÕES GERAIS
CAPÍTULO II
PARTILHA DE DADOS ENTRE EMPRESAS E CONSUMIDORES E ENTRE EMPRESAS
CAPÍTULO III
OBRIGAÇÕES DOS DETENTORES DOS DADOS OBRIGADOS A DISPONIBILIZAR OS DADOS NOS TERMOS DO DIREITO DA UNIÃO
CAPÍTULO IV
CLÁUSULAS CONTRATUAIS ABUSIVAS RELATIVAS AO ACESSO AOS DADOS E À SUA UTILIZAÇÃO ENTRE EMPRESAS
CAPÍTULO V
DISPONIBILIZAÇÃO DE DADOS AOS ORGANISMOS DO SETOR PÚBLICO, À COMISSÃO, AO BANCO CENTRAL EUROPEU E AOS ÓRGÃOS DA UNIÃO COM BASE EM NECESSIDADES EXCECIONAIS
CAPÍTULO VI
MUDANÇA ENTRE SERVIÇOS DE TRATAMENTO DE DADOS
CAPÍTULO VII
ACESSO E TRANSFERÊNCIA GOVERNAMENTAIS INTERNACIONAIS ILÍCITOS DE DADOS NÃO PESSOAIS
CAPÍTULO VIII
INTEROPERABILIDADE
CAPÍTULO IX
EXECUÇÃO E FISCALIZAÇÃO DO CUMPRIMENTO
CAPÍTULO X
DIREITO SUI GENERIS NOS TERMOS DA DIRETIVA 96/9/CE
CAPÍTULO XI
DISPOSIÇÕES FINAIS
- dados 266
- para 73
- não 55
- artigo o 48
- tratamento 46
- detentor 44
- serviço 43
- utilizador 43
- termos 38
- serviços 38
- no 37
- presente 35
- união 34
- produto 32
- cliente 32
- caso 28
- prestador 26
- direito 26
- conectado 23
- pelo 22
- utilização 22
- acesso 21
- público 20
- pedido 19
- contrato 19
- comerciais 18
- relativos 18
- pode 18
- setor 18
- incluindo 18
- como 16
- terceiros 15
- forma 15
- europeu 15
- conexo 15
- artigo 15
- segredos 15
- detentores 14
- qual 14
- podem 14
- período 14
- pessoais 13
- disponibilização 13
- mudança 13
- central 13
- comissão 13
- sobre 12
- banco 12
- organismo 12
- utilizar 12
Artigo 2.o
Definições
Para efeitos do presente regulamento, entende-se por:
| 1) | «Dados», qualquer representação digital de atos, factos ou informações e qualquer compilação desses atos, factos ou informações, incluindo sob a forma de gravação sonora, visual ou audiovisual; |
| 2) | «Metadados», uma descrição estruturada do conteúdo ou da utilização dos dados, que facilita a pesquisa ou a utilização desses dados; |
| 3) | «Dados pessoais», dados pessoais na aceção do artigo 4.o, ponto 1, do Regulamento (UE) 2016/679; |
| 4) | «Dados não pessoais», dados que não sejam dados pessoais; |
| 5) | «Produto conectado», um bem que obtém, gera ou recolhe dados relativos à sua utilização ou ao seu ambiente e que é capaz de comunicar dados relativos a um produto através de um serviço de comunicações eletrónicas, de uma conexão física ou do acesso no dispositivo, e cuja função principal não consiste na conservação, no tratamento ou na transmissão de dados em nome de quaisquer partes que não sejam o utilizador; |
| 6) | «Serviço conexo», um serviço digital, que não seja um serviço de comunicações eletrónicas, incluindo software, conectado ao produto no momento da aquisição ou locação de tal modo que a sua ausência impediria que o produto conectado desempenhasse uma ou mais das suas funções, ou conectado posteriormente ao produto pelo fabricante ou por terceiros, a fim de aumentar, atualizar ou adaptar as funções do produto conectado; |
| 7) | «Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados ou conjuntos de dados, através de procedimentos automatizados ou não automatizados, como por exemplo a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, a difusão ou quaisquer outros meios de disponibilização dos mesmos, o alinhamento ou a combinação, a limitação, o apagamento ou a destruição; |
| 8) | «Serviço de tratamento de dados», um serviço digital que é prestado a um cliente e que permite um acesso em rede, ubíquo e a pedido, a um conjunto partilhado de recursos de computação configuráveis, moduláveis e adaptáveis, de natureza centralizada, distribuída ou altamente distribuída, que é suscetível de ser rapidamente disponibilizado e libertado com um nível mínimo de esforço de gestão ou de interação com o prestador do serviço; |
| 9) | «Mesmo tipo de serviço», um conjunto de serviços de tratamento de dados que partilham o mesmo objetivo principal, o mesmo modelo de serviço de tratamento de dados e as principais funcionalidades; |
| 10) | «Serviço de intermediação de dados», um serviço de intermediação de dados na aceção do artigo 2.o, ponto 11, do Regulamento (UE) 2022/868; |
| 11) | «Titular dos dados», o titular dos dados a que se refere o artigo 4.o, ponto 1, do Regulamento (UE) 2016/679; |
| 12) | «Utilizador», uma pessoa singular ou coletiva que é proprietária de um produto conectado ou para quem foram transferidos, com base num contrato, direitos temporários à utilização desse produto conectado, ou que recebe serviços conexos; |
| 13) | «Detentor dos dados», uma pessoa singular ou coletiva que tem o direito ou a obrigação, nos termos do presente regulamento, do direito aplicável da União ou da legislação nacional adotada em conformidade com o direito da União, de utilizar e de disponibilizar determinados dados, nomeadamente, caso tal tenha sido acordado contratualmente, dados relativos a um produto ou dados relativos a um serviço conexo que tenha recuperado ou gerado durante a prestação de um serviço conexo; |
| 14) | «Destinatário dos dados», uma pessoa singular ou coletiva que age para fins relacionados com a sua atividade comercial, ofício ou profissão, que não seja o utilizador de um produto conectado ou serviço conexo, à qual o detentor dos dados disponibiliza os dados, incluindo um terceiro na sequência de um pedido do utilizador ao detentor dos dados ou em conformidade com uma obrigação jurídica ao abrigo do direito da União ou da legislação nacional adotada em conformidade com o direito da União; |
| 15) | «Dados relativos a um produto», dados gerados pela utilização de um produto conectado concebido pelo fabricante para que os mesmos sejam recuperáveis através de um serviço de comunicações eletrónicas, de uma conexão física ou do acesso no dispositivo, por parte de um utilizador, de um detentor dos dados ou de terceiros, incluindo, se for caso disso, o fabricante; |
| 16) | «Dados relativos a um serviço conexo», dados que representam a digitalização das ações do utilizador ou dos eventos relacionados com o produto conectado, registados intencionalmente pelo utilizador ou gerados como subproduto da ação do utilizador durante a prestação de um serviço conexo pelo prestador de serviços; |
| 17) | «Dados prontamente disponíveis», dados relativos a um produto e dados relativos a um serviço conexo legalmente obtidos por um detentor dos dados ou suscetíveis de por ele serem legalmente obtidos a partir do produto conectado ou serviço conexo, sem um esforço desproporcionado que vá para além de uma operação simples; |
| 18) | «Segredo comercial», um segredo comercial na aceção do artigo 2.o, ponto 1, da Diretiva (UE) 2016/943; |
| 19) | «Titular do segredo comercial», um titular do segredo comercial na aceção do artigo 2.o, ponto 2, da Diretiva (UE) 2016/943; |
| 20) | «Definição de perfis», a definição de perfis na aceção do artigo 4.o, n.o 4, do Regulamento (UE) 2016/679; |
| 21) | «Disponibilização no mercado», o fornecimento de um produto conectado para distribuição, consumo ou utilização no mercado da União no âmbito de uma atividade comercial, a título oneroso ou gratuito; |
| 22) | «Colocação no mercado», a primeira disponibilização de um produto conectado no mercado da União; |
| 23) | «Consumidor», qualquer pessoa singular que atue com fins que não se incluam no âmbito da sua atividade comercial, ofício ou profissão; |
| 24) | «Empresa», uma pessoa singular ou coletiva que, no que respeita às práticas e aos contratos abrangidos pelo presente regulamento, age para fins relacionados com a sua atividade comercial, ofício ou profissão; |
| 25) | «Pequena empresa», uma pequena empresa na aceção do artigo 2.o, n.o 2, do anexo da Recomendação 2003/361/CE; |
| 26) | «Microempresa», uma microempresa na aceção do artigo 2.o, n.o 3, do anexo da Recomendação 2003/361/CE; |
| 27) | «Órgãos da União», os órgãos e organismos da União estabelecidos através de atos legislativos adotados com base no Tratado sobre a União Europeia, no TFUE ou no Tratado que institui a Comunidade Europeia da Energia Atómica ou ao abrigo daqueles atos legislativos; |
| 28) | «Organismo do setor público», as autoridades nacionais, regionais ou locais dos Estados-Membros e os organismos de direito público dos Estados-Membros, ou as associações formadas por uma ou várias dessas autoridades ou por um ou vários desses organismos; |
| 29) | «Emergência pública», uma situação excecional, limitada no tempo, como uma emergência de saúde pública, uma emergência resultante de catástrofes naturais ou uma catástrofe de grandes proporções de origem humana, incluindo incidentes importantes em matéria de cibersegurança, que afeta negativamente a população da União ou que afeta um Estado-Membro ou parte dele, com o risco de repercussões graves e duradouras nas condições de vida, na estabilidade económica ou na estabilidade financeira, ou com o risco de degradação significativa e imediata dos ativos económicos da União ou dos Estados-Membros em causa, e que é determinada ou oficialmente declarada de acordo com os procedimentos previstos no direito da União ou nacional; |
| 30) | «Cliente», uma pessoa singular ou coletiva que tenha estabelecido uma relação contratual com um prestador de serviços de tratamento de dados com o objetivo de utilizar um ou mais serviços de tratamento de dados; |
| 31) | «Assistentes virtuais», software com capacidade para tratar pedidos, funções ou perguntas, nomeadamente os que se baseiam em sons, textos, gestos ou movimentos, e que, com base nesses pedidos, funções ou perguntas, proporciona acesso a outros serviços ou controla as funções de produtos conectados; |
| 32) | «Ativos digitais», elementos em formato digital, incluindo aplicações, para os quais o cliente tem o direito de utilização, independentemente da relação contratual estabelecida com o serviço de tratamento de dados do qual o cliente se pretende mudar; |
| 33) | «Infraestrutura informática local», uma infraestrutura de tecnologias de informação e comunicação e recursos de computação de que o cliente é proprietário ou locatário localizados no centro de dados do próprio cliente e operados pelo cliente ou por um terceiro; |
| 34) | «Mudança», o processo que envolve um prestador de serviços de tratamento de dados de origem, um cliente de um serviço de tratamento de dados e, se for o caso, um prestador de serviços de tratamento de dados de destino, pelo qual o cliente de um serviço de tratamento de dados passa da utilização de um serviço de tratamento de dados para a utilização de outro serviço de tratamento de dados do mesmo tipo de serviço, ou de outro serviço, disponibilizado por um prestador de serviços de tratamento de dados diferente, ou de uma infraestrutura informática local, nomeadamente através da extração, da transformação e do carregamento dos dados; |
| 35) | «Encargos decorrentes da saída de dados», as comissões de transferência de dados cobradas aos clientes pela extração dos seus dados, através da rede, da infraestrutura informática de um prestador de serviços de tratamento de dados para os sistemas de um prestador diferente ou para infraestruturas informáticas locais; |
| 36) | «Encargos decorrentes da mudança», encargos, que não as comissões habituais cobradas pelo serviço ou penalizações por rescisão antecipada de contrato, impostos por um prestador de serviços de tratamento de dados a um cliente pelas ações exigidas pelo presente regulamento para a mudança para os sistemas de um prestador diferente ou para infraestruturas informáticas locais, incluindo encargos decorrentes da saída de dados; |
| 37) | «Equivalência funcional», o restabelecimento, com base nos dados exportáveis e nos ativos digitais do cliente, de um nível mínimo de funcionalidade no ambiente de um novo serviço de tratamento de dados do mesmo tipo de serviço após o processo de mudança, em que o serviço de tratamento de dados de destino produz um resultado materialmente comparável em resposta à mesma entrada de características partilhadas fornecida ao cliente ao abrigo do contrato; |
| 38) | «Dados exportáveis», para efeitos dos artigos 23.o a 31.o e do artigo 35.o, os dados de entrada e saída, incluindo metadados, direta ou indiretamente gerados ou cogerados pela utilização, pelo cliente, do serviço de tratamento de dados, excluindo quaisquer ativos ou dados protegidos por direitos de propriedade intelectual, ou que constituam um segredo comercial, de prestadores do serviço de tratamento de dados ou de terceiros; |
| 39) | «Contrato inteligente», um programa de computador utilizado para a execução automática de um acordo ou de parte dele, utilizando uma sequência de registos eletrónicos de dados e garantindo a sua integridade e a exatidão do seu ordenamento cronológico; |
| 40) | «Interoperabilidade», a capacidade de dois ou mais espaços de dados ou redes de comunicações, sistemas, produtos conectados, aplicações, serviços de tratamento de dados ou componentes procederem ao intercâmbio de dados e os utilizarem, de modo a desempenharem as suas funções; |
| 41) | «Especificações de interoperabilidade aberta», as especificações técnicas no domínio informático, que são orientadas para a concretização da interoperabilidade entre serviços de tratamento de dados; |
| 42) | «Especificações comuns», um documento, que não uma norma, que contém soluções técnicas que proporcionam um meio para cumprir certos requisitos e obrigações estabelecidas no presente regulamento; |
| 43) | «Norma harmonizada», uma norma harmonizada na aceção do artigo 2.o, ponto 1, alínea c), do Regulamento (UE) n.o 1025/2012. |
CAPÍTULO II
PARTILHA DE DADOS ENTRE EMPRESAS E CONSUMIDORES E ENTRE EMPRESAS
Artigo 3.o
Obrigação de tornar acessíveis ao utilizador os dados relativos a um produto e os dados relativos a um serviço conexo
1. Os produtos conectados devem ser concebidos e fabricados, e os serviços conexos concebidos e prestados, de modo a que os dados relativos a um produto e os dados relativos a um serviço conexo, incluindo os metadados pertinentes necessários para interpretar e utilizar os dados, sejam acessíveis ao utilizador por defeito de forma fácil, segura e gratuita e num formato abrangente, estruturado, de uso corrente e de leitura automática e, quando pertinente e tecnicamente viável, de forma direta.
2. Antes da celebração de um contrato destinado à aquisição ou locação de um produto conectado, o vendedor ou o locador, os quais podem ser o fabricante, deve facultar ao utilizador, de uma forma clara e compreensível, pelo menos as seguintes informações:
| a) | O tipo, o formato e o volume estimado dos dados relativos a um produto que o produto conectado é capaz de gerar; |
| b) | Se o produto conectado é capaz de gerar dados continuamente e em tempo real; |
| c) | Se o produto conectado é capaz de conservar dados no dispositivo ou num servidor remoto, incluindo, se for caso disso, a duração prevista da conservação; |
| d) | A forma como o utilizador pode aceder a esses dados, recuperá-los ou, se for caso disso, apagá-los, incluindo os meios técnicos para o fazer, bem como as respetivas condições de utilização e a qualidade do serviço. |
3. Antes da celebração de um contrato de prestação de um serviço conexo, o prestador do serviço conexo deve facultar ao utilizador, de uma forma clara e compreensível, pelo menos as seguintes informações:
| a) | A natureza, o volume estimado e a frequência de recolha dos dados relativos a um produto que o detentor prospetivo dos dados é suscetível de obter e, se pertinente, as disposições relativas ao acesso ou à recuperação desses dados por parte do utilizador, incluindo as disposições relativas à política de conservação dos dados do detentor prospetivo dos dados e a duração da conservação; |
| b) | A natureza e o volume estimado dos dados relativos a um serviço conexo que serão gerados, bem como as disposições relativas ao acesso ou à recuperação desses dados por parte do utilizador, incluindo as disposições relativas à conservação dos dados do detentor prospetivo dos dados e a duração da conservação; |
| c) | Se o detentor prospetivo dos dados prevê utilizar ele próprio os dados prontamente disponíveis e as finalidades para as quais esses dados serão utilizados, e se tenciona permitir que um ou mais terceiros utilizem os dados para fins acordados com o utilizador; |
| d) | A identidade do detentor prospetivo dos dados, como a sua designação social e o endereço geográfico em que está estabelecido e, se aplicável, outras partes envolvidas no tratamento de dados; |
| e) | Os meios de comunicação que permitem contactar rapidamente o detentor prospetivo dos dados e comunicar eficazmente com o mesmo; |
| f) | A forma como o utilizador pode solicitar que os dados sejam partilhados com um terceiro e, se aplicável, pôr termo à partilha de dados; |
| g) | O direito do utilizador de apresentar uma reclamação, invocando uma violação de qualquer das disposições do presente capítulo, à autoridade competente designada nos termos do artigo 37.o; |
| h) | Se um detentor prospetivo dos dados é titular de segredos comerciais contidos nos dados que são suscetíveis de serem acedidos a partir do produto conectado ou gerados durante a prestação do serviço conexo e, caso o detentor prospetivo dos dados não seja o titular dos segredos comerciais, a identidade do titular dos segredos comerciais; |
| i) | A duração do contrato entre o utilizador e o detentor prospetivo dos dados, bem como as disposições para por termo a esse contrato. |
Artigo 4.o
Direitos e obrigações dos utilizadores e dos detentores dos dados no que respeita ao acesso, utilização e disponibilização dos dados relativos a um produto e dos dados relativos a um serviço conexo
1. Caso o utilizador não possa aceder diretamente aos dados a partir do produto conectado ou do serviço conexo, os detentores dos dados devem tornar acessíveis ao utilizador os dados prontamente disponíveis, bem como os metadados necessários para interpretar e utilizar esses dados, sem demora injustificada, com uma qualidade idêntica à que está disponível para o detentor dos dados, de forma fácil, segura e gratuita, num formato abrangente, estruturado, de uso corrente e de leitura automática, e, se pertinente e tecnicamente viável, de forma contínua e em tempo real. Esta disponibilização é feita com base num simples pedido por via eletrónica, caso tal seja tecnicamente viável.
2. Os utilizadores e os detentores dos dados podem limitar ou proibir contratualmente o acesso, a utilização ou a partilha posterior dos dados, sempre que tal tratamento seja suscetível de comprometer os requisitos de segurança do produto conectado, previstos no direito da União ou no direito nacional, causando efeitos negativos graves na saúde, proteção ou segurança das pessoas singulares. As autoridades setoriais podem facultar aos utilizadores e aos detentores dos dados conhecimentos técnicos especializados nesse contexto. Caso o detentor dos dados se recuse a partilhar dados nos termos do presente artigo, deve notificar a autoridade competente designada nos termos do artigo 37.o.
3. Sem prejuízo do direito do utilizador de, a qualquer momento, obter reparação perante um órgão jurisdicional de um Estado-Membro, o utilizador pode, relativamente a qualquer litígio com o detentor dos dados respeitante às limitações ou proibições contratuais referidas no n.o 2 do presente artigo:
| a) | Apresentar, nos termos do artigo 37.o, n.o 5, alínea b), uma reclamação junto da autoridade competente; ou |
| b) | Acordar com o detentor dos dados em submeter a questão à apreciação de um organismo de resolução de litígios nos termos do artigo 10.o, n.o 1. |
4. Os detentores dos dados não devem dificultar excessivamente o exercício das escolhas ou dos direitos previstos no presente artigo por parte do utilizador, nomeadamente oferecendo escolhas aos utilizadores de forma não neutra ou condicionando ou prejudicando a autonomia, a tomada de decisões ou as escolhas dos utilizadores através da estrutura, conceção, função ou modo de funcionamento de uma interface digital de utilizador ou de parte dela.
5. A fim de verificar se uma pessoa singular ou coletiva pode ser considerada um utilizador para efeitos do n.o 1, os detentores dos dados não podem exigir que essa pessoa faculte quaisquer informações para além das necessárias. Os detentores dos dados não podem conservar quaisquer informações, em especial dados de registo, sobre o acesso do utilizador aos dados solicitados para além das necessárias para a boa execução do pedido de acesso do utilizador e para a segurança e manutenção da infraestrutura de dados.
6. Os segredos comerciais devem ser preservados e só podem ser divulgados se o detentor dos dados e o utilizador tomarem, antes da divulgação, todas as medidas necessárias para preservar a sua confidencialidade, em especial no que diz respeito a terceiros. O detentor dos dados ou, caso não sejam a mesma pessoa, o titular dos segredos comerciais deve identificar os dados protegidos como segredos comerciais, incluindo nos metadados pertinentes, e acordar com o utilizador as medidas técnicas e organizativas proporcionadas necessárias para preservar a confidencialidade dos dados partilhados, em especial em relação a terceiros, tais como modelos de cláusulas contratuais, acordos de confidencialidade, protocolos de acesso rigorosos, normas técnicas e a aplicação de códigos de conduta.
7. Nos casos em que não haja acordo sobre as medidas necessárias referidas no n.o 6, ou em que o utilizador não aplique as medidas acordadas nos termos do n.o 6 ou comprometa a confidencialidade dos segredos comerciais, o detentor dos dados pode reter ou, consoante o caso, suspender a partilha dos dados identificados como segredos comerciais. A decisão do detentor dos dados deve ser devidamente fundamentada e comunicada por escrito ao utilizador, sem demora injustificada. Nesses casos, o detentor dos dados notifica a autoridade competente designada nos termos do artigo 37.o de que reteve ou suspendeu a partilha de dados e identifica as medidas que não foram acordadas ou aplicadas e, se for caso disso, os segredos comerciais cuja confidencialidade ficou comprometida.
8. Em circunstâncias excecionais, caso o detentor dos dados que seja titular de um segredo comercial possa demonstrar que é altamente provável que venha a sofrer prejuízos económicos graves devido à divulgação de segredos comerciais, não obstante as medidas técnicas e organizativas tomadas pelo utilizador nos termos do n.o 6 do presente artigo, esse detentor dos dados pode recusar, numa base casuística, um pedido de acesso aos dados específicos em causa. A referida demonstração deve ser devidamente fundamentada com base em elementos objetivos, nomeadamente a aplicabilidade da proteção de segredos comerciais em países terceiros, a natureza e o nível de confidencialidade dos dados solicitados e o caráter único e novo do produto conectado, e deve ser apresentada por escrito ao utilizador sem demora injustificada. Caso o detentor dos dados se recuse a partilhar dados nos termos do presente número, notifica a autoridade competente designada nos termos do artigo 37.o.
9. Sem prejuízo do direito do utilizador de, a qualquer momento, obter reparação perante um órgão jurisdicional de um Estado-Membro, um utilizador que pretenda contestar a decisão de um detentor dos dados de recusar, suster ou suspender a partilha de dados nos termos dos n.os 7 e 8 pode:
| a) | Apresentar, nos termos do artigo 37.o, n.o 5, alínea b), uma reclamação junto da autoridade competente, que decide, sem demora injustificada, se a partilha de dados deve iniciar-se ou ser retomada, e em que condições; ou |
| b) | Acordar com o detentor dos dados em submeter a questão à apreciação de um organismo de resolução de litígios nos termos do artigo 10.o, n.o 1. |
10. O utilizador não pode utilizar os dados obtidos na sequência do pedido a que se refere o n.o 1 para desenvolver um produto conectado que concorra com o produto conectado do qual provêm os dados, nem partilhar os dados com terceiros com essa intenção, e não pode utilizar esses dados para obter informações sobre a situação económica, os ativos e os métodos de produção do fabricante ou, se aplicável, do detentor dos dados.
11. O utilizador não pode recorrer a meios coercivos nem utilizar abusivamente lacunas na infraestrutura técnica dos detentores dos dados concebida para proteger os dados, a fim de obter acesso aos mesmos.
12. Caso o utilizador não seja o titular dos dados cujos dados pessoais são solicitados, quaisquer dados pessoais gerados pela utilização de um produto conectado ou serviço conexo só podem ser disponibilizados pelo titular dos dados ao utilizador se existir um fundamento jurídico válido para o tratamento nos termos do artigo 6.o do Regulamento (UE) 2016/679 e, se for caso disso, estiverem preenchidas as condições do artigo 9.o do referido regulamento e do artigo 5.o, n.o 3, da Diretiva 2002/58/CE.
13. Os detentores dos dados só podem utilizar dados prontamente disponíveis que sejam dados não pessoais com base num contrato com o utilizador. Os detentores dos dados não podem utilizar esses dados para obter informações sobre a situação económica, os ativos e os métodos de produção do utilizador, ou sobre a utilização desses dados de qualquer outra forma que possa prejudicar a posição comercial desse utilizador nos mercados nos quais exerce a sua atividade.
14. Os detentores dos dados não podem disponibilizar a terceiros os dados não pessoais relativos a um produto para fins comerciais ou não comerciais que vão para além do cumprimento do seu contrato com o utilizador. Se for caso disso, os detentores dos dados devem vincular contratualmente os terceiros a não partilharem os dados de si recebidos.
Artigo 9.o
Compensação pela disponibilização de dados
1. Qualquer compensação acordada entre o detentor e o destinatário dos dados pela disponibilização dos dados no âmbito de relações entre empresas deve ser não discriminatória e razoável, podendo incluir uma margem.
2. Ao acordarem na compensação, o detentor e o destinatário dos dados devem ter em conta, em especial:
| a) | Os custos incorridos com a disponibilização dos dados, incluindo, em especial, os custos necessários para a formatação dos dados, a difusão por meios eletrónicos e a conservação; |
| b) | Os investimentos na recolha e produção dos dados, se aplicável, tendo em conta a eventualidade de outras partes terem contribuído para a obtenção, a geração ou a recolha dos dados em questão. |
3. A compensação referida no n.o 1 pode também depender do volume, do formato e da natureza dos dados.
4. Se o destinatário dos dados for uma PME ou uma organização de investigação sem fins lucrativos e não tiver empresas parceiras ou empresas associadas que não sejam consideradas PME, a compensação acordada não pode exceder os custos referidos no n.o 2, alínea a), do presente artigo.
5. A Comissão adota orientações sobre o cálculo da compensação razoável, tendo em conta o aconselhamento prestado pelo Comité Europeu da Inovação de Dados a que se refere o artigo 42.o.
6. O presente artigo não obsta a que outras disposições de direito da União ou de legislação nacional adotada em conformidade com o direito da União excluam a compensação pela disponibilização de dados ou prevejam uma compensação inferior.
7. O detentor dos dados deve facultar ao destinatário dos dados informação sobre a base de cálculo da compensação de forma suficientemente pormenorizada para que o destinatário dos dados possa avaliar se os requisitos dos n.os 1 a 4 são cumpridos.
Artigo 17.
Pedidos de disponibilização de dados
1. Ao solicitar dados nos termos do artigo 14.o, um organismo do setor público, a Comissão, o Banco Central europeu ou um órgão da União deve:
| a) | Especificar os dados que são necessários, incluindo os metadados pertinentes necessários para interpretar e utilizar esses dados; |
| b) | Demonstrar que estão reunidas as condições necessárias para a existência de uma necessidade excecional a que se refere o artigo 15.o para cujos fins se solicitam os dados; |
| c) | Explicar a finalidade do pedido, a utilização prevista dos dados solicitados, incluindo, se aplicável, por terceiros nos termos do n.o 4 do presente artigo, a duração dessa utilização e, se pertinente, a forma como o tratamento dos dados pessoais dará resposta à necessidade excecional; |
| d) | Especificar, se possível, quando se prevê que os dados sejam apagados por todas as partes que a eles têm acesso; |
| e) | Justificar a escolha do detentor dos dados ao qual é dirigido o pedido; |
| f) | Especificar quaisquer outros organismos do setor público, ou a Comissão, o Banco Central Europeu ou os órgãos da União e terceiros com os quais se prevê que os dados solicitados venham a ser partilhados; |
| g) | Caso sejam solicitados dados pessoais, especificar quaisquer medidas técnicas e organizativas necessárias e proporcionadas destinadas a aplicar os princípios da proteção de dados e as salvaguardas necessárias, tais como a pseudonimização, e se o detentor dos dados pode aplicar a anonimização antes de os disponibilizar; |
| h) | Indicar a disposição legal que atribui ao organismo do setor público requerente, à Comissão, ao Banco Central Europeu ou ao órgão da União a função específica de interesse público pertinente para o pedido dos dados; |
| i) | Especificar o prazo dentro do qual os dados devem ser disponibilizados e o prazo a que se refere o artigo 18.o, n.o 2, dentro do qual o detentor dos dados pode recusar o pedido ou solicitar a sua alteração; |
| j) | Envidar todos os esforços para evitar o cumprimento de um pedido de dados que resulte na responsabilidade dos detentores dos dados por violação do direito da União ou do direito nacional. |
2. Um pedido de dados apresentado nos termos do n.o 1 do presente artigo deve:
| a) | Ser formulado por escrito e em linguagem clara, concisa e simples, compreensível pelo detentor dos dados; |
| b) | Ser específico no que se refere ao tipo de dados solicitados e corresponder a dados que o detentor dos dados controla à data do pedido; |
| c) | Ser proporcional à necessidade excecional e devidamente justificado no que diz respeito à granularidade e volume dos dados solicitados e à frequência de acesso aos mesmos; |
| d) | Respeitar os objetivos legítimos do detentor dos dados, comprometendo-se a assegurar a proteção dos segredos comerciais, nos termos do artigo 19.o, n.o 3, e os custos e esforços necessários para disponibilizar os dados; |
| e) | Dizer respeito a dados não pessoais, e, apenas se se demonstrar que tal é insuficiente para dar resposta à necessidade excecional de utilizar dados, nos termos do artigo 15.o, n.o 1, alínea a), solicitar dados pessoais de forma pseudonimizada e definir as medidas técnicas e organizativas que serão tomadas para proteger os dados; |
| f) | Informar o detentor dos dados quanto às sanções que serão impostas nos termos do artigo 40.o pela autoridade competente designada nos termos do artigo 37.o em caso de incumprimento do pedido; |
| g) | Caso o pedido seja feito a um organismo do setor público, ser transmitido ao coordenador de dados a que se refere o artigo 37.o do Estado-Membro em que o organismo do setor público requerente está estabelecido, o qual deve e publicá-lo em linha sem demora injustificada, a menos que o coordenador de dados considere que tal publicação acarretaria um risco para a segurança pública. |
| h) | Caso o pedido seja feito pela Comissão, o Banco Central Europeu ou os órgãos da União, publicar os seus pedidos em linha sem demora injustificada; |
| i) | Caso sejam solicitados dados pessoais, ser notificado sem demora injustificada à autoridade de controlo responsável pela fiscalização da aplicação do Regulamento (UE) 2016/679 no Estado-Membro em que o organismo do setor público está estabelecido. |
O Banco Central Europeu e os órgãos da União informam a Comissão dos seus pedidos.
3. Os organismos do setor público, a Comissão, o Banco Central Europeu ou os órgãos da União não podem disponibilizar os dados obtidos nos termos do presente capítulo para reutilização, na aceção do artigo 2.o, ponto 2, do Regulamento (UE) 2022/868 ou do artigo 2.o, ponto 11, da Diretiva (UE) 2019/1024. O Regulamento (UE) 2022/868 e a Diretiva (UE) 2019/1024 não são aplicáveis aos dados na posse de organismos do setor público que tenham sido obtidos nos termos do presente capítulo.
4. O disposto no n.o 3 do presente artigo não obsta a que um organismo do setor público, a Comissão, o Banco Central Europeu ou um órgão da União proceda ao intercâmbio de dados obtidos nos termos do presente capítulo com outro organismo do setor público ou com a Comissão, o Banco Central Europeu ou um órgão da União, tendo em vista o desempenho das funções referidas no artigo 15.o, conforme especificado no pedido nos termos do n.o 1, alínea f), do presente artigo, ou disponibilize os dados a terceiros nos casos em que tenha delegado, por meio de um acordo publicamente disponível, inspeções técnicas ou outras funções a esse terceiro. As obrigações impostas aos organismos do setor público nos termos do artigo 19.o, em especial as salvaguardas destinadas a preservar a confidencialidade dos segredos comerciais, aplicam-se igualmente a esses terceiros. Caso um organismo do setor público, a Comissão, o Banco Central Europeu ou um órgão da União transmita ou disponibilize dados nos termos do presente número, deve, sem demora injustificada, notificar o detentor dos dados do qual recebeu esses dados.
5. Caso o detentor dos dados considere que os seus direitos ao abrigo do presente capítulo foram violados pela transmissão ou disponibilização dos dados, pode apresentar uma reclamação à autoridade competente, designada nos termos do artigo 37.o, do Estado-Membro em que o detentor dos dados está estabelecido.
6. A Comissão deve elaborar um modelo para os pedidos efetuados nos termos do presente artigo.
Artigo 21.
Partilha de dados obtidos no contexto de necessidades excecionais com organizações de investigação ou organismos de estatística
1. Um organismo do setor público, a Comissão, o Banco Central Europeu ou um órgão da União tem o direito de partilhar os dados recebidos nos termos do presente capítulo com:
| a) | Pessoas singulares ou organizações, com vista à realização de investigações ou análises científicas compatíveis com a finalidade para a qual os dados foram solicitados; ou |
| b) | Os institutos nacionais de estatística e o Eurostat, para a produção de estatísticas oficiais. |
2. As pessoas singulares ou as organizações que recebam os dados nos termos do n.o 1 devem perseguir fins não lucrativos ou agir no contexto de uma missão de interesse público reconhecida pelo direito da União ou pelo direito nacional. Não podem incluir organizações sobre as quais empresas comerciais tenham uma influência significativa que seja suscetível de dar origem a um acesso preferencial aos resultados da investigação.
3. As pessoas singulares ou as organizações que recebem os dados nos termos do n.o 1 do presente artigo devem cumprir as mesmas obrigações que são aplicáveis aos organismos do setor público, à Comissão, ao Banco Central Europeu ou aos órgãos da União nos termos do artigo 17.o, n.o 3, e do artigo 19.o.
4. Não obstante o disposto no artigo 19.o, n.o 1, alínea c), as pessoas singulares ou as organizações que recebem os dados nos termos do n.o 1 do presente artigo podem conservar os dados recebidos para a finalidade para a qual os mesmos foram solicitados durante um período máximo de seis meses após o apagamento dos dados por parte dos organismos do setor público, da Comissão, do Banco Central Europeu e dos órgãos da União.
5. Caso um organismo do setor público, a Comissão, o Banco Central Europeu ou um órgão da União tencione transmitir ou disponibilizar dados nos termos do n.o 1 do presente artigo, deve, sem demora injustificada, notificar o detentor dos dados do qual tenha recebido esses dados, indicando a identidade e os contactos da organização ou da pessoa singular que irá receber os dados, a finalidade da transmissão ou disponibilização dos dados, o período de utilização dos dados e as medidas de proteção adotadas, tanto técnicas como organizativas, nomeadamente quando estejam em causa dados pessoais ou segredos comerciais. Caso o detentor dos dados não concorde com a transmissão ou disponibilização dos dados, pode apresentar uma reclamação à autoridade competente, designada nos termos do artigo 37.o, do Estado-Membro em que o detentor dos dados está estabelecido.
Artigo 25.
Cláusulas contratuais relativas à mudança
1. Os direitos do cliente e as obrigações do prestador de serviços de tratamento de dados em relação à mudança de prestador desses serviços ou, se for caso disso, à transferência para uma infraestrutura informática local, devem ser estabelecidos de forma clara num contrato escrito. O prestador de serviços de tratamento de dados deve disponibilizar esse contrato ao cliente, antes de ser assinado, num suporte que permita ao cliente armazenar e reproduzir o contrato.
2. Sem prejuízo do disposto na Diretiva (UE) 2019/770, o contrato referido no n.o 1 do presente artigo deve incluir pelo menos os seguintes elementos:
| a) | Cláusulas que permitam ao cliente, mediante pedido, mudar para outro serviço de tratamento de dados oferecido por um prestador de serviços de tratamento de dados diferente ou transferir todos os dados exportáveis e ativos digitais para uma infraestrutura informática local, sem demora injustificada e, em qualquer caso, não excedendo o período de transição máximo obrigatório de 30 dias consecutivos, a iniciar após o período máximo de pré-aviso referido na alínea d), durante o qual o contrato de serviço permanece aplicável e durante o qual o prestador de serviços de tratamento de dados deve:
|
| b) | A obrigação do prestador de serviços de tratamento de dados de apoiar a estratégia de saída do cliente pertinente para os serviços contratados, inclusive através da prestação de todas as informações pertinentes; |
| c) | Uma cláusula que especifique que se considera que o contrato chegou ao seu termo e que o cliente será desse facto notificado, num dos seguintes casos:
|
| d) | Um prazo máximo de pré-aviso para o início do processo de mudança, que não pode exceder dois meses; |
| e) | A especificação exaustiva de todas as categorias de dados e ativos digitais que podem ser transferidas durante o processo de mudança, incluindo, no mínimo, todos os dados exportáveis; |
| f) | A especificação exaustiva das categorias de dados específicas ao funcionamento interno do serviço dos prestadores de serviços de tratamento de dados que devem ser excluídas dos dados exportáveis nos termos da alínea e) do presente número caso exista um risco de violação dos segredos comerciais do prestador, desde que essas exclusões não impeçam nem atrasem transferência mudança prevista no artigo 23.o; |
| g) | Um período mínimo de recuperação de dados de pelo menos 30 dias consecutivos, com início após o termo do período de transição acordado entre o cliente e o prestador de serviços de tratamento de dados, em conformidade com a alínea a) do presente número, e o n.o 4; |
| h) | Uma cláusula que garanta o apagamento integral de todos os dados exportáveis e ativos digitais gerados diretamente pelo cliente, ou diretamente relacionados com o cliente, após o termo do prazo de recuperação a que se refere a alínea g) ou após o termo de um prazo alternativo acordado que seja posterior ao termo do prazo de recuperação a que se refere a alínea g), desde que o processo de mudança tenha sido concluído com êxito; |
| i) | Encargos decorrentes da mudança que possam ser impostos pelos prestadores de serviços de tratamento de dados em conformidade com o artigo 29.o. |
3. O contrato a que se refere o n.o 1 deve incluir cláusulas que prevejam que o cliente pode notificar o prestador de serviços de tratamento de dados da sua decisão de realizar uma ou mais das seguintes ações após o termo do período de notificação máximo referido no n.o 2, alínea d):
| a) | Mudar para um prestador de serviços de tratamento de dados diferente, caso em que o cliente deve prestar as informações necessárias sobre esse prestador; |
| b) | Mudar para uma infraestrutura informática local; |
| c) | Apagar os seus dados exportáveis e ativos digitais. |
4. Caso o período máximo de transição obrigatório previsto no n.o 2, alínea a), seja tecnicamente inviável, o prestador de serviços de tratamento de dados deve notificar o cliente no prazo de 14 dias úteis a contar da formulação do pedido de mudança, e deve justificar devidamente a inviabilidade técnica e indicar um período de transição alternativo, que não pode ser superior a sete meses. Em conformidade com o n.o 1, a continuidade do serviço deve ser assegurada durante todo o período de transição alternativo.
5. Sem prejuízo do disposto no n.o 4, o contrato referido no n.o 1, deve incluir cláusulas que confiram ao cliente o direito de prorrogar o período de transição uma vez, por um período que o cliente considere mais adequado para os seus próprios fins.
Artigo 31.
Regime específico para determinados serviços de tratamento de dados
1. As obrigações previstas no artigo 23.o, alínea d), no artigo 29.o e no artigo 30.o, n.os 1 e 3, não se aplicam aos serviços de tratamento de dados em que a maioria das características principais tenha sido personalizada para dar resposta às exigências específicas de um cliente individual ou em que todos os componentes tenham sido desenvolvidos para os fins solicitados por um cliente individual, e caso esses serviços de tratamento de dados não sejam oferecidos em larga escala comercial através do catálogo de serviços do prestador de serviços de tratamento de dados.
2. As obrigações previstas no presente capítulo não se aplicam aos serviços de tratamento de dados prestados através de uma versão não destinada à produção para fins de teste e avaliação, e durante um período de tempo limitado.
3. Antes da celebração de um contrato relativo à prestação dos serviços de tratamento de dados referidos no presente artigo, o prestador de serviços de tratamento de dados deve informar o potencial cliente das obrigações do presente capítulo que não se aplicam.
CAPÍTULO VII
ACESSO E TRANSFERÊNCIA GOVERNAMENTAIS INTERNACIONAIS ILÍCITOS DE DADOS NÃO PESSOAIS
Artigo 44.
Outros atos jurídicos da União que regem os direitos e as obrigações em matéria de acesso e utilização de dados
1. Não são afetadas as obrigações específicas relativas à disponibilização de dados entre empresas, entre empresas e consumidores e, a título excecional, entre empresas e organismos públicos, constantes dos atos jurídicos da União que entraram em vigor em 11 de janeiro de 2024 ou antes dessa data, nem dos atos delegados ou de execução que se baseiam nos mesmos.
2. O presente regulamento não prejudica o direito da União que especifique requisitos adicionais, em função das necessidades de um setor, de um espaço europeu comum de dados ou de um domínio de interesse público, em especial no que diz respeito:
| a) | Aos aspetos técnicos do acesso aos dados; |
| b) | Aos limites dos direitos dos detentores dos dados de acederem a determinados dados facultados pelos utilizadores ou de os utilizarem; |
| c) | Aos aspetos que vão além do acesso e da utilização dos dados. |
3. O presente regulamento, com exceção do capítulo V, não prejudica o direito da União e o direito nacional que preveem o acesso aos dados e autorizam a utilização dos dados para fins de investigação científica.
whereas