keyboard_tab Data Act 2023/2854 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artigo 25. Cláusulas contratuais relativas à mudança
- 1 Artigo 27.
- 1 Artigo 28. Obrigações de transparência contratual em matéria de acesso e transferência internacionais
- 1 Artigo 37. Autoridades competentes e coordenadores de dados
CAPÍTULO I
DISPOSIÇÕES GERAIS
CAPÍTULO II
PARTILHA DE DADOS ENTRE EMPRESAS E CONSUMIDORES E ENTRE EMPRESAS
CAPÍTULO III
OBRIGAÇÕES DOS DETENTORES DOS DADOS OBRIGADOS A DISPONIBILIZAR OS DADOS NOS TERMOS DO DIREITO DA UNIÃO
CAPÍTULO IV
CLÁUSULAS CONTRATUAIS ABUSIVAS RELATIVAS AO ACESSO AOS DADOS E À SUA UTILIZAÇÃO ENTRE EMPRESAS
CAPÍTULO V
DISPONIBILIZAÇÃO DE DADOS AOS ORGANISMOS DO SETOR PÚBLICO, À COMISSÃO, AO BANCO CENTRAL EUROPEU E AOS ÓRGÃOS DA UNIÃO COM BASE EM NECESSIDADES EXCECIONAIS
CAPÍTULO VI
MUDANÇA ENTRE SERVIÇOS DE TRATAMENTO DE DADOS
CAPÍTULO VII
ACESSO E TRANSFERÊNCIA GOVERNAMENTAIS INTERNACIONAIS ILÍCITOS DE DADOS NÃO PESSOAIS
CAPÍTULO VIII
INTEROPERABILIDADE
CAPÍTULO IX
EXECUÇÃO E FISCALIZAÇÃO DO CUMPRIMENTO
CAPÍTULO X
DIREITO SUI GENERIS NOS TERMOS DA DIRETIVA 96/9/CE
CAPÍTULO XI
DISPOSIÇÕES FINAIS
- dados 56
- presente 32
- serviços 31
- autoridades 27
- tratamento 24
- regulamento 24
- para 22
- competentes 20
- cliente 17
- aplicação 17
- prestador 15
- mudança 13
- no 13
- devem 13
- união 13
- pelo 13
- autoridade 11
- entidade 11
- período 11
- caso 10
- estado-membro 10
- pela 10
- são 9
- não 9
- todas 9
- informações 9
- funções 9
- contrato 9
- competente 8
- após 8
- competência 8
- direito 8
- termos 8
- transferência 7
- prazo 7
- seus 7
- cumprimento 7
- referido 7
- respeito 7
- pedido 7
- processo 7
- âmbito 7
- conformidade 7
- exportáveis 6
- artigo o 6
- prestadores 6
- serviço 6
- durante 6
- máximo 6
- transição 6
Artigo 25.
Cláusulas contratuais relativas à mudança
1. Os direitos do cliente e as obrigações do prestador de serviços de tratamento de dados em relação à mudança de prestador desses serviços ou, se for caso disso, à transferência para uma infraestrutura informática local, devem ser estabelecidos de forma clara num contrato escrito. O prestador de serviços de tratamento de dados deve disponibilizar esse contrato ao cliente, antes de ser assinado, num suporte que permita ao cliente armazenar e reproduzir o contrato.
2. Sem prejuízo do disposto na Diretiva (UE) 2019/770, o contrato referido no n.o 1 do presente artigo deve incluir pelo menos os seguintes elementos:
| a) | Cláusulas que permitam ao cliente, mediante pedido, mudar para outro serviço de tratamento de dados oferecido por um prestador de serviços de tratamento de dados diferente ou transferir todos os dados exportáveis e ativos digitais para uma infraestrutura informática local, sem demora injustificada e, em qualquer caso, não excedendo o período de transição máximo obrigatório de 30 dias consecutivos, a iniciar após o período máximo de pré-aviso referido na alínea d), durante o qual o contrato de serviço permanece aplicável e durante o qual o prestador de serviços de tratamento de dados deve:
|
| b) | A obrigação do prestador de serviços de tratamento de dados de apoiar a estratégia de saída do cliente pertinente para os serviços contratados, inclusive através da prestação de todas as informações pertinentes; |
| c) | Uma cláusula que especifique que se considera que o contrato chegou ao seu termo e que o cliente será desse facto notificado, num dos seguintes casos:
|
| d) | Um prazo máximo de pré-aviso para o início do processo de mudança, que não pode exceder dois meses; |
| e) | A especificação exaustiva de todas as categorias de dados e ativos digitais que podem ser transferidas durante o processo de mudança, incluindo, no mínimo, todos os dados exportáveis; |
| f) | A especificação exaustiva das categorias de dados específicas ao funcionamento interno do serviço dos prestadores de serviços de tratamento de dados que devem ser excluídas dos dados exportáveis nos termos da alínea e) do presente número caso exista um risco de violação dos segredos comerciais do prestador, desde que essas exclusões não impeçam nem atrasem transferência mudança prevista no artigo 23.o; |
| g) | Um período mínimo de recuperação de dados de pelo menos 30 dias consecutivos, com início após o termo do período de transição acordado entre o cliente e o prestador de serviços de tratamento de dados, em conformidade com a alínea a) do presente número, e o n.o 4; |
| h) | Uma cláusula que garanta o apagamento integral de todos os dados exportáveis e ativos digitais gerados diretamente pelo cliente, ou diretamente relacionados com o cliente, após o termo do prazo de recuperação a que se refere a alínea g) ou após o termo de um prazo alternativo acordado que seja posterior ao termo do prazo de recuperação a que se refere a alínea g), desde que o processo de mudança tenha sido concluído com êxito; |
| i) | Encargos decorrentes da mudança que possam ser impostos pelos prestadores de serviços de tratamento de dados em conformidade com o artigo 29.o. |
3. O contrato a que se refere o n.o 1 deve incluir cláusulas que prevejam que o cliente pode notificar o prestador de serviços de tratamento de dados da sua decisão de realizar uma ou mais das seguintes ações após o termo do período de notificação máximo referido no n.o 2, alínea d):
| a) | Mudar para um prestador de serviços de tratamento de dados diferente, caso em que o cliente deve prestar as informações necessárias sobre esse prestador; |
| b) | Mudar para uma infraestrutura informática local; |
| c) | Apagar os seus dados exportáveis e ativos digitais. |
4. Caso o período máximo de transição obrigatório previsto no n.o 2, alínea a), seja tecnicamente inviável, o prestador de serviços de tratamento de dados deve notificar o cliente no prazo de 14 dias úteis a contar da formulação do pedido de mudança, e deve justificar devidamente a inviabilidade técnica e indicar um período de transição alternativo, que não pode ser superior a sete meses. Em conformidade com o n.o 1, a continuidade do serviço deve ser assegurada durante todo o período de transição alternativo.
5. Sem prejuízo do disposto no n.o 4, o contrato referido no n.o 1, deve incluir cláusulas que confiram ao cliente o direito de prorrogar o período de transição uma vez, por um período que o cliente considere mais adequado para os seus próprios fins.
Artigo 27.
Dever de boa-fé
Todas as partes envolvidas, incluindo os prestadores de serviços de tratamento de dados de destino, devem cooperar de boa-fé a fim de tornar o processo de mudança eficaz, de possibilitar a transferência atempada dos dados e de manter a continuidade do serviço de tratamento de dados.
Artigo 28.
Obrigações de transparência contratual em matéria de acesso e transferência internacionais
1. Os prestadores de serviços de tratamento de dados devem facultar e manter atualizadas nos seus sítios Web as seguintes informações:
| a) | A jurisdição a que está sujeita a infraestrutura informática implantada para o tratamento de dados de cada um dos seus serviços; |
| b) | Uma descrição geral das medidas técnicas, organizativas e contratuais adotadas pelo prestador de serviços de tratamento de dados a fim de impedir o acesso governamental internacional a dados não pessoais detidos na União ou a sua transferência, caso esse acesso ou transferência seja suscetível de criar um conflito com o direito da União ou o direito nacional do Estado-Membro pertinente. |
2. Os sítios Web a que se refere o n.o 1 devem ser elencados nos contratos relativos a todos os serviços de tratamento de dados oferecidos pelos prestadores de serviços de tratamento de dados.
Artigo 37.
Autoridades competentes e coordenadores de dados
1. Cada Estado-Membro designa uma ou mais autoridades competentes que serão responsáveis pela execução e pela fiscalização do cumprimento do presente regulamento (autoridades competentes). Os Estados-Membros podem criar uma ou várias novas autoridades ou recorrer às existentes.
2. Se um Estado-Membro designar mais do que uma autoridade competente, designa uma delas como coordenador de dados, a fim de facilitar a cooperação entre as autoridades competentes e de apoiar as entidades abrangidas pelo âmbito de aplicação do presente regulamento em todas as matérias relacionadas com a sua aplicação e com a fiscalização do seu cumprimento. As autoridades competentes devem cooperar entre si no exercício das funções e competências que lhes são conferidas nos termos do n.o 5.
3. As autoridades de controlo responsáveis pela fiscalização da aplicação do Regulamento (UE) 2016/679 são responsáveis pela fiscalização da aplicação do presente regulamento no que diz respeito à proteção dos dados pessoais. Os capítulos VI e VII do Regulamento (UE) 2016/679 são aplicáveis com as devidas adaptações.
A Autoridade Europeia para a Proteção de Dados é responsável pelo controlo da aplicação do presente regulamento na medida em que diga respeito à Comissão, ao Banco Central Europeu ou aos órgãos da União. Se pertinente, o artigo 62.o do Regulamento (UE) 2018/1725 é aplicável com as devidas adaptações.
As funções e as competências das autoridades de controlo referidas no presente parágrafo são exercidas no que diz respeito ao tratamento de dados pessoais.
4. Sem prejuízo do disposto no n.o 1 do presente artigo:
| a) | No caso de questões específicas de acesso e utilização setoriais de dados relacionadas com a aplicação do presente regulamento, deve ser respeitada a competência das autoridades setoriais; |
| b) | A autoridade competente responsável pela execução e pela fiscalização e garantia do cumprimento do disposto nos artigos 23.o a 31.o e nos artigos 34.o e 35.odeve ter experiência no domínio dos dados e dos serviços de comunicações eletrónicas. |
5. Os Estados-Membros devem assegurar que as funções e competências das autoridades competentes são claramente definidas e incluem:
| a) | A promoção da literacia de dados e da sensibilização dos utilizadores e das entidades abrangidas pelo âmbito de aplicação do presente regulamento no que se refere aos direitos e às obrigações previstos no presente regulamento; |
| b) | O tratamento das reclamações decorrentes de alegadas infrações ao presente regulamento, incluindo no que diz respeito a segredos comerciais, e a investigação, na medida do necessário, do conteúdo das reclamações, e prestação regular de informações aos seus autores, se pertinente nos termos da legislação nacional, sobre o andamento e o resultado das investigações num prazo razoável, em especial se for necessário realizar atividades de investigação ou de coordenação complementares com outras autoridades competentes; |
| c) | A realização de investigações em matérias relativas à execução do presente regulamento, nomeadamente com base em informações recebidas de outras autoridades competentes ou de outras autoridades públicas; |
| d) | A imposição de sanções financeiras efetivas, proporcionadas e dissuasivas, que podem incluir sanções periódicas e sanções com efeitos retroativos, ou a instauração de processos judiciais para a aplicação de coimas; |
| e) | O acompanhamento da evolução tecnológica e comercial pertinente para a disponibilização e a utilização dos dados; |
| f) | A cooperação com as autoridades competentes de outros Estados-Membros, e, se for caso disso, com a Comissão ou o Comité Europeu da Inovação de Dados, a fim de assegurar a aplicação coerente e eficiente do presente regulamento, incluindo o intercâmbio de todas as informações pertinentes por via eletrónica, sem demora injustificada, incluindo no que diz respeito ao n.o 10 do presente artigo; |
| g) | A cooperação com as autoridades competentes responsáveis pela execução de outros atos jurídicos nacionais ou da União, nomeadamente as autoridades competentes no domínio dos dados e dos serviços de comunicações eletrónicas, com a autoridade de controlo responsável pela fiscalização da aplicação do Regulamento (UE) 2016/679 ou com as autoridades setoriais, a fim de garantir que o presente regulamento é aplicado de uma forma coerente com outra legislação nacional e da União; |
| h) | A cooperação com todas as autoridades competentes, a fim de assegurar que as obrigações previstas nos artigos 23.o a 31.o e nos artigos 34.o e 35.o são aplicadas de forma coerente com outro direito da União e com a autorregulação aplicável aos prestadores de serviços de tratamento de dados; |
| i) | A garantia de que os encargos pela mudança de prestador de serviços de tratamento de dados são suprimidos, em conformidade com o artigo 29.o; |
| j) | A análise dos pedidos de dados feitos ao abrigo do capítulo V. |
Caso seja designado, o coordenador de dados facilita a cooperação referida nas alíneas f), g) e h) do primeiro parágrafo e presta assistência às autoridades competentes, a pedido destas.
6. O coordenador de dados, nos casos em que uma autoridade competente tenha sido designada como tal, deve:
| a) | Atuar como ponto de contacto único para todas as questões relacionadas com a aplicação do presente regulamento; |
| b) | Garantir a publicação em linha dos pedidos de disponibilização dos dados apresentados por organismos do setor público em caso de necessidade excecional ao abrigo do capítulo V, e promover a partilha voluntária de dados entre os organismos do setor público e os detentores dos dados; |
| c) | Informar anualmente a Comissão das recusas notificadas nos termos do artigo 4.o, n.os 2 e 8, e do artigo 5.o, n.o 11. |
7. Os Estados-Membros devem notificar a Comissão dos nomes das autoridades competentes e das suas funções e competências e, se aplicável, do nome do coordenador de dados. A Comissão deve manter um registo público dessas autoridades.
8. No desempenho das suas funções e no exercício das suas competências em conformidade com o presente regulamento, as autoridades competentes devem ser imparciais e estar livres de qualquer influência externa, direta ou indireta, e não solicitar nem aceitar instruções relativas a casos individuais de qualquer outra autoridade pública ou de qualquer entidade privada.
9. Os Estados-Membros devem assegurar que as autoridades competentes dispõem dos recursos humanos e técnicos suficientes e dos conhecimentos especializados pertinentes para desempenhar adequadamente as suas funções em conformidade com o presente regulamento.
10. As entidades abrangidas pelo âmbito de aplicação do presente regulamento são da competência do Estado-Membro em que estão estabelecidas. Se a entidade estiver estabelecida em mais do que um Estado-Membro, considera-se que é da competência do Estado-Membro em que tem o seu estabelecimento principal, ou seja, aquele em que a entidade tem os serviços centrais ou sede social a partir dos quais são exercidas as principais funções financeiras e o controlo operacional.
11. As entidades abrangidas pelo âmbito de aplicação do presente regulamento que disponibilizem produtos conectados ou ofereçam serviços conexos na União e que não estejam estabelecidas na União designam um representante legal num dos Estados-Membros.
12. A fim de garantir o cumprimento do presente regulamento, toda e qualquer entidade abrangida pelo âmbito de aplicação do presente regulamento que disponibilize produtos conectados ou ofereça serviços conexos na União deve mandatar um representante legal para ser contactado pelas autoridades competentes, em complemento ou em substituição da referida entidade, no que diz respeito a todas as questões relacionadas com essa entidade. O referido representante legal deve cooperar com as autoridades competentes e demonstrar-lhes de forma exaustiva, mediante pedido, as medidas tomadas e as disposições adotadas pela entidade abrangida pelo âmbito de aplicação do presente regulamento que disponibiliza produtos conectados ou oferece serviços conexos na União para garantir o cumprimento do presente regulamento.
13. Considera-se que uma entidade abrangida pelo âmbito de aplicação do presente regulamento que disponibilize produtos conectados ou ofereça serviços na União está sob a competência do Estado-Membro em que está situado o seu representante legal. A designação de um representante legal por essa entidade é realizada sem prejuízo da sua responsabilidade e de eventuais ações judiciais que possam vir a ser intentadas contra a mesma. Até ao momento em que designe um representante legal nos termos do presente artigo, a entidade é da competência de todos os Estados-Membros, se aplicável, a fim de assegurar a aplicação e o cumprimento do presente regulamento. Toda e qualquer autoridade competente pode exercer a sua competência, nomeadamente através da imposição de sanções efetivas, proporcionadas e dissuasivas, desde que a entidade não esteja sujeita a procedimentos de execução nos termos do presente regulamento por outra autoridade competente a respeito dos mesmos factos.
14. As autoridades competentes têm competência para solicitar aos utilizadores, aos detentores dos dados ou aos destinatários dos dados, ou aos seus representantes legais, que sejam da competência do respetivo Estado-Membro, todas as informações necessárias para verificar o cumprimento do presente regulamento. Os pedidos de informações devem ser proporcionados em relação ao desempenho da função subjacente e devem ser fundamentados.
15. Caso uma autoridade competente de um Estado-Membro solicite assistência ou medidas de execução a uma autoridade competente de outro Estado-Membro, deve apresentar para o efeito um pedido fundamentado. Após receber o referido pedido, a autoridade competente deve fornecer uma resposta em que descreva pormenorizadamente as medidas tomadas ou previstas, sem demora injustificada.
16. As autoridades competentes devem respeitar o princípio da confidencialidade e do sigilo profissional e comercial e proteger os dados pessoais nos termos do direito da União ou do direito nacional. As informações trocadas no contexto de um pedido de assistência e facultadas nos termos do presente artigo só podem ser usadas relativamente ao assunto para o qual foram solicitadas.
whereas