Data Act 2023/2854 PT

a)	A disponibilização de dados relativos a um produto e de dados relativos a um serviço conexo ao utilizador do produto conectado ou do serviço conexo;

b)	A disponibilização de dados pelos detentores dos dados aos destinatários dos dados;

c)	A disponibilização de dados pelos detentores dos dados a organismos do setor público, à Comissão, ao Banco Central Europeu e aos órgãos da União, quando haja uma necessidade excecional desses dados, para o desempenho de uma missão específica de interesse público;

d)	A facilitação da mudança entre serviços de tratamento de dados;

e)	A introdução de salvaguardas contra o acesso ilícito de terceiros a dados não pessoais; e

f)	O desenvolvimento de normas de interoperabilidade para os dados a que se pretenda aceder e que se pretenda transferir e utilizar.

2. O presente regulamento abrange os dados pessoais e não pessoais, incluindo os seguintes tipos de dados, nos seguintes contextos:

a)	O capítulo II é aplicável aos dados, com exceção dos conteúdos, relativos ao desempenho, à utilização e ao ambiente dos produtos conectados e serviços conexos;

b)	O capítulo III é aplicável aos dados do setor privado sujeitos a obrigações legais de partilha de dados;

c)	O capítulo IV é aplicável aos dados do setor privado acedidos e utilizados com base em contratos entre empresas;

d)	O capítulo V é aplicável aos dados do setor privado, com destaque para os dados não pessoais;

e)	O capítulo VI é aplicável a todos os dados e serviços tratados por prestadores de serviços de tratamento de dados;

f)	O capítulo VII é aplicável aos dados não pessoais detidos na União por prestadores de serviços de tratamento de dados.

3. O presente regulamento é aplicável:

a)	Aos fabricantes de produtos conectados colocados no mercado da União e aos prestadores de serviços conexos, independentemente do local de estabelecimento desses fabricantes e prestadores;

b)	Aos utilizadores na União de produtos conectados ou serviços conexos referidos na alínea a);

c)	Aos detentores dos dados, independentemente do seu local de estabelecimento, que disponibilizam os dados a destinatários dos dados na União;

d)	Aos destinatários dos dados na União a quem os dados são disponibilizados;

Aos organismos do setor público, à Comissão, ao Banco Central Europeu e aos órgãos da União que solicitam aos detentores dos dados que os disponibilizem quando exista uma necessidade excecional desses dados para o desempenho de uma missão específica de interesse público, e aos detentores dos dados que os facultam em resposta a esse pedido;

f)	Aos prestadores de serviços de tratamento de dados, independentemente do seu local de estabelecimento, que prestam esses serviços a clientes na União;

g)	Aos participantes em espaços de dados e aos vendedores de aplicações que utilizem contratos inteligentes e às pessoas cuja atividade comercial, empresarial ou profissional implique a implantação de contratos inteligentes para terceiros no contexto da execução de um acordo.

4. Sempre que o presente regulamento fizer referência a produtos conectados ou serviços conexos, entende-se que essas referências incluem igualmente os assistentes virtuais, na medida em que interajam com um produto conectado ou serviço conexo.

5. O presente regulamento não prejudica o direito da União e o direito nacional em matéria de proteção de dados pessoais, privacidade e confidencialidade das comunicações e integridade dos equipamentos terminais, os quais são aplicáveis aos dados pessoais tratados no âmbito dos direitos e obrigações estabelecidos no presente regulamento, nomeadamente os Regulamentos (UE) 2016/679 e (UE) 2018/1725 e a Diretiva 2002/58/CE, incluindo os poderes e as competências das autoridades de controlo ou os direitos dos titulares dos dados. Na medida em que os utilizadores sejam titulares dos dados, os direitos estabelecidos no capítulo II do presente regulamento complementam o direito de acesso por parte do titular dos dados e o direito de portabilidade dos dados previstos nos artigos 15.o e 20.o do Regulamento (UE) 2016/679. Em caso de conflito entre o presente regulamento e o direito da União em matéria de proteção de dados pessoais ou de privacidade, ou a legislação nacional adotada em conformidade com o referido direito da União, prevalece o direito da União ou o direito nacional aplicáveis em matéria de proteção de dados pessoais ou de privacidade.

6. O presente regulamento não é aplicável a acordos voluntários de intercâmbio de dados entre entidades privadas e públicas, nem prejudica esses acordos, em especial acordos voluntários de partilha de dados.

O presente regulamento não afeta os atos jurídicos nacionais ou da União que preveem a partilha, o acesso e a utilização de dados para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, ou para efeitos aduaneiros e fiscais, nomeadamente os Regulamentos (UE) 2021/784, (UE) 2022/2065 e (UE) 2023/1543, a Diretiva (UE) 2023/1544 ou a cooperação internacional nesse domínio. O presente regulamento não é aplicável à recolha, partilha ou utilização de dados, nem ao acesso aos mesmos, nos termos do Regulamento (UE) 2015/847 e da Diretiva (UE) 2015/849. O presente regulamento não é aplicável a domínios não abrangidos pelo âmbito de aplicação do direito da União, e não afeta, em caso algum, as competências dos Estados-Membros em matéria de segurança pública, defesa ou segurança nacional, independentemente do tipo de entidade incumbida pelos Estados-Membros de desempenhar funções relacionadas com essas competências, nem os seus poderes para salvaguardar outras funções essenciais do Estado, nomeadamente a garantia da integridade territorial do Estado e a manutenção da ordem pública. O presente regulamento não afeta as competências dos Estados-Membros em matéria de administração aduaneira e fiscal ou de saúde e segurança dos cidadãos.

7. O presente regulamento complementa a abordagem de autorregulação constante do Regulamento (UE) 2018/1807 ao introduzir obrigações de aplicação geral em matéria de mudança de prestador de serviços de computação em nuvem.

8. O presente regulamento não prejudica os atos jurídicos nacionais e da União que preveem a proteção de direitos de propriedade intelectual, em especial as Diretivas 2001/29/CE, 2004/48/CE e (UE) 2019/790.

9. O presente regulamento complementa e não prejudica o direito da União que visa promover os interesses dos consumidores e assegurar um elevado nível de defesa dos consumidores, bem como proteger a sua saúde, segurança e interesses económicos, em especial as Diretivas 93/13/CEE, 2005/29/CE e 2011/83/UE.

10. O presente regulamento não obsta à celebração de contratos de caráter voluntário e lícito de partilha de dados, nomeadamente contratos celebrados numa base recíproca, que cumpram os requisitos previstos no presente regulamento.

Artigo 2.o

Definições

Para efeitos do presente regulamento, entende-se por:

1)	«Dados», qualquer representação digital de atos, factos ou informações e qualquer compilação desses atos, factos ou informações, incluindo sob a forma de gravação sonora, visual ou audiovisual;

2)	«Metadados», uma descrição estruturada do conteúdo ou da utilização dos dados, que facilita a pesquisa ou a utilização desses dados;

3)	«Dados pessoais», dados pessoais na aceção do artigo 4.o, ponto 1, do Regulamento (UE) 2016/679;

4)	«Dados não pessoais», dados que não sejam dados pessoais;

«Produto conectado», um bem que obtém, gera ou recolhe dados relativos à sua utilização ou ao seu ambiente e que é capaz de comunicar dados relativos a um produto através de um serviço de comunicações eletrónicas, de uma conexão física ou do acesso no dispositivo, e cuja função principal não consiste na conservação, no tratamento ou na transmissão de dados em nome de quaisquer partes que não sejam o utilizador;

«Serviço conexo», um serviço digital, que não seja um serviço de comunicações eletrónicas, incluindo software, conectado ao produto no momento da aquisição ou locação de tal modo que a sua ausência impediria que o produto conectado desempenhasse uma ou mais das suas funções, ou conectado posteriormente ao produto pelo fabricante ou por terceiros, a fim de aumentar, atualizar ou adaptar as funções do produto conectado;

«Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados ou conjuntos de dados, através de procedimentos automatizados ou não automatizados, como por exemplo a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, a difusão ou quaisquer outros meios de disponibilização dos mesmos, o alinhamento ou a combinação, a limitação, o apagamento ou a destruição;

«Serviço de tratamento de dados», um serviço digital que é prestado a um cliente e que permite um acesso em rede, ubíquo e a pedido, a um conjunto partilhado de recursos de computação configuráveis, moduláveis e adaptáveis, de natureza centralizada, distribuída ou altamente distribuída, que é suscetível de ser rapidamente disponibilizado e libertado com um nível mínimo de esforço de gestão ou de interação com o prestador do serviço;

9)	«Mesmo tipo de serviço», um conjunto de serviços de tratamento de dados que partilham o mesmo objetivo principal, o mesmo modelo de serviço de tratamento de dados e as principais funcionalidades;

10)	«Serviço de intermediação de dados», um serviço de intermediação de dados na aceção do artigo 2.o, ponto 11, do Regulamento (UE) 2022/868;

11)	«Titular dos dados», o titular dos dados a que se refere o artigo 4.o, ponto 1, do Regulamento (UE) 2016/679;

12)	«Utilizador», uma pessoa singular ou coletiva que é proprietária de um produto conectado ou para quem foram transferidos, com base num contrato, direitos temporários à utilização desse produto conectado, ou que recebe serviços conexos;

13)

«Detentor dos dados», uma pessoa singular ou coletiva que tem o direito ou a obrigação, nos termos do presente regulamento, do direito aplicável da União ou da legislação nacional adotada em conformidade com o direito da União, de utilizar e de disponibilizar determinados dados, nomeadamente, caso tal tenha sido acordado contratualmente, dados relativos a um produto ou dados relativos a um serviço conexo que tenha recuperado ou gerado durante a prestação de um serviço conexo;

14)

«Destinatário dos dados», uma pessoa singular ou coletiva que age para fins relacionados com a sua atividade comercial, ofício ou profissão, que não seja o utilizador de um produto conectado ou serviço conexo, à qual o detentor dos dados disponibiliza os dados, incluindo um terceiro na sequência de um pedido do utilizador ao detentor dos dados ou em conformidade com uma obrigação jurídica ao abrigo do direito da União ou da legislação nacional adotada em conformidade com o direito da União;

15)

«Dados relativos a um produto», dados gerados pela utilização de um produto conectado concebido pelo fabricante para que os mesmos sejam recuperáveis através de um serviço de comunicações eletrónicas, de uma conexão física ou do acesso no dispositivo, por parte de um utilizador, de um detentor dos dados ou de terceiros, incluindo, se for caso disso, o fabricante;

16)

«Dados relativos a um serviço conexo», dados que representam a digitalização das ações do utilizador ou dos eventos relacionados com o produto conectado, registados intencionalmente pelo utilizador ou gerados como subproduto da ação do utilizador durante a prestação de um serviço conexo pelo prestador de serviços;

17)

«Dados prontamente disponíveis», dados relativos a um produto e dados relativos a um serviço conexo legalmente obtidos por um detentor dos dados ou suscetíveis de por ele serem legalmente obtidos a partir do produto conectado ou serviço conexo, sem um esforço desproporcionado que vá para além de uma operação simples;

18)	«Segredo comercial», um segredo comercial na aceção do artigo 2.o, ponto 1, da Diretiva (UE) 2016/943;

19)	«Titular do segredo comercial», um titular do segredo comercial na aceção do artigo 2.o, ponto 2, da Diretiva (UE) 2016/943;

20)	«Definição de perfis», a definição de perfis na aceção do artigo 4.o, n.o 4, do Regulamento (UE) 2016/679;

21)	«Disponibilização no mercado», o fornecimento de um produto conectado para distribuição, consumo ou utilização no mercado da União no âmbito de uma atividade comercial, a título oneroso ou gratuito;

22)	«Colocação no mercado», a primeira disponibilização de um produto conectado no mercado da União;

23)	«Consumidor», qualquer pessoa singular que atue com fins que não se incluam no âmbito da sua atividade comercial, ofício ou profissão;

24)	«Empresa», uma pessoa singular ou coletiva que, no que respeita às práticas e aos contratos abrangidos pelo presente regulamento, age para fins relacionados com a sua atividade comercial, ofício ou profissão;

25)	«Pequena empresa», uma pequena empresa na aceção do artigo 2.o, n.o 2, do anexo da Recomendação 2003/361/CE;

26)	«Microempresa», uma microempresa na aceção do artigo 2.o, n.o 3, do anexo da Recomendação 2003/361/CE;

27)	«Órgãos da União», os órgãos e organismos da União estabelecidos através de atos legislativos adotados com base no Tratado sobre a União Europeia, no TFUE ou no Tratado que institui a Comunidade Europeia da Energia Atómica ou ao abrigo daqueles atos legislativos;

28)	«Organismo do setor público», as autoridades nacionais, regionais ou locais dos Estados-Membros e os organismos de direito público dos Estados-Membros, ou as associações formadas por uma ou várias dessas autoridades ou por um ou vários desses organismos;

29)

«Emergência pública», uma situação excecional, limitada no tempo, como uma emergência de saúde pública, uma emergência resultante de catástrofes naturais ou uma catástrofe de grandes proporções de origem humana, incluindo incidentes importantes em matéria de cibersegurança, que afeta negativamente a população da União ou que afeta um Estado-Membro ou parte dele, com o risco de repercussões graves e duradouras nas condições de vida, na estabilidade económica ou na estabilidade financeira, ou com o risco de degradação significativa e imediata dos ativos económicos da União ou dos Estados-Membros em causa, e que é determinada ou oficialmente declarada de acordo com os procedimentos previstos no direito da União ou nacional;

30)	«Cliente», uma pessoa singular ou coletiva que tenha estabelecido uma relação contratual com um prestador de serviços de tratamento de dados com o objetivo de utilizar um ou mais serviços de tratamento de dados;

31)	«Assistentes virtuais», software com capacidade para tratar pedidos, funções ou perguntas, nomeadamente os que se baseiam em sons, textos, gestos ou movimentos, e que, com base nesses pedidos, funções ou perguntas, proporciona acesso a outros serviços ou controla as funções de produtos conectados;

32)	«Ativos digitais», elementos em formato digital, incluindo aplicações, para os quais o cliente tem o direito de utilização, independentemente da relação contratual estabelecida com o serviço de tratamento de dados do qual o cliente se pretende mudar;

33)	«Infraestrutura informática local», uma infraestrutura de tecnologias de informação e comunicação e recursos de computação de que o cliente é proprietário ou locatário localizados no centro de dados do próprio cliente e operados pelo cliente ou por um terceiro;

34)

«Mudança», o processo que envolve um prestador de serviços de tratamento de dados de origem, um cliente de um serviço de tratamento de dados e, se for o caso, um prestador de serviços de tratamento de dados de destino, pelo qual o cliente de um serviço de tratamento de dados passa da utilização de um serviço de tratamento de dados para a utilização de outro serviço de tratamento de dados do mesmo tipo de serviço, ou de outro serviço, disponibilizado por um prestador de serviços de tratamento de dados diferente, ou de uma infraestrutura informática local, nomeadamente através da extração, da transformação e do carregamento dos dados;

35)

«Encargos decorrentes da saída de dados», as comissões de transferência de dados cobradas aos clientes pela extração dos seus dados, através da rede, da infraestrutura informática de um prestador de serviços de tratamento de dados para os sistemas de um prestador diferente ou para infraestruturas informáticas locais;

36)

«Encargos decorrentes da mudança», encargos, que não as comissões habituais cobradas pelo serviço ou penalizações por rescisão antecipada de contrato, impostos por um prestador de serviços de tratamento de dados a um cliente pelas ações exigidas pelo presente regulamento para a mudança para os sistemas de um prestador diferente ou para infraestruturas informáticas locais, incluindo encargos decorrentes da saída de dados;

37)

«Equivalência funcional», o restabelecimento, com base nos dados exportáveis e nos ativos digitais do cliente, de um nível mínimo de funcionalidade no ambiente de um novo serviço de tratamento de dados do mesmo tipo de serviço após o processo de mudança, em que o serviço de tratamento de dados de destino produz um resultado materialmente comparável em resposta à mesma entrada de características partilhadas fornecida ao cliente ao abrigo do contrato;

38)

«Dados exportáveis», para efeitos dos artigos 23.o a 31.o e do artigo 35.o, os dados de entrada e saída, incluindo metadados, direta ou indiretamente gerados ou cogerados pela utilização, pelo cliente, do serviço de tratamento de dados, excluindo quaisquer ativos ou dados protegidos por direitos de propriedade intelectual, ou que constituam um segredo comercial, de prestadores do serviço de tratamento de dados ou de terceiros;

39)	«Contrato inteligente», um programa de computador utilizado para a execução automática de um acordo ou de parte dele, utilizando uma sequência de registos eletrónicos de dados e garantindo a sua integridade e a exatidão do seu ordenamento cronológico;

40)	«Interoperabilidade», a capacidade de dois ou mais espaços de dados ou redes de comunicações, sistemas, produtos conectados, aplicações, serviços de tratamento de dados ou componentes procederem ao intercâmbio de dados e os utilizarem, de modo a desempenharem as suas funções;

41)	«Especificações de interoperabilidade aberta», as especificações técnicas no domínio informático, que são orientadas para a concretização da interoperabilidade entre serviços de tratamento de dados;

42)	«Especificações comuns», um documento, que não uma norma, que contém soluções técnicas que proporcionam um meio para cumprir certos requisitos e obrigações estabelecidas no presente regulamento;

43)	«Norma harmonizada», uma norma harmonizada na aceção do artigo 2.o, ponto 1, alínea c), do Regulamento (UE) n.o 1025/2012.

CAPÍTULO II

PARTILHA DE DADOS ENTRE EMPRESAS E CONSUMIDORES E ENTRE EMPRESAS

Artigo 3.o

Obrigação de tornar acessíveis ao utilizador os dados relativos a um produto e os dados relativos a um serviço conexo

1. Os produtos conectados devem ser concebidos e fabricados, e os serviços conexos concebidos e prestados, de modo a que os dados relativos a um produto e os dados relativos a um serviço conexo, incluindo os metadados pertinentes necessários para interpretar e utilizar os dados, sejam acessíveis ao utilizador por defeito de forma fácil, segura e gratuita e num formato abrangente, estruturado, de uso corrente e de leitura automática e, quando pertinente e tecnicamente viável, de forma direta.

2. Antes da celebração de um contrato destinado à aquisição ou locação de um produto conectado, o vendedor ou o locador, os quais podem ser o fabricante, deve facultar ao utilizador, de uma forma clara e compreensível, pelo menos as seguintes informações:

a)	O tipo, o formato e o volume estimado dos dados relativos a um produto que o produto conectado é capaz de gerar;

b)	Se o produto conectado é capaz de gerar dados continuamente e em tempo real;

c)	Se o produto conectado é capaz de conservar dados no dispositivo ou num servidor remoto, incluindo, se for caso disso, a duração prevista da conservação;

d)	A forma como o utilizador pode aceder a esses dados, recuperá-los ou, se for caso disso, apagá-los, incluindo os meios técnicos para o fazer, bem como as respetivas condições de utilização e a qualidade do serviço.

3. Antes da celebração de um contrato de prestação de um serviço conexo, o prestador do serviço conexo deve facultar ao utilizador, de uma forma clara e compreensível, pelo menos as seguintes informações:

A natureza, o volume estimado e a frequência de recolha dos dados relativos a um produto que o detentor prospetivo dos dados é suscetível de obter e, se pertinente, as disposições relativas ao acesso ou à recuperação desses dados por parte do utilizador, incluindo as disposições relativas à política de conservação dos dados do detentor prospetivo dos dados e a duração da conservação;

A natureza e o volume estimado dos dados relativos a um serviço conexo que serão gerados, bem como as disposições relativas ao acesso ou à recuperação desses dados por parte do utilizador, incluindo as disposições relativas à conservação dos dados do detentor prospetivo dos dados e a duração da conservação;

c)	Se o detentor prospetivo dos dados prevê utilizar ele próprio os dados prontamente disponíveis e as finalidades para as quais esses dados serão utilizados, e se tenciona permitir que um ou mais terceiros utilizem os dados para fins acordados com o utilizador;

d)	A identidade do detentor prospetivo dos dados, como a sua designação social e o endereço geográfico em que está estabelecido e, se aplicável, outras partes envolvidas no tratamento de dados;

e)	Os meios de comunicação que permitem contactar rapidamente o detentor prospetivo dos dados e comunicar eficazmente com o mesmo;

f)	A forma como o utilizador pode solicitar que os dados sejam partilhados com um terceiro e, se aplicável, pôr termo à partilha de dados;

g)	O direito do utilizador de apresentar uma reclamação, invocando uma violação de qualquer das disposições do presente capítulo, à autoridade competente designada nos termos do artigo 37.o;

Se um detentor prospetivo dos dados é titular de segredos comerciais contidos nos dados que são suscetíveis de serem acedidos a partir do produto conectado ou gerados durante a prestação do serviço conexo e, caso o detentor prospetivo dos dados não seja o titular dos segredos comerciais, a identidade do titular dos segredos comerciais;

i)	A duração do contrato entre o utilizador e o detentor prospetivo dos dados, bem como as disposições para por termo a esse contrato.

Artigo 10.o

Resolução de litígios

1. Os utilizadores, os detentores dos dados e os destinatários dos dados devem ter acesso a um organismo de resolução de litígios, certificado em conformidade com o n.o 5 do presente artigo, para resolver litígios nos termos do artigo 4.o, n.os 3 e 9, e do artigo 5.o, n.o 12, bem como litígios relacionados com os termos e condições justos, razoáveis e não discriminatórios para a disponibilização dos dados, e com a forma transparente de o fazer, em conformidade com o presente capítulo e com o capítulo IV.

2. Os organismos de resolução de litígios devem comunicar as taxas, ou os mecanismos utilizados para as determinar, às partes em causa, antes de estas pedirem uma decisão.

3. Relativamente aos litígios submetidos à apreciação de um organismo de resolução de litígios ao abrigo do artigo 4.o, n.os 3 e 9, e do artigo 5.o, n.o 12, se o organismo de resolução de litígios decidir um litígio a favor do utilizador ou do destinatário dos dados, o detentor dos dados suporta todas as taxas cobradas pelo organismo de resolução de litígios e reembolsa o referido utilizador ou destinatário dos dados de quaisquer outras despesas razoáveis em que tenha incorrido no âmbito da resolução do litígio. Se o organismo de resolução de litígios decidir um litígio a favor do detentor dos dados, o utilizador ou destinatário dos dados não é obrigado a reembolsar quaisquer taxas ou outras despesas que o detentor dos dados tenha pago ou deva pagar no âmbito da resolução do litígio, salvo se o organismo de resolução de litígios considerar que o utilizador ou o destinatário dos dados atuou manifestamente de má-fé.

4. Os clientes de serviços de tratamento de dados e os prestadores desses serviços devem ter acesso a um organismo de resolução de litígios, certificado em conformidade com o n.o 5 do presente artigo, para resolver litígios relacionados com violações dos direitos dos clientes e com as obrigações dos prestadores de serviços de tratamento de dados, nos termos dos artigos 23.o a 31.o.

5. O Estado-Membro em que está estabelecido o organismo de resolução de litígios deve certificá-lo, a pedido desse organismo, se este tiver demonstrado que preenche todas as condições seguintes:

a)	Ser imparcial e independente e ser capaz de proferir as suas decisões de acordo com regras processuais claras, não discriminatórias e justas;

Dispor dos conhecimentos especializados necessários, em particular no que respeita a termos e condições justos, razoáveis e não discriminatórios, incluindo a compensação, e sobre a disponibilização dos dados de forma transparente, permitindo ao organismo determinar efetivamente esses termos e condições;

c)	Estar facilmente acessível através das tecnologias de comunicação eletrónica;

d)	Ser capaz de adotar as suas decisões de forma rápida, eficiente e eficaz em termos de custos em, pelo menos, uma língua oficial da União.

6. Os Estados-Membros devem notificar à Comissão os organismos de resolução de litígios certificados nos termos do n.o 5. A Comissão deve publicar uma lista desses organismos num sítio Web específico e mantê-la atualizada.

7. Os organismos de resolução de litígios devem recusar-se a tratar um pedido de resolução de um litígio que já tenha sido submetido a outro organismo de resolução de litígios ou a um órgão jurisdicional de um Estado-Membro.

8. Os organismos de resolução de litígios devem conceder às partes a possibilidade de, num prazo razoável, manifestarem os seus pontos de vista sobre as questões que essas partes apresentaram a esses organismos. Nesse contexto, devem ser facultadas a cada uma das partes num litígio as observações da outra parte e quaisquer declarações de peritos. Deve ser concedida às partes a possibilidade de se pronunciarem sobre essas observações e declarações.

9. Os organismos de resolução de litígios devem adotar as decisões sobre as questões submetidas à sua apreciação no prazo de 90 dias a contar da apresentação do pedido nos termos dos n.os 1 e 4. Essas decisões devem ser consignadas por escrito ou num suporte duradouro e ser acompanhadas da sua fundamentação.

10. Os organismos de resolução de litígios devem elaborar e tornar públicos os relatórios anuais de atividades. Esses relatórios anuais devem incluir, em particular, as seguintes informações gerais:

a)	Os resultados agregados dos litígios;

b)	O tempo necessário, em média, para a resolução dos litígios;

c)	As razões mais comuns que conduzem a litígios.

11. A fim de facilitar o intercâmbio de informações e de boas práticas, os organismos de resolução de litígios podem decidir incluir recomendações no relatório a que se refere o n.o 10 sobre a forma como os problemas podem ser evitados ou resolvidos.

12. A decisão de um organismo de resolução de litígios só é vinculativa para as partes se estas tiverem dado o seu consentimento explícito à sua natureza vinculativa antes do início do processo de resolução de litígios.

13. O presente artigo não afeta o direito das partes de procurarem vias de recurso efetivas perante um órgão jurisdicional de um Estado-Membro.

Artigo 23.

Eliminar os obstáculos à mudança eficaz

Os prestadores de serviços de tratamento de dados devem tomar as medidas previstas nos artigos 25.o, 26.o, 27.o, 29.o e 30.o, a fim de permitir que os clientes mudem para um serviço de tratamento de dados, que abranja o mesmo tipo de serviço, disponibilizado por outro prestador de serviços de tratamento de dados, ou para uma infraestrutura informática local, ou, se for caso disso, utilizem vários prestadores de serviços de tratamento de dados ao mesmo tempo. Em especial, os prestadores de serviços de tratamento de dados não podem impor, e devem eliminar, os obstáculos pré-comerciais, comerciais, técnicos, contratuais e organizativos que impedem os clientes de:

a)	Rescindir o contrato de serviço de tratamento de dados, após o período máximo de pré-aviso e a conclusão com êxito do processo de mudança, em conformidade com o artigo 25.o;

b)	Celebrar novos contratos com outro prestador de serviços de tratamento de dados que abranjam o mesmo tipo de serviço de tratamento de dados;

c)	Transferir os seus dados exportáveis e ativos digitais para um prestador de serviços de tratamento de dados diferente ou para uma infraestrutura informática local, inclusive após terem beneficiado de uma oferta de serviços gratuitos;

d)	Em conformidade com o artigo 24.o, obter equivalência funcional na utilização do novo serviço de tratamento de dados no ambiente informático de um prestador de serviços de tratamento de dados diferente que abranjam o mesmo tipo de serviço;

e)	Separar, caso seja tecnicamente viável, os serviços de tratamento de dados a que se refere o artigo 30.o, n.o 1, de outros serviços de tratamento de dados prestados pelos prestadores de serviços de tratamento de dados.

Artigo 24.

Âmbito das obrigações técnicas

As responsabilidades dos prestadores de serviços de tratamento de dados, tal como previstas nos artigos 23.o, 25.o, 29.o, 30.o e 34.o, aplicam-se apenas aos serviços, contratos ou práticas comerciais disponibilizados pelo prestador de serviços de tratamento de dados de origem.

Artigo 25.

Cláusulas contratuais relativas à mudança

1. Os direitos do cliente e as obrigações do prestador de serviços de tratamento de dados em relação à mudança de prestador desses serviços ou, se for caso disso, à transferência para uma infraestrutura informática local, devem ser estabelecidos de forma clara num contrato escrito. O prestador de serviços de tratamento de dados deve disponibilizar esse contrato ao cliente, antes de ser assinado, num suporte que permita ao cliente armazenar e reproduzir o contrato.

2. Sem prejuízo do disposto na Diretiva (UE) 2019/770, o contrato referido no n.o 1 do presente artigo deve incluir pelo menos os seguintes elementos:

Cláusulas que permitam ao cliente, mediante pedido, mudar para outro serviço de tratamento de dados oferecido por um prestador de serviços de tratamento de dados diferente ou transferir todos os dados exportáveis e ativos digitais para uma infraestrutura informática local, sem demora injustificada e, em qualquer caso, não excedendo o período de transição máximo obrigatório de 30 dias consecutivos, a iniciar após o período máximo de pré-aviso referido na alínea d), durante o qual o contrato de serviço permanece aplicável e durante o qual o prestador de serviços de tratamento de dados deve:

i)	prestar uma assistência razoável ao cliente e a terceiros autorizados pelo cliente no processo de mudança,

ii)	agir com a devida diligência para manter a continuidade da atividade e prosseguir a prestação das funções ou serviços ao abrigo do contrato,

iii)	prestar informações claras sobre os riscos conhecidos para a continuidade da prestação das funções ou serviços por parte do prestador de serviços de tratamento de dados de origem,

iv)

assegurar a manutenção de um elevado nível de segurança ao longo de todo o processo de mudança, em especial a segurança dos dados durante a sua transferência e a segurança continuada dos dados durante o período de recuperação especificado na alínea g), em conformidade com o direito da União ou o direito nacional aplicáveis;

b)	A obrigação do prestador de serviços de tratamento de dados de apoiar a estratégia de saída do cliente pertinente para os serviços contratados, inclusive através da prestação de todas as informações pertinentes;

Uma cláusula que especifique que se considera que o contrato chegou ao seu termo e que o cliente será desse facto notificado, num dos seguintes casos:

i)	quando aplicável, após a conclusão com êxito do processo de mudança,

ii)	no final do prazo máximo de pré-aviso referido na alínea d), caso o cliente não pretenda mudar, mas antes apagar os seus dados exportáveis e ativos digitais após a cessação do serviço;

d)	Um prazo máximo de pré-aviso para o início do processo de mudança, que não pode exceder dois meses;

e)	A especificação exaustiva de todas as categorias de dados e ativos digitais que podem ser transferidas durante o processo de mudança, incluindo, no mínimo, todos os dados exportáveis;

A especificação exaustiva das categorias de dados específicas ao funcionamento interno do serviço dos prestadores de serviços de tratamento de dados que devem ser excluídas dos dados exportáveis nos termos da alínea e) do presente número caso exista um risco de violação dos segredos comerciais do prestador, desde que essas exclusões não impeçam nem atrasem transferência mudança prevista no artigo 23.o;

g)	Um período mínimo de recuperação de dados de pelo menos 30 dias consecutivos, com início após o termo do período de transição acordado entre o cliente e o prestador de serviços de tratamento de dados, em conformidade com a alínea a) do presente número, e o n.o 4;

Uma cláusula que garanta o apagamento integral de todos os dados exportáveis e ativos digitais gerados diretamente pelo cliente, ou diretamente relacionados com o cliente, após o termo do prazo de recuperação a que se refere a alínea g) ou após o termo de um prazo alternativo acordado que seja posterior ao termo do prazo de recuperação a que se refere a alínea g), desde que o processo de mudança tenha sido concluído com êxito;

i)	Encargos decorrentes da mudança que possam ser impostos pelos prestadores de serviços de tratamento de dados em conformidade com o artigo 29.o.

3. O contrato a que se refere o n.o 1 deve incluir cláusulas que prevejam que o cliente pode notificar o prestador de serviços de tratamento de dados da sua decisão de realizar uma ou mais das seguintes ações após o termo do período de notificação máximo referido no n.o 2, alínea d):

a)	Mudar para um prestador de serviços de tratamento de dados diferente, caso em que o cliente deve prestar as informações necessárias sobre esse prestador;

b)	Mudar para uma infraestrutura informática local;

c)	Apagar os seus dados exportáveis e ativos digitais.

4. Caso o período máximo de transição obrigatório previsto no n.o 2, alínea a), seja tecnicamente inviável, o prestador de serviços de tratamento de dados deve notificar o cliente no prazo de 14 dias úteis a contar da formulação do pedido de mudança, e deve justificar devidamente a inviabilidade técnica e indicar um período de transição alternativo, que não pode ser superior a sete meses. Em conformidade com o n.o 1, a continuidade do serviço deve ser assegurada durante todo o período de transição alternativo.

5. Sem prejuízo do disposto no n.o 4, o contrato referido no n.o 1, deve incluir cláusulas que confiram ao cliente o direito de prorrogar o período de transição uma vez, por um período que o cliente considere mais adequado para os seus próprios fins.

Artigo 26.

Obrigação de informação por parte dos prestadores de serviços de tratamento de dados

O prestador de serviços de tratamento de dados deve facultar ao cliente:

Informação sobre os procedimentos disponíveis para a mudança e para a transferência para o serviço de tratamento de dados, incluindo informação sobre os métodos e formatos de mudança e transferência disponíveis, bem como sobre as restrições e limitações técnicas que sejam conhecidas do prestador de serviços de tratamento de dados de destino;

Uma referência a um registo em linha atualizado, gerido pelo prestador de serviços de tratamento de dados, com informação pormenorizada sobre todas as estruturas e formatos de dados, bem como as normas pertinentes e as especificações de interoperabilidade aberta, no qual são disponibilizados os dados exportáveis referidos no artigo 25.o, n.o 2, alínea e).

Artigo 27.

Dever de boa-fé

Todas as partes envolvidas, incluindo os prestadores de serviços de tratamento de dados de destino, devem cooperar de boa-fé a fim de tornar o processo de mudança eficaz, de possibilitar a transferência atempada dos dados e de manter a continuidade do serviço de tratamento de dados.

Artigo 28.

Obrigações de transparência contratual em matéria de acesso e transferência internacionais

1. Os prestadores de serviços de tratamento de dados devem facultar e manter atualizadas nos seus sítios Web as seguintes informações:

a)	A jurisdição a que está sujeita a infraestrutura informática implantada para o tratamento de dados de cada um dos seus serviços;

Uma descrição geral das medidas técnicas, organizativas e contratuais adotadas pelo prestador de serviços de tratamento de dados a fim de impedir o acesso governamental internacional a dados não pessoais detidos na União ou a sua transferência, caso esse acesso ou transferência seja suscetível de criar um conflito com o direito da União ou o direito nacional do Estado-Membro pertinente.

2. Os sítios Web a que se refere o n.o 1 devem ser elencados nos contratos relativos a todos os serviços de tratamento de dados oferecidos pelos prestadores de serviços de tratamento de dados.

Artigo 29.

Supressão gradual dos encargos decorrentes da mudança

1. A partir de 12 de janeiro de 2027, os prestadores de serviços de tratamento de dados não podem impor ao cliente, pelo processo de mudança, quaisquer encargos decorrentes da mudança.

2. A partir de 11 de janeiro de 2024 até 12 de janeiro de 2027, os prestadores de serviços de tratamento de dados podem impor ao cliente, pelo processo de mudança, encargos decorrentes da mudança reduzidos.

3. Os encargos decorrentes da mudança reduzidos a que se refere o n.o 2 não podem exceder os custos incorridos pelo prestador de serviços de tratamento de dados diretamente relacionados com o processo de mudança em causa.

4. Antes de celebrarem um contrato com um cliente, os prestadores de serviços de tratamento de dados devem facultar ao potencial cliente informações claras sobre as comissões habituais do serviço e as sanções pela rescisão antecipada que possam ser impostas, bem como sobre os encargos decorrentes da mudança reduzidos, que possam ser impostos durante o prazo a que se refere o n.o 2.

5. Quando pertinente, os prestadores de serviços de tratamento de dados devem facultar informações aos clientes sobre serviços de tratamento de dados que impliquem uma mudança altamente complexa ou onerosa ou em relação aos quais a mudança seja impossível sem interferência significativa nos dados, nos ativos digitais ou na arquitetura dos serviços.

6. Quando aplicável, os prestadores de serviços de tratamento de dados devem disponibilizar publicamente aos clientes as informações a que se referem os n.os 4 e 5 do presente artigo, por meio de uma secção específica do seu sítio Web ou de qualquer outra forma facilmente acessível.

7. A Comissão fica habilitada a adotar atos delegados nos termos do artigo 45.o que completem o presente regulamento mediante a criação de um mecanismo de controlo que lhe permita fazer o acompanhamento dos encargos decorrentes da mudança impostos pelos prestadores de serviços de tratamento de dados no mercado, de modo a assegurar que a supressão e a redução dos encargos decorrentes da mudança, nos termos dos n.os 1 e 2 do presente artigo, sejam alcançadas dentro dos prazos previstos nos mesmos números.

Artigo 30.

Aspetos técnicos da mudança

1. Os prestadores de serviços de tratamento de dados que digam respeito a recursos de computação moduláveis e adaptáveis limitados a elementos infraestruturais, como servidores, redes e recursos virtuais necessários para o funcionamento da infraestrutura, mas que não facultem acesso às aplicações, ao software e aos serviços operacionais armazenados, tratados ou implantados nesses elementos infraestruturais, devem, em conformidade com o artigo 27.o, tomar todas as medidas razoáveis ao seu alcance para permitir que o cliente, após ter mudado para um serviço que abranja o mesmo tipo de serviço, obtenha equivalência funcional na utilização do serviço de tratamento de dados de destino. O prestador de serviços de tratamento de dados de origem deve facilitar o processo de mudança através do fornecimento de capacidades, informações adequadas, documentação, apoio técnico e, se for caso disso, das ferramentas necessárias.

2. Os prestadores de serviços de tratamento de dados não referidos no n.o 1 devem disponibilizar interfaces abertas em igual medida a todos os seus clientes e aos prestadores de serviços de tratamento de dados de destino em causa, a título gratuito, a fim de facilitar o processo de mudança. Essas interfaces devem incluir informações suficientes sobre o serviço em causa para permitir o desenvolvimento de software para comunicar com os serviços, para efeitos de portabilidade e interoperabilidade dos dados.

3. No caso de serviços de tratamento de dados não referidos no n.o 1 do presente artigo, os prestadores de serviços de tratamento de dados devem assegurar a compatibilidade com especificações comuns baseadas em especificações de interoperabilidade aberta ou em normas de interoperabilidade harmonizadas pelo menos 12 meses após a publicação das referências a essas especificações comuns ou normas harmonizadas de interoperabilidade de serviços de tratamento de dados na sequência da publicação, no Jornal Oficial da União Europeia, dos atos de execução subjacentes, em conformidade com o artigo 35.o, n.o 8.

4. Os prestadores de serviços de tratamento de dados não referidos no n.o 1 do presente artigo devem atualizar o registo em linha a que se refere o artigo 26.o, alínea b), em conformidade com as obrigações que lhes incumbem por força do n.o 3 do presente artigo.

5. Em caso de mudança entre serviços do mesmo tipo de serviços, para os quais não tenham sido publicadas no repositório central da União de normas relativas aos serviços de tratamento de dados, em conformidade com o artigo 35.o, n.o 8, as especificações comuns ou as normas harmonizadas de interoperabilidade a que se refere o n.o 3 do presente artigo, o prestador dos serviços de tratamento de dados deve, a pedido do cliente, exportar todos os dados exportáveis num formato estruturado, de uso corrente e de leitura automática.

6. Os prestadores de serviços de tratamento de dados não podem ser obrigados a desenvolver novas tecnologias ou serviços, ou a divulgar ou transferir ativos digitais que estejam protegidos por direitos de propriedade intelectual ou que constituam segredos comerciais, para um cliente ou para um prestador de serviços de tratamento de dados diferente, nem a comprometer a segurança e integridade do serviço do cliente ou do prestador.

Artigo 31.

Regime específico para determinados serviços de tratamento de dados

1. As obrigações previstas no artigo 23.o, alínea d), no artigo 29.o e no artigo 30.o, n.os 1 e 3, não se aplicam aos serviços de tratamento de dados em que a maioria das características principais tenha sido personalizada para dar resposta às exigências específicas de um cliente individual ou em que todos os componentes tenham sido desenvolvidos para os fins solicitados por um cliente individual, e caso esses serviços de tratamento de dados não sejam oferecidos em larga escala comercial através do catálogo de serviços do prestador de serviços de tratamento de dados.

2. As obrigações previstas no presente capítulo não se aplicam aos serviços de tratamento de dados prestados através de uma versão não destinada à produção para fins de teste e avaliação, e durante um período de tempo limitado.

3. Antes da celebração de um contrato relativo à prestação dos serviços de tratamento de dados referidos no presente artigo, o prestador de serviços de tratamento de dados deve informar o potencial cliente das obrigações do presente capítulo que não se aplicam.

CAPÍTULO VII

ACESSO E TRANSFERÊNCIA GOVERNAMENTAIS INTERNACIONAIS ILÍCITOS DE DADOS NÃO PESSOAIS

Artigo 32.

Acesso e transferência governamentais internacionais

1. Sem prejuízo do disposto nos n.os 2 ou 3, os prestadores de serviços de tratamento de dados devem tomar todas as medidas técnicas, organizativas e legais adequadas, incluindo contratos, a fim de impedir que entidades governamentais internacionais ou de países terceiros acedam a dados não pessoais detidos na União ou os transfiram, caso esse acesso ou essa transferência seja suscetível de criar um conflito com o direito da União ou o direito nacional do Estado-Membro pertinente.

2. As decisões judiciais ou sentenças de um órgão jurisdicional de um país terceiro e as decisões de uma autoridade administrativa de um país terceiro que exijam que um prestador de serviços de tratamento de dados transfira ou dê acesso a dados não pessoais abrangidos pelo âmbito de aplicação do presente regulamento e detidos na União só podem ser reconhecidas ou executadas, seja de que forma for, se tiverem por base um acordo internacional, como um acordo de auxílio judiciário mútuo, em vigor entre o país terceiro requerente e a União ou entre o país terceiro requerente e um Estado-Membro.

3. Na ausência de um acordo internacional nos termos do n.o 2, caso um prestador de serviços de tratamento de dados seja o destinatário de uma decisão judicial ou sentença de um órgão jurisdicional de um país terceiro ou de uma decisão de uma autoridade administrativa de um país terceiro que exija a transferência ou o acesso a dados não pessoais abrangidos pelo âmbito de aplicação do presente regulamento e detidos na União, e o cumprimento dessa decisão seja suscetível de colocar o destinatário numa situação de conflito com o direito da União ou com o direito nacional do Estado-Membro em causa, a transferência dos dados em causa para essa autoridade de um país terceiro ou o acesso a esses dados pela mesma autoridade só pode ter lugar se:

a)	O sistema do país terceiro exigir que sejam expostos os motivos e a proporcionalidade dessa decisão judicial ou sentença e que essa decisão judicial ou sentença tenha um caráter específico, através, por exemplo, do estabelecimento de uma relação suficiente com determinados suspeitos ou infrações;

b)	A objeção fundamentada do destinatário estiver sujeita a reapreciação por um órgão jurisdicional competente de um país terceiro; e

O órgão jurisdicional competente do país terceiro que emite a decisão judicial ou sentença ou reaprecia a decisão de uma autoridade administrativa estiver habilitado, nos termos do direito desse país terceiro, a ter devidamente em conta os interesses jurídicos relevantes do fornecedor dos dados protegidos pelo direito da União ou pelo direito nacional do Estado-Membro em causa.

O destinatário da decisão ou sentença pode solicitar o parecer do organismo ou autoridade nacional competente em matéria de cooperação internacional em questões jurídicas, a fim de determinar se as condições previstas no primeiro parágrafo estão preenchidas, nomeadamente quando considerar que a decisão pode dizer respeito a segredos comerciais e outros dados comercialmente sensíveis, bem como a conteúdos protegidos por direitos de propriedade intelectual, ou que a transferência pode conduzir a uma reidentificação. O organismo ou autoridade nacional relevante pode consultar a Comissão. Se o destinatário considerar que a decisão ou sentença pode colidir com os interesses de segurança nacional ou com os interesses de defesa da União ou dos seus Estados-Membros, deve solicitar o parecer do organismo ou autoridade nacional relevante para determinar se os dados solicitados dizem respeito a interesses de segurança nacional ou a interesses de defesa da União ou dos seus Estados-Membros. Se o destinatário não tiver recebido desse organismo ou autoridade uma resposta no prazo de um mês, ou se o parecer desse organismo ou autoridades concluir que as condições previstas no primeiro parágrafo não estão preenchidas, o destinatário pode rejeitar o pedido de transferência ou de acesso a dados não pessoais por esses motivos.

O Comité Europeu da Inovação de Dados referido no artigo 42.o presta aconselhamento e assistência à Comissão na elaboração de diretrizes sobre a avaliação do cumprimento das condições previstas no primeiro parágrafo do presente número.

4. Se estiverem preenchidas as condições previstas nos n.os 2 ou 3, o prestador de serviços de tratamento de dados deve facultar a quantidade mínima de dados que seja admissível em resposta a um pedido, com base numa interpretação razoável desse pedido por parte do prestador ou do organismo ou autoridade nacional relevante a que se refere o n.o 3, segundo parágrafo.

5. O prestador de serviços de tratamento de dados deve informar o cliente da existência de um pedido de acesso aos seus dados apresentado por uma autoridade de um país terceiro antes de satisfazer esse pedido, exceto nos casos em que o pedido vise finalidades relativas à fiscalização e garantia do cumprimento da lei e enquanto tal for necessário para preservar a eficácia das atividades de fiscalização e garantia do cumprimento da lei.

CAPÍTULO VIII

INTEROPERABILIDADE

Artigo 34.

Interoperabilidade para efeitos da utilização de serviços de tratamento de dados em paralelo

1. Os requisitos previstos no artigo 23.o, no artigo 24.o, no artigo 25.o, n.o 2, alínea a), subalíneas ii) e iv), alínea e) e alínea f), e no artigo 30.o, n.os 2 a 5, são igualmente aplicáveis, com as devidas adaptações, aos prestadores de serviços de tratamento de dados, a fim de facilitar a interoperabilidade para efeitos da utilização de serviços de tratamento de dados em paralelo.

2. Caso um serviço de tratamento de dados esteja a ser utlizado em paralelo com outro serviço de tratamento de dados, os prestadores de serviços de tratamento de dados podem impor encargos decorrentes da saída de dados, mas apenas com o objetivo de repercutir os custos da saída incorridos, sem exceder esses custos.

Artigo 37.

Autoridades competentes e coordenadores de dados

1. Cada Estado-Membro designa uma ou mais autoridades competentes que serão responsáveis pela execução e pela fiscalização do cumprimento do presente regulamento (autoridades competentes). Os Estados-Membros podem criar uma ou várias novas autoridades ou recorrer às existentes.

2. Se um Estado-Membro designar mais do que uma autoridade competente, designa uma delas como coordenador de dados, a fim de facilitar a cooperação entre as autoridades competentes e de apoiar as entidades abrangidas pelo âmbito de aplicação do presente regulamento em todas as matérias relacionadas com a sua aplicação e com a fiscalização do seu cumprimento. As autoridades competentes devem cooperar entre si no exercício das funções e competências que lhes são conferidas nos termos do n.o 5.

3. As autoridades de controlo responsáveis pela fiscalização da aplicação do Regulamento (UE) 2016/679 são responsáveis pela fiscalização da aplicação do presente regulamento no que diz respeito à proteção dos dados pessoais. Os capítulos VI e VII do Regulamento (UE) 2016/679 são aplicáveis com as devidas adaptações.

A Autoridade Europeia para a Proteção de Dados é responsável pelo controlo da aplicação do presente regulamento na medida em que diga respeito à Comissão, ao Banco Central Europeu ou aos órgãos da União. Se pertinente, o artigo 62.o do Regulamento (UE) 2018/1725 é aplicável com as devidas adaptações.

As funções e as competências das autoridades de controlo referidas no presente parágrafo são exercidas no que diz respeito ao tratamento de dados pessoais.

4. Sem prejuízo do disposto no n.o 1 do presente artigo:

a)	No caso de questões específicas de acesso e utilização setoriais de dados relacionadas com a aplicação do presente regulamento, deve ser respeitada a competência das autoridades setoriais;

b)	A autoridade competente responsável pela execução e pela fiscalização e garantia do cumprimento do disposto nos artigos 23.o a 31.o e nos artigos 34.o e 35.odeve ter experiência no domínio dos dados e dos serviços de comunicações eletrónicas.

5. Os Estados-Membros devem assegurar que as funções e competências das autoridades competentes são claramente definidas e incluem:

a)	A promoção da literacia de dados e da sensibilização dos utilizadores e das entidades abrangidas pelo âmbito de aplicação do presente regulamento no que se refere aos direitos e às obrigações previstos no presente regulamento;

O tratamento das reclamações decorrentes de alegadas infrações ao presente regulamento, incluindo no que diz respeito a segredos comerciais, e a investigação, na medida do necessário, do conteúdo das reclamações, e prestação regular de informações aos seus autores, se pertinente nos termos da legislação nacional, sobre o andamento e o resultado das investigações num prazo razoável, em especial se for necessário realizar atividades de investigação ou de coordenação complementares com outras autoridades competentes;

c)	A realização de investigações em matérias relativas à execução do presente regulamento, nomeadamente com base em informações recebidas de outras autoridades competentes ou de outras autoridades públicas;

d)	A imposição de sanções financeiras efetivas, proporcionadas e dissuasivas, que podem incluir sanções periódicas e sanções com efeitos retroativos, ou a instauração de processos judiciais para a aplicação de coimas;

e)	O acompanhamento da evolução tecnológica e comercial pertinente para a disponibilização e a utilização dos dados;

A cooperação com as autoridades competentes de outros Estados-Membros, e, se for caso disso, com a Comissão ou o Comité Europeu da Inovação de Dados, a fim de assegurar a aplicação coerente e eficiente do presente regulamento, incluindo o intercâmbio de todas as informações pertinentes por via eletrónica, sem demora injustificada, incluindo no que diz respeito ao n.o 10 do presente artigo;

A cooperação com as autoridades competentes responsáveis pela execução de outros atos jurídicos nacionais ou da União, nomeadamente as autoridades competentes no domínio dos dados e dos serviços de comunicações eletrónicas, com a autoridade de controlo responsável pela fiscalização da aplicação do Regulamento (UE) 2016/679 ou com as autoridades setoriais, a fim de garantir que o presente regulamento é aplicado de uma forma coerente com outra legislação nacional e da União;

h)	A cooperação com todas as autoridades competentes, a fim de assegurar que as obrigações previstas nos artigos 23.o a 31.o e nos artigos 34.o e 35.o são aplicadas de forma coerente com outro direito da União e com a autorregulação aplicável aos prestadores de serviços de tratamento de dados;

i)	A garantia de que os encargos pela mudança de prestador de serviços de tratamento de dados são suprimidos, em conformidade com o artigo 29.o;

j)	A análise dos pedidos de dados feitos ao abrigo do capítulo V.

Caso seja designado, o coordenador de dados facilita a cooperação referida nas alíneas f), g) e h) do primeiro parágrafo e presta assistência às autoridades competentes, a pedido destas.

6. O coordenador de dados, nos casos em que uma autoridade competente tenha sido designada como tal, deve:

a)	Atuar como ponto de contacto único para todas as questões relacionadas com a aplicação do presente regulamento;

b)	Garantir a publicação em linha dos pedidos de disponibilização dos dados apresentados por organismos do setor público em caso de necessidade excecional ao abrigo do capítulo V, e promover a partilha voluntária de dados entre os organismos do setor público e os detentores dos dados;

c)	Informar anualmente a Comissão das recusas notificadas nos termos do artigo 4.o, n.os 2 e 8, e do artigo 5.o, n.o 11.

7. Os Estados-Membros devem notificar a Comissão dos nomes das autoridades competentes e das suas funções e competências e, se aplicável, do nome do coordenador de dados. A Comissão deve manter um registo público dessas autoridades.

8. No desempenho das suas funções e no exercício das suas competências em conformidade com o presente regulamento, as autoridades competentes devem ser imparciais e estar livres de qualquer influência externa, direta ou indireta, e não solicitar nem aceitar instruções relativas a casos individuais de qualquer outra autoridade pública ou de qualquer entidade privada.

9. Os Estados-Membros devem assegurar que as autoridades competentes dispõem dos recursos humanos e técnicos suficientes e dos conhecimentos especializados pertinentes para desempenhar adequadamente as suas funções em conformidade com o presente regulamento.

10. As entidades abrangidas pelo âmbito de aplicação do presente regulamento são da competência do Estado-Membro em que estão estabelecidas. Se a entidade estiver estabelecida em mais do que um Estado-Membro, considera-se que é da competência do Estado-Membro em que tem o seu estabelecimento principal, ou seja, aquele em que a entidade tem os serviços centrais ou sede social a partir dos quais são exercidas as principais funções financeiras e o controlo operacional.

11. As entidades abrangidas pelo âmbito de aplicação do presente regulamento que disponibilizem produtos conectados ou ofereçam serviços conexos na União e que não estejam estabelecidas na União designam um representante legal num dos Estados-Membros.

12. A fim de garantir o cumprimento do presente regulamento, toda e qualquer entidade abrangida pelo âmbito de aplicação do presente regulamento que disponibilize produtos conectados ou ofereça serviços conexos na União deve mandatar um representante legal para ser contactado pelas autoridades competentes, em complemento ou em substituição da referida entidade, no que diz respeito a todas as questões relacionadas com essa entidade. O referido representante legal deve cooperar com as autoridades competentes e demonstrar-lhes de forma exaustiva, mediante pedido, as medidas tomadas e as disposições adotadas pela entidade abrangida pelo âmbito de aplicação do presente regulamento que disponibiliza produtos conectados ou oferece serviços conexos na União para garantir o cumprimento do presente regulamento.

13. Considera-se que uma entidade abrangida pelo âmbito de aplicação do presente regulamento que disponibilize produtos conectados ou ofereça serviços na União está sob a competência do Estado-Membro em que está situado o seu representante legal. A designação de um representante legal por essa entidade é realizada sem prejuízo da sua responsabilidade e de eventuais ações judiciais que possam vir a ser intentadas contra a mesma. Até ao momento em que designe um representante legal nos termos do presente artigo, a entidade é da competência de todos os Estados-Membros, se aplicável, a fim de assegurar a aplicação e o cumprimento do presente regulamento. Toda e qualquer autoridade competente pode exercer a sua competência, nomeadamente através da imposição de sanções efetivas, proporcionadas e dissuasivas, desde que a entidade não esteja sujeita a procedimentos de execução nos termos do presente regulamento por outra autoridade competente a respeito dos mesmos factos.

14. As autoridades competentes têm competência para solicitar aos utilizadores, aos detentores dos dados ou aos destinatários dos dados, ou aos seus representantes legais, que sejam da competência do respetivo Estado-Membro, todas as informações necessárias para verificar o cumprimento do presente regulamento. Os pedidos de informações devem ser proporcionados em relação ao desempenho da função subjacente e devem ser fundamentados.

15. Caso uma autoridade competente de um Estado-Membro solicite assistência ou medidas de execução a uma autoridade competente de outro Estado-Membro, deve apresentar para o efeito um pedido fundamentado. Após receber o referido pedido, a autoridade competente deve fornecer uma resposta em que descreva pormenorizadamente as medidas tomadas ou previstas, sem demora injustificada.

16. As autoridades competentes devem respeitar o princípio da confidencialidade e do sigilo profissional e comercial e proteger os dados pessoais nos termos do direito da União ou do direito nacional. As informações trocadas no contexto de um pedido de assistência e facultadas nos termos do presente artigo só podem ser usadas relativamente ao assunto para o qual foram solicitadas.

Artigo 49.

Avaliação e revisão

1. Até 12 de setembro de 2028, a Comissão procede à avaliação do presente regulamento e apresenta um relatório com as suas principais conclusões ao Parlamento Europeu e ao Conselho, e ao Comité Económico e Social Europeu. Essa avaliação deve incidir, em especial, nos seguintes aspetos:

As situações a considerar como situações de necessidade excecional para efeitos do artigo 15.o do presente regulamento e da aplicação do capítulo V do presente regulamento na prática, em especial a experiência adquirida com a aplicação do Capítulo V do presente regulamento pelos organismos do setor público, pela Comissão, pelo Banco Central Europeu e por órgãos da União; o número e o resultado dos processos instaurados junto da autoridade competente nos termos do artigo 18.o, n.o 5, relativos à aplicação do capítulo V do presente regulamento, conforme comunicados pelas autoridades competentes; o impacto de outras obrigações previstas no direito da União ou no direito nacional para efeitos de cumprimento dos pedidos de acesso às informações; o impacto dos mecanismos de partilha voluntária de dados, como as postas em prática por organizações de altruísmo de dados reconhecidas ao abrigo do Regulamento (UE) 2022/868, no cumprimento dos objetivos do capítulo V do presente regulamento, e o papel dos dados pessoais no contexto do artigo 15.o do presente regulamento, incluindo a evolução das tecnologias de reforço da privacidade;

b)	O impacto do presente regulamento na utilização dos dados na economia, nomeadamente na inovação de dados, nas práticas de monetização dos dados e nos serviços de intermediação de dados, bem como na partilha de dados nos espaços comuns europeus de dados;

c)	A acessibilidade e a utilização de diferentes categorias e tipos de dados;

d)	A exclusão de determinadas categorias de empresas da qualidade de beneficiárias nos termos do artigo 5.o;

e)	A ausência de qualquer impacto nos direitos de propriedade intelectual;

O impacto nos segredos comerciais, nomeadamente na proteção contra a aquisição, utilização e divulgação ilícitas dos mesmos, bem como o impacto do mecanismo que permite ao detentor dos dados recusar o pedido do utilizador nos termos do artigo 4.o, n.o 8, e do artigo 5.o, n.o 11, tendo em conta, na medida do possível, qualquer revisão da Diretiva (UE) 2016/943;

g)	Se a lista de cláusulas contratuais abusivas a que se refere o artigo 13.o está atualizada à luz das novas práticas comerciais e do ritmo acelerado da inovação no mercado;

h)	Alterações das práticas contratuais dos prestadores de serviços de tratamento de dados e se tal resulta no cumprimento suficiente do artigo 25.o;

i)	A redução dos encargos impostos pelos prestadores de serviços de tratamento de dados devido ao processo de mudança, em consonância com a supressão gradual dos encargos decorrentes da mudança nos termos do artigo 29.o;

j)	A interação do presente regulamento com outros atos jurídicos da União pertinentes para a economia dos dados;

k)	A prevenção do acesso governamental ilícito a dados não pessoais;

l)	A eficácia do regime de fiscalização do cumprimento exigido nos termos do artigo 37.o;

m)	O impacto do presente regulamento nas PME no que respeita à sua capacidade de inovação e à disponibilidade de serviços de processamento de dados para utilizadores na União e ao encargo relacionado com o cumprimento de novas obrigações.

2. Até 12 de setembro de 2028, a Comissão procede à avaliação do presente regulamento e apresenta um relatório com as suas principais conclusões ao Parlamento Europeu e ao Conselho, bem como ao Comité Económico e Social Europeu. Essa avaliação deve analisar o impacto dos artigos 23.o a 31.o e dos artigos 34.o e 35.o, nomeadamente no que diz respeito à fixação de preços e à diversidade dos serviços de tratamento de dados oferecidos na União, com especial destaque para os prestadores de serviços que são PME.

3. Os Estados-Membros transmitem à Comissão as informações necessárias para a elaboração dos relatórios referidos nos n.os 1 e 2.

4. Com base nos relatórios referidos nos n.os 1 e 2, a Comissão pode, se for caso disso, apresentar uma proposta legislativa ao Parlamento Europeu e ao Conselho para alteração do presente regulamento.

whereas

keyboard_tab Data Act 2023/2854 PT

Data Act 2023/2854 PT