keyboard_tab Data Act 2023/2854 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Artigo 17. Pedidos de disponibilização de dados
- 1 Artigo 18. Cumprimento dos pedidos de dados
- 3 Artigo 22. Assistência mútua e cooperação transfronteiriça
- 2 Artigo 32. Acesso e transferência governamentais internacionais
CAPÍTULO I
DISPOSIÇÕES GERAIS
CAPÍTULO II
PARTILHA DE DADOS ENTRE EMPRESAS E CONSUMIDORES E ENTRE EMPRESAS
CAPÍTULO III
OBRIGAÇÕES DOS DETENTORES DOS DADOS OBRIGADOS A DISPONIBILIZAR OS DADOS NOS TERMOS DO DIREITO DA UNIÃO
CAPÍTULO IV
CLÁUSULAS CONTRATUAIS ABUSIVAS RELATIVAS AO ACESSO AOS DADOS E À SUA UTILIZAÇÃO ENTRE EMPRESAS
CAPÍTULO V
DISPONIBILIZAÇÃO DE DADOS AOS ORGANISMOS DO SETOR PÚBLICO, À COMISSÃO, AO BANCO CENTRAL EUROPEU E AOS ÓRGÃOS DA UNIÃO COM BASE EM NECESSIDADES EXCECIONAIS
CAPÍTULO VI
MUDANÇA ENTRE SERVIÇOS DE TRATAMENTO DE DADOS
CAPÍTULO VII
ACESSO E TRANSFERÊNCIA GOVERNAMENTAIS INTERNACIONAIS ILÍCITOS DE DADOS NÃO PESSOAIS
CAPÍTULO VIII
INTEROPERABILIDADE
CAPÍTULO IX
EXECUÇÃO E FISCALIZAÇÃO DO CUMPRIMENTO
CAPÍTULO X
DIREITO SUI GENERIS NOS TERMOS DA DIRETIVA 96/9/CE
CAPÍTULO XI
DISPOSIÇÕES FINAIS
- dados 93
- pedido 35
- união 29
- detentor 25
- termos 23
- público 23
- organismo 22
- setor 22
- comissão 20
- autoridade 19
- europeu 19
- artigo o 19
- para 18
- central 18
- presente 17
- banco 17
- órgão 16
- não 15
- terceiro 13
- país 12
- no 12
- estado-membro 12
- pode 11
- solicitados 11
- pessoais 11
- nacional 11
- caso 11
- competente 10
- decisão 10
- direito 10
- pela 9
- acesso 9
- requerente 8
- capítulo 8
- demora 8
- solicitar 8
- injustificada 8
- cumprimento 7
- destinatário 7
- pelo 7
- tratamento 7
- estabelecido 7
- seja 7
- transferência 6
- sentença 6
- pedidos 6
- órgãos 6
- organismos 6
- necessidade 6
- condições 6
Artigo 17.
Pedidos de disponibilização de dados
1. Ao solicitar dados nos termos do artigo 14.o, um organismo do setor público, a Comissão, o Banco Central europeu ou um órgão da União deve:
| a) | Especificar os dados que são necessários, incluindo os metadados pertinentes necessários para interpretar e utilizar esses dados; |
| b) | Demonstrar que estão reunidas as condições necessárias para a existência de uma necessidade excecional a que se refere o artigo 15.o para cujos fins se solicitam os dados; |
| c) | Explicar a finalidade do pedido, a utilização prevista dos dados solicitados, incluindo, se aplicável, por terceiros nos termos do n.o 4 do presente artigo, a duração dessa utilização e, se pertinente, a forma como o tratamento dos dados pessoais dará resposta à necessidade excecional; |
| d) | Especificar, se possível, quando se prevê que os dados sejam apagados por todas as partes que a eles têm acesso; |
| e) | Justificar a escolha do detentor dos dados ao qual é dirigido o pedido; |
| f) | Especificar quaisquer outros organismos do setor público, ou a Comissão, o Banco Central Europeu ou os órgãos da União e terceiros com os quais se prevê que os dados solicitados venham a ser partilhados; |
| g) | Caso sejam solicitados dados pessoais, especificar quaisquer medidas técnicas e organizativas necessárias e proporcionadas destinadas a aplicar os princípios da proteção de dados e as salvaguardas necessárias, tais como a pseudonimização, e se o detentor dos dados pode aplicar a anonimização antes de os disponibilizar; |
| h) | Indicar a disposição legal que atribui ao organismo do setor público requerente, à Comissão, ao Banco Central Europeu ou ao órgão da União a função específica de interesse público pertinente para o pedido dos dados; |
| i) | Especificar o prazo dentro do qual os dados devem ser disponibilizados e o prazo a que se refere o artigo 18.o, n.o 2, dentro do qual o detentor dos dados pode recusar o pedido ou solicitar a sua alteração; |
| j) | Envidar todos os esforços para evitar o cumprimento de um pedido de dados que resulte na responsabilidade dos detentores dos dados por violação do direito da União ou do direito nacional. |
2. Um pedido de dados apresentado nos termos do n.o 1 do presente artigo deve:
| a) | Ser formulado por escrito e em linguagem clara, concisa e simples, compreensível pelo detentor dos dados; |
| b) | Ser específico no que se refere ao tipo de dados solicitados e corresponder a dados que o detentor dos dados controla à data do pedido; |
| c) | Ser proporcional à necessidade excecional e devidamente justificado no que diz respeito à granularidade e volume dos dados solicitados e à frequência de acesso aos mesmos; |
| d) | Respeitar os objetivos legítimos do detentor dos dados, comprometendo-se a assegurar a proteção dos segredos comerciais, nos termos do artigo 19.o, n.o 3, e os custos e esforços necessários para disponibilizar os dados; |
| e) | Dizer respeito a dados não pessoais, e, apenas se se demonstrar que tal é insuficiente para dar resposta à necessidade excecional de utilizar dados, nos termos do artigo 15.o, n.o 1, alínea a), solicitar dados pessoais de forma pseudonimizada e definir as medidas técnicas e organizativas que serão tomadas para proteger os dados; |
| f) | Informar o detentor dos dados quanto às sanções que serão impostas nos termos do artigo 40.o pela autoridade competente designada nos termos do artigo 37.o em caso de incumprimento do pedido; |
| g) | Caso o pedido seja feito a um organismo do setor público, ser transmitido ao coordenador de dados a que se refere o artigo 37.o do Estado-Membro em que o organismo do setor público requerente está estabelecido, o qual deve e publicá-lo em linha sem demora injustificada, a menos que o coordenador de dados considere que tal publicação acarretaria um risco para a segurança pública. |
| h) | Caso o pedido seja feito pela Comissão, o Banco Central Europeu ou os órgãos da União, publicar os seus pedidos em linha sem demora injustificada; |
| i) | Caso sejam solicitados dados pessoais, ser notificado sem demora injustificada à autoridade de controlo responsável pela fiscalização da aplicação do Regulamento (UE) 2016/679 no Estado-Membro em que o organismo do setor público está estabelecido. |
O Banco Central Europeu e os órgãos da União informam a Comissão dos seus pedidos.
3. Os organismos do setor público, a Comissão, o Banco Central Europeu ou os órgãos da União não podem disponibilizar os dados obtidos nos termos do presente capítulo para reutilização, na aceção do artigo 2.o, ponto 2, do Regulamento (UE) 2022/868 ou do artigo 2.o, ponto 11, da Diretiva (UE) 2019/1024. O Regulamento (UE) 2022/868 e a Diretiva (UE) 2019/1024 não são aplicáveis aos dados na posse de organismos do setor público que tenham sido obtidos nos termos do presente capítulo.
4. O disposto no n.o 3 do presente artigo não obsta a que um organismo do setor público, a Comissão, o Banco Central Europeu ou um órgão da União proceda ao intercâmbio de dados obtidos nos termos do presente capítulo com outro organismo do setor público ou com a Comissão, o Banco Central Europeu ou um órgão da União, tendo em vista o desempenho das funções referidas no artigo 15.o, conforme especificado no pedido nos termos do n.o 1, alínea f), do presente artigo, ou disponibilize os dados a terceiros nos casos em que tenha delegado, por meio de um acordo publicamente disponível, inspeções técnicas ou outras funções a esse terceiro. As obrigações impostas aos organismos do setor público nos termos do artigo 19.o, em especial as salvaguardas destinadas a preservar a confidencialidade dos segredos comerciais, aplicam-se igualmente a esses terceiros. Caso um organismo do setor público, a Comissão, o Banco Central Europeu ou um órgão da União transmita ou disponibilize dados nos termos do presente número, deve, sem demora injustificada, notificar o detentor dos dados do qual recebeu esses dados.
5. Caso o detentor dos dados considere que os seus direitos ao abrigo do presente capítulo foram violados pela transmissão ou disponibilização dos dados, pode apresentar uma reclamação à autoridade competente, designada nos termos do artigo 37.o, do Estado-Membro em que o detentor dos dados está estabelecido.
6. A Comissão deve elaborar um modelo para os pedidos efetuados nos termos do presente artigo.
Artigo 18.
Cumprimento dos pedidos de dados
1. Um detentor dos dados que receba um pedido de disponibilização de dados nos termos do presente capítulo deve disponibilizá-los ao organismo do setor público, à Comissão, ao Banco Central Europeu ou ao órgão da União requerente sem demora injustificada, tendo em conta as medidas técnicas, organizativas e jurídicas necessárias.
2. Sem prejuízo das necessidades específicas relativas à disponibilidade de dados definidas no direito da União ou nacional, um detentor dos dados pode recusar ou solicitar a alteração de um pedido de disponibilização de dados ao abrigo do presente capítulo sem demora injustificada e, em qualquer caso, o mais tardar no prazo de cinco dias úteis após a receção de um pedido de dados necessários para dar resposta a uma emergência pública, e sem demora injustificada e, em qualquer caso, o mais tardar, no prazo de 30 dias úteis após a receção de um tal pedido noutros casos de uma necessidade excecional, por um dos seguintes motivos:
| a) | O detentor dos dados não tem controlo sobre os dados solicitados; |
| b) | Um pedido similar para a mesma finalidade foi apresentado anteriormente por outro organismo do setor público ou pela Comissão, pelo Banco Central Europeu ou por um órgão da União, e o detentor dos dados não foi notificado do apagamento dos dados nos termos do artigo 19.o, n.o 1, alínea c); |
| c) | O pedido não cumpre as condições estabelecidas no artigo 17.o, n.os 1 e 2. |
3. Se o detentor dos dados decidir recusar o pedido ou solicitar a sua alteração em conformidade com o n.o 2, alínea b), deve indicar a identidade do organismo do setor público ou da Comissão, do Banco Central Europeu ou do órgão da União que apresentou anteriormente um pedido para a mesma finalidade.
4. Caso os dados solicitados incluam dados pessoais, o detentor dos dados deve anonimizar adequadamente os dados, a menos que o cumprimento do pedido de disponibilização de dados a um organismo do setor público, à Comissão, ao Banco Central Europeu ou a um órgão da União exija a divulgação de dados pessoais. Nesses casos, o detentor dos dados deve pseudonimizar os dados.
5. Caso o organismo do setor público, a Comissão, o Banco Central Europeu ou o órgão da União pretenda contestar a recusa de um detentor dos dados em facultar os dados solicitados, ou caso o detentor dos dados pretenda contestar o pedido, e a questão não possa ser resolvida através de uma alteração adequada do pedido, a matéria deve ser sujeita à apreciação da autoridade competente, designada nos termos do artigo 37.o, do Estado-Membro em que o detentor dos dados está estabelecido.
Artigo 22.
Assistência mútua e cooperação transfronteiriça
1. Os organismos do setor público, a Comissão, o Banco Central Europeu e os órgãos da União devem cooperar e prestar assistência mútua, a fim de aplicar o presente capítulo de forma coerente.
2. Os dados objeto de intercâmbio no contexto de um pedido e da prestação de assistência nos termos do n.o 1 não podem ser utilizados de forma incompatível com a finalidade para a qual foram solicitados.
3. Caso um organismo do setor público pretenda solicitar dados a um detentor dos dados estabelecido noutro Estado-Membro, deve notificar previamente dessa intenção a autoridade competente, designada nos termos do artigo 37.o, nesse Estado-Membro. Este requisito é igualmente aplicável aos pedidos apresentados pela Comissão, pelo Banco Central Europeu e pelos órgãos da União. O pedido é analisado pela autoridade competente do Estado-Membro em que o detentor dos dados está estabelecido.
4. Após ter analisado o pedido à luz dos requisitos previstos no artigo 17.o, a autoridade competente pertinente deve, sem demora injustificada, agir de uma das seguintes formas:
| a) | Transmitir o pedido ao detentor dos dados e, se aplicável, aconselhar o organismo do setor público requerente, a Comissão, o Banco Central Europeu ou o órgão da União requerente sobre a eventual necessidade de cooperar com os organismos do setor público do Estado-Membro em que o detentor dos dados está estabelecido, com o objetivo de reduzir os encargos administrativos que recaem sobre o detentor dos dados ao satisfazer o pedido; |
| b) | Rejeitar o pedido por motivos devidamente fundamentados, em conformidade com o presente capítulo. |
O organismo do setor público, a Comissão, o Banco Central Europeu e o órgão da União requerente devem, antes de tomar quaisquer medidas adicionais como a nova apresentação do pedido, ter em conta o parecer e a motivação apresentados pela autoridade competente pertinente nos termos do primeiro parágrafo, se aplicável.
CAPÍTULO VI
MUDANÇA ENTRE SERVIÇOS DE TRATAMENTO DE DADOS
Artigo 32.
Acesso e transferência governamentais internacionais
1. Sem prejuízo do disposto nos n.os 2 ou 3, os prestadores de serviços de tratamento de dados devem tomar todas as medidas técnicas, organizativas e legais adequadas, incluindo contratos, a fim de impedir que entidades governamentais internacionais ou de países terceiros acedam a dados não pessoais detidos na União ou os transfiram, caso esse acesso ou essa transferência seja suscetível de criar um conflito com o direito da União ou o direito nacional do Estado-Membro pertinente.
2. As decisões judiciais ou sentenças de um órgão jurisdicional de um país terceiro e as decisões de uma autoridade administrativa de um país terceiro que exijam que um prestador de serviços de tratamento de dados transfira ou dê acesso a dados não pessoais abrangidos pelo âmbito de aplicação do presente regulamento e detidos na União só podem ser reconhecidas ou executadas, seja de que forma for, se tiverem por base um acordo internacional, como um acordo de auxílio judiciário mútuo, em vigor entre o país terceiro requerente e a União ou entre o país terceiro requerente e um Estado-Membro.
3. Na ausência de um acordo internacional nos termos do n.o 2, caso um prestador de serviços de tratamento de dados seja o destinatário de uma decisão judicial ou sentença de um órgão jurisdicional de um país terceiro ou de uma decisão de uma autoridade administrativa de um país terceiro que exija a transferência ou o acesso a dados não pessoais abrangidos pelo âmbito de aplicação do presente regulamento e detidos na União, e o cumprimento dessa decisão seja suscetível de colocar o destinatário numa situação de conflito com o direito da União ou com o direito nacional do Estado-Membro em causa, a transferência dos dados em causa para essa autoridade de um país terceiro ou o acesso a esses dados pela mesma autoridade só pode ter lugar se:
| a) | O sistema do país terceiro exigir que sejam expostos os motivos e a proporcionalidade dessa decisão judicial ou sentença e que essa decisão judicial ou sentença tenha um caráter específico, através, por exemplo, do estabelecimento de uma relação suficiente com determinados suspeitos ou infrações; |
| b) | A objeção fundamentada do destinatário estiver sujeita a reapreciação por um órgão jurisdicional competente de um país terceiro; e |
| c) | O órgão jurisdicional competente do país terceiro que emite a decisão judicial ou sentença ou reaprecia a decisão de uma autoridade administrativa estiver habilitado, nos termos do direito desse país terceiro, a ter devidamente em conta os interesses jurídicos relevantes do fornecedor dos dados protegidos pelo direito da União ou pelo direito nacional do Estado-Membro em causa. |
O destinatário da decisão ou sentença pode solicitar o parecer do organismo ou autoridade nacional competente em matéria de cooperação internacional em questões jurídicas, a fim de determinar se as condições previstas no primeiro parágrafo estão preenchidas, nomeadamente quando considerar que a decisão pode dizer respeito a segredos comerciais e outros dados comercialmente sensíveis, bem como a conteúdos protegidos por direitos de propriedade intelectual, ou que a transferência pode conduzir a uma reidentificação. O organismo ou autoridade nacional relevante pode consultar a Comissão. Se o destinatário considerar que a decisão ou sentença pode colidir com os interesses de segurança nacional ou com os interesses de defesa da União ou dos seus Estados-Membros, deve solicitar o parecer do organismo ou autoridade nacional relevante para determinar se os dados solicitados dizem respeito a interesses de segurança nacional ou a interesses de defesa da União ou dos seus Estados-Membros. Se o destinatário não tiver recebido desse organismo ou autoridade uma resposta no prazo de um mês, ou se o parecer desse organismo ou autoridades concluir que as condições previstas no primeiro parágrafo não estão preenchidas, o destinatário pode rejeitar o pedido de transferência ou de acesso a dados não pessoais por esses motivos.
O Comité Europeu da Inovação de Dados referido no artigo 42.o presta aconselhamento e assistência à Comissão na elaboração de diretrizes sobre a avaliação do cumprimento das condições previstas no primeiro parágrafo do presente número.
4. Se estiverem preenchidas as condições previstas nos n.os 2 ou 3, o prestador de serviços de tratamento de dados deve facultar a quantidade mínima de dados que seja admissível em resposta a um pedido, com base numa interpretação razoável desse pedido por parte do prestador ou do organismo ou autoridade nacional relevante a que se refere o n.o 3, segundo parágrafo.
5. O prestador de serviços de tratamento de dados deve informar o cliente da existência de um pedido de acesso aos seus dados apresentado por uma autoridade de um país terceiro antes de satisfazer esse pedido, exceto nos casos em que o pedido vise finalidades relativas à fiscalização e garantia do cumprimento da lei e enquanto tal for necessário para preservar a eficácia das atividades de fiscalização e garantia do cumprimento da lei.
CAPÍTULO VIII
INTEROPERABILIDADE
whereas