keyboard_tab Data Act 2023/2854 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artigo 1.o Objeto e âmbito de aplicação
- 2 Artigo 16. Relação com outras obrigações de disponibilização de dados aos organismos do setor público, à Comissão, ao Banco Central Europeu e aos órgãos da União
- 1 Artigo 17. Pedidos de disponibilização de dados
- 1 Artigo 29. Supressão gradual dos encargos decorrentes da mudança
- 4 Artigo 37. Autoridades competentes e coordenadores de dados
- 3 Artigo 40. sanções
- 1 Artigo 42. Papel do Comité Europeu da Inovação de Dados
CAPÍTULO I
DISPOSIÇÕES GERAIS
CAPÍTULO II
PARTILHA DE DADOS ENTRE EMPRESAS E CONSUMIDORES E ENTRE EMPRESAS
CAPÍTULO III
OBRIGAÇÕES DOS DETENTORES DOS DADOS OBRIGADOS A DISPONIBILIZAR OS DADOS NOS TERMOS DO DIREITO DA UNIÃO
CAPÍTULO IV
CLÁUSULAS CONTRATUAIS ABUSIVAS RELATIVAS AO ACESSO AOS DADOS E À SUA UTILIZAÇÃO ENTRE EMPRESAS
CAPÍTULO V
DISPONIBILIZAÇÃO DE DADOS AOS ORGANISMOS DO SETOR PÚBLICO, À COMISSÃO, AO BANCO CENTRAL EUROPEU E AOS ÓRGÃOS DA UNIÃO COM BASE EM NECESSIDADES EXCECIONAIS
CAPÍTULO VI
MUDANÇA ENTRE SERVIÇOS DE TRATAMENTO DE DADOS
CAPÍTULO VII
ACESSO E TRANSFERÊNCIA GOVERNAMENTAIS INTERNACIONAIS ILÍCITOS DE DADOS NÃO PESSOAIS
CAPÍTULO VIII
INTEROPERABILIDADE
CAPÍTULO IX
EXECUÇÃO E FISCALIZAÇÃO DO CUMPRIMENTO
CAPÍTULO X
DIREITO SUI GENERIS NOS TERMOS DA DIRETIVA 96/9/CE
CAPÍTULO XI
DISPOSIÇÕES FINAIS
- dados 128
- presente 68
- regulamento 49
- união 40
- para 38
- artigo o 33
- autoridades 32
- serviços 29
- não 28
- termos 28
- aplicação 25
- comissão 24
- no 23
- competentes 23
- público 23
- setor 21
- direito 20
- pela 19
- europeu 18
- pedido 17
- tratamento 17
- pessoais 17
- caso 17
- aplicável 15
- mudança 15
- autoridade 15
- regulamento ue / 14
- devem 14
- central 14
- sanções 14
- o 13
- são 13
- pelo 13
- obrigações 12
- prestadores 12
- estado-membro 12
- âmbito 12
- respeito 12
- banco 12
- entidade 12
- estados-membros 12
- execução 11
- cumprimento 11
- informações 11
- funções 11
- competências 11
- nacional 10
- organismos 10
- detentor 10
- artigo 10
Artigo 1.o
Objeto e âmbito de aplicação
1. O presente regulamento estabelece regras harmonizadas sobre, nomeadamente:
| a) | A disponibilização de dados relativos a um produto e de dados relativos a um serviço conexo ao utilizador do produto conectado ou do serviço conexo; |
| b) | A disponibilização de dados pelos detentores dos dados aos destinatários dos dados; |
| c) | A disponibilização de dados pelos detentores dos dados a organismos do setor público, à Comissão, ao Banco Central Europeu e aos órgãos da União, quando haja uma necessidade excecional desses dados, para o desempenho de uma missão específica de interesse público; |
| d) | A facilitação da mudança entre serviços de tratamento de dados; |
| e) | A introdução de salvaguardas contra o acesso ilícito de terceiros a dados não pessoais; e |
| f) | O desenvolvimento de normas de interoperabilidade para os dados a que se pretenda aceder e que se pretenda transferir e utilizar. |
2. O presente regulamento abrange os dados pessoais e não pessoais, incluindo os seguintes tipos de dados, nos seguintes contextos:
| a) | O capítulo II é aplicável aos dados, com exceção dos conteúdos, relativos ao desempenho, à utilização e ao ambiente dos produtos conectados e serviços conexos; |
| b) | O capítulo III é aplicável aos dados do setor privado sujeitos a obrigações legais de partilha de dados; |
| c) | O capítulo IV é aplicável aos dados do setor privado acedidos e utilizados com base em contratos entre empresas; |
| d) | O capítulo V é aplicável aos dados do setor privado, com destaque para os dados não pessoais; |
| e) | O capítulo VI é aplicável a todos os dados e serviços tratados por prestadores de serviços de tratamento de dados; |
| f) | O capítulo VII é aplicável aos dados não pessoais detidos na União por prestadores de serviços de tratamento de dados. |
3. O presente regulamento é aplicável:
| a) | Aos fabricantes de produtos conectados colocados no mercado da União e aos prestadores de serviços conexos, independentemente do local de estabelecimento desses fabricantes e prestadores; |
| b) | Aos utilizadores na União de produtos conectados ou serviços conexos referidos na alínea a); |
| c) | Aos detentores dos dados, independentemente do seu local de estabelecimento, que disponibilizam os dados a destinatários dos dados na União; |
| d) | Aos destinatários dos dados na União a quem os dados são disponibilizados; |
| e) | Aos organismos do setor público, à Comissão, ao Banco Central Europeu e aos órgãos da União que solicitam aos detentores dos dados que os disponibilizem quando exista uma necessidade excecional desses dados para o desempenho de uma missão específica de interesse público, e aos detentores dos dados que os facultam em resposta a esse pedido; |
| f) | Aos prestadores de serviços de tratamento de dados, independentemente do seu local de estabelecimento, que prestam esses serviços a clientes na União; |
| g) | Aos participantes em espaços de dados e aos vendedores de aplicações que utilizem contratos inteligentes e às pessoas cuja atividade comercial, empresarial ou profissional implique a implantação de contratos inteligentes para terceiros no contexto da execução de um acordo. |
4. Sempre que o presente regulamento fizer referência a produtos conectados ou serviços conexos, entende-se que essas referências incluem igualmente os assistentes virtuais, na medida em que interajam com um produto conectado ou serviço conexo.
5. O presente regulamento não prejudica o direito da União e o direito nacional em matéria de proteção de dados pessoais, privacidade e confidencialidade das comunicações e integridade dos equipamentos terminais, os quais são aplicáveis aos dados pessoais tratados no âmbito dos direitos e obrigações estabelecidos no presente regulamento, nomeadamente os Regulamentos (UE) 2016/679 e (UE) 2018/1725 e a Diretiva 2002/58/CE, incluindo os poderes e as competências das autoridades de controlo ou os direitos dos titulares dos dados. Na medida em que os utilizadores sejam titulares dos dados, os direitos estabelecidos no capítulo II do presente regulamento complementam o direito de acesso por parte do titular dos dados e o direito de portabilidade dos dados previstos nos artigos 15.o e 20.o do Regulamento (UE) 2016/679. Em caso de conflito entre o presente regulamento e o direito da União em matéria de proteção de dados pessoais ou de privacidade, ou a legislação nacional adotada em conformidade com o referido direito da União, prevalece o direito da União ou o direito nacional aplicáveis em matéria de proteção de dados pessoais ou de privacidade.
6. O presente regulamento não é aplicável a acordos voluntários de intercâmbio de dados entre entidades privadas e públicas, nem prejudica esses acordos, em especial acordos voluntários de partilha de dados.
O presente regulamento não afeta os atos jurídicos nacionais ou da União que preveem a partilha, o acesso e a utilização de dados para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, ou para efeitos aduaneiros e fiscais, nomeadamente os Regulamentos (UE) 2021/784, (UE) 2022/2065 e (UE) 2023/1543, a Diretiva (UE) 2023/1544 ou a cooperação internacional nesse domínio. O presente regulamento não é aplicável à recolha, partilha ou utilização de dados, nem ao acesso aos mesmos, nos termos do Regulamento (UE) 2015/847 e da Diretiva (UE) 2015/849. O presente regulamento não é aplicável a domínios não abrangidos pelo âmbito de aplicação do direito da União, e não afeta, em caso algum, as competências dos Estados-Membros em matéria de segurança pública, defesa ou segurança nacional, independentemente do tipo de entidade incumbida pelos Estados-Membros de desempenhar funções relacionadas com essas competências, nem os seus poderes para salvaguardar outras funções essenciais do Estado, nomeadamente a garantia da integridade territorial do Estado e a manutenção da ordem pública. O presente regulamento não afeta as competências dos Estados-Membros em matéria de administração aduaneira e fiscal ou de saúde e segurança dos cidadãos.
7. O presente regulamento complementa a abordagem de autorregulação constante do Regulamento (UE) 2018/1807 ao introduzir obrigações de aplicação geral em matéria de mudança de prestador de serviços de computação em nuvem.
8. O presente regulamento não prejudica os atos jurídicos nacionais e da União que preveem a proteção de direitos de propriedade intelectual, em especial as Diretivas 2001/29/CE, 2004/48/CE e (UE) 2019/790.
9. O presente regulamento complementa e não prejudica o direito da União que visa promover os interesses dos consumidores e assegurar um elevado nível de defesa dos consumidores, bem como proteger a sua saúde, segurança e interesses económicos, em especial as Diretivas 93/13/CEE, 2005/29/CE e 2011/83/UE.
10. O presente regulamento não obsta à celebração de contratos de caráter voluntário e lícito de partilha de dados, nomeadamente contratos celebrados numa base recíproca, que cumpram os requisitos previstos no presente regulamento.
Artigo 16.
Relação com outras obrigações de disponibilização de dados aos organismos do setor público, à Comissão, ao Banco Central Europeu e aos órgãos da União
1. O presente capítulo não afeta as obrigações estabelecidas no direito da União ou no direito nacional para efeitos de comunicação, cumprimento dos pedidos de acesso à informação ou demonstração ou verificação do cumprimento das obrigações legais.
2. O presente capítulo não se aplica aos organismos do setor público nem à Comissão, ao Banco Central Europeu ou aos órgãos da União no exercício de atividades de prevenção, investigação, deteção ou repressão de infrações penais ou administrativas ou de execução de sanções penais, nem à administração aduaneira ou fiscal. O presente capítulo não afeta o direito da União nem o direito nacional aplicáveis em matéria de prevenção, investigação, deteção ou repressão de infrações penais ou administrativas ou de execução de sanções penais ou administrativas, nem de administração aduaneira ou fiscal.
Artigo 17.
Pedidos de disponibilização de dados
1. Ao solicitar dados nos termos do artigo 14.o, um organismo do setor público, a Comissão, o Banco Central europeu ou um órgão da União deve:
| a) | Especificar os dados que são necessários, incluindo os metadados pertinentes necessários para interpretar e utilizar esses dados; |
| b) | Demonstrar que estão reunidas as condições necessárias para a existência de uma necessidade excecional a que se refere o artigo 15.o para cujos fins se solicitam os dados; |
| c) | Explicar a finalidade do pedido, a utilização prevista dos dados solicitados, incluindo, se aplicável, por terceiros nos termos do n.o 4 do presente artigo, a duração dessa utilização e, se pertinente, a forma como o tratamento dos dados pessoais dará resposta à necessidade excecional; |
| d) | Especificar, se possível, quando se prevê que os dados sejam apagados por todas as partes que a eles têm acesso; |
| e) | Justificar a escolha do detentor dos dados ao qual é dirigido o pedido; |
| f) | Especificar quaisquer outros organismos do setor público, ou a Comissão, o Banco Central Europeu ou os órgãos da União e terceiros com os quais se prevê que os dados solicitados venham a ser partilhados; |
| g) | Caso sejam solicitados dados pessoais, especificar quaisquer medidas técnicas e organizativas necessárias e proporcionadas destinadas a aplicar os princípios da proteção de dados e as salvaguardas necessárias, tais como a pseudonimização, e se o detentor dos dados pode aplicar a anonimização antes de os disponibilizar; |
| h) | Indicar a disposição legal que atribui ao organismo do setor público requerente, à Comissão, ao Banco Central Europeu ou ao órgão da União a função específica de interesse público pertinente para o pedido dos dados; |
| i) | Especificar o prazo dentro do qual os dados devem ser disponibilizados e o prazo a que se refere o artigo 18.o, n.o 2, dentro do qual o detentor dos dados pode recusar o pedido ou solicitar a sua alteração; |
| j) | Envidar todos os esforços para evitar o cumprimento de um pedido de dados que resulte na responsabilidade dos detentores dos dados por violação do direito da União ou do direito nacional. |
2. Um pedido de dados apresentado nos termos do n.o 1 do presente artigo deve:
| a) | Ser formulado por escrito e em linguagem clara, concisa e simples, compreensível pelo detentor dos dados; |
| b) | Ser específico no que se refere ao tipo de dados solicitados e corresponder a dados que o detentor dos dados controla à data do pedido; |
| c) | Ser proporcional à necessidade excecional e devidamente justificado no que diz respeito à granularidade e volume dos dados solicitados e à frequência de acesso aos mesmos; |
| d) | Respeitar os objetivos legítimos do detentor dos dados, comprometendo-se a assegurar a proteção dos segredos comerciais, nos termos do artigo 19.o, n.o 3, e os custos e esforços necessários para disponibilizar os dados; |
| e) | Dizer respeito a dados não pessoais, e, apenas se se demonstrar que tal é insuficiente para dar resposta à necessidade excecional de utilizar dados, nos termos do artigo 15.o, n.o 1, alínea a), solicitar dados pessoais de forma pseudonimizada e definir as medidas técnicas e organizativas que serão tomadas para proteger os dados; |
| f) | Informar o detentor dos dados quanto às sanções que serão impostas nos termos do artigo 40.o pela autoridade competente designada nos termos do artigo 37.o em caso de incumprimento do pedido; |
| g) | Caso o pedido seja feito a um organismo do setor público, ser transmitido ao coordenador de dados a que se refere o artigo 37.o do Estado-Membro em que o organismo do setor público requerente está estabelecido, o qual deve e publicá-lo em linha sem demora injustificada, a menos que o coordenador de dados considere que tal publicação acarretaria um risco para a segurança pública. |
| h) | Caso o pedido seja feito pela Comissão, o Banco Central Europeu ou os órgãos da União, publicar os seus pedidos em linha sem demora injustificada; |
| i) | Caso sejam solicitados dados pessoais, ser notificado sem demora injustificada à autoridade de controlo responsável pela fiscalização da aplicação do Regulamento (UE) 2016/679 no Estado-Membro em que o organismo do setor público está estabelecido. |
O Banco Central Europeu e os órgãos da União informam a Comissão dos seus pedidos.
3. Os organismos do setor público, a Comissão, o Banco Central Europeu ou os órgãos da União não podem disponibilizar os dados obtidos nos termos do presente capítulo para reutilização, na aceção do artigo 2.o, ponto 2, do Regulamento (UE) 2022/868 ou do artigo 2.o, ponto 11, da Diretiva (UE) 2019/1024. O Regulamento (UE) 2022/868 e a Diretiva (UE) 2019/1024 não são aplicáveis aos dados na posse de organismos do setor público que tenham sido obtidos nos termos do presente capítulo.
4. O disposto no n.o 3 do presente artigo não obsta a que um organismo do setor público, a Comissão, o Banco Central Europeu ou um órgão da União proceda ao intercâmbio de dados obtidos nos termos do presente capítulo com outro organismo do setor público ou com a Comissão, o Banco Central Europeu ou um órgão da União, tendo em vista o desempenho das funções referidas no artigo 15.o, conforme especificado no pedido nos termos do n.o 1, alínea f), do presente artigo, ou disponibilize os dados a terceiros nos casos em que tenha delegado, por meio de um acordo publicamente disponível, inspeções técnicas ou outras funções a esse terceiro. As obrigações impostas aos organismos do setor público nos termos do artigo 19.o, em especial as salvaguardas destinadas a preservar a confidencialidade dos segredos comerciais, aplicam-se igualmente a esses terceiros. Caso um organismo do setor público, a Comissão, o Banco Central Europeu ou um órgão da União transmita ou disponibilize dados nos termos do presente número, deve, sem demora injustificada, notificar o detentor dos dados do qual recebeu esses dados.
5. Caso o detentor dos dados considere que os seus direitos ao abrigo do presente capítulo foram violados pela transmissão ou disponibilização dos dados, pode apresentar uma reclamação à autoridade competente, designada nos termos do artigo 37.o, do Estado-Membro em que o detentor dos dados está estabelecido.
6. A Comissão deve elaborar um modelo para os pedidos efetuados nos termos do presente artigo.
Artigo 29.
Supressão gradual dos encargos decorrentes da mudança
1. A partir de 12 de janeiro de 2027, os prestadores de serviços de tratamento de dados não podem impor ao cliente, pelo processo de mudança, quaisquer encargos decorrentes da mudança.
2. A partir de 11 de janeiro de 2024 até 12 de janeiro de 2027, os prestadores de serviços de tratamento de dados podem impor ao cliente, pelo processo de mudança, encargos decorrentes da mudança reduzidos.
3. Os encargos decorrentes da mudança reduzidos a que se refere o n.o 2 não podem exceder os custos incorridos pelo prestador de serviços de tratamento de dados diretamente relacionados com o processo de mudança em causa.
4. Antes de celebrarem um contrato com um cliente, os prestadores de serviços de tratamento de dados devem facultar ao potencial cliente informações claras sobre as comissões habituais do serviço e as sanções pela rescisão antecipada que possam ser impostas, bem como sobre os encargos decorrentes da mudança reduzidos, que possam ser impostos durante o prazo a que se refere o n.o 2.
5. Quando pertinente, os prestadores de serviços de tratamento de dados devem facultar informações aos clientes sobre serviços de tratamento de dados que impliquem uma mudança altamente complexa ou onerosa ou em relação aos quais a mudança seja impossível sem interferência significativa nos dados, nos ativos digitais ou na arquitetura dos serviços.
6. Quando aplicável, os prestadores de serviços de tratamento de dados devem disponibilizar publicamente aos clientes as informações a que se referem os n.os 4 e 5 do presente artigo, por meio de uma secção específica do seu sítio Web ou de qualquer outra forma facilmente acessível.
7. A Comissão fica habilitada a adotar atos delegados nos termos do artigo 45.o que completem o presente regulamento mediante a criação de um mecanismo de controlo que lhe permita fazer o acompanhamento dos encargos decorrentes da mudança impostos pelos prestadores de serviços de tratamento de dados no mercado, de modo a assegurar que a supressão e a redução dos encargos decorrentes da mudança, nos termos dos n.os 1 e 2 do presente artigo, sejam alcançadas dentro dos prazos previstos nos mesmos números.
Artigo 37.
Autoridades competentes e coordenadores de dados
1. Cada Estado-Membro designa uma ou mais autoridades competentes que serão responsáveis pela execução e pela fiscalização do cumprimento do presente regulamento (autoridades competentes). Os Estados-Membros podem criar uma ou várias novas autoridades ou recorrer às existentes.
2. Se um Estado-Membro designar mais do que uma autoridade competente, designa uma delas como coordenador de dados, a fim de facilitar a cooperação entre as autoridades competentes e de apoiar as entidades abrangidas pelo âmbito de aplicação do presente regulamento em todas as matérias relacionadas com a sua aplicação e com a fiscalização do seu cumprimento. As autoridades competentes devem cooperar entre si no exercício das funções e competências que lhes são conferidas nos termos do n.o 5.
3. As autoridades de controlo responsáveis pela fiscalização da aplicação do Regulamento (UE) 2016/679 são responsáveis pela fiscalização da aplicação do presente regulamento no que diz respeito à proteção dos dados pessoais. Os capítulos VI e VII do Regulamento (UE) 2016/679 são aplicáveis com as devidas adaptações.
A Autoridade Europeia para a Proteção de Dados é responsável pelo controlo da aplicação do presente regulamento na medida em que diga respeito à Comissão, ao Banco Central Europeu ou aos órgãos da União. Se pertinente, o artigo 62.o do Regulamento (UE) 2018/1725 é aplicável com as devidas adaptações.
As funções e as competências das autoridades de controlo referidas no presente parágrafo são exercidas no que diz respeito ao tratamento de dados pessoais.
4. Sem prejuízo do disposto no n.o 1 do presente artigo:
| a) | No caso de questões específicas de acesso e utilização setoriais de dados relacionadas com a aplicação do presente regulamento, deve ser respeitada a competência das autoridades setoriais; |
| b) | A autoridade competente responsável pela execução e pela fiscalização e garantia do cumprimento do disposto nos artigos 23.o a 31.o e nos artigos 34.o e 35.odeve ter experiência no domínio dos dados e dos serviços de comunicações eletrónicas. |
5. Os Estados-Membros devem assegurar que as funções e competências das autoridades competentes são claramente definidas e incluem:
| a) | A promoção da literacia de dados e da sensibilização dos utilizadores e das entidades abrangidas pelo âmbito de aplicação do presente regulamento no que se refere aos direitos e às obrigações previstos no presente regulamento; |
| b) | O tratamento das reclamações decorrentes de alegadas infrações ao presente regulamento, incluindo no que diz respeito a segredos comerciais, e a investigação, na medida do necessário, do conteúdo das reclamações, e prestação regular de informações aos seus autores, se pertinente nos termos da legislação nacional, sobre o andamento e o resultado das investigações num prazo razoável, em especial se for necessário realizar atividades de investigação ou de coordenação complementares com outras autoridades competentes; |
| c) | A realização de investigações em matérias relativas à execução do presente regulamento, nomeadamente com base em informações recebidas de outras autoridades competentes ou de outras autoridades públicas; |
| d) | A imposição de sanções financeiras efetivas, proporcionadas e dissuasivas, que podem incluir sanções periódicas e sanções com efeitos retroativos, ou a instauração de processos judiciais para a aplicação de coimas; |
| e) | O acompanhamento da evolução tecnológica e comercial pertinente para a disponibilização e a utilização dos dados; |
| f) | A cooperação com as autoridades competentes de outros Estados-Membros, e, se for caso disso, com a Comissão ou o Comité Europeu da Inovação de Dados, a fim de assegurar a aplicação coerente e eficiente do presente regulamento, incluindo o intercâmbio de todas as informações pertinentes por via eletrónica, sem demora injustificada, incluindo no que diz respeito ao n.o 10 do presente artigo; |
| g) | A cooperação com as autoridades competentes responsáveis pela execução de outros atos jurídicos nacionais ou da União, nomeadamente as autoridades competentes no domínio dos dados e dos serviços de comunicações eletrónicas, com a autoridade de controlo responsável pela fiscalização da aplicação do Regulamento (UE) 2016/679 ou com as autoridades setoriais, a fim de garantir que o presente regulamento é aplicado de uma forma coerente com outra legislação nacional e da União; |
| h) | A cooperação com todas as autoridades competentes, a fim de assegurar que as obrigações previstas nos artigos 23.o a 31.o e nos artigos 34.o e 35.o são aplicadas de forma coerente com outro direito da União e com a autorregulação aplicável aos prestadores de serviços de tratamento de dados; |
| i) | A garantia de que os encargos pela mudança de prestador de serviços de tratamento de dados são suprimidos, em conformidade com o artigo 29.o; |
| j) | A análise dos pedidos de dados feitos ao abrigo do capítulo V. |
Caso seja designado, o coordenador de dados facilita a cooperação referida nas alíneas f), g) e h) do primeiro parágrafo e presta assistência às autoridades competentes, a pedido destas.
6. O coordenador de dados, nos casos em que uma autoridade competente tenha sido designada como tal, deve:
| a) | Atuar como ponto de contacto único para todas as questões relacionadas com a aplicação do presente regulamento; |
| b) | Garantir a publicação em linha dos pedidos de disponibilização dos dados apresentados por organismos do setor público em caso de necessidade excecional ao abrigo do capítulo V, e promover a partilha voluntária de dados entre os organismos do setor público e os detentores dos dados; |
| c) | Informar anualmente a Comissão das recusas notificadas nos termos do artigo 4.o, n.os 2 e 8, e do artigo 5.o, n.o 11. |
7. Os Estados-Membros devem notificar a Comissão dos nomes das autoridades competentes e das suas funções e competências e, se aplicável, do nome do coordenador de dados. A Comissão deve manter um registo público dessas autoridades.
8. No desempenho das suas funções e no exercício das suas competências em conformidade com o presente regulamento, as autoridades competentes devem ser imparciais e estar livres de qualquer influência externa, direta ou indireta, e não solicitar nem aceitar instruções relativas a casos individuais de qualquer outra autoridade pública ou de qualquer entidade privada.
9. Os Estados-Membros devem assegurar que as autoridades competentes dispõem dos recursos humanos e técnicos suficientes e dos conhecimentos especializados pertinentes para desempenhar adequadamente as suas funções em conformidade com o presente regulamento.
10. As entidades abrangidas pelo âmbito de aplicação do presente regulamento são da competência do Estado-Membro em que estão estabelecidas. Se a entidade estiver estabelecida em mais do que um Estado-Membro, considera-se que é da competência do Estado-Membro em que tem o seu estabelecimento principal, ou seja, aquele em que a entidade tem os serviços centrais ou sede social a partir dos quais são exercidas as principais funções financeiras e o controlo operacional.
11. As entidades abrangidas pelo âmbito de aplicação do presente regulamento que disponibilizem produtos conectados ou ofereçam serviços conexos na União e que não estejam estabelecidas na União designam um representante legal num dos Estados-Membros.
12. A fim de garantir o cumprimento do presente regulamento, toda e qualquer entidade abrangida pelo âmbito de aplicação do presente regulamento que disponibilize produtos conectados ou ofereça serviços conexos na União deve mandatar um representante legal para ser contactado pelas autoridades competentes, em complemento ou em substituição da referida entidade, no que diz respeito a todas as questões relacionadas com essa entidade. O referido representante legal deve cooperar com as autoridades competentes e demonstrar-lhes de forma exaustiva, mediante pedido, as medidas tomadas e as disposições adotadas pela entidade abrangida pelo âmbito de aplicação do presente regulamento que disponibiliza produtos conectados ou oferece serviços conexos na União para garantir o cumprimento do presente regulamento.
13. Considera-se que uma entidade abrangida pelo âmbito de aplicação do presente regulamento que disponibilize produtos conectados ou ofereça serviços na União está sob a competência do Estado-Membro em que está situado o seu representante legal. A designação de um representante legal por essa entidade é realizada sem prejuízo da sua responsabilidade e de eventuais ações judiciais que possam vir a ser intentadas contra a mesma. Até ao momento em que designe um representante legal nos termos do presente artigo, a entidade é da competência de todos os Estados-Membros, se aplicável, a fim de assegurar a aplicação e o cumprimento do presente regulamento. Toda e qualquer autoridade competente pode exercer a sua competência, nomeadamente através da imposição de sanções efetivas, proporcionadas e dissuasivas, desde que a entidade não esteja sujeita a procedimentos de execução nos termos do presente regulamento por outra autoridade competente a respeito dos mesmos factos.
14. As autoridades competentes têm competência para solicitar aos utilizadores, aos detentores dos dados ou aos destinatários dos dados, ou aos seus representantes legais, que sejam da competência do respetivo Estado-Membro, todas as informações necessárias para verificar o cumprimento do presente regulamento. Os pedidos de informações devem ser proporcionados em relação ao desempenho da função subjacente e devem ser fundamentados.
15. Caso uma autoridade competente de um Estado-Membro solicite assistência ou medidas de execução a uma autoridade competente de outro Estado-Membro, deve apresentar para o efeito um pedido fundamentado. Após receber o referido pedido, a autoridade competente deve fornecer uma resposta em que descreva pormenorizadamente as medidas tomadas ou previstas, sem demora injustificada.
16. As autoridades competentes devem respeitar o princípio da confidencialidade e do sigilo profissional e comercial e proteger os dados pessoais nos termos do direito da União ou do direito nacional. As informações trocadas no contexto de um pedido de assistência e facultadas nos termos do presente artigo só podem ser usadas relativamente ao assunto para o qual foram solicitadas.
Artigo 40.
sanções
1. Os Estados-Membros estabelecem as regras relativas às sanções aplicáveis em caso de infração ao presente regulamento e tomam todas as medidas necessárias para garantir a sua aplicação. As sanções previstas devem ser efetivas, proporcionadas e dissuasivas.
2. Os Estados-Membros notificam a Comissão, até 12 de setembro de 2025, dessas regras e medidas e também, sem demora, de qualquer alteração ulterior. A Comissão mantém e atualiza regularmente um registo público facilmente acessível dessas medidas.
3. Os Estados-Membros devem ter em conta as recomendações do Comité Europeu da Inovação de Dados e os seguintes critérios não exaustivos para a imposição de sanções em caso de infração ao presente regulamento:
| a) | A natureza, gravidade, dimensão e duração da infração; |
| b) | Qualquer medida tomada pela parte infratora para atenuar ou reparar os danos causados pela infração; |
| c) | Qualquer infração anterior cometida pela parte infratora; |
| d) | Os benefícios financeiros obtidos ou as perdas evitadas pela parte infratora devido à infração, na medida em que esses benefícios ou perdas possam ser estabelecidos de forma fiável; |
| e) | Quaisquer outros fatores agravantes ou atenuantes aplicáveis às circunstâncias do caso concreto; |
| f) | O volume de negócios anual da parte infratora no exercício anterior na União. |
4. Em caso de incumprimento das obrigações estabelecidas nos capítulos II, III e V do presente regulamento, as autoridades responsáveis por controlar a aplicação do Regulamento (UE) 2016/679 podem, no âmbito das suas competências, aplicar coimas nos termos do artigo 83.o do Regulamento (UE) 2016/679, até ao montante referido no artigo 83.o, n.o 5, do mesmo regulamento.
5. Em caso de incumprimento das obrigações estabelecidas no capítulo V do presente regulamento, a Autoridade Europeia para a Proteção de Dados pode, no âmbito das suas competências, aplicar coimas em conformidade com o artigo 66.o do Regulamento (UE) 2018/1725, até ao montante referido no artigo 66.o, n.o 3, do mesmo regulamento.
Artigo 42.
Papel do Comité Europeu da Inovação de Dados
O Comité Europeu da Inovação de Dados criado como grupo de peritos da Comissão nos termos do artigo 29.o do Regulamento (UE) 2022/868, no qual estão representadas as autoridades competentes, apoia a aplicação coerente do presente regulamento do seguinte modo:
| a) | Aconselhando e prestando assistência à Comissão no que diz respeito ao desenvolvimento de práticas coerentes das autoridades competentes para assegurar o cumprimento dos capítulos II, III, V e VII; |
| b) | Facilitando a cooperação entre as autoridades competentes mediante o reforço das capacidades e o intercâmbio de informações, nomeadamente estabelecendo métodos para o intercâmbio eficiente de informações relativas à aplicação dos direitos e obrigações previstos nos capítulos II, III e V em casos transfronteiriços, incluindo a coordenação no que diz respeito à fixação de sanções; |
| c) | Aconselhando e prestando assistência à Comissão no que diz respeito ao seguinte:
|
CAPÍTULO X
DIREITO SUI GENERIS NOS TERMOS DA DIRETIVA 96/9/CE
whereas