Data Act 2023/2854 PT

a)	A disponibilização de dados relativos a um produto e de dados relativos a um serviço conexo ao utilizador do produto conectado ou do serviço conexo;

b)	A disponibilização de dados pelos detentores dos dados aos destinatários dos dados;

c)	A disponibilização de dados pelos detentores dos dados a organismos do setor público, à Comissão, ao Banco Central Europeu e aos órgãos da União, quando haja uma necessidade excecional desses dados, para o desempenho de uma missão específica de interesse público;

d)	A facilitação da mudança entre serviços de tratamento de dados;

e)	A introdução de salvaguardas contra o acesso ilícito de terceiros a dados não pessoais; e

f)	O desenvolvimento de normas de interoperabilidade para os dados a que se pretenda aceder e que se pretenda transferir e utilizar.

2. O presente regulamento abrange os dados pessoais e não pessoais, incluindo os seguintes tipos de dados, nos seguintes contextos:

a)	O capítulo II é aplicável aos dados, com exceção dos conteúdos, relativos ao desempenho, à utilização e ao ambiente dos produtos conectados e serviços conexos;

b)	O capítulo III é aplicável aos dados do setor privado sujeitos a obrigações legais de partilha de dados;

c)	O capítulo IV é aplicável aos dados do setor privado acedidos e utilizados com base em contratos entre empresas;

d)	O capítulo V é aplicável aos dados do setor privado, com destaque para os dados não pessoais;

e)	O capítulo VI é aplicável a todos os dados e serviços tratados por prestadores de serviços de tratamento de dados;

f)	O capítulo VII é aplicável aos dados não pessoais detidos na União por prestadores de serviços de tratamento de dados.

3. O presente regulamento é aplicável:

a)	Aos fabricantes de produtos conectados colocados no mercado da União e aos prestadores de serviços conexos, independentemente do local de estabelecimento desses fabricantes e prestadores;

b)	Aos utilizadores na União de produtos conectados ou serviços conexos referidos na alínea a);

c)	Aos detentores dos dados, independentemente do seu local de estabelecimento, que disponibilizam os dados a destinatários dos dados na União;

d)	Aos destinatários dos dados na União a quem os dados são disponibilizados;

Aos organismos do setor público, à Comissão, ao Banco Central Europeu e aos órgãos da União que solicitam aos detentores dos dados que os disponibilizem quando exista uma necessidade excecional desses dados para o desempenho de uma missão específica de interesse público, e aos detentores dos dados que os facultam em resposta a esse pedido;

f)	Aos prestadores de serviços de tratamento de dados, independentemente do seu local de estabelecimento, que prestam esses serviços a clientes na União;

g)	Aos participantes em espaços de dados e aos vendedores de aplicações que utilizem contratos inteligentes e às pessoas cuja atividade comercial, empresarial ou profissional implique a implantação de contratos inteligentes para terceiros no contexto da execução de um acordo.

4. Sempre que o presente regulamento fizer referência a produtos conectados ou serviços conexos, entende-se que essas referências incluem igualmente os assistentes virtuais, na medida em que interajam com um produto conectado ou serviço conexo.

5. O presente regulamento não prejudica o direito da União e o direito nacional em matéria de proteção de dados pessoais, privacidade e confidencialidade das comunicações e integridade dos equipamentos terminais, os quais são aplicáveis aos dados pessoais tratados no âmbito dos direitos e obrigações estabelecidos no presente regulamento, nomeadamente os Regulamentos (UE) 2016/679 e (UE) 2018/1725 e a Diretiva 2002/58/CE, incluindo os poderes e as competências das autoridades de controlo ou os direitos dos titulares dos dados. Na medida em que os utilizadores sejam titulares dos dados, os direitos estabelecidos no capítulo II do presente regulamento complementam o direito de acesso por parte do titular dos dados e o direito de portabilidade dos dados previstos nos artigos 15.o e 20.o do Regulamento (UE) 2016/679. Em caso de conflito entre o presente regulamento e o direito da União em matéria de proteção de dados pessoais ou de privacidade, ou a legislação nacional adotada em conformidade com o referido direito da União, prevalece o direito da União ou o direito nacional aplicáveis em matéria de proteção de dados pessoais ou de privacidade.

6. O presente regulamento não é aplicável a acordos voluntários de intercâmbio de dados entre entidades privadas e públicas, nem prejudica esses acordos, em especial acordos voluntários de partilha de dados.

O presente regulamento não afeta os atos jurídicos nacionais ou da União que preveem a partilha, o acesso e a utilização de dados para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, ou para efeitos aduaneiros e fiscais, nomeadamente os Regulamentos (UE) 2021/784, (UE) 2022/2065 e (UE) 2023/1543, a Diretiva (UE) 2023/1544 ou a cooperação internacional nesse domínio. O presente regulamento não é aplicável à recolha, partilha ou utilização de dados, nem ao acesso aos mesmos, nos termos do Regulamento (UE) 2015/847 e da Diretiva (UE) 2015/849. O presente regulamento não é aplicável a domínios não abrangidos pelo âmbito de aplicação do direito da União, e não afeta, em caso algum, as competências dos Estados-Membros em matéria de segurança pública, defesa ou segurança nacional, independentemente do tipo de entidade incumbida pelos Estados-Membros de desempenhar funções relacionadas com essas competências, nem os seus poderes para salvaguardar outras funções essenciais do Estado, nomeadamente a garantia da integridade territorial do Estado e a manutenção da ordem pública. O presente regulamento não afeta as competências dos Estados-Membros em matéria de administração aduaneira e fiscal ou de saúde e segurança dos cidadãos.

7. O presente regulamento complementa a abordagem de autorregulação constante do Regulamento (UE) 2018/1807 ao introduzir obrigações de aplicação geral em matéria de mudança de prestador de serviços de computação em nuvem.

8. O presente regulamento não prejudica os atos jurídicos nacionais e da União que preveem a proteção de direitos de propriedade intelectual, em especial as Diretivas 2001/29/CE, 2004/48/CE e (UE) 2019/790.

9. O presente regulamento complementa e não prejudica o direito da União que visa promover os interesses dos consumidores e assegurar um elevado nível de defesa dos consumidores, bem como proteger a sua saúde, segurança e interesses económicos, em especial as Diretivas 93/13/CEE, 2005/29/CE e 2011/83/UE.

10. O presente regulamento não obsta à celebração de contratos de caráter voluntário e lícito de partilha de dados, nomeadamente contratos celebrados numa base recíproca, que cumpram os requisitos previstos no presente regulamento.

Artigo 3.o

Obrigação de tornar acessíveis ao utilizador os dados relativos a um produto e os dados relativos a um serviço conexo

1. Os produtos conectados devem ser concebidos e fabricados, e os serviços conexos concebidos e prestados, de modo a que os dados relativos a um produto e os dados relativos a um serviço conexo, incluindo os metadados pertinentes necessários para interpretar e utilizar os dados, sejam acessíveis ao utilizador por defeito de forma fácil, segura e gratuita e num formato abrangente, estruturado, de uso corrente e de leitura automática e, quando pertinente e tecnicamente viável, de forma direta.

2. Antes da celebração de um contrato destinado à aquisição ou locação de um produto conectado, o vendedor ou o locador, os quais podem ser o fabricante, deve facultar ao utilizador, de uma forma clara e compreensível, pelo menos as seguintes informações:

a)	O tipo, o formato e o volume estimado dos dados relativos a um produto que o produto conectado é capaz de gerar;

b)	Se o produto conectado é capaz de gerar dados continuamente e em tempo real;

c)	Se o produto conectado é capaz de conservar dados no dispositivo ou num servidor remoto, incluindo, se for caso disso, a duração prevista da conservação;

d)	A forma como o utilizador pode aceder a esses dados, recuperá-los ou, se for caso disso, apagá-los, incluindo os meios técnicos para o fazer, bem como as respetivas condições de utilização e a qualidade do serviço.

3. Antes da celebração de um contrato de prestação de um serviço conexo, o prestador do serviço conexo deve facultar ao utilizador, de uma forma clara e compreensível, pelo menos as seguintes informações:

A natureza, o volume estimado e a frequência de recolha dos dados relativos a um produto que o detentor prospetivo dos dados é suscetível de obter e, se pertinente, as disposições relativas ao acesso ou à recuperação desses dados por parte do utilizador, incluindo as disposições relativas à política de conservação dos dados do detentor prospetivo dos dados e a duração da conservação;

A natureza e o volume estimado dos dados relativos a um serviço conexo que serão gerados, bem como as disposições relativas ao acesso ou à recuperação desses dados por parte do utilizador, incluindo as disposições relativas à conservação dos dados do detentor prospetivo dos dados e a duração da conservação;

c)	Se o detentor prospetivo dos dados prevê utilizar ele próprio os dados prontamente disponíveis e as finalidades para as quais esses dados serão utilizados, e se tenciona permitir que um ou mais terceiros utilizem os dados para fins acordados com o utilizador;

d)	A identidade do detentor prospetivo dos dados, como a sua designação social e o endereço geográfico em que está estabelecido e, se aplicável, outras partes envolvidas no tratamento de dados;

e)	Os meios de comunicação que permitem contactar rapidamente o detentor prospetivo dos dados e comunicar eficazmente com o mesmo;

f)	A forma como o utilizador pode solicitar que os dados sejam partilhados com um terceiro e, se aplicável, pôr termo à partilha de dados;

g)	O direito do utilizador de apresentar uma reclamação, invocando uma violação de qualquer das disposições do presente capítulo, à autoridade competente designada nos termos do artigo 37.o;

Se um detentor prospetivo dos dados é titular de segredos comerciais contidos nos dados que são suscetíveis de serem acedidos a partir do produto conectado ou gerados durante a prestação do serviço conexo e, caso o detentor prospetivo dos dados não seja o titular dos segredos comerciais, a identidade do titular dos segredos comerciais;

i)	A duração do contrato entre o utilizador e o detentor prospetivo dos dados, bem como as disposições para por termo a esse contrato.

Artigo 10.o

Resolução de litígios

1. Os utilizadores, os detentores dos dados e os destinatários dos dados devem ter acesso a um organismo de resolução de litígios, certificado em conformidade com o n.o 5 do presente artigo, para resolver litígios nos termos do artigo 4.o, n.os 3 e 9, e do artigo 5.o, n.o 12, bem como litígios relacionados com os termos e condições justos, razoáveis e não discriminatórios para a disponibilização dos dados, e com a forma transparente de o fazer, em conformidade com o presente capítulo e com o capítulo IV.

2. Os organismos de resolução de litígios devem comunicar as taxas, ou os mecanismos utilizados para as determinar, às partes em causa, antes de estas pedirem uma decisão.

3. Relativamente aos litígios submetidos à apreciação de um organismo de resolução de litígios ao abrigo do artigo 4.o, n.os 3 e 9, e do artigo 5.o, n.o 12, se o organismo de resolução de litígios decidir um litígio a favor do utilizador ou do destinatário dos dados, o detentor dos dados suporta todas as taxas cobradas pelo organismo de resolução de litígios e reembolsa o referido utilizador ou destinatário dos dados de quaisquer outras despesas razoáveis em que tenha incorrido no âmbito da resolução do litígio. Se o organismo de resolução de litígios decidir um litígio a favor do detentor dos dados, o utilizador ou destinatário dos dados não é obrigado a reembolsar quaisquer taxas ou outras despesas que o detentor dos dados tenha pago ou deva pagar no âmbito da resolução do litígio, salvo se o organismo de resolução de litígios considerar que o utilizador ou o destinatário dos dados atuou manifestamente de má-fé.

4. Os clientes de serviços de tratamento de dados e os prestadores desses serviços devem ter acesso a um organismo de resolução de litígios, certificado em conformidade com o n.o 5 do presente artigo, para resolver litígios relacionados com violações dos direitos dos clientes e com as obrigações dos prestadores de serviços de tratamento de dados, nos termos dos artigos 23.o a 31.o.

5. O Estado-Membro em que está estabelecido o organismo de resolução de litígios deve certificá-lo, a pedido desse organismo, se este tiver demonstrado que preenche todas as condições seguintes:

a)	Ser imparcial e independente e ser capaz de proferir as suas decisões de acordo com regras processuais claras, não discriminatórias e justas;

Dispor dos conhecimentos especializados necessários, em particular no que respeita a termos e condições justos, razoáveis e não discriminatórios, incluindo a compensação, e sobre a disponibilização dos dados de forma transparente, permitindo ao organismo determinar efetivamente esses termos e condições;

c)	Estar facilmente acessível através das tecnologias de comunicação eletrónica;

d)	Ser capaz de adotar as suas decisões de forma rápida, eficiente e eficaz em termos de custos em, pelo menos, uma língua oficial da União.

6. Os Estados-Membros devem notificar à Comissão os organismos de resolução de litígios certificados nos termos do n.o 5. A Comissão deve publicar uma lista desses organismos num sítio Web específico e mantê-la atualizada.

7. Os organismos de resolução de litígios devem recusar-se a tratar um pedido de resolução de um litígio que já tenha sido submetido a outro organismo de resolução de litígios ou a um órgão jurisdicional de um Estado-Membro.

8. Os organismos de resolução de litígios devem conceder às partes a possibilidade de, num prazo razoável, manifestarem os seus pontos de vista sobre as questões que essas partes apresentaram a esses organismos. Nesse contexto, devem ser facultadas a cada uma das partes num litígio as observações da outra parte e quaisquer declarações de peritos. Deve ser concedida às partes a possibilidade de se pronunciarem sobre essas observações e declarações.

9. Os organismos de resolução de litígios devem adotar as decisões sobre as questões submetidas à sua apreciação no prazo de 90 dias a contar da apresentação do pedido nos termos dos n.os 1 e 4. Essas decisões devem ser consignadas por escrito ou num suporte duradouro e ser acompanhadas da sua fundamentação.

10. Os organismos de resolução de litígios devem elaborar e tornar públicos os relatórios anuais de atividades. Esses relatórios anuais devem incluir, em particular, as seguintes informações gerais:

a)	Os resultados agregados dos litígios;

b)	O tempo necessário, em média, para a resolução dos litígios;

c)	As razões mais comuns que conduzem a litígios.

11. A fim de facilitar o intercâmbio de informações e de boas práticas, os organismos de resolução de litígios podem decidir incluir recomendações no relatório a que se refere o n.o 10 sobre a forma como os problemas podem ser evitados ou resolvidos.

12. A decisão de um organismo de resolução de litígios só é vinculativa para as partes se estas tiverem dado o seu consentimento explícito à sua natureza vinculativa antes do início do processo de resolução de litígios.

13. O presente artigo não afeta o direito das partes de procurarem vias de recurso efetivas perante um órgão jurisdicional de um Estado-Membro.

Artigo 15.o

Necessidade excecional de utilizar dados

1. Uma necessidade excecional de utilizar determinados dados na aceção do presente capítulo deve ser limitada no tempo e no âmbito, e considera-se que existe apenas em qualquer das seguintes circunstâncias:

a)	Caso os dados solicitados sejam necessários para dar resposta a uma emergência pública e o organismo do setor público, a Comissão, o Banco Central Europeu ou o órgão da União não possam obter esses dados por meios alternativos, de forma atempada e eficaz, em condições equivalentes;

Em circunstâncias não abrangidas pela alínea a) e apenas no que diz respeito a dados não pessoais, caso:

um organismo do setor público, a Comissão, o Banco Central Europeu ou um órgão da União atue com base no direito da União ou no direito nacional e tenha identificado dados específicos cuja falta o impossibilite de desempenhar uma função específica de interesse público expressamente prevista por lei, como produção de estatísticas oficiais ou a atenuação ou recuperação de uma emergência pública, e

ii)

o organismo do setor público, a Comissão, o Banco Central Europeu ou o organismo da União tenha esgotado todos os outros meios à sua disposição para obter esses dados, incluindo a aquisição de dados não pessoais no mercado às taxas de mercado ou com recurso às obrigações existentes de disponibilização de dados, ou a adoção de novas medidas legislativas que pudessem assegurar a disponibilidade atempada dos dados.

2. O n.o 1, alínea b), não se aplica às microempresas nem às pequenas empresas.

3. A obrigação de demonstrar que o organismo do setor público não pôde obter os dados não pessoais por meio da sua aquisição no mercado não se aplica se a função específica de interesse público for a produção de estatísticas oficiais e se a aquisição desses dados não for permitida pelo direito nacional.

Artigo 18.

Cumprimento dos pedidos de dados

1. Um detentor dos dados que receba um pedido de disponibilização de dados nos termos do presente capítulo deve disponibilizá-los ao organismo do setor público, à Comissão, ao Banco Central Europeu ou ao órgão da União requerente sem demora injustificada, tendo em conta as medidas técnicas, organizativas e jurídicas necessárias.

2. Sem prejuízo das necessidades específicas relativas à disponibilidade de dados definidas no direito da União ou nacional, um detentor dos dados pode recusar ou solicitar a alteração de um pedido de disponibilização de dados ao abrigo do presente capítulo sem demora injustificada e, em qualquer caso, o mais tardar no prazo de cinco dias úteis após a receção de um pedido de dados necessários para dar resposta a uma emergência pública, e sem demora injustificada e, em qualquer caso, o mais tardar, no prazo de 30 dias úteis após a receção de um tal pedido noutros casos de uma necessidade excecional, por um dos seguintes motivos:

a)	O detentor dos dados não tem controlo sobre os dados solicitados;

b)	Um pedido similar para a mesma finalidade foi apresentado anteriormente por outro organismo do setor público ou pela Comissão, pelo Banco Central Europeu ou por um órgão da União, e o detentor dos dados não foi notificado do apagamento dos dados nos termos do artigo 19.o, n.o 1, alínea c);

c)	O pedido não cumpre as condições estabelecidas no artigo 17.o, n.os 1 e 2.

3. Se o detentor dos dados decidir recusar o pedido ou solicitar a sua alteração em conformidade com o n.o 2, alínea b), deve indicar a identidade do organismo do setor público ou da Comissão, do Banco Central Europeu ou do órgão da União que apresentou anteriormente um pedido para a mesma finalidade.

4. Caso os dados solicitados incluam dados pessoais, o detentor dos dados deve anonimizar adequadamente os dados, a menos que o cumprimento do pedido de disponibilização de dados a um organismo do setor público, à Comissão, ao Banco Central Europeu ou a um órgão da União exija a divulgação de dados pessoais. Nesses casos, o detentor dos dados deve pseudonimizar os dados.

5. Caso o organismo do setor público, a Comissão, o Banco Central Europeu ou o órgão da União pretenda contestar a recusa de um detentor dos dados em facultar os dados solicitados, ou caso o detentor dos dados pretenda contestar o pedido, e a questão não possa ser resolvida através de uma alteração adequada do pedido, a matéria deve ser sujeita à apreciação da autoridade competente, designada nos termos do artigo 37.o, do Estado-Membro em que o detentor dos dados está estabelecido.

Artigo 22.

Assistência mútua e cooperação transfronteiriça

1. Os organismos do setor público, a Comissão, o Banco Central Europeu e os órgãos da União devem cooperar e prestar assistência mútua, a fim de aplicar o presente capítulo de forma coerente.

2. Os dados objeto de intercâmbio no contexto de um pedido e da prestação de assistência nos termos do n.o 1 não podem ser utilizados de forma incompatível com a finalidade para a qual foram solicitados.

3. Caso um organismo do setor público pretenda solicitar dados a um detentor dos dados estabelecido noutro Estado-Membro, deve notificar previamente dessa intenção a autoridade competente, designada nos termos do artigo 37.o, nesse Estado-Membro. Este requisito é igualmente aplicável aos pedidos apresentados pela Comissão, pelo Banco Central Europeu e pelos órgãos da União. O pedido é analisado pela autoridade competente do Estado-Membro em que o detentor dos dados está estabelecido.

4. Após ter analisado o pedido à luz dos requisitos previstos no artigo 17.o, a autoridade competente pertinente deve, sem demora injustificada, agir de uma das seguintes formas:

Transmitir o pedido ao detentor dos dados e, se aplicável, aconselhar o organismo do setor público requerente, a Comissão, o Banco Central Europeu ou o órgão da União requerente sobre a eventual necessidade de cooperar com os organismos do setor público do Estado-Membro em que o detentor dos dados está estabelecido, com o objetivo de reduzir os encargos administrativos que recaem sobre o detentor dos dados ao satisfazer o pedido;

b)	Rejeitar o pedido por motivos devidamente fundamentados, em conformidade com o presente capítulo.

O organismo do setor público, a Comissão, o Banco Central Europeu e o órgão da União requerente devem, antes de tomar quaisquer medidas adicionais como a nova apresentação do pedido, ter em conta o parecer e a motivação apresentados pela autoridade competente pertinente nos termos do primeiro parágrafo, se aplicável.

CAPÍTULO VI

MUDANÇA ENTRE SERVIÇOS DE TRATAMENTO DE DADOS

Artigo 25.

Cláusulas contratuais relativas à mudança

1. Os direitos do cliente e as obrigações do prestador de serviços de tratamento de dados em relação à mudança de prestador desses serviços ou, se for caso disso, à transferência para uma infraestrutura informática local, devem ser estabelecidos de forma clara num contrato escrito. O prestador de serviços de tratamento de dados deve disponibilizar esse contrato ao cliente, antes de ser assinado, num suporte que permita ao cliente armazenar e reproduzir o contrato.

2. Sem prejuízo do disposto na Diretiva (UE) 2019/770, o contrato referido no n.o 1 do presente artigo deve incluir pelo menos os seguintes elementos:

Cláusulas que permitam ao cliente, mediante pedido, mudar para outro serviço de tratamento de dados oferecido por um prestador de serviços de tratamento de dados diferente ou transferir todos os dados exportáveis e ativos digitais para uma infraestrutura informática local, sem demora injustificada e, em qualquer caso, não excedendo o período de transição máximo obrigatório de 30 dias consecutivos, a iniciar após o período máximo de pré-aviso referido na alínea d), durante o qual o contrato de serviço permanece aplicável e durante o qual o prestador de serviços de tratamento de dados deve:

i)	prestar uma assistência razoável ao cliente e a terceiros autorizados pelo cliente no processo de mudança,

ii)	agir com a devida diligência para manter a continuidade da atividade e prosseguir a prestação das funções ou serviços ao abrigo do contrato,

iii)	prestar informações claras sobre os riscos conhecidos para a continuidade da prestação das funções ou serviços por parte do prestador de serviços de tratamento de dados de origem,

iv)

assegurar a manutenção de um elevado nível de segurança ao longo de todo o processo de mudança, em especial a segurança dos dados durante a sua transferência e a segurança continuada dos dados durante o período de recuperação especificado na alínea g), em conformidade com o direito da União ou o direito nacional aplicáveis;

b)	A obrigação do prestador de serviços de tratamento de dados de apoiar a estratégia de saída do cliente pertinente para os serviços contratados, inclusive através da prestação de todas as informações pertinentes;

Uma cláusula que especifique que se considera que o contrato chegou ao seu termo e que o cliente será desse facto notificado, num dos seguintes casos:

i)	quando aplicável, após a conclusão com êxito do processo de mudança,

ii)	no final do prazo máximo de pré-aviso referido na alínea d), caso o cliente não pretenda mudar, mas antes apagar os seus dados exportáveis e ativos digitais após a cessação do serviço;

d)	Um prazo máximo de pré-aviso para o início do processo de mudança, que não pode exceder dois meses;

e)	A especificação exaustiva de todas as categorias de dados e ativos digitais que podem ser transferidas durante o processo de mudança, incluindo, no mínimo, todos os dados exportáveis;

A especificação exaustiva das categorias de dados específicas ao funcionamento interno do serviço dos prestadores de serviços de tratamento de dados que devem ser excluídas dos dados exportáveis nos termos da alínea e) do presente número caso exista um risco de violação dos segredos comerciais do prestador, desde que essas exclusões não impeçam nem atrasem transferência mudança prevista no artigo 23.o;

g)	Um período mínimo de recuperação de dados de pelo menos 30 dias consecutivos, com início após o termo do período de transição acordado entre o cliente e o prestador de serviços de tratamento de dados, em conformidade com a alínea a) do presente número, e o n.o 4;

Uma cláusula que garanta o apagamento integral de todos os dados exportáveis e ativos digitais gerados diretamente pelo cliente, ou diretamente relacionados com o cliente, após o termo do prazo de recuperação a que se refere a alínea g) ou após o termo de um prazo alternativo acordado que seja posterior ao termo do prazo de recuperação a que se refere a alínea g), desde que o processo de mudança tenha sido concluído com êxito;

i)	Encargos decorrentes da mudança que possam ser impostos pelos prestadores de serviços de tratamento de dados em conformidade com o artigo 29.o.

3. O contrato a que se refere o n.o 1 deve incluir cláusulas que prevejam que o cliente pode notificar o prestador de serviços de tratamento de dados da sua decisão de realizar uma ou mais das seguintes ações após o termo do período de notificação máximo referido no n.o 2, alínea d):

a)	Mudar para um prestador de serviços de tratamento de dados diferente, caso em que o cliente deve prestar as informações necessárias sobre esse prestador;

b)	Mudar para uma infraestrutura informática local;

c)	Apagar os seus dados exportáveis e ativos digitais.

4. Caso o período máximo de transição obrigatório previsto no n.o 2, alínea a), seja tecnicamente inviável, o prestador de serviços de tratamento de dados deve notificar o cliente no prazo de 14 dias úteis a contar da formulação do pedido de mudança, e deve justificar devidamente a inviabilidade técnica e indicar um período de transição alternativo, que não pode ser superior a sete meses. Em conformidade com o n.o 1, a continuidade do serviço deve ser assegurada durante todo o período de transição alternativo.

5. Sem prejuízo do disposto no n.o 4, o contrato referido no n.o 1, deve incluir cláusulas que confiram ao cliente o direito de prorrogar o período de transição uma vez, por um período que o cliente considere mais adequado para os seus próprios fins.

Artigo 28.

Obrigações de transparência contratual em matéria de acesso e transferência internacionais

1. Os prestadores de serviços de tratamento de dados devem facultar e manter atualizadas nos seus sítios Web as seguintes informações:

a)	A jurisdição a que está sujeita a infraestrutura informática implantada para o tratamento de dados de cada um dos seus serviços;

Uma descrição geral das medidas técnicas, organizativas e contratuais adotadas pelo prestador de serviços de tratamento de dados a fim de impedir o acesso governamental internacional a dados não pessoais detidos na União ou a sua transferência, caso esse acesso ou transferência seja suscetível de criar um conflito com o direito da União ou o direito nacional do Estado-Membro pertinente.

2. Os sítios Web a que se refere o n.o 1 devem ser elencados nos contratos relativos a todos os serviços de tratamento de dados oferecidos pelos prestadores de serviços de tratamento de dados.

Artigo 33.

Requisitos essenciais em matéria de interoperabilidade de dados, de mecanismos e serviços de partilha de dados bem como de espaços comuns europeus de dados

1. Os participantes em espaços de dados que oferecem dados ou serviços de dados a outros participantes devem cumprir os seguintes requisitos essenciais para facilitar a interoperabilidade dos dados, dos mecanismos e dos serviços de partilha de dados bem como dos espaços comuns europeus de dados, que constituem quadros interoperáveis de normas e práticas comuns, específicos de determinado fim, de determinado setor ou de vários setores e destinados a partilhar ou tratar conjuntamente os dados, nomeadamente para o desenvolvimento de novos produtos e serviços, a investigação científica ou iniciativas da sociedade civil:

O conteúdo do conjunto de dados, as restrições de utilização, as licenças, a metodologia de recolha de dados, a qualidade e a incerteza dos dados devem ser suficientemente descritos, quando aplicável, num formato de leitura automática, para possibilitar que o destinatário encontre os dados, a eles aceda e os utilize;

b)	As estruturas de dados, os formatos dos dados, os vocabulários, os sistemas de classificação, as taxonomias e as listas de códigos, quando disponíveis, devem ser descritos de forma coerente e acessível ao público;

Os meios técnicos de acesso aos dados, como as interfaces de programação de aplicações, bem como as respetivas condições de utilização e a qualidade do serviço, devem ser suficientemente descritos para possibilitar o acesso e a transmissão automáticos de dados entre as partes, incluindo continuamente, sob a forma de descarregamento em bloco, ou em tempo real num formato de leitura automática, quando tal seja tecnicamente viável e não prejudique o bom funcionamento do produto conectado;

d)	Quando aplicável, devem ser disponibilizados os meios para permitir a interoperabilidade das ferramentas para automatizar a execução de acordos de partilha de dados, como os contratos inteligentes.

Estes requisitos podem revestir-se de uma natureza genérica ou dizer respeito a setores específicos, tendo plenamente em conta a inter-relação com os requisitos decorrentes de outras disposições de direito da União ou nacional.

2. A Comissão fica habilitada a adotar atos delegados, nos termos do artigo 45.o do presente regulamento, a fim de completar o presente regulamento mediante uma maior especificação dos requisitos essenciais previstos no n.o 1 do presente artigo, em relação aos requisitos que, pela sua natureza, não possam produzir o efeito pretendido a menos que sejam especificados mais pormenorizadamente em atos jurídicos vinculativos da União, e a fim de refletir adequadamente a evolução tecnológica e do mercado.

A Comissão, ao adotar atos delegados, levará em conta o aconselhamento prestado pelo Comité Europeu da Inovação de Dados, em conformidade com o artigo 42.o, alínea c), alínea iii).

3. Presume-se que os participantes em espaços de dados que oferecem dados ou serviços de dados a outros participantes em espaços de dados que cumprem as normas harmonizadas, ou partes das mesmas, cujas referências se encontrem publicadas no Jornal Oficial da União Europeia estão em conformidade com os requisitos essenciais previstos no n.o 1, na medida em que essas normas ou partes das mesmas sejam abrangidas por aquelas normas harmonizadas ou partes das mesmas.

4. A Comissão deve, nos termos do artigo 10.o do Regulamento (UE) n.o 1025/2012, solicitar a uma ou várias organizações europeias de normalização que elaborem normas harmonizadas que satisfaçam os requisitos essenciais previstos no n.o 1 do presente artigo.

5. A Comissão pode, por meio de atos de execução, adotar especificações comuns que abranjam alguns ou todos os requisitos essenciais previstos no n.o 1 se estiverem preenchidas as seguintes condições:

A Comissão ter solicitado, nos termos do artigo 10.o, n.o 1, do Regulamento (UE) n.o 1025/2012, a uma ou mais organizações europeias de normalização a elaboração de uma norma harmonizada que satisfaça os requisitos essenciais previstos no n.o 1 do presente artigo e:

i)	o pedido não ter sido aceite,

ii)	as normas harmonizadas que dão resposta a esse pedido não serem produzidas dentro do prazo estabelecido nos termos do artigo 10.o, n.o 1, do Regulamento (UE) n.o 1025/2012, ou

iii)	as normas harmonizadas não estarem em conformidade com o pedido;

Não estar publicada no Jornal Oficial da União Europeia qualquer referência a normas harmonizadas que abranjam os requisitos essenciais pertinentes previstos no n.o 1 do presente artigo, em conformidade com o Regulamento (UE) n.o 1025/2012, e não se prever a publicação de tal referência dentro de um prazo razoável.

Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 46.o, n.o 2.

6. Antes de elaborar um projeto de ato de execução referido no n.o 5 do presente artigo, a Comissão informa o comité referido no artigo 22.o do Regulamento (UE) n.o 1025/2012 de que considera terem sido preenchidas as condições previstas no n.o 5 do presente artigo.

7. Ao elaborar o projeto de ato de execução referido no n.o 5, a Comissão tem em conta o aconselhamento prestado pelo Comité Europeu da Inovação de Dados e os pontos de vista de outros organismos ou grupos de peritos pertinentes e consulta devidamente todas as partes interessadas pertinentes.

8. Presume-se que os participantes em espaços de dados que oferecem dados ou serviços de dados a outros participantes em espaços de dados que cumprem as especificações comuns, ou partes das mesmas, estabelecidas por atos de execução a que se refere o n.o 5, estão em conformidade com os requisitos essenciais estabelecidos no n.o 1 na medida em que esses requisitos sejam abrangidos por essas especificações comuns ou partes das mesmas.

9. Sempre que uma norma harmonizada seja adotada por uma organização europeia de normalização e para efeitos de publicação da sua referência no Jornal Oficial da União Europeia seja proposta à Comissão, esta deve avaliar a norma harmonizada em conformidade com o Regulamento (UE) n.o 1025/2012. Quando a referência de uma norma harmonizada é publicada no Jornal Oficial da União Europeia, a Comissão revoga os atos de execução a que se refere o n.o 5 do presente artigo, ou partes dos mesmos, que abranjam os mesmos requisitos essenciais daqueles abrangidos por essa norma harmonizada.

10. Caso um Estado-Membro considere que uma especificação comum não satisfaz totalmente os requisitos essenciais previstos no n.o 1, informa a Comissão desse facto através da apresentação de uma explicação pormenorizada. A Comissão avalia essa explicação pormenorizada e pode, se for caso disso, alterar o ato de execução que estabelece a especificação comum em questão.

11. A Comissão pode, tendo em conta a proposta do Comité Europeu da Inovação de Dados nos termos do artigo 30.o, alínea h), do Regulamento (UE) 2022/868, adotar orientações que estabeleçam especificações de quadros interoperáveis de normas e práticas comuns para o funcionamento dos espaços comuns europeus de dados.

Artigo 36.

Requisitos essenciais em matéria de contratos inteligentes para a execução de acordos de partilha de dados

1. O vendedor de uma aplicação que utilize contratos inteligentes ou, na sua ausência, a pessoa cuja atividade comercial, empresarial ou profissional implique a implantação de contratos inteligentes para terceiros no contexto da execução de um acordo de disponibilização de dados, ou de parte do mesmo, deve assegurar que os referidos contratos inteligentes cumprem os seguintes requisitos essenciais de:

a)	Solidez e controlo do acesso, para assegurar que o contrato inteligente foi concebido de modo a proporcionar mecanismos de controlo do acesso e um elevado grau de solidez, a fim de evitar erros funcionais e de resistir à manipulação por terceiros;

Cessação e interrupção seguras, para assegurar a existência de um mecanismo para pôr termo à execução continuada das transações e que o contrato inteligente inclui funções internas que permitam reiniciar ou dar instruções ao contrato de modo a parar ou interromper a operação, em especial a fim de evitar futuras execuções acidentais;

Arquivamento e continuidade dos dados, para assegurar, caso um contrato inteligente tenha de ser rescindido ou desativado, que exista a possibilidade de arquivar os dados sobre as transações, a lógica e o código do contrato inteligente, a fim de conservar o registo das operações realizadas no passado em relação aos dados (auditabilidade);

d)	Controlo do acesso, para assegurar que os contratos inteligentes estejam protegidos através de mecanismos rigorosos de controlo do acesso ao nível da governação e ao nível dos contratos inteligentes; e

e)	Coerência, para assegurar coerência com os termos do acordo de partilha de dados que o contrato inteligente executa.

2. O vendedor de um contrato inteligente ou, na sua ausência, a pessoa cuja atividade comercial, empresarial ou profissional implique a implantação de contratos inteligentes para terceiros no contexto da execução de um acordo, ou parte dele, de disponibilização de dados deve efetuar uma avaliação da conformidade com vista ao cumprimento dos requisitos essenciais previstos no n.o 1 e, no que respeita ao cumprimento desses requisitos, emitir uma declaração de conformidade UE.

3. Ao elaborar a declaração de conformidade UE, o vendedor de uma aplicação que utilize contratos inteligentes ou, na sua ausência, a pessoa cuja atividade comercial, empresarial ou profissional implique a implantação de contratos inteligentes para terceiros no contexto da execução de um acordo, ou parte dele, de disponibilização de dados, é responsável pelo cumprimento dos requisitos essenciais previstos no n.o 1.

4. Presume-se que um contrato inteligente que cumpre as normas harmonizadas, ou as partes pertinentes das mesmas, e cujas referências estão publicadas no Jornal Oficial da União Europeia, está em conformidade com os requisitos essenciais previstos no n.o 1, na medida em que esses requisitos sejam abrangidos por essas normas harmonizadas ou partes das mesmas.

5. A Comissão deve, nos termos do artigo 10.o do Regulamento (UE) n.o 1025/2012, solicitar a uma ou várias organizações europeias de normalização que elaborem normas harmonizadas que satisfaçam os requisitos essenciais previstos no n.o 1 do presente artigo.

6. A Comissão pode, por meio de atos de execução, adotar especificações comuns que abranjam alguns ou todos os requisitos essenciais previstos no n.o 1 se estiverem preenchidas as seguintes condições:

i)	o pedido não ter sido aceite,

ii)	as normas harmonizadas que dão resposta a esse pedido não serem produzidas dentro do prazo estabelecido nos termos do artigo 10.o, n.o 1, do Regulamento (UE) n.o 1025/2012, ou

iii)	as normas harmonizadas não estarem em conformidade com o pedido; e

Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 46.o, n.o 2.

7. Antes de elaborar um projeto de ato de execução referido no n.o 6 do presente artigo, a Comissão informa o comité referido no artigo 22.o do Regulamento (UE) n.o 1025/2012 de que considera terem sido preenchidas as condições previstas no n.o 6 do presente artigo.

8. Ao elaborar o projeto de ato de execução referido no n.o 6, a Comissão tem em conta o aconselhamento prestado pelo Comité Europeu da Inovação de Dados e os pontos de vista de outros organismos ou grupos de peritos pertinentes e consulta devidamente todas as partes interessadas pertinentes.

9. Presume-se que o vendedor de um contrato inteligente ou, na sua ausência, a pessoa cuja atividade comercial, empresarial ou profissional implique a implantação de contratos inteligentes para terceiros no contexto de execução de um acordo, ou parte dele, de disponibilização de dados que cumpre as especificações comuns, ou partes das mesmas, estabelecidas por atos de execução a que se refere o n.o 6, está em conformidade com os requisitos essenciais previstos no n.o 1 na medida em que esses requisitos sejam abrangidos por essas especificações comuns ou partes das mesmas.

10. Sempre que uma norma harmonizada seja adotada por uma organização europeia de normalização e seja proposta à Comissão para efeitos da publicação da sua referência no Jornal Oficial da União Europeia, a Comissão deve avaliar a norma harmonizada em conformidade com o Regulamento (UE) n.o 1025/2012. Quando a referência de uma norma harmonizada é publicada no Jornal Oficial da União Europeia, a Comissão revoga os atos de execução a que se refere o n.o 6 do presente artigo, ou partes dos mesmos, que abranjam os mesmos requisitos essenciais que aqueles abrangidos por essa norma harmonizada.

11. Caso um Estado-Membro considere que uma especificação comum não satisfaz totalmente os requisitos essenciais previstos no n.o 1, informa a Comissão desse facto, apresentando uma explicação pormenorizada. A Comissão avalia essa explicação pormenorizada e pode, se for caso disso, alterar o ato de execução que estabelece a especificação comum em questão.

CAPÍTULO IX

EXECUÇÃO E FISCALIZAÇÃO DO CUMPRIMENTO

Artigo 40.

Sanções

1. Os Estados-Membros estabelecem as regras relativas às sanções aplicáveis em caso de infração ao presente regulamento e tomam todas as medidas necessárias para garantir a sua aplicação. As sanções previstas devem ser efetivas, proporcionadas e dissuasivas.

2. Os Estados-Membros notificam a Comissão, até 12 de setembro de 2025, dessas regras e medidas e também, sem demora, de qualquer alteração ulterior. A Comissão mantém e atualiza regularmente um registo público facilmente acessível dessas medidas.

3. Os Estados-Membros devem ter em conta as recomendações do Comité Europeu da Inovação de Dados e os seguintes critérios não exaustivos para a imposição de sanções em caso de infração ao presente regulamento:

a)	A natureza, gravidade, dimensão e duração da infração;

b)	Qualquer medida tomada pela parte infratora para atenuar ou reparar os danos causados pela infração;

c)	Qualquer infração anterior cometida pela parte infratora;

d)	Os benefícios financeiros obtidos ou as perdas evitadas pela parte infratora devido à infração, na medida em que esses benefícios ou perdas possam ser estabelecidos de forma fiável;

e)	Quaisquer outros fatores agravantes ou atenuantes aplicáveis às circunstâncias do caso concreto;

f)	O volume de negócios anual da parte infratora no exercício anterior na União.

4. Em caso de incumprimento das obrigações estabelecidas nos capítulos II, III e V do presente regulamento, as autoridades responsáveis por controlar a aplicação do Regulamento (UE) 2016/679 podem, no âmbito das suas competências, aplicar coimas nos termos do artigo 83.o do Regulamento (UE) 2016/679, até ao montante referido no artigo 83.o, n.o 5, do mesmo regulamento.

5. Em caso de incumprimento das obrigações estabelecidas no capítulo V do presente regulamento, a Autoridade Europeia para a Proteção de Dados pode, no âmbito das suas competências, aplicar coimas em conformidade com o artigo 66.o do Regulamento (UE) 2018/1725, até ao montante referido no artigo 66.o, n.o 3, do mesmo regulamento.

Artigo 49.

Avaliação e revisão

1. Até 12 de setembro de 2028, a Comissão procede à avaliação do presente regulamento e apresenta um relatório com as suas principais conclusões ao Parlamento Europeu e ao Conselho, e ao Comité Económico e Social Europeu. Essa avaliação deve incidir, em especial, nos seguintes aspetos:

As situações a considerar como situações de necessidade excecional para efeitos do artigo 15.o do presente regulamento e da aplicação do capítulo V do presente regulamento na prática, em especial a experiência adquirida com a aplicação do Capítulo V do presente regulamento pelos organismos do setor público, pela Comissão, pelo Banco Central Europeu e por órgãos da União; o número e o resultado dos processos instaurados junto da autoridade competente nos termos do artigo 18.o, n.o 5, relativos à aplicação do capítulo V do presente regulamento, conforme comunicados pelas autoridades competentes; o impacto de outras obrigações previstas no direito da União ou no direito nacional para efeitos de cumprimento dos pedidos de acesso às informações; o impacto dos mecanismos de partilha voluntária de dados, como as postas em prática por organizações de altruísmo de dados reconhecidas ao abrigo do Regulamento (UE) 2022/868, no cumprimento dos objetivos do capítulo V do presente regulamento, e o papel dos dados pessoais no contexto do artigo 15.o do presente regulamento, incluindo a evolução das tecnologias de reforço da privacidade;

b)	O impacto do presente regulamento na utilização dos dados na economia, nomeadamente na inovação de dados, nas práticas de monetização dos dados e nos serviços de intermediação de dados, bem como na partilha de dados nos espaços comuns europeus de dados;

c)	A acessibilidade e a utilização de diferentes categorias e tipos de dados;

d)	A exclusão de determinadas categorias de empresas da qualidade de beneficiárias nos termos do artigo 5.o;

e)	A ausência de qualquer impacto nos direitos de propriedade intelectual;

O impacto nos segredos comerciais, nomeadamente na proteção contra a aquisição, utilização e divulgação ilícitas dos mesmos, bem como o impacto do mecanismo que permite ao detentor dos dados recusar o pedido do utilizador nos termos do artigo 4.o, n.o 8, e do artigo 5.o, n.o 11, tendo em conta, na medida do possível, qualquer revisão da Diretiva (UE) 2016/943;

g)	Se a lista de cláusulas contratuais abusivas a que se refere o artigo 13.o está atualizada à luz das novas práticas comerciais e do ritmo acelerado da inovação no mercado;

h)	Alterações das práticas contratuais dos prestadores de serviços de tratamento de dados e se tal resulta no cumprimento suficiente do artigo 25.o;

i)	A redução dos encargos impostos pelos prestadores de serviços de tratamento de dados devido ao processo de mudança, em consonância com a supressão gradual dos encargos decorrentes da mudança nos termos do artigo 29.o;

j)	A interação do presente regulamento com outros atos jurídicos da União pertinentes para a economia dos dados;

k)	A prevenção do acesso governamental ilícito a dados não pessoais;

l)	A eficácia do regime de fiscalização do cumprimento exigido nos termos do artigo 37.o;

m)	O impacto do presente regulamento nas PME no que respeita à sua capacidade de inovação e à disponibilidade de serviços de processamento de dados para utilizadores na União e ao encargo relacionado com o cumprimento de novas obrigações.

2. Até 12 de setembro de 2028, a Comissão procede à avaliação do presente regulamento e apresenta um relatório com as suas principais conclusões ao Parlamento Europeu e ao Conselho, bem como ao Comité Económico e Social Europeu. Essa avaliação deve analisar o impacto dos artigos 23.o a 31.o e dos artigos 34.o e 35.o, nomeadamente no que diz respeito à fixação de preços e à diversidade dos serviços de tratamento de dados oferecidos na União, com especial destaque para os prestadores de serviços que são PME.

3. Os Estados-Membros transmitem à Comissão as informações necessárias para a elaboração dos relatórios referidos nos n.os 1 e 2.

4. Com base nos relatórios referidos nos n.os 1 e 2, a Comissão pode, se for caso disso, apresentar uma proposta legislativa ao Parlamento Europeu e ao Conselho para alteração do presente regulamento.

whereas

keyboard_tab Data Act 2023/2854 PT

Data Act 2023/2854 PT