A fim de responder às necessidades da economia digital e de eliminar os obstáculos ao bom funcionamento do mercado interno dos dados, foi necessário estabelecer um regime harmonizado que especifique quem tem direito a utilizar os dados relativos a um produto ou serviços conexos, em que condições e com que fundamento. Assim, surgiu o Regulamento (UE) 2023/2854 do Parlamento Europeu e do Conselho de 13 de dezembro de 2023 , relativo a regras harmonizadas sobre o acesso equitativo aos dados e a sua utilização e que altera o Regulamento (UE) 2017/2394 e a Diretiva (UE) 2020/1828 (Regulamento dos Dados), doravante designado por “Data Act”. O Data Act entrou em vigor em janeiro de 2024, e tornou-se aplicável a 12 de setembro de 2025 sendo que serão aplicáveis de forma gradual entre 2025 e 2027 mais obrigações, dando tempo às empresas e entidades públicas para se adaptarem ao novo quadro europeu de partilha de dados.
Que tipos de dados abrange?
O Data Act aplica-se a dados pessoais e não pessoais, abrangendo diferentes contextos: dados sobre o desempenho, a utilização e o ambiente dos produtos e serviços conectados (excluindo conteúdos); dados do setor privado que estão sujeitos a obrigações legais de partilha; dados partilhados entre empresas através de contratos comerciais; dados do setor privado, com enfoque especial nos dados não pessoais; dados e serviços tratados por prestadores de serviços de tratamento de dados; e dados não pessoais detidos na UE por prestadores desses serviços.
A quem se aplica
- Fabricantes de produtos conectados e prestadores de serviços digitais, independentemente de onde estejam estabelecidos;
- Utilizadores na UE desses produtos e serviços;
- Detentores e destinatários de dados dentro da UE;
- Organismos do setor público e instituições da UE que necessitem de dados para cumprir missões de interesse público;
- Prestadores de serviços de tratamento de dados (como fornecedores de cloud ou edge computing), mesmo que sediados fora da UE;
- Participantes em espaços de dados e fornecedores de aplicações que utilizem contratos inteligentes (smart contracts).
Direitos dos Utilizadores
- Acesso e Partilha de Dados – O Utilizador pode aceder, usar e partilhar os dados gerados pelos produtos ou serviços, contudo, não podem ser usados para criar produtos ou serviços concorrentes do detentor original;
- Controle sobre o Tratamento – É possível proibir contratualmente o acesso, partilha ou tratamento de dados se colocar em risco a segurança do produto ou a saúde e segurança das pessoas;
- Informação Pré-Contratual – Antes da compra, locação ou contratação de serviços, o Utilizador deve receber informações claras sobre os direitos e condições de uso dos dados;
- Nulidade de Derrogações Contratuais – Qualquer tentativa de reduzir os direitos do Utilizador é considerada não vinculativa.
Obrigações dos Detentores de Dados
O Detentor dos dados deve garantir que os utilizadores tenham acesso fácil, seguro, contínuo e automaticamente legível aos dados gerados pelos seus produtos ou serviços. Isto inclui a capacidade de responder a pedidos de dados e, no caso de produtos ou serviços lançados no mercado após 12 de setembro de 2026, o dever de conceber, fabricar e prestar esses produtos ou serviços de forma a que os dados relevantes sejam diretamente acessíveis ao utilizador.
Micro e pequenas empresas estão dispensadas destas obrigações, desde que não estejam associadas a ou em parceria com empresas de maior dimensão; e não tenham sido subcontratadas para a produção ou desenvolvimento do produto ou serviço conexo.
Transmissão de Dados entre Empresas (B2B)
O Data Act introduz um novo regime aplicável à disponibilização obrigatória de dados entre empresas, nomeadamente quando essa partilha decorre do exercício do direito de partilha de dados pelo Utilizador.
A transmissão deve ocorrer em condições justas, razoáveis, transparentes e não discriminatórias, assegurando simultaneamente a proteção da confidencialidade e dos segredos comerciais eventualmente contidos nos dados.
O regulamento define, ainda, critérios para identificar cláusulas contratuais abusivas, unilateralmente impostas numa relação entre empresas, as quais são consideradas não vinculativas.
Adicionalmente, o Data Act estabelece regras relativas à compensação devida pela disponibilização dos dados, que deve ser proporcional e baseada em parâmetros objetivos, de forma a garantir o equilíbrio entre as partes envolvidas.
Mudança entre Serviços de Tratamento de Dados
O Data Act estabelece um novo regime de mudança entre prestadores de serviços de tratamento de dados, com especial incidência nos serviços de computação em nuvem. O objetivo é permitir que os utilizadores possam transferir os seus dados e aplicações entre prestadores de forma simples, segura e eficiente, promovendo a concorrência e reduzindo o risco de vendor lock-in.
São proibidas cláusulas contratuais ou práticas técnicas e comerciais que restrinjam ou dificultem essa mudança.
Durante o período transitório, até 12 de janeiro de 2027, os prestadores poderão cobrar encargos limitados aos custos efetivos da transferência. Após essa data, a mudança deverá ser totalmente gratuita.
Interoperabilidade, Segurança e Fiscalização
A efetividade deste quadro depende da implementação de normas de interoperabilidade que assegurem um ecossistema europeu de dados aberto, compatível e sem barreiras técnicas. O regulamento impõe também obrigações de segurança e integridade aos detentores de dados, aos terceiros com quem estes são partilhados e às entidades públicas que a eles acedem.
Nos casos em que estejam em causa dados pessoais, prevalecem as disposições do Regulamento Geral sobre a Proteção de Dados (RGPD).
A fiscalização e execução das disposições do Data Act são atribuídas aos Estados-Membros, que deverão designar as autoridades competentes e estabelecer regimes sancionatórios adequados para garantir o cumprimento do regulamento.
Proteção de Dados no Data Act
O Data Act reforça o compromisso da União Europeia com a proteção dos dados pessoais e a privacidade dos cidadãos. Sempre que o tratamento de dados pessoais ocorra ao abrigo do Data Act, esse deverá cumprir integralmente o direito da União em matéria de proteção de dados, incluindo a necessidade de um fundamento jurídico válido para o tratamento, conforme previsto no artigo 6.º do RGPD.
Quando os Utilizadores solicitarem o acesso ou a partilha de dados, tal só pode ocorrer relativamente a dados pessoais tratados com base num fundamento jurídico existente. Caso o Utilizador não seja o Titular dos dados, o acesso ou a partilha não poderão ser realizados sem o devido enquadramento legal.
Nestes casos, o Detentor dos dados pode cumprir os pedidos, por exemplo, anonimizando as informações ou limitando o acesso apenas aos dados pessoais do próprio utilizador.
O Regulamento também sublinha a importância dos princípios de minimização de dados e da proteção de dados desde a conceção e por defeito. Todas as entidades envolvidas na partilha de dados devem adotar medidas técnicas e organizativas adequadas, como a pseudonimização, a cifragem e o uso de tecnologias que permitam extrair valor dos dados sem necessidade de os transferir ou copiar desnecessariamente.
Em suma, o Data Act pretende promover uma economia de dados aberta e inovadora, sem comprometer os direitos fundamentais à privacidade e à proteção dos dados pessoais.
por Ana Bastos, Márcia Dias Lomba e António Freitas, Área de Prática – TMT – Privacidade e Cibersegurança
