Digital Governance Act 2022/0868 PT

1)	«Dados», qualquer representação digital de atos, factos ou informações e qualquer compilação desses atos, factos ou informações, nomeadamente sob a forma de gravação sonora, visual ou audiovisual;

«Reutilização», a utilização, por pessoas singulares ou coletivas, de dados detidos por organismos do setor público, realizada para fins comerciais ou não comerciais que não correspondem à finalidade inicial da missão de serviço público para a qual os dados foram produzidos, excetuando o intercâmbio de dados entre organismos do setor público exclusivamente no desempenho das suas missões de serviço público;

3)	«Dados pessoais», os dados pessoais na aceção do artigo 4.o, ponto 1, do Regulamento (UE) 2016/679;

4)	«Dados não pessoais», os dados que não sejam dados pessoais;

5)	«Consentimento», o consentimento na aceção do artigo 4.o, ponto 11, do Regulamento (UE) 2016/679;

6)	«Autorização», a concessão, aos utilizadores de dados, do direito ao tratamento de dados não pessoais;

7)	«Titular dos dados», o titular dos dados na aceção do artigo 4.o, ponto 1, do Regulamento (UE) 2016/679;

«Detentor dos dados», uma pessoa coletiva, incluindo organismos do setor público e organizações internacionais, ou uma pessoa singular que não seja o titular dos dados no que diz respeito aos dados específicos em causa, que, em conformidade com o direito da União ou o direito nacional aplicáveis, tem o direito de conceder acesso a determinados dados pessoais ou dados não pessoais ou de os partilhar;

9)	«Utilizador dos dados», uma pessoa singular ou coletiva que tem acesso legal a determinados dados pessoais ou não pessoais e que tem direito, inclusive ao abrigo do Regulamento (UE) 2016/679 no que respeita aos dados pessoais, a utilizá-los para fins comerciais ou não comerciais;

10)

«Partilha de dados», o fornecimento de dados, por um titular dos dados ou um detentor dos dados, a um utilizador de dados para fins da utilização conjunta ou individual dos dados em causa, com base em acordos voluntários ou no direito da União ou nacional, diretamente ou através de um intermediário, por exemplo, ao abrigo de licenças abertas ou comerciais sujeitas a uma taxa ou gratuitas;

11)

«Serviço de intermediação de dados», um serviço que visa estabelecer relações comerciais para efeitos de partilha de dados entre um número indeterminado de titulares dos dados e detentores dos dados, por um lado, e utilizadores de dados, por outro, através de meios técnicos, jurídicos ou outros, inclusive para o exercício dos direitos dos titulares dos dados em relação aos dados pessoais, excluindo, pelo menos, o seguinte:

Serviços que obtêm dados junto dos detentores dos dados e agregam, enriquecem ou transformam os dados obtidos com o objetivo de lhes acrescentar um valor substancial e licenciam a utilização dos dados resultantes aos utilizadores de dados, sem estabelecer uma relação comercial entre os detentores dos dados e os utilizadores dos dados;

b)	Serviços centrados na intermediação de conteúdos protegidos por direitos de autor;

Serviços exclusivamente utilizados por um único detentor dos dados para permitir a utilização dos dados detidos por esse detentor dos dados, ou utilizados por várias pessoas coletivas no seio de um grupo fechado, inclusive no âmbito de relações com fornecedores ou clientes ou colaborações contratualmente estabelecidas, em especial os que tenham como principal objetivo assegurar funcionalidades de objetos e dispositivos ligados à Internet das coisas;

d)	Serviços de partilha de dados oferecidos por organismos do setor público que não visam estabelecer relações comerciais;

12)	«Tratamento», o tratamento na aceção do artigo 4.o, ponto 2, do Regulamento (UE) 2016/679 no que diz respeito aos dados pessoais ou ao artigo 3.o, n.o 2, do Regulamento (UE) 2018/1807 no que diz respeito aos dados não pessoais;

13)	«Acesso», a utilização de dados, em conformidade com requisitos técnicos, jurídicos ou organizacionais específicos, sem implicar necessariamente a transmissão ou o descarregamento de dados;

14)	«Estabelecimento principal» de uma pessoa coletiva, o local onde se encontra a sua administração central na União;

15)

«Serviços de cooperativas de dados», os serviços de intermediação de dados oferecidos por uma estrutura organizacional constituída pelos titulares dos dados, empresas unipessoais ou PME que são os membros dessa estrutura, e que tem por principais objetivos ajudar os seus membros a exercerem os seus direitos em relação a determinados dados, nomeadamente no que diz respeito a fazerem escolhas informadas antes de darem o seu consentimento ao tratamento de dados, trocar pontos de vista sobre as finalidades e as condições do tratamento de dados que melhor sirvam os interesses dos seus membros no que diz respeito aos seus dados, e negociar os termos e condições do tratamento de dados em nome dos seus membros antes de estes autorizarem o tratamento de dados não pessoais ou darem o seu consentimento ao tratamento de dados pessoais;

16)

«Altruísmo de dados», a partilha voluntária de dados, com base no consentimento dos titulares dos dados para o tratamento dos respetivos dados pessoais ou na autorização, por parte de outros detentores dos dados, da utilização dos seus dados não pessoais, sem que esses titulares ou detentores procurem ou recebam uma gratificação que vá além de uma compensação pelos custos em que incorrem ao disponibilizarem os seus dados, para fins de interesse geral, previstos no direito nacional, se aplicável, tais como os cuidados de saúde, a luta contra as alterações climáticas, a melhoria da mobilidade, a facilitação do desenvolvimento, produção e divulgação de estatísticas oficiais, a melhoria da prestação dos serviços públicos, a elaboração de políticas públicas ou a investigação científica de interesse geral;

17)	«Organismo do setor público», o Estado, as autoridades regionais ou locais, os organismos de direito público ou as associações formadas por uma ou mais dessas autoridades ou por um ou mais desses organismos de direito público;

18)

«Organismos de direito público», organismos que apresentam as seguintes características:

a)	Terem sido criados para o fim específico de satisfazer necessidades de interesse geral, e não terem caráter industrial ou comercial;

b)	Serem dotados de personalidade jurídica;

Serem maioritariamente financiados pelo Estado, por autoridades regionais ou locais ou por outros organismos de direito público, ou a sua gestão estar sujeita a controlo por parte dessas autoridades ou desses organismos, ou mais de metade dos membros do seu órgão de administração, direção ou supervisão serem designados pelo Estado, por autoridades regionais ou locais ou por outros organismos de direito público;

19)

«Empresa pública», qualquer empresa em relação à qual os organismos do setor público podem exercer, direta ou indiretamente, uma influência dominante, por via da propriedade, da participação financeira nessa empresa ou das regras que lhe sejam aplicáveis. Para efeitos da presente definição, presume-se a existência de influência dominante dos organismos do setor público em qualquer dos seguintes casos em que estes organismos, de forma direta ou indireta:

a)	Detêm a maioria do capital subscrito da empresa;

b)	Dispõem da maioria dos votos correspondentes às ações emitidas pela empresa;

c)	podem designar mais de metade dos membros do órgão de administração, direção ou supervisão da empresa;

20)

«Ambiente de tratamento seguro», o ambiente físico ou virtual e os meios organizacionais destinados a assegurar o cumprimento do direito da União, tal como o Regulamento (UE) 2016/679, em especial no que respeita aos direitos dos titulares dos dados, os direitos de propriedade intelectual, a confidencialidade comercial e estatística, a integridade e a acessibilidade, bem como o cumprimento do direito nacional aplicável e permitir à entidade que fornece o ambiente de tratamento seguro determinar e supervisionar todas as ações de tratamento de dados, incluindo a visualização, o armazenamento, o descarregamento e a exportação de dados, bem como o cálculo de dados derivados através de algoritmos computacionais;

21)

«Representante legal», uma pessoa singular ou coletiva estabelecida na União que é expressamente designada para agir em nome de um prestador de serviços de intermediação de dados não estabelecido na União ou de uma entidade não estabelecida na União que recolha, com objetivos de interesse geral, dados disponibilizados por pessoas singulares ou coletivas com base no altruísmo de dados, e que pode ser contactada pelas autoridades competentes para serviços de intermediação de dados e pelas autoridades competentes para o registo de organizações de altruísmo de dados, ou em vez do prestador de serviços de intermediação de dados ou da entidade, no que diz respeito às obrigações estabelecidas ao abrigo do presente regulamento, nomeadamente para dar início a procedimentos de execução contra um prestador de serviços de intermediação de dados ou uma entidade que não esteja estabelecido(a) na União.

CAPÍTULO II

Reutilização de determinadas categorias de dados protegidos detidos por organismos do setor público

Artigo 5.o

Condições de reutilização

1. Os organismos do setor público competentes, nos termos do direito nacional, para conceder ou recusar o acesso para fins de reutilização de uma ou mais categorias de dados referidas no artigo 3.o, n.o 1, devem comunicar publicamente as condições em que é permitida essa reutilização e o procedimento a seguir para solicitar a reutilização através do ponto de informação único a que se refere o artigo 8.o. Sempre que concedam ou recusem o acesso para fins de reutilização, os organismos do setor público podem ser assistidos pelos organismos competentes a que se refere o artigo 7.o, n.o 1.

Os Estados-Membros devem assegurar que os organismos do setor público dispõem dos recursos necessários para dar cumprimento ao presente artigo.

2. As condições de reutilização devem ser não discriminatórias, transparentes, proporcionadas e objetivamente justificadas no que respeita às categorias de dados, às finalidades da reutilização e à natureza dos dados cuja reutilização é permitida. Essas condições não podem ser utilizadas para restringir a concorrência.

3. Os organismos do setor público asseguram, em conformidade com o direito da União e nacional, que a natureza protegida dos dados seja preservada. podem estabelecer os seguintes requisitos:

O acesso para fins de reutilização de dados só deve ser concedido se o organismo do setor público ou o organismo competente, na sequência de um pedido de reutilização, tiver assegurado que os dados:

i)	foram anonimizados, no caso dos dados pessoais, e

ii)	foram alterados, agregados ou tratados por qualquer outro método de controlo da divulgação, no caso das informações comerciais confidenciais, incluindo os segredos comerciais ou conteúdos protegidos por direitos de propriedade intelectual;

b)	O acesso e reutilização remotos dos dados devem realizar-se num ambiente de tratamento seguro disponibilizado ou controlado pelo organismo do setor público;

c)	Se o acesso remoto não puder ser autorizado sem comprometer os direitos e interesses de terceiros, o acesso e reutilização dos dados devem realizar-se nas instalações físicas onde está localizado o ambiente de tratamento seguro, em conformidade com elevadas normas de segurança.

4. No caso de reutilização permitida nos termos do n.o 3, alíneas b) e c), os organismos do setor público impõem condições que preservem a integridade do funcionamento dos sistemas técnicos do ambiente de tratamento seguro utilizado. O organismo do setor público reserva-se o direito de verificar o processo, os meios e quaisquer resultados do tratamento de dados efetuado pelo reutilizador para preservar a integridade da proteção dos dados e reserva-se o direito de proibir a utilização de resultados que contenham informações que comprometam os direitos e interesses de terceiros. A decisão de proibir a utilização dos resultados deve ser compreensível e transparente para o reutilizador.

5. A menos que o direito nacional preveja salvaguardas específicas sobre as obrigações de confidencialidade aplicáveis relacionadas com a reutilização de dados referidos no artigo 3.o, n.o 1, o organismo do setor público subordina a utilização dos dados fornecidos nos termos do n.o 3 do presente artigo ao cumprimento, por parte do reutilizador, de uma obrigação de confidencialidade que proíba a divulgação de qualquer informação que comprometa os direitos e interesses de terceiros e que o reutilizador possa ter adquirido apesar das salvaguardas instituídas. Os reutilizadores ficam proibidos de reidentificar qualquer titular dos dados a quem os dados digam respeito e devem tomar medidas técnicas e operacionais para prevenir a reidentificação e para notificar ao organismo do setor público qualquer violação de dados que resulte na reidentificação dos titulares dos dados em causa. Em caso de reutilização não autorizada de dados não pessoais, o reutilizador informa, sem demora, se for caso disso com a assistência do organismo do setor público, as pessoas coletivas cujos direitos e interesses possam ser afetados.

6. Sempre que a reutilização de dados não possa ser autorizada em conformidade com as obrigações estabelecidas nos n.os 3 e 4 do presente artigo e não exista base jurídica para a transmissão de dados ao abrigo do Regulamento (UE) 2016/679, o organismo do setor público envida todos os esforços, nos termos do direito da União e nacional, para ajudar os potenciais reutilizadores a obter o consentimento dos titulares dos dados ou a autorização dos detentores dos dados cujos direitos e interesses possam ser afetados por essa reutilização, sempre que tal seja exequível sem acarretar encargos desproporcionados para o organismo do setor público. Sempre que presta essa assistência, o organismo do setor público pode ser assistido pelos organismos competentes a que se refere o artigo 7.o, n.o 1.

7. A reutilização de dados só é permitida em conformidade com os direitos de propriedade intelectual. O direito do fabricante de uma base de dados previsto no artigo 7.o, n.o 1, da Diretiva 96/9/CE não pode ser exercido por organismos do setor público com o intuito de impedir a reutilização de dados ou de a restringir para além dos limites estabelecidos no presente regulamento.

8. Sempre que os dados solicitados sejam considerados confidenciais, em conformidade com o direito da União ou nacional em matéria de confidencialidade comercial ou estatística, os organismos do setor público asseguram que os dados confidenciais não sejam divulgados em resultado de ter sido permitida a reutilização, a menos que essa reutilização tenha sido permitida nos termos do n.o 6.

9. Sempre que tencione transferir para um país terceiro dados não pessoais protegidos pelos motivos enunciados no artigo 3.o, n.o 1, o reutilizador informa o organismo do setor público da sua intenção de transferir esses dados, bem como da finalidade dessa transferência, no momento do pedido de reutilização desses dados. Em caso de reutilização nos termos do n.o 6 do presente artigo, o reutilizador, se for caso disso com a assistência do organismo do setor público, informa a pessoa coletiva cujos direitos e interesses possam ser afetados da intenção, da finalidade e das salvaguardas pertinentes. O organismo do setor público não permite a reutilização a menos que a pessoa coletiva dê autorização à transferência.

10. Os organismos do setor público só podem transmitir dados confidenciais não pessoais ou dados protegidos por direitos de propriedade intelectual a um reutilizador que tencione transferir esses dados para um país terceiro que não seja um país designado em conformidade com o n.o 12 na condição de o reutilizador se comprometer contratualmente a:

a)	Cumprir as obrigações impostas nos termos dos n.os 7 e 8, mesmo após a transferência dos dados para o país terceiro; e

b)	Aceitar a jurisdição dos tribunais do Estado-Membro do organismo do setor público que transmite os dados para a resolução de eventuais litígios relacionados com o cumprimento dos n.os 7 e 8.

11. Os organismos do setor público prestam, sempre que pertinente e na medida das suas capacidades, orientações e apoio aos reutilizadores no cumprimento das obrigações a que se refere o n.o 10 do presente artigo.

A fim de apoiar os organismos do setor público e os reutilizadores, a Comissão pode adotar atos de execução que estabeleçam cláusulas contratuais-tipo para o cumprimento das obrigações a que se refere o n.o 10 do presente artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 33.o, n.o 3.

12. Se tal se justificar devido a um número substancial de pedidos, em toda a União, relativos à reutilização de dados não pessoais em países terceiros específicos, a Comissão pode adotar atos de execução que declarem que o enquadramento legal, de supervisão e de execução de um país terceiro:

a)	Assegura a proteção da propriedade intelectual e dos segredos comerciais de uma forma essencialmente equivalente à proteção garantida pelo direito da União;

b)	Está a ser efetivamente aplicado e executado; e

c)	Proporciona vias efetivas de recurso judicial.

Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 33.o, n.o 3.

13. Os atos legislativos específicos da União podem estabelecer que determinadas categorias de dados não pessoais detidos por organismos do setor público são consideradas altamente sensíveis para efeitos do presente artigo, caso a sua transferência para países terceiros possa comprometer objetivos de política pública da União, como a segurança e a saúde pública, ou possa acarretar riscos de reidentificação de dados não pessoais anonimizados. Caso um tal ato seja adotado, a Comissão adota atos delegados, nos termos do artigo 32.o, a fim de completar o presente regulamento estabelecendo condições especiais aplicáveis às transferências desses dados para países terceiros.

Essas condições especiais devem ter em conta a natureza das categorias de dados não pessoais identificadas no ato legislativo específico da União e nos motivos para considerar essas categorias como altamente sensíveis, tendo em conta os riscos de reidentificação de dados não pessoais anonimizados. Devem ser não discriminatórias e limitadas ao necessário para alcançar os objetivos de política pública da União identificados nesse ato legislativo, e, em conformidade com as obrigações internacionais da União.

Se os atos legislativos específicos da União referidos no primeiro parágrafo assim o exigirem, essas condições especiais podem incluir condições aplicáveis à transferência ou disposições técnicas a este respeito, restrições no que diz respeito à reutilização de dados em países terceiros ou às categorias de pessoas habilitadas a transferir esses dados para países terceiros ou, em casos excecionais, restrições relativas às transferências para países terceiros.

14. A pessoa singular ou coletiva a quem for concedido o direito de reutilização de dados não pessoais só pode transferir os dados para os países terceiros que cumpram os requisitos previstos nos n.os 10, 12 e 13.

Artigo 6.o

Taxas

1. Os organismos do setor público que permitam a reutilização das categorias de dados referidas no artigo 3.o, n.o 1, podem cobrar taxas para o efeito.

2. As taxas cobradas nos termos do n.o 1 devem ser transparentes, não discriminatórias, proporcionadas e objetivamente justificadas e não podem restringir a concorrência.

3. Os organismos do setor público asseguram que as taxas possam também ser pagas em linha, através de serviços de pagamento transfronteiriço amplamente acessíveis, sem discriminação com base no local de estabelecimento do prestador do serviço de pagamento, no local de emissão do instrumento de pagamento ou na localização da conta de pagamento na União.

4. Sempre que apliquem taxas, os organismos do setor público tomam medidas para incentivar a reutilização das categorias de dados referidas no artigo 3.o, n.o 1, para fins não comerciais, tais como fins de investigação científica, e por PME e empresas em fase de arranque, em sintonia com as regras em matéria de auxílios estatais. A este respeito, os organismos do setor público também podem disponibilizar os dados mediante o pagamento de uma taxa reduzida ou a título gratuito, em especial a PME e empresas em fase de arranque, a organizações da sociedade civil e a estabelecimentos de ensino. Para o efeito, os organismos do setor público podem estabelecer uma lista das categorias de reutilizadores para as quais os dados para reutilização são disponibilizados mediante o pagamento de uma taxa reduzida ou a título gratuito. Essa lista, juntamente com os critérios utilizados para a sua elaboração, é tornada pública.

5. As taxas são calculadas com referência aos custos relacionados com a instrução do procedimento relativo aos pedidos de reutilização das categorias de dados referidas no artigo 3.o, n.o 1 e estão limitadas aos custos necessários relativos a:

a)	Reprodução, fornecimento e divulgação de dados;

b)	Aquisição de direitos;

c)	Anonimização ou outras formas de preparação de dados pessoais e comercialmente confidenciais nos termos do artigo 5.o, n.o 3;

d)	Manutenção do ambiente de tratamento seguro;

e)	Aquisição, junto de terceiros fora do setor público, do direito de permitir a reutilização nos termos do presente capítulo; e

f)	Apoio aos reutilizadores na obtenção do consentimento dos titulares dos dados e da autorização dos detentores dos dados cujos direitos e interesses possam ser afetados pela reutilização.

6. Os critérios e a metodologia de cálculo das taxas são estabelecidos pelos Estados-Membros e publicados. O organismo do setor público publica uma descrição das principais categorias de custos e das regras utilizadas para a respetiva imputação.

Artigo 7.o

Organismos competentes

1. Para efeitos do exercício das funções a que se refere o presente artigo, cada Estado-Membro designa um ou mais organismos competentes, que podem ser competentes em determinados setores, para apoiar os organismos do setor público que concedem ou recusam acesso para fins de reutilização das categorias de dados a que se refere o artigo 3.o, n.o 1. Os Estados-Membros podem criar um ou mais novos organismos competentes ou recorrer a organismos do setor público existentes ou a serviços internos de organismos do setor público que preencham as condições estabelecidas no presente regulamento.

2. Pode igualmente ser atribuída aos organismos competentes a competência para conceder acesso para fins de reutilização das categorias de dados referidas no artigo 3.o, n.o 1, nos termos do direito da União ou nacional que prevê a concessão desse acesso. Caso concedam ou recusem o acesso para fins de reutilização, os artigos 4.o, 5.o, 6.o e 9.o aplicam-se a esses organismos competentes.

3. Os organismos competentes devem dispor dos recursos jurídicos, financeiros, técnicos e humanos adequados para desempenhar as funções que lhes são atribuídas, inclusive dos conhecimentos técnicos necessários para poderem cumprir o direito da União ou nacional aplicável em matéria de regimes de acesso para as categorias de dados referidas no artigo 3.o, n.o 1.

4. O apoio previsto no n.o 1 inclui, se necessário:

a)	A prestação de apoio técnico através da disponibilização de um ambiente de tratamento seguro para facultar o acesso para fins de reutilização de dados;

b)	O fornecimento de orientações e apoio técnico sobre a melhor forma de estruturar e armazenar os dados de modo a tornar esses dados facilmente acessíveis;

A prestação de apoio técnico à pseudonimização e para garantir que o tratamento de dados seja efetuado por forma a preservar eficazmente a privacidade, confidencialidade, integridade e acessibilidade das informações contidas nos dados cuja reutilização é permitida, incluindo as técnicas de anonimização, generalização, supressão e aleatorização de dados pessoais ou outros métodos avançados de preservação da privacidade, bem como a supressão das informações comerciais confidenciais, nomeadamente segredos comerciais ou conteúdos protegidos por direitos de propriedade intelectual;

A prestação de assistência aos organismos do setor público, se for caso disso, para que ajudem os reutilizadores a solicitar o consentimento dos titulares dos dados ou a autorização dos detentores dos dados para a reutilização, em consonância com as suas decisões específicas, inclusive no que respeita à jurisdição em que o tratamento de dados se destina a ser realizado, bem como a prestação de assistência aos organismos do setor público no estabelecimento de mecanismos técnicos que permitam a transmissão dos pedidos de consentimento ou autorização efetuados pelos reutilizadores, sempre que tal seja exequível na prática;

e)	A prestação de assistência aos organismos do setor público na avaliação adequação dos compromissos contratuais assumidos por um reutilizador, nos termos do artigo 5.o, n.o 10.

5. Cada Estado-Membro notifica a Comissão da identidade dos organismos competentes designados nos termos do n.o 1 até 24 de setembro de 2023. Cada Estado-Membro notifica igualmente a Comissão de qualquer alteração posterior da identidade desses organismos competentes.

Artigo 8.o

Pontos de informação únicos

1. Os Estados-Membros asseguram que todas as informações pertinentes relativas à aplicação dos artigos 5.o e 6.o estejam disponíveis e sejam facilmente acessíveis através de um ponto de informação único. Os Estados-Membros podem criar um novo organismo ou designar um organismo ou uma estrutura existente como ponto de informação único. O ponto de informação único pode estar ligado a pontos de informação setoriais, regionais ou locais. As funções do ponto de informação único podem ser automatizadas, desde que seja assegurado o apoio adequado por parte de um organismo do setor público.

2. O ponto de informação único é competente para receber os pedidos de informação ou os pedidos de reutilização das categorias de dados referidas no artigo 3.o, n.o 1, e transmite-os, sempre que possível e adequado por meios automatizados, aos organismos do setor público competentes ou, se for caso disso, aos organismos competentes referidos no artigo 7.o, n.o 1. O ponto de informação único disponibiliza, por via eletrónica, uma lista pesquisável de recursos que ofereça uma panorâmica de todos os recursos de dados disponíveis incluindo, se for caso disso, os recursos de dados que estão disponíveis nos pontos de informação setoriais, regionais ou locais, com informações relevantes que descrevam os dados disponíveis, incluindo, pelo menos, o formato e a dimensão dos dados e as condições da sua reutilização.

3. O ponto de informação único pode criar um canal de informação separado, simplificado e bem documentado para as PME e as empresas em fase de arranque, que atenda às respetivas necessidades e capacidades em termos de solicitação da reutilização das categorias de dados referidas no artigo 3.o, n.o 1.

4. A Comissão estabelece um ponto de acesso único europeu que disponibilize um registo eletrónico pesquisável dos dados disponíveis nos pontos de informação únicos nacionais e outras informações sobre a forma como solicitar dados através desses pontos de informação únicos nacionais.

Artigo 10.o

Serviços de intermediação de dados

A prestação dos serviços de intermediação de dados a seguir indicados deve cumprir o artigo 12.o e ser sujeita a um procedimento de notificação:

Serviços de intermediação entre detentores dos dados e potenciais utilizadores de dados, incluindo a disponibilização de meios técnicos ou outros que permitam esses serviços; tais serviços podem incluir os intercâmbios bilaterais ou multilaterais de dados ou a criação de plataformas ou de bases de dados que permitam o intercâmbio ou a utilização conjunta de dados, bem como a criação de outras infraestruturas específicas para a interligação entre detentores dos dados e utilizadores de dados;

Serviços de intermediação entre titulares dos dados que procuram disponibilizar os seus dados pessoais, ou pessoas singulares que procuram disponibilizar dados não pessoais, e potenciais utilizadores de dados, incluindo a disponibilização de meios técnicos ou outros que permitam esses serviços e, em particular, que permitam o exercício dos direitos dos titulares dos dados previstos no Regulamento (UE) 2016/679;

c)	Serviços de cooperativas de dados.

Artigo 12.o

Condições de prestação de serviços de intermediação de dados

A prestação dos serviços de intermediação de dados referidos no artigo 10.o está sujeita às seguintes condições:

O prestador de serviços de intermediação de dados não pode utilizar os dados relativamente aos quais presta serviços de intermediação de dados para outros fins que não colocá-los à disposição dos utilizadores de dados e presta os serviços de intermediação de dados através de uma pessoa coletiva distinta;

As condições comerciais, incluindo os preços, para a prestação de serviços de intermediação de dados a um detentor dos dados ou utilizador dos dados não podem depender do facto de o detentor dos dados ou o utilizador dos dados utilizar outros serviços prestados pelo mesmo prestador de serviços de intermediação de dados ou por uma entidade com ele relacionada e, em caso afirmativo, em que medida o detentor dos dados ou utilizador dos dados utiliza esses outros serviços;

Os dados relativos a qualquer atividade de uma pessoa singular ou coletiva recolhidos para efeitos da prestação do serviço de intermediação de dados, incluindo a data, a hora e os dados de geolocalização, a duração da atividade e as ligações a outras pessoas singulares ou coletivas estabelecidas pela pessoa que utiliza o serviço de intermediação de dados, só podem ser utilizados para o desenvolvimento desse serviço de intermediação de dados, o que pode implicar a utilização dos dados para a deteção de fraudes ou para fins de cibersegurança, e são disponibilizados aos detentores dos dados mediante pedido;

O prestador de serviços de intermediação de dados facilita o intercâmbio dos dados no formato em que os recebe de um titular dos dados ou de um detentor dos dados, só os pode converter em formatos específicos se tal conversão se destinar a reforçar a interoperabilidade intra e intersetorial, ou se for solicitada pelo utilizador de dados ou exigida pelo direito da União, ou ainda se se destinar a assegurar a harmonização com as normas internacionais ou europeias em matéria de dados e dão aos titulares dos dados ou aos detentores dos dados uma possibilidade de recusa relativamente a essas conversões, a menos que a conversão seja exigida pelo direito da União;

Os serviços de intermediação de dados podem incluir a oferta, aos detentores dos dados ou aos titulares dos dados, de instrumentos e serviços específicos adicionais que visem especificamente facilitar o intercâmbio de dados, tais como o armazenamento temporário, a curadoria, a conversão, a anonimização e a pseudonimização; os instrumentos e serviços em causa só podem ser utilizados mediante pedido ou aprovação expressos do detentor dos dados ou do titular dos dados, e os instrumentos de terceiros disponibilizados nesse contexto não podem utilizar os dados para outros fins;

O prestador de serviços de intermediação de dados deve assegurar que o procedimento de acesso ao seu serviço é justo, transparente e não discriminatório, tanto para os titulares dos dados e detentores dos dados como para os utilizadores de dados, nomeadamente no que diz respeito aos preços e aos termos do serviço;

g)	O prestador de serviços de intermediação de dados deve dispor de procedimentos para prevenir práticas fraudulentas ou abusivas de partes que procurem ter acesso através do seu serviço de intermediação de dados;

Em caso de insolvência do prestador de serviços de intermediação de dados, este deve assegurar uma continuidade razoável da prestação dos seus serviços de intermediação de dados e, no caso de esses serviços de intermediação de dados assegurarem o armazenamento de dados, o prestador de serviços de intermediação de dados deve dispor de mecanismos que permitam aos detentores dos dados e aos utilizadores dos dados aceder aos seus dados, transferi-los ou recuperá-los ou, no caso dessa prestação de serviços de intermediação de dados ter lugar entre os titulares dos dados e os utilizadores dos dados, que permitam aos titulares dos dados exercer os seus direitos;

i)	O prestador de serviços de intermediação de dados deve tomar as medidas adequadas para assegurar a interoperabilidade com outros serviços de intermediação de dados, nomeadamente através de normas abertas de uso corrente no setor em que os prestadores de serviços de intermediação de dados operam;

j)	O prestador de serviços de intermediação de dados deve adotar medidas técnicas, jurídicas e organizativas adequadas para impedir a transferência ou o acesso a dados não pessoais que sejam ilegais nos termos do direito da União ou do direito nacional do Estado-Membro pertinente;

k)	O prestador de serviços de intermediação de dados deve informar sem demora os detentores dos dados em caso de transferência, acesso ou utilização não autorizados dos dados não pessoais que tenha partilhado;

O prestador de serviços de intermediação de dados deve tomar as medidas necessárias para garantir um nível de segurança adequado do armazenamento, do tratamento e da transmissão de dados não pessoais, devendo ainda garantir o mais elevado nível de segurança possível do armazenamento e da transmissão de informações sensíveis do ponto de vista da concorrência;

O prestador de serviços de intermediação de dados que oferece serviços a titulares dos dados deve agir no melhor interesse destes ao facilitar o exercício dos seus direitos, em especial informando-os e, se for caso disso, aconselhando-os de forma concisa, transparente, inteligível e facilmente acessível sobre as utilizações previstas dos dados por parte dos utilizadores dos dados e sobre as condições gerais associadas a essas utilizações, antes de os titulares dos dados darem o seu consentimento;

Caso um prestador de serviços de intermediação de dados faculte instrumentos para obter o consentimento dos titulares dos dados ou a autorização para o tratamento dos dados disponibilizados pelos detentores dos dados, deve, se for caso disso, especificar a jurisdição de país terceiro em que a utilização dos dados se destina a ser efetuada e facultar aos titulares dos dados instrumentos para dar e retirar o consentimento, e aos detentores dos dados instrumentos para dar e retirar a autorização para o tratamento de dados;

o)	O prestador de serviços de intermediação de dados deve manter um registo da atividade de intermediação de dados.

Artigo 14.o

Controlo do cumprimento

1. A autoridade competente em matéria de serviços de intermediação de dados controla e supervisiona o cumprimento, por parte dos prestadores de serviços de intermediação de dados, dos requisitos estabelecidos no presente capítulo. A autoridade competente em matéria de serviços de intermediação de dados pode igualmente controlar e supervisionar o cumprimento dos prestadores de serviços de intermediação de dados com base num pedido apresentado por uma pessoa singular ou coletiva.

2. As autoridades competentes em matéria de serviços de intermediação de dados têm poderes para solicitar aos prestadores de serviços de intermediação de dados ou aos seus representantes legais todas as informações necessárias para verificar o cumprimento dos requisitos estabelecidos no presente capítulo. Os pedidos de informações devem ser proporcionados em relação ao desempenho da função em causa e devem ser fundamentados.

3. Caso verifique que um prestador de serviços de intermediação de dados não cumpre um ou mais dos requisitos estabelecidos no presente capítulo, a autoridade competente em matéria de serviços de intermediação de dados notifica tal prestador de serviços de intermediação de dados desse facto e dá-lhe a oportunidade de exprimir os seus pontos de vista, num prazo de 30 dias a contar da receção da notificação.

4. A autoridade competente em matéria de serviços de intermediação de dados tem poderes para exigir a cessação do incumprimento a que se refere o n.o 3 num prazo razoável – ou imediatamente em caso de incumprimento grave – e toma medidas adequadas e proporcionadas a fim de garantir o cumprimento. A esse respeito, a autoridade competente em matéria de serviços de intermediação de dados tem poderes, se for caso disso:

a)	Para impor, através de procedimentos administrativos, sanções pecuniárias dissuasivas, que podem incluir sanções periódicas e sanções com efeito retroativo, para intentar ações judiciais para a aplicação de coimas, ou ambos;

b)	Para exigir o adiamento do início ou a suspensão da prestação do serviço de intermediação de dados até que tenham sido realizadas alterações às suas condições, tal como solicitado pela autoridade competente em matéria de serviços de intermediação de dados; ou

c)	ou para exigir a cessação da prestação do serviço de intermediação de dados, em caso de incumprimentos graves ou repetidos que não tenham sido corrigidos apesar de notificação prévio nos termos do n.o 3.

Após ter ordenado a cessação da prestação do serviço de intermediação de dados nos termos da alínea c) do primeiro parágrafo, a autoridade competente em matéria de serviços de intermediação de dados solicita à Comissão que retire o prestador do serviço de intermediação de dados do registo dos prestadores de serviços de intermediação de dados.

Caso o prestador de serviços de intermediação de dados corrija os incumprimentos, esse prestador de serviços de intermediação de dados notifica novamente a autoridade competente em matéria de serviços de intermediação de dados. A autoridade competente em matéria de serviços de intermediação de dados notifica a Comissão de cada nova notificação.

5. Caso um prestador de serviços de intermediação de dados não estabelecido na União não designe um representante legal, ou o representante legal não forneça, face a um pedido da autoridade competente em matéria de serviços de intermediação de dados, as informações necessárias que demonstrem cabalmente o cumprimento do presente regulamento, a autoridade competente em matéria de serviços de intermediação de dados tem poderes para adiar o início ou para suspender a prestação do serviço de intermediação de dados até que seja designado um representante legal ou até que sejam fornecidas as informações necessárias.

6. As autoridades competentes em matéria de serviços de intermediação de dados notificam sem demora ao prestador de serviços de intermediação de dados em causa as medidas impostas nos termos dos n.os 4 e 5 e os respetivos fundamentos, bem como as diligências que devem ser efetuadas para retificar as deficiências pertinentes, e fixam um prazo razoável, não superior a 30 dias, para que o prestador de serviços de intermediação de dados dê cumprimento a essas medidas.

7. Caso um prestador de serviços de intermediação de dados tenha o seu estabelecimento principal ou o seu representante legal num Estado-Membro mas preste serviços noutros Estados-Membros, a autoridade competente em matéria de serviços de intermediação de dados do Estado-Membro do estabelecimento principal ou do representante legal e as autoridades competentes em matéria de serviços de intermediação de dados desses outros Estados-Membros cooperam entre si e prestam-se assistência mútua. Essa assistência e essa cooperação podem abranger o intercâmbio de informações entre as autoridades competentes em matéria de serviços de intermediação de dados em causa para efeitos das suas funções ao abrigo do presente regulamento, bem como os pedidos fundamentados para que sejam tomadas as medidas a que se refere o presente artigo.

Sempre que uma autoridade competente em matéria de serviços de intermediação de dados de um Estado-Membro solicite assistência a uma autoridade competente em matéria de serviços de intermediação de dados de outro Estado-Membro, apresenta para o efeito um pedido fundamentado. A autoridade competente em matéria de serviços de intermediação de dados à qual é dirigido o pedido dá-lhe resposta sem demora e num prazo proporcionado em relação à urgência do pedido.

As informações trocadas no contexto da assistência solicitada e prestada nos termos do presente número devem ser usadas exclusivamente para os fins para os quais foram solicitadas.

Artigo 16.o

Mecanismos nacionais para o altruísmo de dados

Os Estados-Membros podem dispor de mecanismos organizacionais ou técnicos, ou ambos, para facilitar o altruísmo de dados. Para esse fim, os Estados-Membros podem definir políticas nacionais para o altruísmo de dados. Essas políticas nacionais podem, em especial, ajudar os titulares dos dados a disponibilizarem voluntariamente, para fins de altruísmo de dados, dados pessoais que lhes digam respeito detidos por organismos do setor público, bem como definir as informações necessárias que devem ser prestadas aos titulares dos dados no que diz respeito à reutilização dos seus dados no interesse geral.

Se um Estado-Membro elaborar tais políticas nacionais, notifica a Comissão desse facto.

Artigo 24.o

Controlo do cumprimento

1. As autoridades competentes em matéria de registo das organizações de altruísmo de dados controlam e supervisionam o cumprimento, por parte das organizações de altruísmo de dados reconhecidas, dos requisitos estabelecidos no presente capítulo. A autoridade competente em matéria de registo das organizações de altruísmo de dados pode igualmente controlar e supervisionar a conformidade dessas organizações de altruísmo de dados reconhecidas com base num pedido de pessoas singulares ou coletivas.

2. As autoridades competentes em matéria de registo de organizações de altruísmo de dados têm poderes para solicitar, às organizações de altruísmo de dados reconhecidas, as informações necessárias para verificar o cumprimento do disposto no presente capítulo. Os pedidos de informações devem ser proporcionados em relação ao desempenho da função em causa e devem ser fundamentados.

3. Se a autoridade competente em matéria de registo de organizações de altruísmo de dados verificar que uma organização de altruísmo de dados reconhecida não cumpre um ou mais dos requisitos estabelecidos no presente capítulo, notifica a organização de altruísmo de dados reconhecida desse facto e dá-lhe a oportunidade de exprimir os seus pontos de vista, num prazo de 30 dias a contar da receção da notificação.

4. A autoridade competente em matéria de registo de organizações de altruísmo de dados tem poderes para exigir a cessação do incumprimento a que se refere o n.o 3 imediatamente ou num prazo razoável e toma medidas adequadas e proporcionadas a fim de garantir o cumprimento.

5. Caso uma organização de altruísmo de dados reconhecida não cumpra um ou mais requisitos do presente capítulo mesmo depois de ter sido notificada nos termos do n.o 3 pela autoridade competente em matéria de registo de organizações de altruísmo de dados, essa organização de altruísmo de dados reconhecida:

a)	Perde o direito de usar o título de «organização de altruísmo de dados reconhecida na União» em qualquer comunicação oral ou escrita;

b)	É retirada do registo público nacional pertinente das organizações de altruísmo de dados reconhecidas e do registo público da União das organizações de altruísmo de dados reconhecidas.

As decisões de revogação do direito de usar o título de «organização de altruísmo de dados reconhecida na União» nos termos da alínea a) do primeiro parágrafo são tornadas públicas pela autoridade competente em matéria de registo de organizações de altruísmo de dados.

6. Caso uma entidade inscrita num registo público nacional de organizações de altruísmo de dados reconhecidas tenha o seu estabelecimento principal ou o seu representante legal num Estado-Membro, mas exerça atividades noutros Estados-Membros, a autoridade competente em matéria de registo de organizações de altruísmo de dados do Estado-Membro do estabelecimento principal ou do representante legal e as autoridades competentes em matéria de registo de organizações de altruísmo de dados desses outros Estados-Membros cooperam entre si e prestam-se assistência mútua, na medida do necessário. Essa assistência e essa cooperação podem abranger o intercâmbio de informações entre as autoridades competentes em matéria de registo de organizações de altruísmo de dados em causa para efeitos das suas funções ao abrigo do presente regulamento e os pedidos fundamentados para que sejam tomadas as medidas a que se refere o presente artigo.

Sempre que uma autoridade competente em matéria de registo de organizações de altruísmo de dados de um Estado-Membro solicite assistência de uma autoridade competente em matéria de registo de organizações de altruísmo de dados noutro Estado-Membro, apresenta para o efeito um pedido fundamentado. A autoridade competente em matéria de registo de organizações de altruísmo de dados à qual é dirigido o pedido dá-lhe resposta sem demora e num prazo proporcionado em relação à urgência do pedido.

As informações trocadas no contexto da assistência solicitada e prestada nos termos do presente número devem ser usadas exclusivamente para os fins para os quais foram solicitadas.

Artigo 26.o

Requisitos aplicáveis às autoridades competentes

1. As autoridades competentes em matéria de serviços de intermediação de dados e as autoridades competentes em matéria de registo de organizações de altruísmo de dados são juridicamente distintas e funcionalmente independentes de qualquer prestador de serviços de intermediação de dados ou das organizações de altruísmo de dados reconhecidas. As funções das autoridades competentes para o registo de organizações de altruísmo de dados podem ser realizadas pela mesma autoridade. Os Estados-Membros podem criar uma ou mais novas autoridades para esses fins ou recorrer às autoridades existentes.

2. As autoridades competentes em matéria de serviços de intermediação de dados e as autoridades competentes em matéria de registo de organizações de altruísmo de dados exercem as suas funções de forma imparcial, transparente, coerente, fiável e atempada. No exercício das suas funções, elas salvaguardam a concorrência leal e a não discriminação.

3. Os quadros superiores e o pessoal responsável pela execução das funções pertinentes das autoridades competentes em matéria de serviços de intermediação de dados e das autoridades competentes em matéria de registo de organizações de altruísmo de dados não podem ser o projetista, o fabricante, o fornecedor, o instalador, o comprador, o proprietário, o utilizador ou o responsável pela manutenção dos serviços que avaliam; também não podem ser o representante autorizado de nenhuma destas partes, nem representá-las de nenhuma outra forma. Esta exigência não obsta à utilização de serviços avaliados que sejam necessários para as atividades da autoridade competente em matéria de serviços de intermediação de dados e da autoridade competente em matéria de registo de organizações de altruísmo de dados, nem à utilização desses serviços para fins pessoais.

4. Os quadros superiores e o pessoal das autoridades competentes em matéria de serviços de intermediação de dados e das autoridades competentes em matéria de registo de organizações de altruísmo de dados não podem exercer qualquer atividade suscetível de comprometer a independência das suas apreciações ou a sua integridade em relação às atividades de avaliação que lhes são confiadas.

5. As autoridades competentes em matéria de serviços de intermediação de dados e as autoridades competentes em matéria de registo de organizações de altruísmo de dados dispõem dos recursos humanos e financeiros adequados, inclusive dos recursos e conhecimentos técnicos necessários, para desempenhar as funções que lhes são atribuídas.

6. Mediante pedido fundamentado e sem demora, as autoridades competentes em matéria de serviços de intermediação de dados e as autoridades competentes em matéria de registo de organizações de altruísmo de dados de um Estado-Membro fornecem à Comissão e às autoridades competentes em matéria de serviços de intermediação de dados e às autoridades competentes em matéria de registo de organizações de altruísmo de dados dos outros Estados-Membros as informações necessárias para desempenharem as funções que lhes incumbem por força do presente regulamento. Caso uma autoridade competente em matéria de serviços de intermediação de dados ou uma autoridade competente em matéria de registo de organizações de altruísmo de dados considere que as informações solicitadas são confidenciais nos termos do direito da União e nacional em matéria de confidencialidade comercial e profissional, a Comissão e quaisquer outras autoridades competentes em matéria de serviços de intermediação de dados ou as autoridades competentes em matéria de registo de organizações de altruísmo de dados interessadas asseguram essa confidencialidade.

Artigo 31.o

Acesso e transferência internacionais

1. O organismo do setor público, a pessoa singular ou coletiva a quem foi concedido o direito de reutilizar dados nos termos do capítulo II, o prestador de serviços de intermediação de dados ou a organização de altruísmo de dados reconhecida toma todas as medidas técnicas, jurídicas e organizativas razoáveis, nomeadamente disposições contratuais, para impedir a transferência internacional ou o acesso governamental a dados não pessoais detidos na União, sempre que essa transferência ou esse acesso possa entrar em conflito com o direito da União ou com o direito nacional do Estado-Membro em causa, sem prejuízo dos n.os 2 ou 3.

2. As decisões judiciais ou sentenças de um tribunal de país terceiro e as decisões de autoridades administrativas de um país terceiro que exijam que um organismo do setor público, uma pessoa singular ou coletiva a quem tenha sido concedido o direito de reutilizar dados nos termos do capítulo II, um prestador de serviços de intermediação de dados ou uma organização de altruísmo de dados reconhecida transfira ou dê acesso a dados não pessoais abrangidos pelo âmbito de aplicação do presente regulamento e detidos na União só podem ser reconhecidas ou executadas, seja de que forma for, se tiverem por base um acordo internacional, como um acordo de auxílio judiciário mútuo, em vigor entre o país terceiro em causa e a União ou entre o país terceiro em causa e um Estado-Membro.

3. Na ausência de um acordo internacional nos termos do n.o 2 do presente artigo, caso uma decisão judicial ou sentença de um tribunal de país terceiro ou uma decisão de uma autoridade administrativa de um país terceiro que exija a transferência ou o acesso a dados não pessoais abrangidos pelo âmbito de aplicação do presente regulamento e detidos na União seja dirigida a um organismo do setor público, a uma pessoa singular ou coletiva a quem tenha sido concedido o direito de reutilizar dados nos termos do capítulo II, a um prestador de serviços de intermediação de dados ou a uma organização de altruísmo de dados reconhecida, e o cumprimento dessa decisão possa colocar o destinatário numa situação de conflito com o direito da União ou com o direito nacional do Estado-Membro em causa, a transferência dos dados em causa para essa autoridade de país terceiro ou o acesso a esses dados pela mesma autoridade só pode ter lugar se:

a)	O sistema do país terceiro exigir que sejam expostos os motivos e a proporcionalidade dessa decisão judicial ou sentença e que essa decisão judicial ou sentença tenha um caráter específico, através, por exemplo, do estabelecimento de uma relação suficiente com determinados suspeitos ou infrações;

b)	A objeção fundamentada do destinatário estiver sujeita a reapreciação por um tribunal competente de um país terceiro; e

O tribunal competente de um país terceiro que emite a decisão judicial ou sentença ou reaprecia a decisão de uma autoridade administrativa estiver habilitado, nos termos do direito desse país terceiro, a ter devidamente em conta os interesses jurídicos relevantes do fornecedor dos dados protegidos pelo direito da União ou pelo direito nacional do Estado-Membro em causa.

4. Se estiverem preenchidas as condições previstas no n.o 2 ou no n.o 3, o organismo do setor público, a pessoa singular ou coletiva a quem foi concedido o direito de reutilizar dados nos termos do capítulo II, o prestador de serviços de intermediação de dados ou a organização de altruísmo de dados reconhecida fornece, em resposta a um pedido, a quantidade mínima de dados admissível com base numa interpretação razoável do pedido.

5. O organismo do setor público, a pessoa singular ou coletiva a quem foi concedido o direito de reutilizar dados nos termos do capítulo II, o prestador de serviços de intermediação de dados ou a organização de altruísmo de dados reconhecida informa o detentor dos dados da existência de um pedido de acesso aos seus dados por parte de uma autoridade administrativa de um país terceiro antes de dar cumprimento a esse pedido, exceto nos casos em que o pedido se destine a atividades de aplicação da lei e enquanto for necessário para preservar a eficácia das atividades de aplicação da lei.

CAPÍTULO VIII

Delegação e procedimento de comité

whereas

keyboard_tab Digital Governance Act 2022/0868 PT

Digital Governance Act 2022/0868 PT