DATA ACT: implicações jurídicas e estratégicas

A Lei dos Dados complementa a Lei da Governação de Dados para proporcionar clareza jurídica em relação ao acesso e à utilização de dados, contribuindo, entre estes dois actos legislativos, para a consolidação de um mercado único de dados na União Europeia (UE). A Lei dos Dados está também estreitamente relacionada com outros actos legislativos europeus, como o Regulamento dos Serviços Digitais (DSA) e, em particular, o Regulamento Geral sobre a Proteção de Dados (RGPD), uma vez que o seu âmbito de aplicação abrange tanto os dados pessoais como os não pessoais.

Objetivo e âmbito de aplicação da lei sobre os dados

A Lei dos Dados tem um objetivo ambicioso: aumentar a competitividade, a inovação e o crescimento económico sustentável no ecossistema digital da UE através da adoção de um quadro para o intercâmbio de dados e a interoperabilidade entre empresas, utilizadores e organismos públicos.

Para atingir este objetivo, a Lei dos Dados centra-se na utilização, retenção e partilha de dados derivados principalmente da utilização pelas empresas e indivíduos de produtos conectados e da rede da Internet das coisas (IoT).

A maior disponibilidade de dados gerados por estas tecnologias permite aos fabricantes e projectistas desenvolver novos produtos conectados, aperfeiçoar os existentes e criar serviços conexos baseados nesses produtos. Por exemplo, ao lançar um dispositivo para medir dados desportivos, como um relógio inteligente, podem surgir serviços relacionados com os dados gerados por esse dispositivo, como aplicações de monitorização da saúde.

Desta forma, a aplicação da Lei de Dados terá um grande impacto na atividade das empresas que operam na economia digital, uma vez que estas devem ter em conta uma série de medidas e obrigações para utilizar e partilhar os dados gerados através da conceção, fabrico, comercialização e utilização de produtos conectados e serviços conexos, incluindo assistentes virtuais.

No entanto, o Regulamento Dados prevê uma isenção relevante para as micro e pequenas empresas que actuem como fabricantes ou fornecedores de produtos conectados ou serviços conexos, desde que não estejam ligadas a uma média ou grande empresa. Nestes casos, essas organizações não serão obrigadas a facultar o acesso aos dados gerados por esses produtos ou serviços. No caso das médias empresas, a Lei de Dados prevê uma isenção temporária, limitada ao primeiro ano após deixarem de ser PME, e desde que cumpram determinados requisitos adicionais.

Partindo desta premissa, o Regulamento Dados distingue as figuras de "responsável pelo tratamento de dados" e de"destinatário", atribuindo ao primeiro o direito ou a obrigação de facultar o acesso aos dados e ao segundo o estatuto de destinatário legítimo dos dados.

Para efeitos da lei sobre os dados pessoais, o destinatário dos dados pode ser uma pessoa singular ou colectiva, um consumidor, um organismo público ou uma organização sem fins lucrativos.

Por outro lado, um utilizador, tal como definido na lei sobre os dados, é uma pessoa singular ou colectiva que possui um produto ligado ou a quem foram transferidos por contrato direitos temporários de utilização desse produto ligado, ou que recebe serviços conexos.

Além disso, a Lei dos Dados estabelece uma série de salvaguardas para proteger os dados gerados, utilizados e partilhados no seu âmbito de aplicação, independentemente de se tratar de dados pessoais ou não pessoais. Estas medidas não só visam salvaguardar o direito à proteção dos dados pessoais das pessoas singulares, como também se destinam a proteger a confidencialidade e os segredos comerciais das empresas, nomeadamente em cenários de partilha forçada de dados.

Em relação a estas garantias, a Lei de Dados estabelece que qualquer tratamento de dados (ou seja, qualquer operação, automática ou não, que envolva a utilização, comunicação, armazenamento, modificação, etc.) através do qual uma pessoa singular possa ser identificada deve ser efectuado em conformidade com o RGPD, que prevalecerá em caso de conflito entre as duas regras (n.º 5 do artigo 1.º da Lei de Dados). Além disso, reconhece expressamente a favor da pessoa em causa o direito de aplicar medidas técnicas e organizativas adequadas para impedir o acesso não autorizado aos dados, incluindo metadados, bem como de impedir que os destinatários dos dados modifiquem ou suprimam essas medidas de segurança.

Paralelamente, a lei relativa aos dados limita a utilização que os destinatários dos dados podem fazer da informação recebida, proibindo expressamente a sua utilização para desenvolver produtos que concorram com os da pessoa em causa, exceto se expressamente autorizado. Estas disposições respondem ao objetivo de evitar um desequilíbrio na concorrência e de garantir um ambiente de confiança e de segurança jurídica no ecossistema digital europeu.

O regulamento relativo aos dados procura também facilitar aos utilizadores a mudança de prestador de serviços de tratamento de dados (especialmente em ambientes de computação em nuvem) e promover a interoperabilidade técnica e jurídica dos fluxos de dados no mercado interno. Além disso, são estabelecidas limitações à utilização abusiva de cláusulas contratuais impostas por uma parte dominante, especialmente em detrimento das PME, para garantir relações contratuais justas e não discriminatórias.

O regulamento relativo aos dados clarifica que a sua aplicação não implica o reconhecimento de um direito subjetivo automático a favor da pessoa em causa para utilizar a informação gerada pela utilização de um produto ligado ou de um serviço conexo, a menos que tal decorra da lei aplicável ou de um acordo contratual expresso.

Por último, em determinadas circunstâncias excepcionais, a lei sobre os dados autoriza os organismos do sector público a solicitar o acesso a dados na posse de entidades privadas, desde que esses dados sejam necessários para o desempenho de uma tarefa específica realizada no interesse público e/ou em caso de emergência pública. Este poder deve ser interpretado de forma restritiva e está sujeito ao princípio da proporcionalidade.

2. Principais medidas da lei relativa aos dados

Em conformidade com a finalidade e os objectivos prosseguidos, a Lei relativa aos dados prevê a regulamentação das seguintes questões principais

• Partilha de dados entre empresas a pedido dos consumidores: estabelece as medidas através das quais os utilizadores de um produto conectado (quer sejam pessoas singulares ou colectivas) podem aceder, utilizar e transportar os dados que geram através da utilização do produto conectado ou de um serviço conexo.
• Partilha obrigatória de dados entre empresas: a Lei dos Dados estabelece as regras que regem as situações em que uma empresa, enquanto "proprietária de dados", tem a obrigação de disponibilizar os dados de que é proprietária a outra empresa ("destinatário dos dados"), incluindo a prestação de uma compensação razoável por estas comunicações.
• Intercâmbio de dados entre empresas e administrações públicas: a norma regula o fornecimento de dados pelos titulares de dados a organismos do sector público, de modo a que estes possam obter, em casos específicos e sob determinadas condições, dados essenciais quando se verifique uma situação excecional ou de emergência pública. Estabelece igualmente regras e salvaguardas para os pedidos de acesso de um organismo público estrangeiro a dados não pessoais detidos na União Europeia.
• Facilitar aos clientes de serviços digitais (especialmente serviços em nuvem) a mudança entre serviços de tratamento de dados sem barreiras ou custos associados. Estabelece requisitos mínimos para o conteúdo dos contratos com os fornecedores de serviços que permitem o acesso a redes omnipresentes e a pedido.
• Estabeleça medidas para proteger as empresas (em especial as PME) de cláusulas contratuais abusivas ou não negociadas impostas por empresas em posição negocial mais forte em relação ao acesso e utilização de dados. Para o efeito, a Lei dos Dados adopta uma lista não exaustiva de cláusulas que são sempre consideradas abusivas e de cláusulas que se presumem abusivas, as quais terão de ser revistas pela entidade que impôs a cláusula para demonstrar que não são abusivas.
• Desenvolvimento de normas de interoperabilidade para facilitar o acesso, a transferência e a utilização de dados, reforçando assim o fluxo de dados e incentivando a investigação e o desenvolvimento de novos produtos e serviços conexos.
• Introdução de salvaguardas contra o acesso ilegal de terceiros a dados não pessoais, que se aplicam a quaisquer dados do sector privado detidos no território da União Europeia, incluindo os dados tratados por prestadores de serviços de tratamento de dados.
• Embora a Lei dos Dados não estabeleça diretamente um regime de sanções uniforme a nível da UE, obriga os Estados-Membros a estabelecer regras sobre infracções e sanções por incumprimento da Lei dos Dados, que devem ser eficazes, proporcionais e dissuasivas. Isto implica que as empresas podem ser sujeitas a inspecções, injunções ou sanções financeiras, dependendo do grau de incumprimento.

3. Aplicação prática da lei sobre os dados

O regulamento relativo aos dados é um regulamento denso, com um elevado conteúdo técnico, pelo que a sua aplicação e implementação requerem um planeamento estruturado e uma abordagem transversal nas organizações cuja atividade é afetada pelas disposições da lei relativa aos dados.

Em última análise, a aplicação da Lei dos Dados exigirá que as organizações abrangidas pelo seu âmbito de aplicação efectuem um planeamento estratégico para a sua aplicação, uma revisão antecipada das suas relações contratuais e uma reconfiguração progressiva dos seus modelos de negócio baseados em dados.

Nota informativa redigida pela área de Propriedade Intelectual da ECIJA Madrid.