COMISSÃO EUROPEIA
Bruxelas, 25.11.2020
COM(2020) 767 final
2020/0340(COD)
Proposta de
REGULAMENTO DO PARLAMENTO EUROPEU E DO CONSELHO
relativo à governação de dados
(Regulamento Governação de Dados)
(Texto relevante para efeitos do EEE)
{SEC(2020) 405 final} - {SWD(2020) 295 final} - {SWD(2020) 296 final}
EXPOSIÇÃO DE MOTIVOS
1.CONTEXTO DA PROPOSTA
•Justificação e objetivos da proposta
A presente exposição de motivos acompanha a proposta de Regulamento do Parlamento Europeu e do Conselho relativo à governação de dados 1 . É a primeira de um conjunto de medidas anunciadas na Estratégia Europeia para os Dados de 2020 2 . Este instrumento visa promover a disponibilização de dados para serem utilizados, aumentando a confiança nos intermediários de dados e reforçando os mecanismos de partilha de dados em toda a UE. O instrumento aborda as seguintes questões:
-A disponibilização de dados do setor público para reutilização, em situações em que esses dados estejam sujeitos a direitos de terceiros 3 .
-A partilha de dados entre empresas, mediante remuneração, independentemente da forma que assuma.
-A autorização da utilização de dados pessoais através de um «intermediário de partilha de dados pessoais», concebido para ajudar as pessoas singulares a exercerem os seus direitos ao abrigo do Regulamento Geral sobre a Proteção de Dados (RGPD).
-A autorização da utilização de dados com finalidades altruístas.
•Coerência com as disposições existentes no mesmo domínio de intervenção
A presente iniciativa abrange diferentes tipos de intermediários de dados, que tratam de dados tanto pessoais como não pessoais. Por conseguinte, a interação com a legislação em matéria de dados pessoais reveste-se de especial importância. Com o Regulamento Geral sobre a Proteção de Dados (RGPD) 4 e a Diretiva Privacidade Eletrónica 5 , a UE criou um quadro jurídico sólido e fiável de proteção de dados pessoais que é um modelo para o mundo.
A presente proposta complementa a Diretiva (UE) 2019/1024 do Parlamento Europeu e do Conselho, de 20 de junho de 2019, relativa aos dados abertos e à reutilização de informações do setor público (Diretiva Dados Abertos) 6 . A presente proposta abrange os dados na posse de organismos do setor público que estão sujeitos a direitos de terceiros e que, por conseguinte, não são abrangidos pelo âmbito de aplicação desta diretiva. A proposta tem ligações lógicas e coerentes com as outras iniciativas anunciadas na Estratégia Europeia para os Dados. Visa facilitar a partilha de dados, nomeadamente reforçando a confiança nos intermediários de partilha de dados que se espera venham a ser utilizados nos diferentes espaços de dados. Não tem por objetivo conceder, alterar ou suprimir direitos substanciais de acesso e utilização de dados; este tipo de medidas está previsto para um eventual ato legislativo sobre os dados (2021) 7 .
O instrumento inspira-se nos princípios de gestão e reutilização de dados para fins de investigação. Os princípios FAIR 8 determinam que, em regra, esses dados devem ser fáceis de encontrar, acessíveis, interoperáveis e reutilizáveis.
•Coerência com as outras políticas da União
Encontra-se em vigor, ou em vias de elaboração, legislação setorial em matéria de acesso aos dados destinada a corrigir as insuficiências de mercado identificadas em alguns domínios, nomeadamente no âmbito do setor automóvel 9 , dos prestadores de serviços de pagamento 10 , dos contadores inteligentes 11 , dos dados da rede elétrica 12 dos sistemas de transportes inteligentes 13 , da informação ambiental 14 , da informação espacial 15 e do setor da saúde 16 . A presente proposta apoia a utilização dos dados disponibilizados ao abrigo das regras existentes, sem as alterar nem criar novas obrigações setoriais.
Do mesmo modo, a proposta não prejudica o direito da concorrência e foi concebida em conformidade com os artigos 101.º e 102.º do TFUE, nem prejudica o disposto na Diretiva 2000/31/CE do Parlamento Europeu e do Conselho, de 8 de junho de 2000, relativa a certos aspetos legais dos serviços da sociedade de informação, em especial do comércio eletrónico, no mercado interno 17 .
2.BASE JURÍDICA, SUBSIDIARIEDADE E PROPORCIONALIDADE
•Base jurídica
O artigo 114.º do Tratado sobre o Funcionamento da União Europeia (TFUE) é identificado como a base jurídica do presente regulamento. Nos termos deste artigo, a UE deve adotar medidas de aproximação das disposições legislativas, regulamentares e administrativas dos Estados-Membros, que tenham por objeto o estabelecimento e o funcionamento do mercado interno na UE. Esta iniciativa faz parte da Estratégia Europeia para os Dados de 2020, que visa reforçar o mercado único de dados. Com a digitalização crescente da economia e da sociedade, existe o risco de os Estados-Membros legislarem cada vez mais questões relacionadas com os dados de forma descoordenada, o que aumentaria a fragmentação no mercado único. A criação de estruturas e mecanismos de governação que estabeleçam uma abordagem coordenada para a utilização de dados entre setores e Estados-Membros ajudará as partes interessadas na economia dos dados a tirar partido da dimensão do mercado único. Contribuirá para a criação do mercado único de dados, assegurando a criação e o funcionamento transfronteiras de novos serviços através de um conjunto de disposições harmonizadas.
As políticas digitais são uma competência partilhada entre a UE e os Estados-Membros. Segundo o artigo 4.º, n.os 2 e 3, do TFUE, no domínio do mercado único e do desenvolvimento tecnológico, a UE pode realizar atividades específicas, sem prejuízo da liberdade de ação dos Estados-Membros nos mesmos domínios.
•Subsidiariedade (no caso de competência não exclusiva)
As empresas necessitam, amiúde, de dados de vários Estados-Membros para poderem desenvolver produtos e serviços à escala da UE, uma vez que as amostras de dados disponíveis em cada Estado-Membro não têm, frequentemente, a riqueza e a diversidade suficientes para permitir a deteção de padrões ou a aprendizagem automática com base em grandes volumes de dados. Além disso, os produtos e serviços desenvolvidos a partir de dados de um Estado-Membro podem ter de ser adaptados às preferências dos clientes de outro Estado-Membro, o que exige dados locais a nível dos Estados-Membros. Os dados devem portanto poder circular facilmente através de cadeias de valor à escala da UE e intersetoriais, para as quais é essencial um ambiente legislativo altamente harmonizado. Além disso, só uma ação a nível da União pode garantir a emergência de que um modelo europeu de partilha de dados, com intermediários de dados de confiança para a partilha de dados B2B e para espaços de dados pessoais, dada a natureza transfronteiras da partilha de dados e a sua importância.
Um mercado único de dados deve assegurar que os dados do setor público, das empresas e dos cidadãos possam ser acedidos e utilizados da forma mais eficaz e responsável possível, ao mesmo tempo que as empresas e os cidadãos mantêm o controlo sobre os dados por si gerados e que os investimentos feitos na sua recolha são salvaguardados. Um maior acesso aos dados significará que os avanços científicos e as inovações de mercado das empresas e organismos de investigação beneficiarão a UE no seu conjunto, algo particularmente importante em situações em que é necessária uma ação coordenada da UE, como a crise da COVID-19.
•Proporcionalidade
A iniciativa é proporcional aos objetivos pretendidos. As medidas propostas criam um quadro facilitador que não excede o necessário para atingir os seus objetivos. A iniciativa harmoniza uma série de práticas de partilha de dados, respeitando simultaneamente a prerrogativa dos Estados-Membros de organizarem a sua administração e legislarem sobre o acesso à informação do setor público. O quadro de notificação para os intermediários de dados, bem como os mecanismos de altruísmo de dados, destinam-se a aumentar a confiança nestes serviços, sem restringir desnecessariamente estas atividades, e ajudam a desenvolver um mercado interno para o intercâmbio desses dados. A iniciativa proporcionará também uma grande flexibilidade de aplicação a nível setorial, nomeadamente tendo em conta o futuro desenvolvimento de espaços europeus de dados.
O regulamento proposto dará origem a custos financeiros e administrativos que serão suportados principalmente pelas autoridades nacionais, incidindo alguns custos também sobre os utilizadores de dados e os prestadores de serviços de partilha de dados, para assegurar o cumprimento das obrigações estabelecidas no presente regulamento. No entanto, o estudo de diferentes opções e dos respetivos custos e benefícios esperados permitiu uma conceção equilibrada do instrumento. As autoridades nacionais disporão de flexibilidade suficiente para determinarem o nível de investimento financeiro e ponderarem as possibilidades de recuperar esses custos através de encargos administrativos ou taxas, oferecendo simultaneamente uma coordenação global a nível da UE. De igual modo, os custos para os utilizadores e os prestadores de serviços de partilha de dados serão contrabalançados pelo valor decorrente de um acesso e utilização mais alargados dos dados, bem como pela adoção de novos serviços pelo mercado.
•Escolha do instrumento
A escolha de um regulamento como instrumento jurídico justifica-se pela predominância de elementos que requerem uma aplicação uniforme que não deixe margem de execução aos Estados-Membros e que crie um quadro totalmente horizontal. Estes elementos incluem a notificação dos prestadores de serviços de partilha de dados, os mecanismos de altruísmo de dados, os princípios básicos aplicáveis à reutilização de dados do setor público que não podem estar disponíveis como dados abertos ou não estão sujeitos à legislação setorial da UE, bem como a criação de estruturas de coordenação a nível europeu. A aplicabilidade direta do regulamento evitaria um período e um processo de transposição para os Estados-Membros, permitindo simultaneamente a criação de espaços comuns europeus de dados num futuro próximo, em consonância com o plano de recuperação da UE 18 .
Ao mesmo tempo, as disposições do regulamento não são excessivamente prescritivas e deixam margem para diferentes níveis de ação dos Estados-Membros relativamente a elementos que não comprometam os objetivos da iniciativa, em especial a organização dos organismos competentes para apoiar as entidades públicas nas suas funções relacionadas com a reutilização de determinadas categorias de dados do setor público.
3.RESULTADOS DAS AVALIAÇÕES EX POST, DAS CONSULTAS DAS PARTES INTERESSADAS E DAS AVALIAÇÕES DE IMPACTO
•Consultas das partes interessadas
Em 19 de fevereiro de 2020, dia da adoção da Estratégia Europeia para os Dados 19 , foi lançada uma consulta pública em linha, que terminou em 31 de maio de 2020. A consulta indicava explicitamente que foi lançada para preparar a iniciativa em curso e incidia sobre as questões objeto da iniciativa com as secções e questões relevantes. Dirigiu-se a todos os tipos de partes interessadas.
No total, a Comissão recebeu 806 contribuições, das quais 219 de empresas individuais, 119 de associações empresariais, 201 de cidadãos da UE, 98 de instituições académicas ou de investigação e 57 de autoridades públicas. Os pontos de vista dos consumidores foram representadas por 7 inquiridos e 54 eram organizações não governamentais (incluindo duas organizações ambientais). Das 219 empresas individuais, 43,4 % eram PME. No total, 92,2 % das respostas foram provenientes da UE-27. Muito poucos inquiridos indicaram se a sua organização tinha um âmbito de aplicação local, regional, nacional ou internacional.
Foram apresentados 230 documentos de tomada de posição, em anexo às respostas ao questionário (210) ou como contributos autónomos (20). Os documentos apresentaram diferentes pontos de vista sobre os temas abrangidos pelo questionário em linha, em especial no que diz respeito à governação de espaços comuns de dados. Emitiram pareceres sobre os princípios fundamentais para esses espaços e manifestaram um elevado nível de apoio à priorização das normas, bem como ao conceito de altruísmo de dados. Indicaram igualmente a necessidade de salvaguardas nas futuras medidas relacionadas com os intermediários de dados.
•Recolha e utilização de conhecimentos especializados
A fim de analisar, com os peritos competentes, as condições-quadro para a criação dos espaços comuns europeus de dados nos setores identificados, realizou-se em 2019 uma série de 10 seminários sobre espaços comuns europeus de dados, tendo sido organizado um seminário adicional em maio de 2020. Reunindo mais de 300 partes interessadas, principalmente dos setores público e privado, os seminários abrangeram diferentes setores (agricultura, saúde, finanças/banca, energia, transportes, sustentabilidade/ambiente, serviços públicos, fabrico inteligente) e aspetos mais transversais (ética dos dados, mercados de dados). Os serviços da Comissão responsáveis por estas áreas participaram nos seminários. Os seminários setoriais ajudaram a identificar os elementos comuns a todos os setores, que devem ser abordados através do estabelecimento de um quadro de governação horizontal.
•Avaliação de impacto
A presente proposta foi objeto de uma avaliação de impacto. Em 9 de setembro de 2020, o Comité de Controlo da Regulamentação emitiu um parecer negativo; em 5 de outubro de 2020, emitiu um parecer favorável, com reservas.
A avaliação de impacto examina os cenários de base, as opções estratégicas e os seus impactos em quatro domínios de intervenção, nomeadamente: a) mecanismos para uma melhor utilização dos dados do setor público que não possam estar disponíveis como dados abertos, b) um quadro de certificação ou rotulagem para intermediários de dados, c) medidas que facilitem o altruísmo dos dados e d) mecanismos para coordenar e orientar os aspetos horizontais da governação sob a forma de uma estrutura a nível da UE.
Para todos os domínios de intervenção, a opção 1 de coordenação a nível da UE com medidas regulamentares não vinculativas foi considerada insuficiente, uma vez que não altera significativamente a situação em comparação com o cenário de base. Assim, a análise principal centrou-se nas opções 2 e 3, que envolvem, respetivamente, uma intervenção regulamentar de baixa e elevada intensidade. A opção preferida combina intervenções regulamentares de maior e menor intensidade, da seguinte forma:
No que diz respeito aos mecanismos destinados a melhorar a utilização de determinados dados do setor público cuja utilização está sujeita a direitos de terceiros, tanto as opções de baixa como de elevada intensidade introduzem regras a nível da UE para a reutilização dessa informação (em especial, a não exclusividade). A intervenção regulamentar de baixa intensidade exige que os organismos do setor público que permitem este tipo de reutilização estejam tecnicamente equipados para garantir plenamente a proteção dos dados, da privacidade e da confidencialidade. Inclui igualmente a obrigação de os Estados-Membros preverem, no mínimo, um mecanismo de balcão único para os pedidos de acesso a esses dados, sem determinar especificamente a sua forma institucional e administrativa. A opção de alta intensidade exige a criação de um único organismo de autorização de dados por Estado-Membro. Tendo em conta os custos e as questões de viabilidade relacionados com esta última opção, a preferida é a intervenção regulamentar de menor intensidade.
Para a certificação ou rotulagem de intermediários de dados de confiança, prevê-se uma intervenção regulamentar de menor intensidade, que consiste num mecanismo de rotulagem mais flexível e voluntário, em que as autoridades competentes designadas pelos Estados-Membros realizam uma verificação da conformidade com os requisitos para a aquisição do rótulo, bem como para a respetiva atribuição (que podem ser igualmente os mecanismos de balcão único estabelecidos para melhorar a reutilização dos dados do setor público). A intervenção regulamentar de alta intensidade consiste num sistema de certificação obrigatório gerido por organismos privados de avaliação da conformidade. Uma vez que um regime obrigatório gera custos mais elevados, tal pode ter efeitos potencialmente proibitivos para as PME e as empresas em fase de arranque, não estando o mercado suficientemente amadurecido para um sistema de certificação obrigatório; por conseguinte, a intervenção regulamentar de menor intensidade é a opção estratégica preferida. No entanto, a intervenção regulamentar de maior intensidade sob a forma de um regime obrigatório foi também identificada como uma alternativa viável, capaz de granjear confiança significativamente maior no funcionamento dos intermediários de dados e de estabelecer regras claras sobre a forma como os mesmos devem atuar no mercado europeu de dados. Após novas discussões na Comissão, foi adotada uma solução intermédia, que consiste numa obrigação de notificação com controlo ex post de conformidade com os requisitos do exercício das atividades pelas autoridades competentes dos Estados-Membros. Esta solução tem as vantagens de um regime obrigatório, limitando simultaneamente os encargos regulamentares para os intervenientes no mercado.
No caso do altruísmo de dados, a intervenção regulamentar de baixa intensidade consiste num quadro voluntário de certificação para as organizações que pretendem oferecer esses serviços, enquanto a intervenção regulamentar de elevada intensidade prevê um quadro de autorização obrigatório. Uma vez que este último assegura um nível mais elevado de confiança na disponibilização dos dados, o que pode contribuir para a disponibilização de mais dados pelos titulares dos mesmos e pelas empresas e resultar em mais desenvolvimento e investigação, gerando ao mesmo tempo custos idênticos, foi assinalado na avaliação de impacto como a opção preferida para este domínio de intervenção. No entanto, os debates mais aprofundados na Comissão revelaram preocupações adicionais quanto aos potenciais encargos administrativos para as organizações envolvidas no altruísmo de dados e quanto à relação das obrigações com as futuras iniciativas setoriais em matéria de altruísmo de dados. Por este motivo, foi adotada uma solução alternativa, dando às organizações envolvidas no altruísmo de dados a possibilidade de se registarem como «Organização de altruísmo de dados reconhecida na UE». Este mecanismo voluntário contribuirá para aumentar a confiança, implicando simultaneamente menores encargos administrativos do que um quadro de autorização obrigatória ou um quadro de certificação voluntária.
Por último, para o mecanismo europeu de governação horizontal, a intervenção regulamentar de baixa intensidade refere-se à criação de um grupo de peritos, enquanto a intervenção regulamentar de elevada intensidade consiste na criação de uma estrutura independente com personalidade jurídica (semelhante à do Comité Europeu para a Proteção de Dados). Tendo em conta os elevados custos e o baixo nível de viabilidade política em torno do início da opção de maior intensidade, foi escolhida a opção estratégica de baixa intensidade.
O estudo de apoio à avaliação de impacto 20 indicou que, embora, no cenário de base, se preveja que a economia dos dados e o valor económico da partilha de dados aumentem para um valor estimado entre 533 e 510 mil milhões de EUR (3,87 % do PIB), tal aumenta para entre 540,7 e 544,4 mil milhões de EUR (3,92 % a 3,95 % do PIB) ao abrigo da opção preferida de pacote legislativo. Estes números só têm em conta de forma limitada os benefícios a jusante, em termos de melhores produtos, maior produtividade e novas formas de enfrentar os desafios societais (por exemplo, as alterações climáticas). Com efeito, estes benefícios deverão ser consideravelmente mais elevados do que os benefícios diretos.
Ao mesmo tempo, esta opção de pacote legislativo permitirá criar um modelo europeu de partilha de dados que ofereça uma abordagem alternativa ao atual modelo empresarial das plataformas tecnológicas integradas, através do surgimento de intermediários de dados neutros. Esta iniciativa pode ser decisiva para a economia dos dados, criando confiança na partilha de dados e incentivando o desenvolvimento de espaços comuns europeus de dados, onde as pessoas singulares e coletivas controlam os dados que geram.
•Direitos fundamentais
Uma vez que os dados pessoais são abrangidos pelo âmbito de aplicação de alguns elementos do regulamento, as medidas são concebidas de forma a respeitar plenamente a legislação em matéria de proteção de dados e, na prática, aumentam o controlo das pessoas singulares sobre os dados que geram.
No que diz respeito à maior reutilização de dados do setor público, serão respeitados os direitos fundamentais de proteção dos dados, da privacidade e da propriedade (relativamente aos direitos de propriedade sobre determinados dados que, por exemplo, sejam informações comerciais confidenciais ou estejam protegidos por direitos de propriedade intelectual). Do mesmo modo, os prestadores de serviços de partilha de dados que oferecem serviços aos titulares dos dados terão de cumprir as regras aplicáveis em matéria de proteção de dados.
O quadro de notificação para os intermediários de dados afeta a liberdade de empresa, uma vez que coloca determinadas restrições, sob a forma de diferentes requisitos, como condição prévia para o funcionamento dessas entidades.
4.INCIDÊNCIA ORÇAMENTAL
A presente proposta não tem qualquer incidência orçamental.
5.OUTROS ELEMENTOS
•Planos de execução e acompanhamento, avaliação e prestação de informações
Dada a natureza dinâmica da economia dos dados, o acompanhamento da evolução dos impactos constitui uma parte essencial da intervenção neste domínio. A fim de assegurar que as medidas estratégicas selecionadas produzem efetivamente os resultados pretendidos e de fundamentar eventuais revisões futuras, é necessário acompanhar e avaliar a aplicação do presente regulamento.
O acompanhamento dos objetivos específicos e das obrigações regulamentares será alcançado através de inquéritos representativos às partes interessadas, do trabalho do Centro de Apoio à Partilha de Dados, dos registos do Conselho Europeu da Inovação de Dados nos diferentes domínios de intervenção comunicados pelas autoridades nacionais competentes e de um estudo de avaliação para apoiar a revisão do instrumento.
•Explicação pormenorizada das disposições específicas da proposta
O capítulo I define o objeto do regulamento e estabelece as definições utilizadas ao longo do instrumento.
O capítulo II cria um mecanismo para reutilização de determinadas categorias de dados protegidos do setor público, que estão sujeitos ao respeito dos direitos de terceiros (nomeadamente por razões de proteção dos dados pessoais, mas também de proteção dos direitos de propriedade intelectual e confidencialidade comercial).Este mecanismo não prejudica a legislação setorial específica da UE em matéria de acesso e reutilização desses dados. A reutilização desses dados não é abrangida pelo âmbito de aplicação da Diretiva (UE) 2019/1024 (Diretiva Dados Abertos). As disposições deste capítulo não criam o direito de reutilização desses dados, mas preveem um conjunto de condições básicas harmonizadas em que a reutilização desses dados pode ser permitida (por exemplo, o requisito de não exclusividade). Os organismos do setor público que permitam este tipo de reutilização terão de estar tecnicamente equipados para garantir plenamente a proteção dos dados, da privacidade e da confidencialidade. Os Estados-Membros terão de criar um ponto de contacto único para apoiar os investigadores e as empresas inovadoras na identificação de dados adequados e devem criar estruturas para apoiar os organismos do setor público com meios técnicos e assistência jurídica.
O capítulo III visa aumentar a confiança na partilha de dados pessoais e não pessoais e reduzir os custos de transação associados à partilha de dados B2B e C2B através da criação de um regime de notificação para os prestadores de serviços de partilha de dados. Estes prestadores terão de cumprir uma série de requisitos, nomeadamente o requisito de neutralidade relativamente aos dados partilhados. Não podem utilizar esses dados para outros fins. Os prestadores de serviços de partilha de dados que prestam serviços a pessoas singulares, terão também de ser cumprido o critério adicional de assumir deveres fiduciários para com as pessoas que os utilizam.
A abordagem foi concebida para garantir que os serviços de partilha de dados funcionam de forma aberta e colaborativa, capacitando simultaneamente as pessoas singulares e coletivas, proporcionando-lhes uma melhor visão e controlo dos seus dados. Uma autoridade competente designada pelos Estados-Membros será responsável pelo controlo da conformidade com os requisitos associados à prestação desses serviços.
O capítulo IV facilita o altruísmo dos dados (dados voluntariamente disponibilizados por indivíduos ou empresas para o bem comum). Estabelece a possibilidade de as organizações envolvidas no altruísmo de dados se registarem como «Organização de altruísmo de dados reconhecida na UE», a fim de aumentar a confiança nas suas operações. Além disso, será criado um formulário europeu comum de consentimento para cedência altruísta de dados, com vista a reduzir os custos associados à obtenção do consentimento e a facilitar a portabilidade dos dados (se os dados a disponibilizar não estiverem na posse do indivíduo).
O capítulo V estabelece os requisitos para o funcionamento das autoridades competentes designadas para monitorizar e aplicar o quadro de notificação dos prestadores de serviços de partilha de dados e das entidades envolvidas no altruísmo de dados. Contém igualmente disposições sobre o direito de apresentar reclamações contra as decisões desses organismos e sobre as vias de recurso judicial.
O capítulo VI cria um grupo formal de peritos (o «Conselho Europeu da Inovação de Dados»), que facilitará o surgimento de boas práticas pelas autoridades dos Estados-Membros, em especial sobre o tratamento de pedidos de reutilização de dados sujeitos aos direitos de terceiros (ao abrigo do capítulo II), sobre a garantia de uma prática coerente no que respeita ao quadro de notificação para os prestadores de serviços de partilha de dados (ao abrigo do capítulo III) e para o altruísmo de dados (capítulo IV). O grupo formal de peritos irá igualmente apoiar e aconselhar a Comissão sobre a governação da normalização intersetorial e a elaboração de pedidos de normalização estratégica intersetorial. Este capítulo estabelece igualmente a composição do Conselho e organiza o seu funcionamento.
O capítulo VII permite que a Comissão adote atos de execução relativos ao formulário europeu de consentimento para cedência altruísta de dados.
O capítulo VIII contém disposições transitórias para o funcionamento do regime geral de autorização dos prestadores de serviços de partilha de dados e prevê disposições finais.
2020/0340 (COD)
Proposta de
REGULAMENTO DO PARLAMENTO EUROPEU E DO CONSELHO
relativo à governação de dados
(Regulamento Governação de Dados)
(Texto relevante para efeitos do EEE)
O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 114.º,
Tendo em conta a proposta da Comissão Europeia,
Após transmissão do projeto de ato legislativo aos parlamentos nacionais,
Tendo em conta o parecer do Comité Económico e Social Europeu 21 ,
Tendo em conta o parecer do Comité das Regiões 22 ,
Deliberando de acordo com o processo legislativo ordinário,
Considerando o seguinte:
(1)O Tratado sobre o Funcionamento da União Europeia (TFUE) prevê a criação de um mercado interno e de um sistema que impeça a distorção da concorrência nesse mercado. O estabelecimento de regras e práticas comuns nos Estados-Membros com vista à criação de um quadro de governação de dados contribui para a realização desses objetivos.
(2)Ao longo dos últimos anos, as tecnologias digitais têm vindo a transformar a economia e a sociedade, afetando todos os setores de atividade e a vida quotidiana dos europeus. Os dados estão no centro desta transformação. A inovação baseada em dados trará aos cidadãos enormes benefícios, nomeadamente através de uma otimização da medicina personalizada, de novos serviços de mobilidade e do contributo para o Pacto Ecológico Europeu 23 . Na sua Estratégia para os Dados 24 , a Comissão descreveu a visão de um espaço comum europeu de dados: um mercado único de dados em que os dados possam ser utilizados independentemente da sua localização física na União, em conformidade com a legislação aplicável. Apelou igualmente a um fluxo de dados livre e seguro com países terceiros, sob reserva das exceções e restrições em matéria de segurança pública, ordem pública e outros objetivos legítimos de política pública da União Europeia, em conformidade com as obrigações internacionais. A fim de transformar esta visão em realidade, a Comissão propõe a criação de espaços comuns europeus de dados específicos para cada domínio, onde se estabeleçam as modalidades concretas em que a partilha e a agregação de dados podem ocorrer. Como previsto nessa estratégia, os espaços comuns europeus de dados podem abranger domínios como a saúde, a mobilidade, a indústria, os serviços financeiros, a energia ou a agricultura, ou domínios temáticos, como o Pacto Ecológico Europeu ou os espaços europeus de dados para a administração pública ou as competências.
(3)É necessário melhorar as condições de partilha de dados no mercado interno, através da criação de um quadro harmonizado para o intercâmbio de dados. A legislação setorial específica pode desenvolver, adaptar e propor elementos novos e complementares, em função das especificidades do setor, como a legislação prevista para o espaço europeu de dados de saúde 25 e para o acesso aos dados sobre veículos. Além disso, certos setores da economia já são regulamentados por legislação setorial da União que inclui regras relativas à partilha ou ao acesso transfronteiras ou à escala da União aos dados 26 . Por conseguinte, o presente regulamento não prejudica o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho 27 (em especial, a aplicação do presente regulamento não impede a realização de transferências transfronteiras de dados nos termos do capítulo V do Regulamento (UE) 2016/679), a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho 28 , a Diretiva (UE) 2016/943 do Parlamento Europeu e do Conselho 29 , o Regulamento (UE) 2018/1807 do Parlamento Europeu e do Conselho 30 , o Regulamento (CE) n.º 223/2009 do Parlamento Europeu e do Conselho 31 , a Diretiva 2000/31/CE do Parlamento Europeu e do Conselho 32 , a Diretiva 2001/29/CE do Parlamento Europeu e do Conselho 33 , a Diretiva (UE) 2019/790 do Parlamento Europeu e do Conselho 34 , a Diretiva 2004/48/CE do Parlamento Europeu e do Conselho, a Diretiva 2004/48/CE do Parlamento Europeu e do Conselho 35 , a Diretiva (UE) 2019/1024 do Parlamento Europeu e do Conselho 36 , bem como o Regulamento (UE) 2018/858 do Parlamento Europeu e do Conselho 37 , a Diretiva 2010/40/UE do Parlamento Europeu e do Conselho 38 e os regulamentos delegados adotados com base na mesma, nem prejudica qualquer outra legislação setorial que organize o acesso e reutilização de dados. O presente regulamento não prejudica o acesso e a utilização de dados para efeitos de cooperação internacional no contexto da prevenção, investigação, deteção ou repressão de infrações penais ou da execução de sanções penais. Deve ser estabelecido um regime horizontal para a reutilização de determinadas categorias de dados protegidos na posse de organismos do setor público, a prestação de serviços de partilha de dados e de serviços baseados no altruísmo de dados na União. As características específicas dos diferentes setores podem exigir a conceção de sistemas setoriais baseados em dados, que assentem nos requisitos do presente regulamento. Caso um ato jurídico setorial da União exija que os organismos do setor público, os prestadores de serviços de partilha de dados ou as entidades registadas que prestam serviços de altruísmo de dados cumpram requisitos técnicos, administrativos ou organizacionais específicos adicionais, nomeadamente através de um regime de autorização ou certificação, aplicam-se igualmente as disposições desse ato jurídico setorial da União.
(4)É necessária uma ação a nível da União para eliminar os obstáculos ao bom funcionamento da economia dos dados e para criar um quadro de governação à escala da União para o acesso e a utilização dos dados, em especial no que diz respeito à reutilização de certos tipos de dados na posse do setor público, à prestação de serviços pelos prestadores de serviços de partilha de dados aos utilizadores empresariais e aos titulares dos dados, bem como à recolha e tratamento de dados disponibilizados para fins altruístas por pessoas singulares e coletivas.
(5)A ideia de que os dados gerados a expensas dos orçamentos públicos devem beneficiar a sociedade tem estado presente na política da União há muito tempo. A Diretiva (UE) 2019/1024, bem como a legislação setorial específica, permitem ao setor público disponibilizar mais facilmente os dados que produz para utilização e reutilização. No entanto, determinadas categorias de dados (dados comerciais confidenciais, dados sujeitos a segredo estatístico, dados protegidos por direitos de propriedade intelectual de terceiros, incluindo segredos comerciais e dados pessoais não acessíveis com base em legislação específica nacional ou da União, como o Regulamento (UE) 2016/679 e a Diretiva (UE) 2016/680), que se encontram em bases de dados públicas, muitas vezes não são disponibilizados, nem sequer para atividades de investigação ou inovação. Devido à sensibilidade destes dados, antes de serem disponibilizados devem ser respeitados certos requisitos técnicos, jurídicos e processuais para garantir o respeito dos direitos de terceiros sobre esses dados. Regra geral, estes requisitos são exigentes em termos de tempo e de conhecimentos, o que conduziu a uma subutilização desses dados. Embora alguns Estados-Membros estejam a criar estruturas, processos e, por vezes, a legislar para facilitar este tipo de reutilização, tal não é o caso em toda a União.
(6)Existem técnicas que permitem análises respeitosas da privacidade em bases de dados que contêm dados pessoais, tais como a anonimização, a pseudonimização, a privacidade diferencial, a generalização ou a supressão e aleatorização. A aplicação destas tecnologias de reforço da privacidade, juntamente com abordagens abrangentes de proteção de dados, deve garantir a reutilização segura dos dados pessoais e dos dados comerciais confidenciais das empresas para fins de investigação, inovação e estatísticos. Em muitos casos, isto implica que a utilização e a reutilização de dados neste contexto só podem ser efetuadas num ambiente de tratamento seguro criado e supervisionado pelo setor público. Existe experiência adquirida a nível da União com esses ambientes de processamento seguros, que são utilizados para a investigação de microdados estatísticos com base no Regulamento (UE) n.º 557/2013 da Comissão 39 . Em geral, no que diz respeito aos dados pessoais, o tratamento desses dados deverá basear-se num ou mais fundamentos para o tratamento previstos no artigo 6.º do Regulamento (UE) 2016/679.
(7)As categorias de dados na posse de organismos do setor público que devem ser objeto de reutilização ao abrigo do presente regulamento não são abrangidas pelo âmbito de aplicação da Diretiva (UE) 2019/1024, que exclui os dados que não são acessíveis devido ao segredo comercial ou estatístico e os dados relativamente aos quais terceiros têm direitos de propriedade intelectual. Os dados pessoais não são abrangidos pelo âmbito de aplicação da Diretiva (UE) 2019/1024, na medida em que o regime de acesso exclui ou restringe o acesso a esses dados por razões de proteção de dados, privacidade e integridade do indivíduo, nomeadamente em conformidade com as regras em matéria de proteção de dados. A reutilização de dados que possam conter segredos comerciais deverá ter lugar sem prejuízo do disposto na Diretiva (UE) 2016/943 40 , que estabelece o quadro para a aquisição, utilização ou divulgação lícitas de segredos comerciais. O presente regulamento não prejudica nem complementa as obrigações mais específicas impostas aos organismos do setor público para permitir a reutilização de dados prevista na legislação setorial da União ou nacional.
(8)O regime de reutilização previsto no presente regulamento deverá ser aplicável aos documentos cuja disponibilização é parte integrante das missões de serviço público dos organismos do setor público em causa, tal como definidas na lei ou noutras normas vinculativas dos Estados-Membros. Na ausência de tais normas, as missões de serviço público deverão ser definidas de acordo com a prática administrativa corrente nos Estados-Membros, desde que o âmbito das missões de serviço público seja transparente e passível de reapreciação. As funções de serviço público podem ser definidas com caráter geral ou caso a caso para organismos individuais do setor público. Uma vez que as empresas públicas não são abrangidas pela definição de organismo do setor público, os dados que detêm não são abrangidos pelo presente regulamento. Os dados na posse de estabelecimentos culturais e educativos cujos direitos de propriedade intelectual não sejam acessórios, mas que constem predominantemente de obras e outros documentos protegidos por esses direitos de propriedade intelectual, não são abrangidos pelo presente regulamento.
(9)Os organismos do setor público devem respeitar o direito da concorrência ao estabelecerem os princípios de reutilização dos dados que detêm, evitando tanto quanto possível celebrar acordos que possam ter por objetivo ou efeito a criação de direitos exclusivos de reutilização de certos dados. Tais acordos só devem ser possíveis quando tal se justifique e seja necessário para a prestação de um serviço de interesse geral. Pode ser o caso quando a utilização exclusiva dos dados é a única forma de maximizar os benefícios sociais dos mesmos, por exemplo quando existe apenas uma entidade (especializada no tratamento de um conjunto específico de dados) capaz de fornecer o serviço ou o produto que permite ao organismo do setor público prestar um serviço digital avançado de interesse geral. Esses acordos devem, no entanto, ser celebrados em conformidade com as regras em matéria de contratos públicos e ser objeto de revisão periódica com base numa análise de mercado, a fim de determinar se essa exclusividade continua a ser necessária. Além disso, esses acordos devem cumprir as regras aplicáveis em matéria de auxílios estatais, conforme adequado, e devem ser celebrados por um período limitado, que não deve exceder três anos. A fim de garantir a transparência, esses acordos exclusivos devem ser publicados em linha, independentemente da eventual publicação de uma adjudicação de um contrato público.
(10)Os acordos exclusivos proibidos e outras práticas ou acordos entre detentores e reutilizadores de dados que não concedam expressamente direitos exclusivos, mas que possam razoavelmente ser suscetíveis de restringir a disponibilidade de dados para reutilização, que tenham sido celebrados ou já estejam em vigor antes da entrada em vigor do presente regulamento, não deverão ser renovados após o termo do seu período de vigência. No caso de acordos por tempo indeterminado ou de longo prazo, estes devem ser rescindidos no prazo de três anos a contar da data de entrada em vigor do presente regulamento.
(11)Devem ser estabelecidas condições para a reutilização de dados protegidos aplicáveis aos organismos do setor público competentes nos termos do direito nacional para autorizar a reutilização, sem prejudicar os direitos ou obrigações relativas ao acesso a esses dados. Estas condições devem ser não discriminatórias, proporcionadas e objetivamente justificadas e não podem restringir a concorrência. Em especial, os organismos do setor público que autorizam a reutilização devem dispor dos meios técnicos necessários para assegurar a proteção dos direitos e interesses de terceiros. As condições associadas à reutilização de dados devem limitar-se ao necessário para preservar os direitos e interesses de terceiros e a integridade das tecnologias informáticas e sistemas de comunicação dos organismos do setor público. Os organismos do setor público devem aplicar condições que sirvam melhor os interesses do reutilizador, sem conduzir a um esforço desproporcionado para o setor público. Consoante o caso, antes da sua transmissão, os dados pessoais devem ser totalmente anonimizados, de modo a impedir definitivamente a identificação dos titulares dos dados, e os dados com informações comerciais confidenciais devem ser alterados de modo a que estas não sejam divulgadas. Nos casos em que o fornecimento de dados anonimizados ou alterados não responda às necessidades do reutilizador, poderá ser permitida a reutilização dos dados nas instalações ou à distância num ambiente de tratamento seguro. A análise de dados nesses ambientes de tratamento seguros deve ser supervisionada pelo organismo do setor público, a fim de proteger os direitos e interesses de terceiros. Em especial, os dados pessoais só devem ser transmitidos para reutilização por terceiros se uma base jurídica o permitir. O organismo do setor público pode condicionar a utilização desse ambiente de tratamento seguro à assinatura, pelo reutilizador, de um acordo de confidencialidade que proíba a divulgação de qualquer informação que comprometa os direitos e interesses de terceiros que o reutilizador possa ter adquirido apesar das salvaguardas instituídas. Os organismos do setor público, se for caso disso, deverão facilitar a reutilização de dados com base no consentimento dos titulares dos dados ou na autorização das pessoas coletivas sobre a reutilização de dados que lhes digam respeito através de meios técnicos adequados. A este respeito, o organismo do setor público deve ajudar os potenciais reutilizadores a obter esse consentimento, estabelecendo mecanismos técnicos que permitam a transmissão dos pedidos de consentimento dos reutilizadores, sempre que tal seja exequível na prática. Não devem ser fornecidas informações de contacto que permitam aos reutilizadores contactar diretamente os titulares dos dados ou as empresas.
(12)Os direitos de propriedade intelectual de terceiros não são afetados pelo presente regulamento. O presente regulamento não afeta a existência ou a detenção de direitos de propriedade intelectual de organismos do setor público, nem restringe o exercício desses direitos para além dos limites estabelecidos no presente regulamento. As obrigações impostas nos termos da presente diretiva só deverão ser aplicáveis na medida em que sejam compatíveis com os acordos internacionais sobre proteção de direitos de propriedade intelectual, em especial a Convenção de Berna para a Proteção das Obras Literárias e Artísticas (a seguir designada «Convenção de Berna»), o Acordo sobre os Aspetos dos Direitos de Propriedade Intelectual relacionados com o Comércio (a seguir designado «Acordo TRIPS») e o Tratado da OMPI sobre o Direito de Autor (a seguir designado «TDA»). No entanto, os organismos públicos deverão exercer os seus direitos de autor de uma forma que facilite a reutilização.
(13)Os dados sujeitos a direitos de propriedade intelectual e a segredos comerciais só deverão ser transmitidos a terceiros se essa transmissão for lícita em virtude do direito da União ou nacional ou com o acordo do titular do direito. Os organismos do setor público que sejam detentores do direito consagrado no artigo 7.º, n.º 1, da Diretiva 96/9/CE do Parlamento Europeu e do Conselho 41 não deverão exercer esse direito com o intuito de impedir ou restringir a reutilização de dados para além dos limites previstos no presente regulamento.
(14)As empresas e os titulares dos dados devem poder confiar em que a reutilização de determinadas categorias de dados protegidos, na posse do setor público, será efetuada de uma forma que respeite os seus direitos e interesses. Por conseguinte, devem ser estabelecidas salvaguardas adicionais para as situações em que a reutilização desses dados do setor público se baseia num tratamento dos dados realizado fora do setor público. Essa salvaguarda adicional pode consistir no requisito de os organismos do setor público deverem ter plenamente em conta os direitos e interesses das pessoas singulares e coletivas (em especial a proteção dos dados pessoais, dos dados comercialmente sensíveis e dos direitos de propriedade intelectual) caso esses dados sejam transferidos para países terceiros.
(15)Por outro lado, é importante proteger os dados comercialmente sensíveis de natureza não pessoal, nomeadamente os segredos comerciais, mas também os dados não pessoais que representem conteúdos protegidos por direitos de propriedade intelectual, contra o acesso ilícito suscetível de conduzir ao roubo de propriedade intelectual ou à espionagem industrial. A fim de assegurar a proteção dos direitos fundamentais ou dos interesses dos detentores de dados, os dados não pessoais que devam ser protegidos contra o acesso ilegal ou não autorizado ao abrigo do direito da União ou do direito nacional, e que estejam na posse de organismos do setor público, só deverão ser transferidos para países terceiros se forem previstas salvaguardas adequadas quanto à sua utilização. Deve considerar-se que existem salvaguardas adequadas quando, nesse país terceiro, estiverem em vigor medidas equivalentes que garantam que os dados não pessoais beneficiam de um nível de proteção semelhante ao aplicável por força do direito da União ou do direito nacional, em especial no que diz respeito à proteção dos segredos comerciais e à proteção dos direitos de propriedade intelectual. Para o efeito, a Comissão pode adotar atos de execução que declarem que um país terceiro proporciona um nível de proteção essencialmente equivalente ao proporcionado pelo direito da União ou pelo direito nacional. A avaliação do nível de proteção assegurado nesse país terceiro deverá ter em especial conta a legislação aplicável, tanto geral como setorial (nomeadamente em matéria de segurança pública, defesa, segurança nacional e direito penal) no que respeita ao acesso e proteção de dados não pessoais e o eventual acesso das autoridades públicas desse país terceiro aos dados transferidos, bem como a existência e o funcionamento efetivo de uma ou mais autoridades de supervisão independentes no país terceiro com responsabilidade de assegurar e aplicar o regime jurídico que garante o acesso a esses dados, ou os compromissos internacionais assumidos pelos países terceiros em matéria de proteção de dados, ou outras obrigações decorrentes de convenções ou instrumentos juridicamente vinculativos ou da sua participação noutros sistemas multilaterais ou regionais. A existência de vias de recurso eficazes no país terceiro para os detentores de dados, os organismos do setor público ou os prestadores de serviços de partilha de dados é particularmente importante no contexto da transferência de dados não pessoais para esse país terceiro. Essas salvaguardas devem, por conseguinte, incluir a disponibilidade de direitos executórios e de vias de recurso eficazes.
(16)Quando não exista um ato de execução adotado pela Comissão em relação a um país terceiro que declare que este proporciona um nível de proteção (nomeadamente no que diz respeito à proteção de dados comercialmente sensíveis e à proteção dos direitos de propriedade intelectual) que é no essencial equivalente ao previsto na legislação da União ou nacional, o organismo do setor público só deve transmitir dados protegidos a um reutilizador se este assumir obrigações no interesse da proteção dos dados. O reutilizador que pretenda transferir os dados para esse país terceiro deve comprometer-se a cumprir as obrigações estabelecidas no presente regulamento, mesmo depois de os dados terem sido transferidos para o país terceiro. A fim de assegurar o cumprimento adequado dessas obrigações, o reutilizador deve igualmente aceitar a jurisdição do Estado-Membro do organismo do setor público que autorizou a reutilização para a resolução judicial de litígios.
(17)Alguns países terceiros aprovam leis, regulamentos e outros atos normativos com vista à transferência direta ou ao facultar de acesso, na União, a dados não pessoais sob o controlo de pessoas singulares e coletivas sob a jurisdição dos Estados-Membros. As decisões de órgãos jurisdicionais ou autoridades administrativas de países terceiros que exijam tal transferência ou acesso a dados não pessoais devem ser executórias com base num acordo internacional, como um acordo de assistência judiciária mútua, em vigor entre o país terceiro em causa e a União ou um dos Estados-Membros. Em alguns casos, podem surgir situações em que a obrigação de transferir ou facultar o acesso a dados não pessoais decorrente da legislação de um país terceiro colide com uma obrigação concorrente de proteção desses dados por força do direito da União ou nacional, em especial no que diz respeito à proteção dos dados comercialmente sensíveis e dos direitos de propriedade intelectual, incluindo os compromissos contratuais em matéria de confidencialidade nos termos dessa legislação. Na ausência de acordos internacionais que regulem essas matérias, a transferência ou o acesso só deverá ser permitido em determinadas condições, em especial o facto de o sistema do país terceiro exigir que a decisão seja fundamentada, proporcional e com um caráter específico, que as objeções fundamentadas do destinatário estejam sujeitas a controlo jurisdicional no país terceiro por um tribunal competente habilitado a ter em devida conta os interesses jurídicos relevantes do fornecedor desses dados.
(18)A fim de evitar o acesso ilícito a dados não pessoais, os organismos do setor público e as pessoas singulares ou coletivas a quem foi concedido o direito de reutilização dos dados, os prestadores de serviços de partilha de dados e as entidades inscritas no registo das organizações de altruísmo de dados reconhecidas devem tomar todas as medidas razoáveis para impedir o acesso aos sistemas em que os dados não pessoais são armazenados, incluindo a nível da cifragem dos dados ou das políticas empresariais.
(19)No que diz respeito à transferência para países terceiros, a fim de criar confiança nos mecanismos de reutilização, poderá ser necessário impor condições mais rigorosas para certos tipos de dados não pessoais que tenham sido identificados como altamente sensíveis, se essa transferência puder comprometer objetivos de política pública, em conformidade com os compromissos internacionais. Por exemplo, no domínio da saúde, certos conjuntos de dados detidos por entidades do sistema de saúde pública, como hospitais públicos, podem ser identificados como dados de saúde altamente sensíveis. A fim de assegurar práticas harmonizadas em toda a União, esses tipos de dados públicos não pessoais altamente sensíveis deverão ser definidos pelo direito da União, por exemplo no contexto do espaço europeu de dados de saúde ou de outra legislação setorial. As condições associadas à transferência desses dados para países terceiros serão estabelecidas em atos delegados. As condições devem ser proporcionais, não discriminatórias e necessárias para proteger os objetivos legítimos de política pública identificados, tais como a proteção da saúde pública, a ordem pública, a segurança, o ambiente, a moral pública, a proteção dos consumidores, a privacidade e a proteção dos dados pessoais. As condições devem corresponder aos riscos identificados em relação à sensibilidade desses dados, incluindo em termos de risco de reidentificação de indivíduos. Podem incluir condições aplicáveis à transferência ou disposições técnicas como o requisito de utilizar um ambiente de tratamento seguro, limitações no que diz respeito à reutilização de dados em países terceiros, ou às categorias de pessoas autorizadas a transferir os dados para países terceiros ou a aceder aos dados nos países terceiros. Em casos excecionais, podem também incluir restrições à transferência de dados para países terceiros, a fim de proteger o interesse público.
(20)Os organismos do setor público devem poder cobrar taxas pela reutilização de dados, mas também poder decidir disponibilizar os dados a um custo inferior ou nulo, por exemplo para determinadas categorias de reutilizações, como a reutilização não comercial ou por pequenas e médias empresas, de modo a incentivar essa reutilização, estimular a investigação e a inovação e apoiar as empresas que são uma importante fonte de inovação e que, regra geral, têm mais dificuldade em recolher por si próprias os dados em questão, em conformidade com as regras em matéria de auxílios estatais. Essas taxas devem ser razoáveis, transparentes, publicadas em linha e não discriminatórias.
(21)A fim de incentivar a reutilização destas categorias de dados, os Estados-Membros devem estabelecer um ponto de informação único que funcione como interface principal para os reutilizadores que pretendam reutilizar esses dados na posse de organismos do setor público. Esse ponto de informação único deve ter um mandato intersetorial e, se necessário, complementar o dispositivo a nível setorial. Além disso, os Estados-Membros deverão designar, criar ou facilitar a criação de organismos competentes para apoiar as atividades dos organismos do setor público que permitam a reutilização de determinadas categorias de dados protegidos. As suas funções podem incluir a concessão de acesso aos dados, sempre que tal esteja previsto na legislação setorial da União ou dos Estados-Membros. Esses organismos competentes devem prestar apoio aos organismos do setor público com técnicas avançadas, incluindo ambientes seguros de tratamento de dados, que permitam a análise dos dados de uma forma que preserve a privacidade das informações. Tal estrutura de apoio poderá apoiar os detentores dos dados na gestão do consentimento, nomeadamente para determinadas áreas de investigação científica, desde que sejam respeitados padrões éticos reconhecidos para a investigação científica. O tratamento de dados deve ser efetuado sob a responsabilidade do organismo do setor público responsável pelo registo que contém os dados, que continua a ser o responsável pelo tratamento dos dados, na aceção do Regulamento (UE) 2016/679, no que diz respeito aos dados pessoais. Os Estados-Membros podem dispor de um ou vários organismos competentes, que poderão atuar em diferentes setores.
(22)Espera-se que os prestadores de serviços de partilha de dados (intermediários de dados) desempenhem um papel fundamental na economia dos dados, enquanto instrumento para facilitar a agregação e o intercâmbio de quantidades substanciais de dados relevantes. Os intermediários de dados que oferecem serviços que ligam os diferentes intervenientes têm potencial para contribuir para a agregação eficiente dos dados, bem como para facilitar a respetiva partilha bilateral. Os intermediários de dados especializados que sejam independentes tanto dos detentores como dos utilizadores dos dados podem desempenhar um papel facilitador da criação de novos ecossistemas baseados em dados que sejam independentes de qualquer interveniente com um poder de mercado significativo. O presente regulamento abrange apenas os prestadores de serviços de partilha de dados que tenham como objetivo principal o estabelecimento de uma empresa, de uma relação jurídica e eventualmente também técnica entre os detentores de dados, incluindo os titulares de dados, por um lado, e os potenciais utilizadores, por outro, e que prestem assistência a ambas as partes na transação de ativos de dados entre si. Devem ser abrangidos apenas os serviços que visam a intermediação entre um número indefinido de detentores e de utilizadores de dados, excluindo os serviços de partilha de dados que se destinam a ser utilizados por um grupo fechado de detentores e utilizadores de dados. Devem ser excluídos os prestadores de serviços de computação em nuvem, bem como os prestadores de serviços que obtêm dados dos respetivos detentores, agregam, enriquecem ou transformam os dados e licenciam a sua utilização a utilizadores de dados, sem estabelecer uma relação direta entre os detentores e os utilizadores de dados (por exemplo, agências de publicidade ou corretores de dados, consultores de dados e fornecedores de produtos de dados resultantes do valor acrescentado aos dados pelo prestador de serviços). Ao mesmo tempo, os prestadores de serviços de partilha de dados devem ser autorizados a efetuar adaptações aos dados transmitidos, na medida em que tal facilite de utilização dos dados pelo utilizador, caso este o deseje, de modo a convertê-los em formatos específicos. Além disso, os serviços centrados na intermediação de conteúdos, em especial de conteúdos protegidos por direitos de autor, não são abrangidos pelo presente regulamento. As plataformas de intercâmbio de dados que são exclusivamente utilizadas por um detentor de dados para permitir a utilização dos dados que detém, bem como as plataformas desenvolvidas no contexto de objetos ou dispositivos ligados à Internet das coisas que têm como principal objetivo assegurar funcionalidades do objeto ou dispositivo conectado e permitir serviços de valor acrescentado, não são abrangidas pelo presente regulamento. Os «prestadores de informações consolidadas», na aceção do artigo 4.º, n.º 1, ponto 53, da Diretiva 2014/65/UE do Parlamento Europeu e do Conselho 42 , bem como os «prestadores de serviços de informação sobre contas», na aceção do artigo 4.º, ponto 19, da Diretiva (UE) 2015/2366 do Parlamento Europeu e do Conselho 43 , não devem ser considerados prestadores de serviços de partilha de dados para efeitos do presente regulamento. As entidades cuja atividade se limita a facilitar a utilização de dados disponibilizados com base no altruísmo de dados e que operam sem fins lucrativos não serão abrangidas pelo capítulo III do presente regulamento, uma vez que esta atividade serve objetivos de interesse geral ao aumentar o volume de dados disponíveis para esses fins.
(23)Uma categoria específica de intermediários de dados inclui os prestadores de serviços de partilha de dados que oferecem os seus serviços aos titulares dos dados na aceção do Regulamento (UE) 2016/679. Esses prestadores centram-se exclusivamente nos dados pessoais e procuram reforçar o controlo dos indivíduos sobre os dados que lhes dizem respeito. Prestam assistência às pessoas no exercício dos seus direitos ao abrigo do Regulamento (UE) 2016/679, nomeadamente ajudando-as a gerir o seu consentimento para o tratamento dos dados, o direito de acesso aos dados de que são titulares, o direito à retificação de dados pessoais inexatos, o direito ao apagamento dos dados ou direito «a ser esquecido», o direito à limitação do tratamento e o direito de portabilidade dos dados, que permite aos titulares transferir os seus dados pessoais de um responsável pelo tratamento para outro. Neste contexto, é importante que o seu modelo empresarial assegure que não existam incentivos desajustados que levem as pessoas a disponibilizarem mais dados para tratamento do que o seu próprio interesse aconselharia. Tal poderá incluir o aconselhamento das pessoas sobre o consentimento relativo a diferentes utilizações dos seus dados e a realização de verificações do dever de diligência junto dos utilizadores dos dados antes de lhes permitir contactar os respetivos titulares, a fim de evitar práticas fraudulentas. Em determinadas situações, poderá ser desejável coligir os dados num espaço de armazenamento de dados pessoais, ou «espaço de dados pessoais», para aí serem tratados sem necessidade de transmissão a terceiros, a fim de maximizar a proteção dos dados pessoais e da privacidade.
(24)As cooperativas de dados procuram reforçar a posição das pessoas graças a escolhas informadas antes de consentirem na utilização dos dados, influenciando os termos e condições das organizações de utilizadores de dados aplicáveis à utilização dos dados ou, eventualmente, resolvendo litígios entre os membros de um grupo sobre a forma como os dados podem ser utilizados quando pertencem a vários titulares dentro desse grupo. Neste contexto, é importante reconhecer que os direitos ao abrigo do Regulamento (UE) 2016/679 só podem ser exercidos por cada indivíduo e não podem ser conferidos ou delegados a uma cooperativa de dados. As cooperativas de dados podem também constituir um instrumento útil para as empresas unipessoais, as micro, pequenas e médias empresas que, em termos de conhecimentos sobre a partilha de dados, são muitas vezes comparáveis às pessoas singulares.
(25)A fim de aumentar a confiança nesses serviços de partilha de dados, em especial os relacionados com a utilização de dados e o cumprimento das condições impostas pelos detentores de dados, é necessário criar um quadro regulamentar a nível da União que estabeleça requisitos altamente harmonizados relacionados com a prestação fiável desses serviços de partilha de dados. Tal contribuirá para assegurar que os detentores e os utilizadores de dados exerçam um melhor controlo sobre o acesso e a utilização dos seus dados, em conformidade com o direito da União. Tanto nas situações em que a partilha de dados ocorre num contexto entre empresas, como num contexto entre empresas e consumidores, os prestadores de serviços de partilha de dados devem oferecer uma forma inovadora e «europeia» de governação de dados, estabelecendo uma separação na economia dos dados entre o fornecimento, a intermediação e a utilização de dados. Os prestadores de serviços de partilha de dados podem também disponibilizar infraestruturas técnicas específicas para a interligação entre os detentores e os utilizadores de dados.
(26)A neutralidade dos prestadores de serviços de partilha de dados no que diz respeito aos dados transmitidos é um elemento fundamental para aumentar a confiança e o controlo dos detentores e dos utilizadores de dados relativamente a esses serviços. Por conseguinte, é necessário que os prestadores de serviços de partilha de dados atuem apenas como intermediários nas transações e não utilizem os dados transmitidos para qualquer outro fim. Tal exigirá igualmente uma separação estrutural entre o serviço de partilha de dados e quaisquer outros serviços prestados, a fim de evitar situações de conflito de interesses. Isto significa que o serviço de partilha de dados deve ser prestado através de uma entidade jurídica distinta das outras atividades desse prestador de serviços de partilha de dados. Os prestadores de partilha de dados que intermedeiam o intercâmbio de dados entre pessoas singulares enquanto detentores de dados e pessoas coletivas devem, além disso, assumir um dever fiduciário para com as pessoas singulares, a fim de assegurar que agem no melhor interesse dos detentores de dados.
(27)A fim de assegurar a conformidade dos prestadores de serviços de partilha de dados com as condições estabelecidas no presente regulamento, esses prestadores devem ter um local de estabelecimento na União. Em alternativa, quando um prestador de serviços de partilha de dados não estabelecido na União oferecer serviços na União, deve designar um representante. A designação de um representante é necessária dado que os prestadores de serviços de partilha de dados tratam dados pessoais, bem como dados comerciais confidenciais, o que exige um estreito controlo da sua conformidade com as condições estabelecidas no presente regulamento. A fim de determinar se os prestadores de serviços de partilha de dados oferecem ou não serviços na União, terá de se apurar se é evidente a sua intenção de oferecer serviços a pessoas num ou mais Estados-Membros. A mera acessibilidade na União do sítio Web ou de um endereço de correio eletrónico e de outros dados de contacto do prestador de serviços de partilha de dados, ou a utilização de uma língua geralmente utilizada no país terceiro em que o prestador de serviços de partilha de dados está estabelecido, deve ser considerada insuficiente para determinar tal intenção. Contudo, há fatores, como a utilização de uma língua ou de uma moeda de uso corrente num ou mais Estados-Membros, com a possibilidade de encomendar serviços nessa outra língua, ou a referência a clientes ou utilizadores na União, que podem ser reveladores de que o prestador de serviços de partilha de dados tenciona oferecer serviços na União. O representante deverá atuar por conta do prestador de serviços de partilha de dados e deverá poder ser contactado pelas autoridades competentes. O representante deverá ser explicitamente designado por um mandato do prestador de serviços de partilha de dados, emitido por escrito, que permita ao representante agir em seu nome no que diz respeito às obrigações impostas pelo presente regulamento.
(28)O presente regulamento não prejudica a obrigação de os prestadores de serviços de partilha de dados cumprirem o Regulamento (UE) 2016/679 e a responsabilidade das autoridades de controlo de assegurar o cumprimento desse regulamento. Os prestadores de serviços de partilha de dados que forem responsáveis pelo tratamento de dados ou subcontratantes na aceção do Regulamento (UE) 2016/679 estão vinculados pelas regras desse regulamento. O presente regulamento também não prejudica a aplicação do direito da concorrência.
(29)Os prestadores de serviços de partilha de dados devem igualmente tomar medidas para garantir o cumprimento do direito da concorrência. A partilha de dados pode gerar vários tipos de ganhos de eficiência, mas pode também conduzir a restrições da concorrência, em especial quando inclui a partilha de informações sensíveis do ponto de vista concorrencial. Tal aplica-se, em especial, às situações em que a partilha de dados permite que as empresas tomem conhecimento das estratégias de mercado dos seus concorrentes reais ou potenciais. As informações sensíveis do ponto de vista concorrencial incluem normalmente informações sobre preços futuros, custos de produção, quantidades, volumes de negócios, vendas ou capacidades.
(30)Deve ser estabelecido um procedimento de notificação dos serviços de partilha de dados, para assegurar uma governação de dados na União baseada na fiabilidade do intercâmbio de dados. Os benefícios de um ambiente que inspira confiança serão melhor alcançados através da imposição de um conjunto de requisitos aplicáveis à prestação de serviços de partilha de dados, sem todavia exigir qualquer decisão explícita ou ato administrativo da autoridade competente para a prestação desses serviços.
(31)Para apoiar uma prestação eficaz de serviços transfronteiras, o prestador de serviços de partilha de dados deve ser convidado a enviar apenas uma notificação à autoridade competente designada do Estado-Membro em que está situado o seu estabelecimento principal ou o seu representante legal. Essa notificação não limitar-se-á a uma simples declaração da intenção de prestar tais serviços e incluirá apenas as informações previstas no presente regulamento.
(32)O estabelecimento principal do prestador de serviços de partilha de dados na União será o do Estado-Membro onde se encontra a sua administração central na União. O estabelecimento principal do prestador de serviços de partilha de dados na União deverá ser determinado de acordo com critérios objetivos e implicar o exercício efetivo e real de atividades de gestão.
(33)As autoridades competentes designadas para controlar a conformidade dos prestadores de serviços de partilha de dados com os requisitos do presente regulamento devem ser escolhidas com base nas suas capacidades e conhecimentos especializados em matéria de partilha de dados a nível horizontal ou setorial, e devem ser independentes, transparentes e imparciais no exercício das suas funções. Os Estados-Membros notificam a Comissão da designação das autoridades competentes.
(34)O quadro de notificação estabelecido no presente regulamento não prejudica as regras adicionais específicas aplicáveis à prestação de serviços de partilha de dados por força da legislação setorial específica.
(35)A utilização de dados disponibilizados voluntariamente pelos respetivos titulares com base no seu consentimento ou, no caso de dados não pessoais disponibilizados por pessoas coletivas, para objetivos de interesse geral tem grande potencial. Esses objetivos incluem os cuidados de saúde, a luta contra as alterações climáticas, a melhoria da mobilidade, a facilitação da elaboração de estatísticas oficiais ou a melhoria da prestação de serviços públicos. O apoio à investigação científica, incluindo, por exemplo, o desenvolvimento tecnológico e a demonstração, a investigação fundamental, a investigação aplicada e a investigação financiada pelo setor privado, deve igualmente ser considerado um objetivo de interesse geral. O presente regulamento visa contribuir para que surjam conjuntos de dados disponibilizados com base no altruísmo de dados com dimensão suficiente para permitir a análise de dados e a aprendizagem automática, incluindo transfronteiras na União.
(36)As entidades jurídicas que procurem apoiar objetivos de interesse geral disponibilizando dados relevantes baseados no altruísmo de dados em larga escala e que cumpram determinados requisitos devem poder registar-se como «Organização de altruísmo de dados reconhecida na União». Tal possibilitará a criação de repositórios de dados. Sendo o registo num Estado-Membro válido em toda a União, tal deverá facilitar a utilização transfronteiras de dados na União e a emergência de conjuntos de dados que abranjam vários Estados-Membros. A este respeito, os titulares dos dados dariam o seu consentimento para finalidades específicas do tratamento de dados, mas poderiam também autorizar o tratamento de dados em determinados domínios de investigação ou em partes de projetos de investigação, dado que por vezes, no momento da recolha dos dados, não é possível identificar, completamente a finalidade do tratamento dos dados pessoais para fins de investigação científica. As pessoas coletivas podem autorizar o tratamento dos seus dados não pessoais para uma série de finalidades não definidas no momento da concessão da autorização. O cumprimento voluntário por parte dessas entidades registadas de um conjunto de requisitos deve garantir que os dados disponibilizados para fins altruístas servem um objetivo de interesse geral. Tal garantia deverá resultar, nomeadamente, da existência de um local de estabelecimento na União, bem como do requisito de ausência de fins lucrativos das entidades registadas, dos requisitos de transparência e de garantias específicas de proteção dos direitos e interesses dos titulares dos dados e das empresas. Outras garantias deverão incluir a possibilidade de tratar dados relevantes num ambiente de tratamento seguro operado pela entidade registada, mecanismos de supervisão como conselhos ou comités de ética para assegurar que o responsável pelo tratamento de dados respeita elevados padrões de ética científica, meios técnicos eficazes para retirar ou alterar o consentimento a qualquer momento com base nas obrigações de informação dos subcontratantes nos termos do Regulamento (UE) 2016/679, bem como meios para manter os titulares dos dados informados sobre a utilização dos dados que disponibilizaram.
(37)O presente regulamento não prejudica a criação, organização e funcionamento das entidades envolvidas no altruísmo de dados nos termos do direito nacional, baseando-se nos requisitos previstos no direito nacional para operar legalmente num Estado-Membro enquanto organização sem fins lucrativos. As entidades que cumpram os requisitos do presente regulamento poderão utilizar o título de «Organização de altruísmo de dados reconhecida na União».
(38)As organizações de altruísmo de dados reconhecidas na União poderão recolher dados relevantes diretamente junto de pessoas singulares e coletivas ou tratar dados recolhidos por terceiros. Normalmente, o altruísmo de dados implica o consentimento dos titulares dos dados na aceção do artigo 6.º, n.º 1, alínea a), e do artigo 9.º, n.º 2, alínea a), do Regulamento (UE) 2016/679, e em conformidade com os requisitos para o consentimento lícito previstos no artigo 7.º do mesmo regulamento. Em conformidade com o Regulamento (UE) 2016/679, as finalidades de investigação científica podem basear-se no consentimento para determinados domínios de investigação científica, desde que sejam respeitados padrões éticos reconhecidos para a investigação científica, ou apenas para certos domínios ou partes de projetos de investigação. O artigo 5.º, n.º 1, alínea b), do Regulamento (UE) 2016/679 especifica que o tratamento posterior para fins de investigação científica ou histórica ou para fins estatísticos não deve, em conformidade com o artigo 89.º, n.º 1, do mesmo regulamento, ser considerado incompatível com as finalidades iniciais.
(39)A fim de proporcionar segurança jurídica adicional à concessão e retirada do consentimento, em especial no contexto da investigação científica e da utilização estatística dos dados disponibilizados numa base altruísta, deve ser elaborado e utilizado um formulário europeu de consentimento para cedência altruísta de dados no contexto da partilha altruísta de dados. Esse formulário deverá contribuir para uma maior transparência para os titulares dos dados sobre a forma como os seus dados serão acedidos e utilizados em conformidade com o seu consentimento, e também sobre a plena conformidade com as regras em matéria de proteção de dados. Poderia também ser utilizado para racionalizar o altruísmo de dados pelas empresas e proporcionar um mecanismo que lhes permita retirar a sua autorização de utilização dos dados. Para ter em conta as especificidades de cada setor, nomeadamente na perspetiva da proteção de dados, deve haver a possibilidade de ajustamentos setoriais do formulário europeu de consentimento para cedência altruísta de dados.
(40)A fim de aplicar com êxito o quadro de governação de dados, será criado um Conselho Europeu da Inovação de Dados, sob a forma de um grupo de peritos. Será composto por representantes dos Estados-Membros, da Comissão e dos espaços de dados e setores específicos relevantes (como a saúde, a agricultura, os transportes e as estatísticas). O Comité Europeu para a Proteção de Dados será convidado a nomear um representante no Conselho Europeu da Inovação de Dados.
(41)O Conselho Europeu da Inovação de Dados apoiará a Comissão na coordenação das práticas e políticas nacionais sobre os temas abrangidos pelo presente regulamento, bem como no apoio à utilização de dados intersetoriais através da adesão aos princípios do Quadro Europeu de Interoperabilidade (QEI) e da utilização de normas e especificações (como os Vocabulários de base 44 e os módulos do MIE 45 ), sem prejuízo do trabalho de normalização em setores ou domínios específicos. Os trabalhos de normalização técnica podem incluir a identificação de prioridades para a elaboração de normas e a elaboração e manutenção de um conjunto de normas técnicas e jurídicas para a transmissão de dados entre dois ambientes de tratamento que permitam a organização de espaços de dados sem recurso a intermediários. Deverá cooperar com organismos, redes ou grupos de peritos setoriais ou outras organizações intersetoriais relacionadas com a reutilização de dados. No que diz respeito ao altruísmo de dados, assistirá a Comissão na elaboração do formulário de consentimento para cedência altruísta de dados, em consulta com o Comité Europeu para a Proteção de Dados.
(42)A fim de assegurar condições uniformes para a execução do presente regulamento, deverão ser atribuídas competências de execução à Comissão para elaborar o formulário europeu de consentimento para cedência altruísta de dados. Essas competências deverão ser exercidas nos termos do Regulamento (UE) n.º 182/2011 do Parlamento Europeu e do Conselho 46 .
(43)Para ter em conta a natureza específica de determinadas categorias de dados, deverá ser delegado na Comissão o poder de adotar atos, nos termos do artigo 290.º do TFUE, para estabelecer as condições especiais aplicáveis às transferências para países terceiros de determinadas categorias de dados não pessoais consideradas altamente sensíveis em atos específicos da União adotados através de um processo legislativo. É particularmente importante que a Comissão proceda às consultas adequadas durante os trabalhos preparatórios, inclusive ao nível de peritos, e que essas consultas sejam conduzidas de acordo com os princípios estabelecidos no Acordo Interinstitucional de 13 de abril de 2016 sobre «Legislar Melhor». Em particular, a fim de assegurar a igualdade de participação na preparação dos atos delegados, o Parlamento Europeu e o Conselho recebem todos os documentos ao mesmo tempo que os peritos dos Estados-Membros, e os respetivos peritos têm sistematicamente acesso às reuniões dos grupos de peritos da Comissão que tratem da preparação dos atos delegados.
(44)O presente regulamento não afeta a aplicação das regras do direito da concorrência, em particular dos artigos 101.º e 102.º do Tratado sobre o Funcionamento da União Europeia. As medidas previstas no presente regulamento não devem ser utilizadas para restringir indevidamente a concorrência de forma contrária ao Tratado sobre o Funcionamento da União Europeia. Trata-se, em especial, das regras relativas ao intercâmbio de informações sensíveis do ponto de vista da concorrência entre concorrentes efetivos ou potenciais através de serviços de partilha de dados.
(45)A Autoridade Europeia para a Proteção de Dados e o Comité Europeu para a Proteção de Dados foram consultados nos termos do artigo 42.º do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho 47 , e emitiram parecer em […].
(46)O presente regulamento respeita os direitos fundamentais e observa os princípios reconhecidos, nomeadamente, pela Carta, incluindo o direito à privacidade, a proteção de dados pessoais, a liberdade de empresa, o direito de propriedade e a integração das pessoas com deficiência.
ADOTARAM O PRESENTE REGULAMENTO:
CAPÍTULO I
Disposições gerais
Artigo 1.º
Objeto e âmbito de aplicação
(1)O presente regulamento estabelece:
(a) Condições para a reutilização, na União, de determinadas categorias de dados na posse de organismos do setor público;
(b) Um quadro de notificação e de supervisão da prestação de serviços de partilha de dados;
(c) Um quadro para o registo voluntário das entidades que recolhem e tratam dados disponibilizados para fins altruístas.
(2)O presente regulamento não prejudica as disposições específicas de outros atos jurídicos da União relativas ao acesso ou à reutilização de determinadas categorias de dados, nem os requisitos relacionados com o tratamento de dados pessoais ou não pessoais. Caso um ato jurídico setorial da União exija que os organismos do setor público, os prestadores de serviços de partilha de dados ou as entidades registadas que prestam serviços de cedência altruísta de dados cumpram requisitos técnicos, administrativos ou organizacionais específicos adicionais, nomeadamente através de um regime de autorização ou certificação, aplicam-se igualmente as disposições desse ato jurídico setorial da União.
Artigo 2.º
Definições
Para efeitos do presente regulamento, entende-se por:
(1)«Dados», qualquer representação digital de atos, factos ou informações e qualquer compilação desses atos, factos ou informações, nomeadamente sob a forma de gravação sonora, visual ou audiovisual;
(2)«Reutilização», a utilização por pessoas singulares ou coletivas de dados na posse de organismos do setor público, para fins comerciais ou não comerciais que não correspondam ao objetivo inicial da missão de serviço público para o qual os dados foram produzidos, excetuando o intercâmbio de dados entre organismos do setor público exclusivamente no desempenho das suas missões de serviço público;
(3)«Dados não pessoais», os dados que não sejam dados pessoais na aceção do artigo 4.º, ponto 1, do Regulamento (UE) 2016/679;
(4)«Metadados», os dados recolhidos sobre qualquer atividade de uma pessoa singular ou coletiva para efeitos da prestação de um serviço de partilha de dados, incluindo a data, a hora e os dados de geolocalização, a duração da atividade e as ligações a outras pessoas singulares ou coletivas estabelecidas pela pessoa que utiliza o serviço;
(5)«Detentor de dados», uma pessoa coletiva ou singular que, em conformidade com o direito da União ou com o direito nacional aplicável, tem o direito de conceder acesso ou de partilhar determinados dados pessoais ou não pessoais sob o seu controlo;
(6)«Utilizador de dados», uma pessoa singular ou coletiva que tem acesso legal a determinados dados pessoais ou não pessoais e está autorizada a utilizá-los para fins comerciais ou não comerciais;
(7)«Partilha de dados», o fornecimento de dados por um detentor de dados a um utilizador de dados para fins de utilização conjunta ou individual dos dados partilhados, com base em acordos voluntários, diretamente ou através de um intermediário;
(8)«Acesso», o tratamento, por um utilizador de dados, de dados fornecidos por um detentor de dados, em conformidade com requisitos técnicos, jurídicos ou organizacionais específicos, sem implicar necessariamente a transmissão ou o descarregamento desses dados;
(9)«Estabelecimento principal» de uma entidade jurídica, o local onde se encontra a sua administração central na União;
(10)«Altruísmo de dados», o consentimento dos titulares dos dados para o tratamento dos respetivos dados pessoais, ou de outros detentores de dados para permitir a utilização dos seus dados não pessoais, sem procurarem obter uma gratificação, para objetivos de interesse geral, tais como a investigação científica ou a melhoria dos serviços públicos;
(11)«Organismo do setor público», o Estado, as autoridades regionais ou locais, os organismos de direito público ou as associações formadas por uma ou mais dessas autoridades ou por um ou mais desses organismos de direito público;
(12)«Organismo de direito público», qualquer organismo que apresente as seguintes características:
(a)Criado para o fim específico de satisfazer necessidades de interesse geral, sem caráter industrial ou comercial;
(b)Dotado de personalidade jurídica;
(c)Maioritariamente financiado pelo Estado, por autoridades regionais ou locais ou por outros organismos de direito público, ou cuja gestão está sujeita a controlo por parte dessas autoridades ou desses organismos, ou cujos órgãos de administração, de direção ou de fiscalização sejam compostos maioritariamente por membros designados pelo Estado, por autoridades regionais ou locais ou por outros organismos de direito público;
(13)«Empresa pública», qualquer empresa em relação à qual os organismos do setor público possam exercer, direta ou indiretamente, uma influência dominante, por motivos de propriedade, participação financeira ou regras que lhe sejam aplicáveis. Para efeitos da presente definição, presume-se a existência de influência dominante dos organismos do setor público sempre que estes organismos, de forma direta ou indireta:
(a)Detenham uma participação maioritária no capital subscrito da empresa;
(b)Disponham da maioria dos votos correspondentes às ações emitidas pela empresa;
(c)Possam designar mais de metade dos membros do órgão de administração, direção ou fiscalização da empresa.
(14)«Ambiente de tratamento seguro», o ambiente físico ou virtual e os meios organizacionais para proporcionar a possibilidade de reutilização de dados de uma forma que permita ao operador do ambiente de tratamento seguro determinar e supervisionar todas as ações de tratamento de dados, incluindo a visualização, o armazenamento, o descarregamento e a exportação de dados, bem como o cálculo de dados derivados, através de algoritmos computacionais;
(15)«Representante», qualquer pessoa singular ou coletiva estabelecida na União expressamente designada para agir em nome de um prestador de serviços de partilha de dados, ou entidade não estabelecida na União que recolha dados para objetivos de interesse geral disponibilizados por pessoas singulares ou coletivas com base no altruísmo de dados, que pode ser contactada por uma autoridade nacional competente em vez do prestador de serviços de partilha de dados ou da entidade, no que diz respeito às obrigações desse prestador de serviços de partilha de dados ou entidade estabelecidas pelo presente regulamento.
CAPÍTULO II
Reutilização de determinadas categorias de dados protegidos na posse de organismos do setor público
Artigo 3.º
Categorias de dados
(1)O presente capítulo aplica-se aos dados na posse de organismos do setor público que sejam protegidos por motivos de:
(a)Sigilo comercial;
(b)Confidencialidade de dados estatísticos;
(c)Proteção dos direitos de propriedade intelectual de terceiros;
(d)Proteção dos dados pessoais.
(2)O presente capitulo não se aplica a:
(a)Dados na posse de empresas públicas;
(b)Dados na posse de empresas de radiodifusão de serviço público e suas filiais e de outros organismos ou suas filiais com vista ao cumprimento das suas funções de radiodifusão de serviço público;
(c)Dados na posse de instituições culturais e de estabelecimentos de ensino;
(d)Dados protegidos por razões de segurança nacional, de defesa ou de segurança pública;
(e)Dados cujo fornecimento seja uma atividade fora do âmbito das missões de serviço público dos organismos do setor público em causa, tal como definidas na lei ou noutras normas vinculativas do Estado-Membro em causa ou, na ausência de tais normas, tal como definidas de acordo com a prática administrativa corrente nesse Estado-Membro, desde que o âmbito das missões de serviço público seja transparente e passível de reapreciação.
(3)As disposições do presente capítulo não criam qualquer obrigação para os organismos do setor público de permitirem a reutilização de dados nem os isentam das suas obrigações de confidencialidade. O presente capítulo não prejudica o direito da União e o direito nacional nem os acordos internacionais em que a União ou os Estados-Membros sejam partes sobre a proteção das categorias de dados previstas no n.º 1. O presente capítulo não prejudica o direito da União e o direito nacional em matéria de acesso a documentos nem as obrigações dos organismos do setor público ao abrigo do direito da União e do direito nacional de permitir a reutilização de dados.
Artigo 4.º
Proibição de acordos exclusivos
(1)São proibidos os acordos ou outras práticas relativas à reutilização de dados na posse de organismos do setor público que contenham categorias de dados referidas no artigo 3.º, n.º 1, que concedam direitos exclusivos ou tenham por objeto ou efeito conceder esses direitos exclusivos ou restringir a disponibilidade dos dados para reutilização por entidades que não sejam partes nesses acordos ou outras práticas.
(2)Em derrogação do n.º 1, um direito exclusivo de reutilização de dados referido nesse número pode ser concedido na medida do necessário para a prestação de um serviço ou fornecimento de um produto que se revistam de interesse geral.
(3)Esse direito exclusivo é concedido no contexto de um contrato de prestação de serviços ou de concessão pertinente, em conformidade com as regras nacionais e da União aplicáveis em matéria de adjudicação de contratos públicos e de contratos de concessão, ou, no caso de contratos de valor inferior ao limiar de aplicação das regras nacionais ou da União em matéria de adjudicação de contratos públicos e de contratos de concessão, em conformidade com os princípios da transparência, da igualdade de tratamento e da não discriminação em razão da nacionalidade.
(4)Em todos os casos não abrangidos pelo n.º 3 e sempre que o objetivo de interesse geral não possa ser alcançado sem a concessão de um direito exclusivo, são aplicáveis os princípios da transparência, da igualdade de tratamento e da não discriminação em razão da nacionalidade.
(5)O período de exclusividade do direito de reutilização de dados não pode exceder três anos. Em caso de celebração de um contrato, a duração do contrato adjudicado deve estar em consonância com o período de exclusividade.
(6)A adjudicação de um direito exclusivo nos termos dos n.os 2 a 5, incluindo as razões pelas quais é necessário conceder esse direito, deve ser transparente e publicada na Internet, independentemente da eventual publicação da adjudicação de um contrato público e de um contrato de concessão.
(7)Os acordos ou outras práticas abrangidos pela proibição prevista no n.º 1, que não satisfaçam as condições estabelecidas no n.º 2 e que tenham sido celebrados antes da data de entrada em vigor do presente regulamento, expiram no termo do contrato e, em qualquer caso, no prazo máximo de três anos a contar da data de entrada em vigor do presente regulamento.
Artigo 5.º
Condições de reutilização
(1)Os organismos do setor público competentes, nos termos do direito nacional, para conceder ou recusar o acesso à reutilização de uma ou mais categorias de dados referidas no artigo 3.º, n.º 1, devem tornar públicas as condições de autorização dessa reutilização. Para o efeito, podem ser assistidos pelos organismos competentes a que se refere o artigo 7.º, n.º 1.
(2)As condições de reutilização devem ser não discriminatórias, proporcionadas e objetivamente justificadas no que respeita às categorias de dados, às finalidades de reutilização e à natureza dos dados cuja reutilização é autorizada. Estas condições não podem ser utilizadas para restringir a concorrência.
(3)Os organismos do setor público podem impor a obrigação de serem reutilizados apenas dados pré-tratados caso esse pré-tratamento se destine a anonimizar ou pseudonimizar dados pessoais ou a apagar informações comerciais confidenciais, incluindo segredos comerciais.
(4)Os organismos do setor público podem impor obrigações:
(a)De acesso e reutilização dos dados num ambiente de tratamento seguro disponibilizado e controlado pelo setor público;
(b)De acesso e reutilização dos dados nas instalações físicas onde está localizado o ambiente de tratamento seguro, se o acesso remoto não puder ser autorizado sem comprometer os direitos e interesses de terceiros.
(5)Os organismos do setor público devem impor condições que preservem a integridade do funcionamento dos sistemas técnicos do ambiente de tratamento seguro utilizado. O organismo do setor público deve poder verificar quaisquer resultados do tratamento de dados efetuado pelo reutilizador e reserva-se o direito de proibir a utilização de resultados que contenham informações que comprometam os direitos e interesses de terceiros.
(6)Caso a reutilização de dados não possa ser concedida em conformidade com as obrigações estabelecidas nos n.os 3 a 5 e não exista outra base jurídica para a transmissão de dados ao abrigo do Regulamento (UE) 2016/679, o organismo do setor público deve ajudar os reutilizadores a obter o consentimento dos titulares dos dados e/ou da autorização das entidades jurídicas cujos direitos e interesses possam ser afetados por essa reutilização, sempre que tal seja viável sem custos desproporcionados para o setor público. Para o efeito, podem ser assistidos pelos organismos competentes a que se refere o artigo 7.º, n.º 1.
(7)A reutilização de dados só é permitida em conformidade com os direitos de propriedade intelectual. O direito do fabricante de uma base de dados previsto no artigo 7.º, n.º 1, da Diretiva 96/9/CE não pode ser exercido por organismos do setor público com o intuito de impedir a reutilização de dados ou de a restringir para além dos limites estabelecidos no presente regulamento.
(8)Quando os dados solicitados forem considerados confidenciais, em conformidade com a legislação da União ou nacional em matéria de sigilo comercial, os organismos do setor público devem assegurar que as informações confidenciais não sejam divulgadas em resultado da reutilização.
(9)A Comissão pode adotar atos de execução que declarem que o enquadramento legal, de supervisão e de execução de um país terceiro:
(a)Assegura a proteção da propriedade intelectual e do segredo comercial de uma forma essencialmente equivalente à proteção garantida pelo direito da União;
(b)Está a ser efetivamente aplicado e executado; e
(c)Proporciona vias de recurso judicial efetivo.
Os referidos atos de execução são adotados pelo procedimento consultivo a que se refere o artigo 29.º, n.º 2.
(10)Os organismos do setor público só podem transmitir dados confidenciais ou dados protegidos por direitos de propriedade intelectual a um reutilizador que tencione transferir os dados para um país terceiro que não seja um país designado em conformidade com o n.º 9 na condição de o reutilizador se comprometer a:
(a)Cumprir as obrigações impostas nos termos dos n.os 7 a 8, mesmo após a transferência dos dados para o país terceiro; e
(b)Aceitar a jurisdição dos tribunais do Estado-Membro do organismo do setor público para a resolução de eventuais litígios relacionados com o cumprimento da obrigação prevista na alínea a).
(11)Caso atos específicos da União adotados de acordo com um processo legislativo estabeleçam que determinadas categorias de dados não pessoais detidos por organismos do setor público são consideradas altamente sensíveis para efeitos do presente artigo, a Comissão fica habilitada a adotar atos delegados nos termos do artigo 28.º, a fim de completar o presente regulamento estabelecendo condições especiais aplicáveis às transferências para países terceiros. As condições da transferência para países terceiros devem ter em conta a natureza das categorias de dados identificadas no ato da União e os motivos para considerar os dados altamente sensíveis, bem como os riscos de reidentificação de dados anonimizados para os respetivos titulares, em conformidade com as obrigações internacionais da União, bem como ser não discriminatórias e limitadas ao necessário para alcançar os objetivos de política pública identificados no ato legislativo da União, como a segurança e a saúde pública. Podem incluir condições aplicáveis à transferência ou disposições técnicas a este respeito, limitações no que diz respeito à reutilização de dados em países terceiros ou categorias de pessoas autorizadas a transferir esses dados para países terceiros ou, em casos excecionais, restrições relativas às transferências para países terceiros.
(12)A pessoa singular ou coletiva a quem for concedido o direito de reutilização de dados não pessoais só pode transferir os dados para os países terceiros que cumpram os requisitos previstos nos n.os 9 a 11.
(13)Caso o reutilizador pretenda transferir dados não pessoais para um país terceiro, o organismo do setor público deve informar o detentor dos dados sobre essa transferência.
Artigo 6.º
Taxas
(1)Os organismos do setor público que permitem a reutilização das categorias de dados referidas no artigo 3.º, n.º 1, podem cobrar taxas pela autorização da reutilização desses dados.
(2)As taxas devem ser não discriminatórias, proporcionadas e objetivamente justificadas e não podem restringir a concorrência.
(3)Os organismos do setor público devem assegurar a possibilidade de pagamento de quaisquer das taxas em linha através de serviços de pagamento transfronteiras amplamente acessíveis, sem discriminação em função do local de estabelecimento do prestador do serviço de pagamento, do local de emissão do instrumento de pagamento ou da localização da conta de pagamento na União.
(4)Sempre que apliquem taxas, os organismos do setor público devem tomar medidas para incentivar a reutilização das categorias de dados referidas no artigo 3.º, n.º 1, para fins não comerciais e por pequenas e médias empresas, em conformidade com as regras em matéria de auxílios estatais.
(5)As taxas são calculadas a partir dos custos relacionados com o tratamento dos pedidos de reutilização das categorias de dados referidas no artigo 3.º, n.º 1. A metodologia de cálculo das taxas deve ser previamente publicada.
(6)O organismo do setor público deve publicar uma descrição das principais categorias de custos e das regras utilizadas para a respetiva imputação.
Artigo 7.º
Organismos competentes
(1)Os Estados-Membros designam um ou mais organismos competentes, que podem ser setoriais, para apoiar os organismos do setor público que concedem acesso à reutilização das categorias de dados a que se refere o artigo 3.º, n.º 1, no exercício dessa função.
(2)O apoio previsto no n.º 1 inclui, se necessário:
(a)Apoio técnico, através da disponibilização de um ambiente de tratamento seguro para permitir o acesso à reutilização de dados;
(b)Apoio na aplicação de técnicas comprovadas que garantam o tratamento das informações contidas nos dados cuja reutilização é permitida de forma a preservar a privacidade, incluindo técnicas de pseudonimização, anonimização, generalização, supressão e aleatorização de dados pessoais;
(c)Prestação de assistência, se for caso disso, aos organismos do setor público, na obtenção do consentimento ou da autorização para a reutilização de dados, para fins altruístas ou outros, em consonância com decisões específicas dos respetivos detentores, incluindo no que respeita à jurisdição ou jurisdições em que o tratamento de dados se destina a ser realizado;
(d)Prestação de assistência aos organismos do setor público no que respeita à adequação dos compromissos assumidos por um reutilizador, nos termos do artigo 5.º, n.º 10.
(3)Pode igualmente ser confiada aos organismos competentes a concessão de acesso para a reutilização das categorias de dados referidas no artigo 3.º, n.º 1, nos termos do direito da União ou do direito nacional que prevê esse acesso. São aplicáveis a esses organismos competentes, no exercício da sua função de conceder ou recusar o acesso para reutilização, os artigos 4.º, 5.º e 6.º e o artigo 8.º, n.º 3.
(4)O organismo ou organismos competentes devem dispor das capacidades e dos conhecimentos técnicos e jurídicos adequados para poderem cumprir a legislação da União ou nacional pertinente relativa aos regimes de acesso para as categorias de dados referidas no artigo 3.º, n.º 1.
(5)Os Estados-Membros comunicam à Comissão a designação dos organismos competentes nos termos do n.º 1 até [data de aplicação do presente regulamento]. Devem igualmente comunicar à Comissão qualquer alteração posterior da identidade desses organismos.
Artigo 8.º
Ponto de informação único
(1)Cabe aos Estados-Membros assegurar que todas as informações relativas à aplicação dos artigos 5.º e 6.º estejam disponíveis através de um ponto de informação único.
(2)O ponto de informação único recebe os pedidos de reutilização das categorias de dados referidas no artigo 3.º, n.º 1, e transmite-os aos organismos do setor público competentes ou, se for caso disso, aos organismos competentes referidos no artigo 7.º, n.º 1. O ponto de informação único disponibiliza, por via eletrónica, um registo dos recursos de dados disponíveis com informações relevantes que descrevam a natureza desses dados.
(3)Os pedidos de reutilização das categorias de dados referidas no artigo 3.º, n.º 1, devem ser deferidos ou recusados pelos organismos do setor público competentes ou pelos organismos competentes referidos no artigo 7.º, n.º 1, num prazo razoável e, em qualquer caso, no prazo de dois meses a contar da data do pedido.
(4)Qualquer pessoa singular ou coletiva afetada por uma decisão de um organismo do setor público ou de um organismo competente, consoante o caso, tem o direito de recurso judicial contra essa decisão perante os tribunais do Estado-Membro em que o organismo em questão está situado.
CAPÍTULO III
Requisitos aplicáveis aos serviços de partilha de dados
Artigo 9.º
Prestadores de serviços de partilha de dados
(1)Deve ser sujeita a um procedimento de notificação a prestação dos seguintes serviços de partilha de dados:
(a)Serviços de intermediação entre detentores de dados que são pessoas coletivas e potenciais utilizadores de dados, nomeadamente através da disponibilização de meios técnicos ou outros que permitam esses serviços; podem incluir intercâmbios bilaterais ou multilaterais de dados ou a criação de plataformas ou de bases de dados que permitam o intercâmbio ou a exploração conjunta de dados, bem como a criação de uma infraestrutura específica para a interligação entre detentores e utilizadores de dados;
(b)Serviços de intermediação entre titulares de dados que procuram disponibilizar os seus dados pessoais e potenciais utilizadores de dados, nomeadamente através da disponibilização de meios técnicos ou outros que permitam esses serviços, no exercício dos direitos previstos no Regulamento (UE) 2016/679;
(c)Serviços de cooperativas de dados, ou seja, serviços que ajudam titulares de dados ou empresas unipessoais, micro, pequenas e médias empresas (que sejam membros da cooperativa ou lhe confiram poderes para negociar os termos e condições do tratamento de dados antes de darem o seu consentimento) a fazerem escolhas informadas antes de darem o seu consentimento; proporcionam mecanismos de debate sobre as finalidades e as condições de tratamento de dados que melhor representam os interesses dos titulares de dados ou das pessoas coletivas.
(2)O presente capítulo não prejudica a aplicação de outra legislação nacional e da União aos prestadores de serviços de partilha de dados, nomeadamente os poderes das autoridades de controlo para assegurar o cumprimento da legislação aplicável, em especial no que diz respeito à proteção dos dados pessoais e ao direito da concorrência.
Artigo 10.º
Notificação dos prestadores de serviços de partilha de dados
(1)Qualquer prestador de serviços de partilha de dados que tencione prestar os serviços referidos no artigo 9.º, n.º 1, deve enviar uma notificação à autoridade competente referida no artigo 12.º.
(2)Para efeitos do presente regulamento, considera-se que um prestador de serviços de partilha de dados com estabelecimentos em mais do que um Estado-Membro se encontra sob a jurisdição do Estado-Membro em que tem o seu estabelecimento principal.
(3)Um prestador de serviços de partilha de dados que não esteja estabelecido na União, mas que preste os serviços referidos no artigo 9.º, n.º 1, na União, deve nomear um representante legal num dos Estados-Membros em que esses serviços são prestados. Considera-se que o prestador está sob a jurisdição do Estado-Membro em que o representante está estabelecido.
(4)Após a notificação, o prestador de serviços de partilha de dados pode iniciar a atividade sob reserva das condições estabelecidas no presente capítulo.
(5)A notificação confere ao prestador o direito de prestar serviços de partilha de dados em todos os Estados-Membros.
(6)A notificação deve incluir as seguintes informações:
(a)A designação do prestador de serviços de partilha de dados;
(b)O estatuto jurídico do prestador, forma legal e número de registo, caso esteja inscrito numa conservatória de registo comercial ou noutro registo público semelhante;
(c)O endereço do estabelecimento principal do prestador na União, se existir, e, se aplicável, de qualquer sucursal secundária noutro Estado-Membro ou do representante legal designado nos termos do n.º 3;
(d)Um sítio Web onde se encontrem informações sobre o prestador e as suas atividades, se for caso disso;
(e)As pessoas de contacto e os dados de contacto do prestador;
(f)Uma descrição do serviço que tenciona prestar;
(g)A data provável do início da atividade;
(h)Os Estados-Membros em que pretende prestar serviços.
(7)A pedido do prestador, a autoridade competente deve emitir, no prazo de uma semana, uma declaração normalizada que confirme que este apresentou a notificação a que se refere o n.º 4.
(8)A autoridade competente deve transmitir sem demora, por via eletrónica, cada notificação às autoridades nacionais competentes dos Estados-Membros.
(9)A autoridade competente deve informar a Comissão de cada nova notificação. A Comissão deve manter um registo dos prestadores de serviços de partilha de dados.
(10)As autoridades competentes podem cobrar taxas, que devem ser proporcionadas e objetivas e basear-se nos custos administrativos para as referidas autoridades do acompanhamento do cumprimento e de outras atividades de controlo do mercado relacionadas com as notificações de serviços de partilha de dados.
(11)Caso um prestador de serviços de partilha de dados cesse as suas atividades, deve notificar a autoridade competente, determinada nos termos dos n.os 1, 2 e 3, no prazo de 15 dias. A autoridade competente deve enviar sem demora, por via eletrónica, cada uma dessas notificações às autoridades nacionais competentes dos Estados-Membros e à Comissão.
Artigo 11.º
Condições de prestação de serviços de partilha de dados
A prestação dos serviços de partilha de dados referidos no artigo 9.º, n.º 1, está sujeita às seguintes condições:
(1)O prestador de serviços de partilha de dados não pode utilizar os dados para outros fins que não colocá-los à disposição dos utilizadores e os serviços de partilha de dados devem ser prestados por uma entidade jurídica distinta;
(2)Os metadados recolhidos a partir da prestação do serviço de partilha de dados só podem ser utilizados para o desenvolvimento desse serviço;
(3)O prestador deve assegurar que o procedimento de acesso ao seu serviço é justo, transparente e não discriminatório, tanto para os detentores como para os utilizadores de dados, nomeadamente no que diz respeito aos preços;
(4)O prestador deve facilitar o intercâmbio de dados no formato em que os recebe do detentor dos dados e só os converter em formatos específicos para reforçar a interoperabilidade intra e intersetorial, ou se tal for solicitado pelo utilizador de dados, ou quando exigido pelo direito da União, ou para assegurar a harmonização com as normas internacionais ou europeias em matéria de dados;
(5)O prestador deve dispor de procedimentos para prevenir práticas fraudulentas ou abusivas de partes que procurem ter acesso aos dados através dos seus serviços;
(6)O prestador deve assegurar uma continuidade razoável da prestação dos seus serviços e, no caso dos serviços que asseguram o armazenamento de dados, deve dispor de garantias suficientes que permitam aos detentores e aos utilizadores de dados aceder aos mesmos em caso de insolvência;
(7)O prestador deve adotar medidas técnicas, jurídicas e organizativas adequadas para impedir a transferência ou o acesso a dados não pessoais que sejam ilegais nos termos do direito da União;
(8)O prestador deve tomar medidas para garantir um elevado nível de segurança do armazenamento e da transmissão de dados não pessoais;
(9)O prestador deve dispor de procedimentos para assegurar o cumprimento das regras de concorrência nacionais e da União;
(10)O prestador de serviços a titulares de dados deve agir no interesse dos mesmos ao facilitar o exercício dos seus direitos, em especial aconselhando-os sobre as potenciais utilizações dos dados e as condições gerais associadas a essas utilizações;
(11)Caso um prestador faculte instrumentos para obter o consentimento de titulares de dados ou a autorização para o tratamento de dados disponibilizados por pessoas coletivas, deve especificar a jurisdição ou jurisdições em que a utilização dos dados se destina a ser efetuada.
Artigo 12.º
Autoridades competentes
(1)Cada Estado-Membro deve designar no seu território uma ou mais autoridades competentes para desempenhar as funções relacionadas com o quadro de notificação e deve comunicar à Comissão a designação dessas autoridades até [data de aplicação do presente regulamento]. Quaisquer alterações posteriores devem também ser comunicadas à Comissão pelos Estados-Membros.
(2)As autoridades competentes designadas devem cumprir o disposto no artigo 23.º.
(3)As autoridades competentes designadas, as autoridades de proteção de dados, as autoridades nacionais da concorrência, as autoridades responsáveis pela cibersegurança e outras autoridades setoriais relevantes devem proceder ao intercâmbio das informações necessárias ao exercício das suas funções em relação aos prestadores de serviços de partilha de dados.
Artigo 13.º
Controlo de conformidade
(1)Cabe à autoridade competente acompanhar e supervisionar o cumprimento do disposto no presente capítulo.
(2)A autoridade competente tem poderes para solicitar aos prestadores de serviços de partilha de dados todas as informações necessárias para verificar a sua conformidade com os requisitos estabelecidos nos artigos 10.º e 11.º. Os pedidos de informações devem ser proporcionais ao desempenho da função a que se destinam e devem ser fundamentados.
(3)Caso a autoridade competente verifique que um prestador de serviços de partilha de dados não cumpre um ou mais dos requisitos estabelecidos no artigo 10.º ou 11.º, deve notificar o prestador desse facto e dar-lhe a oportunidade de exprimir os seus pontos de vista, num prazo razoável.
(4)A autoridade competente tem poderes para exigir a cessação do incumprimento a que se refere o n.º 3 imediatamente ou num prazo razoável e deve tomar medidas adequadas e proporcionais destinadas a garantir o cumprimento. A este respeito, as autoridades competentes podem, se for caso disso:
(a)Impor sanções pecuniárias dissuasivas, que podem incluir sanções compulsórias com efeitos retroativos;
(b)Exigir a cessação ou adiamento da prestação do serviço de partilha de dados.
(5)As autoridades competentes devem comunicar sem demora as medidas impostas nos termos do n.º 4 e os respetivos fundamentos à entidade em causa, devendo fixar um prazo razoável para que a entidade dê cumprimento às medidas.
(6)Caso um prestador de serviços de partilha de dados tenha o seu estabelecimento principal ou esteja representado num Estado-Membro mas preste serviços noutros Estados-Membros, a autoridade competente do Estado-Membro do estabelecimento principal ou do representante legal e as autoridades competentes desses outros Estados-Membros devem cooperar entre si e prestar-se assistência mútua. Essa assistência e cooperação podem abranger o intercâmbio de informações entre as autoridades competentes em causa e os pedidos para que as medidas a que se refere o presente artigo sejam tomadas.
Artigo 14.º
Exceções
O presente capítulo não se aplica às entidades sem fins lucrativos cuja atividade consista unicamente na recolha de dados com objetivos de interesse geral, disponibilizados por pessoas singulares ou coletivas com base no altruísmo de dados.
CAPÍTULO IV
Altruísmo de dados
Artigo 15.º
Registo das organizações de altruísmo de dados reconhecidas
(1)Cada autoridade competente designada nos termos do artigo 20.º deve manter um registo das organizações de altruísmo de dados reconhecidas.
(2)A Comissão deve manter um registo da União das organizações de altruísmo de dados reconhecidas.
(3)Qualquer entidade inscrita no registo em conformidade com o artigo 16.º pode referir-se a si própria como «Organização de altruísmo de dados reconhecida na União» na sua comunicação oral e escrita.
Artigo 16.º
Requisitos gerais aplicáveis ao registo
Para poder ser registada, a organização de altruísmo de dados deve:
(a)Ser uma entidade jurídica constituída para alcançar objetivos de interesse geral;
(b)Não ter fins lucrativos e ser independente de qualquer entidade com fins lucrativos;
(c)Realizar as atividades relacionadas com o altruísmo de dados por meio de uma estrutura juridicamente independente, distinta da de outras atividades que tenha realizado.
Artigo 17.º
Registo
(1)Qualquer entidade que preencha os requisitos do artigo 16.º pode solicitar a sua inscrição no registo das organizações de altruísmo de dados reconhecidas a que se refere o artigo 15.º, n.º 1.
(2)Para efeitos do presente regulamento, o registo de uma entidade que realize atividades no âmbito do altruísmo de dados estabelecida em mais do que um Estado-Membro deve ser feito no Estado-Membro em que a entidade tem o seu estabelecimento principal.
(3)Uma entidade que não esteja estabelecida na União, mas que cumpra os requisitos previstos no artigo 16.º, deve nomear um representante legal num dos Estados-Membros onde tenciona recolher dados no âmbito do altruísmo de dados. Para efeitos do cumprimento do presente regulamento, considera-se que essa entidade se encontra sob a jurisdição do Estado-Membro em que o respetivo representante legal está situado.
(4)Os pedidos de registo devem conter as seguintes informações:
(a)A designação da entidade;
(b)O estatuto jurídico, forma legal e número de registo da entidade, caso esteja inscrita num registo público;
(c)Os estatutos da entidade, se for caso disso;
(d)As principais fontes de receitas da entidade;
(e)O endereço do estabelecimento principal da entidade na União, se existir, e, se aplicável, de qualquer sucursal secundária noutro Estado-Membro ou do representante legal designado nos termos do n.º 3;
(f)Um sítio Web onde se encontrem informações sobre a entidade e as suas atividades;
(g)As pessoas de contacto e os dados de contacto da entidade;
(h)Os objetivos de interesse geral que pretende promover através da recolha de dados;
(i)Quaisquer outros documentos que demonstrem o cumprimento dos requisitos do artigo 16.º.
(5)Caso a entidade tenha apresentado todas as informações necessárias nos termos do n.º 4 e a autoridade competente considere que a entidade cumpre os requisitos do artigo 16.º, deve inscrevê-la no registo das organizações de altruísmo de dados reconhecidas no prazo de doze semanas a contar da data do pedido. O registo é válido em todos os Estados-Membros. Todos os registos devem ser comunicados à Comissão, para inclusão no registo da União das organizações de altruísmo de dados reconhecidas.
(6)As informações referidas no n.º 4, alíneas a), b), f), g) e h), devem ser publicadas no registo nacional das organizações de altruísmo de dados reconhecidas.
(7)Todas as entidades inscritas no registo das organizações de altruísmo de dados reconhecidas devem comunicar à autoridade competente quaisquer alterações das informações prestadas nos termos do n.º 4, no prazo de 14 dias de calendário a contar da data em que a alteração ocorrer.
Artigo 18.º
Requisitos de transparência
(1)Qualquer entidade inscrita no registo nacional de organizações de altruísmo de dados reconhecidas deve manter registos completos e exatos sobre:
(a)Todas as pessoas singulares ou coletivas às quais tenha sido facultada a possibilidade de tratamento de dados na posse dessa entidade;
(b)A data ou a duração desse tratamento;
(c)A finalidade desse tratamento, tal como declarada pela pessoa singular ou coletiva à qual foi facultada a possibilidade de tratamento;
(d)As taxas pagas pelas pessoas singulares ou coletivas que realizam o tratamento de dados, se for caso disso.
(2)Qualquer entidade inscrita no registo nacional de organizações de altruísmo de dados reconhecidas deve elaborar e transmitir à autoridade nacional competente um relatório anual de atividades que contenha, pelo menos, os seguintes elementos:
(a)Informações sobre as atividades da entidade;
(b)Uma descrição da forma como foram promovidos, durante o exercício financeiro em causa, os objetivos de interesse geral para os quais os dados foram recolhidos;
(c)Uma lista de todas as pessoas singulares e coletivas autorizadas a utilizar os dados na sua posse, incluindo uma descrição sumária dos objetivos de interesse geral dessa utilização e a descrição dos meios técnicos utilizados para o efeito, nomeadamente das técnicas utilizadas para preservar a privacidade e a proteção dos dados;
(d)Um resumo dos resultados das utilizações de dados autorizadas pela entidade, se aplicável;
(e)Informações sobre as fontes de receitas, nomeadamente todas as receitas resultantes da autorização de acesso aos dados, e sobre as despesas da entidade.
Artigo 19.º
Requisitos específicos para salvaguardar os direitos e interesses dos titulares de dados e das entidades jurídicas no que respeita aos seus dados
(1)Qualquer entidade inscrita no registo de organizações de altruísmo de dados reconhecidas deve informar os detentores de dados:
(a)Sobre os objetivos de interesse geral que justificam autorizar o tratamento dos seus dados por um utilizador, de uma forma facilmente compreensível;
(b)Sobre qualquer tratamento fora da União.
(2)A entidade deve também assegurar que os dados não são utilizados para outros fins que não os objetivos de interesse geral para que o tratamento foi autorizado.
(3)Caso uma entidade inscrita no registo de organizações de altruísmo de dados reconhecidas faculte instrumentos para obter o consentimento dos titulares dos dados ou a autorização para o tratamento de dados disponibilizados por pessoas coletivas, deve especificar a jurisdição ou jurisdições em que a utilização dos dados se destina a ser efetuada.
Artigo 20.º
Autoridades competentes responsáveis pelo registo
(1)Cada Estado-Membro deve designar uma ou mais autoridades competentes responsáveis pelo registo das organizações de altruísmo de dados reconhecidas e pelo controlo do cumprimento dos requisitos do presente capítulo. As autoridades competentes designadas devem cumprir os requisitos do artigo 23.º.
(2)Os Estados-Membros devem informar a Comissão da designação das autoridades competentes.
(3)A autoridade competente deve exercer as suas funções em cooperação com a autoridade de proteção de dados, sempre que essas funções estejam relacionadas com o tratamento de dados pessoais, e com organismos setoriais relevantes do mesmo Estado-Membro. Em relação a qualquer questão que exija uma avaliação da conformidade com o Regulamento (UE) 2016/679, a autoridade competente deve, em primeiro lugar, solicitar um parecer ou uma decisão à autoridade de controlo competente criada nos termos desse regulamento e dar cumprimento a esse parecer ou decisão.
Artigo 21.º
Controlo de conformidade
(1)Cabe à autoridade competente acompanhar e supervisionar o cumprimento, por parte das entidades inscritas no registo das organizações de altruísmo de dados reconhecidas, das condições estabelecidas no presente capítulo.
(2)A autoridade competente tem poderes para solicitar, às entidades inscritas no registo das organizações de altruísmo de dados reconhecidas, informações que sejam necessárias para verificar a sua conformidade com o disposto no presente capítulo. Os pedidos de informações devem ser proporcionais ao desempenho da função a que se destinam e devem ser fundamentados.
(3)Caso a autoridade competente verifique que uma entidade não cumpre um ou mais dos requisitos estabelecidos no presente capítulo, deve notificar a entidade desse facto e dar-lhe a oportunidade de exprimir os seus pontos de vista, num prazo razoável.
(4)A autoridade competente tem poderes para exigir a cessação do incumprimento a que se refere o n.º 3 imediatamente ou num prazo razoável e deve tomar medidas adequadas e proporcionais destinadas a garantir o cumprimento.
(5)Caso não cumpra um ou mais requisitos do presente capítulo mesmo depois de ter sido notificada nos termos do n.º 3 pela autoridade competente, a entidade:
(a)Perde o direito de se referir a si própria como «Organização de altruísmo de dados reconhecida na União» em qualquer comunicação oral ou escrita;
(b)É excluída do registo das organizações de altruísmo de dados reconhecidas.
(6)Caso uma entidade inscrita no registo das organizações de altruísmo de dados reconhecidas tenha o seu estabelecimento principal ou esteja representada num Estado-Membro, mas realize atividades noutros Estados-Membros, a autoridade competente do Estado-Membro do estabelecimento principal ou do representante legal e as autoridades competentes desses outros Estados-Membros devem cooperar entre si e prestar-se assistência mútua, na medida do necessário. Essa assistência e cooperação podem abranger o intercâmbio de informações entre as autoridades competentes em causa e os pedidos para que as medidas de supervisão a que se refere o presente artigo sejam tomadas.
Artigo 22.º
Formulário europeu de consentimento para cedência altruísta de dados
(1)A fim de facilitar a recolha de dados no âmbito do altruísmo de dados, a Comissão pode adotar atos de execução que desenvolvam um formulário europeu de consentimento para cedência altruísta de dados. O formulário deve permitir a obtenção do consentimento em todos os Estados-Membros, num formato uniforme. Os referidos atos de execução são adotados pelo procedimento consultivo a que se refere o artigo 29.º, n.º 2.
(2)O formulário europeu de consentimento para cedência altruísta de dados deve seguir uma abordagem modular que permita a sua adaptação a setores específicos e a diferentes fins.
(3)Caso sejam transmitidos dados pessoais, o formulário europeu de consentimento para cedência altruísta de dados deve assegurar que os titulares dos dados possam dar e retirar o seu consentimento relativamente a uma operação específica de tratamento de dados, em conformidade com os requisitos do Regulamento (UE) 2016/679.
(4)O formulário deve estar disponível de forma a poder ser impresso em papel e lido por pessoas, bem como em formato eletrónico, destinado a leitura ótica.
CAPÍTULO V
Autoridades competentes e disposições processuais
Artigo 23.º
Requisitos aplicáveis às autoridades competentes
(1)As autoridades competentes designadas nos termos do artigo 12.º e do artigo 20.º devem ser juridicamente distintas e funcionalmente independentes de qualquer prestador de serviços de partilha de dados ou entidade incluída no registo das organizações de altruísmo de dados reconhecidas.
(2)As autoridades competentes devem exercer as suas funções de forma imparcial, transparente, coerente, fiável e atempada.
(3)Os quadros superiores e o pessoal responsável pela execução das tarefas pertinentes da autoridade competente previstas no presente regulamento não podem ser o projetista, o fabricante, o fornecedor, o instalador, o comprador, o proprietário, o utilizador ou o responsável pela manutenção dos serviços que avaliam, nem o mandatário ou representante de qualquer uma dessas partes. Esta exigência não obsta à utilização de serviços avaliados que sejam necessários às atividades da autoridade competente, nem à utilização desses serviços para fins pessoais.
(4)Os quadros superiores e o pessoal não podem exercer qualquer atividade suscetível de comprometer a independência das suas apreciações ou a sua integridade em relação às atividades de avaliação que lhes são confiadas.
(5)As autoridades competentes devem dispor dos recursos humanos e financeiros adequados para desempenhar as funções que lhes são atribuídas, incluindo os recursos e conhecimentos técnicos necessários.
(6)As autoridades competentes de um Estado-Membro devem fornecer à Comissão e às autoridades competentes de outros Estados-Membros, mediante pedido fundamentado, as informações necessárias para executarem as tarefas que lhes incumbem por força do presente regulamento. Caso uma autoridade nacional competente considere que as informações solicitadas são confidenciais nos termos da regulamentação nacional e da União em matéria de sigilo comercial e profissional, a Comissão e quaisquer outras autoridades competentes interessadas devem assegurar essa confidencialidade.
Artigo 24.º
Direito de reclamação
(1)As pessoas singulares e coletivas têm o direito de apresentar uma reclamação à autoridade nacional competente contra um prestador de serviços de partilha de dados ou uma entidade inscrita no registo das organizações de altruísmo de dados reconhecidas.
(2)A autoridade que recebe a reclamação deve informar o seu autor do andamento e do resultado da mesma, devendo também informá-lo do direito de recurso judicial previsto no artigo 25.º.
Artigo 25.º
Direito de recurso judicial
(1)Não obstante quaisquer recursos administrativos ou outras vias extrajudiciais, toda e qualquer pessoa singular ou coletiva afetada tem direito de recurso judicial no que respeita a:
(a)Qualquer omissão de dar seguimento a uma reclamação apresentada à autoridade competente referida nos artigos 12.º e 20.º;
(b)Decisões das autoridades competentes a que se referem os artigos 13.º, 17.º e 21.º, tomadas no âmbito da gestão, controlo e execução do regime de notificação aplicável aos prestadores de serviços de partilha de dados e da monitorização de entidades inscritas no registo das organizações de altruísmo de dados reconhecidas.
(2)As ações judiciais ao abrigo do presente artigo são interpostas perante os tribunais do Estado-Membro onde está situada a autoridade contra a qual a ação judicial é intentada.
CAPÍTULO VI
Conselho Europeu da Inovação de Dados
Artigo 26.º
Conselho Europeu da Inovação de Dados
(1)A Comissão deve criar um Conselho Europeu da Inovação de Dados (a seguir designado por «Conselho») sob a forma de um grupo de peritos, composto por representantes das autoridades competentes de todos os Estados-Membros, do Comité Europeu para a Proteção de Dados, da Comissão, dos espaços de dados relevantes e de outros representantes das autoridades competentes em setores específicos.
(2)Podem ser convidados a assistir às reuniões do Conselho e a participar nos seus trabalhos as partes e os terceiros interessados relevantes.
(3)A Comissão preside às reuniões do Conselho.
(4)O Conselho é assistido por um secretariado disponibilizado pela Comissão.
Artigo 27.º
Atribuições do Conselho
Compete ao Conselho:
(a)Aconselhar e assistir a Comissão no desenvolvimento de uma prática coerente dos organismos do setor público e dos organismos competentes referidos no artigo 7.º, n.º 1, que tratem os pedidos de reutilização das categorias de dados referidas no artigo 3.º, n.º 1;
(b)Aconselhar e assistir a Comissão no desenvolvimento de uma prática coerente das autoridades competentes na aplicação dos requisitos impostos aos prestadores de serviços de partilha de dados;
(c)Aconselhar a Comissão sobre a definição de prioridades em matéria de normas intersetoriais a usar e a elaborar para a utilização e a partilha intersetorial de dados, a comparação intersetorial e o intercâmbio de boas práticas no que diz respeito aos requisitos de segurança setoriais e aos procedimentos de acesso, tendo simultaneamente em conta as atividades de normalização setoriais;
(d)Assistir a Comissão no reforço da interoperabilidade dos dados e dos serviços de partilha de dados entre diferentes setores e domínios, com base nas normas europeias, internacionais ou nacionais existentes;
(e)Facilitar a cooperação entre as autoridades nacionais competentes ao abrigo do presente regulamento, através do reforço das capacidades e do intercâmbio de informações, nomeadamente estabelecendo métodos para o intercâmbio eficiente de informações relativas ao procedimento de notificação dos prestadores de serviços de partilha de dados e ao registo e controlo das organizações de altruísmo de dados reconhecidas.
CAPÍTULO VII
Delegação e procedimento de comité
Artigo 28.º
Exercício da delegação
(1)O poder de adotar atos delegados é conferido à Comissão nas condições estabelecidas no presente artigo.
(2)O poder de adotar atos delegados referido no artigo 5.º, n.º 11, é conferido à Comissão por tempo indeterminado a contar de […].
(3)A delegação de poderes referida no artigo 5.º, n.º 11, pode ser revogada em qualquer momento pelo Parlamento Europeu ou pelo Conselho. A decisão de revogação põe termo à delegação dos poderes nela especificados. A decisão de revogação produz efeitos a partir do dia seguinte ao da sua publicação no Jornal Oficial da União Europeia ou de uma data posterior nela especificada. A decisão de revogação não afeta os atos delegados já em vigor.
(4)Antes de adotar um ato delegado, a Comissão consulta os peritos designados por cada Estado-Membro, de acordo com os princípios estabelecidos no Acordo Interinstitucional sobre «Legislar Melhor», de 13 de abril de 2016.
(5)Assim que adotar um ato delegado, a Comissão notifica-o simultaneamente ao Parlamento Europeu e ao Conselho.
(6)Os atos delegados adotados em aplicação do disposto no artigo 5.º, n.º 11, só entram em vigor se nem o Parlamento Europeu nem o Conselho formularem objeções no prazo de três meses a contar da notificação do ato a estas duas instituições, ou se, antes do termo desse prazo, o Parlamento Europeu e o Conselho tiverem informado a Comissão de que não formularão objeções. O referido prazo é prorrogável por três meses por iniciativa do Parlamento Europeu ou do Conselho.
Artigo 29.º
Procedimento de comité
(1)A Comissão é assistida por um comité na aceção do Regulamento (UE) n.º 182/2011.
(2)Sempre que se remeta para o presente número, aplica-se o artigo 4.º do Regulamento (UE) n.º 182/2011.
(3)Caso o parecer do comité deva ser obtido por procedimento escrito, este é encerrado sem resultados se, no prazo fixado para dar o parecer, o presidente assim o decidir ou um dos seus membros assim o requerer. Nesses casos, o presidente convoca uma reunião do comité num prazo razoável.
CAPÍTULO VIII
Disposições finais
Artigo 30.º
Acesso internacional
(1)O organismo do setor público, a pessoa singular ou coletiva a quem foi concedido o direito de reutilizar dados nos termos do capítulo 2, o prestador de serviços de partilha de dados ou a entidade inscrita no registo das organizações de altruísmo de dados reconhecidas, consoante o caso, devem tomar todas as medidas técnicas, jurídicas e organizativas razoáveis para impedir a transferência ou o acesso a dados não pessoais detidos na União, sempre que essa transferência ou acesso possa criar um conflito com o direito da União ou do Estado-Membro em causa, a menos que a transferência ou o acesso obedeçam ao estipulado nos n.os 2 ou 3.
(2)As decisões judiciais e as decisões de autoridades administrativas de um país terceiro que exijam que um organismo do setor público, uma pessoa singular ou coletiva a quem tenha sido concedido o direito de reutilizar dados nos termos do capítulo 2, um prestador de serviços ou uma entidade de partilha de dados inscrita no registo das organizações de altruísmo de dados reconhecidas, transfiram ou deem acesso a dados não pessoais abrangidos, na União, pelo presente regulamento só podem ser reconhecidas ou executadas, seja de que forma for, se tiverem como base um acordo internacional, como um acordo de auxílio judiciário mútuo, em vigor entre o país terceiro em causa e um Estado-Membro, celebrado antes de [entrada em vigor do presente regulamento].
(3)Caso uma decisão judicial ou uma decisão de uma autoridade administrativa de um país terceiro de transferir ou dar acesso a dados não pessoais detidos na União seja dirigida a um organismo do setor público, a uma pessoa singular ou coletiva à qual tenha sido concedido o direito de reutilizar dados nos termos do capítulo 2, a um prestador de serviços ou a uma entidade de partilha de dados inscrita no registo das organizações de altruísmo de dados reconhecidas e o cumprimento dessa decisão possa colocar o destinatário numa situação de incompatibilidade com o direito da União ou do Estado-Membro em causa, a transferência ou o acesso a esses dados pelo país terceiro só é permitida:
(a)Se o regime jurídico do país terceiro exigir que sejam expostos os motivos e a proporcionalidade da decisão e que a decisão judicial ou da autoridade administrativa, consoante o caso, tenha um caráter específico, através, por exemplo, do estabelecimento de uma relação suficiente com determinados suspeitos ou infrações;
(b)Se a oposição fundamentada do destinatário estiver sujeita a revisão por um tribunal competente do país terceiro; e
(c)Se, neste contexto, o tribunal competente que emite ou revê a decisão de uma autoridade administrativa estiver habilitado, nos termos do direito desse país, a ter devidamente em conta os interesses jurídicos relevantes do fornecedor dos dados protegidos pelo direito da União ou pelo direito aplicável do Estado-Membro.
O destinatário da decisão deve solicitar o parecer dos organismos ou autoridades competentes, nos termos do presente regulamento, a fim de determinar se estas condições estão preenchidas.
(4)Se estiverem preenchidas as condições previstas no n.º 2 ou no n.º 3, o organismo do setor público, a pessoa singular ou coletiva a quem foi concedido o direito de reutilizar dados nos termos do capítulo 2, o prestador de serviços de partilha de dados ou a entidade inscrita no registo das organizações de altruísmo de dados reconhecidas, consoante o caso, deve disponibilizar a quantidade mínima de dados permitida, com base numa interpretação razoável do pedido.
(5)O organismo do setor público, a pessoa singular ou coletiva a quem foi concedido o direito de reutilizar dados nos termos do capítulo 2, o prestador de serviços de partilha de dados e a entidade de altruísmo de dados devem informar o detentor dos dados da existência de um pedido de acesso aos seus dados por parte de uma autoridade administrativa de um país terceiro, exceto nos casos em que o pedido se destine a atividades de aplicação da lei e enquanto tal for necessário para preservar a sua eficácia.
Artigo 31.º
Sanções
Os Estados-Membros estabelecem as regras relativas às sanções aplicáveis em caso de violação do disposto no presente regulamento e tomam todas as medidas necessárias para garantir a sua aplicação. As sanções previstas devem ser efetivas, proporcionadas e dissuasivas. Os Estados-Membros devem notificar a Comissão dessas regras e dessas medidas até [data de aplicação do presente regulamento] e de qualquer alteração posterior das mesmas no mais breve prazo possível.
Artigo 32.º
Avaliação e revisão
Decorridos [quatro anos após a data de aplicação do presente regulamento], a Comissão deve proceder à avaliação do presente regulamento e apresentar um relatório com as principais conclusões ao Parlamento Europeu e ao Conselho, bem como ao Comité Económico e Social Europeu. Os Estados-Membros devem transmitir à Comissão as informações necessárias para a elaboração desse relatório.
Artigo 33.º
Alteração do Regulamento (UE) 2018/1724
No anexo II do Regulamento (UE) 2018/1724, é aditada a seguinte linha na rubrica «Constituição, funcionamento e encerramento de uma empresa»:
|
Constituição, funcionamento e encerramento de uma empresa |
Notificação como prestador de serviços de partilha de dados |
Confirmação da receção da notificação |
|
Registo como Organização de Altruísmo de Dados Europeia |
Confirmação do registo |
Artigo 34.º
Disposições transitórias
As entidades que prestam os serviços de partilha de dados previstos no artigo 9.º, n.º 1, à data de entrada em vigor do presente regulamento, devem cumprir o disposto no capítulo III até [data – 2 anos após a data de aplicação do regulamento].
Artigo 35.º
Entrada em vigor e aplicação
O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
O presente regulamento é aplicável a partir de [12 meses após a entrada em vigor].
O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.
Feito em Bruxelas, em
Pelo Parlamento Europeu Pelo Conselho
O Presidente O Presidente