Por Catarina Castanheira Lopes (*) 

O “Regulamento dos Dados” já se encontra a revolucionar o mercado dos dados: impõe regras de acesso, partilha, contratação e utilização dos serviços em nuvem (cloud), com o objetivo de tornar os dados gerados por produtos e serviços conectados mais transparentes, seguros e controlados.

Destinado às empresas que atuam nos Estados-Membros da União Europeia, o Regulamento (EU) 2023/2854 — também conhecido como “Regulamento dos Dados” — entrou em vigor a 12 de setembro e tem como objetivo reforçar a existência de um ecossistema digital único. A implementação destas normas pelas empresas é essencial, não só para o cumprimento dos requisitos legais, mas também para assegurar vantagem competitiva. Nesse sentido, apresentamos sete passos para o sucesso.

  1. Mapear os dados tratados e os produtos conectados: identificar que dados são gerados, onde estão armazenados, quem é o detentor, que metadados existem e como os disponibilizar em formato estruturado e de leitura automática.
  2. Rever contratos: incluir cláusulas FRAND (Fair, Reasonable and Non-Discriminatory) para a partilha dos dados; garantir a possibilidade de exercício de direitos pelos utilizadores; proibir usos concorrenciais; proteger segredos comerciais; definir compensações e eliminar cláusulas potencialmente abusivas.
  3. Redesenhar interfaces e processos: introduzir mecanismos simples de pedido de acesso/partilha; controlos granulares de autorizações; e registos de auditoria.
  4. Alinhamento com RGPD (Regulamento Geral sobre a Proteção de Dados) e requisitos de e-Privacy: cumprir, by design e by default, com os requisitos previstos na legislação em matéria de proteção de dados e e-privacy.
  5. Preparar estratégia de “cloud exit”: definir planos de migração, inventários de dados exportáveis e ativos digitais, interfaces abertas, prazos e segurança no processo de mudança.
  6. Governance e compliance: nomear responsáveis, definir competências, formar as equipas (jurídico, tecnologia, produto) e adotar políticas e procedimentos adequados.
  7. Transparência: apostar na transparência pré-contratual sobre os tratamentos de dados. Toda a documentação deve ser atualizada, em conformidade, através de informação completa aos utilizadores.

Pontos a destacar deste Regulamento

Com este Regulamento os utilizadores dispõem de direitos sobre os dados que são gerados pelos dispositivos conectados. São definidos, também, requisitos para facilitar o uso em paralelo de serviços e para contratos inteligentes usados na partilha de dados. Para as empresas é obrigatória a transparência pré-contratual e proibida a utilização dos dados obtidos para desenvolver um produto conectado concorrente.

No caso das empresas designadas como “Controladoras de Acesso”, pelo Regulamento dos Mercados Digitais, não podem beneficiar do direito de acesso como terceiros ao abrigo deste Regulamento. Já os prestadores de serviços de tratamento de dados (cloud) ficam obrigados a remover barreiras técnicas, comerciais e contratuais à portabilidade dos dados, existindo, no entanto, um reforço da segurança contra o acesso ilegítimo por Estados terceiros.

Em caso emergência pública ou para cumprir funções públicas especificamente previstas em lei, as entidades públicas, mediante regras, podem solicitar dados a outras empresas.

(*) Advogada da área de Propriedade Intelectual, Tecnologia e Telecomunicações na Cuatrecasas