16.4.2018

PT

Jornal Oficial da União Europeia

L 96/1

---

REGULAMENTO DELEGADO (UE) 2018/573 DA COMISSÃO

de 15 de dezembro de 2017

sobre os elementos principais dos contratos de conservação de dados a celebrar no âmbito de um sistema de rastreabilidade dos produtos do tabaco

(Texto relevante para efeitos do EEE)

A COMISSÃO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia,

Tendo em conta a Diretiva 2014/40/UE do Parlamento Europeu e do Conselho, de 3 de abril de 2014, relativa à aproximação das disposições legislativas, regulamentares e administrativas dos Estados-Membros no que respeita ao fabrico, apresentação e venda de produtos do tabaco e produtos afins e que revoga a Diretiva 2001/37/CE (1), nomeadamente o artigo 15.o, n.o 12,

Considerando o seguinte:

(1)

O artigo 15.o, n.o 8, da Diretiva 2014/40/UE exige que cada fabricante e importador, como parte do sistema de rastreabilidade dos produtos do tabaco, especificado de forma mais pormenorizada no Regulamento de Execução (UE) 2018/574 da Comissão (2), celebre um contrato com um fornecedor terceiro independente com vista a albergar as informações relacionadas com os seus produtos do tabaco. O artigo 15.o, n.o 12, da Diretiva 2014/40/UE habilita a Comissão a definir os elementos principais dos referidos contratos.

(2)

Para garantir o funcionamento eficaz do sistema de rastreabilidade dos produtos do tabaco em geral e a interoperabilidade do sistema de repositórios em especial, é conveniente estabelecer os principais elementos dos contratos de conservação de dados, de forma a incluir especificações relacionadas com a operabilidade, disponibilidade e desempenho dos serviços a prestar pelos fornecedores de serviços de conservação de dados. A eficácia e o funcionamento contínuo do sistema de rastreabilidade e do sistema de conservação de dados nele incluído tornam necessário que sejam adotados requisitos claros em matéria de portabilidade dos dados pelos fornecedores nos casos em que um fabricante ou importador decida mudar de fornecedor. Por essa razão, os contratos devem incluir disposições que exijam a utilização de tecnologias que estejam facilmente disponíveis no mercado e sejam comummente utilizadas no setor, para garantir uma transferência eficaz e ininterrupta de dados entre os atuais e os novos fornecedores.

(3)

A fim de assegurar o nível de flexibilidade necessário, deve ser possível solicitar ao fornecedor de serviços de conservação de dados que efetue, mediante o pagamento de uma taxa, serviços técnicos auxiliares relacionados com o funcionamento do repositório primário, como a expansão da funcionalidade operacional das interfaces do utilizador, desde que os serviços adicionais contribuam para o bom funcionamento do sistema de repositórios e não violem qualquer dos requisitos estabelecidos no Regulamento de Execução (UE) 2018/574. Por conseguinte, o contrato deverá prever uma tal opção.

(4)

Para garantir o funcionamento independente do sistema de rastreabilidade em todos os momentos, a Comissão deve poder revogar a aprovação de um fornecedor com o qual já tenha sido celebrado um contrato de conservação de dados caso uma avaliação ou reavaliação da capacidade técnica ou da independência do fornecedor conduza a um resultado desfavorável no que se refere à sua adequação.

(5)	A fim de assegurar a organização eficaz do funcionamento diário do sistema, os fornecedores de repositórios primários devem cooperar entre si, bem como com as autoridades competentes dos Estados-Membros e a Comissão,

ADOTOU O PRESENTE REGULAMENTO:

Artigo 1.o

Objeto

O presente regulamento define os elementos principais a incluir nos contratos de conservação de dados referidos no artigo 15.o, n.o 8, da Diretiva 2014/40/UE.

Artigo 2.o

Definições

Para efeitos do presente regulamento, para além das definições que constam da Diretiva 2014/40/UE e do Regulamento de Execução (UE) 2018/574, entende-se por:

1)	«contrato», um acordo contratual entre um fabricante ou importador de produtos do tabaco e um fornecedor de sistemas de conservação de dados, em conformidade com o artigo 15.o, n.o 8, da Diretiva 2014/40/UE e o Regulamento de Execução (UE) 2018/574;

2)	«fornecedor», qualquer pessoa coletiva contratada por um fabricante ou importador de produtos do tabaco para efeitos da criação e do funcionamento do seu repositório primário e dos serviços conexos;

3)	«portabilidade dos dados», a possibilidade de transferir dados entre diferentes repositórios, através da utilização de tecnologia que esteja facilmente disponível no mercado e seja comummente utilizada no setor.

Artigo 3.o

Principais responsabilidades no âmbito do contrato

1.   O contrato deve especificar os principais serviços a prestar pelo fornecedor, que devem incluir:

1)	a criação e o funcionamento de um repositório primário, em conformidade com o artigo 26.o do Regulamento de Execução (UE) 2018/574;

2)	caso o operador do repositório primário seja nomeado como fornecedor do repositório secundário, a criação e o funcionamento do repositório secundário e do encaminhador, em conformidade com os artigos 27.o, 28.o e 29.o do Regulamento de Execução (UE) 2018/574;

3)	o fornecimento, a pedido, de outros serviços técnicos auxiliares relacionados com o funcionamento do repositório primário que contribuam para o bom funcionamento do sistema de repositórios.

2.   Ao definir os serviços principais referidos nos pontos (1) e (2) do n.o 1, o contrato deve conter especificações relativas à operabilidade, disponibilidade e desempenho dos serviços que satisfaçam os requisitos mínimos especificados no presente regulamento e previstos no capítulo V do Regulamento de Execução (UE) 2018/574.

Artigo 4.o

Conhecimentos técnicos

O contrato deve obrigar os fornecedores a apresentar ao fabricante ou ao importador uma declaração escrita indicando que possuem, ou têm ao seu dispor, os conhecimentos técnicos e operacionais necessários para efetuar os serviços referidos no artigo 3.o e para cumprir os requisitos estabelecidos no Capítulo V do Regulamento de Execução (UE) 2018/574.

Artigo 5.o

Disponibilidade do repositório primário

1.   O contrato deve especificar um tempo de funcionamento mensal e disponibilidade garantidos de 99,5 % para o repositório primário.

2.   O contrato deve exigir que sejam postos em prática mecanismos de salvaguarda adequados pelo fornecedor para evitar qualquer perda de dados conservados, recebidos ou transferidos no momento em que o repositório primário fique indisponível.

Artigo 6.o

Direitos de acesso

O contrato deve especificar os requisitos para a concessão de acesso físico e virtual ao repositório primário, a nível do servidor e da base de dados, aos administradores nacionais dos Estados-Membros, à Comissão e aos auditores externos nomeados, em conformidade com o artigo 25.o do Regulamento de Execução (UE) 2018/574.

Artigo 7.o

Subcontratação

1.   Se o contrato especificar que o fornecedor pode subcontratar certas obrigações ao abrigo do contrato, deve incluir uma disposição que clarifique que o subcontrato não afeta a responsabilidade primária do fornecedor pela execução do contrato.

2.   O contrato deve igualmente exigir que o fornecedor:

a)	Assegure que o subcontratante proposto tem os conhecimentos técnicos necessários e cumpre os requisitos de independência estabelecidos no artigo 35.o do Regulamento de Execução (UE) 2018/574.

b)	Apresente à Comissão uma cópia da declaração a que se refere o artigo 8.o do presente regulamento, assinada pelos respetivos subcontratantes.

Artigo 8.o

Independência jurídica e financeira

O contrato deve exigir que os fornecedores e, quando aplicável, os seus subcontratantes, apresentem ao fabricante ou importador, juntamente com o contrato de conservação de dados, uma declaração escrita garantido que cumprem os requisitos de independência jurídica e financeira, tal como previsto no artigo 35.o do Regulamento de Execução (UE) 2018/574.

Artigo 9.o

Proteção dos dados e confidencialidade

1.   O contrato deve especificar que o fornecedor deve pôr em prática todas as medidas apropriadas necessárias para assegurar a confidencialidade, integridade e disponibilidade de todos os dados conservados durante a execução do contrato. Essas medidas devem incluir controlos de segurança administrativos, técnicos e físicos.

2.   O contrato deve exigir que os dados pessoais tratados nos termos do contrato são processados em conformidade com a Diretiva 95/46/CE do Parlamento Europeu e do Conselho (3).

Artigo 10.o

Gestão da segurança da informação

O contrato deve obrigar os fornecedores a declarar que o repositório primário e, se for caso disso, o repositório secundário são geridos em conformidade com as normas internacionalmente reconhecidas em matéria de gestão da segurança da informação. Os fornecedores certificados de acordo com a norma ISO/IEC 27001: 2013 devem ser considerados conformes com essas normas.

Artigo 11.o

Custos

O contrato deve exigir que os custos cobrados pelos fornecedores a fabricantes ou importadores, em conformidade com o artigo 30.o do Regulamento de Execução (UE) 2018/574, são equitativos, razoáveis e proporcionados em relação:

a)	Aos serviços prestados; bem como

b)	Ao número de identificadores únicos solicitados ao longo de um determinado período de tempo pelo fabricante ou importador em causa.

Artigo 12.o

Participação no sistema de repositórios secundário

1.   O contrato deve obrigar o fornecedor a participar na criação do sistema de repositório secundário (quando o sistema secundário não tiver ainda sido estabelecido na data de celebração do contrato), nos termos das regras estabelecidas no capítulo V do Regulamento de Execução (UE) 2018/574.

2.   O contrato deve incluir uma disposição autorizando os fornecedores a recuperar junto dos fabricantes e importadores de produtos do tabaco os custos decorrentes da criação, funcionamento e manutenção do repositório secundário e do encaminhador a que se refere o Capítulo V do Regulamento de Execução (UE) 2018/574.

Artigo 13.o

Duração

A duração do contrato deve ser fixada por um período mínimo de cinco anos, com a possibilidade de renovação sujeita a acordo das partes e à conformidade continuada do fornecedor com os requisitos da Diretiva 2014/40/UE e do Regulamento de Execução (UE) 2018/574.

Artigo 14.o

Comunicação com outras partes

O contrato deve obrigar os fornecedores a cooperar entre si, bem como com as autoridades competentes dos Estados-Membros, na medida do necessário para assegurar a organização eficaz do funcionamento diário do sistema de repositórios.

Artigo 15.o

Auditorias

1.   O contrato deve estabelecer condições que permitam aos auditores externos aprovados pela Comissão, em conformidade com o artigo 15.o, n.o 8, da Diretiva 2014/40/UE, realizar auditorias com aviso prévio e sem aviso prévio relacionadas com o repositório primário, e, se for caso disso, o repositório secundário, incluindo uma avaliação quanto ao cumprimento por parte do fornecedor e, se aplicável, por parte dos seus subcontratantes, dos requisitos legislativos pertinentes.

2.   O contrato deve especificar que os auditores externos têm acesso físico e virtual ilimitado ao repositório primário e, se for caso disso, ao repositório secundário, bem como aos seus serviços conexos, durante o período da auditoria.

Artigo 16.o

Responsabilidade

O contrato deve estabelecer condições que especifiquem a responsabilidade das partes, inclusive no que diz respeito aos danos diretos e indiretos que possam decorrer nos termos do contrato, em conformidade com o direito aplicável. Sem prejuízo do direito aplicável, o contrato deve ainda especificar que não existe limitação de responsabilidade em caso de quebra da confidencialidade ou de infração das regras em matéria de proteção de dados.

Artigo 17.o

Rescisão do contrato

1.   O contrato deve estabelecer condições relativas à rescisão do contrato, em conformidade com o direito aplicável. Em caso de rescisão, o contrato deve exigir que a parte que resolve o contrato notifique a Comissão, em conformidade com os requisitos processuais estabelecidos no anexo 1 do Regulamento de Execução (UE) 2018/574.

2.   O contrato deve exigir que as partes concedam um aviso prévio mínimo de cinco meses para a rescisão do contrato.

Em derrogação ao primeiro parágrafo, o contrato deve exigir que os fabricantes e os importadores rescindam o contrato imediatamente:

a)	Em caso de infração grave pelo fornecedor das suas obrigações contratuais,

b)	Sempre que o fornecedor se torne insolvente, ou esteja em risco iminente de se tornar insolvente, nos termos do direito aplicável.

3.   Para efeitos do n.o 2, alínea a), uma infração grave inclui:

a)	O incumprimento pelo fornecedor de obrigações ou serviços previstos no contrato que são críticos para o funcionamento eficaz do sistema de rastreabilidade, incluindo, em especial, o incumprimento dos requisitos estabelecidos no capítulo V do Regulamento de Execução (UE) 2018/574,

b)

O facto de um fornecedor deixar de cumprir os requisitos de independência jurídica e financeira estabelecidos no artigo 35.o, n.o 2, do Regulamento de Execução (UE) 2018/574 e se, no termo do prazo a que se refere o artigo 35.o, n.o 6, do Regulamento de Execução (UE) 2018/574, o cumprimento dos requisitos não puder ser comprovado.

Artigo 18.o

Suspensão de serviços

O contrato deve especificar que a suspensão de serviços em caso de atrasos de pagamento por parte de um fabricante ou importador ao fornecedor é proibida, exceto se o atraso exceder o prazo de pagamento final em trinta dias ou mais.

Artigo 19.o

Portabilidade dos dados

1.   O contrato deve obrigar os fornecedores a assegurar a plena portabilidade dos dados nos casos em que um fabricante ou importador contrate um novo fornecedor para operar o seu repositório primário. O atual fornecedor deve entregar ao novo fornecedor, antes da data de rescisão do contrato, uma cópia atualizada de todos os dados conservados no repositório primário. Quaisquer atualizações de dados efetuadas após essa entrega devem ser migradas para o novo fornecedor sem demora injustificada.

2.   A fim de assegurar a continuidade das atividades, o contrato deve incluir um plano de saída aplicável que estabeleça o procedimento a seguir em caso de rescisão do contrato e de contratação de um novo fornecedor pelo fabricante ou importador. O plano deve incluir a obrigação de o fornecedor existente continuar a prestar os seus serviços até que o novo fornecedor se torne operacional.

3.   O contrato deve incluir disposições que garantam que o fornecedor atual não tem o direito de retenção relativamente a quaisquer dados, informações ou outro material necessário relacionado com o repositório primário, depois de terem sido entregues ao novo fornecedor.

Artigo 20.o

Direito aplicável e competência jurisdicional

1.   O contrato é regido pelo direito de um dos Estados-Membros da União Europeia, tal como acordado pelas partes no contrato.

2.   O contrato fica submetido à competência jurisdicional de um dos Estados-Membros da União Europeia, tal como acordado pelas partes no contrato.

Artigo 21.o

Entrada em vigor

O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

---

(1)  JO L 127 de 29.4.2014, p. 1.

(2)  Regulamento de Execução (UE) 2018/574 da Comissão, de 15 de dezembro de 2017, relativo às normas técnicas para o estabelecimento e o funcionamento de um sistema de rastreabilidade dos produtos do tabaco (ver página 7 do presente Jornal Oficial).

(3)  Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281 de 23.11.1995, p. 31).

---