Parecer do Comité Económico e Social Europeu — Comunicação da Comissão ao Parlamento Europeu e ao Conselho — Orientações sobre o regulamento relativo a um quadro para o livre fluxo de dados não pessoais na União Europeia

[COM(2019) 250 final]

(2020/C 14/18)

Relatora: Laure BATUT

Consulta	Comissão Europeia, 22.7.2019
Base jurídica	Artigo 304.o do Tratado sobre o Funcionamento da União Europeia
Competência	Secção dos Transportes, Energia, Infraestruturas e Sociedade da Informação
Adoção em secção	11.9.2019
Adoção em plenária	25.9.2019
Reunião plenária n.o	546
Resultado da votação (votos a favor/votos contra/abstenções)	162/2/6

1.   Recomendações

1.1.

O CESE recomenda que a Comissão: — comunique, de forma simples e clara, os critérios para definir os dados não pessoais e o âmbito de aplicação do Regulamento relativo a um regime para o livre fluxo de dados não pessoais na União Europeia (RDNP), a fim de dirimir as incertezas e promover a confiança; — informe as partes interessadas sobre as áreas que se sobrepõem nos textos europeus relativos aos dados; — vele, sem deixar de promover a livre circulação, por que os dados pessoais não passem a ser considerados gradualmente como dados não pessoais e assegure que o âmbito de aplicação do Regulamento Geral sobre a Proteção de Dados (RGPD) se mantenha inalterado, mesmo que para tal tenha de fundir a médio prazo os dois regulamentos no sentido de uma maior proteção, em vez de uma maior comercialização, dos dados; — incentive a criação e o desenvolvimento de federações de serviços pan-europeus para a computação em nuvem; — ajude, a muito breve trecho, os europeus a utilizar algoritmos capazes de tratar os grandes volumes de dados não pessoais do mercado único dos dados; encoraje os Estados-Membros a reforçar a educação informática e a educação para a inteligência artificial (IA) a todos os níveis (escola, universidade, mundo do trabalho) e ao longo da vida; — incentive as partes interessadas a desenvolverem um espírito de responsabilidade, de ética e de solidariedade e não permita que a autorregulação e a resolução «amigável»de litígios deem origem a interpretações divergentes dos textos; — não descure o recurso ao instrumento regulamentar; — promova sanções para o incumprimento da autorregulação; — elabore um roteiro para verificar se as empresas realizam as suas atividades no âmbito da livre utilização dos dados com segurança jurídica, como previsto pelo RDNP; — faça um balanço da situação atual dos 27 Estados-Membros e avalie a ação dos pontos de contacto nacionais a partir do seu décimo segundo mês de funcionamento; — assuma, em grande medida, a função de informação, comunicação e de alerta que lhe incumbe; — encoraje os Estados-Membros a informarem as partes interessadas sobre os seus critérios de «segurança pública»; — exorte os Estados-Membros a disseminarem as suas áreas de armazenamento de dados não transferíveis; — reexamine atempadamente a política de concorrência, a fim de verificar que está adaptada à livre circulação de dados nos seus termos atuais.

2.   Introdução

2.1.

O CESE toma nota da intenção da Comissão de fornecer orientações às empresas afetadas pelas transferências de dados não pessoais antes do início das negociações a realizar em 2020 sobre os códigos de conduta entre partes interessadas. A frequência de dados mistos, ou seja, dados que podem ser simultaneamente pessoais e não pessoais, pode criar insegurança nas empresas sobre as medidas a adotar para os proteger. Neste contexto, convém recordar os grandes princípios da regulamentação em vigor antes de analisar os pontos que o CESE deseja destacar nas suas observações.

2.2.

A Comissão chamou a atenção para a falta de competitividade dos serviços de computação em nuvem e, consequentemente, para a falta de mobilidade dos dados num contexto de oligopólios, que têm um impacto negativo no mercado dos dados. O RGPD estabelece que os Estados-Membros devem reduzir ao mínimo os seus requisitos em matéria de localização de dados, assim como a fragmentação da legislação neste domínio, de modo a estimular o crescimento e libertar as capacidades de inovação das empresas.

2.3.

A adoção do Regulamento Livre Fluxo de Dados Não Pessoais (RDNP), que complementa o RGPD, introduz nos atos europeus do século XXI uma «quinta liberdade de circulação»que se aplica a todos os dados (sic: Anna-Maria Corazza Bildt, deputada ao Parlamento Europeu, relatora). Este bem incorpóreo, se assim o podemos chamar, deve poder ser transferido e gerido em qualquer lugar, onde assim o desejem os seus titulares, por prestadores de serviços de alojamento virtual de países que não o da sua criação e/ou da sua utilização na União Europeia (artigo 1.o do RDNP). Os titulares destes bens obtêm, assim, um ganho em termos de simplicidade e de competitividade.

O Regulamento Livre Fluxo de Dados Não Pessoais (RDNP)

2.4.

O Regulamento (UE) 2018/1807 do Parlamento Europeu e do Conselho (1) promove a livre circulação de dados não pessoais na União, com o fito de desenvolver a inteligência artificial, a computação em nuvem e a análise dos grandes volumes de dados (megadados). Estabelece (artigo 6.o) que a Comissão deve orientar, incentivar e viabilizar a elaboração de códigos de conduta de autorregulação ao nível da União pelos operadores que exercem a sua atividade com base nesses dados não pessoais.

2.5.

O texto em apreço, que se destina aos profissionais de microempresas e PME, pretende facilitar a compreensão pelos mesmos das interações entre o RDNP e o RGPD através da apresentação de orientações. Para ser mais elucidativa, a Comissão dá inúmeros exemplos de situações concretas.

2.6.

Os códigos de conduta a elaborar devem estar concluídos entre novembro de 2019 e maio de 2020 (considerandos 30 e 31, artigo 6.o, n.o 1). A sua elaboração terá em conta os pontos de vista de todas as partes. Realizaram-se duas consultas públicas, e a Comissão é assistida por dois grupos de trabalho, compostos por profissionais: um sobre a certificação da cibersegurança dos serviços de computação em nuvem (CSPCERT) e outro sobre a portabilidade dos dados e a mudança de prestador de serviços (SWIPO). Os seus contributos abrangem a infraestrutura como serviço (IaaS) e o software como serviço (SaaS). Em maio de 2020, a Comissão proporá incentivar a indústria a elaborar um modelo de cláusulas contratuais e, em 2022, apresentará um relatório ao Parlamento Europeu, ao Conselho e ao CESE sobre a aplicação do regulamento, em especial sobre a utilização dos dados «compostos»ou mistos.

3.   Observações gerais

3.1.

Missão da Comissão: conciliar o Regulamento Geral sobre a Proteção de Dados (RGPD) e o Regulamento Livre Fluxo de Dados Não Pessoais (RDNP)

3.1.1.

A fim de conciliar estes dois regulamentos, que são complementares, a Comissão explica que 1) os requisitos de localização de dados passam a ser proibidos; 2) as autoridades competentes devem continuar a poder aceder aos dados; 3) os dados passam a ser móveis e podem, por conseguinte, ser objeto de «portabilidade». O RGPD refere-se à «portabilidade»[portabilité no francês]. O RDNP fala também da «portabilidade»[portage no francês]. Os utilizadores podem transferir os seus dados para fora do país onde estes foram criados e, subsequentemente, recuperá-los sem (demasiadas) restrições após mudança de prestador de serviços, com vista ao seu armazenamento, tratamento ou análise. Ao contrário da «portabilidade»do RGPD, que é um direito das pessoas em causa, a «portabilidade»do RDNP assenta em códigos de conduta e processa-se, portanto, no âmbito de uma abordagem de autorregulação.

3.1.2.

Trata-se de uma diferença importante entre os dois regulamentos já que um assenta no direito vinculativo e o outro em instrumentos jurídicos não vinculativos (direito indicativo), que, como se sabe, oferecem consideravelmente menos garantias. No entanto, segundo a própria Comissão, a maioria dos dados contém simultaneamente dados pessoais e não pessoais indissociavelmente ligados, o que faz deles dados «mistos».

3.1.3.

O CESE saúda esta tentativa de ajudar e não põe em causa os exemplos escolhidos. Também não é sua intenção propor outros. Porém, faz notar que as orientações da Comissão para os operadores se resumem a ilustrar o contexto através de exemplos de situações. O CESE deseja destacar, a fim de alertar a Comissão, as áreas críticas que se lhe afiguram poder vir a colocar problemas aos utilizadores, não obstante as orientações e os códigos futuros.

3.2.   Os princípios

3.2.1.   Liberdade de circulação dos dados

Mais do que geográficos, os obstáculos à livre circulação dos dados não pessoais são funcionais e/ou estão ligados aos meios de que dispõem as empresas para utilizar as tecnologias informáticas.

O RDNP proíbe os requisitos de localização de dados não pessoais num determinado território (artigo 4.o) e estipula que os Estados-Membros devem revogar todas as disposições contrárias num prazo de 24 meses a contar da data de entrada em vigor do regulamento (maio de 2021).

O regulamento autoriza exceções relacionadas com a segurança pública. Os Estados devem disponibilizar publicamente em linha informações pormenorizadas sobre qualquer requisito de localização aplicável no nível nacional. A Comissão Europeia pode apresentar observações e publica as hiperligações disponibilizadas pelos Estados-Membros.

3.2.2.   Exceções à liberdade de circulação

—

As autoridades dos Estados-Membros podem ter acesso aos dados transferidos: o RDNP estabelece um procedimento que permite a uma autoridade de controlo do Estado X ter acesso aos dados tratados no Estado Y, estando previsto um procedimento de cooperação entre os Estados (artigos 5.o e 7.o). O CESE receia, no entanto, que, em virtude da falta de localização, esses dados (contabilísticos, financeiros, contratuais, etc.) escapem ao controlo das autoridades dos Estados-Membros e alerta a Comissão para que não descure o recurso ao instrumento regulamentar, se necessário;

—

o ponto de contacto único de cada Estado-Membro tratará o pedido de acesso juntamente com a autoridade de controlo nacional, a qual poderá fornecer os dados caso considere o pedido admissível. Em conformidade com o espírito do RDNP, os pontos de contacto devem ajudar as partes interessadas a escolher, de maneira informada, as suas transferências e os respetivos prestadores de serviços em toda a União, em livre concorrência.

O CESE entende que as várias incertezas suscitadas pela aplicação deste princípio não podem ser dissipadas apenas com orientações. É complicado examinar as justificações dadas pelos Estados, a boa-fé dos operadores ou o bom funcionamento dos pontos de contacto. Qualquer avaliação nesta área será difícil.

—

Proibição de requerer direta ou indiretamente a localização de dados, com exceção dos casos em que se justifique por motivos de «segurança pública». O CESE entende que não é clara a noção de «segurança pública»referida no regulamento e questiona-se quanto ao seu alcance preciso quando aplicada ao fluxo de dados e à respetiva comercialização. No RDNP, o requisito de localização de dados é definido como «uma obrigação, proibição, condição, limitação ou outra exigência, prevista nas disposições legislativas, regulamentares ou administrativas de um Estado-Membro», ou resultante de práticas administrativas (2) que obrigam os operadores a conservar os dados num território determinado da União. Para o Tribunal de Justiça da União Europeia (3) (e o considerando 19 do RDNP), a «segurança pública abrange tanto a segurança interna como a segurança externa de um Estado-Membro»e pressupõe «a existência de uma ameaça real e suficientemente grave que afete um interesse essencial da sociedade». Esta definição abrange os dados genéticos, biométricos e relativos à saúde. A resposta do Estado-Membro deve ser proporcionada.

3.2.3.

O Comité considera que, tanto para a livre circulação como para a localização de dados: — os critérios previstos podem ser interpretados de diversas formas; — apenas um juiz poderá esclarecer caso a caso, o que pode ser prejudicial para a confiança necessária às trocas comerciais, especialmente no caso de dados sensíveis; os litígios provocados pelos códigos de conduta podem aumentar a fragmentação das situações; — o ritmo de funcionamento dos tribunais não é o mesmo do setor digital e das transferências de dados. O CESE observa que a insegurança e a complexidade da situação dissuadem as microempresas e as PME.

3.2.4.

O CESE lamenta que as orientações sejam omissas quanto aos litígios e às formas de verificar que os Estados-Membros cumprem os critérios de segurança pública e de que modo estes poderão ser sancionados, se for caso disso. O CESE receia que o texto explicativo da comunicação seja insuficiente para permitir aos operadores das microempresas e das PME encontrarem o rumo certo a seguir, face a todas as armadilhas jurídicas dos textos, e que as incertezas não permitam gerar o sentimento de confiança e de segurança jurídica necessário ao desenvolvimento do setor.

3.2.5.

O CESE reconhece que a comunicação da Comissão tem o grande mérito de difundir amplamente, do topo para a base, informação sobre a situação gerada pelos dois regulamentos, informação esta que é fundamental para as microempresas e as PME. O CESE deseja que a ação dos pontos de contacto nacionais e a utilização do sítio Web da Comissão por estes intervenientes sejam avaliadas logo a partir do seu sexto mês de funcionamento, por forma a aplicar medidas de correção rapidamente, caso se constatem lacunas na informação e comunicação.

4.   Observações na especialidade

4.1.   Quanto aos dados

4.1.1.

Os dados não pessoais abrangem, por inerência, todos os dados digitais que não são dados pessoais na aceção do RGPD. Pode tratar-se de dados comerciais, de dados sobre a agricultura de precisão, sobre as necessidades de manutenção das máquinas, meteorológicos, etc.

4.1.2.

Os dados recolhidos por serviços públicos como os hospitais, os serviços de assistência social ou os serviços fiscais podem ser muito próximos dos dados pessoais de pacientes ou contribuintes. As empresas que os utilizam devem assegurar que estes dados não permitam identificar as pessoas e que, após a sua anonimização, esta não possa ser revertida. Para uma microempresa ou uma PME, tal pode acarretar procedimentos muito morosos e onerosos. Uma vez que os dois regulamentos (RGPD e RDNP) asseguram, em conjunto, a livre circulação dos dados na UE, quando os dados estão «indissociavelmente ligados», as proteções jurídicas previstas no RGPD aplicam-se, por conseguinte, a todos os dados mistos [considerando 8 e artigo 2.o, n.o 2, do Regulamento (UE) 2018/1807]. Para além da primeira restrição relativa ao livre fluxo de dados não pessoais relacionada com a segurança pública, acresce, portanto, uma restrição inerente à própria natureza dos dados. Trata-se do aspeto central da comunicação da Comissão, que refere várias vezes a proximidade entre dados pessoais e não pessoais: «os conjuntos mistos de dados representam a maioria dos conjuntos de dados»(comunicação, ponto 2.2), os dados podem estar «indissociavelmente ligados»(ponto 2.2), «nenhum dos regulamentos obriga as empresas a separar os conjuntos de dados»(ponto 2.2).

4.1.3.

Cabe à empresa decidir se os dados não pessoais que trata estão «indissociavelmente ligados»a dados pessoais e, se for este o caso, protegê-los. Para a empresa, não é fácil preparar um «out management». Afigura-se impossível chegar a uma definição geral de dados mistos, e a sobreposição entre os dois regulamentos acarreta provavelmente outras sobreposições com outros textos relacionados com o direito dos dados, como os relativos à propriedade intelectual: o dado não pessoal pode circular, mas se for reutilizado numa obra, deixará de estar sujeito às mesmas regras. O CESE considera que será muito delicado articular os vários textos. A jurisprudência já estipulou que a indissociabilidade deve ser examinada à luz de um critério «razoável». O CESE observa que a comunicação em apreço é claramente incapaz de passar em revista todos os casos possíveis para ajudar as partes interessadas, pelo que a situação assim criada favorece sobretudo as grandes empresas. O CESE recomenda que a Comissão vele por que, na prática, os dados pessoais não passem a ser considerados gradualmente como dados não pessoais e assegure que o âmbito de aplicação do RGPD se mantenha inalterado, mesmo que para tal tenha de fundir a médio prazo os dois regulamentos no sentido de uma maior proteção dos dados, em vez da sua maior comercialização.

4.2.   Quanto à portabilidade, transferência, tratamento e armazenamento dos dados

O RGPD enquadra a portabilidade através da regulamentação (artigo 20.o), ao passo que o RDNP o faz através da autorregulação. O CESE lamenta esta situação, suscetível de causar enorme insegurança jurídica, que poderá penalizar as microempresas e as PME, devido aos inúmeros riscos de litígio. O CESE entende que, se os dados não pessoais são bens, embora incorpóreos, mas em livre circulação, então esses dados podem ser importados e exportados. No contexto atual, seria interessante realizar um debate sobre a sua propriedade. No entanto, o verdadeiro valor dos dados reside, não no próprio dado, mas no enorme volume de dados. Por esta razão, o Comité entende que a política de concorrência pode não ser adequada a este tipo de mercado. O CESE interroga-se sobre a forma como a situação criada aumentará a produtividade das microempresas e das PME. A comunicação da Comissão é omissa neste ponto.

4.3.   Quanto aos prestadores de serviços

4.3.1.

A UE não tem grandes operadores nem uma nuvem «europeia», algo que o CESE vem lamentando há muito. O efeito de escala sempre almejado é uma prerrogativa das gigantes americanas do setor da informática e de certas empresas chinesas. Por esta razão, mesmo as grandes administrações dos Estados-Membros se sentem tentadas a confiar nelas e a transferir-lhes a gestão dos seus dados (é este o caso de França).

4.3.2.

O CESE considera que os europeus têm de criar ecossistemas parceiros e incluir a possibilidade de transferências de dados entre plataformas. Para além da comunicação em apreço, a Comissão poderia ajudar as microempresas e as PME a desenvolver recursos neste sentido, tal como o fez para os serviços de interesse geral no seu projeto de 2018 para uma federação de serviços pan-europeus de computação em nuvem, com vista à prestação de serviços de interesse económico geral e não económico (serviço a pedido, FaaS – «Function as a service») e como prevê fazer com a rede de polos de inovação digital («A network of Digital Innovation Hubs», Web/Commission/DIH/janeiro de 2019).

4.4.   Quanto à segurança dos dados (4)

4.4.1.

A nível interno, os operadores nacionais (5) verificam a natureza dos dados a transferir e garantem a sua segurança. O requisito de localização de dados correspondia a regras de segurança controláveis no âmbito do direito nacional. Apesar do RGPD e do RDNP, as normas de segurança informática não são equivalentes nos vários países da UE. O Comité considera que os pontos de contacto nacionais devem fornecer informação extremamente rigorosa, em várias línguas, sobre esta questão às microempresas e às PME, bem como aos serviços privados e públicos. A nível externo, o CESE entende que não há certezas quanto à capacidade das empresas externas à UE de respeitarem os códigos de conduta e devolverem os dados após novas transferências requeridas pelos seus titulares. Receia que, com o passar do tempo, se torne difícil apurar as responsabilidades. O Comité recomenda que a Comissão ajude as partes interessadas europeias a fim de que consigam utilizar, a muito breve trecho, algoritmos capazes de tratar o enorme volume de dados não pessoais do mercado único dos dados.

4.4.2.

A questão da localização física dos servidores e da sua segurança continuará a ser do domínio da negociação comercial e diplomática entre Estados. Esta questão é essencial. Face aos gigantes da informática e aos seus países de referência, e ainda que a gestão dos dados seja uma competência partilhada entre os Estados-Membros e a UE, negociar individualmente não seria isento de riscos para os Estados-Membros.

4.4.3.

O CESE propõe à Comissão que esclareça os requisitos a respeitar pelos prestadores de serviços em matéria de armazenamento de dados não pessoais, métodos a utilizar, locais físicos, duração de conservação prevista ou autorizada e utilização após o tratamento, uma vez que esses elementos condicionam a sua segurança e podem ser importantes para as empresas europeias face à concorrência mundial.

4.5.   Quanto aos códigos de conduta

4.5.1.

Desde maio de 2019 que as partes afetadas pelo RDNP (sobretudo utilizadores e prestadores de serviços de computação em nuvem) são encorajadas a elaborar os seus próprios códigos de conduta no prazo de 12 meses. Segundo a Comissão, importa ter em conta as melhores práticas, as abordagens relativas a sistemas de certificação e os roteiros de comunicação. Os grupos de trabalho SWIPO e CSPCERT contribuem com a sua experiência.

4.5.2.

A Comissão remete para as medidas tomadas no âmbito do RGPD (comunicação, p. 22), o qual foi, com efeito, enquadrado pelo parecer do CEPD (6), pelo que pode servir de base ao RDNP. As associações de representantes da indústria podem elaborar o seu código de conduta, devendo demonstrar às autoridades competentes que o seu projeto de código, quer se trate de um código nacional ou transnacional, preenche uma necessidade específica do setor, facilita a aplicação do regulamento e estabelece mecanismos eficazes de supervisão para fazer cumprir o código.

4.5.3.

Antes da entrada em vigor do RGPD, os principais prestadores de serviços de infraestruturas como serviço (IaaS) e de software como serviço (SaaS) desenvolveram o seu próprio código de conduta para definir as modalidades de aplicação, eliminando assim os domínios de incerteza identificados pela indústria (7), tendo associado as PME, pois consideraram que, para muitas delas, a autocertificação era preferível ao custo muito elevado da certificação.

4.5.4.

O CESE é a favor de uma abordagem setorial para o RDNP, caso a fórmula única não se afigure adequada para todos. No âmbito do RGPD, foi estabelecida uma lista não exaustiva de elementos a abordar em todos os códigos (artigo 40.o, n.o 2), nomeadamente no que se refere ao tratamento equitativo e transparente dos procedimentos, à segurança quando da transferência de dados e à resolução de litígios. No interesse das próprias partes interessadas e para reforçar a confiança dos consumidores na abordagem europeia, há que incitar aquelas a desenvolverem e a se imbuírem de um espírito de responsabilidade, de ética e de solidariedade, em especial através de orientações que tenham em conta a inteligência artificial. Este é um dos pontos que o Comité pretende destacar, recomendando à Comissão que não permita que a autorregulação e a resolução amigável de litígios deem origem a diferentes interpretações dos textos. Pelo contrário, há que envidar todos os esforços necessários para que estas interpretações convirjam a fim de adotar posteriormente regras que se apliquem a todos, anunciando-as nos roteiros de informação e comunicação.

5.   Quanto à avaliação

A Comissão avaliará regularmente o impacto da livre circulação, a aplicação do regulamento, a revogação das medidas restritivas pelos Estados-Membros e a eficácia dos códigos de conduta. O CESE considera que os representantes da sociedade civil devem ser convidados a apresentar os seus pontos de vista neste contexto (8). Para que a sociedade em geral se sinta em segurança e tenha, por conseguinte, confiança nas novas práticas digitais, tanto a União como os Estados-Membros devem dissipar as incertezas em relação ao direito aplicável, à confidencialidade, à conservação e recuperação sem perda de dados, às garantias de exequibilidade e de boa-fé dos intervenientes, bem como às garantias financeiras. A indissociabilidade dos dados que são simultaneamente dados pessoais e não pessoais é fonte de preocupação e a proporção destes dados em relação ao conjunto de dados leva o CESE a questionar-se se a autorregulação era realmente a única solução possível. O Comité recomenda que, a médio prazo, as disposições do RGPD se apliquem a todos os dados e a todos os movimentos de dados, com exceções para os dados não pessoais «genuínos».

---

(1)  JO L 303 de 28.11.2018, p. 59.

(2)  Regulamento (UE) 2018/1807, artigo 3.o, n.o 5.

(3)  Ver Comunicação da Comissão COM(2019) 250, notas de rodapé, p. 13, e Acórdão C-331/16 e C-366/16 K. contra Staatssecretaris van Veiligheid en Justitie e H. F. contra Belgische Staat: «42. Decorre da jurisprudência do Tribunal de Justiça que o conceito de «segurança pública»cobre ao mesmo tempo a segurança interna de um Estado-Membro e a sua segurança externa (Acórdão de 23 de novembro de 2010, Tsakouridis, C-145/09, EU:C:2010:708, n.o 43). A segurança interna pode ser afetada, nomeadamente, por uma ameaça direta para a tranquilidade e a segurança física da população do Estado-Membro em causa (v., neste sentido, Acórdão de 22 de maio de 2012, I, C-348/09, EU:C:2012:300, n.o 28). A segurança externa pode ser afetada, nomeadamente, pelo risco de uma perturbação grave das relações externas desse Estado ou da coexistência pacífica dos povos (v., neste sentido, Acórdão de 23 de novembro de 2010, Tsakouridis, C-145/09, EU:C:2010:708, n.o 44).»

(4)  JO C 227 de 28.6.2018, p. 86.

(5)  JO C 218 de 23.7.2011, p. 130.

(6)  Comité Europeu para a Proteção de Dados: Orientações 1/2019 sobre códigos de conduta, adotadas em 12 de fevereiro de 2019, https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-12019-codes-conduct-and-monitoring-bodies-under_pt.

(7)  CISPE (Cloud Infrastructure Services Providers in Europe – Prestadores de Serviços de Infraestruturas para a Computação em Nuvem na Europa).

(8)  JO C 487 de 28.12.2016, p. 92; JO C 62 de 15.2.2019, p. 292.