COMISSÃO EUROPEIA

Bruxelas, 28.6.2023

COM(2023) 360 final

2023/0205(COD)

Proposta de

REGULAMENTO DO PARLAMENTO EUROPEU E DO CONSELHO

relativo a um quadro de acesso aos dados financeiros e que altera os Regulamentos
(UE) n.º 1093/2010, (UE) n.º 1094/2010, (UE) n.º 1095/2010 e (UE) 2022/2554

(Texto relevante para efeitos do EEE)

{SEC(2023) 255 final} - {SWD(2023) 224 final} - {SWD(2023) 230 final}

EXPOSIÇÃO DE MOTIVOS

1.CONTEXTO DA PROPOSTA

•Razões e objetivos da proposta

 Para ser bem-sucedida numa economia dos dados ao serviço das pessoas e das empresas, a Europa tem de encontrar um equilíbrio entre o fluxo e a ampla utilização dos dados e preservar elevados padrões de privacidade, segurança, proteção e ética. Na comunicação sobre uma Estratégia Europeia para os Dados 1 , a Comissão definiu a forma como a UE deve criar um contexto político atrativo para que, até 2030, a sua quota na economia dos dados corresponda, pelo menos, ao seu peso económico. 

No domínio financeiro, a Comissão identificou a promoção do financiamento baseado em dados como uma das prioridades da sua estratégia de financiamento digital para 2020 2 e anunciou a sua intenção de apresentar uma proposta legislativa relativa a um quadro de acesso aos dados financeiros. A Comunicação de 2021 sobre uma União dos Mercados de Capitais 3 confirmou a ambição da Comissão de acelerar os seus trabalhos sobre a promoção de serviços financeiros baseados em dados. Anunciou a criação do grupo de peritos sobre um espaço europeu de dados financeiros, a fim de contribuir para um primeiro conjunto de casos de utilização. Mais recentemente, a presidente da Comissão, Ursula von der Leyen, confirmou, na sua carta de intenções sobre o estado da União de 2022, que o acesso a dados nos serviços financeiros é uma das novas principais iniciativas para 2023.

Atualmente, os clientes do setor financeiro da UE não conseguem controlar eficazmente o acesso e a partilha dos seus dados para lá das contas de pagamento. Os utilizadores dos dados, ou seja, as empresas que pretendem aceder aos dados dos clientes para prestar serviços inovadores, têm problemas de acesso aos dados na posse dos detentores dos dados, a saber, as instituições financeiras que recolhem, armazenam e tratam esses dados dos clientes. Consequentemente, mesmo nos casos em que os clientes o queiram, não dispõem de acesso generalizado a serviços financeiros e produtos financeiros baseados em dados. Um conjunto de problemas relacionados entre si explica o acesso limitado aos dados. Em primeiro lugar, face à ausência de regras e ferramentas para gerir as autorizações de partilha de dados, os clientes não acreditam que esteja a ser dada resposta aos potenciais riscos de partilha de dados. Por conseguinte, mostram-se muitas vezes relutantes em partilhar os seus dados. Em segundo lugar, mesmo que pretendam partilhar dados, as regras que regem essa partilha são inexistentes ou pouco claras. Consequentemente, os detentores dos dados, como as instituições de crédito, as seguradoras e outras instituições financeiras que detêm dados sobre os clientes, nem sempre são obrigados a permitir o acesso dos utilizadores dos dados, como, por exemplo, as empresas de tecnologia financeira, ou seja, as empresas que utilizam tecnologia para apoiar ou prestar serviços financeiros ou as instituições financeiras que prestam serviços financeiros e desenvolvem produtos financeiros com base na partilha dos seus dados. Em terceiro lugar, a partilha de dados torna-se mais onerosa, uma vez que tanto os próprios dados como a infraestrutura técnica não são normalizados e, por conseguinte, diferem significativamente.

A presente proposta tem por objetivo dar resposta a estes problemas, permitindo que os consumidores e as empresas controlem melhor o acesso aos seus dados financeiros, possibilitando-lhes beneficiarem de produtos e serviços financeiros adaptados às suas necessidades com base nos dados que lhes são pertinentes, evitando simultaneamente os riscos inerentes.

O objetivo geral da presente proposta é melhorar os resultados económicos para os clientes de serviços financeiros (consumidores e empresas) e para as empresas do setor financeiro, promovendo a transformação digital e acelerando a adoção de modelos de negócios baseados em dados no setor financeiro da UE. Uma vez concretizado esse objetivo, os consumidores que assim o pretendam poderão aceder a produtos e serviços personalizados e baseados em dados que melhor se adequem às suas necessidades específicas. As empresas, nomeadamente as PME, beneficiariam de um acesso mais alargado a produtos e serviços financeiros. As instituições financeiras poderiam tirar pleno partido das tendências da transformação digital, ao passo que os prestadores de serviços terceiros beneficiariam de novas oportunidades de negócio no domínio da inovação baseada em dados. Os consumidores e as empresas terão acesso aos seus dados financeiros para permitir que os utilizadores dos dados forneçam produtos e serviços financeiros adaptados às necessidades dos clientes e das empresas.

A proposta não implica a poupança de custos administrativos, uma vez que se trata de nova legislação que não altera regras anteriores da UE. Pela mesma razão, também não se trata de uma iniciativa incluída no programa para a adequação e a eficácia da regulamentação (REFIT) da Comissão que visa a assegurar que a legislação da UE cumpre os seus objetivos a um custo mínimo, em favor dos cidadãos e das empresas.

•Coerência com as disposições existentes da mesma política setorial

A presente proposta tem por base a Diretiva Serviços de Pagamento revista (PSD2), que permitiu a partilha de dados das contas de pagamento («banca aberta»). A presente proposta permite a partilha de um conjunto mais alargado de dados relativos a serviços financeiros e estabelece as regras segundo as quais a partilha dos dados será conseguida. Estabelece igualmente as regras aplicáveis aos intervenientes no mercado envolvidos nesta atividade.

•Coerência com outras políticas da União

A presente proposta respeita o Regulamento Geral sobre a Proteção de Dados (RGPD), que estabelece as regras gerais sobre o tratamento de dados pessoais relacionados com um titular dos dados e assegura a proteção e a livre circulação desses dados.

A presente proposta constitui igualmente um elemento de base setorial que se enquadra na estratégia europeia mais abrangente para os dados e permite a partilha de dados no setor financeiro e com outros setores. Assenta nos princípios fundamentais para o acesso e o tratamento de dados estabelecidos nas iniciativas intersetoriais da Comissão. O Regulamento Governação de Dados centra-se no aumento da confiança na partilha de dados e na melhoria da interligação sem descontinuidades («interoperabilidade») entre os espaços de dados e na criação de um quadro para os prestadores de serviços de intermediação de dados. Outra iniciativa intersetorial é o Regulamento dos Mercados Digitais, que estabelece um conjunto de obrigações relacionadas com os dados para fazer face ao poder das plataformas que atuam como controladores de acesso e assegurar a contestabilidade nos mercados digitais, permitindo, por exemplo, que as instituições financeiras, em nome dos seus clientes ou quando utilizam serviços essenciais de plataforma do controlador de acesso, acedam aos dados detidos pelo controladores de acesso. Outra iniciativa intersetorial é a proposta de Regulamento Dados 4 que estabeleceria novos direitos de acesso aos dados da Internet das coisas (IdC) – ou seja, os dados que os produtos obtêm, geram ou recolhem relativamente ao seu desempenho, utilização ou ambiente – tanto para os utilizadores de produtos como para os prestadores de serviços conexos. Estabelece igualmente obrigações de aplicação geral para os detentores dos dados, que são obrigados a disponibilizar os dados aos destinatários ao abrigo do direito da UE ou da legislação nacional adotada em conformidade com o direito da UE.

A presente proposta complementa igualmente a estratégia de investimento de retalho da UE 5 . Apoiará o seu objetivo de melhorar o funcionamento do quadro de proteção dos pequenos investidores, prevendo salvaguardas na utilização de dados dos investidores não profissionais nos serviços financeiros. Além disso, assegura a conformidade com as regras em matéria de cibersegurança e resiliência operacional no setor financeiro, de acordo com o estabelecido no Regulamento Resiliência Operacional Digital, que entrou em vigor em 16 de janeiro de 2023.

2.BASE JURÍDICA, SUBSIDIARIEDADE E PROPORCIONALIDADE

•Base jurídica

O Tratado sobre o Funcionamento da União Europeia (TFUE) confere às instituições da UE competências para estabelecerem regras relativas à aproximação das legislações dos Estados-Membros que tenham por objetivo o estabelecimento e o funcionamento do mercado interno (artigo 114.º do TFUE). Tal inclui o poder de promulgar legislação da UE para aproximar os requisitos relativos à utilização cada vez mais importante de dados para as instituições financeiras, uma vez que, de outro modo, as instituições financeiras que operam a nível transfronteiras deparar-se-iam com requisitos nacionais divergentes, tornando a atividade transfronteiras mais onerosa. A criação de regras comuns para a partilha de dados no setor financeiro contribuirá para o funcionamento do mercado interno. Regras comuns assegurarão um quadro regulamentar harmonizado em matéria de governação dos dados financeiros, em consonância com a Estratégia Europeia para os Dados. A melhor forma de alcançar estes resultados será através da adoção de um regulamento, que é diretamente aplicável nos Estados-Membros.

•Subsidiariedade (no caso de competência não exclusiva)

A economia dos dados é parte integrante do mercado interno. Os fluxos de dados constituem um elemento central das atividades digitais e refletem as cadeias de abastecimento existentes e as colaborações entre empresas e consumidores. Qualquer iniciativa destinada a organizar esses fluxos de dados deve aplicar-se ao mercado interno no seu conjunto. Uma vez que os detentores dos dados são geralmente instituições financeiras autorizadas sujeitas a um conjunto amplo e pormenorizado de regras, em grande parte estabelecidas em regulamentos e mecanismos de supervisão diretamente aplicáveis, cuja convergência é assegurada a nível da UE, é necessária uma ação a nível da UE para estabelecer condições comuns e preservar condições de concorrência equitativas entre as instituições financeiras, a fim de salvaguardar a integridade do mercado, a proteção dos consumidores e a estabilidade financeira. Outra razão para a ação a nível da UE é o elevado nível de integração no setor financeiro. As instituições financeiras também exercem uma atividade significativa a nível transfronteiras.

Os problemas descritos na avaliação de impacto que acompanha a presente proposta são comuns a todos os Estados-Membros da UE. A regulamentação dos serviços financeiros é uma competência partilhada entre a UE e os seus Estados-Membros. A resolução destes problemas não é possível por ação isolada dos Estados-Membros, uma vez que os detentores e potenciais utilizadores dos dados dos clientes no setor financeiro exercem frequentemente a sua atividade em diversos Estados-Membros. Por conseguinte, é possível que os dados de um cliente sejam detidos por instituições financeiras em diferentes Estados-Membros. Para melhorar a confiança e permitir a utilização integrada desses dados, seria necessário que todas estas instituições financeiras fossem regidas pelo mesmo quadro jurídico e pelas mesmas normas técnicas. Regras nacionais individuais resultariam na sobreposição de requisitos e em custos de conformidade desproporcionadamente elevados para as empresas, sem constituírem o mais vantajoso para as empresas e os consumidores.

•Proporcionalidade

Em conformidade com o princípio da proporcionalidade, a proposta não excede o necessário para alcançar os seus objetivos. Abrange apenas os aspetos em que os encargos administrativos e os custos são proporcionais aos objetivos a alcançar. Por exemplo, a proporcionalidade é cuidadosamente concebida em termos de âmbito e rigor. Assenta em critérios de avaliação qualitativos e quantitativos para garantir que as novas regras terão uma eficácia alargada. O anexo 5 da avaliação de impacto que acompanha a presente proposta explica de que forma a proporcionalidade orientou a seleção dos conjuntos de dados. O anexo 8 da avaliação de impacto que acompanha a presente proposta explica as medidas tomadas para assegurar um impacto proporcionado nas PME.

•Escolha do instrumento

A presente proposta deve assumir a forma de um regulamento, que é diretamente aplicável em todos os Estados-Membros. Pretende-se assim assegurar a aplicação, em todos os Estados-Membros, de regras comuns sobre as condições de acesso e de tratamento dos dados dos clientes dos serviços financeiros.

3.RESULTADOS DAS AVALIAÇÕES EX POST, DAS CONSULTAS DAS PARTES INTERESSADAS E DAS AVALIAÇÕES DE IMPACTO

•Avaliações ex post/balanços de qualidade da legislação existente

Esta nova proposta não se baseia em legislação existente. Tem por base o regime da banca aberta estabelecido na Diretiva (UE) 2015/2366, mas cria um novo direito de acesso aos dados para conjuntos de dados não abrangidos anteriormente por qualquer outro quadro legislativo da UE.

•Consultas das partes interessadas

Em 10 de maio de 2022, a Comissão Europeia lançou um convite à apreciação sobre o acesso aos dados financeiros, cuja data de fecho foi 2 de agosto de 2022, reunindo 79 respostas. As pessoas que responderam a título individual manifestaram preocupações quanto à partilha de dados na ausência de um quadro que adote salvaguardas claras, tais como painéis de controlo da privacidade, uma delimitação clara do seu âmbito de aplicação e condições de concorrência equitativas entre os intervenientes no mercado. As empresas mostraram uma atitude bastante positiva, desde que fossem aplicadas salvaguardas adequadas. O convite à apreciação mostrou que, mediante uma conceção adequada, o acesso aos dados financeiros pode ter um impacto positivo.

Em 10 de maio de 2022, a Comissão Europeia lançou igualmente uma consulta pública conjunta sobre a análise da Diretiva Serviços de Pagamento (PSD2) e o acesso aos dados financeiros. A consulta pública terminou em 2 de agosto de 2022. As respostas sobre o acesso aos dados financeiros confirmaram as opiniões expressas no convite à apreciação. Embora a maioria do público em geral que respondeu pretendesse partilhar os seus dados tendo por base um forte consentimento/acordo dos consumidores, foram manifestadas algumas preocupações quanto à partilha de dados financeiros. Estas preocupações assentavam na falta de confiança nas questões de privacidade, proteção de dados e segurança digital e num sentimento generalizado de não controlarem a forma como os seus dados são utilizados.

As partes interessadas profissionais (utilizadores empresariais, empresas de tecnologia financeira, organizações de consumidores, autoridades públicas competentes e reguladores nacionais) foram mais favoráveis à partilha de dados e mencionaram os benefícios para o percurso dos clientes em termos de aumento da concorrência e da inovação no domínio dos produtos e serviços financeiros. Uma minoria significativa de inquiridos profissionais expressou igualmente preocupações com a concorrência, a segurança e a utilização indevida de dados.

Em 10 de maio de 2022, a Comissão lançou igualmente uma consulta específica sobre o acesso e a partilha de dados financeiros no setor financeiro. A consulta específica terminou em 5 de julho de 2022, reunindo 94 respostas de partes interessadas profissionais.

A consulta específica teve por objetivo a recolha dos contributos dos seus peritos em partilha de dados no domínio financeiro. As partes interessadas profissionais visadas incluíram instituições financeiras, fornecedores de dados, tecnologias financeiras, utilizadores empresariais, associações de defesa dos consumidores, bem como autoridades públicas competentes e reguladores nacionais). De um modo geral, as respostas enfatizaram o facto de a maioria dos inquiridos profissionais visualizar os potenciais benefícios de um quadro jurídico de acesso aos dados financeiros e, por conseguinte, apoiar a intervenção regulamentar em alguns domínios. No entanto, as respostas à consulta específica sugerem que os pontos de vista das partes interessadas divergem substancialmente e que o apoio dos consumidores e dos detentores dos dados depende da forma como esses dados serão acedidos e partilhados.

•Recolha e utilização de conhecimentos especializados

Em 24 de outubro de 2022, a Comissão recebeu um relatório sobre financiamento aberto do grupo de peritos sobre um espaço europeu de dados financeiros. O grupo de peritos reúne peritos do meio académico, dos consumidores e da indústria (incluindo banca, seguros, pensões, investimento, bem como terceiros prestadores de serviços e empresas de tecnologia financeira). O relatório descreve os principais componentes de um ecossistema de financiamento aberto, na perspetiva do grupo de peritos (acessibilidade dos dados, proteção de dados, normalização de dados, responsabilidade, condições de concorrência equitativas e principais intervenientes) e descreve considerações relativamente a cada elemento, apresentando simultaneamente opiniões divergentes no seio do grupo. Para ilustrar os desafios e as oportunidades do financiamento aberto, o grupo de peritos avaliou vários casos de utilização específica descritos pormenorizadamente no relatório. Os casos de utilização e as conclusões do relatório foram utilizados para desenvolver a presente proposta, nomeadamente para determinar os dados abrangidos pelo âmbito de aplicação da proposta.

•Avaliação de impacto

A proposta é acompanhada por uma avaliação de impacto, que foi apresentada ao Comité de Controlo da Regulamentação da Comissão (CCR) em 3 de fevereiro de 2023 e aprovada em 3 de março de 2023. O Comité de Controlo da Regulamentação recomendou melhorias em alguns domínios, a fim de reforçar a base factual, dar maior ênfase à confiança dos clientes e à proteção dos consumidores vulneráveis, bem como uma melhor definição das limitações e incertezas da análise custos-benefícios da presente proposta. A avaliação de impacto foi alterada em conformidade e deu resposta às observações mais pormenorizadas do Comité de Controlo da Regulamentação.

As opções estratégicas foram escolhidas com base no grupo de peritos sobre um espaço europeu de dados financeiros da Comissão e nas reações das partes interessadas.

Foram consideradas várias opções destinadas a melhorar a confiança dos clientes na partilha de dados, a clarificar a situação jurídica, a promover a normalização e a proporcionar incentivos. No que respeita à confiança dos clientes, as opções consideradas incluíram a utilização obrigatória de painéis da autorização de acesso aos dados financeiros, o estabelecimento de regras sobre quem pode aceder aos dados dos clientes e o complemento dessas regras com outras salvaguardas, incluindo orientações que protejam o consumidor contra riscos de tratamento injusto ou de exclusão.

A fim de proporcionar clareza jurídica, uma opção considerada foi a medida em que os detentores dos dados poderiam ser obrigados a partilhar os dados dos seus clientes com os utilizadores dos dados. Tal poderia ser feito a título obrigatório, sob reserva do pedido do cliente. Foram igualmente considerados os tipos de empresas obrigadas a partilhar dados (instituições de crédito, prestadores de serviços de pagamento e outros tipos de instituições financeiras em todo o setor financeiro).

Foram ponderadas várias opções para promover a normalização dos dados e interfaces dos clientes. Uma opção foi a de os intervenientes no mercado desenvolverem conjuntamente normas comuns para os dados e interfaces dos clientes no âmbito de regimes de partilha de dados financeiros. Foi analisada a questão de saber se os intervenientes no mercado, para aceder aos dados, deveriam fazer parte de um regime desse tipo de forma voluntária ou obrigatória. Outra opção consistia em desenvolver esse regime através de atos delegados ou de execução (a chamada legislação de nível II que completa ou altera certos elementos não essenciais dos atos de base).

Foram consideradas várias opções para executar interfaces de elevada qualidade para a partilha de dados dos clientes. Uma opção poderia ser a de os detentores dos dados serem obrigados a criar interfaces de programação de aplicações (IPA) que apliquem as normas comuns para os dados e as interfaces e a disponibilizá-las aos utilizadores dos dados sem contrato e sem poderem receber qualquer compensação dos utilizadores dos dados pela utilização dessas interfaces. Outra opção seria permitir uma compensação razoável para criar e utilizar as interfaces e chegar a acordo sobre a responsabilidade contratual.

A Comissão considerou que a opção preferida é um regulamento da UE que estabelece um quadro de acesso aos dados financeiros que se caracteriza por:

·exigir que os intervenientes no mercado forneçam aos clientes painéis de autorização de acesso aos dados financeiros, estabeleçam regras de elegibilidade para o acesso aos dados dos clientes e habilitem as Autoridades Europeias de Supervisão (AES) a emitir orientações para proteger os consumidores contra riscos de tratamento injusto ou de exclusão,

·mandatar o acesso dos utilizadores dos dados a conjuntos selecionados de dados de clientes em todo o setor financeiro, sempre sob reserva da autorização dos clientes a quem os dados dizem respeito,

·exigir que os intervenientes no mercado desenvolvam normas comuns para os dados e interfaces dos clientes no que respeita aos dados sujeitos a acesso obrigatório, como parte dos regimes, e

·exigir que os detentores dos dados criem IPA mediante compensação, aplicando as normas comuns para os dados e as interfaces dos clientes desenvolvidas no âmbito dos regimes e exigindo que os membros do regime cheguem a acordo sobre a responsabilidade contratual.

O impacto económico global esperado da presente proposta seria um melhor acesso a serviços financeiros de melhor qualidade, melhorando a relação qualidade/preço global. O acesso aos dados financeiros resultaria em serviços mais centrados no utilizador: os serviços personalizados podem beneficiar os consumidores que procuram consultoria para investimento, sendo de esperar que a avaliação automatizada da solvabilidade contribua para facilitar o acesso das PME ao financiamento. Prevê-se um impacto positivo na economia em geral, graças a uma prestação de serviços mais eficiente em resultado de uma concorrência mais eficaz. No entanto, para que estes impactos positivos se concretizem, é importante assegurar que a reutilização de dados não conduza a práticas anticoncorrenciais e a conluios, especialmente tendo em conta o requisito de adesão obrigatória a regimes contratuais, e que os detentores dos dados, em particular, não excluam os concorrentes através de taxas elevadas de acesso aos dados.

É de esperar que a proposta tenha um impacto social globalmente positivo, desde que os riscos associados sejam mantidos sob controlo. A partilha de dados dos clientes seria controlada, uma vez que fica sujeita ao pedido do cliente – o acesso obrigatório só será desencadeado quando o cliente tiver solicitado a partilha dos seus dados. Uma partilha de dados mais pormenorizada poderia permitir o acesso ao financiamento a utilizadores anteriormente excluídos. Poderia facilitar poupanças e pensões específicas, facilitando uma visão global dos direitos de pensão privados e profissionais, bem como de outras poupanças-reforma. Por outro lado, sem salvaguardas adequadas, uma maior utilização de dados poderia, em casos específicos, conduzir a um risco de custos mais elevados ou mesmo a uma maior exclusão de clientes com um perfil de risco desfavorável. É necessário prestar especial atenção aos serviços com mutualização do risco inerente, como os seguros. No entanto, a opção preferida atenuaria esse impacto, uma vez que os conjuntos de dados diretamente pertinentes para os serviços financeiros essenciais para os consumidores seriam excluídos do seu âmbito de aplicação e as orientações da EBA e da EIOPA sobre os perímetros de utilização de dados pessoais aplicáveis constituiriam uma salvaguarda adicional.

De um modo geral, é de esperar que o acesso aos dados financeiros tenha um impacto indireto neutro e positivo no ambiente, uma vez que provavelmente apoiaria a adoção de serviços de investimento inovadores, incluindo os que canalizam os investimentos para atividades mais sustentáveis. Embora possa haver algumas implicações negativas de uma utilização mais intensiva de centros de dados, a par de uma reutilização mais alargada dos dados, é provável que o seu âmbito seja limitado, uma vez que a maior parte dos dados abrangidos pela presente proposta já existem em formato digital. O volume de tratamento adicional proviria principalmente dos utilizadores dos dados que acedem a esses dados.

Dada a disponibilidade limitada de dados e a natureza da presente proposta, é intrinsecamente difícil fazer previsões quantitativas sobre a forma como beneficiaria a economia no seu conjunto. Do mesmo modo, é igualmente difícil distinguir os efeitos de cada medida de política do potencial impacto agregado. Embora os custos de cada opção estratégica sejam já difíceis de estimar, os seus benefícios isolados são ainda mais difíceis de avaliar. Foi feita uma tentativa de apresentar uma avaliação macroeconómica dos potenciais benefícios com base num estudo a nível macroeconómico, cujo objetivo não era, no entanto, quantificar explicitamente os benefícios da presente proposta. Assim, o intervalo de valores apresentado de seguida deve ser tomado como uma ilustração dos benefícios potenciais e não como uma estimativa específica. De acordo com esta avaliação macroeconómica, os benefícios anuais totais para a economia da UE resultantes de um melhor acesso e partilha de dados no setor financeiro da UE variam entre 4,6 mil milhões de EUR e 12,4 mil milhões de EUR, incluindo o impacto direto na economia dos dados financeiros da UE entre 663 e 2 mil milhões de EUR por ano. O custo global estimado da proposta poderá situar-se entre 2,2 mil milhões de EUR e 2,4 mil milhões de EUR em custos pontuais e entre 147 e 465 milhões de EUR em custos recorrentes anuais.

O financiamento digital tem muitos aspetos que podem melhorar o funcionamento das economias e reforçar a causa do desenvolvimento sustentável. O acesso ao financiamento é um dos principais desafios do desenvolvimento sustentável. Mesmo não sendo o objetivo direto da proposta, esta contribuirá indiretamente para promover o crescimento económico e o emprego inclusivos e sustentáveis. Pode ajudar as pessoas socialmente excluídas a obter um melhor acesso ao financiamento. A presente proposta está em consonância com a construção de infraestruturas resilientes, a industrialização sustentável e a inovação. Pode libertar forças económicas competitivas que melhoram a conectividade no domínio financeiro. A proposta contribuirá igualmente para combater as alterações climáticas através de consultaria específica para investimento, ajudando os investidores a tomar decisões mais informadas, o que pode ajudar a canalizar os fluxos de capitais para investimentos sustentáveis.

•Adequação da regulamentação e simplificação

•Direitos fundamentais

4.INCIDÊNCIA ORÇAMENTAL

A execução da presente proposta não teria impacto no orçamento geral da União Europeia. Embora as Autoridades Europeias de Supervisão (AES) tenham de desempenhar algumas tarefas para que a legislação seja corretamente aplicada, a maior parte destas tarefas recai na esfera dos mandatos existentes das AES, por exemplo, a elaboração de projetos de normas regulamentares ou de execução ou de orientações para uma melhor aplicação do presente regulamento. Além disso, embora a Autoridade Bancária Europeia (EBA) fosse obrigada a criar um registo com informações sobre, por exemplo, os prestadores de serviços de informação financeira, os custos de criação desse registo seriam limitados e deveriam ser cobertos por poupanças de custos resultantes das sinergias e ganhos de eficiência que todos os organismos da União deverão realizar. Inversamente, a legislação não conferiria quaisquer novas funções de supervisão ou de acompanhamento às AES. Por conseguinte, quaisquer custos resultantes da aplicação da legislação proposta devem ser cobertos pelo orçamento existente das AES.

As implicações em termos de custos e encargos administrativos para as autoridades nacionais competentes (ANC) são limitadas. A sua magnitude e distribuição dependerão do requisito imposto aos prestadores de serviços de informação financeira de solicitarem uma licença concedida por uma ANC e das tarefas de supervisão e acompanhamento conexas. Estes custos para as ANC seriam parcialmente compensados pelas taxas de supervisão que as ANC cobrariam aos prestadores de serviços de informação financeira.

As instituições financeiras regulamentadas que já disponham de uma licença não seriam afetadas pelo novo regime de licenciamento que a presente proposta estabeleceria e não existiriam requisitos adicionais regulamentares de apresentação de informações, de licenciamento ou requisitos de outra natureza. Para as empresas que necessitam de obter uma licença, os custos totais do pedido de licença são estimados em cerca de 18,5 milhões de EUR, partindo do princípio de que cerca de 350 empresas se candidatariam a serem prestadores de serviços de informação financeira para poderem aceder aos dados dos clientes. Estas empresas teriam igualmente de cumprir os requisitos do Regulamento DORA e de implementar as normas de cibersegurança necessárias.

5.OUTROS ELEMENTOS

•Planos de execução e acompanhamento, avaliação e prestação de informações

É necessário prever um mecanismo de acompanhamento e avaliação para garantir que as ações regulamentares empreendidas são eficazes na consecução dos seus objetivos. A Comissão avaliará o impacto do presente regulamento e será incumbida do seu reexame (artigo 31.º da proposta).

•Explicação pormenorizada das disposições específicas da proposta

A presente proposta visa estabelecer um quadro que regule o acesso e a utilização dos dados dos clientes no setor financeiro (acesso aos dados financeiros). O acesso aos dados financeiros refere-se ao acesso e ao tratamento de dados empresa a empresa e empresa a cliente (incluindo a consumidor), a pedido dos clientes, numa vasta gama de serviços financeiros. A proposta está dividida em nove títulos.

O título I estabelece o objeto, o âmbito de aplicação e as definições. O artigo 1.º estipula que o regulamento estabelece as regras em consonância com as quais é possível aceder, partilhar e utilizar determinadas categorias de dados de clientes no setor financeiro. Estabelece igualmente os requisitos de acesso, partilha e utilização de dados no setor financeiro, os direitos e as obrigações dos utilizadores dos dados e dos detentores dos dados e os direitos e as obrigações dos prestadores de serviços de informação financeira no que respeita à prestação de serviços de informação financeira como ocupação regular ou atividade operacional. O artigo 2.º define o âmbito de aplicação do regulamento em determinados conjuntos de dados exaustivamente descritos e enumera as empresas às quais se aplica o presente regulamento. O artigo 3.º estabelece os termos e as definições utilizados para efeitos do presente regulamento, incluindo «detentor dos dados», «utilizador dos dados», «prestador de serviços de informação financeira» e outros.

O título II introduz uma obrigação jurídica para os detentores dos dados e regula a forma como esta obrigação deve ser exercida. O artigo 4.º indica que o detentor dos dados está obrigado a disponibilizar aos clientes os dados abrangidos pelo âmbito de aplicação do presente regulamento com base num pedido. O artigo 5.º confere ao cliente o direito de solicitar que o detentor dos dados partilhe esses dados com um utilizador dos dados. No que respeita aos dados pessoais, é necessário que o pedido cumpra uma base jurídica válida, tal como referido no Regulamento Geral sobre a Proteção de Dados (RGPD), que permita o tratamento de dados pessoais. O artigo 6.º impõe determinadas obrigações aos utilizadores dos dados que recebem dados a pedido dos clientes. Só deve haver acesso aos dados dos clientes disponibilizados nos termos do artigo 5.º e estes dados só devem ser utilizados para os fins e nas condições acordados com o cliente. As credenciais de segurança personalizadas do cliente não devem ser acessíveis a outras partes e os dados não devem ser conservados por mais tempo do que o necessário.

O título III estabelece os requisitos para garantir a utilização responsável dos dados e a segurança dos mesmos. O artigo 7.º fornece orientações sobre a forma como as empresas devem utilizar os dados em determinados casos de utilização e assegura a inexistência de discriminação ou restrição no acesso aos serviços em resultado da utilização dos dados. Garante que não será recusado acesso a produtos financeiros aos clientes que recusam autorizar a utilização de conjuntos dos seus dados, unicamente pelo facto de estes clientes terem recusado conceder autorização. O artigo 8.º estabelece os painéis de autorização de acesso aos dados financeiros para garantir que os clientes possam acompanhar as suas autorizações de dados, podendo aceder a uma síntese das suas autorizações de dados, conceder novas autorizações e retirar autorizações, se necessário.

O título IV estabelece os requisitos para a criação e governação de regimes de partilha de dados financeiros, cujo objetivo é congregar os detentores dos dados, os utilizadores dos dados e as organizações de consumidores. Esses regimes devem desenvolver normas em matéria de dados e interfaces, estabelecer os mecanismos de coordenação para o funcionamento dos painéis de autorização de acesso aos dados financeiros, bem como um quadro contratual comum normalizado que regule o acesso a conjuntos de dados específicos, as regras de governação desses regimes, os requisitos de transparência, as regras de compensação, a responsabilidade e a resolução de litígios. O artigo 9.º estabelece a necessidade de os dados abrangidos pelo âmbito de aplicação do presente regulamento serem disponibilizados apenas aos membros de um regime de partilha de dados financeiros, tornando obrigatória a existência e a adesão a esses regimes. O artigo 10.º estabelece os processos de governação desse regime, incluindo as regras relativas à responsabilidade contratual dos seus membros e o mecanismo de resolução extrajudicial de litígios. O artigo 10.º prevê igualmente o desenvolvimento de normas comuns para a partilha de dados e a criação de interfaces técnicas a utilizar para a partilha de dados. Os referidos regimes de partilha de dados devem ser notificados às autoridades competentes, devem beneficiar de um passaporte para operações em toda a UE e, para efeitos de transparência, devem fazer parte de um registo cuja manutenção compete à EBA. As disposições mínimas relativas a um regime de partilha de dados financeiros devem também estipular que os detentores dos dados devem ter direito a uma compensação pela disponibilização dos dados aos utilizadores dos dados, de acordo com os termos e condições do regime de que fazem parte. Em qualquer caso, é imperativo que a compensação seja razoável, assente numa metodologia clara e transparente previamente acordada pelos membros do regime e tenha por objetivo refletir, no mínimo, os custos incorridos com a disponibilização de uma interface técnica para partilhar os dados solicitados. O artigo 11.º prevê uma habilitação da Comissão para adotar um ato delegado caso não seja desenvolvido um regime de partilha de dados financeiros para uma ou mais categorias de dados de clientes.

O título V estabelece as disposições relativas à autorização e às condições de funcionamento dos prestadores de serviços de informação financeira. Estes requisitos destacam o conteúdo exigido de um pedido (artigo 12.º), a nomeação de um representante legal (artigo 13.º), o âmbito da autorização, incluindo o passaporte da UE dos prestadores de serviços de informação financeira (artigo 14.º) e o direito concedido às autoridades competentes de revogar uma autorização. O artigo 15.º prevê a criação de um registo dos prestadores de serviços de informação financeira e de regimes de partilha de dados a deter pela EBA. O artigo 16.º estabelece os requisitos em matéria de organização aplicáveis aos prestadores de serviços de informação financeira.

O título VI fornece informações pormenorizadas sobre os poderes das autoridades competentes. O artigo 17.º impõe aos Estados-Membros a obrigação de designarem autoridades competentes. O artigo 18.º estabelece disposições pormenorizadas sobre os poderes das autoridades competentes. O artigo 19.º prevê o poder de celebrar acordos de transação e ações executivas de tramitação acelerada. Os artigos 20.º a 21.º especificam as sanções administrativas e outras medidas administrativas, bem como as sanções pecuniárias compulsórias, que podem ser impostas pelas autoridades competentes. O artigo 22.º estabelece as circunstâncias que devem ser tidas em conta quando as autoridades competentes determinam sanções administrativas e outras medidas administrativas. O artigo 23.º abrange o segredo profissional para o intercâmbio de informações entre autoridades competentes. O título VI inclui regras sobre o direito de recurso (artigo 24.º), a publicação das sanções administrativas e das medidas administrativas impostas (artigo 25.º), as regras relativas ao intercâmbio de informações entre as autoridades competentes (artigo 26.º) e a resolução de diferendos entre elas (artigo 27.º).

O título VII prevê o procedimento de notificação às autoridades competentes para as empresas que exercem o direito de estabelecimento e da livre prestação de serviços (artigo 28.º), bem como uma obrigação de informar as autoridades competentes quando tomam medidas que impliquem restrições à liberdade de estabelecimento (artigo 29.º).

O título VIII inclui o exercício da delegação com vista à adoção de atos delegados da Comissão (artigo 30.º), uma vez que a própria proposta contém uma habilitação para a Comissão adotar um ato delegado nos termos do artigo 11.º. Este título inclui igualmente a obrigação de a Comissão proceder ao reexame de certos aspetos do regulamento (artigo 31.º). Os artigos 32.º a 34.º incluem as alterações necessárias aos regulamentos que criam as AES, a fim de incluir o presente regulamento e os prestadores de serviços de informação financeira no seu âmbito de aplicação. O artigo 35.º inclui uma alteração do Regulamento Resiliência Operacional Digital. O artigo 36.º indica que o presente regulamento entra em vigor 24 meses após a sua entrada em vigor, com exceção do título IV (relativo aos regimes) que entra em vigor 18 meses após a entrada em vigor do regulamento.

2023/0205 (COD)

Proposta de

REGULAMENTO DO PARLAMENTO EUROPEU E DO CONSELHO

relativo a um quadro de acesso aos dados financeiros e que altera os Regulamentos
(UE) n.º 1093/2010, (UE) n.º 1094/2010, (UE) n.º 1095/2010 e (UE) 2022/2554

(Texto relevante para efeitos do EEE)

O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 114.º,

Tendo em conta a proposta da Comissão Europeia,

Após transmissão do projeto de ato legislativo aos parlamentos nacionais,

Tendo em conta o parecer do Comité Económico e Social Europeu 6 ,

Deliberando de acordo com o processo legislativo ordinário,

Considerando o seguinte:

(1)Uma economia dos dados responsável, impulsionada pela produção e utilização de dados, é parte integrante do mercado interno da União, que pode trazer benefícios tanto para os cidadãos da União como para a economia. As tecnologias digitais que dependem de dados estão a impulsionar cada vez mais mudanças nos mercados financeiros, produzindo novos modelos de negócio, produtos e formas de as empresas dialogarem com os clientes.

(2)Os clientes das instituições financeiras, tanto consumidores como empresas, devem ter um controlo efetivo sobre os seus dados financeiros e a oportunidade de beneficiar de uma inovação baseada em dados aberta, justa e segura no setor financeiro. Esses clientes devem poder decidir como e por quem são utilizados os seus dados financeiros e dispor da opção de conceder às empresas acesso aos seus dados para efeitos de obtenção de serviços financeiros e de informação, se assim o desejarem.

(3)A União tem um interesse estratégico declarado em permitir o acesso dos clientes das instituições financeiras aos seus dados financeiros. Na sua comunicação sobre uma estratégia em matéria de financiamento digital e na comunicação sobre uma União dos Mercados de Capitais, adotada em 2021, a Comissão confirmou a intenção de criar um quadro de acesso aos dados financeiros, a fim de colher os benefícios para os clientes da partilha de dados no setor financeiro. Esses benefícios incluem o desenvolvimento e o fornecimento de produtos financeiros e serviços financeiros baseados em dados, possibilitados pela partilha de dados dos clientes.

(4)No âmbito dos serviços financeiros e em resultado da Diretiva (UE) 2015/2366 do Parlamento Europeu e do Conselho revista 7 , a partilha de dados das contas de pagamentos na União com base na autorização dos clientes começou a transformar a forma como os consumidores e as empresas utilizam os serviços bancários. A fim de tirar partido das medidas previstas nessa diretiva, importa estabelecer um quadro regulamentar para a partilha de dados dos clientes em todo o setor financeiro para lá dos dados das contas de pagamento, que pode igualmente servir de base para a plena integração do setor financeiro na estratégia para os dados da Comissão 8 , que promove a partilha de dados entre setores.

(5)É imperativo assegurar o controlo e a confiança dos clientes na criação de um quadro eficaz e funcional de partilha de dados no setor financeiro. Assegurar um controlo eficaz dos clientes sobre a partilha de dados contribui para a inovação, bem como para a confiança dos clientes na partilha de dados. Consequentemente, um controlo eficaz ajuda a superar a relutância dos clientes em partilhar os seus dados. Ao abrigo do atual quadro da União, o direito de portabilidade dos dados de um titular de dados, em conformidade com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho 9 , está limitado aos dados pessoais e só pode ser invocado quando a sua portabilidade for tecnicamente viável. Os dados dos clientes e as interfaces técnicas no setor financeiro para lá das contas de pagamento não se encontram normalizados, o que torna a partilha de dados mais onerosa. Além disso, as instituições financeiras só estão legalmente obrigadas a disponibilizar os dados relativos aos pagamentos dos seus clientes.

(6)A economia dos dados financeiros da União continua, por conseguinte, a ser fragmentada, caracterizada por uma partilha desigual de dados, obstáculos e uma elevada relutância das partes interessadas em participar na partilha de dados que extravase as contas de pagamento. Por conseguinte, os clientes não beneficiam de produtos e serviços individualizados e baseados em dados que possam corresponder às suas necessidades específicas. A ausência de produtos financeiros personalizados limita a possibilidade de inovar, com a oferta de mais escolha e mais produtos e serviços financeiros aos consumidores interessados que, de outro modo, poderiam beneficiar de ferramentas baseadas em dados passíveis de os ajudar a fazer escolhas informadas, comparar ofertas de uma forma convivial e mudar para produtos mais vantajosos que correspondam às suas preferências com base nos seus dados. Os obstáculos existentes à partilha de dados comerciais impedem as empresas, em especial as PME, de beneficiarem de serviços financeiros melhores, oportunos e automatizados.

(7)É essencial a disponibilização de dados através de interfaces de programação de aplicações de elevada qualidade com vista a facilitar o acesso eficaz e sem descontinuidades aos dados. No entanto, para lá da área das contas de pagamento, apenas uma minoria das instituições financeiras detentoras de dados indica disponibilizarem dados através de interfaces técnicas, como interfaces de programação de aplicações. Uma vez que não existem incentivos para o desenvolvimento desses serviços inovadores, a procura do mercado de acesso aos dados continua a ser limitada.

(8)Por conseguinte, é necessário um quadro específico e harmonizado para o acesso aos dados financeiros a nível da União, a fim de responder às necessidades da economia digital e eliminar os obstáculos ao bom funcionamento do mercado interno dos dados. São necessárias regras específicas para eliminar estes obstáculos, com vista a promover um melhor acesso aos dados dos clientes e, por conseguinte, permitir que os consumidores e as empresas obtenham os ganhos decorrentes de melhores produtos e serviços financeiros. O financiamento baseado em dados facilitaria a transição da indústria da oferta tradicional de produtos normalizados para soluções mais adequadas às necessidades específicas dos clientes, incluindo melhores interfaces para os clientes que reforcem a concorrência, melhorem a experiência dos utilizadores e assegurem serviços financeiros centrados no cliente enquanto utilizador final.

(9)Os dados incluídos no âmbito de aplicação do presente regulamento devem demonstrar um elevado valor acrescentado para a inovação financeira, bem como um baixo risco de exclusão financeira para os consumidores. Por conseguinte, o presente regulamento não deve abranger os dados relacionados com seguros de doença e de saúde de um consumidor, em conformidade com a Diretiva 2009/138/CE do Parlamento Europeu e do Conselho 10 , nem os dados sobre produtos de seguros de vida de um consumidor, em conformidade com a Diretiva 2009/138/CE, que não sejam contratos de seguro de vida cobertos por produtos de investimento com base em seguros. O presente regulamento também não deve abranger os dados recolhidos no âmbito de uma avaliação da solvabilidade de um consumidor. A partilha de dados dos clientes no âmbito do presente regulamento deve respeitar a proteção dos dados comerciais confidenciais e dos segredos comerciais.

(10)A partilha dos dados dos clientes no âmbito do presente regulamento deve ter por base a autorização do cliente. A obrigação jurídica de os detentores dos dados partilharem os dados dos clientes deve ser acionada logo que o cliente tenha solicitado a partilha dos seus dados com um utilizador dos dados. Este pedido pode ser apresentado por um utilizador dos dados a atuar por conta do cliente. Quando esteja envolvido o tratamento de dados pessoais, o utilizador dos dados deve ter um fundamento legal válido para o tratamento ao abrigo do Regulamento (UE) 2016/679. Os dados dos clientes podem ser tratados para as finalidades acordadas no contexto do serviço prestado. É imperativo que o tratamento de dados pessoais respeite os princípios da proteção dos dados pessoais, incluindo a licitude, a lealdade e a transparência, a limitação das finalidades e a minimização dos dados. O cliente tem o direito de retirar a autorização concedida a um utilizador dos dados. Quando o tratamento de dados for necessário para a execução de um contrato, o cliente deve poder retirar autorizações de acordo com as obrigações contratuais relativamente às quais o titular dos dados é parte. Quando o tratamento de dados pessoais se baseia no consentimento, o titular dos dados tem o direito de retirar o seu consentimento a qualquer momento, tal como previsto no Regulamento (UE) 2016/679.

(11)Permitir que os clientes partilhem os seus dados sobre os investimentos atuais que detêm pode incentivar a inovação na prestação de serviços de investimento de retalho. A recolha de dados primários para concluir uma avaliação da adequação e idoneidade de um pequeno investidor é intensiva em termos de tempo para um cliente e constitui um fator de custo significativo para os consultores e distribuidores de produtos de investimento, pensões e produtos de investimento com base em seguros. A partilha de dados dos clientes sobre as detenções de poupanças e investimentos em instrumentos financeiros, incluindo produtos de investimento com base em seguros e dados recolhidos para efeitos da realização de uma avaliação da adequação e idoneidade, pode melhorar a consultoria em matéria de investimento para os consumidores e tem um forte potencial de inovação, nomeadamente no desenvolvimento de serviços personalizados de consultoria em matéria de investimento e de instrumentos de gestão de investimentos que possam tornar mais eficiente a consultaria em matéria de investimento de retalho. Esses instrumentos de gestão já estão a ser desenvolvidos no mercado e podem desenvolver-se de forma mais eficaz quando um cliente tem a possibilidade de partilhar os seus dados relacionados com o investimento.

(12)Os dados dos clientes sobre o saldo, as condições ou os pormenores de operações relacionados com hipotecas, empréstimos e poupanças podem permitir aos clientes obter uma melhor panorâmica dos seus depósitos e satisfazer melhor as suas necessidades de poupança com base em dados sobre os créditos. O presente regulamento deve abranger os dados dos clientes para lá das contas de pagamento definidas na Diretiva (UE) 2015/2366. As contas de crédito cobertas por uma linha de crédito que não possam ser utilizadas para a execução de operações de pagamento a terceiros devem ser abrangidas pelo âmbito de aplicação do presente regulamento. Por conseguinte, deve entender-se que o presente regulamento abrange o acesso ao saldo, às condições ou aos pormenores das operações relacionados com contratos de crédito hipotecário, empréstimos e contas-poupança, bem como os tipos de contas que não são abrangidas pelo âmbito de aplicação da Diretiva (UE) 2015/2366 11 .

(13)Os dados dos clientes incluídos no âmbito de aplicação do presente regulamento devem incluir informações relacionadas com a sustentabilidade que permitam aos clientes aceder mais facilmente a serviços financeiros que estejam em consonância com as suas preferências em matéria de sustentabilidade e as suas necessidades de financiamento sustentável, em conformidade com a estratégia de financiamento da transição para uma economia sustentável da Comissão 12 . O acesso a dados relativos à sustentabilidade que possam estar contidos no balanço ou em pormenores de operações relacionados com uma hipoteca, um crédito, um empréstimo ou uma conta-poupança, bem como o acesso aos dados dos clientes relativos à sustentabilidade detidos pelas empresas de investimento, pode contribuir para facilitar o acesso aos dados necessários para aceder a financiamento sustentável ou realizar investimentos na transição ecológica. Além disso, os dados dos clientes no âmbito do presente regulamento devem incluir dados que façam parte de uma avaliação da solvabilidade relacionada com as empresas, incluindo as pequenas e médias empresas, e que possam proporcionar uma melhor compreensão dos objetivos de sustentabilidade das pequenas empresas. É importante que a inclusão de dados utilizados para a avaliação da solvabilidade das empresas melhore o acesso ao financiamento e simplifique os pedidos de empréstimos. Esses dados devem limitar-se aos dados sobre as empresas e não devem violar os direitos de propriedade intelectual.

(14)Os dados dos clientes relacionados com a prestação de seguros não vida são essenciais para permitir produtos e serviços de seguros importantes para as necessidades do cliente, como a proteção de habitações, veículos e outros bens. Ao mesmo tempo, a recolha desses dados é muitas vezes dispendiosa e onerosa e pode ter um efeito dissuasor na procura de uma cobertura de seguro otimizada por parte dos clientes. Para resolver este problema, é, por conseguinte, necessário incluir esses serviços financeiros no âmbito de aplicação do presente regulamento. Os dados dos clientes sobre produtos de seguros abrangidos pelo âmbito de aplicação do presente regulamento devem incluir tanto informações pormenorizadas sobre produtos de seguros como dados específicos sobre os ativos segurados dos consumidores, que são recolhidos para efeitos de um teste sobre as exigências e as necessidades. A partilha desses dados deve permitir o desenvolvimento de ferramentas personalizadas para os clientes, tais como painéis de seguros que possam ajudar os consumidores a gerir melhor os seus riscos. Poderá também ajudar os clientes a obter produtos mais bem orientados para as suas exigências e necessidades, nomeadamente através de aconselhamento mais valioso. Tal pode contribuir para uma cobertura de seguro mais otimizada para os clientes e para uma maior inclusão financeira dos consumidores insuficientemente servidos de outro modo, oferecendo uma cobertura nova ou acrescida. Além disso, a partilha de dados sobre seguros pode favorecer uma oferta mais eficiente de seguros, incluindo, em especial, nas fases de conceção do produto, de subscrição, de execução dos contratos, incluindo a gestão de sinistros, e de atenuação dos riscos.

(15)A partilha de dados sobre as poupanças-reforma profissionais e individuais tem um forte potencial inovador para os consumidores. Os aforradores no domínio das poupanças-reforma carecem frequentemente de conhecimentos suficientes sobre os seus direitos de pensão, o que está relacionado com o facto de os dados sobre esses direitos estarem frequentemente dispersos por diferentes detentores dos dados. A partilha de dados relacionados com as poupanças-reforma profissionais e individuais deve contribuir para o desenvolvimento de instrumentos de acompanhamento das pensões que proporcionem aos aforradores uma visão abrangente dos seus direitos e rendimentos de reforma, tanto dentro de determinados Estados-Membros como transfronteiras na União. Os dados sobre os direitos de pensão dizem respeito, em especial, aos direitos de pensão acumulados, aos níveis previstos das prestações de reforma, aos riscos e garantias dos membros e beneficiários de planos de pensões profissionais. O acesso aos dados relacionados com as pensões profissionais não prejudica a legislação social e laboral nacional em matéria de organização dos regimes de pensões, incluindo a adesão a regimes e os resultados das convenções coletivas de trabalho.

(16)Os dados que fazem parte de uma avaliação da solvabilidade de uma empresa abrangida pelo âmbito de aplicação do presente regulamento devem consistir em informações que uma empresa fornece às instituições e aos credores no âmbito do processo de pedido de empréstimo ou de um pedido de notação de risco. Tal inclui os pedidos de empréstimos de micro, pequenas, médias e grandes empresas. Pode incluir dados recolhidos pelas instituições e pelos credores, tal como estabelecido no anexo II das Orientações sobre a concessão e a monitorização de empréstimos da Autoridade Bancária Europeia 13 . Esses dados podem incluir demonstrações e projeções financeiras, informações sobre passivos financeiros e pagamentos em atraso, provas da propriedade da garantia, prova de seguro da garantia e informações sobre garantias. Podem ser pertinentes dados adicionais se a finalidade do pedido de empréstimo estiver relacionada com a aquisição de imobiliário comercial ou a promoção imobiliária.

(17)Uma vez que o presente regulamento se destina a obrigar as instituições financeiras a facultar o acesso a categorias de dados definidas a pedido do cliente quando atuam na qualidade de detentores dos dados e a permitir a partilha de dados com base na autorização dos clientes quando as instituições financeiras atuam na qualidade de utilizadores dos dados, deve fornecer uma lista das instituições financeiras que podem atuar como detentores dos dados, como utilizadores dos dados ou ambos. Por conseguinte, as instituições financeiras devem ser entendidas como as entidades que prestam produtos financeiros e serviços financeiros ou prestam serviços de informação pertinentes aos clientes do setor financeiro.

(18)As práticas empreendidas pelos utilizadores dos dados para combinar fontes de dados dos clientes novas e tradicionais no âmbito do presente regulamento devem ser proporcionadas, a fim de garantir que não conduzem a riscos de exclusão financeira para os consumidores. As práticas que conduzem a uma análise mais sofisticada ou abrangente de certos segmentos vulneráveis de consumidores, como as pessoas com baixos rendimentos, podem aumentar o risco de condições desleais ou de práticas tarifárias diferenciadas, como a cobrança de prémios diferenciados. O potencial de exclusão é aumentado na oferta de produtos e serviços com preços diferenciados de acordo com o perfil de um consumidor, nomeadamente na classificação do crédito e na avaliação da solvabilidade de pessoas singulares, bem como em produtos e serviços relacionados com a avaliação dos riscos e a fixação dos preços das pessoas singulares no caso dos seguros de vida e de saúde. Tendo em conta os riscos, a utilização de dados para estes produtos e serviços deve estar sujeita a requisitos específicos de proteção dos consumidores e dos seus direitos fundamentais.

(19)O perímetro de utilização dos dados, de acordo com o estabelecido no presente regulamento e nas orientações que o acompanham («orientações») a elaborar pela Autoridade Bancária Europeia (EBA) e pela Autoridade Europeia dos Seguros e Pensões Complementares de Reforma (EIOPA), deve proporcionar um quadro proporcionado sobre a forma como os dados pessoais relacionados com um consumidor abrangido pelo âmbito de aplicação do presente regulamento devem ser utilizados. O perímetro de utilização dos dados assegura a coerência entre o âmbito de aplicação do presente regulamento, que exclui os dados que fazem parte de uma avaliação da solvabilidade de um consumidor, bem como os dados relacionados com os seguros de vida, de saúde e de doença de um consumidor, e o âmbito das orientações, que estabelecem recomendações sobre a forma como os tipos de dados provenientes de outros domínios do setor financeiro abrangidos pelo presente regulamento podem ser utilizados para fornecer esses produtos e serviços. As orientações elaboradas pela EBA devem definir a forma como outros tipos de dados abrangidos pelo âmbito de aplicação do presente regulamento podem ser utilizados para avaliar a pontuação de crédito de um consumidor. As orientações elaboradas pela EIOPA devem definir a forma como os dados abrangidos pelo âmbito de aplicação do presente regulamento podem ser utilizados em produtos e serviços relacionados com a avaliação dos riscos e a fixação de preços no caso dos produtos de seguro de vida, de saúde e de doença. É importante que as orientações sejam elaboradas de forma consentânea com as necessidades do consumidor e proporcional à oferta desses produtos e serviços.

(20)A EBA e a EIOPA devem cooperar estreitamente com o Comité Europeu para a Proteção de Dados na elaboração das orientações, que devem ter por base as recomendações existentes sobre a utilização das informações aos consumidores no domínio do crédito ao consumo e do crédito hipotecário, nomeadamente as regras relativas à utilização da avaliação da solvabilidade nos termos da Diretiva 2008/48/CE do Parlamento Europeu e do Conselho, de 23 de abril de 2008, relativa a contratos de crédito aos consumidores e que revoga a Diretiva 87/102/CEE do Conselho, as Orientações sobre a concessão e a monitorização de empréstimos da Autoridade Bancária Europeia e as Orientações sobre a avaliação da solvabilidade da Autoridade Bancária Europeia elaboradas ao abrigo da Diretiva 2014/17/UE, bem como as orientações fornecidas pelo Comité Europeu para a Proteção de Dados sobre o tratamento de dados pessoais.

(21)Os clientes devem ter um controlo efetivo sobre os seus dados, bem como confiança na gestão das autorizações que tenham concedido em conformidade com o presente regulamento. Por conseguinte, os detentores dos dados devem ser obrigados a fornecer aos clientes painéis de autorização de acesso aos dados financeiros comuns e coerentes. O painel de autorização deve habilitar o cliente a gerir as suas autorizações de forma informada e imparcial e fornecer-lhes uma forte medida de controlo sobre a forma como os seus dados pessoais e não pessoais são utilizados. Não deve ser concebido de uma forma que incentive ou influencie indevidamente o cliente a conceder ou retirar autorizações. O painel de autorização deve ter em conta, se for caso disso, os requisitos de acessibilidade previstos na Diretiva (UE) 2019/882 do Parlamento Europeu e do Conselho 14 . Ao fornecerem um painel de autorização, os detentores dos dados podem utilizar um serviço de identificação eletrónica e de confiança notificado, como uma carteira europeia de identidade digital emitida por um Estado-Membro, tal como introduzido pela proposta que altera o Regulamento (UE) n.º 910/2014 no respeitante à criação de um Quadro Europeu para a Identidade Digital 15 . Os detentores dos dados podem também recorrer a prestadores de serviços de intermediação de dados ao abrigo do Regulamento (UE) 2022/868 do Parlamento Europeu e do Conselho 16 para fornecer painéis de autorização que cumpram os requisitos do presente regulamento.

(22)O painel de autorização deve mostrar as autorizações concedidas por um cliente, incluindo quando os dados pessoais são partilhados com base no consentimento ou quando são necessários para a execução de um contrato. O painel de autorização deve alertar o cliente de uma forma normalizada para o risco de eventuais consequências contratuais da retirada de uma autorização, mas o cliente deve continuar a ser responsável pela gestão desse risco. O painel de autorização deve ser utilizado para gerir as autorizações existentes. Os detentores dos dados devem informar em tempo real os utilizadores dos dados relativamente a qualquer retirada de autorização. É necessário que o painel de autorização inclua um registo das autorizações que tenham sido retiradas ou que tenham caducado num período máximo de dois anos, a fim de permitir que o cliente faça um acompanhamento das suas autorizações de forma informada e imparcial. Os utilizadores dos dados devem informar os detentores dos dados, em tempo real, das autorizações, novas e repostas, concedidas pelos clientes, incluindo o período de validade da autorização e um breve resumo da finalidade da autorização. As informações fornecidas no painel de autorização não prejudicam os requisitos de informação previstos no Regulamento (UE) 2016/679.

(23)A fim de assegurar a proporcionalidade, certas instituições financeiras estão excluídas do âmbito de aplicação do presente regulamento por razões associadas à sua dimensão ou aos serviços que prestam, o que dificultaria em demasia o cumprimento do presente regulamento. Incluem-se aqui as instituições de realização de planos de pensões profissionais que gerem regimes de pensões que, no seu conjunto, não têm mais de 15 membros no total, bem como os mediadores de seguros que são microempresas ou pequenas ou médias empresas. Além disso, as pequenas ou médias empresas que atuam na qualidade de detentores dos dados abrangidos pelo âmbito de aplicação do presente regulamento devem ser autorizadas a criar conjuntamente uma interface de programação de aplicações, reduzindo os custos para cada uma delas. Podem também recorrer a fornecedores de tecnologia externos que gerem interfaces de programação de aplicações de forma agrupada para as instituições financeiras e podem cobrar-lhes apenas uma taxa fixa reduzida pela utilização e trabalhar, em grande medida, com base no pagamento por ligação.

(24)O presente regulamento introduz uma nova obrigação jurídica de as instituições financeiras que atuam na qualidade de detentores dos dados partilharem categorias de dados definidas a pedido do cliente. Importa especificar a obrigação de os detentores dos dados partilharem dados a pedido do cliente através da disponibilização de normas geralmente reconhecidas, a fim de assegurar igualmente que os dados partilhados são de qualidade suficientemente elevada. O detentor dos dados deve disponibilizar continuamente os dados dos clientes para os fins e condições para os quais o cliente tenha concedido autorização a um utilizador dos dados. O acesso contínuo pode consistir em múltiplos pedidos de disponibilização de dados do cliente para a prestação do serviço acordado com o cliente. Poderá também consistir num acesso pontual aos dados dos clientes. Embora o detentor dos dados seja responsável pela disponibilidade e pela qualidade adequada da interface, esta pode ser fornecida não só pelo detentor dos dados, mas também por outra instituição financeira, um fornecedor externo de tecnologias da informação, uma associação do setor ou um grupo de instituições financeiras, ou por um organismo público num Estado-Membro. Para as instituições de realização de planos de pensões profissionais, a interface pode ser integrada em painéis de pensões que abranjam uma gama mais vasta de informações, desde que cumpra os requisitos do presente regulamento.

(25)A fim de permitir a interação contratual e técnica necessária para a execução do acesso aos dados entre várias instituições financeiras, os detentores dos dados e os utilizadores dos dados devem ser obrigados a fazer parte dos regimes de partilha de dados financeiros. Estes regimes devem desenvolver normas de dados e interfaces, quadros contratuais normalizados conjuntos que regulem o acesso a conjuntos de dados específicos e regras de governação relacionadas com a partilha de dados. A fim de assegurar o funcionamento eficaz dos regimes, é necessário estabelecer princípios gerais para a governação dos mesmos, incluindo regras sobre a governação inclusiva e a participação dos detentores dos dados, dos utilizadores dos dados e dos clientes (a fim de assegurar uma representação equilibrada nos regimes), requisitos de transparência e um bom funcionamento do procedimento de recurso e revisão (nomeadamente em torno da tomada de decisões dos regimes). É imperativo o cumprimento das regras da União em matéria de proteção dos consumidores e de proteção de dados, privacidade e concorrência por parte dos regimes de partilha de dados financeiros. Os participantes nesses regimes são igualmente incentivados a elaborar códigos de conduta semelhantes aos elaborados pelos responsáveis pelo tratamento e subcontratantes nos termos do artigo 40.º do Regulamento (UE) 2016/679. Embora esses regimes se possam basear em iniciativas de mercado existentes, os requisitos estabelecidos no presente regulamento devem ser específicos para os regimes de partilha de dados financeiros ou partes dos mesmos que os intervenientes no mercado utilizem para cumprir as respetivas obrigações ao abrigo do presente regulamento após os dados de aplicação dessas obrigações.

(26)Um regime de partilha de dados financeiros deve consistir num acordo contratual coletivo entre detentores dos dados e utilizadores dos dados com o objetivo de promover a eficiência e a inovação técnica na partilha de dados financeiros em benefício dos clientes. Em consonância com as regras da União em matéria de concorrência, um regime de partilha de dados financeiros só deve impor aos seus membros as restrições necessárias para alcançar os seus objetivos e que sejam proporcionais a esses objetivos. Não deve dar aos seus membros a possibilidade de impedir, restringir ou falsear a concorrência em relação a uma parte substancial do mercado relevante.

(27)A fim de assegurar a eficácia do presente regulamento, é necessário delegar na Comissão o poder de adotar atos em conformidade com o artigo 290.º do Tratado sobre o Funcionamento da União Europeia, no que diz respeito à especificação das modalidades e características de um regime de partilha de dados financeiros, caso um regime não seja desenvolvido pelos detentores dos dados e pelos utilizadores dos dados. É particularmente importante que a Comissão proceda às consultas adequadas durante os trabalhos preparatórios, inclusive ao nível de peritos, e que essas consultas sejam conduzidas de acordo com os princípios estabelecidos no Acordo Interinstitucional sobre legislar melhor de 13 de abril de 2016 17 . Em particular, a fim de assegurar a igualdade de participação na preparação dos atos delegados, o Parlamento Europeu e o Conselho recebem todos os documentos ao mesmo tempo que os peritos dos Estados-Membros, e os respetivos peritos têm sistematicamente acesso às reuniões dos grupos de peritos da Comissão incumbidos de preparar os atos delegados.

(28)Os detentores dos dados e utilizadores dos dados devem ser autorizados a utilizar as normas de mercado existentes aquando da elaboração de normas comuns para a partilha obrigatória de dados.

(29)A fim de assegurar que os detentores dos dados têm interesse em fornecer interfaces de elevada qualidade para disponibilizar dados aos utilizadores dos dados, os detentores dos dados devem poder solicitar uma compensação razoável aos utilizadores dos dados pela criação de interfaces de programação de aplicações. Facilitar o acesso aos dados mediante compensação asseguraria uma distribuição equitativa dos custos conexos entre os detentores dos dados e os utilizadores dos dados na cadeia de valor de dados. Nos casos em que o utilizador dos dados é uma PME, a proporcionalidade para os intervenientes no mercado de menor dimensão deve ser assegurada limitando a compensação estritamente aos custos incorridos para facilitar o acesso aos dados. O modelo para determinar o nível de compensação deve ser definido como parte dos regimes de partilha de dados financeiros previstos no presente regulamento.

(30)Os clientes devem saber quais são os seus direitos caso surjam problemas quando os dados são partilhados e a quem se dirigir para obter uma compensação. Os membros do regime de partilha de dados financeiros, incluindo os detentores dos dados e os utilizadores dos dados, devem, por conseguinte, ser obrigados a chegar a acordo sobre a responsabilidade contratual por violações de dados, bem como sobre a forma de resolver potenciais litígios entre detentores dos dados e utilizadores dos dados em matéria de responsabilidade. Esses requisitos devem centrar-se no estabelecimento, como parte de qualquer contrato, de regras de responsabilidade, bem como de obrigações e direitos claros para determinar a responsabilidade entre o detentor dos dados e o utilizador dos dados. As questões de responsabilidade relacionadas com os consumidores enquanto titulares dos dados devem ter por base o Regulamento (UE) 2016/679, nomeadamente o direito de indemnização e a responsabilidade nos termos do artigo 82.º desse regulamento.

(31)A fim de promover a proteção dos consumidores, reforçar a confiança dos clientes e assegurar condições de concorrência equitativas, é necessário estabelecer regras sobre quem é elegível para aceder aos dados dos clientes. Essas regras devem assegurar que todos os utilizadores dos dados são autorizados e supervisionados pelas autoridades competentes. Tal garantiria que os dados só possam ser acedidos por instituições financeiras regulamentadas ou por empresas sujeitas a uma autorização específica enquanto prestadores de serviços de informação financeira, o que é objeto do presente regulamento. As regras de elegibilidade em matéria de prestadores de serviços de informação financeira são necessárias para salvaguardar a estabilidade financeira, a integridade do mercado e a proteção dos consumidores, uma vez que tais prestadores de serviços forneceriam produtos e serviços financeiros aos clientes na União e teriam acesso aos dados detidos pelas instituições financeiras e cuja integridade é essencial para preservar a capacidade das instituições financeiras de continuarem a prestar serviços financeiros de forma segura e sólida. Essas regras são igualmente necessárias para garantir a supervisão adequada dos prestadores de serviços de informação financeira pelas autoridades competentes, em conformidade com o seu mandato para salvaguardar a estabilidade e a integridade financeiras na União, o que permitiria que os mesmos prestassem os serviços para os quais foram autorizados em toda a União.

(32)Os utilizadores dos dados abrangidos pelo âmbito de aplicação do presente regulamento devem estar sujeitos aos requisitos do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho 18 e, por conseguinte, ser obrigados a dispor de normas sólidas em matéria de ciber-resiliência para exercerem as suas atividades. Inclui-se aqui dispor de capacidades abrangentes que possibilitem uma gestão robusta e eficaz do risco associado às tecnologias da informação e comunicação (TIC), bem como de mecanismos e políticas específicas para o tratamento de todos os incidentes relacionados com as TIC e para a notificação dos incidentes de caráter severo relacionados com as TIC. Os utilizadores dos dados autorizados e supervisionados como os prestadores de serviços de informação financeira ao abrigo do presente regulamento devem adotar a mesma abordagem e as mesmas regras baseadas em princípios ao abordarem os riscos associados às TIC, tendo em conta a sua dimensão e o seu perfil de risco global, bem como a natureza, a escala e a complexidade dos seus serviços, atividades e operações. Os prestadores de serviços de informação financeira devem, por conseguinte, ser incluídos no âmbito de aplicação do Regulamento (UE) 2022/2554.

(33)A fim de permitir uma supervisão eficaz e eliminar a possibilidade de eludir ou contornar a supervisão, é necessário que os prestadores de serviços de informação financeira estejam legalmente constituídos na União ou, caso estejam constituídos num país terceiro, que nomeiem um representante legal na União. É necessária uma supervisão eficaz por parte das autoridades competentes para a aplicação dos requisitos do presente regulamento, a fim de garantir a integridade e a estabilidade do sistema financeiro e proteger os consumidores. O requisito de constituição legal de prestadores de serviços de informação financeira na União ou a nomeação de um representante legal na União não equivale à localização dos dados, uma vez que o presente regulamento não implica qualquer requisito adicional em matéria de tratamento de dados, incluindo o armazenamento, a realizar na União.

(34)Um prestador de serviços de informação financeira deve ser autorizado na jurisdição do Estado-Membro em que está situado o seu estabelecimento principal, ou seja, onde o prestador de serviços de informação financeira tem a sua sede efetiva ou sede social na qual são exercidas as principais funções e o controlo operacional. Em relação aos prestadores de serviços de informação financeira que não estão estabelecidos na União, mas que necessitam de acesso a dados na União e que, por conseguinte, são abrangidos pelo âmbito de aplicação do presente regulamento, deve ser competente para o efeito o Estado-Membro em que esses prestadores de serviços nomearam o seu representante legal, atendendo à função dos representantes legais nos termos do presente regulamento.

(35)A fim de facilitar a transparência no que respeita ao acesso a dados e aos prestadores de serviços de informação financeira, a EBA deve criar um registo dos prestadores de serviços de informação financeira autorizados ao abrigo do presente regulamento, bem como dos regimes de partilha de dados financeiros acordados entre detentores dos dados e utilizadores dos dados.

(36)Importa dotar as autoridades competentes dos poderes necessários para supervisionar a forma como os intervenientes no mercado cumprem a obrigação imposta aos detentores dos dados de facultarem o acesso aos dados dos clientes prevista no presente regulamento, bem como para supervisionar os prestadores de serviços de informação financeira. O acesso aos registos de tráfego de dados pertinentes na posse de um operador de telecomunicações, bem como a capacidade de apreender documentos pertinentes nas instalações, são poderes importantes e necessários para detetar e comprovar a existência de infrações ao abrigo do presente regulamento. Por conseguinte, é necessário que as autoridades competentes tenham poderes para exigir esses registos quando forem pertinentes para uma investigação, na medida em que tal seja permitido pelo direito nacional. As autoridades competentes devem igualmente cooperar com as autoridades de controlo criadas ao abrigo do Regulamento (UE) 2016/679 no desempenho das suas funções e no exercício dos seus poderes em conformidade com o referido regulamento. 

(37)Uma vez que as instituições financeiras e os prestadores de serviços de informação financeira podem estar estabelecidos em diferentes Estados-Membros e ser supervisionados por diferentes autoridades competentes, a aplicação do presente regulamento deve ser facilitada por uma estreita cooperação entre as autoridades competentes pertinentes, através do intercâmbio mútuo de informações e da prestação de assistência no contexto das atividades pertinentes de supervisão.

(38)A fim de assegurar condições de concorrência equitativas no domínio dos poderes sancionatórios, os Estados-Membros devem ser obrigados a prever sanções administrativas efetivas, proporcionadas e dissuasivas, incluindo sanções pecuniárias compulsórias, e medidas administrativas em caso de infração ao disposto no presente regulamento. É necessário que as referidas sanções administrativas, sanções pecuniárias compulsórias e medidas administrativas cumpram determinados requisitos mínimos, incluindo os poderes mínimos que devem ser conferidos às autoridades competentes para que as possam aplicar, bem como os critérios que as autoridades competentes devem ter em conta na sua aplicação e a obrigação de publicação e divulgação. Os Estados-Membros devem estabelecer regras específicas e mecanismos eficazes para a aplicação de sanções pecuniárias compulsórias.

(39)Além das sanções e medidas administrativas, as autoridades competentes devem ser habilitadas a aplicar sanções pecuniárias compulsórias aos prestadores de serviços de informação financeira e aos membros do respetivo órgão de administração que sejam identificados como responsáveis por uma infração em curso ou que sejam obrigados a cumprir uma decisão de uma autoridade competente responsável pela investigação. Uma vez que o objetivo das sanções pecuniárias compulsórias é obrigar as pessoas singulares ou coletivas a cumprir uma decisão da autoridade competente para agir, por exemplo, aceitarem serem entrevistadas ou prestarem informações, ou porem termo a uma infração em curso, a aplicação de sanções pecuniárias compulsórias não deve impedir as autoridades competentes de imporem sanções administrativas subsequentes pela mesma infração. Salvo disposição em contrário dos Estados-Membros, as sanções pecuniárias compulsórias devem ser calculadas diariamente.

(40)Independentemente da sua denominação ao abrigo do direito nacional, existem em muitos Estados-Membros formas de ação executiva de tramitação acelerada ou acordos de transação utilizados em alternativa a processos formais conducentes à imposição de sanções. Normalmente, uma ação executiva de tramitação acelerada tem início depois da conclusão de uma investigação e da decisão de dar início a um processo conducente à imposição de sanções. Uma ação executiva de tramitação acelerada caracteriza-se por ser mais breve do que um procedimento formal, devido a medidas processuais simplificadas. Nos termos de um acordo de transação, as partes objeto da investigação por uma autoridade competente acordam em pôr termo a essa investigação numa fase precoce, na maioria dos casos, aceitando a responsabilidade por irregularidades. 

(41)Embora não se afigure adequado envidar esforços para harmonizar, a nível da União, as referidas ações executivas de tramitação acelerada introduzidas por muitos Estados-Membros assentes em diferentes abordagens jurídicas adotadas a nível nacional, importa reconhecer que esses métodos permitem às autoridades competentes que as podem aplicar tratar os casos de infração de forma mais célere, menos onerosa e globalmente eficiente em determinadas circunstâncias, motivo pelo qual devem ser incentivadas. No entanto, os Estados-Membros não devem ser obrigados a introduzir tais métodos de execução no respetivo quadro jurídico, nem as autoridades competentes devem ser obrigadas a utilizá-los caso não o considerem adequado. Se os Estados-Membros optarem por habilitar as suas autoridades competentes a utilizar os referidos métodos de execução, devem notificar a Comissão dessa decisão e das medidas pertinentes que regulam essa habilitação.

(42)Os Estados-Membros devem habilitar as autoridades nacionais competentes a impor as sanções administrativas e as medidas administrativas aos prestadores de serviços de informação financeira e a outras pessoas singulares ou coletivas, se for caso disso, para corrigir a situação em caso de infração. Essa gama de sanções e medidas deverá ser suficientemente ampla para que os Estados-Membros e as autoridades competentes possam ter em conta as diferenças entre os prestadores de serviços de informação financeira no que respeita à sua dimensão, características e natureza da sua atividade.

(43)A publicação de uma sanção administrativa ou medida administrativa por infração ao disposto no presente regulamento pode ter um forte efeito dissuasivo contra a repetição de tal infração. A publicação informa igualmente outras entidades dos riscos associados ao prestador de serviços de informação financeira objeto da sanção antes de estabelecer uma relação de negócio e presta assistência às autoridades competentes de outros Estados-Membros em relação aos riscos associados a um prestador de serviços de informação financeira quando este opera nos seus Estados-Membros numa base transfronteiras. Por estas razões, a publicação de decisões sobre sanções administrativas e medidas administrativas deve ser autorizada desde que diga respeito a pessoas coletivas. Ao decidirem da publicação de uma sanção administrativa ou medida administrativa, as autoridades competentes devem ter em conta a gravidade da infração e o efeito dissuasivo que a publicação é suscetível de produzir. No entanto, qualquer publicação desse tipo referente a pessoas singulares pode afetar de forma desproporcionada os seus direitos decorrentes da Carta dos Direitos Fundamentais da União Europeia e da legislação da União aplicável em matéria de proteção de dados. A publicação deve ocorrer de forma anonimizada, a menos que a autoridade competente considere necessário publicar decisões que contenham dados pessoais para efeitos da aplicação efetiva do presente regulamento, incluindo no caso de declarações públicas ou proibições temporárias. Nesses casos, a autoridade competente deve justificar a sua decisão.

(44)O intercâmbio de informações e a prestação de assistência entre as autoridades competentes dos Estados-Membros são essenciais para efeitos do presente regulamento. Por conseguinte, a cooperação entre autoridades não deve estar sujeita a condições restritivas irrazoáveis.

(45)O acesso transfronteiras aos dados por parte dos prestadores de serviços de informação deve ser autorizado ao abrigo da livre prestação de serviços ou da liberdade de estabelecimento. Um prestador de serviços de informação financeira que pretenda ter acesso a dados na posse de um detentor dos dados noutro Estado-Membro deve notificar a sua intenção à respetiva autoridade competente, fornecendo informações sobre o tipo de dados a que pretende aceder, o regime de partilha de dados financeiros de que é membro e os Estados-Membros em que tenciona aceder aos dados.

(46)Os objetivos do presente regulamento, a saber, assegurar um controlo efetivo dos dados aos clientes e resolver a falta de direitos de acesso aos dados dos clientes na posse dos detentores dos dados, não podem ser suficientemente alcançados pelos Estados-Membros, dada a sua natureza transfronteiras, mas podem ser mais bem alcançados a nível da União, através da criação de um quadro que permita desenvolver um mercado transfronteiras mais vasto com acesso aos dados. A União pode adotar medidas em conformidade com o princípio da subsidiariedade consagrado no artigo 5.º do Tratado da União Europeia. Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, o presente regulamento não excede o necessário para alcançar esses objetivos.

(47)A proposta de Regulamento Dados [Regulamento (UE) XX] estabelece um quadro horizontal para o acesso e a utilização de dados em toda a União. O presente regulamento completa e especifica as regras estabelecidas na proposta de Regulamento Dados [Regulamento (UE) XX]. Por conseguinte, essas regras aplicam-se igualmente à partilha de dados regulada pelo presente regulamento. Tal inclui disposições sobre as condições em que os detentores dos dados disponibilizam os dados aos destinatários dos dados, sobre a compensação, os organismos de resolução de litígios para facilitar acordos entre as partes na partilha de dados, as medidas técnicas de proteção, o acesso internacional e a transferência de dados, bem como sobre a utilização ou divulgação autorizadas de dados.

(48)O Regulamento (UE) 2016/679 é aplicável ao tratamento de dados pessoais e prevê os direitos do titular dos dados, incluindo o direito de acesso e o direito à portabilidade dos dados pessoais. O presente regulamento não prejudica os direitos do titular dos dados previstos no Regulamento (UE) 2016/679, incluindo o direito de acesso e o direito à portabilidade dos dados. O presente regulamento cria uma obrigação jurídica de partilhar os dados pessoais e não pessoais dos clientes a pedido do cliente e impõe a viabilidade técnica do acesso e da partilha de todos os tipos de dados abrangidos pelo âmbito de aplicação do presente regulamento. A concessão de autorização por um cliente não prejudica as obrigações impostas aos utilizadores dos dados nos termos do artigo 6.º do Regulamento (UE) 2016/679. Os dados pessoais disponibilizados e partilhados com um utilizador dos dados só devem ser tratados para serviços prestados por um utilizador dos dados se existir uma base jurídica válida nos termos do artigo 6.º, n.º 1, do Regulamento (UE) 2016/679 e, se for caso disso, se forem cumpridos os requisitos do artigo 9.º desse regulamento relativos ao tratamento de categorias especiais de dados.

(49)O presente regulamento tem por base e completa as disposições relativas à «banca aberta» previstas na Diretiva (UE) 2015/2366 e está em plena consonância com o Regulamento (UE) n.º .../202... do Parlamento Europeu e do Conselho relativo aos serviços de pagamento e que altera o Regulamento (UE) n.º 1093/2010 19 e a Diretiva (UE) n.º .../202... do Parlamento Europeu e do Conselho relativa aos serviços de pagamento e aos serviços de moeda eletrónica, que altera as Diretivas 2013/36/UE e 98/26/CE e que revoga as Diretivas (UE) 2015/2355 e 2009/110/CE 20 . A iniciativa completa as disposições já existentes em matéria de «banca aberta» ao abrigo da Diretiva (UE) 2015/2366, que regulam o acesso aos dados das contas de pagamento detidos pelos prestadores de serviços de pagamento que gerem as contas. Assenta nos ensinamentos retirados da «banca aberta», tal como identificados na revisão da Diretiva (UE) 2015/2366 21 . O presente regulamento assegura a coerência entre o acesso aos dados financeiros e a banca aberta sempre que sejam necessárias medidas adicionais, nomeadamente no que respeita aos painéis de autorização, às obrigações legais de concessão de acesso direto aos dados dos clientes e à obrigação de os detentores dos dados criarem interfaces.

(50)O presente regulamento não afeta as disposições relativas ao acesso a dados e à partilha de dados da legislação da União em matéria de serviços financeiros, nomeadamente as seguintes: i) as disposições relativas ao acesso aos índices de referência e ao regime de acesso aos derivados negociados em mercado regulamentado entre plataformas de negociação e contrapartes centrais estabelecidas no Regulamento (UE) n.º 600/2014 do Parlamento Europeu e do Conselho 22 ; ii) as regras relativas ao acesso dos credores à base de dados nos termos da Diretiva 2014/17/UE do Parlamento Europeu e do Conselho 23 ; iii) as regras relativas ao acesso a repositórios de titularizações nos termos da Regulamento (UE) 2017/2402 do Parlamento Europeu e do Conselho 24 ; iv) as regras relativas ao direito de solicitar à seguradora uma declaração do histórico de sinistros e ao acesso aos depósitos centrais no que respeita aos dados de base necessários para a regularização dos sinistros nos termos da Diretiva 2009/103/CE do Parlamento Europeu e do Conselho 25 ; v) o direito de aceder e transferir todos os dados pessoais necessários para um novo prestador de Produto Individual de Reforma Pan-Europeu ao abrigo do Regulamento (UE) 2019/1238 do Parlamento Europeu e do Conselho 26 ; e vi) as disposições em matéria de subcontratação e dependência ao abrigo da Diretiva (UE) 2018/843 do Parlamento Europeu e do Conselho 27 . Além disso, o presente regulamento não afeta a aplicação das regras nacionais ou da UE em matéria de concorrência, constantes do Tratado sobre o Funcionamento da União Europeia e de quaisquer atos secundários da União. O presente regulamento também não prejudica o acesso, a partilha e a utilização de dados sem recorrer às obrigações em matéria de acesso aos dados estabelecidas pelo presente regulamento numa base puramente contratual.

(51)Uma vez que a partilha de dados relacionados com contas de pagamento é regulada ao abrigo de um regime diferente estabelecido na Diretiva (UE) 2015/2366, considera-se adequado estabelecer, no presente regulamento, uma cláusula de revisão que permita à Comissão examinar se a introdução das regras ao abrigo do presente regulamento afeta a forma como os prestadores de serviços de informação sobre contas acedem aos dados e se seria adequado simplificar as regras que regem a partilha de dados aplicáveis aos referidos prestadores de serviços.

(52)Uma vez que a EBA, a EIOPA e a ESMA devem ser mandatadas para exercer os respetivos poderes em relação aos prestadores de serviços de informação financeira, é necessário assegurar que estejam em condições de exercer todos os seus poderes e atribuições, a fim de cumprirem os seus objetivos de proteção do interesse público, contribuindo para a estabilidade e a eficácia do sistema financeiro a curto, médio e longo prazo, para a economia da União, os seus cidadãos e as suas empresas, e para assegurar que os prestadores de serviços de informação financeira são abrangidos pelos Regulamentos (UE) n.º 1093/2010 28 , (UE) n.º 1094/2010 29 e (UE) n.º 1095/2010 30 do Parlamento Europeu e do Conselho. Os referidos regulamentos devem, por conseguinte, ser alterados em conformidade.

(53)Importa diferir a data de aplicação do presente regulamento em XX meses, a fim de permitir a adoção das normas técnicas de regulamentação e dos atos delegados necessários para especificar certos elementos do presente regulamento.

(54)A Autoridade Europeia para a Proteção de Dados foi consultada em conformidade com o disposto no artigo 42.º, n.º 2, do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho 31 e emitiu parecer em [……….],

ADOTARAM O PRESENTE REGULAMENTO:

TÍTULO I
Objeto, âmbito de aplicação e definições

Artigo 1.º
Objeto

O presente regulamento estabelece regras sobre o acesso, a partilha e a utilização de determinadas categorias de dados de clientes nos serviços financeiros.

O presente regulamento estabelece igualmente regras relativas à autorização e ao funcionamento dos prestadores de serviços de informação financeira.

Artigo 2.º
Âmbito de aplicação

1.O presente regulamento é aplicável às seguintes categorias de dados de clientes relativos a:

a)Contratos de crédito hipotecário, empréstimos e contas, exceto contas de pagamento na aceção da Diretiva (UE) 2015/2366 relativa aos serviços de pagamento, incluindo dados sobre o saldo, as condições e as operações;

b)Poupanças, investimentos em instrumentos financeiros, produtos de investimento com base em seguros, criptoativos, ativos imobiliários e outros ativos financeiros conexos, bem como os benefícios económicos decorrentes desses ativos, incluindo os dados recolhidos para efeitos da realização de uma avaliação da adequação, em conformidade com o artigo 25.º da Diretiva 2014/65/UE do Parlamento Europeu e do Conselho 32 ;

c)Direitos de pensão em planos de pensões profissionais, em conformidade com a Diretiva 2009/138/CE e a Diretiva (UE) 2016/2341 do Parlamento Europeu e do Conselho 33 ;

d)Direitos de pensão sobre o fornecimento de produtos individuais de reforma pan-europeus, em conformidade com o Regulamento (UE) 2019/1238;

e)Produtos de seguro não vida, em conformidade com a Diretiva 2009/138/CE, com exceção dos produtos de seguro de doença e de saúde, incluindo os dados recolhidos para efeitos de uma avaliação das exigências e das necessidades, em conformidade com o artigo 20.º da Diretiva (UE) 2016/97 do Parlamento Europeu e do Conselho 34 , e os dados recolhidos para efeitos de uma apreciação da adequação e do caráter apropriado, em conformidade com o artigo 30.º da Diretiva (UE) 2016/97;

f)Dados que fazem parte de uma avaliação da solvabilidade de uma empresa e que são recolhidos no âmbito de um processo de pedido de empréstimo ou de um pedido de notação de risco.

2.O presente regulamento é aplicável às seguintes entidades quando atuam na qualidade de detentores dos dados ou utilizadores dos dados:

a)Instituições de crédito;

b)Instituições de pagamento, incluindo prestadores de serviços de informação sobre contas e instituições de pagamento isentas nos termos da Diretiva (UE) 2015/2366;

c)Instituições de moeda eletrónica, incluindo instituições de moeda eletrónica isentas nos termos da Diretiva 2009/110/CE do Parlamento Europeu e do Conselho 35 ;

d)Empresas de investimento;

e)Prestadores de serviços de criptoativos;

f)Emitentes de criptofichas referenciadas a ativos;

g)Gestores de fundos de investimento alternativos;

h)Sociedades gestoras de organismos de investimento coletivo em valores mobiliários;

i)Empresas de seguros e de resseguros;

j)Mediadores de seguros e mediadores de seguros a título acessório;

k)Instituições de realização de planos de pensões profissionais;

l)Agências de notação de risco;

m)Prestadores de serviços de financiamento colaborativo;

n)Prestadores de PEPP;

o)Prestadores de serviços de informação financeira.

3.O presente regulamento não se aplica às entidades a que se refere o artigo 2.º, n.º 3, alíneas a) a e), do Regulamento (UE) 2022/2554.

4.O presente regulamento não afeta a aplicação de outros atos jurídicos da União relativos ao acesso e à partilha dos dados dos clientes a que se refere o n.º 1, a menos que tal se encontre especificamente previsto no presente regulamento.

Artigo 3.º
Definições

Para efeitos do presente regulamento, entende-se por:

1)«Consumidor», uma pessoa singular que atua com objetivos alheios às suas atividades comerciais, empresariais ou profissionais;

2)«Cliente», uma pessoa singular ou coletiva que utiliza produtos e serviços financeiros;

3)«Dados dos clientes», dados pessoais e não pessoais que são recolhidos, armazenados e tratados, por qualquer outro modo, por uma instituição financeira no decurso normal da sua atividade com clientes, que abrangem tanto os dados fornecidos por um cliente como os dados gerados em resultado da interação dos clientes com a instituição financeira;

4)«Autoridade competente», a autoridade designada por cada Estado-Membro nos termos do artigo 17.º e, no caso das instituições financeiras, qualquer uma das autoridades competentes enumeradas no artigo 46.º do Regulamento (UE) 2022/2554;

5)«Detentor dos dados», uma instituição financeira que não seja um prestador de serviços de informação sobre contas que recolhe, armazena e trata, por qualquer outro modo, os dados enumerados no artigo 2.º, n.º 1;

6)«Utilizador dos dados», qualquer das entidades enumeradas no artigo 2.º, n.º 2, que, após autorização de um cliente, tenha acesso lícito aos dados dos clientes enumerados no artigo 2.º, n.º 1;

7)«Prestador de serviços de informação financeira», um utilizador de dados autorizado, nos termos do artigo 14.º, a aceder aos dados dos clientes enumerados no artigo 2.º, n.º 1, para a prestação de serviços de informação financeira;

8)«Instituição financeira», as entidades enumeradas no artigo 2.º, n.º 2, alíneas a) a n), que são detentores dos dados, utilizadores dos dados ou ambos para efeitos do presente regulamento.

9)«Conta de investimentos», qualquer registo gerido por uma empresa de investimento, uma instituição de crédito ou um corretor de seguros sobre as participações correntes em instrumentos financeiros ou em produtos de investimento com base em seguros do seu cliente, incluindo operações anteriores e outros dados relativos a eventos do ciclo de vida desse instrumento;

10)«Dados não pessoais», os dados que não sejam dados pessoais na aceção do artigo 4.º, ponto 1, do Regulamento (UE) 2016/679;

11)«Dados pessoais», os dados pessoais na aceção do artigo 4.º, ponto 1, do Regulamento (UE) 2016/679;

12)«Instituição de crédito», uma instituição de crédito na aceção do artigo 4.º, n.º 1, ponto 1, do Regulamento (UE) n.º 575/2013 do Parlamento Europeu e do Conselho 36 ;

13)«Empresa de investimento», uma empresa de investimento na aceção do artigo 4.º, n.º 1, ponto 1, da Diretiva 2014/65/UE;

14)«Prestador de serviços de criptoativos», um prestador de serviços de criptoativos na aceção do artigo 3.º, n.º 1, ponto 15, do Regulamento (UE) 2023/1114 do Parlamento Europeu e do Conselho 37 ;

15)«Emitente de criptofichas referenciadas a ativos», um emitente de criptofichas referenciadas a ativos autorizado nos termos do artigo 21.º do Regulamento (UE) 2023/1114;

16)«Instituição de pagamento», uma instituição de pagamento na aceção do artigo 4.º, ponto 4, da Diretiva (UE) 2015/2366;

17)«Prestador de serviços de informação sobre contas», um prestador de serviços de informação sobre contas a que se refere o artigo 33.º, n.º 1, da Diretiva (UE) 2015/2366;

18)«Instituição de moeda eletrónica», uma instituição de moeda eletrónica na aceção do artigo 2.º, n.º 1, da Diretiva 2009/110/CE;

19)«Instituição de moeda eletrónica isenta nos termos da Diretiva 2009/110/CE», uma instituição de moeda eletrónica que beneficia de uma isenção nos termos do artigo 9.º, n.º 1, da Diretiva 2009/110/CE;

20)«Gestor de fundos de investimento alternativos», um gestor de fundos de investimento alternativos na aceção do artigo 4.º, n.º 1, alínea b), da Diretiva 2011/61/UE do Parlamento Europeu e do Conselho 38 ;

21)«Sociedade gestora de organismos de investimento coletivo em valores mobiliários», uma sociedade gestora de organismos de investimento coletivo em valores mobiliários na aceção do artigo 2.º, n.º 1, alínea b), da Diretiva 2009/65/CE do Parlamento Europeu e do Conselho 39 ;

22)«Empresa de seguros», uma empresa de seguros na aceção do artigo 13.º, n.º 1, da Diretiva 2009/138/CE;

23)«Empresa de resseguros», uma empresa de resseguros na aceção do artigo 13.º, ponto 4, da Diretiva 2009/138/CE;

24)«Mediador de seguros», um mediador de seguros na aceção do artigo 2.º, n.º 1, ponto 3, da Diretiva (UE) 2016/97 do Parlamento Europeu e do Conselho 40 ;

25)«Mediador de seguros a título acessório», um mediador de seguros a título acessório na aceção do artigo 2.º, n.º 1, ponto 4, da Diretiva (UE) 2016/97;

26)«Instituição de realização de planos de pensões profissionais», uma instituição de realização de planos de pensões profissionais na aceção do artigo 6.º, ponto 1, da Diretiva (UE) 2016/2341;

27)«Agência de notação de risco», uma agência de notação de risco na aceção do artigo 3.º, n.º 1, alínea b), do Regulamento (CE) n.º 1060/2009 do Parlamento Europeu e do Conselho 41 ;

28)«Prestador de PEPP», um prestador de PEPP na aceção do artigo 2.º, ponto 15, do Regulamento (UE) 2019/1238 do Parlamento Europeu e do Conselho;

29)«Representante legal», uma pessoa singular com domicílio na União ou uma pessoa coletiva com sede social na União e que, tendo sido expressamente designada por um prestador de serviços de informação financeira estabelecido num país terceiro, age em nome e por conta desse prestador de serviços junto de autoridades, clientes, organismos e contrapartes do referido prestador de serviços na União, em tudo o que diga respeito às obrigações que impendem sobre o referido prestador de serviços por força do presente regulamento.

TÍTULO II
Acesso aos dados

Artigo 4.º 
Obrigação de disponibilizar os dados ao cliente

A pedido de um cliente apresentado por via eletrónica, o detentor dos dados deve disponibilizar ao cliente os dados enumerados no artigo 2.º, n.º 1, sem demora injustificada, de forma gratuita e contínua e em tempo real.

Artigo 5.º
Obrigações do detentor dos dados de disponibilizar os dados dos clientes a um utilizador dos dados

1.A pedido de um cliente apresentado por via eletrónica, o detentor dos dados deve disponibilizar a um utilizador dos dados os dados do cliente enumerados no artigo 2.º, n.º 1, para os fins para os quais o cliente concedeu autorização ao utilizador dos dados. Os dados dos clientes devem ser disponibilizados ao utilizador dos dados sem demora injustificada, de forma contínua e em tempo real.

2.O detentor dos dados só pode exigir uma compensação a um utilizador dos dados pela disponibilização dos dados dos clientes nos termos do n.º 1 se os dados dos clientes forem disponibilizados a um utilizador dos dados em conformidade com as regras e modalidades de um regime de partilha de dados financeiros, tal como previsto nos artigos 9.º e 10.º, ou se forem disponibilizados nos termos do artigo 11.º.

3.Ao disponibilizar dados nos termos do n.º 1, o detentor dos dados deve:

a)Disponibilizar os dados dos clientes ao utilizador dos dados num formato baseado em normas geralmente reconhecidas e, pelo menos, com a mesma qualidade à disposição do detentor dos dados;

b)Comunicar de forma segura com o utilizador dos dados, garantindo um nível adequado de segurança para o tratamento e a transmissão dos dados dos clientes;

c)Solicitar aos utilizadores dos dados que demonstrem terem obtido a autorização do cliente para aceder aos dados do cliente na posse do detentor dos dados;

d)Facultar ao cliente um painel de autorização para acompanhar e gerir autorizações em conformidade com o artigo 8.º;

e)Respeitar a confidencialidade dos segredos comerciais e dos direitos de propriedade intelectual quando o acesso aos dados dos clientes é efetuado em conformidade com o artigo 5.º, n.º 1.

Artigo 6.º
Obrigações de um utilizador dos dados que receba dados dos clientes

1.Um utilizador dos dados só é elegível para aceder aos dados dos clientes nos termos do artigo 5.º, n.º 1, se estiver sujeito a autorização prévia de uma autoridade competente enquanto instituição financeira ou se for um prestador de serviços de informação financeira nos termos do artigo 14.º.

2.Um utilizador dos dados só pode aceder aos dados dos clientes disponibilizados no âmbito do artigo 5.º, n.º 1, para os fins e nas condições para os quais o cliente tenha concedido a sua autorização. Um utilizador dos dados deve apagar os dados dos clientes quando estes deixem de ser necessários para os fins para os quais foi concedida a autorização por um cliente.

3.Um cliente pode retirar a autorização que concedeu a um utilizador dos dados. Quando o tratamento for necessário para a execução de um contrato, o cliente pode retirar a autorização que concedeu para disponibilizar os seus dados a um utilizador dos dados de acordo com as obrigações contratuais a que está sujeito.

4.A fim de assegurar uma gestão eficaz dos dados dos clientes, o utilizador dos dados:

a)Não pode tratar quaisquer dados do cliente para outros fins que não a prestação do serviço explicitamente solicitado pelo cliente;

b)Deve respeitar a confidencialidade dos segredos comerciais e dos direitos de propriedade intelectual quando o acesso aos dados dos clientes é efetuado em conformidade com o artigo 5.º, n.º 1;

c)Deve adotar medidas técnicas, jurídicas e organizativas adequadas para impedir a transferência ou o acesso a dados não pessoais dos clientes que sejam ilegais nos termos do direito da União ou do direito nacional do Estado-Membro;

d)Deve tomar as medidas necessárias para garantir um nível de segurança adequado para o armazenamento, o tratamento e a transmissão de dados não pessoais dos clientes;

e)Não pode tratar os dados dos clientes para fins publicitários, exceto para fins de marketing direto, em conformidade com o direito nacional e da União;

f)Se o utilizador de dados fizer parte de um grupo de empresas, os dados dos clientes enumerados no artigo 2.º, n.º 1, só podem ser acedidos e tratados pela entidade do grupo que atua como utilizador dos dados.

TÍTULO III
Utilização responsável dos dados e painéis de autorização

Artigo 7.º
Perímetro de utilização dos dados

1.O tratamento dos dados dos clientes a que se refere o artigo 2.º, n.º 1, do presente regulamento que constitua dados pessoais deve limitar-se ao necessário em relação às finalidades para que são tratados.

2.Em conformidade com o artigo 16.º do Regulamento (UE) n.º 1093/2010, a Autoridade Bancária Europeia (EBA) deve elaborar orientações sobre a aplicação do n.º 1 do presente artigo aos produtos e serviços relacionados com a classificação de crédito do consumidor.

3.Em conformidade com o artigo 16.º do Regulamento (UE) n.º 1094/2010, a Autoridade Europeia dos Seguros e Pensões Complementares de Reforma (EIOPA) deve elaborar orientações sobre a aplicação do n.º 1 do presente artigo aos produtos e serviços relacionados com a avaliação dos riscos e a fixação dos preços de um consumidor no caso dos produtos de seguro de vida, de saúde e de doença.

4.Ao elaborarem as orientações a que se referem os n.os 2 e 3 do presente artigo, a EIOPA e a EBA devem cooperar estreitamente com o Comité Europeu para a Proteção de Dados criado pelo Regulamento (UE) 2016/679.

Artigo 8.º
Painéis de autorização de acesso aos dados financeiros

1.O detentor dos dados deve facultar ao cliente um painel de autorização para acompanhar e gerir as autorizações que o cliente forneceu aos utilizadores dos dados.

2.Um painel de autorização deve:

a)Fornecer ao cliente uma panorâmica de cada autorização em curso concedida aos utilizadores dos dados, incluindo:

i)o nome do utilizador dos dados ao qual foi concedido acesso,

ii)a conta de cliente, o produto financeiro ou o serviço financeiro a que foi concedido acesso,

iii)a finalidade da autorização,

iv)as categorias dos dados a partilhar,

v)o prazo de validade da autorização;

b)Permitir que o cliente retire a autorização concedida a um utilizador dos dados;

c)Permitir que o cliente reponha qualquer autorização retirada;

d)Incluir um registo das autorizações que tenham sido retiradas ou que tenham caducado num período de dois anos.

3.O detentor dos dados deve assegurar que o painel de autorização é fácil de encontrar na sua interface de utilizador e que as informações apresentadas no painel são claras, exatas e facilmente compreensíveis para o cliente.

4.O detentor dos dados e o utilizador dos dados para o qual tenha sido concedida autorização por um cliente devem cooperar para disponibilizar as informações ao cliente através do painel em tempo real. Para cumprir as obrigações previstas no n.º 2, alíneas a), b), c) e d), do presente artigo:

a)O detentor dos dados deve informar o utilizador dos dados das alterações efetuadas a uma autorização relativa a esse utilizador por um cliente através do painel;

b)Um utilizador dos dados deve informar o detentor dos dados de uma nova autorização concedida por um cliente relativamente aos dados de clientes na sua posse, incluindo:

i)a finalidade da autorização concedida pelo cliente,

ii)o prazo de validade da autorização,

iii)as categorias de dados em questão.

TÍTULO IV
Regimes de partilha de dados financeiros

Artigo 9.º
Adesão a regimes de partilha de dados financeiros

1.No prazo de 18 meses a contar da data de entrada em vigor do presente regulamento, os detentores dos dados e os utilizadores dos dados tornam-se membros de um regime de partilha de dados financeiros que rege o acesso aos dados dos clientes, em conformidade com o artigo 10.º.

2.Os detentores dos dados e os utilizadores dos dados podem tornar-se membros de mais do que um regime de partilha de dados financeiros.

Qualquer partilha de dados deve ser efetuada em conformidade com as regras e modalidades de um regime de partilha de dados financeiros de que sejam membros tanto o utilizador dos dados como o detentor dos dados.

Artigo 10.º
Governação e conteúdo do regime de partilha de dados financeiros

1.Um regime de partilha de dados financeiros deve incluir os seguintes elementos:

a)Os membros de um regime de partilha de dados financeiros incluem:

i)os detentores dos dados e os utilizadores dos dados que representem uma parte significativa do mercado do produto ou serviço em causa, devendo cada uma das partes ter uma representação justa e equitativa nos processos internos de decisão do regime, bem como um peso igual em todos os processos de votação; se um membro for simultaneamente detentor dos dados e utilizador dos dados, a sua qualidade de membro é contabilizada em partes iguais para ambas as partes,

ii)organizações de clientes e associações de consumidores;

b)As regras aplicáveis aos membros do regime de partilha de dados financeiros são igualmente aplicáveis a todos os membros e não pode haver um tratamento favorável ou diferenciado injustificado entre os membros;

c)As regras de adesão a um regime de partilha de dados financeiros devem assegurar que o regime esteja aberto à participação de qualquer detentor dos dados e utilizador dos dados com base em critérios objetivos e que todos os membros sejam tratados de forma justa e equitativa;

d)Um regime de partilha de dados financeiros não pode impor quaisquer controlos ou condições adicionais para a partilha de dados além dos previstos no presente regulamento ou noutra legislação aplicável da União;

e)Um regime de partilha de dados financeiros deve incluir um mecanismo através do qual as suas regras possam ser alteradas, na sequência de uma análise de impacto e do acordo da maioria de cada comunidade de detentores dos dados e utilizadores dos dados, respetivamente;

f)Um regime de partilha de dados financeiros deve incluir regras em matéria de transparência e, se necessário, apresentar relatórios aos seus membros;

g)Um regime de partilha de dados financeiros deve incluir as normas comuns para os dados e as interfaces técnicas, a fim de permitir que os clientes solicitem a partilha de dados em conformidade com o artigo 5.º, n.º 1. As normas comuns para os dados e as interfaces técnicas que os membros do regime acordam em utilizar podem ser desenvolvidas pelos membros do regime ou por outras partes ou organismos;

h)Um regime de partilha de dados financeiros deve criar um modelo para determinar a compensação máxima que um detentor dos dados tem direito a cobrar pela disponibilização de dados através de uma interface técnica adequada para a partilha de dados com os utilizadores dos dados, em conformidade com as normas comuns desenvolvidas nos termos da alínea g). O modelo deve basear-se nos seguintes princípios:

i)deve limitar-se a uma compensação razoável diretamente relacionada com a disponibilização dos dados ao utilizador dos dados e que seja imputável ao pedido,

ii)deve basear-se numa metodologia objetiva, transparente e não discriminatória acordada pelos membros do regime,

iii)deve basear-se em dados de mercado abrangentes recolhidos junto dos utilizadores dos dados e detentores dos dados sobre cada um dos elementos de custo a considerar, claramente identificados em conformidade com o modelo,

iv)deve ser periodicamente revisto e acompanhado, a fim de ter em conta o progresso tecnológico,

v)deve ser concebido para orientar a compensação para os níveis mais baixos prevalecentes no mercado, e

vi)deve limitar-se aos pedidos de dados dos clientes no quadro do artigo 2.º, n.º 1, ou ser proporcional aos conjuntos de dados conexos no âmbito desse artigo, no caso de pedidos de dados combinados.

Caso o utilizador dos dados seja uma micro, pequena ou média empresa, na aceção do artigo 2.º do anexo da Recomendação 2003/361/CE da Comissão, de 6 de maio de 2003 42 , qualquer compensação acordada não pode exceder os custos diretamente associados à disponibilização dos dados ao seu destinatário e que são imputáveis ao pedido;

i)Um regime de partilha de dados financeiros deve determinar a responsabilidade contratual dos seus membros, nomeadamente no caso de os dados serem inexatos, de qualidade inadequada ou de a segurança dos dados ser comprometida ou de os dados serem utilizados de forma abusiva. No caso de dados pessoais, as disposições em matéria de responsabilidade do regime de partilha de dados financeiros devem estar em conformidade com as disposições do Regulamento (UE) 2016/679;

j)Um regime de partilha de dados financeiros deve prever um sistema de resolução de litígios independente, imparcial, transparente e eficaz para resolver litígios entre os membros do regime e questões relacionadas com a participação no regime, em conformidade com os requisitos de qualidade estabelecidos na Diretiva 2013/11/UE do Parlamento Europeu e do Conselho 43 .

2.A participação em regimes de partilha de dados financeiros deve permanecer aberta a novos membros nas mesmas condições que as aplicáveis aos membros existentes em qualquer momento.

3.O detentor dos dados deve comunicar à autoridade competente do Estado-Membro de estabelecimento os regimes de partilha de dados financeiros de que faz parte, no prazo de um mês a contar da adesão a um regime.

4.Um regime de partilha de dados financeiros criado nos termos do presente artigo deve ser notificado à autoridade competente de estabelecimento dos três detentores dos dados mais significativos que sejam membros desse regime no momento da sua criação. Se os três detentores dos dados mais significativos estiverem estabelecidos em diferentes Estados-Membros, ou se existir mais do que uma autoridade competente no Estado-Membro de estabelecimento dos três detentores dos dados mais significativos, o regime deve ser notificado a todas essas autoridades, que devem acordar entre si qual a autoridade que deve efetuar a avaliação a que se refere o n.º 6.

5.A notificação nos termos do n.º 4 deve ocorrer no prazo de um mês a contar da criação do regime de partilha de dados financeiros e incluir as suas modalidades e características de governação, em conformidade com o n.º 1.

6.No prazo de um mês a contar da receção da notificação nos termos do n.º 4, a autoridade competente deve avaliar se as modalidades e características de governação do regime de partilha de dados financeiros estão em conformidade com o n.º 1. Ao avaliar a conformidade do regime de partilha de dados financeiros com o n.º 1, a autoridade competente pode consultar outras autoridades competentes.

Uma vez concluída a sua avaliação, a autoridade competente deve informar a EBA de um regime notificado de partilha de dados financeiros que satisfaça o disposto no n.º 1. Um regime notificado à EBA nos termos do presente número deve ser reconhecido em todos os Estados-Membros para efeitos de acesso aos dados nos termos do artigo 5.º, n.º 1, e não pode exigir uma nova notificação em nenhum outro Estado-Membro.

Artigo 11.º
Habilitação de atos delegados em caso de ausência de um regime de partilha de dados financeiros

Caso não seja desenvolvido um regime de partilha de dados financeiros para uma ou mais categorias de dados dos clientes enumeradas no artigo 2.º, n.º 1, e não haja perspetivas realistas de que esse regime seja criado num prazo razoável, a Comissão fica habilitada a adotar um ato delegado, nos termos do artigo 30.º, a fim de completar o presente regulamento, especificando as seguintes modalidades no quadro das quais o detentor dos dados deve disponibilizar os dados dos clientes, nos termos do artigo 5.º, n.º 1, para essa categoria de dados:

a)Normas comuns para os dados e, se for caso disso, para as interfaces técnicas que permitam aos clientes solicitar a partilha de dados nos termos do artigo 5.º, n.º 1;

b)Um modelo para determinar a compensação máxima que um detentor dos dados tem direito a cobrar pela disponibilização dos dados;

c)A responsabilidade das entidades envolvidas na disponibilização dos dados dos clientes.

TÍTULO V
Elegibilidade para o acesso aos dados e organização

Artigo 12.º
Pedido de autorização de prestadores de serviços de informação financeira 

1.Um prestador de serviços de informação financeira é elegível para aceder aos dados dos clientes nos termos do artigo 5.º, n.º 1, se for autorizado pela autoridade competente de um Estado-Membro.

2.O prestador de serviços de informação financeira deve apresentar um pedido de autorização à autoridade competente do Estado-Membro de estabelecimento da sua sede social, acompanhado dos seguintes elementos:

a) Um programa de operações que indique, nomeadamente, o tipo de acesso aos dados previsto;

b)Um plano de negócio, incluindo uma previsão orçamental para os três primeiros exercícios, que demonstre que o requerente está em condições de utilizar sistemas, recursos e procedimentos adequados e proporcionados ao seu bom funcionamento;

c)Uma descrição dos seus sistemas de governação e dos seus mecanismos de controlo interno, designadamente os procedimentos administrativos, de gestão de riscos e contabilísticos, bem como dos seus acordos relativos à utilização de serviços de TIC nos termos do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, que demonstre que esses sistemas de governação, mecanismos de controlo e procedimentos são proporcionados, adequados, sólidos e suficientes;

d)Uma descrição do procedimento criado para verificar, tratar e acompanhar incidentes de segurança e reclamações dos clientes relacionadas com a segurança, incluindo um mecanismo de comunicação de incidentes que tenha em conta as obrigações de notificação previstas no capítulo III do Regulamento (UE) 2022/2554;

e)Uma descrição dos mecanismos de continuidade das atividades, incluindo uma identificação clara das operações críticas, uma política e planos de continuidade das atividades no domínio das TIC e planos de resposta e recuperação em matéria de TIC eficazes, bem como um procedimento para testar periodicamente esses planos, avaliando a sua adequação e eficácia, em conformidade com o Regulamento (UE) 2022/2554;

f)Um documento relativo à sua política de segurança, incluindo uma avaliação pormenorizada dos riscos relacionados com as suas operações e uma descrição das medidas de controlo da segurança e de redução dos riscos tomadas para proteger devidamente os seus clientes contra os riscos identificados, incluindo a fraude;

g)Uma descrição da estrutura organizativa do requerente, bem como uma descrição dos acordos de subcontratação;

h)A identidade dos diretores e das pessoas responsáveis pela gestão do requerente e, se for caso disso, das pessoas responsáveis pela gestão das atividades de acesso aos dados do requerente, bem como prova de que essas pessoas são idóneas e possuem os conhecimentos e a experiência adequados para o acesso aos dados exigidos pelo presente regulamento;

i)O seu estatuto jurídico e os seus estatutos;

j)O endereço da sede do requerente;

k)Se for caso disso, o acordo escrito entre o prestador de serviços de informação financeira e o representante legal que comprove a nomeação, o âmbito da responsabilidade e as tarefas a desempenhar pelo representante legal em conformidade com o artigo 13.º.

Para efeitos do primeiro parágrafo, alíneas c), d), e g), o requerente deve apresentar uma descrição dos seus mecanismos de auditoria e dos mecanismos organizativos que estabeleceu a fim de tomar todas as medidas razoáveis para proteger os interesses dos seus clientes e para garantir a continuidade e a fiabilidade das suas atividades.

As medidas de controlo de segurança e de atenuação dos riscos a que se refere o primeiro parágrafo, alínea f), devem indicar de que forma o requerente assegurará um elevado nível de resiliência operacional digital em conformidade com o capítulo II do Regulamento (UE) 2022/2554, em especial no que respeita à segurança técnica e à proteção de dados, incluindo para o software e os sistemas de TIC utilizados pelo requerente ou pelas empresas para as quais subcontrata a totalidade ou parte das suas operações.

3.Os prestadores de serviços de informação financeira devem possuir um seguro de indemnização profissional que cubra os territórios em que acedem aos dados, ou qualquer outra garantia equivalente, e devem assegurar o seguinte:

a)Capacidade para cobrir a sua responsabilidade decorrente do acesso não autorizado ou fraudulento aos dados ou da utilização não autorizada ou fraudulenta dos dados;

b)Capacidade para cobrir o valor de qualquer sobresseguro, limiar ou franquia do seguro ou garantia equivalente;

c)Acompanhamento permanente da cobertura do seguro ou garantia equivalente.

Em alternativa à subscrição de um seguro de indemnização profissional ou outra garantia equivalente, tal como exigido no primeiro parágrafo, a empresa referida no parágrafo anterior deve deter um capital inicial de 50 000 EUR, que pode ser substituído, sem demora injustificada, por um seguro de indemnização profissional ou por outra garantia equivalente após o início da sua atividade como prestador de serviços de informação financeira.

4.A EBA, em cooperação com a ESMA e a EIOPA e após consultar todas as partes interessadas pertinentes, deve elaborar projetos de normas técnicas de regulamentação que especifiquem:

a)As informações a prestar à autoridade competente no pedido de autorização dos prestadores de serviços de informação financeira, incluindo os requisitos estabelecidos no n.º 1, alíneas a) a l);

b)Uma metodologia comum de avaliação para a concessão de autorização como prestador de serviços de informação financeira, no quadro do presente regulamento;

c)O que constitui uma garantia equivalente, a que se refere o n.º 2, que deve ser intercambiável com um seguro de indemnização profissional;

d)Os critérios de fixação do montante monetário mínimo do seguro de indemnização profissional ou outra garantia equivalente a que se refere o n.º 2.

Ao elaborar estas normas técnicas de regulamentação, a EBA deve ter em conta os seguintes elementos:

a)O perfil de risco da empresa;

b)Se a empresa presta outros tipos de serviços ou exerce outras atividades;

c)A dimensão da atividade;

d)As características específicas das garantias equivalentes e os critérios para a sua execução.

A EBA deve apresentar à Comissão esses projetos de normas técnicas de regulamentação a que se refere o primeiro parágrafo até [OP: inserir data correspondente a nove meses a contar da data de entrada em vigor do presente regulamento].

A Comissão fica habilitada a adotar as normas técnicas de regulamentação a que se refere o primeiro parágrafo do presente número nos termos dos artigos 10.º a 14.º do Regulamento (UE) n.º 1093/2015.

Nos termos do artigo 10.º do Regulamento (UE) n.º 1093/2010, a EBA deve analisar essas normas técnicas de regulamentação e atualizá-las, se for caso disso.

Artigo 13.º
Representantes legais

1.Os prestadores de serviços de informação financeira que não tenham um estabelecimento na União, mas que necessitem de acesso a dados financeiros na União, devem designar, por escrito, uma pessoa singular ou coletiva como seu representante legal num dos Estados-Membros a partir dos quais o prestador de serviços de informação financeira tenciona aceder a dados financeiros.

2.Os prestadores de serviços de informação financeira devem mandatar os seus representantes legais para serem contactados, em complemento ou em substituição do prestador de serviços de informação financeira, pelas autoridades competentes relativamente a todas as questões necessárias à receção, ao cumprimento e à execução do presente regulamento. Os prestadores de serviços de informação financeira devem dotar o seu representante legal dos poderes e recursos necessários para que possam cooperar com as autoridades competentes e assegurar o cumprimento das decisões das mesmas autoridades.

3.O representante legal designado pode ser considerado responsável pelo incumprimento das obrigações por força do presente regulamento, sem prejuízo da responsabilidade e das ações judiciais que possam ser intentadas contra o prestador de serviços de informação financeira.

4.Os prestadores de serviços de informação financeira devem notificar o nome, o endereço, o endereço de correio eletrónico e o número de telefone do seu representante legal à autoridade competente no Estado-Membro em que esse representante legal resida ou se encontre estabelecido. Cabe-lhes assegurar que essas informações estejam atualizadas.

5.A designação de um representante legal na União nos termos do n.º 1 não constitui um estabelecimento na União.

Artigo 14.º
Concessão e revogação da autorização de prestadores de serviços de informação financeira

1.A autoridade competente deve conceder uma autorização se as informações e as provas que acompanham o pedido preencherem todos os requisitos estabelecidos no artigo 11.º, n.os 1 e 2. Antes de conceder a autorização, a autoridade competente pode consultar, se for caso disso, outras autoridades públicas relevantes.

2.A autoridade competente deve autorizar um prestador de serviços de informação financeira de um país terceiro, desde que estejam cumulativamente reunidas as seguintes condições:

a)O prestador de serviços de informação financeira do país terceiro cumpriu todas as condições estabelecidas nos artigos 12.º e 16.º;

b)O prestador de serviços de informação financeira do país terceiro designou um representante legal nos termos do artigo 13.º;

c)Caso o prestador de serviços de informação financeira do país terceiro esteja sujeito a supervisão, a autoridade competente deve procurar estabelecer um acordo de cooperação adequado com a autoridade competente em causa do país terceiro em que o prestador de serviços de informação financeira está estabelecido, a fim de assegurar um intercâmbio de informações eficiente;

d)O país terceiro em que o prestador de serviços de informação financeira está estabelecido não consta da lista de jurisdições não cooperantes para efeitos fiscais nos termos da política da União nesta matéria nem da lista de países terceiros de risco elevado que apresentam deficiências em conformidade com o Regulamento Delegado (UE) 2016/1675 da Comissão 44 .

3.A autoridade competente só deve conceder a autorização se, tendo em conta a necessidade de garantir uma gestão sã e prudente de um prestador de serviços de informação financeira, este dispuser de mecanismos sólidos de governação para as suas atividades de serviços de informação. Inclui-se aqui uma estrutura organizativa clara, com uma hierarquia bem definida, transparente e coerente, procedimentos eficazes de identificação, gestão, controlo e comunicação dos riscos a que está ou possa vir a estar exposta e mecanismos de controlo interno adequados, incluindo procedimentos administrativos e contabilísticos sólidos. Esses procedimentos e mecanismos devem ser abrangentes e proporcionais em relação à natureza, à escala e à complexidade dos serviços de informação prestados pelo prestador de serviços de informação financeira.

4.A autoridade competente só deve conceder a autorização se as disposições legislativas, regulamentares ou administrativas a que estejam sujeitas uma ou mais pessoas singulares ou coletivas com as quais o prestador de serviços de informação financeira tenha relações estreitas ou dificuldades inerentes à aplicação das referidas disposições não entravarem o exercício efetivo das suas funções de supervisão.

5.A autoridade competente só deve conceder a autorização se considerar que quaisquer acordos de subcontratação não tornarão o prestador de serviços de informação financeira uma empresa de fachada ou que tais acordos não são utilizados para contornar as disposições do presente regulamento.

6.No prazo de três meses a contar da receção do pedido ou, caso o pedido esteja incompleto, a contar da receção de todas as informações necessárias para a tomada de decisão, a autoridade competente deve informar o requerente da concessão ou da recusa da autorização. A autoridade competente deve indicar os fundamentos das recusas de autorização.

7.A autoridade competente só pode revogar a autorização concedida a um prestador de serviços de informação financeira que:

a)Não faça uso da autorização no prazo de 12 meses, renuncie expressamente à autorização ou tenha deixado de exercer a atividade durante um período superior a seis meses;

b)Tenha obtido a autorização por meio de falsas declarações ou por qualquer outro meio irregular;

c)Deixe de preencher as condições de concessão da autorização ou não informe a autoridade competente de qualquer evolução significativa a esse respeito;

d)Constitua um risco para a proteção dos consumidores e para a segurança dos dados.

A autoridade competente deve indicar os fundamentos das revogações de autorização e deve informar desse facto os interessados. A autoridade competente deve tornar pública a revogação de uma autorização, numa versão anonimizada.

Artigo 15.º
Registo

1.A EBA deve criar, gerir e manter um registo eletrónico central que contenha as seguintes informações:

a)Os prestadores de serviços de informação financeira autorizados;

b)Os prestadores de serviços de informação financeira que tenham notificado a sua intenção de aceder aos dados num Estado-Membro diferente do seu Estado-Membro de origem;

c)Os regimes de partilha de dados financeiros acordados entre os detentores dos dados e os utilizadores dos dados.

2.O registo a que se refere o n.º 1 só pode conter dados anonimizados.

3.O registo deve estar disponível ao público no sítio Web da EBA e permitir uma pesquisa e um acesso fáceis às informações dele constantes.

4.A EBA deve inscrever no registo a que se refere o n.º 1 qualquer revogação da autorização de prestadores de serviços de informação financeira ou a cessação de um regime de partilha de dados financeiros.

5.As autoridades competentes dos Estados-Membros devem comunicar sem demora à EBA as informações necessárias ao desempenho das suas atribuições nos termos dos n.os 1 e 3. As autoridades competentes são responsáveis pela exatidão das informações especificadas no n.os 1 e 3 e pela sua atualização. E, sempre que tecnicamente possível, devem transmitir essas informações à EBA de forma automatizada.

Artigo 16.º

Requisitos em matéria de organização aplicáveis aos prestadores de serviços de informação financeira

O prestador de serviços de informação financeira deve cumprir os seguintes requisitos em matéria de organização:

a)Deve estabelecer políticas e procedimentos suficientes para assegurar o cumprimento, inclusive por parte dos seus gestores e trabalhadores, de todas as obrigações que lhe incumbem por força do presente regulamento;

b)Deve tomar medidas razoáveis para assegurar a continuidade e a regularidade da execução das suas atividades. Para o efeito, o prestador de serviços de informação financeira deve empregar sistemas, recursos e procedimentos adequados e proporcionados para assegurar a continuidade das suas operações críticas, dispor de planos de contingência e de um procedimento para testar e analisar periodicamente a adequação e a eficiência desses planos;

c)Caso confie a terceiros a execução de funções essenciais para a prestação de serviços de forma contínua e satisfatória aos seus clientes e para a execução de atividades numa base contínua e satisfatória, são tomadas medidas razoáveis para evitar riscos operacionais acrescidos indevidos. A subcontratação de funções operacionais importantes não pode ser feita de um modo que prejudique significativamente a qualidade do seu controlo interno nem a capacidade de a entidade supervisora controlar o cumprimento, pelo prestador de serviços de informação financeira, de todas as suas obrigações;

d)Deve dispor de uma sólida governação, organização administrativa e contabilística, mecanismos de controlo interno e procedimentos eficazes para a avaliação e gestão do risco, bem como mecanismos eficazes de controlo e salvaguarda para os sistemas de tratamento de informações;

e)Os seus diretores e pessoas responsáveis pela gestão, bem como as pessoas responsáveis pela gestão das atividades de acesso aos dados do prestador de serviços de informação financeira, são idóneos e possuem os conhecimentos, as competências e a experiência adequados, a título individual e coletivo, para desempenharem as suas funções;

f)Deve estabelecer e manter procedimentos eficazes e transparentes para verificar, tratar e acompanhar, de forma imediata, apropriada e coerente, incidentes de segurança e reclamações dos clientes relacionadas com a segurança, incluindo um mecanismo de comunicação que tenha em conta as obrigações de notificação previstas no capítulo III do Regulamento (UE) 2022/2554.

TÍTULO VI
Autoridades competentes e quadro de supervisão

Artigo 17.º
Autoridades competentes

1.Os Estados-Membros devem designar as autoridades competentes responsáveis pelo exercício das funções e dos deveres previstos no presente regulamento. Os Estados-Membros devem informar a Comissão das autoridades competentes designadas.

2.Os Estados-Membros devem assegurar que as autoridades competentes designadas nos termos do n.º 1 disponham de todas as competências necessárias para o exercício das suas funções.

Os Estados-Membros devem assegurar que essas autoridades competentes sejam dotadas dos recursos necessários, nomeadamente em termos de pessoal especializado, para cumprirem as suas atribuições de acordo com as obrigações decorrentes do presente regulamento.

3.Os Estados-Membros que tenham designado, no seu território, mais do que uma autoridade competente para as questões abrangidas pelo presente regulamento, devem assegurar que essas autoridades cooperem estreitamente entre si, de modo a poderem desempenhar eficazmente as respetivas funções.

4.Relativamente às instituições financeiras, o cumprimento do presente regulamento deve ser assegurado pelas autoridades competentes especificadas no artigo 46.º do Regulamento (UE) 2022/2554, em conformidade com os poderes conferidos pelos respetivos atos jurídicos enumerados nesse artigo e pelo presente regulamento.

Artigo 18.º
Poderes das autoridades competentes

1.As autoridades competentes devem dispor de todos os poderes de investigação necessários ao exercício das suas funções. Esses poderes incluem:

a)O poder de exigir que as pessoas singulares ou coletivas prestem todas as informações necessárias ao desempenho das funções das autoridades competentes, nomeadamente informações a prestar a intervalos regulares e em formatos especificados para efeitos de supervisão e para os correspondentes fins estatísticos;

b)O poder de proceder a todas as investigações necessárias junto de qualquer pessoa a que se refere a alínea a) estabelecida ou situada no Estado-Membro interessado, caso tal seja necessário para o desempenho das funções das autoridades competentes, nomeadamente o poder de:

i)exigir a apresentação de documentos,

ii)examinar os dados sob qualquer forma, incluindo os livros e registos das pessoas a que se refere a alínea a), e tirar cópias ou extratos desses documentos,

iii)obter esclarecimentos, oralmente ou por escrito, de qualquer pessoa a que se refere a alínea a), dos seus representantes ou do seu pessoal e, se necessário, convocar e interrogar qualquer dessas pessoas com vista a obter informações,

iv)inquirir quaisquer outras pessoas singulares que aceitem ser inquiridas a fim de recolher informações relacionadas com o objeto de uma investigação,

v)sem prejuízo de outras condições estabelecidas no direito da União ou no direito nacional, proceder às inspeções necessárias nas instalações das pessoas coletivas e em locais que não sejam a residência privada das pessoas singulares a que se refere a alínea a), bem como de qualquer outra pessoa coletiva abrangida pela supervisão consolidada quando a autoridade competente for a autoridade responsável pela supervisão em base consolidada, sob reserva de notificação prévia das autoridades competentes interessadas,

vi)entrar em instalações de pessoas singulares e coletivas, em conformidade com o direito nacional, com o propósito de apreender documentos e dados, independentemente da sua forma, se houver motivos razoáveis para suspeitar que existem documentos ou dados relacionados com o objeto da inspeção ou investigação que possam ser necessários ou pertinentes para fazer prova de um caso de infração das disposições do presente regulamento,

vii)exigir, na medida em que o direito nacional o permita, os registos existentes do tráfego de dados detidos por um operador de telecomunicações, se houver motivos razoáveis para suspeitar de uma violação e se esses registos puderem ser relevantes para a investigação de uma infração do presente regulamento,

viii)exigir o congelamento, a apreensão de bens, ou ambos,

ix)remeter os processos para exercício da ação penal;

c)Na falta de outros meios disponíveis para fazer cessar ou prevenir qualquer infração do presente regulamento, e a fim de evitar o risco de causar um prejuízo grave para os interesses dos consumidores, as autoridades competentes têm o direito de tomar qualquer uma das seguintes medidas, nomeadamente solicitando a um terceiro ou a outra autoridade pública que as aplique:

i)retirar conteúdos ou restringir o acesso a uma interface em linha, ou ordenar que seja explicitamente exibido um alerta destinado aos clientes quando estes acedem à interface em linha,

ii)ordenar a um prestador de serviços de alojamento virtual que elimine, desative ou restrinja o acesso a uma interface em linha,

iii)exigir que os registos ou os operadores de registos de domínios suprimam um nome de domínio plenamente qualificado e permitir que a autoridade competente em causa registe essa supressão.

A execução do disposto no presente número e o exercício dos poderes definidos no mesmo devem ser proporcionados e respeitar o direito nacional e da União, incluindo as garantias processuais aplicáveis e os princípios da Carta dos Direitos Fundamentais da União Europeia. As medidas de investigação e de aplicação tomadas nos termos do presente regulamento devem ser adequadas à natureza e aos prejuízos globais, reais ou potenciais, da infração.

2.As autoridades competentes devem exercer os seus poderes para investigar potenciais infrações do presente regulamento e impor sanções administrativas e outras medidas administrativas previstas no presente regulamento, de qualquer das seguintes formas:

a)Diretamente;

b)Em colaboração com outras autoridades;

c)Por delegação de poderes noutras autoridades ou organismos;

d)Recorrendo às autoridades judiciais competentes de um Estado-Membro.

Caso as autoridades competentes exerçam os seus poderes por delegação noutras autoridades ou organismos nos termos da alínea c), a delegação de poderes deve especificar as atribuições delegadas, as condições em que devem ser exercidas e as condições em que os poderes delegados podem ser revogados. As autoridades ou organismos nos quais os poderes são delegados devem estar organizados de modo a evitar conflitos de interesses. As autoridades competentes devem supervisionar a atividade das autoridades ou organismos nos quais os poderes são delegados.

3.No exercício dos seus poderes de investigação e de impor sanções, inclusive nos casos transfronteiras, as autoridades competentes devem cooperar eficazmente entre si e com as autoridades de qualquer setor em causa, consoante o que seja aplicável a cada caso e em conformidade com o direito nacional e da União, a fim de assegurar o intercâmbio de informações e a assistência mútua necessária para a aplicação eficaz das sanções e medidas administrativas.

Artigo 19.º
Acordos de transação e ações executivas de tramitação acelerada

1.Sem prejuízo do disposto no artigo 20.º, os Estados-Membros podem estabelecer regras que permitam às respetivas autoridades competentes encerrar uma investigação relativa a uma alegada infração do presente regulamento, na sequência de um acordo de transação, a fim de pôr termo à alegada infração e às suas consequências antes do início do processo sancionatório formal.

2.Os Estados-Membros podem estabelecer regras que permitam às respetivas autoridades competentes encerrar uma investigação relativa a uma infração comprovada através de uma ação executiva de tramitação acelerada, a fim de alcançar a rápida adoção de uma decisão destinada a impor uma sanção ou medida administrativa. 

A habilitação das autoridades competentes para celebrar um acordo de transação ou para intentar uma ação executiva de tramitação acelerada não afeta as obrigações que incumbem aos Estados-Membros por força do artigo 20.º.

3.Sempre que estabeleçam as regras a que se refere o n.º 1, os Estados-Membros devem notificar a Comissão das disposições legislativas, regulamentares e administrativas aplicáveis que regulam o exercício dos poderes a que se refere esse número, bem como quaisquer alterações subsequentes que afetem essas regras.

Artigo 20.º
Sanções administrativas e outras medidas administrativas

1.Sem prejuízo dos poderes de supervisão e de investigação das autoridades competentes elencados no artigo 18.º, os Estados-Membros devem, em conformidade com o direito nacional, conferir às autoridades competentes poderes para imporem sanções administrativas adequadas e tomarem outras medidas administrativas relativamente às seguintes infrações:

a)Infrações aos artigos 4.º, 5.º e 6.º;

b)Infrações aos artigos 7.º e 8.º;

c)Infrações aos artigos 9.º e 10.º;

d)Infrações aos artigos 13.º e 16.º;

e)Infrações ao artigo 28.º.

2.Os Estados-Membros podem decidir não estabelecer regras em matéria de sanções ou medidas administrativas aplicáveis a infrações ao presente regulamento que estejam sujeitas a sanções no quadro do seu direito penal nacional. Caso assim seja, cabe aos Estados-Membros notificar a Comissão das disposições de direito penal aplicáveis e de quaisquer alterações subsequentes das mesmas.

3.Os Estados-Membros devem assegurar, nos termos do direito nacional, que as autoridades competentes estão habilitadas a aplicar as sanções administrativas e outras medidas administrativas que se seguem relativamente às infrações a que se refere o n.º 1:

a)Uma declaração pública que identifique a pessoa singular ou coletiva responsável e a natureza da infração;

b)Uma decisão que exija que a pessoa singular ou coletiva responsável ponha termo à conduta que constitui a infração e se abstenha de a reiterar;

c)A restituição dos lucros obtidos ou dos prejuízos evitados em resultado da infração, na medida em que possam ser determinados;

d)Uma suspensão temporária da autorização de um prestador de serviços de informação financeira;

e)Uma coima máxima correspondente pelo menos ao dobro do montante dos lucros obtidos ou dos prejuízos evitados em resultado da infração, quando esse montante puder ser determinado, mesmo que a referida coima ultrapasse os montantes máximos estabelecidos na alínea f) do presente número, no que se refere a pessoas singulares, ou no n.º 4, no que se refere a pessoas coletivas;

f)No caso de uma pessoa singular, coimas máximas até 25 000 EUR por infração e até um total de 250 000 EUR por ano, ou, nos Estados-Membros cuja moeda oficial não seja o euro, o contravalor na moeda oficial desse Estado-Membro em ... [OP: inserir a data de entrada em vigor do presente regulamento];

g)Inibição temporária do exercício de funções de gestão na prestação de serviços de informação financeira por qualquer membro do órgão de administração do prestador de serviços de informação financeira, ou por qualquer outra pessoa singular que seja considerada responsável pela infração;

h)Em caso de infração reiterada aos artigos a que se refere o n.º 1, inibição com uma duração mínima de dez anos do exercício de funções de gestão na prestação de serviços de informação financeira por qualquer membro do órgão de administração do prestador de serviços de informação financeira, ou por qualquer outra pessoa singular que seja considerada responsável pela infração.

4.Os Estados-Membros devem assegurar, nos termos do direito nacional, que as autoridades competentes tenham poderes para impor, relativamente às infrações a que se refere o n.º 1 cometidas por pessoas coletivas, as coimas máximas que se seguem:

a)Até 50 000 EUR por infração e até um total de 500 000 EUR por ano, ou, nos Estados-Membros cuja moeda oficial não seja o euro, o contravalor na moeda oficial desse Estado-Membro em ... [OP: inserir a data de entrada em vigor do presente regulamento];

b)2 % do volume de negócios anual total da pessoa coletiva, de acordo com as últimas demonstrações financeiras disponíveis aprovadas pelo órgão de administração.

Caso a pessoa coletiva a que se refere o primeiro parágrafo seja uma empresa-mãe ou uma filial de uma empresa-mãe obrigada a elaborar demonstrações financeiras consolidadas nos termos do artigo 22.º da Diretiva 2013/34/UE do Parlamento Europeu e do Conselho 45 , o volume de negócios anual total relevante é o volume de negócios líquido ou as receitas a determinar de acordo com as normas contabilísticas aplicáveis, com base nas demonstrações financeiras consolidadas da empresa-mãe em última instância disponíveis à data do último balanço, relativamente às quais são responsáveis os membros do órgão de administração, de direção e de supervisão da empresa em última instância.

5.Os Estados-Membros podem habilitar as autoridades competentes a impor outros tipos de sanções administrativas e outras medidas administrativas além das referidas nos n.os 3 e 4 e podem prever montantes de coimas mais elevados do que os estabelecidos nesses números.

Os Estados-Membros devem notificar a Comissão do nível dessas sanções mais gravosas, bem como de quaisquer alterações subsequentes das mesmas.

Artigo 21.º
Sanções pecuniárias compulsórias

1.As autoridades competentes têm o direito de impor sanções pecuniárias compulsórias a pessoas singulares ou coletivas por incumprimento continuado de qualquer decisão, despacho, medida provisória, pedido, obrigação ou outra medida administrativa adotada nos termos do presente regulamento.

As sanções pecuniárias compulsórias a que se refere o primeiro parágrafo devem ser eficazes e proporcionadas e consistir num montante diário a pagar até que o incumprimento seja sanado. São impostas por um período não superior a seis meses a contar da data indicada na decisão de imposição de sanções pecuniárias compulsórias.

As autoridades competentes têm o direito de impor as seguintes sanções pecuniárias compulsórias, que podem ser ajustadas em função da gravidade da infração e das necessidades do setor:

a)3 % do volume de negócios diário médio, no caso de uma pessoa coletiva;

b)30 000 EUR no caso de uma pessoa singular.

2.O volume de negócios diário médio a que se refere o n.º 1, terceiro parágrafo, alínea a), é o volume de negócios anual total dividido por 365.

3.Os Estados-Membros podem prever montantes de sanções pecuniárias compulsórias mais elevados do que os estabelecidos no n.º 1, terceiro parágrafo.

Artigo 22.º
Circunstâncias a ponderar na determinação de sanções administrativas e outras medidas administrativas

1.Ao determinarem o tipo e o nível das sanções administrativas ou outras medidas administrativas, as autoridades competentes devem ter em conta todas as circunstâncias relevantes, a fim de assegurar que essas sanções ou medidas são eficazes e proporcionadas. Essas circunstâncias incluem, se for caso disso:

a)A gravidade e a duração da infração;

b)O grau de responsabilidade da pessoa singular ou coletiva responsável pela infração;

c)A capacidade financeira da pessoa singular ou coletiva responsável pela infração, tal como indicada, nomeadamente, pelo seu volume de negócios anual total, caso se trate de uma pessoa coletiva, ou pelo seu rendimento anual, caso se trate de uma pessoa singular;

d)O nível dos lucros obtidos ou dos prejuízos evitados pela pessoa singular ou coletiva responsável pela infração, na medida em que possa ser determinado;

e)Os prejuízos causados a terceiros pela infração, caso esses prejuízos possam ser determinados;

f)A desvantagem resultante para a pessoa singular ou coletiva responsável pela infração da duplicação de processos penais e administrativos e de sanções pela mesma conduta;

g)O impacto da infração nos interesses dos clientes;

h)Quaisquer consequências negativas sistémicas, potenciais ou reais, da infração;

i)A cumplicidade ou a participação organizada de mais do que uma pessoa singular ou coletiva na infração;

j)Anteriores infrações cometidas pela pessoa singular ou coletiva responsável pela infração;

k)O nível de cooperação da pessoa singular ou coletiva responsável pela infração com a autoridade competente;

l)Quaisquer medidas corretivas tomadas pela pessoa singular ou coletiva responsável pela infração para evitar a sua repetição.

2.As autoridades competentes que recorram a acordos de transação ou a ações executivas de tramitação acelerada nos termos do artigo 19.º devem adaptar as sanções administrativas e outras medidas administrativas pertinentes previstas no artigo 20.º ao caso em causa, a fim de assegurar a sua proporcionalidade, tendo nomeadamente em conta as circunstâncias enumeradas no n.º 1.

Artigo 23.º
Segredo profissional

1.Todas as pessoas que trabalhem ou tenham trabalhado por conta das autoridades competentes, bem como os peritos mandatados por essas autoridades, ficam sujeitas à obrigação de segredo profissional.

2.As informações trocadas nos termos do artigo 26.º ficam sujeitas ao dever de segredo profissional, tanto pela autoridade de partilha como pela autoridade destinatária, a fim de garantir a proteção dos direitos dos particulares e das empresas.

Artigo 24.º
Direito de recurso

1.As decisões tomadas pelas autoridades competentes nos termos do presente regulamento são passíveis de impugnação em tribunal.

2.O disposto no n.º 1 aplica-se igualmente em caso de omissão.

Artigo 25.º
Publicação das decisões das autoridades competentes

1.As autoridades competentes devem publicar nos respetivos sítios Web todas as decisões que imponham sanções ou medidas administrativas a pessoas singulares e coletivas, por infração do presente regulamento e, se for caso disso, de todos os acordos de transação. A publicação deve incluir uma breve descrição da infração, a sanção administrativa ou outra medida administrativa imposta, ou, se for caso disso, uma declaração sobre o acordo de transação. É proibida a publicação da identidade da pessoa singular sujeita à decisão de imposição de uma sanção ou medida administrativa.

As autoridades competentes devem publicar a decisão e a declaração a que se refere o n.º 1 imediatamente após a pessoa singular ou coletiva objeto da decisão ter sido notificada dessa decisão ou o acordo de transação ter sido assinado.

2.Em derrogação do n.º 1, se a publicação da identidade ou de outros dados pessoais da pessoa singular for considerada necessária pela autoridade nacional competente para proteger a estabilidade dos mercados financeiros ou para assegurar a aplicação efetiva do presente regulamento, nomeadamente no caso das declarações públicas a que se refere o artigo 20.º, n.º 3, alínea a), ou das inibições temporárias a que se refere o artigo 20.º, n.º 3, alínea g), a autoridade nacional competente pode publicar também a identidade das pessoas ou os dados pessoais, desde que justifique essa decisão e que a publicação se limite aos dados pessoais estritamente necessários para proteger a estabilidade dos mercados financeiros ou para assegurar a aplicação eficaz do presente regulamento.

3.Caso seja interposto recurso da decisão de aplicar uma sanção administrativa ou outra medida administrativa perante as autoridades judiciais relevantes ou outras instâncias, as autoridades competentes devem publicar também de imediato no seu sítio Web oficial informações sobre o recurso, bem como informações posteriores relativas ao resultado desse recurso, na medida em que diga respeito a pessoas coletivas. Se a decisão objeto de recurso disser respeito a pessoas singulares e a derrogação prevista no n.º 2 não for aplicada, as autoridades competentes devem publicar informações sobre o recurso apenas numa versão anonimizada.

4.As autoridades competentes devem assegurar que todas as publicações feitas nos termos do presente artigo permaneçam no seu sítio Web oficial durante, pelo menos, cinco anos. Os dados pessoais contidos na publicação só são conservados no sítio Web oficial da autoridade competente se uma análise anual demonstrar a continuação da necessidade de publicar esses dados para proteger a estabilidade dos mercados financeiros ou assegurar a aplicação efetiva do presente regulamento e, em qualquer caso, por um período não superior a cinco anos.

Artigo 26.º
Cooperação e intercâmbio de informações entre autoridades competentes

1.As autoridades competentes devem cooperar entre si e com outras autoridades competentes em causa, designadas nos termos do direito da União ou do direito nacional aplicável às instituições financeiras para efeitos do presente regulamento, no exercício das funções das autoridades competentes.

2.Para efeitos do exercício das suas funções no quadro do presente regulamento, é permitido o intercâmbio de informações entre as autoridades competentes e as autoridades competentes de outros Estados-Membros responsáveis pela autorização e supervisão dos prestadores de serviços de informação financeira.

3.As autoridades competentes que troquem informações com outras autoridades competentes no quadro do presente regulamento podem indicar, aquando da comunicação, que essas informações só podem ser divulgadas como seu consentimento expresso, caso em que só podem ser trocadas para os fins a que aquelas autoridades tenham dado o seu consentimento.

4.A autoridade competente não pode transmitir as informações partilhadas por outras autoridades competentes a outros organismos ou pessoas singulares ou coletivas sem o consentimento expresso das autoridades competentes que divulgaram essas informações e exclusivamente para os fins para os quais essas autoridades tiverem dado o seu consentimento, exceto em circunstâncias devidamente justificadas. Neste último caso, o ponto de contacto deve informar imediatamente o ponto de contacto que enviou as informações.

5.Se as obrigações previstas no presente regulamento disserem respeito ao tratamento de dados pessoais, as autoridades competentes devem cooperar com as autoridades de controlo criadas nos termos do Regulamento (UE) 2016/679.

Artigo 27.º
Resolução de diferendos entre autoridades competentes

1.Caso uma autoridade competente de um Estado-Membro considere que a cooperação transfronteiras com as autoridades competentes de outro Estado-Membro sobre uma determinada matéria, a que se referem os artigos 28.º ou 29.º do presente regulamento, não cumpre as condições aplicáveis neles definidas, pode remeter a questão à EBA e solicitar a sua assistência nos termos do artigo 19.º do Regulamento (UE) n.º 1093/2010.

2.Caso seja requerida a prestação de assistência pela EBA nos termos do n.º 1, a EBA deve tomar sem demoras indevidas uma decisão no âmbito do artigo 19.º, n.º 3, do Regulamento (UE) n.º 1093/2010. A EBA pode igualmente, por iniciativa própria, prestar assistência às autoridades competentes na procura de um acordo nos termos do artigo 19.º, n.º 1, segundo parágrafo, do referido regulamento. Em ambos os casos, as autoridades competentes envolvidas devem suspender as suas decisões até à resolução do diferendo nos termos do artigo 19.º do Regulamento (UE) n.º 1093/2010.

TÍTULO VII
Acesso transfronteiras aos dados

Artigo 28.º
Acesso transfronteiras aos dados por parte dos prestadores de serviços de informação financeira

1.Os prestadores de serviços de informação financeira e as instituições financeiras devem ser autorizados a ter acesso aos dados enumerados no artigo 2.º, n.º 1, respeitantes a clientes da União, que estejam na posse de detentores dos dados estabelecidos na União, no quadro da livre prestação de serviços ou da liberdade de estabelecimento.

2.Um prestador de serviços de informação financeira que pretenda aceder aos dados enumerados no artigo 2.º, n.º 1, do presente regulamento pela primeira vez num Estado-Membro diferente do seu Estado-Membro de origem, no exercício do direito de estabelecimento ou da livre prestação de serviços, deve comunicar as seguintes informações às autoridades competentes do seu Estado-Membro de origem:

a)O nome, o endereço e, se for caso disso, o número de autorização do prestador de serviços de informação financeira;

b)O Estado-Membro ou os Estados-Membros em que tenciona ter acesso aos dados enumerados no artigo 2.º, n.º 1;

c)O tipo de dados a que pretende ter acesso;

d)Os regimes de partilha de dados financeiros de que é membro.

Caso o prestador de serviços de informação financeira pretenda subcontratar as suas funções operacionais de acesso a dados a outras entidades no Estado-Membro de acolhimento, deve informar desse facto as autoridades competentes do Estado-Membro de origem.

3.No prazo de um mês a contar da receção de todas as informações a que se refere o n.º 1, as autoridades competentes do Estado-Membro de origem devem transmiti-las às autoridades competentes do Estado-Membro de acolhimento.

4.O prestador de serviços de informação financeira deve comunicar às autoridades competentes do Estado-Membro de origem, sem demoras indevidas, qualquer alteração relevante das informações comunicadas nos termos do n.º 1, incluindo novas entidades às quais sejam subcontratadas atividades nos Estados-Membros de acolhimento em que opera. É aplicável o procedimento previsto nos n.os 2 e 3.

Artigo 29.º
Fundamentação e comunicação

As medidas tomadas pelas autoridades competentes por força dos artigos 18.º ou 28.º, que incluam sanções ou restrições ao exercício da livre prestação de serviços ou da liberdade de estabelecimento, devem ser devidamente justificadas e comunicadas ao prestador de serviços de informação financeira interessado.

TÍTULO VIII

Disposições finais

Artigo 30.º
Exercício da delegação

1.O poder de adotar atos delegados é conferido à Comissão nas condições estabelecidas no presente artigo.

2.O poder de adotar o ato delegado a que se refere o artigo 11.º é conferido à Comissão por um período de XX meses a partir de … [OP: inserir a data de entrada em vigor do presente regulamento]. A Comissão deve elaborar um relatório relativo à delegação de poderes pelo menos nove meses antes do final do período de XX meses. A delegação de poderes é tacitamente prorrogada por períodos de igual duração, salvo se o Parlamento Europeu ou o Conselho a tal se opuserem pelo menos três meses antes do final de cada período.

3.A delegação de poderes referida no artigo 11.º pode ser revogada a qualquer momento pelo Parlamento Europeu ou pelo Conselho. A decisão de revogação põe termo à delegação dos poderes nela especificados. A decisão de revogação produz efeitos a partir do dia seguinte ao da sua publicação no Jornal Oficial da União Europeia ou de uma data posterior nela especificada. A decisão de revogação não afeta os atos delegados já em vigor.

4.Antes de adotar um ato delegado, a Comissão deve consultar os peritos designados por cada Estado-Membro de acordo com os princípios estabelecidos no Acordo Interinstitucional sobre Legislar Melhor de 13 de abril de 2016.

5.Assim que adotar um ato delegado, a Comissão deve notificá-lo simultaneamente ao Parlamento Europeu e ao Conselho.

6.Os atos delegados adotados nos termos do artigo 11.º só entram em vigor se não tiverem sido formuladas objeções pelo Parlamento Europeu ou pelo Conselho no prazo de três meses a contar da notificação do ato ao Parlamento Europeu e ao Conselho ou se, antes do termo desse prazo, o Parlamento Europeu e o Conselho tiverem informado a Comissão de que não têm objeções a formular. O referido prazo é prorrogável por três meses por iniciativa do Parlamento Europeu ou do Conselho.

Artigo 31.º
Avaliação do presente regulamento e relatório sobre o acesso aos dados financeiros

1.Até [OP: inserir data correspondente a quatro anos após a data de entrada em vigor do presente regulamento], a Comissão deve proceder à avaliação do presente regulamento e apresentar um relatório com as suas principais conclusões ao Parlamento Europeu e ao Conselho, bem como ao Comité Económico e Social Europeu. Essa avaliação incide, em especial, nos seguintes aspetos:

a)Outras categorias ou conjuntos de dados a tornar acessíveis;

b)A exclusão do âmbito de determinadas categorias de dados e entidades;

c)Alterações nas práticas contratuais dos detentores dos dados e utilizadores dos dados e o funcionamento dos regimes de partilha de dados financeiros;

d)A inclusão de outros tipos de entidades nas entidades às quais foi concedido o direito de acesso aos dados;

e)O impacto da compensação na capacidade de os utilizadores de dados participarem em regimes de partilha de dados financeiros e acederem aos dados dos detentores dos dados.

2.Até [OP: inserir a data correspondente a quatro anos após a data de entrada em vigor do presente regulamento], a Comissão deve apresentar ao Parlamento Europeu e ao Conselho um relatório em que avalia as condições de acesso aos dados financeiros aplicáveis aos prestadores de serviços de informação sobre contas no quadro do presente regulamento e da Diretiva (UE) 2015/2366. Se tal se mostrar adequado, esse relatório pode ser acompanhado de uma proposta legislativa.

Artigo 32.º
Alteração do Regulamento (UE) n.º 1093/2010

No artigo 1.º, n.º 2, do Regulamento (UE) n.º 1093/2010, o primeiro parágrafo passa a ter a seguinte redação:

«A Autoridade age no âmbito das competências conferidas pelo presente regulamento e no âmbito de aplicação da Diretiva 2002/87/CE, da Diretiva 2008/48/CE*, da Diretiva 2009/110/CE, do Regulamento (UE) n.º 575/2013**, da Diretiva 2013/36/UE***, da Diretiva 2014/49/UE****, da Diretiva 2014/92/UE*****, da Diretiva (UE) 2015/2366******, do Regulamento (UE) 2023/1114 (*******), do Regulamento (UE) 2024/... (********) do Parlamento Europeu e do Conselho e, na medida em que esses atos se apliquem às instituições de crédito e às instituições financeiras e às autoridades competentes que as supervisionam, das partes aplicáveis da Diretiva 2002/65/CE, incluindo todas as diretivas, regulamentos e decisões baseados nesses atos, bem como de qualquer outro ato juridicamente vinculativo da União que confira atribuições à Autoridade. A Autoridade age também nos termos do Regulamento (UE) n.º 1024/2013 do Conselho*********.

*    Diretiva 2008/48/CE do Parlamento Europeu e do Conselho, de 23 de abril de 2008, relativa a contratos de crédito aos consumidores e que revoga a Diretiva 87/102/CEE do Conselho (JO L 133 de 22.5.2008, p. 66).

**    Regulamento (UE) n.º 575/2013 do Parlamento Europeu e do Conselho, de 26 de junho de 2013, relativo aos requisitos prudenciais para as instituições de crédito e para as empresas de investimento e que altera o Regulamento (UE) n.º 648/2012 (JO L 176 de 27.6.2013, p. 1).

***    Diretiva 2013/36/UE do Parlamento Europeu e do Conselho, de 26 de junho de 2013, relativa ao acesso à atividade das instituições de crédito e à supervisão prudencial das instituições de crédito e empresas de investimento, que altera a Diretiva 2002/87/CE e revoga as Diretivas 2006/48/CE e 2006/49/CE (JO L 176 de 27.6.2013, p. 338).

****    Diretiva 2014/49/UE do Parlamento Europeu e do Conselho, de 16 de abril de 2014, relativa aos sistemas de garantia de depósitos (JO L 173 de 12.6.2014, p. 149).

*****    Diretiva 2014/92/UE do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativa à comparabilidade das comissões relacionadas com as contas de pagamento, à mudança de conta de pagamento e ao acesso a contas de pagamento com características básicas (JO L 257 de 28.8.2014, p. 214).

******    Diretiva (UE) 2015/2366 do Parlamento Europeu e do Conselho, de 25 de novembro de 2015, relativa aos serviços de pagamento no mercado interno, que altera as Diretivas 2002/65/CE, 2009/110/CE e 2013/36/UE e o Regulamento (UE) n.º 1093/2010, e que revoga a Diretiva 2007/64/CE (JO L 337 de 23.12.2015, p. 35).

*******    Regulamento (UE) 2023/1114 do Parlamento Europeu e do Conselho, de 31 de maio de 2023, relativo aos mercados de criptoativos e que altera os Regulamentos (UE) n.º 1093/2010 e (UE) n.º 1095/2010 e as Diretivas 2013/36/UE e (UE) 2019/1937 (JO L 150 de 9.6.2023, p. 40).

******** Regulamento (UE) 2024/... do Parlamento Europeu e do Conselho, de ..., relativo a um quadro de acesso aos dados financeiros e que altera os Regulamentos (UE) n.º 1093/2010, (UE) n.º 1095/2010 e (UE) 2022/2554 e a Diretiva (UE) 2019/1937 (JO L ... de ..., p. ...).

*********    Regulamento (UE) n.º 1024/2013 do Conselho, de 15 de outubro de 2013, que confere ao BCE atribuições específicas no que diz respeito às políticas relativas à supervisão prudencial das instituições de crédito (JO L 287 de 29.10.2013, p. 63).»

Artigo 33.º
Alteração do Regulamento (UE) n.º 1094/2010

No artigo 1.º, n.º 2, do Regulamento (UE) n.º 1094/2010, o primeiro parágrafo passa a ter a seguinte redação:

* Regulamento (UE) 2024/... do Parlamento Europeu e do Conselho, de..., relativo a um quadro de acesso aos dados financeiros e que altera os Regulamentos (UE) n.º 1093/2010, (UE) n.º 1094/2010, (UE) n.º 1095/2010, (UE) n.º 1094/2010 e (UE) 2022/2554 e a Diretiva (UE) 2019/1937 (JO L ... de ..., p. ...).

** Diretiva (UE) 2016/97 do Parlamento Europeu e do Conselho, de 20 de janeiro de 2016, sobre a distribuição de seguros (JO L 26 de 2.2.2016, p. 19).

*** Diretiva (UE) 2016/2341 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2016, relativa às atividades e à supervisão das instituições de realização de planos de pensões profissionais (IRPPP) (JO L 354 de 23.12.2016, p. 37).»

Artigo 34.º
Alteração do Regulamento (UE) n.º 1095/2010

No artigo 1.º, n.º 2, do Regulamento (UE) n.º 1095/2010, o primeiro parágrafo passa a ter a seguinte redação:

«A Autoridade age no âmbito das competências conferidas pelo presente regulamento e no âmbito de aplicação das Diretivas 97/9/CE, 98/26/CE, 2001/34/CE, 2002/47/CE, 2004/109/CE, 2009/65/CE, da Diretiva 2011/61/UE do Parlamento Europeu e do Conselho*, do Regulamento (CE) n.º 1060/2009 e da Diretiva 2014/65/UE do Parlamento e do Conselho**, do Regulamento (UE) 2017/1129 do Parlamento Europeu e do Conselho***, do Regulamento (UE) 2023/1114 do Parlamento Europeu e do Conselho****, do Regulamento (UE) 2024/... do Parlamento Europeu e do Conselho*****, e, na medida em que esses atos se apliquem às empresas que prestam serviços de investimento ou aos organismos de investimento coletivo que comercializam as suas unidades de participação ou ações, aos emitentes e oferentes de criptoativos, às pessoas que solicitam a admissão à negociação ou aos prestadores de serviços de criptoativos, aos prestadores de serviços de informação financeira e às autoridades competentes que procedem à sua supervisão, das partes pertinentes das Diretivas 2002/87/CE e 2002/65/CE, incluindo todas as diretivas, regulamentos e decisões baseados nesses atos, bem como de qualquer outro ato juridicamente vinculativo da União que confira atribuições à Autoridade.

___________

*    Diretiva 2011/61/UE do Parlamento Europeu e do Conselho, de 8 de junho de 2011, relativa aos gestores de fundos de investimento alternativos e que altera as Diretivas 2003/41/CE e 2009/65/CE e os Regulamentos (CE) n.º 1060/2009 e (UE) n.º 1095/2010 (JO L 174 de 1.7.2011, p. 1).

**    Diretiva 2014/65/UE do Parlamento Europeu e do Conselho, de 15 de maio de 2014, relativa aos mercados de instrumentos financeiros e que altera a Diretiva 2002/92/CE e a Diretiva 2011/61/UE (JO L 173 de 12.6.2014, p. 349).

***    Regulamento (UE) 2017/1129 do Parlamento Europeu e do Conselho, de 14 de junho de 2017, relativo ao prospeto a publicar em caso de oferta de valores mobiliários ao público ou da sua admissão à negociação num mercado regulamentado, e que revoga a Diretiva 2003/71/CE (JO L 168 de 30.6.2017, p. 12).

****    Regulamento (UE) 2023/1114 do Parlamento Europeu e do Conselho, de 31 de maio de 2023, relativo aos mercados de criptoativos e que altera os Regulamentos (UE) n.º 1093/2010 e (UE) n.º 1095/2010 e as Diretivas 2013/36/UE e (UE) 2019/1937 (JO L 150 de 9.6.2023, p. 40).

*****    Regulamento (UE) 2024/... do Parlamento Europeu e do Conselho, de ..., relativo a um quadro de acesso aos dados financeiros e que altera os Regulamentos (UE) n.º 1093/2010, (UE) n.º 1094/2010, (UE) n.º 1095/2010 e (UE) 2022/2554 e a Diretiva (UE) 2019/1937 (JO L ... de ..., p. ...).».

Artigo 35.º
Alteração do Regulamento (UE) 2022/2554

O artigo 2.º, n.º 1, do Regulamento (UE) n.º 2022/2554 é alterado do seguinte modo:

1)Na alínea u), a pontuação «.» é substituída por «;»;

2)É aditada a seguinte alínea:

«v) Prestadores de serviços de informação financeira.».

Artigo 36.º
Entrada em vigor e aplicação

O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

O presente regulamento é aplicável a partir de [OP: inserir data correspondente a 24 meses após a data de entrada em vigor do presente regulamento]. No entanto, os artigos 9.º a 13.º são aplicáveis a partir de [OP: inserir data correspondente a 18 meses após a data de entrada em vigor do presente regulamento].

O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.

Feito em Bruxelas, em

(1)    Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões, de 19 de fevereiro de 2020, intitulada «Uma estratégia europeia para os dados» [COM(2020) 66 final].

(2)

   Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões, de 29 de setembro de 2020, sobre uma Estratégia em matéria de Financiamento Digital para a UE [COM(2020) 591 final].

(3)    Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões, de 25 de novembro de 2021, intitulada «União dos Mercados de Capitais — Resultados um ano após o Plano de Ação» [COM(2021) 720 final].

(4)    Proposta de regulamento do Parlamento Europeu e do Conselho relativo a regras harmonizadas sobre o acesso equitativo aos dados e a sua utilização (Regulamento Dados) [COM(2022) 68 final].

(5)    A estratégia de investimento de retalho adotada inclui a proposta de diretiva do Parlamento Europeu e do Conselho que altera as Diretivas 2009/65/CE, 2009/138/CE, 2011/61/UE, 2014/65/UE e (UE) 2016/97 no que respeita às regras de proteção dos investidores não profissionais na União e uma proposta de regulamento do Parlamento Europeu e do Conselho que altera o Regulamento (UE) n.º 1286/2014 no que respeita à modernização do documento de informação fundamental. 

(6)    JO C […] de […], p. […].

(7)    Diretiva (UE) 2015/2366 do Parlamento Europeu e do Conselho, de 25 de novembro de 2015, relativa aos serviços de pagamento no mercado interno, que altera as Diretivas 2002/65/CE, 2009/110/CE e 2013/36/UE e o Regulamento (UE) n.º 1093/2010, e que revoga a Diretiva 2007/64/CE (JO L 337 de 23.12.2015, p. 35).

(8)    https://eur-lex.europa.eu/legal-content/PT/TXT/?qid=1593073685620&uri=CELEX%3A52020DC0066.

(9)    Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).

(10)    Diretiva 2009/138/CE do Parlamento Europeu e do Conselho, de 25 de novembro de 2009, relativa ao acesso à atividade de seguros e resseguros e ao seu exercício (Solvência II) (reformulação) (JO L 335 de 17.12.2009, p. 1).

(11)    Diretiva (UE) 2015/2366 do Parlamento Europeu e do Conselho, de 25 de novembro de 2015, relativa aos serviços de pagamento no mercado interno, que altera as Diretivas 2002/65/CE, 2009/110/CE e 2013/36/UE e o Regulamento (UE) n.º 1093/2010, e que revoga a Diretiva 2007/64/CE (JO L 337 de 23.12.2015, p. 35).

(12)    Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões intitulada «Estratégia de financiamento da transição para uma economia sustentável» [COM(2021) 390 final].

(13)     EBA, «Relatório final – Orientações sobre a concessão e a monitorização de empréstimos» (europa.eu) , 29 de maio de 2020.

(14)    Diretiva (UE) 2019/882 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativa aos requisitos de acessibilidade dos produtos e serviços (JO L 151 de 7.6.2019, p. 70).

(15)    COM(2021) 281 final, 2021/0136 (COD).

(16)    Regulamento (UE) 2022/868 do Parlamento Europeu e do Conselho, de 30 de maio de 2022, relativo à governação europeia de dados e que altera o Regulamento (UE) 2018/1724 (Regulamento Governação de Dados) (JO L 152 de 3.6.2022, p. 1).

(17)    JO L 123 de 12.5.2016, p. 1.

(18)    Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativo à resiliência operacional digital do setor financeiro e que altera os Regulamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 e (UE) 2016/1011 (JO L 333 de 27.12.2022, p. 1).

(19)    Regulamento (UE) … (JO ...).

(20)    Diretiva (UE) … (JO…).

(21)    Relatório da Comissão sobre a revisão da Diretiva (UE) 2015/2366 do Parlamento Europeu e do Conselho relativa aos serviços de pagamento no mercado interno.

(22)    Regulamento (UE) n.º 600/2014 do Parlamento Europeu e do Conselho, de 15 de maio de 2014, relativo aos mercados de instrumentos financeiros e que altera o Regulamento (UE) n.º 648/2012 (JO L 173 de 12.6.2014, p. 84).

(23)    Diretiva 2014/17/UE do Parlamento Europeu e do Conselho, de 4 de fevereiro de 2014, relativa aos contratos de crédito aos consumidores para imóveis de habitação e que altera as Diretivas 2008/48/CE e 2013/36/UE e o Regulamento (UE) n.º 1093/2010 (JO L 60 de 28.2.2014, p. 34).

(24)    Regulamento (UE) 2017/2402 do Parlamento Europeu e do Conselho, de 12 de dezembro de 2017, que estabelece um regime geral para a titularização e cria um regime específico para a titularização simples, transparente e padronizada, e que altera as Diretivas 2009/65/CE, 2009/138/CE e 2011/61/UE e os Regulamentos (CE) n.º 1060/2009 e (UE) n.º 648/2012 (JO L 347 de 28.12.2017, p. 35).

(25)    Diretiva 2009/103/CE do Parlamento Europeu e do Conselho, de 16 de setembro de 2009, relativa ao seguro de responsabilidade civil que resulta da circulação de veículos automóveis e à fiscalização do cumprimento da obrigação de segurar esta responsabilidade (JO L 263 de 7.10.2009, p. 11).

(26)    Regulamento (UE) 2019/1238 do Parlamento Europeu e do Conselho, de 20 de junho de 2019, relativo a um Produto Individual de Reforma Pan-Europeu (PEPP) (JO L 198 de 25.7.2019, p. 1).

(27)    Diretiva (UE) 2018/843 do Parlamento Europeu e do Conselho, de 30 de maio de 2018, que altera a Diretiva (UE) 2015/849 relativa à prevenção da utilização do sistema financeiro para efeitos de branqueamento de capitais ou de financiamento do terrorismo e que altera as Diretivas 2009/138/CE e 2013/36/UE (JO L 156 de 19.6.2018, p. 43).

(28)    Regulamento (UE) n.º 1093/2010 do Parlamento Europeu e do Conselho, de 24 de novembro de 2010, que cria uma Autoridade Europeia de Supervisão (Autoridade Bancária Europeia), altera a Decisão n.º 716/2009/CE e revoga a Decisão 2009/78/CE da Comissão (JO L 331 de 15.12.2010, p. 12).

(29)    Regulamento (UE) n.º 1094/2010 do Parlamento Europeu e do Conselho, de 24 de novembro de 2010, que cria uma Autoridade Europeia de Supervisão (Autoridade Europeia dos Seguros e Pensões Complementares de Reforma), altera a Decisão n.º 716/2009/CE e revoga a Decisão 2009/79/CE da Comissão (JO L 331 de 15.12.2010, p. 48).

(30)    Regulamento (UE) n.º 1095/2010 do Parlamento Europeu e do Conselho, de 24 de novembro de 2010, que cria uma Autoridade Europeia de Supervisão (Autoridade Europeia dos Valores Mobiliários e dos Mercados), altera a Decisão n.º 716/2009/CE e revoga a Decisão 2009/77/CE da Comissão (JO L 331 de 15.12.2010, p. 84).

(31)    Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.º 45/2001 e a Decisão n.º 1247/2002/CE (JO L 295 de 21.11.2018, p. 39).

(32)    Diretiva 2014/65/UE do Parlamento Europeu e do Conselho, de 15 de maio de 2014, relativa aos mercados de instrumentos financeiros e que altera a Diretiva 2002/92/CE e a Diretiva 2011/61/UE (reformulação) (JO L 173 de 12.6.2014, p. 349).

(33)    Diretiva (UE) 2016/2341 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2016, relativa às atividades e à supervisão das instituições de realização de planos de pensões profissionais (IRPPP) (reformulação) (JO L 354 de 23.12.2016, p. 37).

(34)    Diretiva (UE) 2016/97 do Parlamento Europeu e do Conselho, de 20 de janeiro de 2016, sobre a distribuição de seguros (reformulação) (JO L 26 de 2.2.2016, p. 19).

(35)    Diretiva 2009/110/CE do Parlamento Europeu e do Conselho, de 16 de setembro de 2009, relativa ao acesso à atividade das instituições de moeda eletrónica, ao seu exercício e à sua supervisão prudencial, que altera as Diretivas 2005/60/CE e 2006/48/CE e revoga a Diretiva 2000/46/CE (JO L 267 de 10.10.2009, p. 7).

(36)    Regulamento (UE) n.º 575/2013 do Parlamento Europeu e do Conselho, de 26 de junho de 2013, relativo aos requisitos prudenciais para as instituições de crédito e para as empresas de investimento e que altera o Regulamento (UE) n.º 648/2012 (JO L 176 de 27.6.2013, p. 1).

(37)    Regulamento (UE) 2023/1114 do Parlamento Europeu e do Conselho, de 31 de maio de 2023, relativo aos mercados de criptoativos e que altera os Regulamentos (UE) n.º 1093/2010 e (UE) n.º 1095/2010 e as Diretivas 2013/36/UE e (UE) 2019/1937 (JO L 150 de 9.6.2023, p. 40).

(38)    Diretiva 2011/61/UE do Parlamento Europeu e do Conselho, de 8 de junho de 2011, relativa aos gestores de fundos de investimento alternativos e que altera as Diretivas 2003/41/CE e 2009/65/CE e os Regulamentos (CE) n.º 1060/2009 e (UE) n.º 1095/2010 (JO L 174 de 1.7.2011, p. 1).

(39)    Diretiva 2009/65/CE do Parlamento Europeu e do Conselho, de 13 de julho de 2009, que coordena as disposições legislativas, regulamentares e administrativas respeitantes a alguns organismos de investimento coletivo em valores mobiliários (OICVM) (reformulação) (JO L 302 de 17.11.2009, p. 32).

(40)    Diretiva (UE) 2016/97 do Parlamento Europeu e do Conselho, de 20 de janeiro de 2016, sobre a distribuição de seguros (reformulação) (JO L 26 de 2.2.2016, p. 19).

(41)    Regulamento (CE) n.º 1060/2009 do Parlamento Europeu e do Conselho, de 16 de setembro de 2009, relativo às agências de notação de risco (JO L 302 de 17.11.2009, p. 1).

(42)    Recomendação da Comissão, de 6 de maio de 2003, relativa à definição de micro, pequenas e médias empresas [C(2003) 1422] (JO L 124 de 20.5.2003, p. 36).

(43)    Diretiva 2013/11/UE do Parlamento Europeu e do Conselho, de 21 de maio de 2013, sobre a resolução alternativa de litígios de consumo, que altera o Regulamento (CE) n.º 2006/2004 e a Diretiva 2009/22/CE (Diretiva RAL) (JO L 165 de 18.6.2013, p. 63).

(44)    Regulamento Delegado (UE) 2016/1675 da Comissão, de 14 de julho de 2016, que completa a Diretiva (UE) 2015/849 do Parlamento Europeu e do Conselho mediante a identificação dos países terceiros de risco elevado que apresentam deficiências estratégicas.

(45)    Diretiva 2013/34/UE do Parlamento Europeu e do Conselho, de 26 de junho de 2013, relativa às demonstrações financeiras anuais, às demonstrações financeiras consolidadas e aos relatórios conexos de certas formas de empresas, que altera a Diretiva 2006/43/CE do Parlamento Europeu e do Conselho e revoga as Diretivas 78/660/CEE e 83/349/CEE do Conselho (JO L 182 de 29.6.2013, p. 19).