COMISSÃO EUROPEIA
Bruxelas, 13.9.2017
COM(2017) 495 final
2017/0228(COD)
Proposta de
REGULAMENTO DO PARLAMENTO EUROPEU E DO CONSELHO
relativo a um quadro para o livre fluxo de dados não pessoais na União Europeia
{SWD(2017) 304 final}
{SWD(2017) 305 final}
EXPOSIÇÃO DE MOTIVOS
1.CONTEXTO DA PROPOSTA
•Justificação e objetivos da proposta
As novas tecnologias digitais, tais como a computação em nuvem, os megadados, a inteligência artificial e a Internet das Coisas (IdC), são concebidas no intuito de maximizar a eficiência, permitir economias de escala e desenvolver novos serviços. Oferecem vantagens aos utilizadores, designadamente no que respeita à agilidade, produtividade, velocidade de implantação e autonomia, por exemplo através da aprendizagem por máquina 1 .
Tal como indicado na comunicação de 2017 intitulada «Construir uma economia europeia dos dados» 2 , o valor do mercado dos dados na UE foi estimado em quase 60 mil milhões de EUR em 2016, registando um crescimento de 9,5 % em relação a 2015. Um estudo indica que o mercado dos dados na UE poderá representar mais de 106 mil milhões de EUR em 2020 3 .
Para desbloquear este potencial, a proposta visa dar resposta aos seguintes desafios:
·Melhorar a mobilidade transfronteiriça dos dados não pessoais no mercado único, a qual é atualmente limitada em muitos Estados-Membros por restrições em matéria de localização ou pela incerteza jurídica no mercado;
·Assegurar que os poderes das autoridades competentes para requerer e obter acesso a dados para fins de controlo regulamentar, designadamente a realização de inspeções e auditorias, permanecem inalterados; e
·Tornar mais fácil para os utilizadores profissionais de serviços de armazenamento ou de outros tratamentos de dados a mudança de prestador de serviços e a portação de dados, sem com isso gerar encargos excessivos para os prestadores de serviços nem falsear o mercado.
A revisão intercalar relativa à aplicação da Estratégia para o Mercado Único Digital (Estratégia MUD) 4 anunciou uma proposta legislativa sobre um quadro de cooperação relativo ao livre fluxo de dados na UE.
O objetivo político geral da iniciativa é realizar um mercado interno mais competitivo e integrado no domínio dos serviços e das atividades de armazenamento e de outros tratamentos de dados, abordando os domínios supramencionados. Na presente proposta, o conceito de armazenamento e outros tratamentos de dados é utilizado em sentido lato, englobando a utilização de todos os tipos de sistema informático, independentemente da sua localização nas instalações do utilizador ou externalização para um prestador de serviços de armazenamento ou de outro tratamento de dados 5 .
•Coerência com as disposições existentes no mesmo domínio setorial
A proposta destina-se a realizar os objetivos estabelecidos na Estratégia MUD 6 , na sua recente revisão intercalar, bem como nas Orientações Políticas para a atual Comissão Europeia – «Um novo começo para a Europa: O meu Programa para o Emprego, o Crescimento, a Equidade e a Mudança Democrática» 7 .
A presente proposta centra-se na prestação de serviços de alojamento de dados (armazenamento) e de outros serviços de tratamento de dados, sendo coerente com os instrumentos jurídicos em vigor. A iniciativa visa criar um mercado único da UE eficaz relativo a estes serviços. É, por conseguinte, compatível com a Diretiva Comércio Eletrónico 8 , que almeja um mercado único da UE abrangente e eficaz relativamente às categorias mais amplas de serviços da sociedade da informação, e com a Diretiva Serviços 9 , que aprofunda o mercado único da UE relativo aos serviços em vários setores.
Uma vez que o âmbito de aplicação da referida legislação (ou seja, a Diretiva Comércio Eletrónico e a Diretiva Serviços) exclui expressamente determinados setores pertinentes, apenas as disposições gerais do Tratado se afiguram aplicáveis à totalidade dos serviços de alojamento de dados (armazenamento) e outros serviços de tratamento de dados. Contudo, os obstáculos existentes e enfrentados por estes serviços não podem ser eficazmente removidos com base na exclusiva aplicação direta do disposto nos artigos 49.º e 56.º do Tratado sobre o Funcionamento da União Europeia (TFUE), dado que, por um lado, a gestão caso a caso destes obstáculos através de processos por infração contra os Estados-Membros em causa seria extremamente complexa para as instituições nacionais e da União e, por outro lado, a eliminação de muitos obstáculos exige regras específicas que permitam ultrapassar tanto os obstáculos de natureza pública como de natureza privada e requer, além disso, o estabelecimento de uma cooperação administrativa. Além do mais, a consequente melhoria da segurança jurídica reveste-se de especial importância para os utilizadores das novas tecnologias 10 .
Uma vez que a presente proposta diz respeito aos dados eletrónicos que não sejam dados pessoais, não afeta o quadro jurídico da União em matéria de proteção de dados, nomeadamente o Regulamento (UE) 2016/679 (RGPD) 11 , a Diretiva (UE) 2016/680 (Diretiva Cooperação Policial) 12 e a Diretiva 2002/58/CE (Diretiva Privacidade Eletrónica) 13 , que asseguram um elevado nível de proteção dos dados pessoais e a livre circulação de dados pessoais na União. Juntamente com esse quadro jurídico, a proposta destina-se a instituir um quadro da UE abrangente e coerente que permita a livre circulação de dados no mercado único.
A proposta implicará a notificação dos projetos de medidas relativas à localização de dados ao abrigo da Diretiva (UE) 2015/1535 (Diretiva Transparência 14 ), no sentido de permitir avaliar se estas restrições em matéria de localização são justificadas.
No que tange à cooperação e à assistência mútua entre as autoridades competentes, a proposta dispõe que devem ser aplicáveis todos os mecanismos nesta matéria. Nos casos em que não existam mecanismos de cooperação, a proposta introduz medidas destinadas a possibilitar às autoridades competentes o intercâmbio ou o acesso a dados armazenados ou submetidos a outro tratamento noutros Estados-Membros.
•Coerência com outras políticas da União
No quadro da Estratégia MUD, a presente iniciativa visa reduzir os obstáculos a uma economia dos dados competitiva na Europa. Em consonância com a comunicação sobre a revisão intercalar relativa à aplicação da Estratégia MUD, a Comissão tem vindo a analisar separadamente as questões respeitantes à acessibilidade e reutilização de dados públicos e de dados financiados por fundos públicos e aos dados detidos pelo setor privado que sejam de interesse público, bem como a responsabilidade em caso de danos causados por produtos com utilização intensiva de dados 15 .
A intervenção política assenta igualmente no pacote de medidas relativo à Digitalização da Indústria Europeia, que incluiu a Iniciativa Europeia para a Nuvem 16 , destinada a implementar uma solução de computação em nuvem de elevada capacidade para armazenar, partilhar e reutilizar dados científicos. Além disso, a iniciativa assenta na revisão do Quadro Europeu de Interoperabilidade 17 , que visa melhorar a colaboração digital entre as administrações públicas na Europa e beneficiará diretamente do livre fluxo de dados. Contribui para o compromisso da UE no sentido de uma Internet aberta 18 .
2.BASE JURÍDICA, SUBSIDIARIEDADE E PROPORCIONALIDADE
•Base jurídica
A presente proposta é abrangida pelos domínios de competências partilhadas, em conformidade com o artigo 4.º, n.º 2, alínea a), do TFUE. O seu objetivo é realizar um mercado interno dos serviços de armazenamento e de outros tratamentos de dados que seja mais competitivo e integrado, assegurando a livre circulação de dados na União. A proposta estabelece as regras relativas aos requisitos em matéria de localização dos dados, à disponibilidade de dados para as autoridades competentes e à portabilidade dos dados para utilizadores profissionais. Tem por base o artigo 114.º do TFUE, que constitui a base jurídica geral para a adoção das referidas regras.
•Subsidiariedade
A proposta respeita o princípio da subsidiariedade consagrado no artigo 5.º do Tratado da União Europeia (TUE). O objetivo da presente proposta de assegurar o bom funcionamento do mercado interno relativo aos serviços supramencionados, que não se limite ao território de um Estado-Membro, e a livre circulação de dados não pessoais na União não pode ser alcançado pelos Estados-Membros ao nível meramente nacional, uma vez que o problema central reside na mobilidade transfronteiriça dos dados.
Os Estados-Membros são capazes de reduzir o número e o alcance das suas próprias restrições em matéria de localização de dados, mas é presumível que o façam em diferentes graus e em diferentes condições, ou que não o façam de todo.
Todavia, a aplicação de abordagens divergentes levaria a uma multiplicação dos requisitos regulamentares em todo o mercado único da UE e a custos adicionais tangíveis para as empresas, especialmente para as pequenas e médias empresas (PME).
•Proporcionalidade
A proposta cumpre o princípio da proporcionalidade consagrado no artigo 5.º do TUE, dado que consiste num quadro eficaz que não excede o necessário para solucionar os problemas identificados e é proporcionado para alcançar os seus objetivos.
No sentido de eliminar os obstáculos ao livre fluxo de dados não pessoais na União, limitado por requisitos em matéria de localização, e de promover a confiança tanto nos fluxos transfronteiriços de dados como nos serviços de armazenamento e de outros tratamentos de dados, a proposta assentará em grande medida nos instrumentos e quadros existentes da UE: a Diretiva Transparência no que se refere às notificações dos projetos de medidas sobre requisitos em matéria de localização de dados e os diversos quadros que garantem a disponibilidade dos dados para fins de controlo regulamentar por parte dos Estados-Membros. O mecanismo de cooperação da proposta só será utilizado para dar resposta às questões da disponibilidade dos dados para as autoridades competentes nacionais na ausência de outros mecanismos de cooperação e quando tiverem sido esgotados os restantes meios de acesso.
A abordagem proposta à circulação de dados entre as fronteiras dos Estados-Membros e entre prestadores de serviços/sistemas informáticos internos procura alcançar um ponto de equilíbrio entre a regulamentação da UE e os interesses de segurança pública dos Estados-Membros, bem como um ponto de equilíbrio entre a regulamentação da UE e a autorregulação por parte do mercado.
Mais especificamente, com vista a atenuar as dificuldades dos utilizadores profissionais na mudança de prestador de serviços e na portação de dados, a iniciativa promove uma autorregulação por meio de códigos de conduta sobre as informações a facultar aos utilizadores de serviços de armazenamento ou de outros tratamentos de dados. Além disso, as modalidades da mudança de prestador e da portação devem ser determinadas pela autorregulação para a definição das respetivas boas práticas.
A proposta recorda que os requisitos de segurança impostos pelo direito nacional e da União devem igualmente ser garantidos quando as pessoas singulares ou coletivas externalizam os seus serviços de armazenamento ou de outros tratamentos de dados, incluindo noutro Estado-Membro. Recorda também as competências de execução conferidas à Comissão pela Diretiva Segurança das Redes e da Informação no sentido de atender aos requisitos de segurança que contribuem igualmente para a execução do presente regulamento. Por último, ainda que a proposta exigisse medidas da parte das autoridades públicas dos Estados-Membros, em virtude dos requisitos de notificação/revisão, dos requisitos de transparência e da cooperação administrativa, a proposta foi elaborada de modo a limitar essas medidas às necessidades de cooperação mais importantes, para, deste modo, evitar encargos administrativos desnecessários.
Ao estabelecer um quadro claro, acompanhado de uma cooperação com os Estados-Membros e entre eles e de uma autorregulação, a presente proposta destina-se a reforçar a segurança jurídica e a aumentar os níveis de confiança, mantendo paralelamente a sua eficácia e pertinência no longo prazo, mercê da flexibilidade do quadro de cooperação, alicerçado nos pontos de contacto únicos nos Estados-Membros.
A Comissão tenciona constituir um grupo de peritos para obter aconselhamento nas questões abrangidas pelo presente regulamento.
•Escolha do instrumento
A Comissão apresenta uma proposta de regulamento capaz de assegurar que são simultaneamente aplicáveis em todo o território da União regras uniformes para o livre fluxo de dados não pessoais. Trata-se de uma iniciativa particularmente importante para eliminar as atuais restrições e evitar a adoção de novas restrições por parte dos Estados-Membros, por forma a garantir a segurança jurídica para os prestadores e utilizadores dos serviços em causa e, assim, aumentar a confiança tanto nos fluxos transfronteiriços de dados como nos serviços de armazenamento e de outros tratamentos de dados.
3.RESULTADOS DAS AVALIAÇÕES EX POST, DA CONSULTA DAS PARTES INTERESSADAS E DAS AVALIAÇÕES DE IMPACTO
•Consulta das partes interessadas
Durante uma primeira fase de recolha de provas, foi realizada, em 2015, uma consulta pública sobre o ambiente regulamentar em matéria de plataformas, intermediários em linha, dados e computação em nuvem e economia colaborativa. Dois terços dos inquiridos – com uma distribuição equilibrada entre todos os grupos de partes interessadas, incluindo as PME – consideravam que as restrições à localização dos dados tinham afetado a sua estratégia comercial 19 . As restantes atividades de recolha de informações consistiram em reuniões e eventos, sessões de trabalho temáticas com as principais partes interessadas (p. ex., o Cloud Select Industry Group) e sessões de trabalho específicas no contexto dos estudos realizados.
Uma segunda fase de recolha de provas, entre o final de 2016 e o segundo semestre de 2017, incluiu o lançamento de uma consulta pública no âmbito da comunicação intitulada «Construir uma economia europeia dos dados», em 10 de janeiro de 2017. De acordo com as respostas à consulta pública, 61,9 % das partes interessadas entendiam que as restrições em matéria de localização de dados deveriam ser eliminadas. A maioria das partes interessadas consultadas (55,3 % dos inquiridos) considera que uma iniciativa legislativa constitui o instrumento mais indicado para obstar às restrições em matéria de localização injustificadas, tendo algumas destas partes interessadas solicitado expressamente a elaboração de um regulamento 20 . O apoio mais significativo a uma ação regulamentar foi demonstrado por prestadores de serviços informáticos de todas as dimensões, sediados tanto dentro como fora da UE. As partes interessadas identificaram igualmente os impactos negativos das restrições em matéria de localização de dados. Juntamente com os custos acrescidos para as empresas, os maiores impactos são exercidos sobre as prestações de serviços a entidades privadas ou públicas (69,6 % das partes interessadas inquiridas classificaram este impacto como «elevado») ou sobre a capacidade de entrar num novo mercado (73,9 % das partes interessadas inquiridas classificaram este impacto como «elevado»). As partes interessadas de todos os contextos respondem a estas perguntas em percentagens semelhantes. A consulta pública em linha demonstrou também que o problema relativo à mudança de prestador é generalizado, já que 56,8 % das PME inquiridas indicaram terem sentido dificuldades quando pretenderam mudar de prestador.
As reuniões de diálogo estruturado com os Estados-Membros possibilitaram um entendimento comum dos desafios. 16 Estados-Membros solicitaram expressamente uma proposta legislativa por carta dirigida ao Presidente Donald Tusk.
A proposta tem em conta uma série de problemáticas assinaladas pelos Estados-Membros e pelos agentes do setor, nomeadamente: a necessidade de um princípio transversal em matéria de livre circulação de dados, numa perspetiva de segurança jurídica; realizar progressos quanto à disponibilidade de dados para efeitos regulamentares; tornar mais fácil para os utilizadores profissionais a mudança de prestador de serviços de armazenamento ou de outro tratamento de dados e a portação de dados, fomentando uma maior transparência relativamente aos procedimentos aplicáveis e às condições contratuais, mas sem impor normas e obrigações específicas aos prestadores de serviços nesta fase.
•Obtenção e utilização de competências especializadas
Vários aspetos da mobilidade de dados tiveram por base estudos jurídicos e económicos, designadamente as questões relativas aos requisitos em matéria de localização de dados 21 , à mudança de prestadores ou à portação de dados 22 , e bem assim à segurança dos dados 23 . Foram encomendados estudos adicionais sobre os impactos da computação em nuvem 24 e a aceitação da computação em nuvem 25 , bem como sobre o mercado europeu dos dados 26 . Foram ainda realizados estudos que analisaram as ações de corregulação ou de autorregulação no setor da computação em nuvem 27 . A Comissão inspirou-se, além disso, em fontes externas adicionais, incluindo análises de mercado e estatísticas (p. ex., o Eurostat).
•Avaliação de impacto
A presente proposta foi objeto de uma avaliação de impacto, que tomou em consideração o seguinte leque de opções: um cenário de referência (inexistência de intervenção política) e três opções políticas. A opção 1 consistia em orientações e/ou autorregulação com o intuito de dar resposta aos diferentes problemas identificados e implicava um reforço da execução em relação a diferentes categorias de restrições em matéria de localização de dados injustificadas ou desproporcionadas, impostas pelos Estados-Membros. A opção 2 definiria os princípios jurídicos relativos aos diferentes problemas identificados e preveria a designação dos pontos de contacto únicos pelos Estados-Membros e a criação de um grupo de peritos, com o objetivo de analisar abordagens e práticas comuns e formular orientações sobre os princípios introduzidos no âmbito da opção. Foi igualmente equacionada uma subopção 2a, no sentido de permitir avaliar uma combinação de legislação que estabeleceria o quadro aplicável ao livre fluxo de dados e aos pontos de contacto únicos e um grupo de peritos, bem como medidas de autorregulação no domínio da portação de dados. A opção 3 consistia numa iniciativa legislativa pormenorizada, com vista a estabelecer, entre outras disposições, avaliações (harmonizadas) predefinidas daquilo que constitui uma restrição em matéria de localização de dados (in)justificada e (des)proporcionada, assim como um novo direito de portação de dados.
Em 28 de setembro de 2016, o Comité de Controlo da Regulamentação apresentou o seu primeiro parecer sobre a avaliação de impacto e solicitou o seu reenvio. Esta foi revista e reenviada ao Comité de Controlo da Regulamentação em 11 de agosto de 2017. No seu segundo parecer, o Comité de Controlo da Regulamentação observou o alargamento do âmbito de aplicação, na sequência da comunicação de 2017 da Comissão intitulada «Construir uma economia europeia dos dados», bem como o material adicional sobre os pontos de vista das partes interessadas e sobre as deficiências do atual quadro. No entanto, o Comité emitiu um segundo parecer negativo em 25 de agosto de 2017, assinalando, em particular, a falta de provas que justificassem um novo direito à portabilidade dos serviços em nuvem. Em consonância com as suas práticas operacionais, o Comité considerou o seu parecer definitivo.
A Comissão considerou oportuno apresentar uma proposta, ao mesmo tempo que aperfeiçoava a sua análise da avaliação de impacto, a fim de dar a devida atenção às observações do Comité de Controlo da Regulamentação no seu segundo parecer. O âmbito da proposta limita-se ao livre fluxo de dados não pessoais na União Europeia. Em conformidade com a conclusão do Comité de que os indícios sugeriam uma opção menos rigorosa no que se refere à portação de dados, foi abandonada a opção preferida inicialmente, constante da avaliação de impacto, que passava pela obrigação de os prestadores facilitarem a mudança ou a portação dos dados dos utilizadores. A Comissão selecionou antes uma opção menos onerosa, que consiste em medidas de autorregulação, com a mediação da Comissão. A proposta é proporcionada e menos rigorosa, uma vez que não institui um novo direito de portação entre os prestadores dos serviços de armazenamento ou de outro tratamento de dados, antes assentando na autorregulação, para a transparência das condições técnicas e operacionais relativas à portabilidade.
A proposta teve igualmente em conta o parecer do Comité, no sentido de assegurar que não existe nenhuma sobreposição ou duplicação com a revisão do mandato da Agência da União Europeia para a Segurança das Redes e da Informação (ENISA) e o estabelecimento de um quadro europeu relativo à cibersegurança das TIC.
A avaliação de impacto demonstrou que a opção preferida, a subopção 2a, asseguraria a eliminação das restrições existentes em matéria de localização que sejam injustificadas e impediria eficazmente o surgimento de novas restrições injustificadas, em resultado de um princípio jurídico inequívoco conjugado com a revisão, a notificação e a transparência, reforçando ao mesmo tempo a segurança jurídica e a confiança no mercado. Os encargos para as autoridades públicas dos Estados-Membros seriam reduzidos, com despesas de recursos humanos na ordem dos 33 000 EUR por ano relativas ao funcionamento dos pontos de contacto únicos, bem como um custo anual entre 385 EUR e 1925 EUR para a elaboração das notificações.
A proposta terá um efeito positivo na concorrência, pois fomentará a inovação nos serviços de armazenamento ou de outros tratamentos de dados, atrairá mais utilizadores para estes serviços e facilitará muito o ingresso de novos e pequenos prestadores de serviços em novos mercados. A proposta também promoverá a utilização transfronteiriça e intersetorial dos serviços de armazenamento ou de outros tratamentos de dados e o desenvolvimento do mercado dos dados. Por conseguinte, a proposta ajudará a transformar a sociedade e a economia, proporcionando novas oportunidades aos cidadãos, às empresas e às administrações públicas da Europa.
•Adequação e simplificação da legislação
A proposta aplica-se aos cidadãos, às administrações nacionais e a todas as empresas, incluindo as microempresas e as PME. Todas as empresas podem beneficiar das disposições destinadas a remover os obstáculos à mobilidade dos dados. As PME beneficiarão particularmente da proposta, uma vez que a livre circulação de dados não pessoais reduzir-lhes-á diretamente os custos e favorecer-lhes-á uma posição mais competitiva no mercado. Uma isenção da aplicação às PME das regras afetaria a sua eficácia, já que as PME representam uma parte importante dos prestadores de serviços de armazenamento ou de outros tratamentos de dados e são motores de inovação nestes mercados. Tendo em conta que, além disso, os custos decorrentes das regras não serão presumivelmente significativos, as microempresas ou PME não devem ficar excluídas do âmbito de aplicação destas regras.
•Direitos fundamentais
A proposta de regulamento respeita os direitos fundamentais e os princípios reconhecidos pela Carta dos Direitos Fundamentais da União Europeia. A proposta de regulamento deverá repercutir-se positivamente na liberdade de empresa (artigo 16.º da Carta), graças ao seu contributo para eliminar e prevenir obstáculos injustificados ou desproporcionados à utilização e prestação de serviços de dados, entre os quais os serviços em nuvem, e à configuração de sistemas informáticos internos.
4.INCIDÊNCIA ORÇAMENTAL
As autoridades públicas dos Estados-Membros terão de suportar encargos administrativos moderados, causados pela afetação de recursos humanos, com vista à cooperação entre os Estados-Membros por intermédio dos «pontos de contacto únicos», e pelo cumprimento das disposições em matéria de notificação, revisão e transparência.
5.OUTROS ELEMENTOS
•Planos de execução e mecanismos de acompanhamento, de avaliação e de informação
Será realizada uma avaliação exaustiva cinco anos após o início da aplicação das regras, no sentido de aferir a sua eficácia e proporcionalidade. A avaliação será levada a cabo em conformidade com as orientações sobre «legislar melhor».
Concretamente, a avaliação terá de examinar se o regulamento contribuiu para reduzir o número e o alcance das restrições em matéria de localização de dados e para reforçar a segurança jurídica e a transparência dos requisitos (justificados e proporcionados) que se tenham mantido. A avaliação terá ainda de apreciar se a iniciativa política contribuiu para aumentar a confiança no livre fluxo de dados não pessoais, se os Estados-Membros conseguem razoavelmente ter acesso a dados armazenados além-fronteiras para fins de controlo regulamentar e se o regulamento introduziu melhorias na transparência das condições aplicáveis à portação de dados.
Prevê-se que os pontos de contacto únicos dos Estados-Membros venham a constituir uma fonte valiosa de informação durante a fase de avaliação ex post da legislação.
O recurso a indicadores específicos (tal como proposto na avaliação de impacto) serviria para medir os progressos alcançados nestes domínios. Está igualmente prevista a utilização de dados do Eurostat e do Índice de Digitalidade da Economia e da Sociedade. Para o efeito, poderá igualmente ser ponderada uma edição especial do Eurobarómetro.
•Explicação pormenorizada das disposições específicas da proposta
Os artigos 1.º a 3.º especificam o objetivo da proposta, o âmbito de aplicação do regulamento e as definições aplicáveis para efeitos do regulamento.
O artigo 4.º estabelece o princípio da livre circulação de dados não pessoais na União. Este princípio proíbe qualquer requisito de localização de dados, salvo quando justificado por razões de segurança pública. Além disso, prevê a revisão dos requisitos em vigor, a notificação à Comissão dos requisitos novos ou que se mantenham, bem como medidas de transparência.
O artigo 5.º destina-se a assegurar a disponibilidade dos dados para fins de controlo regulamentar por parte das autoridades competentes. Para o efeito, os utilizadores não podem recusar-se a conceder às autoridades competentes o acesso aos dados com base no facto de esses dados estarem armazenados ou serem submetidos a outro tratamento noutro Estado-Membro. Se uma autoridade competente tiver esgotado todas as vias aplicáveis para ter acesso aos dados, essa autoridade competente pode pedir a assistência de uma autoridade noutro Estado-Membro, caso não exista nenhum mecanismo de cooperação específico.
Ao abrigo do artigo 6.º, a Comissão deve incentivar os prestadores de serviços e os utilizadores profissionais a elaborarem e aplicarem códigos de conduta que especifiquem as informações relativas às condições da portação de dados (incluindo os requisitos técnicos e operacionais) que os prestadores devem disponibilizar aos seus utilizadores profissionais, de modo suficientemente circunstanciado, claro e transparente, antes da celebração de um contrato. A Comissão avaliará a elaboração e a efetiva aplicação destes códigos no prazo de dois anos após o início da aplicação do presente regulamento.
Nos termos do artigo 7.º, cada Estado-Membro deve designar um ponto de contacto único que servirá de elo de ligação com os pontos de contacto dos demais Estados-Membros e com a Comissão no atinente à aplicação do presente regulamento. O artigo 7.º dispõe as condições processuais aplicáveis à assistência entre as autoridades competentes prevista no artigo 5.º.
Em conformidade com o artigo 8.º, a Comissão deve ser assistida pelo Comité do Livre Fluxo de Dados na aceção do Regulamento (UE) n.º 182/2011.
O artigo 9.º estabelece a realização de uma revisão no prazo de cinco anos após o início da aplicação do regulamento.
O artigo 10.º prevê que o regulamento passe a ser aplicável seis meses após a data da sua publicação.
2017/0228 (COD)
Proposta de
REGULAMENTO DO PARLAMENTO EUROPEU E DO CONSELHO
relativo a um quadro para o livre fluxo de dados não pessoais na União Europeia
O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 114.º,
Tendo em conta a proposta da Comissão Europeia,
Após transmissão do projeto de ato legislativo aos parlamentos nacionais,
Tendo em conta o parecer do Comité Económico e Social Europeu 28 ,
Tendo em conta o parecer do Comité das Regiões 29 ,
Deliberando de acordo com o processo legislativo ordinário,
Considerando o seguinte:
(1)A digitalização da economia tem vindo a acelerar-se. O setor das tecnologias da informação e das comunicações (TIC) deixou de ser um setor específico, passando a ser a base de todos os sistemas económicos e sociedades modernos e inovadores. Os dados eletrónicos são um elemento central destes sistemas e podem gerar um valor significativo quando analisados ou combinados com serviços e produtos.
(2)As cadeias de valor de dados assentam em diferentes atividades relacionadas com os dados: criação e recolha de dados; agregação e organização de dados; armazenamento e tratamento de dados; análise, comercialização e distribuição de dados; utilização e reutilização de dados. O funcionamento eficaz e eficiente do armazenamento de dados e de outros tratamentos constitui um alicerce fundamental para qualquer cadeia de valor de dados. No entanto, esse funcionamento eficaz e eficiente e o desenvolvimento da economia dos dados na União são postos em causa, em particular, por dois tipos de obstáculos para a mobilidade dos dados e o mercado interno.
(3)A liberdade de estabelecimento e a livre prestação de serviços, consagradas no Tratado sobre o Funcionamento da União Europeia, aplicam-se aos serviços de armazenamento ou de outro tratamento de dados. Todavia, a prestação destes serviços é dificultada ou, nalguns casos, impedida por determinadas disposições nacionais que exigem que os dados estejam localizados num território específico.
(4)Os referidos obstáculos à livre circulação de serviços de armazenamento ou de outro tratamento de dados, bem como ao direito de estabelecimento de prestadores de serviços de armazenamento ou de outro tratamento de dados, têm origem nas disposições legislativas nacionais que exigem que os dados estejam localizados numa zona geográfica ou território específico para efeitos de armazenamento ou outros tratamentos de dados. Outras regras ou práticas administrativas têm efeitos equivalentes, ao imporem requisitos específicos que tornam mais difícil o armazenamento ou outros tratamentos dos dados fora de uma zona geográfica ou território específico na União: por exemplo, a obrigação de utilizar meios tecnológicos certificados ou aprovados num determinado Estado-Membro. As incertezas jurídicas quanto ao alcance dos requisitos legítimos e ilegítimos em matéria de localização dos dados restringem ainda mais as opções disponíveis para os intervenientes no mercado e o setor público, no que se refere à localização do armazenamento ou de outros tratamentos dos dados.
(5)Ao mesmo tempo, a mobilidade de dados na União é afetada por restrições de natureza privada: aspetos jurídicos, contratuais e técnicos que prejudicam ou impedem os utilizadores de serviços de armazenamento ou de outro tratamento de dados de aplicarem a portação dos seus dados de um prestador de serviços para outro ou novamente para os seus próprios sistemas informáticos, isto pelo menos até à cessação do seu contrato com um prestador de serviços.
(6)Por motivos de segurança jurídica e devido à necessidade de condições concorrenciais equitativas na União, a existência de um conjunto único de regras para todos os participantes no mercado é um elemento-chave para o funcionamento do mercado interno. A fim de eliminar os obstáculos ao comércio e as distorções da concorrência resultantes de divergências entre as legislações nacionais e evitar o provável surgimento de novos obstáculos ao comércio e de distorções significativas da concorrência, é pois necessário adotar regras uniformes aplicáveis em todos os Estados-Membros.
(7)Com vista a estabelecer um quadro aplicável à livre circulação de dados não pessoais na União e criar as bases para desenvolver a economia dos dados e reforçar a competitividade da indústria europeia, é necessário instituir um quadro jurídico claro, abrangente e previsível para o armazenamento ou outros tratamentos de dados, que não dados pessoais, no mercado interno. Importa, por meio de uma abordagem baseada em princípios que estabeleça a cooperação entre os Estados-Membros e a autorregulação, assegurar a flexibilidade do quadro, de modo a poder dar resposta à evolução das necessidades dos utilizadores, dos prestadores e das autoridades nacionais na União. A fim de acautelar o risco de sobreposições com os mecanismos em vigor e, portanto, evitar uma maior sobrecarga, quer dos Estados-Membros quer das empresas, não devem definir-se normas técnicas pormenorizadas.
(8)O presente regulamento deveria ser aplicável às pessoas singulares ou coletivas que prestam serviços de armazenamento ou de outro tratamento de dados a utilizadores residentes ou estabelecidos na União, incluindo as pessoas que prestam serviços na União sem estarem estabelecidas na União.
(9)O quadro jurídico relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, mais particularmente o Regulamento (UE) 2016/679 30 , a Diretiva (UE) 2016/680 31 e a Diretiva 2002/58/CE 32 , não deveria ser afetado pelo presente regulamento.
(10)Nos termos do Regulamento (UE) 2016/679, os Estados-Membros não podem restringir nem proibir a livre circulação de dados pessoais no interior da União por motivos relacionados com a proteção das pessoas singulares no que respeita ao tratamento de dados pessoais. O presente regulamento estabelece o mesmo princípio de livre circulação no interior da União relativamente aos dados não pessoais, com exceção dos casos em que se justifique uma restrição ou proibição por motivos de segurança.
(11)O presente regulamento deveria aplicar-se ao armazenamento ou a outros tratamentos de dados no sentido mais lato, englobando a utilização de todos os tipos de sistema informático, independentemente da sua localização nas instalações do utilizador ou externalização para um prestador de serviços de armazenamento ou de outro tratamento de dados. Deveria abranger o tratamento de dados em diferentes níveis de intensidade, desde o armazenamento (infraestrutura como serviço, ou IaaS – do inglês Infrastructure-as-a-Service) até ao tratamento por meio de plataformas (plataforma como serviço, ou PaaS – Platform-as-a-Service) ou aplicações (software como serviço, ou SaaS – Software-as-a-Service). Estes diferentes serviços devem ser abrangidos pelo âmbito de aplicação do presente regulamento, exceto nos casos em que o armazenamento ou outro tratamento de dados constitua meramente uma atividade auxiliar de um serviço de outro tipo: por exemplo, a disponibilização de um mercado em linha que sirva de intermediário entre prestadores de serviços e consumidores ou utilizadores empresariais.
(12)Os requisitos impostos à localização dos dados representam um obstáculo manifesto à livre prestação de serviços de armazenamento ou de outro tratamento de dados em toda a União e ao mercado interno. Como tal, deveriam ser excluídos, salvo quando justificados por razões de segurança pública, em conformidade com o direito da União, mais particularmente o artigo 52.º do Tratado sobre o Funcionamento da União Europeia, e deveriam observar o princípio da proporcionalidade consagrado no artigo 5.º do Tratado da União Europeia. Para tornar efetivo o princípio do livre fluxo de dados não pessoais além-fronteiras, eliminar atempadamente os requisitos aplicáveis à localização dos dados e permitir, por motivos de natureza operacional, o armazenamento ou outros tratamentos de dados em múltiplas localizações de toda a UE, e tendo em conta que o presente regulamento prevê medidas destinadas a assegurar a disponibilidade dos dados para fins de controlo regulamentar, os Estados-Membros não deveriam poder invocar outras justificações além da segurança pública.
(13)Com vista a garantir a aplicação efetiva do princípio do livre fluxo de dados não pessoais além-fronteiras e prevenir o surgimento de novos obstáculos ao bom funcionamento do mercado interno, os Estados-Membros deveriam notificar à Comissão qualquer projeto de ato que contivesse um novo requisito em matéria de localização dos dados ou que modificasse um requisito existente na mesma matéria. Estas notificações deveriam ser transmitidas e apreciadas de acordo com o procedimento estabelecido na Diretiva (UE) 2015/1535 33 .
(14)Por outro lado, no sentido de suprimir os obstáculos que possam existir atualmente, os Estados-Membros deveriam, durante um período de transição de 12 meses, proceder a um exame dos requisitos aplicáveis, à escala nacional, à localização dos dados e notificar à Comissão, juntamente com uma justificação, qualquer requisito aplicável à localização dos dados que considerassem estar em conformidade com o presente regulamento. Estas notificações deveriam permitir à Comissão apreciar a conformidade dos requisitos remanescentes em matéria de localização dos dados.
(15)De modo a assegurar a transparência dos requisitos em matéria de localização dos dados, impostos nos Estados-Membros às pessoas singulares e coletivas, designadamente prestadores e utilizadores de serviços de armazenamento ou de outros tratamentos de dados, os Estados-Membros deveriam publicar e atualizar periodicamente as informações sobre as referidas medidas num ponto único de informação em linha. No sentido de prestar informações adequadas às pessoas singulares e coletivas sobre os requisitos em matéria de localização dos dados ao nível da União, os Estados-Membros deveriam notificar à Comissão os endereços dos referidos pontos de informação em linha. À Comissão caberia publicar estas informações no seu próprio sítio Web.
(16)Os requisitos aplicáveis à localização dos dados resultam frequentemente de uma falta de confiança no armazenamento ou outro tratamento transfronteiriço de dados, tendo origem numa presunção de indisponibilidade dos dados para os fins das autoridades competentes dos Estados-Membros, designadamente a realização de inspeções e auditorias no âmbito de controlos regulamentares ou de supervisão. Por conseguinte, o presente regulamento deveria indicar expressamente que não prejudica os poderes das autoridades competentes de requererem e obterem acesso a dados nos termos do direito da União ou do direito nacional e que o acesso aos dados por parte das autoridades competentes não pode ser recusado a pretexto de eles estarem armazenados ou serem submetidos a outro tratamento noutro Estado-Membro.
(17)As pessoas singulares ou coletivas sujeitas à obrigação de fornecer dados às autoridades competentes podem cumprir essa obrigação concedendo e garantindo às autoridades competentes um acesso efetivo e oportuno aos dados por via eletrónica, independentemente do Estado-Membro em cujo território os dados estão armazenados ou são submetidos a outro tratamento. Esse acesso pode ser assegurado mediante cláusulas concretas nos contratos entre, por um lado, as pessoas singulares ou coletivas sujeitas à obrigação de conceder acesso e, por outro, os prestadores de serviços de armazenamento ou de outro tratamento de dados.
(18)Se uma pessoa singular ou coletiva obrigada a fornecer dados não cumprir e a autoridade competente em causa tiver esgotado todas as vias aplicáveis para aceder aos dados, a autoridade competente deveria poder pedir assistência às autoridades competentes de outros Estados-Membros. Nestes casos, as autoridades competentes deveriam recorrer a instrumentos de cooperação específicos previstos no direito da União ou em convenções internacionais, consoante o objeto do caso em apreço, tais como, nos domínios da cooperação policial, da justiça penal ou civil ou em questões administrativas, respetivamente, a Decisão-Quadro 2006/960/JAI 34 , a Diretiva 2014/41/UE do Parlamento Europeu e do Conselho 35 , a Convenção do Conselho da Europa sobre o Cibercrime 36 , o Regulamento (CE) n.º 1206/2001 do Conselho 37 , a Diretiva 2006/112/CE do Conselho 38 e o Regulamento (UE) n.º 904/2010 do Conselho 39 . Na ausência de mecanismos de cooperação específicos, as autoridades competentes deveriam colaborar entre si para facultar acesso aos dados solicitados, por intermédio de pontos de contacto únicos designados, salvo se tal for contrário à ordem pública do Estado-Membro requerido.
(19)No caso de um pedido de assistência implicar a obtenção do acesso da autoridade requerida a quaisquer instalações de uma pessoa singular ou coletiva, incluindo equipamentos e meios de armazenamento ou de outro tratamento de dados, esse acesso deveria ser conforme com o direito processual da União ou do Estado-Membro, designadamente a eventual obrigação de obter autorização judicial prévia.
(20)A capacidade de aplicar a portação de dados sem entraves é um fator essencial para facilitar a escolha do utilizador e a concorrência efetiva nos mercados dos serviços de armazenamento ou de outros tratamentos de dados. As dificuldades, reais ou sentidas, em aplicar a portação transfronteiriça de dados também afeta a confiança dos utilizadores profissionais na aceitação de ofertas transfronteiriças e, portanto, a sua confiança no mercado interno. Embora as pessoas singulares e os consumidores beneficiem da legislação da União em vigor, a possibilidade de mudar de prestador de serviços não é facultada aos utilizadores no exercício das suas atividades comerciais ou profissionais.
(21)No sentido de tirar o máximo partido do ambiente concorrencial, os utilizadores profissionais deveriam ter a possibilidade de efetuar escolhas fundamentadas e de comparar facilmente as componentes individuais dos vários serviços de armazenamento ou de outros tratamentos de dados oferecidos no mercado interno, inclusive no que se refere às condições contratuais da portabilidade dos dados na cessação de um contrato. Para corresponder ao potencial de inovação do mercado e ter em conta a experiência e os conhecimentos dos prestadores e utilizadores profissionais de serviços de armazenamento ou de outros tratamentos de dados, os requisitos pormenorizados de informação e funcionamento relativos à portabilidade dos dados deveriam ser definidos pelos intervenientes no mercado através de autorregulação, com o apoio e a mediação da Comissão, sob a forma de códigos de conduta da União que poderiam eventualmente incluir modelos de cláusulas contratuais. No entanto, caso estes códigos não sejam estabelecidos e efetivamente aplicados dentro de um prazo razoável, a Comissão deveria reexaminar a situação.
(22)Com o intuito de contribuir para uma cooperação harmoniosa entre os Estados-Membros, cada Estado-Membro deveria designar um ponto de contacto único para servir de elo de ligação com os pontos de contacto dos demais Estados-Membros e com a Comissão no atinente à aplicação do presente regulamento. Sempre que a autoridade competente de um Estado-Membro pedisse a assistência de outro Estado-Membro para ter acesso a dados ao abrigo do presente regulamento, deveria apresentar um pedido devidamente fundamentado ao ponto de contacto único designado deste último, expondo por escrito a sua justificação e as bases jurídicas para requerer o acesso aos dados em questão. O ponto de contacto único designado pelo Estado-Membro ao qual é pedida assistência deveria viabilizar a assistência entre as autoridades, identificando e transmitindo o pedido à autoridade competente do Estado-Membro requerido. No sentido de zelar por uma cooperação eficaz, a autoridade à qual é transmitido um pedido deveria, sem demora injustificada, prestar assistência em resposta a determinado pedido ou facultar informações sobre as dificuldades em satisfazer um pedido de assistência ou sobre os seus motivos para o indeferir.
(23)A fim de garantir a aplicação efetiva do procedimento de assistência entre as autoridades competentes dos Estados-Membros, a Comissão poderá adotar atos de execução que estabeleçam formulários normalizados, as línguas dos pedidos, os prazos e outros pormenores dos procedimentos relativos aos pedidos de assistência. Essas competências deveriam ser exercidas em conformidade com o Regulamento (UE) n.º 182/2011 do Parlamento Europeu e do Conselho 40 .
(24)A promoção da confiança na segurança do armazenamento ou de outros tipos de tratamento de dados a nível transfronteiriço deveria reduzir a tendência dos intervenientes no mercado e do setor público para utilizarem a localização dos dados como fator de salvaguarda da segurança dos dados. Deveria também melhorar a segurança jurídica das empresas em relação aos requisitos de segurança aplicáveis, quando da externalização das suas atividades de armazenamento ou de outros tratamentos de dados, inclusive para prestadores de serviços localizados noutros Estados-Membros.
(25)Todos os requisitos de segurança relativos ao armazenamento ou a outros tipos de tratamento de dados que sejam aplicados de modo justificado e proporcionado, com base no direito da União ou no direito nacional, em conformidade com o direito da União, no Estado-Membro de residência ou de estabelecimento das pessoas singulares ou coletivas às quais os dados dizem respeito deveriam continuar a aplicar-se ao armazenamento ou outro tratamento desses dados noutro Estado-Membro. Essas pessoas singulares ou coletivas deveriam poder satisfazer os requisitos em causa por si próprias ou mediante cláusulas contratuais nos contratos com os prestadores.
(26) Os requisitos de segurança estabelecidos ao nível nacional deveriam ser necessários e proporcionados aos riscos para a segurança do armazenamento ou de outro tipo de tratamento de dados no domínio abrangido pelo direito nacional no âmbito do qual estão definidos os requisitos.
(27)A Diretiva (UE) 2016/1148 41 prevê medidas jurídicas para reforçar o nível geral de cibersegurança na União. Os serviços de armazenamento ou de outros tratamentos de dados constituem uma das categorias de serviços digitais abrangidos por esta diretiva. Nos termos do seu artigo 16.º, os Estados-Membros têm de assegurar que os prestadores de serviços digitais identifiquem e tomem as medidas técnicas e organizativas adequadas e proporcionadas para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam. Estas medidas devem garantir um nível de segurança adequado ao risco em causa e ter em conta a segurança dos sistemas e das instalações, o tratamento dos incidentes, a gestão da continuidade das atividades, o acompanhamento, a auditoria e os testes realizados, bem como a conformidade com as normas internacionais. Caberá à Comissão especificar estes elementos de forma mais pormenorizada através de atos de execução ao abrigo desta diretiva.
(28)A Comissão deveria rever periodicamente o presente regulamento, nomeadamente para decidir da eventual necessidade de alterações à luz da evolução tecnológica ou do mercado.
(29)O presente regulamento respeita os direitos fundamentais e observa os princípios reconhecidos, designadamente, na Carta dos Direitos Fundamentais da União Europeia, e deveria ser interpretado e aplicado em conformidade com esses direitos e princípios, nomeadamente os direitos à proteção dos dados pessoais (artigo 8.º), a liberdade de empresa (artigo 16.º) e a liberdade de informação (artigo 11.º).
(30)Atendendo a que o objetivo do presente regulamento — a saber, assegurar a livre circulação de dados não pessoais na União — não pode ser suficientemente alcançado pelos Estados-Membros, mas, devido à sua dimensão e aos seus efeitos, pode ser mais bem alcançado ao nível da União, a União pode tomar medidas em conformidade com o princípio da subsidiariedade consagrado no artigo 5.º do Tratado da União Europeia. Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, o presente regulamento não excede o necessário para alcançar esse objetivo,
ADOTARAM O PRESENTE REGULAMENTO:
Artigo 1.º
Objeto
O presente regulamento destina-se a assegurar a livre circulação, na União, dos dados que não são dados pessoais, estabelecendo as regras relativas aos requisitos em matéria de localização dos dados, à disponibilidade dos dados para as autoridades competentes e à portabilidade dos dados para utilizadores profissionais.
Artigo 2.º
Âmbito de aplicação
1.O presente regulamento aplica-se ao armazenamento ou outro tratamento de dados eletrónicos que não são dados pessoais na União, que seja:
(a)Prestado como serviço a utilizadores residentes ou estabelecidos na União, independentemente de o prestador estar ou não estabelecido na União; ou
(b)Levado a cabo por uma pessoa singular ou coletiva com residência ou estabelecimento na União para as suas necessidades próprias.
2.O presente regulamento não é aplicável a atividades fora do âmbito do direito da União.
Artigo 3.º
Definições
Para efeitos do presente regulamento, entende-se por:
1.«Dados», os dados que não dados pessoais na aceção do artigo 4.º, ponto 1, do Regulamento (UE) 2016/679;
2.«Armazenamento de dados», qualquer armazenamento de dados em formato eletrónico;
3.«Projeto de ato», um texto elaborado com o objetivo de ser adotado como disposição legislativa, regulamentar ou administrativa de caráter geral, encontrando-se o texto na fase de preparação que permite ainda a introdução de alterações substanciais pelo Estado-Membro notificante;
4.«Prestador», uma pessoa singular ou coletiva que presta serviços de armazenamento ou de outro tipo de tratamento de dados;
5.«Requisito em matéria de localização dos dados», qualquer obrigação, proibição, condição, limitação ou outra exigência prevista nas disposições legislativas, regulamentares ou administrativas dos Estados-Membros que exija a localização do armazenamento ou de outros tipos de tratamento de dados no território de um Estado-Membro específico ou restrinja o armazenamento ou outros tipos de tratamento de dados em qualquer outro Estado-Membro;
6.«Autoridade competente», uma autoridade de um Estado-Membro habilitada a obter acesso a dados armazenados ou tratados por pessoas singulares ou coletivas para efeitos do exercício das suas funções oficiais, nos termos do direito nacional ou do direito da União;
7.«Utilizador», uma pessoa singular ou coletiva que utiliza ou solicita um serviço de armazenamento ou de outro tratamento de dados;
8.«Utilizador profissional», uma pessoa singular ou coletiva, incluindo entidades do setor público, que utiliza ou solicita um serviço de armazenamento ou de outro tratamento de dados para fins relacionados com a sua atividade comercial, empresarial ou artesanal, profissão ou função.
Artigo 4.º
Livre circulação de dados na União
1.A localização de dados para efeitos do seu armazenamento ou outro tratamento no espaço da União não pode ser restringida ao território de um Estado-Membro específico, assim como não pode ser proibido ou restringido o armazenamento ou outro tratamento de dados em qualquer outro Estado-Membro, salvo quando justificado por razões de segurança pública.
2.Os Estados-Membros devem notificar à Comissão qualquer projeto de ato que introduza um novo requisito em matéria de localização dos dados ou modifique um requisito existente em matéria de localização dos dados, em conformidade com os procedimentos previstos na legislação nacional que transpõe a Diretiva (UE) 2015/1535.
3.No prazo de 12 meses após o início da aplicação do presente regulamento, os Estados-Membros devem assegurar a revogação de todos os requisitos em matéria de localização dos dados que não cumpram o disposto no n.º 1. Se um Estado-Membro considerar que um requisito em matéria de localização dos dados está em conformidade com o n.º 1 e deve, por conseguinte, permanecer em vigor, deve notificar essa medida à Comissão, juntamente com uma justificação para manter o requisito em vigor.
4.Os Estados-Membros devem disponibilizar publicamente, em linha, informações pormenorizadas sobre qualquer requisito em matéria de localização dos dados aplicável no seu território, através de um ponto de informação único que devem manter atualizado.
5.Cada Estado-Membro deve comunicar à Comissão o endereço do respetivo ponto de informação único a que se refere o n.º 4. A Comissão deve publicar no seu sítio Web hiperligações para os referidos pontos de informação.
Artigo 5.º
Disponibilidade dos dados para as autoridades competentes
1.O presente regulamento não prejudica os poderes das autoridades competentes de requererem e obterem acesso a dados, para o desempenho das suas funções oficiais, nos termos do direito da União ou do direito nacional. O acesso das autoridades competentes aos dados não pode ser recusado a pretexto de eles estarem armazenados ou serem submetidos a outro tratamento noutro Estado-Membro.
2.Se uma autoridade competente tiver esgotado todas as vias aplicáveis para ter acesso aos dados, pode pedir a assistência de uma autoridade competente de outro Estado-Membro, em conformidade com o procedimento previsto no artigo 7.º, devendo a autoridade competente requerida prestar a assistência em conformidade com o procedimento previsto no artigo 7.º, salvo se tal for contrário à ordem pública do Estado-Membro requerido.
3.No caso de um pedido de assistência implicar a obtenção de acesso pela autoridade requerida a quaisquer instalações de uma pessoa singular ou coletiva, incluindo equipamentos e meios de armazenamento ou de outro tratamento de dados, esse acesso deve ser em conformidade com o direito processual da União ou do Estado-Membro.
4.O disposto no n.º 2 aplica-se unicamente se não houver nenhum mecanismo específico de cooperação ao abrigo do direito da União ou de convenções internacionais relativamente ao intercâmbio de dados entre as autoridades competentes de diferentes Estados-Membros.
Artigo 6.º
Portabilidade dos dados
1.A Comissão deve incentivar e viabilizar a elaboração de códigos de conduta de autorregulação ao nível da União, a fim de estabelecer orientações sobre boas práticas que facilitem a mudança de prestador e de assegurar que os prestadores transmitem aos utilizadores profissionais informação suficientemente circunstanciada, clara e transparente antes da celebração de um contrato de armazenamento e tratamento de dados, relativamente aos seguintes aspetos:
(a)Os processos, requisitos técnicos, prazos e encargos aplicáveis no caso de um utilizador profissional pretender mudar para outro prestador ou aplicar a portação dos dados novamente para os seus próprios sistemas informáticos, incluindo: os processos e a localização de eventuais cópias de segurança de dados, os formatos e suportes de dados disponíveis, a configuração informática e a largura mínima de banda de rede; o período necessário antes de se iniciar o processo de portação e o período durante o qual os dados estão disponíveis para portação; e as garantias de acesso aos dados em caso de falência do prestador; e
(b)Os requisitos de funcionamento para trocar ou aplicar a portação de dados num formato estruturado, de uso corrente e de leitura automática, concedendo ao utilizador tempo suficiente para trocar ou aplicar a portação dos dados.
2.A Comissão deve incentivar os prestadores a aplicarem efetivamente os códigos de conduta a que se refere o n.º 1 no prazo de um ano após o início da aplicação do presente regulamento.
3.A Comissão avaliará a elaboração e a aplicação efetiva dos códigos de conduta, bem como a prestação efetiva de informação por parte dos prestadores, no prazo de dois anos após o início da aplicação do presente regulamento.
Artigo 7.º
Pontos de contacto únicos
1.Cada Estado-Membro deve designar um ponto de contacto único que servirá de elo de ligação com os pontos de contacto únicos dos demais Estados-Membros e com a Comissão no atinente à aplicação do presente regulamento. Os Estados-Membros devem notificar à Comissão os pontos de contacto únicos designados e quaisquer posteriores alterações dos mesmos.
2.Os Estados-Membros devem assegurar que os pontos de contacto únicos dispõem dos recursos necessários para a aplicação do presente regulamento.
3.Sempre que uma autoridade competente num Estado-Membro peça a assistência de outro Estado-Membro para ter acesso a dados nos termos do artigo 5.º, n.º 2, deve apresentar um pedido devidamente fundamentado ao ponto de contacto único designado do segundo Estado-Membro, expondo por escrito a sua justificação e as bases jurídicas para solicitar acesso aos dados em questão.
4.O ponto de contacto único deve identificar a autoridade competente do respetivo Estado-Membro e transmitir o pedido nos termos do n.º 3 a essa autoridade competente. A autoridade à qual é feito o pedido deve, sem demora injustificada:
(a)Responder à autoridade competente requerente e notificar o ponto de contacto único da sua resposta; e
(b)Informar o ponto de contacto único e a autoridade competente requerente de quaisquer dificuldades ou, no caso de o pedido ser indeferido ou apenas receber resposta parcial, das razões para esse indeferimento ou resposta parcial.
5.Quaisquer informações partilhadas no contexto de um pedido e da prestação de assistência nos termos do artigo 5.º, n.º 2, devem destinar-se exclusivamente aos fins para os quais são solicitadas.
6.A Comissão pode adotar atos de execução que estabeleçam formulários normalizados, as línguas dos pedidos, os prazos e outros pormenores dos procedimentos relativos aos pedidos de assistência. Esses atos de execução devem ser adotados em conformidade com o procedimento referido no artigo 8.º.
Artigo 8.º
Comité
1.A Comissão é assistida pelo Comité do Livre Fluxo de Dados. Esse comité deve ser entendido como comité na aceção do Regulamento (UE) n.º 182/2011.
2.Nas remissões para o presente número, aplica-se o artigo 5.º do Regulamento (UE) n.º 182/2011.
Artigo 9.º
Revisão
1.Até [cinco anos após a data referida no artigo 10.º, n.º 2], a Comissão procede a uma revisão do presente regulamento e apresenta um relatório com as principais conclusões ao Parlamento Europeu, ao Conselho e ao Comité Económico e Social Europeu.
2.Os Estados-Membros devem transmitir à Comissão as informações necessárias para a elaboração do relatório referido no n.º 1.
Artigo 10.º
Disposições finais
1.O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
2.O presente regulamento é aplicável seis meses após a sua publicação.
O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.
Feito em Bruxelas, em
Pelo Parlamento Europeu Pelo Conselho
O Presidente O Presidente
IDC e Open Evidence, European Data Market, relatório final, 1 de fevereiro de 2017 (SMART 2013/0063).
Com o intuito de obter mais elementos de prova económicos, foi levado a cabo um estudo sobre o impacto económico da computação em nuvem na Europa (SMART 2014/0031, Deloitte, Measuring the economic impact of cloud computing in Europe, 2016).