Publicações

Garrigues

ELIGE TU PAÍS / ESCOLHA O SEU PAÍS / CHOOSE YOUR COUNTRY / WYBIERZ SWÓJ KRAJ / 选择您的国家

O Data Act entra em cena: peças de um xadrez normativo que nenhuma empresa deve ignorar

União Europeia - 

O “Regulamento relativo a regras harmonizadas sobre o acesso equitativo aos dados” (UE) 2023/2854 (“Data Act”) começou a aplicar-se no dia 12 de setembro de 2025 e vem redefinir a forma como são acedidos, partilhados e transmitidos os dados na UE. Se fabrica produtos conectados, contrata serviços cloud ou participa em espaços de dados, poderá estar abrangido. Neste artigo, resumimos as principais alterações nesta matéria e, bem assim, o que deve ser revisto de imediato para assegurar conformidade com o referido diploma — IoT, mudança de fornecedor (cloud switching) e interoperabilidade/smart contracts — com uma checklist prática para assegurar a necessária conformidade.

O dia 12 de setembro de 2025 marca o início da aplicação do “Regulamento relativo a regras harmonizadas sobre o acesso equitativo aos dados” (UE) 2023/2854 (“Data Act”). Este regulamento foi aprovado pelo Conselho da União Europeia em 27 de novembro de 2023 e entrou em vigor no dia 11 de janeiro de 2024. Em todo o caso, a maioria das suas obrigações só são aplicáveis desde o passado dia 12 de setembro.

O seu objetivo é criar um mercado único europeu de dados equitativo, seguro e favorável à inovação, dinamizando um mercado em que, de acordo com as estimativas da Comissão Europeia, mais de 80% dos dados industriais (gerados por sensores) continuam a ser subaproveitados.

Apesar da envergadura e impacto material e transversal deste diploma, o mesmo não mereceu particular atenção no debate público nacional ou na agenda empresarial, ao contrário de outros países, como a Alemanha ou a França. No entanto, trata-se de uma peça essencial no âmbito da estratégia global da União Europeia em matéria de dados. Com efeito, o Data Act, em conjunto com o Regulamento da Governação de Dados (“DGA”), o Regulamento dos Mercados Digitais (“DMA”), o Regulamento dos Serviços Digitais (“DSA”), o Regulamento da Inteligência Artificial (“RIA”) e o próprio Regulamento Geral de Proteção de Dados (“RGPD”), formam a arquitetura de um ecossistema digital (europeu) interoperável. Note-se, aliás, que o seu verdadeiro alcance não está apenas no que regula, mas na forma como redefine as regras do jogo para o acesso, a utilização, a portabilidade e a troca de dados no mercado europeu.

À semelhança de outros diplomas que têm vindo a ser aprovados, nos últimos anos, em matéria digital, o Data Act também vincula as empresas não comunitárias que operem no mercado europeu.

Em relação às matérias que regula, o Data Act tem uma estrutura peculiar e, porventura, até complexa, comportando três pilares fundamentais:

  • Primeiro pilar: internet das coisas.

    O primeiro pilar, que assume um papel nuclear, diz respeito aos dados gerados por produtos conectados e serviços relacionados. Ou seja, estamos no âmbito da designada Internet das Coisas (“IoT”). Todos os setores, do turismo à agricultura, passando pela mobilidade, construção, saúde e indústria aeroespacial, são afetados.

    O seu ponto de partida não é a propriedade sobre os dados, mas antes o controlo de facto sobre o acesso detido pelos fabricantes e fornecedores de qualquer produto e serviço conectado.

    Para corrigir esta assimetria, o Data Act combina um direito positivo de acesso a favor do utilizador, com um direito limitado de recusa por parte do titular dos dados, procurando criar um equilíbrio inspirado na lógica da propriedade intelectual (latu sensu), mas complementado por elementos do direito dos contratos, da concorrência e da proteção de dados.

    O objetivo é desbloquear o potencial da inovação, evitando ao mesmo tempo monopólios de facto no acesso aos dados. No entanto, tal como acontece com qualquer regime acabado de implementar, o diploma tem ainda algumas zonas cinzentas, suscitando dúvidas interpretativas relativamente a aspetos-chave da da sua aplicação, que também iremos abordar.

  • Segundo pilar: portabilidade na nuvem

    O segundo pilar procura promover a portabilidade nos serviços na nuvem. Para tal, o Capítulo VI estabelece um quadro contratual específico que regula a mudança de fornecedores. Neste âmbito, são impostas determinadas obrigações aos prestadores destes serviços, de modo a reduzir os chamados efeitos de bloqueio (vendor lock-in), que, de acordo com os estudos de impacto da Comissão Europeia, se devem, tanto à falta de interoperabilidade técnica entre sistemas, como aos elevados custos de migração.

    A implementação deste regime exigirá, na prática, a revisão dos contratos em vigor — em particular das cláusulas de resolução antecipada — e até a reformulação de determinados modelos de negócio.

  • Terceiro pilar: interoperabilidade em espaços de dados europeus

    O terceiro pilar regulado pelo Data Act, no seu Capítulo VIII, são os requisitos de interoperabilidade para os espaços comuns de dados europeus e os mecanismos e serviços de troca de dados, incluindo os smart contracts,. Trata-se de um capítulo técnico cujo objetivo é promover a transferibilidade de dados de diferentes fontes e a utilização paralela de dados por diferentes serviços.

O Regulamento mantém um âmbito de aplicação horizontal: aplica-se a dados pessoais e não pessoais em áreas que vão, da utilização de produtos e serviços IoT, até à partilha obrigatória de dados entre empresas e serviços de intermediação. Para o efeito, está em estreita ligação com o RGPD, o DGA e a regulamentação sobre o consumo e a propriedade intelectual, excluindo expressamente setores como a defesa e a segurança pública. Antecipa também a sua integração com os futuros espaços de dados europeus, como o recentemente aprovado Regulamento (UE) 2025/327 sobre o Espaço Europeu de Dados de Saúde, que começará a ser implementado, gradualmente, a partir de 2027.

Em última análise, o Data Act não estabelece um regime único e uniforme, mas antes um conjunto de regimes jurídicos diversos que se unem a um ecossistema normativo já complexo, e que, como já acima referido, abrange o direito da concorrência, o direito dos contratos, a proteção de dados e a regulamentação setorial. A isto acrescem as suas próprias inovações, como o regime sobre cláusulas abusivas nos contratos B2B (artigo 13.º) ou a possibilidade de os fabricantes e fornecedores de IoT introduzirem medidas de proteção tecnológica contra utilizações não autorizadas (artigo 11.º).

As dificuldades impostos por este novo diploma já se refletiu nos debates organizados pela Comissão Europeia durante o verão. Nessas reuniões, os participantes assinalaram que a aplicação fragmentada das normas da UE e a sobreposição de legislação digital geram uma complexidade significativa para as empresas. Os representantes da indústria destacaram as questões de interoperabilidade e qualidade dos dados, bem como a necessidade de maior transparência e de uma definição mais clara dos direitos de acesso aos dados de IoT. Apelaram, ainda, a incentivos para a utilização dos mecanismos de intermediação de dados existentes e um melhor acesso aos dados do setor público. Os instrumentos de apoio regulamentar e os ambientes de teste (sandboxes) foram mencionados como potenciais soluções, particularmente úteis para que as empresas se possam orientar num quadro regulamentar tão complexo.

A Comissão Europeia, através do Grupo de Peritos, deveria recomendar, até 12 de setembro, termos e condições-tipo e cláusulas contratuais-tipo sobre o acesso e a utilização de dados, incluindo orientações sobre a compensação razoável e a proteção de segredos comerciais, e sobre os contratos de mudança de fornecedor e saída (switching) com portabilidade de dados, uma obrigação que ainda não foi cumprida e que acrescenta mais incerteza sobre a aplicação de um regime já por si complexo.

Em conclusão, o Data Act implementa regimes jurídicos diferenciados em função do objeto da sua aplicação (desde dados de IoT, nuvem, interoperabilidade, até transferências internacionais de dados ou cláusulas abusivas entre empresas). Trata-se de um xadrez normativo que combina desafios e oportunidades, cuja complexidade exigirá uma permanente interpretação e adaptação por parte das empresas, juristas e autoridades. É precisamente por isso que importa acompanhá-lo de perto: para além das incertezas que gera, e continuará a gerar, vai moldar a forma como os dados são acedidos, partilhados e utilizados na Europa e para além das suas fronteiras.

Check-list express: o que rever agora

  • Inventário de produtos/serviços conectados e fluxos de dados (que dados, quem acede, com que base legal e se é necessário um contrato adicional).
  • Contratos de cloud: portabilidade, resolução, egress/exit plan e cronograma de transição
  • Políticas/processos para pedidos de acesso e partilha (incluindo proteção de segredos comerciais, segurança, etc.)
  • Revisão das cláusulas contratuais B2B para detetar e eliminar condições abusivas.
  • Preparação para a interoperabilidade e participação (ou não) em espaços de dados do setor.

 

Garrigues Digital, Propriedade Industrial e Intelectual, União Europeia

Pesquisar publicação

Date of publication

Pesquisa de notícias