O essencial do Data Act e o acesso regulado aos dados

O “Regulamento (UE) 2023/2854 relativo a regras harmonizadas sobre o acesso equitativo aos dados” (“Data Act”) é aplicado desde 12 de setembro de 2025 e tem como foco um regime de acesso regulamentado para os dados gerados por produtos conectados e serviços relacionados (IoT). Se fabrica ou vende dispositivos conectados, presta serviços associados, utiliza dados gerados por esses produtos ou é utilizador dos mesmos, é provável que esteja abrangido por este diploma.

O regulamento não se baseia numa lógica de "propriedade dos dados", mas antes no controlo de acesso, reconhecendo que os utilizadores, muitas vezes, dependem tecnologicamente do fabricante ou fornecedor. O Data Act procura corrigir esta assimetria através de um conjunto claro de direitos para os utilizadores e de obrigações para os detentores dos dados, promovendo um ambiente mais equitativo, interoperável e competitivo.

O que muda: direitos do utilizador e deveres do detentor dos dados

O primordial da presente legislação encontra-se previsto nos Artigos 4.º e 5.º do Data Act:

• Acesso e utilização pelo utilizador (artigo 4.º): o utilizador de um produto ou serviço conectado — ou seja, uma pessoa singular ou coletiva que tem o direito de utilizar esse produto ou serviço, seja como proprietário, locatário, mutuário ou outro título jurídico válido — tem o direito de aceder e utilizar os dados gerados através da sua utilização, quando não tenha acesso direto aos mesmos. 
  
  Este direito abrange tanto os dados introduzidos intencionalmente, como os dados gerados indiretamente pela utilização do produto, como, por exemplo, dados sobre a envolvente, o desempenho, o consumo ou as interações do dispositivo. Incluem-se aqui dados observados e pré-tratados, ou seja, dados que o produto obtém, gera ou recolhe sem que ocorra um investimento substancial na sua limpeza, agregação ou transformação. Não estão abrangidos os dados inferidos ou derivados, como resultados analíticos, avaliações preditivas ou modelações geradas pelo fabricante ou operador através de tratamento posterior. O detentor dos dados (geralmente o fabricante ou fornecedor do produto) deve disponibilizar esses dados sem custos para o utilizador, sem demora injustificada e num formato estruturado, comum e de leitura automática. As condições devem ser equitativas, razoáveis, transparentes e não discriminatórias, e o acesso deve respeitar as salvaguardas necessárias para proteger os segredos comerciais, os direitos de propriedade intelectual de terceiros e os dados pessoais.
• Partilha com terceiros (artigo 5.º): o utilizador tem o direito de designar um terceiro — pessoa singular ou coletiva — para receber os dados gerados pela utilização do produto ou serviço conectado. Neste caso, o detentordos dados (por exemplo, o fabricante) é obrigado a facilitar essa transmissão sem demora injustificada e num formato estruturado, comum e de leitura automática. Este direito só pode ser limitado em circunstâncias específicas e justificadas (por exemplo, proteção de segredos de negócio ou cumprimento de outras normas aplicáveis). 
  
  O detentor não pode impor condições técnicas, contratuais ou económicas que dificultem injustificadamente o exercício efetivo deste direito. 
  
  Importa referir que o Data Act exclui expressamente como destinatários os denominados “guardiões de acesso” (gatekeepers) designados através do Regulamento de Mercados Digitais (DMA), mesmo que sejam indicados pelo utilizador. Esta exclusão responde à necessidade de prevenir concentrações indevidas de poder económico no ecossistema digital e de preservar uma concorrência justa.

Esta articulação (acesso e partilha) é complementado por um elemento que é frequentemente esquecido e que muda a estrutura contratual:

• Contrato adicional para a utilização de dados não pessoais (artigos 4.º, n.º 13 e 4.º, n.º 14): o Data Act permite que o detentor utilize dados não pessoais gerados pelo produto ou serviço, mas sempre sob duas condições: (i) existência de um acordo transparente com o utilizador que defina as finalidades de utilização, e (ii) a utilização não origine informação que possa prejudicar a posição competitiva do utilizador no seu mercado. As finalidades legítimas incluem, por exemplo, a melhoria do funcionamento do produto ou serviço ou a agregação de dados com a finalidade de disponibilizar a terceiros os dados derivados resultantes, desde que não sejam identificáveis. Por outro lado, a transferência de dados não pessoais para terceiros (Artigo 4.ª; n.º 14) só pode ser efetuada se estiver prevista expressamente no contrato com o utilizador. Desta forma, o regulamento converte o utilizador no verdadeiro "titular da chave" para as utilizações secundárias dos seus dados, ao mesmo tempo que incentiva a abertura de mercados através de licenciamentos em condições justas, razoáveis​ e não discriminatórias (artigos 8º e 9º). 
  
  Exemplo: Uma cooperativa agrícola utiliza uma frota de tratores inteligentes conectados que registam dados sobre a utilização do motor, humidade do solo, velocidade de operação e consumo de combustível. Estes dados são armazenados na nuvem do fabricante do trator. 
  
  Um dos membros da cooperativa e agricultor responsável por uma parcela específica, solicita o acesso aos dados do seu trator, de acordo com o artigo 4.º do Data Act, já que não pode aceder diretamente aos mesmos através de uma interface. O fabricante, enquanto detentor dos dados, deve fornecer-lhe estes dados gratuitamente num formato estruturado e de leitura automática, sem atraso ou requisitos de identificação excessivos. 
  
  O mesmo membro decide, posteriormente, recorrer a uma empresa local de análise agrícola para otimizar o comportamento do terreno com base nestes dados. De acordo com o artigo 5.º, o fabricante é obrigado a transferir os dados diretamente para essa empresa, sem impor condições técnicas ou contratuais injustificadas. 
  
  No entanto, se o referido membro quisesse enviar os dados para uma empresa que presta serviços de plataforma central que tivesse sido designada como gatekeeper ao abrigo do DMA, o fabricante estaria legalmente autorizado a recusar essa transmissão. 
  
  O fabricante pode também querer utilizar os dados gerados pelos tratores para melhorar a conceção de futuros modelos ou para elaborar estatísticas de consumo que depois irá agregar e disponibilizar a terceiros. Para isso, deverá celebrar um contrato transparente com a cooperativa ou com cada utilizador, onde sejam especificadas essas finalidades. O regulamento permite-lhe esta utilização, desde que não extraia informação granular que possa afetar a posição competitiva da cooperativa ou de cada agricultor. A transferência de dados para terceiros só pode ser feita se também estiver prevista no contrato.

Em conjunto com estes direitos contratuais, o Data Act reforça o quadro jurídico com um requisito técnico muito abrangente: a acessibilidade dos dados desde a conceção e por defeito (artigo 3.º). Exige que os produtos e serviços sejam concebidos de forma que os dados — e os metadados necessários — sejam acessíveis por defeito, de forma fácil, segura, gratuita e num formato de leitura automática. A referida obrigação aplica-se aos produtos e serviços introduzidos no mercado após 12 de setembro de 2026.

Princípios de equilíbrio e limites

A presente legislação  procura equilibrar a liberdade de acesso aos dados com a proteção de incentivos ao investimento. Por isso, articula:

• Limites para segredos comerciais e direitos de PI: o acesso não pode divulgar know-how protegido; podem ser impostas medidas técnicas para impedir a utilização não autorizada, desde que sejam proporcionais.
• Compensação razoável (condições FRAND): quando adequado, a disponibilização pode envolver uma remuneração em condições equitativas, razoáveis ​e não discriminatórias, evitando encargos ocultos.
• Coordenação com o RGPD: o Data Act é horizontal (abrange dados pessoais e não pessoais). Quando estão em causa dados pessoais, o tratamento deve encontrar-se em estrita conformidade com o RGPD; o Data Act não dispõe de uma nova base de licitude. Ademais, os direitos incluem o direito à portabilidade dos dados, previsto no artigo 20.º do RGPD, e o direito de acesso, previsto no artigo 15.º do RGPD (artigo 1.º, n.º 5 do Data Act).
• Cláusulas abusivas B2B (artigo 13.º): se uma empresa impuser unilateralmente termos que colidam com  o equilíbrio contratual (por exemplo, exclusões de responsabilidade desproporcionais ou renúncias a direitos irrenunciáveis), estes podem ser considerados como não incluídos no contrato. Trata-se de um "travão de mão" contratual para preservar a finalidade pró-competitiva do regime legal aplicável.

Implicações para as empresas (fabricantes, fornecedores)

• Reconfigurar a conceção e a arquitetura de dados: inventariar o que é gerado, onde está armazenado, como é etiquetado e com que metadados. A acessibilidade desde a conceção exigirá um data mapping detalhado, APIs ou canais de extração fiáveis​ e documentação clara para utilizadores e terceiros.
• Ativar os processos de satisfação de pedidos: o artigo 4.º concede aos utilizadores o direito de aceder e utilizar dados, e o artigo 5.º concede o direito de os partilhar com terceiros designados. As empresas devem definir prazos de resposta, responsáveis internos, autenticação dos requerentes e protocolos de proteção. Quando estão em causa segredos comerciais ou direitos de terceiros, recomenda-se a utilização de soluções de acesso seguro ou “clean rooms”, evitando recusas generalizadas que possam ser consideradas desproporcionais.
• Negociar e uniformizar contratos adicionais para dados não pessoais: os artigos 4.º, n.º 13 e 4.º, n.º 14 exigem que odetentor dos dados só os possa utilizar mediante contrato com o utilizador. Isto implica a criação de modelos claros que definam as finalidades de utilização, as condições FRAND (quando aplicável), medidas de pseudonimização ou agregação e cláusulas de reversibilidade. Este contrato adicional torna-se um elemento estratégico para a geração de mercados secundários de dados sob controlo do utilizador.
• Alinhamento jurídico, técnico e do modelo de negócio: o acesso regulado não se resume ao cumprimento; é uma estratégia de abertura controlada para viabilizar os serviços pós-venda, ecossistemas e mercados secundários. Aqui, é fundamental que as equipas jurídica, técnica e de negócio trabalhem em conjunto.

Riscos típicos e como os mitigar

• Confundir "dados inferidos" com "dados pré-tratados": será necessário rever os pipelines; tudo o que seja derivado de modelos/algoritmos pode estar fora do direito de acesso. Recomenda-se a documentação dos critérios.
• Segredos invocados incorretamente: as recusas baseadas no sigilo devem ser proporcionais e justificadas; Deverão ser consideradas soluções de acesso seguro em vez de se recusar o acesso diretamente.
• Condições FRAND opacas: recomenda-se a preparação de metodologias internas de cálculo e benchmarking para evitar alegações de discriminação.
• RGPD negligenciado: quando estiverem em causa dados pessoais, deverá ser aplicado um fundamento jurídico válido, ter em conta o princípio da minimização, realizar-se AIPD, se aplicável, e avaliar riscos de reidentificação em conjuntos derivados.

Espanha, Portugal, Alemanha, França e a aplicação e execução do Data Act

A eficácia deste diploma dependerá em grande medida da sua aplicação por entidades fiscalizadoras e judiciais. O Capítulo IX do Data Act estabelece as autoridades nacionais, as sanções e os mecanismos alternativos de resolução de litígios, mas a sua eficácia real pode variar de país para país. Espanha e Portugal ainda não designaram uma autoridade ou coordenador de dados, o que poderá levar os próprios titulares de direitos a terem de reivindicar diretamente os seus direitos, antevendo-se um provável aumento da litigância judicial durante as primeiras fases de implementação. A Alemanha apresentou um projeto de lei de implementação (Data Act-Durchführungsgesetz) que prevê a designação da Bundesnetzagentur (BNetzA) como autoridade central e da BfDI em matéria de proteção de dados; no entanto, este projeto ainda não foi aprovado, pelo que o quadro institucional alemão continua a ser uma proposta em apreciação. A França, por sua vez, reforçou a arquitetura institucional através da Lei SREN que atribui um papel reforçado a autoridades como a CNIL e a ARCOM quanto à aplicação da regulamentação digital europeia. Para as empresas que operam em vários países, tal significa que terão de adaptar os seus processos de resposta, contratos e defesas técnicas às circunstâncias nacionais, enquanto se consolida uma interpretação mais uniforme a nível europeu.

‘Checklist’ expresso (apenas regime de acesso)

• Inventário de dados IoT (primário vs. pré-tratados vs. inferidos), metadados e localização.
• Canais de acesso/transferência prontos (APIs, formatos legíveis, segurança).
• Procedimento e acordo de nível de serviço (SLA) para pedidos de utilizadores e terceiros designados.
• Modelo de contrato adicional para dados não pessoais (utilizações, FRAND, salvaguardas).
• Política de segredos comerciais/DPI com medidas técnicas de proteção (se necessárias).
• Matriz de cumprimento do RGPD em cenários mistos (bases, portabilidade, AIPD).
• Revisão das cláusulas B2B para detetar e eliminar condições unilaterais potencialmente abusivas.
• Plano de acessibilidade desde a conceção (artigo 3.º) para novas colocações no mercado 2026-2027.

Em resumo: o Data Act não concede a "propriedade" dos dados ao utilizador, mas elimina obstáculos de acesso em situações de dependência tecnológica, criando obrigações técnicas, contratuais e organizacionais que abrem caminho a um mercado de dados mais dinâmico. A preparação neste momento — com uma conceção acessível, contratos apropriados e processos sólidos — fará a diferença entre reagir à procura ou liderar o ecossistema de dados.