Assegura a execução, na ordem jurídica interna, do Regulamento (UE) 2018/1807, relativo a um regime para o livre fluxo de dados não pessoais na União Europeia.

Decreto-Lei 85/2024

de 4 de novembro

O Regulamento (UE) 2018/1807, do Parlamento Europeu e do Conselho, de 14 de novembro de 2018, relativo a um regime para o livre fluxo de dados não pessoais na União Europeia [Regulamento (UE) 2018/1807], tem subjacente o reconhecimento de que o setor das tecnologias de informação e comunicação deixou de ser um setor específico, passando a suportar a generalidade dos sistemas económicos e das sociedades modernas e inovadoras.

O rápido desenvolvimento da economia dos dados e das tecnologias emergentes, como a inteligência artificial, a Internet das coisas, os sistemas autónomos e o 5G, suscitam novos desafios em torno das questões do armazenamento, acesso e utilização dos dados, e também aspetos relacionados com a sua partilha, reutilização, responsabilidade, ética e solidariedade.

Neste contexto, a execução eficiente do armazenamento e tratamento de dados, que constitui um alicerce fundamental em todas as cadeias de valor de dados, e o desenvolvimento da interoperabilidade e fluxo dos dados no mercado interno da União Europeia (UE) são postos em causa por dois tipos de restrições: os requisitos de localização dos dados que são estabelecidos pelas autoridades dos Estados-Membros e as práticas de deficiente portabilidade e elevada dependência aos prestadores de serviços de armazenamento e tratamento de dados do setor privado.

Com efeito, as disposições legislativas, regulamentares, regras ou práticas administrativas nacionais que exigem que os dados não pessoais estejam localizados numa dada zona geográfica ou território nacional, com o objetivo de restringirem o armazenamento e tratamento dos dados fora dessas zonas geográficas ou territórios específicos, devem ser revogadas de modo a permitir maior liberdade e dinamismo da economia na prestação de serviços de armazenamento e tratamento de dados no espaço da UE.

Deste modo, o Regulamento (UE) 2018/1807 tem por objetivo proibir, de um modo geral, que os Estados-Membros imponham requisitos sobre a localização do armazenamento e processamento dos dados não pessoais, só podendo justificar-se como exceções a esta regra razões de segurança pública e de defesa nacional, devendo ser respeitado o princípio da proporcionalidade, consagrado no n.º 4 do artigo 5.º do Tratado da UE.

O Regulamento (UE) 2018/1807 estabelece ainda um mecanismo de cooperação para garantir que as autoridades competentes continuem a poder exercer os seus direitos de acesso a dados não pessoais que estão a ser tratados noutro Estado-Membro e prevê a elaboração de códigos de conduta de autorregulação sobre a mudança de prestador de serviços e a portabilidade de dados com o apoio da Comissão Europeia.

O Regulamento (UE) 2018/1807 visa, assim, assegurar a livre circulação de dados não pessoais no espaço da UE, não sendo aplicável a operações de armazenamento e tratamento realizadas fora desse âmbito territorial.

De igual modo, visa-se criar a segurança jurídica necessária para que as entidades possam escolher livremente onde pretendem armazenar e tratar os seus dados na UE, possibilitando a existência de um clima de confiança nos serviços de tratamento de dados, contrariando as práticas de dependência a um prestador desses serviços.

Com a aplicação do Regulamento (UE) 2018/1807 possibilita-se um aumento das escolhas para as entidades, a eficiência e o incentivo na adoção de tecnologias de computação em nuvem, conduzindo, também, a poupanças significativas para essas entidades públicas ou privadas.

Com a aplicação do Regulamento (UE) 2018/1807 e a par do Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), é criado um enquadramento normativo que se complementa e possibilita a livre circulação dos dados entre os Estados-Membros. Permite-se, igualmente, às entidades de serviços de armazenamento e tratamento de dados, utilizar os dados recolhidos em diferentes mercados da UE, possibilitando a melhoria da sua competitividade e aumentando o dinamismo da economia dos dados ao nível da UE.

Tendo por base o reconhecimento da digitalização da economia e tendo em vista assegurar o efetivo livre fluxo de dados não pessoais na UE, devem ser previstas as medidas de execução nacional que estabeleçam as condições legais para a concretização desta realidade.

Não obstante o Regulamento (UE) 2018/1807 ser obrigatório e diretamente aplicável no ordenamento jurídico nacional, contém disposições que exigem a adoção de atos de execução pelo legislador, designadamente a adoção das disposições necessárias para a identificação da entidade competente como ponto de contacto nacional e respetivas competências, a adoção dos mecanismos e procedimentos para a notificação e comunicação à Comissão Europeia pela entidade nacional competente e à disponibilidade dos dados por parte desta mesma entidade, e a definição do quadro sancionatório aplicável que se pretende efetivo, proporcional e dissuasor em caso de incumprimento das obrigações legais.

Foram ouvidos os órgãos de governo próprio da Região Autónoma dos Açores.

Foi promovida a audição dos órgãos de governo próprio da Região Autónoma da Madeira e da Comissão Nacional de Proteção de Dados.

Assim:

Nos termos da alínea a) do n.º 1 do artigo 198.º da Constituição, o Governo decreta o seguinte:

Artigo 1.º

Objeto

O presente decreto-lei assegura a execução, na ordem jurídica interna, do Regulamento (UE) 2018/1807, do Parlamento Europeu e do Conselho, de 14 de novembro de 2018, relativo a um regime para o livre fluxo de dados não pessoais na União Europeia [Regulamento (UE) 2018/1807].

Artigo 2.º

Ponto de contacto único nacional e ponto de informação nacional em linha único

1 - Para efeitos de aplicação do disposto no artigo 7.º do Regulamento (UE) 2018/1807, a Agência para a Modernização Administrativa, I. P. (AMA, I. P.), é designada ponto de contacto único nacional.

2 - A AMA, I. P., é, ainda, responsável pela gestão e atualização do ponto de informação nacional em linha único, nos termos do disposto nos n.^os 4 e 5 do artigo 4.º do Regulamento (UE) 2018/1807.

Artigo 3.º

Competências da Agência para a Modernização Administrativa, I. P.

1 - A AMA, I. P., deve disponibilizar e manter atualizada informação pormenorizada sobre qualquer requisito de localização de dados aplicável em território nacional, estabelecido em disposições legislativas, regulamentares ou administrativas de caráter geral, ou, em alternativa, deve fornecer informação atualizada sobre esse requisito de localização de dados a um ponto de informação central estabelecido ao abrigo de outro ato da União Europeia, através de um ponto de informação nacional em linha único disponível no Portal Único dos Serviços Digitais - o gov.pt, com base nos dados prestados nos termos do n.º 7.

2 - Para efeitos do número anterior, a informação a disponibilizar pelas autoridades competentes deve ser prestada através do preenchimento de formulário próprio, a disponibilizar pela AMA, I. P., com os dados seguintes:

a) O sítio na Internet da entidade que contém a informação dos requisitos de localização que estejam em vigor, disponibilizando essa informação em inglês e português;

b) A identificação da previsão legal, regulamentar ou administrativa que contenha os requisitos de localização;

c) Uma breve descrição dos requisitos de localização exigidos pela entidade;

d) O tipo de dados a que se referem os requisitos de localização;

e) A localização geográfica dos dados;

f) A fundamentação para a exigência dos requisitos de localização;

g) A identificação do setor de atividade a que se referem os dados;

h) Os destinatários dos requisitos de localização de dados;

i) O objetivo pretendido para o estabelecimento dos requisitos de localização de dados;

j) A data a partir da qual a previsão legal, regulamentar ou administrativa se encontra em vigor;

k) Referência a jurisprudência existente.

3 - A AMA, I. P., deve comunicar à Comissão Europeia o endereço em linha do respetivo ponto de informação nacional em linha único a que se refere o n.º 1.

4 - A AMA, I. P., enquanto ponto de contacto único nacional, deve servir de elo de ligação com os pontos de contacto único dos outros Estados-Membros e com a Comissão Europeia, bem como, nos termos do n.º 2 do artigo 5.º do Regulamento (UE) 2018/1807, prestar assistência às autoridades competentes dos outros Estados-Membros no acesso a dados, de acordo com o procedimento estabelecido no artigo 4.º do presente decreto-lei.

5 - A AMA, I. P., deve comunicar à Comissão Europeia a aplicação de medidas provisórias de relocalização de dados, nos termos e para os efeitos do 2.º parágrafo do n.º 4 do artigo 5.º do Regulamento (UE) 2018/1807.

6 - Com base nos dados fornecidos pelas autoridades nacionais com competências na definição de requisitos de localização e no relatório de avaliação de impacto previsto no artigo 14.º do presente decreto-lei, a AMA, I. P., deve fornecer à Comissão Europeia a informação necessária para a elaboração do relatório referido no n.º 1 do artigo 8.º do Regulamento (UE) 2018/1807.

7 - Para efeitos do cumprimento dos números anteriores, as autoridades nacionais com competências na definição de requisitos de localização de dados, incluindo a aplicação de medidas provisórias de relocalização de dados, devem prestar à AMA, I. P., toda a colaboração necessária, nomeadamente:

a) Proceder ao envio dos dados identificados no n.º 2, no prazo de 30 dias a contar da entrada em vigor do presente decreto-lei;

b) Informar da aplicação de medidas provisórias de relocalização de dados, no prazo de 10 dias úteis a contar da data de decisão final sobre as mesmas;

c) Prestar, no prazo de 10 dias úteis, os esclarecimentos solicitados.

Artigo 4.º

Procedimento para a cooperação entre as autoridades

1 - Os pedidos de assistência, no âmbito do procedimento para a cooperação entre as autoridades, previsto no artigo 7.º do Regulamento (UE) 2018/1807, são tramitados no Sistema de Informação do Mercado Interno (IMI), nos termos do Regulamento (UE) 1024/2012, do Parlamento Europeu e do Conselho, de 25 de outubro de 2012, relativo à cooperação administrativa através do Sistema de Informação do Mercado Interno.

2 - Até à sua efetiva implementação no IMI, os pedidos previstos no número anterior devem ser apresentados através de formulário a disponibilizar pela AMA, I. P., no Portal Único dos Serviços Digitais - o gov.pt.

3 - A AMA, I. P., encaminha os pedidos apresentados nos termos do número anterior para a autoridade nacional competente, para que esta dê cumprimento ao previsto no n.º 4 do artigo 7.º do Regulamento (UE) 2018/1807.

4 - A autoridade nacional competente envia à AMA, I. P., a resposta que deve ser prestada à entidade requerente, através do Portal Único dos Serviços Digitais - o gov.pt.

5 - Após a receção da resposta ao pedido de cooperação, a AMA, I. P., deve encaminhá-la para a autoridade requerente.

Artigo 5.º

Notificação prévia e prevenção de novos obstáculos

1 - Os projetos de atos, na aceção prevista no n.º 3) do artigo 3.º do Regulamento (UE) 2018/1807, que introduzam um novo requisito de localização de dados ou que modifiquem um requisito existente de localização de dados, devem ser notificados à Comissão Europeia e avaliados nos termos e pelos procedimentos previstos nos artigos 5.º, 6.º e 7.º da Diretiva (UE) 2015/1535, do Parlamento Europeu e do Conselho, de 9 de setembro de 2015, transposta pelo Decreto-Lei 30/2020, de 29 de junho, relativa a um procedimento de informação no domínio das regulamentações técnicas e das regras relativas aos serviços da sociedade da informação.

2 - A notificação à Comissão Europeia dos projetos de atos referidos no número anterior deve ser efetuada pelo Instituto Português da Qualidade, I. P. (IPQ, I. P.), utilizando o formulário eletrónico disponibilizado para o efeito no sítio na Internet da Comissão Europeia.

3 - O IPQ, I. P., informa a AMA, I. P., das notificações enviadas à Comissão Europeia bem como dos resultados do procedimento de informação referido no n.º 1.

Artigo 6.º

Comunicação dos requisitos de localização de dados em vigor

1 - Para efeitos de aplicação do 2.º parágrafo do n.º 3 do artigo 4.º do Regulamento (UE) 2018/1807, devem ser comunicados à Comissão Europeia todos os requisitos vigentes de localização de dados, acompanhados da devida justificação por motivos de segurança pública e no respeito pelo princípio da proporcionalidade para manutenção dos requisitos em vigor.

2 - Compete às autoridades nacionais com competências na vigência dos requisitos de localização de dados, a respetiva análise, justificação e comunicação à Comissão Europeia para o endereço eletrónico EU-FREE-FLOW-OF-DATA@ec.europa.eu.

3 - As autoridades nacionais competentes, nos termos do número anterior, devem comunicar à AMA, I. P., a identificação de requisitos vigentes de localização de dados e a respetiva justificação para a sua manutenção em vigor, acompanhada por todos os elementos previstos no n.º 2 do artigo 3.º

Artigo 7.º

Dever de cooperação e colaboração

Sempre que solicitado, as entidades devem fornecer à autoridade de fiscalização competente referida no artigo seguinte o acesso aos dados e a toda a informação e documentação necessárias, em papel ou em suporte eletrónico, e numa língua que possa ser facilmente compreensível, para cumprimento do disposto no Regulamento (UE) 2018/1807 e no presente decreto-lei, nos moldes, suporte e prazo estabelecidos.

Artigo 8.º

Fiscalização, instrução e decisão dos processos

1 - A fiscalização do disposto no Regulamento (UE) 2018/1807 e do presente decreto-lei compete à Autoridade de Segurança Alimentar e Económica (ASAE), sem prejuízo das competências atribuídas por lei a outras entidades, bem como a instrução dos respetivos processos de contraordenação.

2 - A aplicação de decisões e sanções acessórias compete ao inspetor-geral da ASAE.

3 - A ASAE pode solicitar a colaboração de quaisquer outras entidades, sempre que o julgue necessário ao exercício das suas funções, designadamente a consulta junto da Comissão Nacional de Proteção de Dados para verificação da existência de dados pessoais envolvidos, nos termos do disposto no Regulamento Geral de Proteção de Dados e nas Leis n.^os 58/ 2019 e 59/2019, ambas de 8 de agosto.

4 - Sem prejuízo da responsabilidade civil ou criminal, por violação de obrigações legais, designadamente pela prestação de falsas declarações ou por falsificação de documentos, as contraordenações previstas no presente decreto-lei são puníveis nos termos dos artigos seguintes.

Artigo 9.º

Contraordenações

1 - Constitui contraordenação económica grave, punível nos termos do Regime Jurídico das Contraordenações Económicas, aprovado em anexo ao Decreto-Lei 9/2021, de 29 de janeiro (RJCE), a não prestação ou a prestação de informação falsa, bem como a falta dos dados ou do respetivo acesso solicitados pela autoridade de fiscalização competente, em violação ao disposto no artigo 7.º

2 - Constitui contraordenação económica leve, punível nos termos do RJCE, a prestação de informações inexatas ou incompletas, em violação do disposto no artigo 7.º

Artigo 10.º

Tentativa e negligência

A negligência e a tentativa são puníveis, sendo os limites mínimos e máximos reduzidos para metade.

Artigo 11.º

Produto das coimas

O produto das coimas reverte em:

a) 60 % para o Estado;

b) 10 % para a AMA, I. P.;

c) 30 % para a ASAE.

Artigo 12.º

Sanções acessórias

Sem prejuízo da responsabilidade civil e criminal a que possa haver lugar, sempre que a gravidade da contraordenação e a culpa do agente o justifique, a ASAE pode, simultaneamente com a aplicação da coima, determinar a aplicação das sanções acessórias previstas no RJCE.

Artigo 13.º

Regiões autónomas

1 - Os atos e procedimentos necessários à execução do presente decreto-lei, bem como a fiscalização do disposto no Regulamento e no presente decreto-lei nas Regiões Autónomas dos Açores e da Madeira competem às entidades das respetivas administrações regionais com atribuições e competências nas matérias em causa.

2 - Deve ser designado um serviço ou organismo nas Regiões Autónomas dos Açores e da Madeira para exercer a função de ponto focal junto da AMA, I. P., e para dar cumprimento ao previsto nos artigos 3.º, 4.º, 5.º, 6.º e no n.º 2 do artigo 14.º do presente decreto-lei.

3 - O produto resultante da aplicação das respetivas coimas pelas regiões autónomas constitui receita própria.

Artigo 14.º

Avaliação e revisão

1 - Compete à AMA, I. P., a elaboração do relatório de avaliação de impacto, cabendo às demais entidades nacionais competentes para a aplicação e execução do Regulamento (UE) 2018/1807 a recolha e transmissão dos dados necessários para o efeito.

2 - O Centro de Competências de Planeamento, de Políticas e de Prospetiva da Administração Pública (PlanAPP) colabora com a AMA, I. P., na elaboração do relatório referido no número anterior, no âmbito das respetivas atribuições de avaliação de impacto dos atos legislativos.

3 - O exercício de avaliação de impacto da execução do Regulamento deve ser a fonte de dados para efeitos de cumprimento das obrigações de informação determinadas no n.º 2 do artigo 8.º do Regulamento.

Artigo 15.º

Revogação

1 - Para efeitos de aplicação do 1.º parágrafo do n.º 3 do artigo 4.º do Regulamento (UE) 2018/1807 devem ser revogados todos os requisitos vigentes de localização de dados, estabelecidos em disposições legislativas, regulamentares ou administrativas de caráter geral, que não sejam justificados por motivos de segurança pública e no respeito do princípio da proporcionalidade.

2 - Os requisitos que se concluam injustificados nos termos do número anterior devem ser revogados pela autoridade que, em razão da matéria, seja setorialmente competente, num prazo de 120 dias, após a entrada em vigor do presente decreto-lei.

Artigo 16.º

Direito subsidiário

Às contraordenações previstas no presente decreto-lei é aplicável, subsidiariamente, o Regime Jurídico das Contraordenações Económicas, aprovado pelo Decreto-Lei 9/2021, de 29 de janeiro.

Artigo 17.º

Entrada em vigor

O presente decreto-lei entra em vigor decorridos 60 dias após a sua publicação.

Visto e aprovado em Conselho de Ministros de 9 de outubro de 2024. - Luís Montenegro - Paulo Artur dos Santos de Castro de Campos Rangel - Joaquim Miranda Sarmento - Pedro Reis - Margarida Balseiro Lopes.

Promulgado em 26 de outubro de 2024.

Publique-se.

O Presidente da República, Marcelo Rebelo de Sousa.

Referendado em 29 de outubro de 2024.

O Primeiro-Ministro, Luís Montenegro.

118293465

Este documento liga aos seguintes documentos (apenas ligações para documentos da Serie I do DR):

• 2020-06-29 - Decreto-Lei 30/2020 - Presidência do Conselho de Ministros

  Transpõe a Diretiva (UE) n.º 2015/1535, relativa aos procedimentos de informação no domínio das regulamentações técnicas e das regras relativas aos serviços da sociedade da informação

• 2021-01-29 - Decreto-Lei 9/2021 - Presidência do Conselho de Ministros

  Aprova o Regime Jurídico das Contraordenações Económicas