A 4 de novembro de 2024, o Decreto-Lei n.º 85/2024, foi publicado, assegurando a execução na ordem jurídica interna do Regulamento (UE) 2018/1807 relativo a um regime para o livre fluxo de dados não pessoais na União Europeia.

O Regulamento (UE) 2018/1807 estabelece a liberdade de circulação de dados não pessoais na União Europeia. Dados não pessoais referem-se a informações que não identificam diretamente uma pessoa singular, incluindo conjuntos de dados agregados e anonimizados amplamente utilizados na análise de grandes volumes de informação.

Num contexto de rápida expansão da Internet das Coisas, Inteligência Artificial, sistemas autónomos e redes 5G, estes dados assumem uma importância crescente. O regulamento proíbe, de forma geral, que os Estados-Membros imponham requisitos de localização obrigatória para dados não pessoais, o que implica a eliminação de normas ou práticas administrativas que obriguem ao armazenamento e tratamento de dados dentro de uma zona geográfica específica. Apenas razões de segurança pública ou defesa nacional podem justificar exceções.

Não obstante o Regulamento (UE) 2018/1807 ser obrigatório e diretamente aplicável no ordenamento jurídico nacional, contém disposições que exigem a adoção de atos de execução nacional, designadamente a identificação da entidade competente como ponto de contacto nacional, a adoção dos mecanismos e procedimentos para a notificação e comunicação à Comissão Europeia pela entidade nacional competente e o quadro sancionatório.

O Decreto-Lei n.º 85/2024 designa a Agência para a Modernização Administrativa, I.P. (AMA, I.P.) como ponto de contacto nacional, para atuar como elo com os pontos de contacto únicos dos outros Estados-Membros e com a Comissão Europeia. A AMA, I.P. fica ainda com a responsabilidade de gerir e atualizar o ponto de informação nacional único.

São competências da AMA, IP.:

• Disponibilizar e atualizar informação pormenorizada sobre qualquer requisito de localização de dados aplicável em território nacional bem como sobre requisitos de localização de dados a um ponto de informação central;
• A assistência a autoridades competentes dos outros Estados-Membros no que diz respeito ao acesso a dados, de acordo com o procedimento de cooperação tramitado no Sistema de Informação do Mercado Interno (IMI);
• Comunicar à Comissão Europeia a aplicação de medidas provisórias de relocalização de dados;
• Elaborar o relatório de avaliação de impacto com o auxílio das entidades nacionais competentes que devem recolher e transmitir os dados para o efeito.

Os requisitos vigentes de localização de dados devem ser comunicados à Comissão Europeia, juntamente com a justificação por motivos de segurança pública e respeitando o princípio da proporcionalidade. Essa comunicação deve ser efetuada pelas autoridades nacionais com competências na vigência dos requisitos de localização de dados.

A fiscalização compete à Autoridade de Segurança Alimentar e Económica (ASAE) que pode, se necessário, colaborar com outras entidades, nomeadamente com a Comissão Nacional de Proteção de Dados quando esteja em causa a verificação da existência de dados pessoais.

Em relação ao quadro sancionatório, a não prestação de informação ou a prestação de informação falsa e a falta de dados ou do respetivo acesso solicitados pela autoridade de fiscalização consubstanciam uma contraordenação económica grave punível com coima que pode ir desde 1 700€ até 24 000€ consoante se trate de microempresa, pequena, média ou grande empresa. Já a prestação de informações inexatas ou incompletas constitui contraordenação económica leve, punível com coima que pode ir desde 250€ até 12 000€ consoante se trate de microempresa, pequena, média ou grande empresa. Em simultâneo, a ASAE pode determinar a aplicação de sanções acessórias.

O Decreto-Lei n.º 85/2024 entrará em vigor no próximo dia 3 de janeiro de 2025.

Para saber mais sobre o Regulamento (UE) 2018/1807 relativo a um regime para o livre fluxo de dados não pessoais, aceda aqui.