Data Act: amigo ou inimigo da cibersegurança?

O ano tem sido altamente marcado pela particular atenção dos reguladores europeus sobre as tecnologias e o digital, e tudo o que neste âmbito está compreendido. A larga carga de dados que é inerente a estes domínios tem causado discussão e até mesmo controvérsia em alguns casos. Vários anos depois de um passo histórico nesta matéria, com a implementação do Regulamento Geral sobre a Proteção dos Dados (RGPD), que entrou em vigor em 2018, a Comissão Europeia (CE) propõe garantir equidade no ambiente digital, estimular um mercado de dados competitivo, criar oportunidades para a inovação e tornar os dados mais acessíveis a todos através do Data Act, cuja proposta inicial foi divulgada em fevereiro de 2022.

Sobre a mais recente proposta, Margrethe Vestager, vice-presidente executiva para uma Europa adequada à era digital, disse que a CE quer “dar aos consumidores e às empresas ainda mais controlo sobre o que pode ser feito com os seus dados, clarificando quem pode aceder aos dados e em que termos”, tratando-se de “um princípio digital fundamental que contribuirá para criar uma economia de dados sólida e justa e orientará a transformação digital até 2030”.

+ Na vanguarda da democratização da informação

O regulamento surge no âmbito da Estratégia Europeia para os Dados, que tem levado à criação de várias iniciativas, sob a vontade da União Europeia (UE) de adquirir “uma posição de destaque na economia mundial de dados”, diz Martim Bouza Serrano, Sócio Coordenador da área de Tecnologias, Media e Telecomunicações (TMT) da CCA Law Firm, fomentando a resiliência da própria informação.

Enquanto um recurso essencial para as empresas conceberem e venderem os seus produtos e serviços, e atuando como drivers do desenvolvimento económico, os dados – sejam eles pessoais ou comerciais – são bens altamente sensíveis e disputados na indústria, mas a sua distribuição mantém-se heterogénea, reservada a um grupo reduzido de grandes empresas tecnológicas. Assim, o regulamento pretende democratizar o acesso à informação, promover mais transparência e reequilibrar este ecossistema na forma como os dados são partilhados, “em prol do desenvolvimento económico e bem social”, explica o advogado da CCA Law Firm.

O sistema pretendido pela CE visa:

• Regular dados gerados por dispositivos IoT;
• Regular os fluxos de dados existentes entre:
  • Empresas;
  • Empresas e consumidores;
  • Empresas e o Estado (em alguns casos específicos);
• Permitir que as empresas acedam a um conjunto infindável de dados e informações gerados pela indústria, nunca disponibilizados, para impulsionar o crescimento dos seus negócios e gerar valor acrescido para os produtos e serviços;
• Reforçar o direito à portabilidade dos dados que o quadro legal europeu confere aos consumidores, garantindo que dispõem de uma possibilidade efetiva de transitar, por exemplo, entre prestadores de serviços cloud e determinando também novas regras para a transferência de dados pessoais;
• Permitir que os Estados, em circunstâncias excecionais, acedam a dados e a informações que integrem o acervo de dados de empresas privadas, nomeadamente em casos de emergência pública, como incêndios e inundações, em que o acesso a um conjunto de informação pode ser determinante para que o Estado consiga atuar eficazmente.

	“É importante que os mecanismos de controlo e de sustentação do acesso aos dados”, afirma a advogada, “tenham inerente uma avaliação prévia do concreto risco que tal acesso pode originar, quer para os dados, quer para os sistemas onde os mesmos estão alojados, bem como sejam implementadas medidas de resposta eficazes face ao risco existente” Margarida Leitão Nogueira, DLA Piper ABBC

Ricardo Henriques, sócio da Abreu Advogados, elucida que, “através da promoção da interoperabilidade, transparência e responsabilidade”, a proposta procura “estabelecer um equilíbrio entre a proteção dos direitos dos indivíduos e o estímulo à inovação e ao desenvolvimento de novos serviços e produtos baseados em dados”. Mais, aborda “a criação de serviços de intermediação de dados, que têm como objetivo facilitar a partilha segura e controlada de dados”, estabelecendo “confiança” e “transparência no ecossistema de dados”.

No que concerne à utilização de dados, o advogado afirma que um dos problemas atuais é a “falta de clareza no que respeita à lista de pessoas ou entidades que pode aceder aos dados”. “Ao clarificar esse ponto e uma série de conceitos-chave, o Data Act vem trazer mais certezas ao mercado e, por isso, maior segurança na atuação”, garante.

“Ao regular-se e balizar-se a atuação dos stakeholders, implementar-se mecanismos de supervisão e reforçar-se a fiscalização, permite-se um maior controlo dos dados e um reforço da sua proteção”, acredita Margarida Leitão Nogueira, Sócia da DLA Piper ABBC. “É importante que os mecanismos de controlo e de sustentação do acesso aos dados”, afirma a advogada, “tenham inerente uma avaliação prévia do concreto risco que tal acesso pode originar, quer para os dados, quer para os sistemas onde os mesmos estão alojados, bem como sejam implementadas medidas de resposta eficazes face ao risco existente”.

+ Amigo ou inimigo?

Assim, apesar de um dos principais objetivos da legislação europeia ser o fácil acesso e a partilha de dados, é de notar que são inúmeras as críticas ao Data Act, acusado de ser demasiado restritivo, impedir a inovação e a competitividade europeia, e de sacrificar a segurança dos dados.

Atendendo que abrange dados pessoais e não-pessoais, implica uma interação com o regime jurídico de proteção de dados, explica Margarida Leitão Nogueira. Sem prejuízo de o Data Act se basear nas regras do RGPD, “deverá ter-se particular prudência relativamente à avaliação da existência de dados pessoais de terceiros nos dados a serem acedidos/ disponibilizados ao abrigo do Data Act, assim como na determinação da base legal de tratamento adequada para o efeito”.

“Corre-se o risco de minar a competitividade europeia ao obrigar à partilha de dados – incluindo know-how central e design data – não só com o utilizador, mas também com terceiros”, dizia uma carta conjunta enviada por multinacionais norte-americanas e as europeias SAP e Siemens à presidente da CE, Ursula von der Leyen, a Margrethe Vestager, e ao chefe industrial da UE, Thierry Breton. “Isto pode significar que as empresas da UE terão de divulgar dados a concorrentes de países terceiros, nomeadamente aqueles que não operam na Europa e contra os quais as salvaguardas do Data Act seriam ineficazes”, lê-se na carta. Apelando a salvaguardas que permitam às empresas recusar pedidos de partilha de dados quando os segredos comerciais, a segurança, e a saúde estão em risco, a carta pede, ainda, que o âmbito dos dipositivos abrangidos não seja alargado e que a legislação preserve a liberdade contratual.

A “facilidade no acesso e partilha de dados, num espaço que pode não estar todo ele homogéneo a nível de segurança, pode colocar em risco a informação, motivo pelo qual a indústria exige mais salvaguardas e garantias, relativamente à segurança dos dados no momento da sua partilha e acesso” Martim Bouza Serrano, CCA Law Firm

A “facilidade no acesso e partilha de dados, num espaço que pode não estar todo ele homogéneo a nível de segurança, pode colocar em risco a informação, motivo pelo qual a indústria exige mais salvaguardas e garantias, relativamente à segurança dos dados no momento da sua partilha e acesso”, explicita o advogado da CCA Law Firm.

Já Ricardo Henriques, da Abreu Advogados, considera que o regulamento “trará certamente preocupações de construção de modelos que permitam o esquema de acessos definido pelo Regulamento e que sejam, ao mesmo tempo, ambientes de segurança para os utilizadores e empresas”. Porque “as disposições no que respeita à partilha de dados entre empresas e governos são um pouco amplas em detrimento do que costuma ser a técnica legislativa do legislador europeu e tal pode levar a utilização abusiva dessa informação”, é “de vital importância quando poderão estar em causa segredos comerciais das empresas”.

Contudo, Margarida Leitão Nogueira garante que, apesar de a proposta inicial não dispor de muitas salvaguardas relacionadas com cibersegurança, tem evoluído para reforçar a proteção. Em causa está a imposição a organismos públicos do cumprimento dos requisitos legais de cibersegurança, nomeadamente a implementação de medidas técnicas e organizativas de gestão de riscos que possam afetar a confidencialidade, integridade ou disponibilidade dos dados, explica a advogada.

Além disso, “a transferência de dados não pessoais para países terceiros pode gerar um aumento do nível risco em termos de cibersegurança, potenciado pelo atual contexto geopolítico, sobretudo considerando que as salvaguardas do Data Act poderão revelar-se, em concreto, ineficazes”, reflete a advogada da DLA Piper ABBC.

Segundo noticiado pela EURACTIV, a CE está aberta a introduzir um mecanismo para proteger os segredos comerciais. “A Comissão pode estar aberta a considerar essas salvaguardas, tal como proposto pelo Conselho, desde que esse mecanismo continue a ser uma exceção à regra, permaneça em conformidade com a Trade Secrets Directive (incluindo o seu objetivo e princípios subjacentes), os textos legislativos impeçam a sua interpretação ou utilização extensiva e sejam evitados encargos desproporcionados para as PME”, dizem.

+ Impacto na “uniformização digital” em Portugal

	“O regulamento “trará certamente preocupações de construção de modelos que permitam o esquema de acessos definido pelo Regulamento e que sejam, ao mesmo tempo, ambientes de segurança para os utilizadores e empresas” Ricardo Henriques, Abreu Advogados

As empresas que fazem recolha de dados como parte dos seus serviços podem ter de implementar mecanismos específicos necessários para a partilha dos dados. “Por outro lado, as empresas vão poder beneficiar do acesso a um acervo infindável de dados, de elevada qualidade, gerados pelas principais empresas da indústria, com base nos quais, poderão adaptar os seus serviços e produtos, para os tornar cada vez mais eficazes, e personalizados”, reitera Martim Bouza Serrano.

O impacto da regulamentação em Portugal poderá diferir de outros Estados-membros. Segundo Ricardo Henriques, “uma vez que a realidade em Portugal é bastante dispersa, existindo entidades na vanguarda da digitalização e tecnologia e outras ainda bastante desatualizadas”, o Data Act poderá auxiliar na “uniformização digital” das entidades.

Mais de um ano depois da proposta inicial, o regulamento encontra-se em negociação interinstitucional, que reúne representantes do Parlamento Europeu, do Conselho da UE e da CE – as chamadas trilogue negotiations – estando prevista a conclusão até ao final de junho de 2023, de acordo com Margarida Leitão Nogueira, não se devendo prolongar além das eleições europeias de maio de 2024.

Sendo um regulamento europeu, assim que publicado no Jornal Oficial da UE, a sua aplicação é imediata no ordenamento jurídico nacional, não sendo necessária aprovação por parte dos Estados ou a sua transposição. “Não obstante, necessitará de legislação nacional que permita a sua execução em termos sancionatórios”, esclarece a advogada da DLA Piper ABBC.