Data Act sob pressão operacional num contexto regulatório em mudança

Com aplicação prática a partir de setembro de 2025, o Data Act estabelece um novo enquadramento europeu para o acesso, a partilha e a utilização de dados. Em paralelo com a preparação das organizações para a sua execução, a Comissão Europeia integrou o regulamento no pacote legislativo conhecido como Digital Omnibus, que procede à reorganização e simplificação de várias normas no domínio dos dados.

No âmbito deste pacote e segundo informação publicada no portal digital.gov.pt, a integração do Data Act no Digital Omnibus visa simplificar e consolidar o enquadramento regulatório, reduzindo sobreposições normativas e reforçando a segurança jurídica. O modelo proposto assenta num regime único apoiado em cláusulas contratuais-tipo para o acesso e utilização de dados e para serviços de cloud, prevendo ainda isenções específicas para PME e small mid caps em matérias como a mudança de fornecedor.

Na resposta enviada, a CNPD recorda ainda que o EDPB e o EDPS já se pronunciaram anteriormente sobre o Regulamento dos Dados, designadamente através da Joint Opinion 2/2022 sobre a proposta de regulamento relativo a regras harmonizadas para o acesso equitativo e a utilização de dados, bem como da Statement 4/2025 sobre a recomendação da Comissão Europeia relativa a projetos de cláusulas contratuais não vinculativas para a partilha de dados ao abrigo do Data Act, documentos que continuam a enquadrar a interpretação do regulamento no plano europeu.

Entre desbloquear valor e gerir conflito regulatório

	“O verdadeiro teste do Data Act”, refere, será “a sua capacidade de se integrar harmoniosamente neste mosaico regulatório, sem criar sobreposições ou incertezas jurídicas que travem a inovação que se pretende promover” Inês Antas de Barros, sócia da área de Comunicações, Dados e Tecnologias da VdA

Para Inês Antas de Barros, sócia da área de Comunicações, Dados e Tecnologias da VdA, o Data Act representa uma mudança estrutural na forma como os dados são encarados na União Europeia. A responsável sublinha que o regulamento “representa um passo decisivo na construção de uma verdadeira economia europeia dos dados”, com o objetivo de “desbloquear o valor económico dos dados, tornando- os mais acessíveis, partilháveis e utilizáveis por empresas, cidadãos e organismos do setor público”.

Apesar de já se encontrar em fase de aplicação prática, o Data Act atravessa assim um momento de reavaliação institucional que pode introduzir um novo grau de incerteza na sua interpretação e execução.

Um regulamento em análise num contexto de ajustamento europeu

Contactada pela IT Security, a Comissão Nacional de Proteção de Dados (CNPD) optou por não assumir, nesta fase, uma posição substantiva sobre o Data Act. A autoridade esclareceu que o Comité Europeu para a Proteção de Dados (EDPB, na sigla em inglês) e o European Data Protection Supervisor (EDPS) encontram-se a “analisar o pacote legislativo da Comissão Europeia, conhecido como Omnibus Digital e que inclui alterações ao Regulamento 2023/2854 – Regulamento dos Dados, para emissão de uma Opinião Conjunta, à semelhança do que foi feito para o Digital Omnibus on AI”, considerando, por isso, relevante aguardar por essa pronúncia.

Na prática, acrescenta, o Data Act garante que os utilizadores de produtos e serviços conectados possam aceder e reutilizar os dados que geram, através da promoção da partilha em condições justas, razoáveis e não discriminatórias. O regulamento procura ainda reduzir fenómenos de dependência tecnológica, reforçar a interoperabilidade e definir regras claras para o acesso a dados por entidades públicas em situações de necessidade excecional.

Ambiguidades que alimentam risco

Segundo Inês Antas de Barros, os “desafios são significativos”, desde logo pela dificuldade em identificar com precisão que dados são efetivamente gerados pela utilização de um produto ou serviço. Esta complexidade é particularmente evidente em ambientes de IoT, onde coexistem dados inferidos, agregados ou enriquecidos, tornando difuso o conceito de “dados gerados”.

A responsável aponta ainda dificuldades em conciliar o direito de acesso com a proteção de dados pessoais, segredos comerciais e requisitos de cibersegurança, bem como em negociar contratos e modelos de compensação que sejam, de facto, razoáveis e transparentes. A necessidade de adaptar arquiteturas técnicas para garantir portabilidade e interoperabilidade, assim como de responder a pedidos do setor público de forma proporcional, auditável e juridicamente sustentada, acrescenta uma camada adicional de complexidade.

Apesar de o Data Act ser diretamente aplicável em todos os Estados-Membros, a sua execução em Portugal depende ainda de passos complementares, como a designação das autoridades competentes e a definição do regime sancionatório. Mesmo ao nível do texto europeu persistem, no entanto, zonas cinzentas com impacto direto na gestão de risco.

Entre os pontos críticos identificados estão a definição do que constitui uma compensação razoável na partilha B2B, a prova da necessidade excecional em pedidos do setor público e a compatibilidade entre portabilidade na cloud e requisitos de segurança e continuidade de serviço. Na leitura da responsável, estas incertezas podem gerar “interpretações divergentes entre Estados-Membros e setores”, sobretudo em áreas reguladas como energia, saúde ou mobilidade.

“O verdadeiro teste do Data Act”, refere, será “a sua capacidade de se integrar harmoniosamente neste mosaico regulatório, sem criar sobreposições ou incertezas jurídicas que travem a inovação que se pretende promover”.

Quando a regulação se torna um risco operacional

Não se trata apenas de mais um regulamento, mas de “uma verdadeira jornada que vai fazer alterar a forma como as organizações colaboram com parceiros, clientes e fornecedores, como desenvolvem os seus produtos e soluções e como criam serviços digitais” Ana Isabel Cardoso, Senior Manager da EY na área de AI & Data

Do lado da consultoria, Ana Isabel Cardoso, Senior Manager da EY na área de AI & Data, confirma que muitas organizações ainda encaram o Data Act com “alguma cautela”. Na sua perspetiva, não se trata apenas de mais um regulamento, mas de “uma verdadeira jornada que vai fazer alterar a forma como as organizações colaboram com parceiros, clientes e fornecedores, como desenvolvem os seus produtos e soluções e como criam serviços digitais”.

Essa transformação vem acompanhada de preocupações muito concretas. As organizações querem perceber “quem pode aceder a que dados”, “em que momento” e “para que finalidades”, enquanto tentam avaliar o valor real que esse acesso pode gerar. A maturidade varia significativamente de setor para setor, com áreas como energia, telecomunicações ou petróleo e gás entre as mais avançadas, ainda que condicionadas por sistemas antigos, multiplicidade de plataformas e limitações de investimento.

Um dos pontos mais sensíveis é a classificação correta dos dados. Distinguir dados pessoais, internos ou públicos, garantir a anonimização quando necessária e assegurar que informação sensível não é partilhada indevidamente continua a ser um desafio, agravado por dificuldades de interoperabilidade entre sistemas. No setor público, e em particular quando estão em causa dados de cidadãos, este risco ganha uma dimensão adicional, com impacto direto na confiança.

Um novo quadro de responsabilidades

O Data Act introduz novos direitos de acesso aos dados e responsabilidades que muitos contratos ainda não refletem, num momento em que o próprio enquadramento europeu se encontra em ajustamento. Este contexto torna a adaptação mais exigente para organizações que operam em ecossistemas de dados complexos e altamente regulados.

A capacidade de preparação e de antecipação continua a ser um fator diferenciador neste cenário. Como resume Ana Isabel Cardoso, “quem estiver mais preparado e conseguir antecipar-se, terá uma excelente oportunidade de se posicionar no mercado e ter vantagens competitivas”.