O Decreto-Lei n.º 85/2024 adapta o Regulamento (UE) 2018/1807 ao contexto português, promovendo o livre fluxo de dados não pessoais na UE e proibindo restrições de localização de dados, salvo por razões de segurança pública. A Agência para a Modernização Administrativa é designada como ponto de contacto, e a ASAE é responsável pela fiscalização, com apoio da CNPD quando necessário. O Decreto-Lei prevê sanções por incumprimento e incentiva a liberdade de armazenamento de dados pelas empresas, bem como a adoção de códigos de conduta e a acessibilidade dos dados às autoridades.
No passado dia 4 de novembro, foi publicado o Decreto-Lei n.º 85/2024, de 4 de novembro (Decreto-Lei), que assegura a execução, na ordem jurídica interna, do Regulamento (UE) 2018/1807, relativo a um regime para o livre fluxo de dados não pessoais na União Europeia (Regulamento). O Regulamento (UE) 2018/1807, aplicável ao tratamento de dados eletrónicos não pessoais na União Europeia (UE) (i) prestado como um serviço a utilizadores residentes ou estabelecidos na UE ou (ii) realizado por uma pessoa singular ou coletiva com residência ou estabelecimento na UE para as suas necessidades próprias, tem por objetivo proibir, de modo geral, que os Estados-Membros imponham requisitos sobre a localização do armazenamento e do processamento dos dados não pessoais, excetuando-se situações de segurança pública e de defesa nacional.
Não obstante a aplicação direta e de caráter obrigatório do Regulamento, este contém disposições que exigem a adoção de atos de execução pelo legislador nacional, designadamente, no que respeita à entidade competente como ponto de contacto nacional e respetivas competências, e ao quadro sancionatório aplicável.
Deste modo, o Decreto-Lei veio estabelecer, nomeadamente:
- Que a Agência para a Modernização Administrativa, I.P. (AMA, I.P.) é a entidade designada como ponto de contacto único nacional, sendo ainda responsável pela gestão e atualização do ponto de informação nacional em linha único;
- Que a fiscalização do Regulamento e do Decreto-Lei, compete à Autoridade de Segurança Alimentar e Económica (ASAE). Não obstante, a ASAE poderá solicitar a colaboração de quaisquer outras entidades, designadamente da Comissão Nacional de Proteção de Dados (CNPD), para verificar a existência de dados pessoais envolvidos, nos termos do Regulamento Geral de Proteção de Dados (RGPD);
- Que constitui contraordenação económica grave, punível nos termos do Regime Jurídico das Contraordenações Económicas (RJCE), a não prestação ou a prestação de informação falsa, bem como a falta dos dados ou do respetivo acesso solicitados pela autoridade de fiscalização competente às autoridades;
- Que constitui contraordenação económica leve, punível nos termos do RJCE, a prestação de informações inexatas ou incompletas por parte das autoridades.
Ainda que os diplomas acima identificados não imponham obrigações diretamente aplicáveis a empresas e a pessoas singulares, a sua aplicação tem implicações indiretas, nomeadamente:
- A livre escolha, por parte das empresas, de qualquer Estado-Membro para armazenar e tratar dados não pessoais, sem prejuízo da compreensão do regime aplicável em cada jurisdição;
- O incentivo à adoção de códigos de conduta e de mecanismos de certificação voluntários para facilitar a portabilidade e a interoperabilidade entre diferentes prestadores de serviços de armazenamento e o tratamento de dados não pessoais; e
- A garantia por parte das empresas, caso os dados não pessoais se encontrem armazenados fora de Portugal, de que esses dados estarão acessíveis às autoridades nacionais competentes quando necessário, para fins de fiscalização ou supervisão.
