Cláusulas contratuais para o Regulamento Dados

O Relatório Final do Grupo de Peritos sobre a Partilha de Dados B2B e Contratos de Computação em Nuvem , publicado a 2 de abril de 2025, constitui uma referência fundamental para os profissionais do setor tecnológico que assessoram empresas na elaboração e negociação de acordos de acesso e utilização de dados e serviços na nuvem. Elaborado por um grupo independente de 17 especialistas - maioritariamente juristas, com a participação de académicos e profissionais - o relatório oferece um conjunto de modelos de cláusulas contratuais para acesso e uso de dados (“Model Contractual Terms”, MCT) e cláusulas contratuais-tipo para contratos de cloud computing (“Standard Contractual Clauses”, SCC) destinadas a garantir a equidade, a transparência e a segurança jurídica nas relações comerciais relacionadas com a geração, o tratamento e a partilha de dados empresariais.

No contexto da entrada em vigor do Regulamento (UE) 2023/2854 -conhecido como Regulamento Dados - o relatório responde ao mandato do artigo 41.º do respetivo Regulamento, que incumbe a Comissão Europeia de desenvolver termos contratuais não vinculativos para facilitar o acesso e o uso de dados gerados por produtos conectados, bem como cláusulas contratuais-tipo para contratos de serviços na nuvem. Os trabalhos tiveram início em setembro de 2022 com uma primeira reunião plenária e prolongaram-se até março de 2025. Durante este período, o Grupo reuniu-se em formato formal 19 vezes e desenvolveu subgrupos de redação para os diferentes capítulos e cláusulas. A este processo interno somou-se um subgrupo de consulta formado pelas empresas e organizações sectoriais, cujos comentários orientaram numerosas revisões intermédias do projeto.

Os modelos desenvolvidos abrangem quatro cenários principais de partilha de dados: entre detentores de dados e utilizadores de produtos e serviços relacionados; entre utilizadores e destinatários de dados; entre detentores e destinatários em cumprimento de pedidos dos utilizadores e para situações de partilha voluntária de dados. Cada conjunto de modelos foi concebido para se enquadrar com as obrigações estabelecidas nos capítulos II ao IV do Regulamento  Dados garantindo um equilíbrio entre o direito dos utilizadores a aceder aos seus dados e a proteção de interesses legítimos dos detentores, como os segredos comerciais e a confidencialidade da informação.

Por sua vez, as cláusulas contratuais-tipo atendem às necessidades dos contratos de serviços na nuvem, conforme os capítulos VI e VII do Regulamento Dados. Reconhecendo a complexidade dos contratos de software como serviço (SaaS), de plataforma como serviço (PaaS) e de infraestrutura como serviço (IaaS), o Grupo de Especialistas propôs sete cláusulas modulares - incluindo disposições gerais - sobre aspetos críticos como a mudança e a saída do prestador (switching & exit), a rescisão, a segurança e a continuidade das atividades, a não dispersão de dados, a responsabilidade contratual e a proibição de modificações unilaterais do contrato.

O relatório presta especial atenção à flexibilidade dos modelos: todas as cláusulas são fornecidas com opções e secções que indicam os campos a preencher pelas partes e as possíveis variantes em função da natureza dos dados (pessoais ou não pessoais), do setor de atividade ou da arquitetura técnica do serviço. Alerta ainda as partes contratantes para o facto de os tribunais poderem opor-se a cláusulas com vinculação ou agregação excessivas e de poderem invalidar cláusulas contratuais que considerem abusivas ou injustas.

No que diz respeito ao valor jurídico das MCT e das SCC propostas no relatório, o próprio documento sublinha o seu carácter não vinculativo e complementar a respeito do Regulamento  Dados e da Diretiva sobre segredos empresariais (2016/943). A sua adoção não isenta as partes do cumprimento das regras obrigatórias, nem impede um tribunal ou autoridade competente de declarar inválidas as cláusulas que violem os direitos fundamentais ou as disposições de ordem pública. Por conseguinte, o Grupo recomenda vivamente que os advogados analisem cuidadosamente e adaptem cada modelo à legislação setorial e nacional aplicável, especialmente quando se trata de dados pessoais ou conjuntos mistos de dados, que, no que diz respeito aos dados pessoais, estão totalmente sujeitos ao Regulamento Geral sobre a Proteção de Dados (RGPD).

O relatório inclui também uma extensa lista de anexos e apêndices que detalham o conteúdo de cada MCT e SCC. Por exemplo, o primeiro apêndice, destinado aos contratos entre detentores de dados e utilizadores, enumera nove pontos que abrangem, desde a descrição pormenorizada dos dados e das medidas de proteção até aos formulários de pedido de acesso e cessão a terceiros, passando pelas cláusulas relativas a compensações, duração e remédios por incumprimento. No fundo, esta conceção modular convida os redatores a redigir o contrato final integrando apenas as secções pertinentes em função da complexidade do cenário e do perfil das partes envolvidas.

Um aspeto relevante do conjunto é a forma como aborda a proteção de segredos empresariais. Embora o Regulamento  Dados reconheça o direito dos utilizadores a solicitarem dados, também prevê exceções quando essa transferência afeta informação qualificada como segredo comercial. O relatório descreve um mecanismo em que o responsável pelo tratamento deve identificar e justificar os dados protegidos, pôr em prática medidas técnicas e organizativas proporcionais e, em última análise, ter a possibilidade de suspender temporariamente a transferência se os controlos forem insuficientes ou se a transferência causar danos graves e iminentes. Este equilíbrio exige uma estreita coordenação entre as partes e, se for caso disso, a intervenção da autoridade competente designada a nível nacional.

No âmbito da computação em nuvem, as cláusulas propostas incorporam diretrizes para facilitar a portabilidade dos dados e dos serviços em condições não discriminatórias, garantindo ao cliente o acesso aos seus dados após o termo do contrato e evitando sanções financeiras ou técnicas indevidas. Além disso, é dada ênfase à obrigação do prestador de manter normas de segurança e de continuidade de negócio adequadas ao nível de criticidade do serviço, incluindo métricas e relatórios periódicos, e à atribuição equitativa de responsabilidades por falhas ou incidentes, de forma a mitigar potenciais desequilíbrios contratuais.

Em suma, o Relatório Final do Grupo de Especialistas supõe uma ferramenta prática que facilita a elaboração de contratos robustos e alinhados com o quadro regulatório europeu. A sua aplicação ajuda a reduzir a assimetria de informação entre as partes, cria confiança na utilização das tecnologias digitais e apoia a estratégia da UE para impulsionar o mercado único dos dados. Assim, reforça a postura negociadora das empresas que desejam aproveitar as oportunidades de inovação baseadas em dados sem renunciar a salvaguardar os seus ativos incorpóreos e cumprir com as exigências da privacidade e segurança.

O Regulamento  Dados será aplicável a partir de 12 de setembro de 2025, pelo que agora é o momento de desenvolver e adaptar as disposições contratuais tendo em conta este Regulamento europeu.