(1)

A digitalização da economia tem vindo a acelerar-se. O setor das tecnologias da informação e das comunicações deixou de ser um setor específico, passando a ser a base de todos os sistemas económicos e de todas as sociedades modernas e inovadoras. Os dados eletrónicos são um elemento central desses sistemas e podem gerar muito valor quando analisados ou combinados com serviços e produtos. Por outro lado, o rápido desenvolvimento da economia dos dados e das tecnologias emergentes, como a inteligência artificial, os produtos e serviços ligados à internet das coisas, os sistemas autónomos e a 5G, suscitam novos problemas jurídicos em torno das questões do acesso aos dados, da reutilização dos dados, da responsabilidade, da ética e da solidariedade. Deverá dar-se atenção à questão da imputação de responsabilidade, nomeadamente aplicando códigos de autorregulação e outras boas práticas, tendo em conta as recomendações, as decisões e as ações feitas, tomadas e realizadas sem interação humana ao longo de toda a cadeia de valor do tratamento de dados. Essas atividades poderão incluir também mecanismos adequados para determinar a imputação de responsabilidade, para transferir responsabilidades entre os serviços que colaboram entre si, para os seguros e para a auditoria.

(2)

As cadeias de valor de dados assentam em diferentes atividades relacionadas com os dados: criação e recolha de dados; agregação e organização de dados; tratamento de dados; análise, comercialização e distribuição de dados; utilização e reutilização de dados. O funcionamento eficaz e eficiente do tratamento de dados constitui um alicerce fundamental em todas as cadeias de valor de dados. No entanto, esse funcionamento eficaz e eficiente e o desenvolvimento da economia dos dados na União são postos em causa, em particular, por dois tipos de obstáculos à mobilidade dos dados e ao mercado interno: os requisitos de localização de dados estabelecidos pelas autoridades dos Estados-Membros e as práticas de vinculação a um prestador no setor privado.

(3)

A liberdade de estabelecimento e a livre prestação de serviços, consagradas no Tratado sobre o Funcionamento da União Europeia (TFUE), aplicam-se aos serviços de tratamento de dados. Todavia, a prestação destes serviços é dificultada ou, nalguns casos, impedida por determinadas disposições nacionais, regionais ou locais que exigem que os dados estejam localizados num território específico.

(4)

Os referidos obstáculos à livre circulação de serviços de tratamento de dados, bem como ao direito de estabelecimento de prestadores de serviços, têm origem nas disposições legislativas nacionais que exigem que os dados estejam localizados numa zona geográfica ou território específico para efeitos de tratamento de dados. Outras regras ou práticas administrativas têm efeitos equivalentes, ao imporem requisitos específicos que tornam mais difícil o tratamento dos dados fora de uma zona geográfica ou território específico na União: por exemplo, a obrigação de utilizar meios tecnológicos certificados ou aprovados num determinado Estado-Membro. As incertezas jurídicas quanto ao alcance dos requisitos legítimos e ilegítimos em matéria de localização dos dados restringem ainda mais as opções disponíveis para os intervenientes no mercado e o setor público, no que se refere à localização do tratamento dos dados. O presente regulamento não limita de forma alguma a liberdade de as empresas poderem celebrar contratos em que especifiquem o sítio onde os dados devem ficar localizados. O presente regulamento destina-se meramente a salvaguardar essa liberdade, assegurando que uma localização acordada possa estar situada em qualquer ponto da União.

(5)

Ao mesmo tempo, a mobilidade de dados na União é afetada por restrições de natureza privada: aspetos jurídicos, contratuais e técnicos que prejudicam ou impedem os utilizadores de serviços de tratamento de dados de aplicarem a portabilidade dos seus dados de um prestador de serviços para outro ou novamente para os seus próprios sistemas informáticos, isto pelo menos até à cessação do seu contrato com um prestador de serviços.

(6)

A combinação desses obstáculos levou à falta de concorrência entre os prestadores de serviços em nuvem na União, a diversos problemas de vinculação a um prestador e a uma grave carência ao nível da mobilidade de dados. Do mesmo modo, as políticas de localização de dados comprometeram a capacidade das empresas de investigação e desenvolvimento de facilitarem a colaboração entre empresas, universidades e outras organizações de investigação para estimularem a inovação.

(7)

Por motivos de segurança jurídica e devido à necessidade de condições concorrenciais equitativas na União, a existência de um conjunto único de regras para todos os participantes no mercado é um elemento-chave para o funcionamento do mercado interno. A fim de eliminar os obstáculos ao comércio e as distorções da concorrência resultantes de divergências entre as legislações nacionais e evitar o provável surgimento de novos obstáculos ao comércio e de distorções significativas da concorrência, é necessário adotar regras uniformes aplicáveis em todos os Estados-Membros.

(8)

O regime jurídico sobre a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e sobre o respeito pela vida privada e à proteção dos dados pessoais nas comunicações eletrónicas, nomeadamente o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (3) e as Diretivas (UE) 2016/680 (4) e 2002/58/CE (5) do Parlamento Europeu e do Conselho, não são afetados pelo presente regulamento.

(9)

A internet das coisas, a inteligência artificial e a aprendizagem automática, que estão em expansão, representam grandes fontes de dados não pessoais, por exemplo, em consequência da sua utilização em processos automatizados de produção industrial. Exemplos concretos de dados não pessoais incluem conjuntos de dados agregados e anonimizados utilizados para a análise de grandes volumes de dados, os dados relativos à agricultura de precisão que podem ajudar a controlar e a otimizar a utilização de pesticidas e de água ou ainda dados sobre as necessidades de manutenção de máquinas industriais. Se os progressos tecnológicos permitirem transformar dados anonimizados em dados pessoais, esses dados devem ser tratados como dados pessoais, e o Regulamento (UE) 2016/679 deve ser aplicado em conformidade.

(10)

Nos termos do Regulamento (UE) 2016/679, os Estados-Membros não podem restringir nem proibir a livre circulação de dados pessoais no interior da União por motivos relacionados com a proteção das pessoas singulares no que respeita ao tratamento de dados pessoais. O presente regulamento estabelece o mesmo princípio de livre circulação no interior da União relativamente aos dados não pessoais, com exceção dos casos em que se justifique uma restrição ou uma proibição por motivos de segurança pública. O Regulamento (UE) 2016/679 e o presente regulamento estabelecem um conjunto coerente de regras que preveem a livre circulação de diferentes tipos de dados. Por outro lado, o presente regulamento não impõe a obrigação de armazenar separadamente os diferentes tipos de dados.

(11)

A fim de criar um regime para o livre fluxo de dados não pessoais na União, e as bases para desenvolver a economia dos dados e para reforçar a competitividade da indústria da União, é necessário estabelecer um regime jurídico claro, abrangente e previsível para o tratamento dos dados, que não sejam dados pessoais, no mercado interno. Uma abordagem baseada em princípios, que permita a cooperação entre os Estados-Membros e a autorregulação, deverá assegurar que esse regime seja suficientemente flexível para ter em conta a evolução das necessidades dos utilizadores, dos prestadores de serviços e das autoridades nacionais na União. A fim de evitar o risco de sobreposições com os mecanismos em vigor, evitando assim uma maior sobrecarga tanto para os Estados-Membros como para as empresas, não deverão definir-se normas técnicas pormenorizadas.

(12)

O presente regulamento não deverá afetar o tratamento de dados, na medida em que esse tratamento seja realizado como parte de uma atividade fora do âmbito de aplicação do direito da União. Deverá ter-se presente, em especial, que, nos termos do artigo 4.o do Tratado da União Europeia (TUE), a segurança nacional é da exclusiva responsabilidade de cada Estado-Membro.

(13)

O livre fluxo de dados na União desempenhará um papel fundamental para se conseguir um crescimento e uma inovação assentes em dados. Tal como as empresas e os consumidores, as autoridades públicas e os organismos regidos pelo direito público dos Estados-Membros podem beneficiar de uma maior liberdade de escolha em relação aos prestadores de serviços de dados, a preços mais competitivos e a uma prestação de serviços aos cidadãos mais eficaz. Tendo em conta a grande quantidade de dados tratados pelas autoridades públicas e pelos organismos regidos pelo direito público, é da maior importância que estes deem o exemplo aderindo a serviços de tratamento de dados e abstendo-se de impor restrições à localização de dados quando recorrem a serviços de tratamento de dados. Por conseguinte, as autoridades públicas e os organismos regidos pelo direito público deverão ser abrangidos pelo presente regulamento. Neste sentido, o princípio do livre fluxo de dados não pessoais previsto pelo presente regulamento deverá aplicar-se também a práticas administrativas gerais e coerentes e a outros requisitos de localização de dados no domínio dos contratos públicos, sem prejuízo do disposto na Diretiva 2014/24/UE do Parlamento Europeu e do Conselho (6).

(14)

À semelhança da Diretiva 2014/24/UE, o presente regulamento é aplicável sem prejuízo das disposições legislativas, regulamentares e administrativas relativas à organização interna dos Estados-Membros e que atribuem às autoridades públicas e aos organismos regidos pelo direito público poderes e responsabilidades para o tratamento de dados, sem remuneração contratual do setor privado, nem das disposições legislativas, regulamentares e administrativas dos Estados-Membros que preveem a aplicação desses poderes e dessas responsabilidades. Embora as autoridades públicas e os organismos regidos pelo direito público sejam encorajados a ter em conta os benefícios económicos e os outros benefícios da externalização para prestadores de serviços externos, essas autoridades e esses organismos podem ter razões legítimas para escolher prestar eles próprios os serviços ou para os internalizar. Assim, não há nada no presente regulamento que obrigue os Estados-Membros a subcontratar ou a externalizar a prestação de serviços que os próprios pretendem prestar ou organizar por meios que não contratos públicos.

(15)

O presente regulamento deverá aplicar-se às pessoas singulares ou coletivas que prestam serviços de tratamento de dados a utilizadores residentes ou estabelecidos na União, incluindo as pessoas que prestam serviços de tratamento de dados na União sem estarem estabelecidas na União. Por conseguinte, o presente regulamento não deverá aplicar-se a serviços de tratamento de dados executados fora da União, nem aos requisitos de localização de dados relativos a esses dados.

(16)

O presente regulamento não estabelece regras relativas à determinação da lei aplicável em matéria comercial e, por conseguinte, é aplicável sem prejuízo do Regulamento (CE) n.o 593/2008 do Parlamento Europeu e do Conselho (7). Em especial, na medida em que a lei aplicável a um contrato não tenha sido escolhida nos termos desse regulamento, os contratos de prestação de serviços são, em princípio, regidos pela lei do país da residência habitual do prestador de serviços.

(17)

O presente regulamento deverá aplicar-se ao tratamento de dados no sentido mais lato, englobando a utilização de todos os tipos de sistemas informáticos, tanto localizados nas instalações do utilizador como externalizados a um prestador de serviços. O presente regulamento deverá abranger o tratamento de dados em diferentes níveis de intensidade, desde o armazenamento (infraestrutura como serviço, ou IaaS – do inglês Infrastructure-as-a-Service) até ao tratamento por meio de plataformas (plataforma como serviço, ou PaaS – Platform-as-a-Service) ou aplicações (software como serviço, ou SaaS – Software-as-a-Service).

(18)

Os requisitos de localização dos dados representam um obstáculo manifesto à livre prestação de serviços de tratamento de dados em toda a União e ao mercado interno. Como tal, deverão ser excluídos, salvo quando se justifiquem por razões de segurança pública, tal como definida no direito da União, nomeadamente na aceção do artigo 52.o do TFUE, e deverão respeitar o princípio da proporcionalidade consagrado no artigo 5.o do TUE. A fim de tornar efetivo o princípio do livre fluxo de dados não pessoais além-fronteiras, de eliminar atempadamente os requisitos de localização de dados e de permitir, por motivos de natureza operacional, o tratamento de dados em múltiplas localizações em toda a União, e tendo em conta que o presente regulamento prevê medidas destinadas a assegurar a disponibilidade dos dados para fins de controlo regulamentar, os Estados-Membros só deverão poder invocar a segurança pública como justificação para requisitos de localização de dados.

(19)

Na aceção do artigo 52.o do TFUE, e tal como interpretado pelo Tribunal de Justiça, o conceito de «segurança pública» abrange tanto a segurança interna como a segurança externa de um Estado-Membro, bem como questões atinentes à proteção pública, nomeadamente a fim de facilitar a investigação, a deteção e a repressão de infrações penais. O conceito de «segurança pública» pressupõe a existência de uma ameaça real e suficientemente grave que afete um interesse essencial da sociedade, como, por exemplo, uma ameaça ao funcionamento das instituições e serviços públicos essenciais e à sobrevivência da população, assim como o risco de uma perturbação grave das relações externas ou da coexistência pacífica das nações, ou um risco para os interesses militares. Em conformidade com o princípio da proporcionalidade, os requisitos de localização de dados que se justifiquem por razões de segurança pública deverão ser adequados à realização do objetivo pretendido, e não deverão exceder o necessário para alcançar esse objetivo.

(20)

A fim de garantir a aplicação efetiva do princípio do livre fluxo de dados não pessoais além-fronteiras e de prevenir o surgimento de novos obstáculos ao bom funcionamento do mercado interno, os Estados-Membros deverão comunicar imediatamente à Comissão qualquer projeto de ato que introduza um novo requisito de localização dos dados ou que modifique um requisito existente de localização dos dados. Esses projetos de ato deverão ser apresentados e avaliados nos termos da Diretiva (UE) 2015/1535 do Parlamento Europeu e do Conselho (8).

(21)

Além disso, a fim de suprimir os obstáculos que possam existir atualmente, os Estados-Membros deverão proceder a um exame, durante um período de transição de 24 meses a contar da data de aplicação do presente regulamento, das disposições legislativas, regulamentares ou administrativas de natureza geral que estabelecem requisitos de localização dos dados, e comunicar à Comissão os requisitos de localização dos dados que considerem em conformidade com o presente regulamento, juntamente com uma justificação. Isto deverá permitir à Comissão examinar a conformidade dos requisitos remanescentes de localização dos dados. A Comissão deverá poder fazer comentários, se for caso disso, dirigidos ao Estado-Membro em questão. Esses comentários poderão incluir uma recomendação para alterar ou revogar o requisito de localização dos dados.

(22)

As obrigações estabelecidas no presente regulamento de comunicar à Comissão os requisitos existentes de localização de dados e os projetos de atos deverão aplicar-se aos requisitos regulamentares de localização de dados e aos projetos de atos de caráter geral, mas não às decisões que tenham por destinatário uma pessoa singular ou coletiva determinada.

(23)

A fim de assegurar a transparência dos requisitos de localização de dados impostos em disposições legislativas, regulamentares ou administrativas de caráter geral nos Estados-Membros às pessoas singulares e coletivas, designadamente prestadores de serviços e utilizadores de serviços de tratamento de dados, os Estados-Membros deverão publicar e atualizar periodicamente as informações sobre esses requisitos num ponto de informação nacional em linha único. Em alternativa, os Estados-Membros deverão fornecer informação atualizada sobre esses requisitos a um ponto de informação central criado ao abrigo de outro ato da União. A fim de prestar informações adequadas às pessoas singulares e coletivas sobre os requisitos de localização de dados em toda a União, os Estados-Membros deverão notificar à Comissão os endereços dos referidos pontos de informação únicos. A Comissão deverá publicar essas informações no seu próprio sítio Web, juntamente com uma lista consolidada dos requisitos de localização de dados em vigor nos Estados-Membros, incluindo informações sintetizadas sobre esses requisitos.

(24)

Os requisitos de localização de dados resultam frequentemente de uma falta de confiança no tratamento transfronteiriço de dados, tendo origem numa presunção de indisponibilidade dos dados para os fins das autoridades competentes dos Estados-Membros, designadamente a realização de inspeções e auditorias no âmbito de controlos regulamentares ou de supervisão. A nulidade das condições contratuais que proíbem o acesso legal aos dados pelas autoridades competentes para o desempenho das suas obrigações oficiais não é suficiente para colmatar essa falta de confiança. Por conseguinte, o presente regulamento deverá indicar expressamente que não afeta os poderes das autoridades competentes de requererem ou de obterem acesso a dados nos termos do direito da União ou do direito nacional, e que o acesso aos dados por parte das autoridades competentes não pode ser recusado a pretexto de os dados serem tratados noutro Estado-Membro. As autoridades competentes podem impor requisitos funcionais para apoiar o acesso a dados, como, por exemplo, exigir que a descrição do sistema seja mantida no Estado-Membro em questão.

(25)

As pessoas singulares ou coletivas sujeitas à obrigação de fornecer dados às autoridades competentes podem cumprir essa obrigação concedendo e garantindo às autoridades competentes um acesso efetivo e oportuno aos dados por via eletrónica, independentemente do Estado-Membro em cujo território os dados são tratados. Esse acesso pode ser assegurado mediante cláusulas concretas nos contratos entre, por um lado, as pessoas singulares ou coletivas sujeitas à obrigação de conceder acesso e, por outro, os prestadores de serviços.

(26)

Se uma pessoa singular ou coletiva obrigada a fornecer dados não cumprir essa obrigação, a autoridade competente deverá poder pedir assistência às autoridades competentes de outros Estados-Membros. Nestes casos, as autoridades competentes deverão recorrer a instrumentos de cooperação específicos previstos no direito da União ou em convenções internacionais, consoante o objeto do caso em apreço, tais como, nos domínios da cooperação policial, da justiça penal ou civil ou em questões administrativas, respetivamente, a Decisão-Quadro 2006/960/JAI do Conselho (9), a Diretiva 2014/41/UE do Parlamento Europeu e do Conselho (10), a Convenção do Conselho da Europa sobre o Cibercrime (11), o Regulamento (CE) n.o 1206/2001 do Conselho (12), a Diretiva 2006/112/CE do Conselho (13) e o Regulamento (UE) n.o 904/2010 do Conselho (14). Na falta de mecanismos de cooperação específicos, as autoridades competentes deverão colaborar entre si para facultar acesso aos dados solicitados, por intermédio de pontos de contacto únicos designados.

(27)

Caso um pedido de assistência implique a obtenção do acesso da autoridade requerida às instalações de uma pessoa singular ou coletiva, incluindo equipamentos e meios de tratamento de dados, esse acesso deverá estar em conformidade com o direito da União ou com o direito processual nacional, designadamente a obrigação de obter uma autorização judicial prévia.

(28)

O presente regulamento não deverá permitir que os utilizadores tentem subtrair-se à aplicação do direito nacional. Por conseguinte, o presente regulamento deverá prever disposições que permitam a aplicação pelos Estados-Membros de sanções efetivas, proporcionadas e dissuasivas aos utilizadores que impeçam as autoridades competentes de aceder aos seus dados necessários para o cumprimento das obrigações oficiais das autoridades competentes ao abrigo do direito da União e do direito nacional. Em casos urgentes, caso um utilizador abuse do seu direito, os Estados-Membros deverão poder aplicar medidas provisórias estritamente proporcionadas. Qualquer medida provisória que exija a relocalização dos dados por um período superior a 180 dias a contar da relocalização contrariaria o princípio da livre circulação de dados durante um período significativo, pelo que deverá ser comunicada à Comissão para exame da sua compatibilidade com o direito da União.

(29)

A capacidade de aplicar a portabilidade de dados sem entraves é um fator essencial para facilitar a escolha do utilizador e a concorrência efetiva nos mercados dos serviços de tratamento de dados. As dificuldades, reais ou sentidas, em aplicar a portabilidade transfronteiriça de dados também afeta a confiança dos utilizadores profissionais na aceitação de ofertas transfronteiriças e, portanto, a sua confiança no mercado interno. Embora os consumidores individuais beneficiem do direito da União em vigor, a possibilidade de mudar de prestador de serviços não é facilitada aos utilizadores no exercício das suas atividades comerciais ou profissionais. A existência de requisitos técnicos coerentes em toda a União, de uma harmonização técnica, de reconhecimento mútuo ou de harmonização voluntária, contribui também para o desenvolvimento de um mercado interno competitivo de serviços de tratamento de dados.

(30)

A fim de tirar o máximo partido do ambiente concorrencial, os utilizadores profissionais deverão ter a possibilidade de efetuar escolhas fundamentadas e de comparar facilmente as componentes individuais dos vários serviços de tratamento de dados oferecidos no mercado interno, inclusive no que se refere às condições contratuais da portabilidade dos dados na cessação de um contrato. Para corresponder ao potencial de inovação do mercado e ter em conta a experiência e os conhecimentos dos prestadores de serviços e dos utilizadores profissionais de serviços de tratamento de dados, os requisitos pormenorizados de informação e funcionamento relativos à portabilidade dos dados deverão ser definidos pelos intervenientes no mercado através de autorregulação, com o apoio, a mediação e o acompanhamento da Comissão, sob a forma de códigos de conduta da União que poderão incluir modelos de cláusulas contratuais.

(31)

Para que possa ser eficaz e para facilitar a mudança entre prestadores de serviços e a portabilidade dos dados, os códigos de conduta supracitados deverão ser abrangentes e deverão incluir, pelo menos, alguns aspetos fundamentais importantes durante o processo de portabilidade dos dados, tal como os processos usados para as cópias de segurança de dados e a localização das mesmas; os formatos e os suportes de dados disponíveis; a configuração informática e a largura mínima de banda da rede; o tempo mínimo necessário antes de iniciar o processo de portabilidade e o período durante o qual os dados continuarão disponíveis para a portabilidade dos dados; assim como as garantias de acesso aos dados em caso de falência do prestador de serviços. Os códigos de conduta deverão, por outro lado, deixar claro que a vinculação a um prestador não é uma prática comercial aceitável, deverão prever tecnologias que reforcem a confiança e deverão ser atualizados com regularidade para poderem acompanhar a evolução tecnológica. A Comissão deverá garantir que todas as partes interessadas pertinentes, incluindo as associações de pequenas e médias empresas (PME) e as empresas em fase de arranque, os utilizadores e os prestadores de serviços em nuvem, sejam consultadas ao longo do processo. A Comissão deverá avaliar o desenvolvimento e a aplicação efetiva desses códigos de conduta.

(32)

Caso uma autoridade competente de um Estado-Membro peça a assistência de outro Estado-Membro para obter acesso a dados nos termos do presente regulamento, deverá apresentar ao ponto de contacto único designado do segundo Estado-Membro, através de um ponto de contacto único designado, um pedido devidamente fundamentado que inclua uma exposição escrita dos motivos e das bases jurídicas para solicitar acesso aos dados. O ponto de contacto único designado pelo Estado-Membro ao qual é pedida assistência deverá viabilizar a transmissão entre as autoridades, identificando e transmitindo o pedido à autoridade competente do Estado-Membro requerido. A fim de assegurar uma cooperação eficaz, a autoridade à qual é transmitido um pedido deverá, sem demora indevida, prestar assistência em resposta a um pedido ou fornecer informações sobre as dificuldades para satisfazer esse pedido, ou sobre os motivos que a levaram a indeferi-lo.

(33)

A promoção da confiança na segurança do tratamento de dados a nível transfronteiriço deverá reduzir a tendência dos intervenientes no mercado e do setor público para utilizarem a localização dos dados como fator de salvaguarda da segurança dos dados. Deverá também melhorar a segurança jurídica das empresas em relação aos requisitos de segurança aplicáveis, quando da externalização das suas atividades de tratamento de dados, inclusive para prestadores de serviços localizados noutros Estados-Membros.

(34)

Todos os requisitos de segurança relativos ao tratamento de dados que sejam aplicados de modo justificado e proporcionado, com base no direito da União ou no direito nacional, em conformidade com o direito da União, no Estado-Membro de residência ou de estabelecimento das pessoas singulares ou coletivas às quais os dados dizem respeito deverão continuar a aplicar-se ao tratamento desses dados noutro Estado-Membro. Essas pessoas singulares ou coletivas deverão poder satisfazer os requisitos em causa por si próprias ou mediante cláusulas contratuais nos contratos com os prestadores.

(35)

Os requisitos de segurança estabelecidos ao nível nacional deverão ser necessários e proporcionados aos riscos para a segurança do tratamento de dados no domínio abrangido pelo direito nacional no âmbito do qual os requisitos são definidos.

(36)

A Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho (15) prevê medidas jurídicas para reforçar o nível geral de cibersegurança na União. Os serviços de tratamento de dados constituem uma das categorias de serviços digitais abrangidos por esta diretiva. Nos termos dessa diretiva, os Estados-Membros têm de assegurar que os prestadores de serviços digitais identifiquem os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam e tomem medidas técnicas e organizativas adequadas e proporcionadas para gerir esses riscos. Estas medidas deverão garantir um nível de segurança adequado ao risco em causa, e ter em conta a segurança dos sistemas e das instalações, o tratamento dos incidentes, a gestão da continuidade das atividades, o acompanhamento, a auditoria e os testes realizados, bem como a conformidade com as normas internacionais. A Comissão deve especificar estes elementos de forma mais pormenorizada através de atos de execução ao abrigo dessa diretiva.

(37)

A Comissão deverá apresentar um relatório sobre a execução do presente regulamento, nomeadamente para decidir da eventual necessidade de alterações à luz da evolução tecnológica ou do mercado. Esse relatório deverá avaliar, nomeadamente, o presente regulamento, em especial a sua aplicação aos conjuntos de dados compostos por dados pessoais e não pessoais, e a aplicação da exceção de segurança pública. Antes de o presente regulamento começar a aplicar-se, a Comissão deverá também publicar orientações informativas, nomeadamente sobre a forma como lidar com conjuntos de dados compostos por dados pessoais e não pessoais, para que as empresas, incluindo as PME, consigam ter um melhor entendimento da interação entre o presente regulamento e o Regulamento (UE) 2016/679, e para assegurar que ambos os regulamentos sejam cumpridos.

(38)

O presente regulamento respeita os direitos fundamentais e observa os princípios reconhecidos, designadamente, na Carta dos Direitos Fundamentais da União Europeia, e deverá ser interpretado e aplicado em conformidade com esses direitos e princípios, incluindo os direitos à proteção dos dados pessoais, a liberdade de expressão e de informação e a liberdade de empresa.

(39)

Atendendo a que o objetivo do presente regulamento, a saber, assegurar o livre fluxo de dados que não sejam dados pessoais na União, não pode ser suficientemente alcançado pelos Estados-Membros, mas pode, devido à sua dimensão e aos seus efeitos, ser mais bem alcançado ao nível da União, a União pode tomar medidas, em conformidade com o princípio da subsidiariedade consagrado no artigo 5.o do TUE. Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, o presente regulamento não excede o necessário para alcançar esse objetivo,