Saltar para o conteudo
Avanet
Data Act: O que as equipas de TI precisam de implementar agora

Data Act: O que as equipas de TI precisam de implementar agora

8. AGOSTO 2025

O Data Act tornar-se-á aplicável a partir de 12.09.2025. Quebra silos de dados, obriga fabricantes e operadores a fornecer acesso a dados e intervém profundamente em processos desde a IoT até à cloud. Beneficia quem harmonizar cedo o inventário de dados, interfaces e controlos de segurança.

Breve visão geral

  • Aplicabilidade a partir de 12.09.2025, obrigação de design para novos produtos a partir de 12.09.2026.
  • Os utilizadores recebem acesso a dados de produtos e serviços; a transferência para terceiros é possível mediante solicitação. Os gatekeepers estão excluídos.
  • A mudança de cloud e multi-cloud são reforçadas; requisitos sobre condições justas e taxas.
  • Nenhuma base legal independente para dados pessoais; o RGPD permanece prioritário.
  • A UE recomenda cláusulas contratuais modelo; existem rascunhos disponíveis, a versão final ainda está em parte em curso.

Por que o tema é relevante agora

Com o início da aplicação do Data Act em 12.09.2025, termina o período de carência. As empresas devem fornecer acesso a dados, assegurá-lo contratualmente e protegê-lo tecnicamente. Os atrasos afetam não apenas a conformidade, mas também os modelos de negócio: manutenção, serviços pós-venda e ofertas baseadas em dados dependerão no futuro de fluxos de dados transparentes e seguros.

Além do Data Act, com o Cyber Resilience Act entra em vigor outro regulamento da UE que traz novas obrigações para os fabricantes e tem efeitos diretos na operação segura de soluções como o Sophos Firewall.

O que muda ou o que é novo

  • Acesso a dados: Os utilizadores de produtos conectados recebem acesso a dados brutos e certos dados processados gerados durante a utilização. Mediante solicitação, é necessária uma disponibilização direta a terceiros. Os gatekeepers de acordo com o DMA estão excluídos como destinatários.
  • Design de produto: A partir de 12.09.2026, os produtos conectados devem ser concebidos de forma a que os dados estejam diretamente disponíveis por defeito.
  • Mudança de cloud: O Data Act reduz os efeitos de bloqueio, promove a multi-cloud e regula condições justas para a mudança.
  • Regras contratuais: Os acordos de licença de dados entre o detentor dos dados e o utilizador tornam-se obrigatórios. A UE publica cláusulas modelo não vinculativas para apoio.

Visão geral técnica

Termos e Papéis

  • Detentor de dados: Entidade com autoridade de acesso a dados de produtos ou serviços, frequentemente o fabricante ou operador. Também os prestadores de serviços responsáveis pelas operações podem ser detentores de dados. No futuro, deverão estabelecer processos para permitir aos utilizadores o acesso sem demora.
  • Utilizador: Utilizador legítimo do produto ou serviço, incl. empresas. Isso também inclui operadores de frotas, agricultores ou clientes finais que trabalham com dispositivos conectados. Os utilizadores recebem não apenas um direito à informação, mas um direito imediato de acesso aos seus dados.
  • Terceiro: Destinatários de dados autorizados pelos utilizadores, mas não gatekeepers. Terceiros podem ser parceiros de serviço, oficinas independentes, instituições de investigação ou fornecedores de software. Devem ser integrados através de interfaces seguras.

Tipos de dados

  • Cobertos: Dados de produtos e dados de serviço associados da utilização, incluindo dados de sensores, mensagens de estado, dados de localização e metadados. Conjuntos de dados processados também estão incluídos se forem destinados à reutilização.
  • Não cobertos: Dados de conteúdo como documentos, imagens ou comunicação. Estes permanecem fora do âmbito de aplicação.
  • Interface RGPD: A referência pessoal é frequentemente possível; o Data Act não cria a sua própria base legal. Cada divulgação deve ser feita adicionalmente em conformidade com o RGPD, incluindo a verificação da base legal e, se aplicável, o consentimento.

Interfaces

  • Acesso direto preferido; caso contrário, disponibilização padronizada, legível por máquina e preferencialmente em tempo real. Para as empresas, isso significa estabelecer APIs, funções de exportação de dados e processos claramente documentados. Monitorização, autenticação e verificação de autorização também pertencem à arquitetura da interface.

Guia prático

Preparação

  1. Inventário de dados: Listar sistemas, produtos, sensores e esquemas de dados. Antecipar referência pessoal, verificar níveis de agregação. Também devem ser consideradas fontes de dados externas, sistemas de arquivo e dados de backup.
  2. Classificação: Separar dados de produtos e serviços de dados de conteúdo. Atribuir referência RGPD e bases legais por conjunto de dados. Adicionalmente, criar documentação de categorias e ciclos de vida.
  3. Contratos: Preparar cláusulas de licença de dados para contratos novos e existentes; verificar rascunhos de MCT e adaptar se necessário. Complementarmente, criar diretrizes internas e formação para responsáveis por contratos.

Implementação

  1. Interfaces: Estabelecer API ou exportação, implementar AuthN/AuthZ, documentar formatos de saída. Também fornecer controlo de versão e ambientes de teste.
  2. Autorização de terceiros: Configurar processos para consentimento ou verificação de autorização; integrar firmemente a verificação de gatekeeper. Adicionalmente, usar padrões de acesso baseados em funções e tokens limitados no tempo.
  3. Mudança de cloud: Planear caminhos de mudança, transferência de dados e mapeamento; definir estratégias multi-cloud. Agendar migrações de teste e verificações de desempenho.
  4. Proteção de segredos comerciais: Avaliar filtros para segredos comerciais, minimização e pseudonimização. Verificar procedimentos técnicos como mascaramento de dados ou privacidade diferencial.
  5. Gestão de mudanças: Documentar e comunicar processos para atualizações e alterações em interfaces.

Validação

  • Casos de teste: Self-service do utilizador, libertação a terceiros, revogação, cenários de erro. Incluir também casos limite e testes de carga.
  • Registo: Documentar saídas, destinatários, horários, base legal de forma auditável. Implementar armazenamento à prova de auditoria e relatórios regulares.
  • Testes de segurança: Testes de penetração de API, limitação de taxa, deteção de anomalias. Considerar verificações de vulnerabilidade automatizadas e programas de bug bounty.
  • Verificações de conformidade: Auditorias internas para garantir a conformidade com o RGPD e o Data Act.

Rollback e Monitorização

  • Caminho de rollback em caso de libertações erróneas. Documentar cenários para recuperação e resposta a incidentes.
  • Monitorização de saídas de dados via firewall, IDS e SIEM; alertas para desvios de volume ou padrão. Adicionalmente, implementar painéis em tempo real e processos de escalonamento para equipas de segurança.

Recomendações e Melhores Práticas

Medidas recomendadas

  • Inventário e categorização de dados como passo obrigatório.
  • Abordagem API-first com esquemas consistentes.
  • Mínimo privilégio e consentimento granular fino.
  • Automatizar verificação de gatekeeper.
  • Registo e provas à prova de auditoria.
  • Testar mudança multi-cloud cedo.

Tabela de atribuição compacta

Medida Objetivo Nota
Inventário de dados Transparência e Âmbito Base para verificação RGPD
Revisão MCT Clareza contratual Usar rascunhos da UE, adaptar localmente
Limites de taxa API Proteção contra abuso Combinar em firewall e gateway API
Filtro Gatekeeper Conformidade Comparação contra listas DMA
Regras correlação SIEM Rastreabilidade Integração em playbooks existentes
Design a partir de 2026 Segurança futura Acesso direto by design

Impacto na Sophos e noutras plataformas

  • Política de Firewall: Novos pontos de extremidade de dados e APIs de administração necessitam de regras, inspeção TLS após avaliação de riscos, Threat Feeds para deteção de anomalias. Complementarmente, recomenda-se uma segmentação rigorosa e o uso de regras de controlo de aplicações para acessos baseados em API.
  • Zero Trust: Zonas segmentadas e mTLS para acessos de terceiros. Adicionalmente, rotação regular de certificados e integração em fornecedores de identidade existentes para controlar permissões granulares.
  • SIEM/EDR: Correlacionar eventos sobre libertações de dados, especialmente volumes ou destinatários incomuns. Casos de uso estendidos também devem cobrir erros de API, tentativas de autenticação e consultas não autorizadas.
  • Cloud: Estabelecer controlos de saída e listas de verificação de saída contratuais para cenários de mudança. Além disso, considerar planeamento de capacidade, testes automatizados de processos de saída e políticas para classificação e encriptação de dados.
  • Backup e Arquivo: Dados libertados sob o Data Act devem ser protegidos por estratégias consistentes de backup e arquivo. Isso permite uma recuperação em caso de libertações erróneas ou uso indevido.
  • Relatórios: As equipas de TI devem criar relatórios regulares sobre saídas de dados e transmiti-los aos níveis de conformidade e gestão. Isso garante transparência e rastreabilidade.

Perguntas frequentes

Como distinguir dados pessoais de dados não pessoais?

Verificam-se contextos e possibilidade de ligação. Dados de localização e utilização são frequentemente relacionáveis com pessoas. Sem base legal RGPD adequada, nenhuma divulgação.

É necessário fornecer dados a qualquer terceiro?

Apenas a pedido do utilizador e cumprindo os requisitos. Os gatekeepers estão excluídos.

A partir de quando o acesso direto é obrigatório?

Para novos produtos e serviços que cheguem ao mercado a partir de 12.09.2026. Até lá, a disponibilização a pedido deve funcionar.

Existem cláusulas modelo?

Sim, a UE está a elaborar MCTs não vinculativos e SCCs de cloud; uma declaração do EDPB sobre o rascunho está disponível.

Qual o papel da mudança de cloud?

O Act promove a mudança e multi-cloud. As taxas devem ser justas e não discriminatórias.

Conclusão

O Data Act transfere o controlo sobre dados de produtos e serviços para os utilizadores e abre mercados para serviços em torno de manutenção, análise e integração. Para as equipas de TI, isso significa trabalho em três frentes: inventário de dados e direito, interfaces seguras e monitorização operacionalizada. Além disso, surgem novas responsabilidades nas áreas de gestão de conformidade, documentação de processos e formação de funcionários. Também a interação com serviços cloud e a integração em arquiteturas de segurança existentes devem ser planeadas cedo. Quem padronizar, automatizar e implementar salvaguardas cedo reduz o esforço e o risco e posiciona-se simultaneamente para futuros desenvolvimentos regulatórios e novos modelos de negócio no ambiente impulsionado por dados.

Referências

Patrizio

Patrizio

Patrizio e um especialista de redes experiente, focado em firewalls Sophos, switches e pontos de acesso. Apoia clientes e equipas de TI na configuracao, na migracao e numa segmentacao de rede limpa.